水電廠網絡安全態勢感知系統的實現

宗和剛，張朝粵

（華能瀾滄江水電股份有限公司烏弄龍·里底水電廠，云南 迪慶，674606）

0 引言

近年來，隨著云計算、大數據、物聯網、移動互聯和人工智能的飛速發展，引發了多領域的計算處理模式的改變，在對數據的處理、分析應用和提升協同計算能力方面取得了顯著成績。然而，伴隨著信息化的日新月異，我國的網絡安全也面臨著十分嚴峻的考驗[1]。近些年國內外報出的電力系統遭到網絡攻擊事件比比皆是，例如：烏克蘭電網攻擊事件、以色列電力供應系統遭重大網絡攻擊事件、委內瑞拉大停電事件等等。切斷了一個城市的電力，就相當于切斷了城市的命脈。正因如此，電力系統網絡安全問題越來越受到關注。2018年9月13日，國家能源局印發《關于加強電力行業網絡安全工作的指導意見》，其中指出要進一步落實電力企業網絡安全主體責任，完善網絡安全監督管理體制機制，加強全方位網絡安全管理，強化關鍵信息基礎設施安全保護，加強行業網絡安全基礎設施建設，加強電力企業數據安全保護，提高網絡安全態勢感知、預警及應急處置能力，支持網絡安全自主創新與安全可控。水電廠網絡安全態勢感知系統的建設將進一步提升監控系統安全防護水平，強化網絡安全防護體系，有力防范和遏制重大網絡安全事件，保障電力生產安全穩定運行和電力可靠供應。

1 水電廠網絡安全測評方法

目前，水電廠保證電力監控網絡安全的方法主要有2種。

（1）傳統方法即通過公安部要求的《信息系統安全等級保護》測評。

（2）通過在電廠建設網絡安全態勢感知系統進行網絡安全的監視和管理。

很多電廠目前是2種方法都在實施，目的是建立電力監控系統網絡安全的雙重保障，下面對2種方法進行闡述。

1.1 《信息系統安全等級保護》測評

《信息系統安全等級保護》測評工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查5個階段。系統的網絡安全風險監視以及管理主要依靠人工日常運維，缺乏自動化的風險發現以及監視措施，一旦遭遇網絡攻擊行為，根本不可能第一時間對其進行處理；而且，電廠各個系統之間的信息孤島非常嚴重，單純的對某一個系統進行測評，找不出其他系統對它的影響，不能有效的獲取到更多的基礎數據進行網絡安全風險分析，這對于保障網絡安全極為不利。

1.2 網絡安全態勢感知系統

網絡安全態勢感知是綜合分析網絡安全要素，評估網絡安全狀況，預測其發展趨勢，以可視化的方式展現給用戶，并給出相應的報表和應對措施。

網絡安全態勢感知過程可以分為以下4個過程：

（1）數據采集：通過各種檢測工具，對各種影響系統安全性的要素進行檢測采集獲取，這一步是態勢感知的前提。

（2）態勢理解：對各種網絡安全要素數據進行分類、歸并、關聯分析等處理融合，對融合的信息進行綜合分析，得出影響網絡的整體安全狀況，這一步是態勢感知基礎。

（3）態勢評估：定性、定量分析網絡當前的安全狀態和薄弱環節，并給出相應的應對措施，這一步是態勢感知的核心

（4）態勢預測：通過對態勢評估輸出的數據，預測網絡安全狀況的發展趨勢，這一步是態勢感知的目標。

網絡安全態勢感知要做到深度和廣度兼備，從多層次、多角度、多粒度分析系統的安全性并提供應對措施，以圖、表和安全報表的形式展現給用戶[2]。

2 搭建水電廠網絡安全態勢感知系統

下面以南網直調的某電廠為例進行詳細講解，該電廠電壓等級是500 kV，電廠的通信機房、監控機房等布置在地下副廠房，開關站位于大壩下游右側，在上述房間內都布置有重要的業務系統。

2.1 電廠電力監控系統介紹

該電廠的電力監控系統按照“安全分區、網絡專用、橫向隔離、縱向認證”的原則布置；主要劃分為生產控制大區和管理信息大區。生產控制大區又劃分為控制區（也叫安全區I）和非控制區（也叫安全區II）；管理信息大區分為生產管理區（安全區Ⅲ）和管理信息區（安全區Ⅳ）。在該電廠生產管理區和管理信息區統稱為安全區Ⅲ，不同安全區確定不同安全防護要求，其中安全區I安全等級最高，安全區II次之，其余依次類推[3]。各個安全區所包含的系統及接入方式如圖1所示。本次網絡安全態勢感知建設項目需要將安全區I、安全區II、安全區Ⅲ都接入。

2.2 電廠網絡安全態勢感知平臺部署

該電廠為南網總調直調電廠，數據采集直接送南網進行分析。運用的是分布采集、集中運營管理的部署方式，如圖2所示，分別采集安全區I、安全區I、安全區III的數據進行態勢感知分析。

圖1 電廠電力監控系統機構圖

圖2 電廠網絡安全態勢感知平臺部署圖

為了使南網掌握電廠網絡資產、脆弱性、告警事件、威脅、攻擊和風險，并進行應急響應、調查分析等閉環處置。電廠要盡可能全面采集信息網絡相關數據，包括網絡設備數據、安全設備數據、主機設備數據、數據庫數據以及應用系統和中間件數據，并上送南網總調，總調安全分析團隊融合威脅情報進行基于大數據平臺的安全管理與安全分析，實現資產管理、漏洞管理、事件管理、威脅告警、調查分析和應急響應等業務，為安全運營（管理、分析、響應）團隊提供技術支撐[4]。具體的架構如圖3所示。

圖3 電廠網絡安全態勢感知平臺架構圖

2.3 電廠網絡安全態勢感知平臺實施方案

網絡安全態勢感知平臺的建設是一個持續推進的工作，從數據采集、態勢理解、態勢評估再到態勢預測，不是一次性就能完全實現的，而是隨著技術的進步，持續在完善。本次在電廠搭建網絡安全態勢感知平臺，可以實現對電廠各種電力監控系統網絡安全的數據采集、范式化處理、數據建模和關聯分析，能夠及時發現如非法跨區互聯、非法移動介質接入、網絡非法接入等各類網絡安全風險以及非法訪問事件，以實現對電廠監控系統全方位、全天候的網絡安全監測，實現電廠網絡安全的閉環管理。但要實現真正的態勢預測，還需要進一步的完善。

在搭建電廠網絡安全態勢感知系統之前，需要對被采集設備所對應的防火墻或者交換機進行策略配置。另外要修改安全區II縱向防火墻、安全區I和安全區II之間的橫向防火墻、縱向加密裝置及安全區Ⅲ綜合數據網防火墻策略配置，實現站內及主子站之間系統數據的互聯互通。

接下來在電廠側配置兩套網絡安全態勢感知監測終端，分別布置在安全區I和安全區Ⅲ，如圖4所示。監測終端通過SNMP、syslog以及流量鏡像等技術，在I區采集縱向加密裝置、橫向防火墻、互聯交換機、站控層、工作站交換機的信息，在Ⅲ區采集綜合數據網交換機、調度管理網和視頻會商交換機的信息。在安全區I和安全區II之間的橫向防火墻中，采用NAT技術，把安全區I廠站設備IP映射成安全區II的IP，然后通過syslog協議，實現安全區II的縱向加密裝置、工作站的信息采集，至此3個安全區的數據都已經獲取。

安裝在安全區I的檢測終端中接入了電廠監控系統核心交換機A/B網、南網調度A/B平面、安穩控制裝置A/B套、PMU主機、保信子站、故障錄波等系統，實現設備配置/日志信息以及設備流量信息的獲取；安裝在安全區Ⅲ的檢測終端中接入了綜合數據網交換機、調度管理網和視頻會商交換機，實現設備配置/日志信息以及設備流量信息的獲取。

在各個被采集系統的交換機上需要接入兩根網線，一根叫做通信線，另一根叫做鏡像線，兩根網線通過交換機直接接入態勢感知系統裝置。通信線主要是采集網絡資產信息，所謂網絡資產就是處于電廠監控網絡中的各種設備和系統。不管是何種形式的網絡攻擊，總是以處于這個網絡中的設備為載體或者目標。所以，首先要將網絡中的設備都梳理出來，才能做到心中有數，對癥下藥。在這個大的網絡中，每一個設備都有一個ID，只要獲取到ID就能唯一定位這個設備。網絡中存在的無主資產，僵尸資產，沒有固定ID的資產，往往是最容易受攻擊的對象，這些資產的存在給網絡安全帶來了極大隱患，故通過通信線采集網絡資產，建立網絡資產清單，為每一個設備建立檔案，這是態勢感知系統的第一步，也是最重要的一步。另外，通信線能夠檢測到網絡中的一些常規操作，例如：USB熱插拔、網口熱插拔、設備告警、資產在離線及設備日志信息等。端口鏡像作用是把交換機的一個或者多個源端口的流量完全拷貝一份，然后通過鏡像線送到目的端口，目的端口可以是一個或多個。簡單的說，鏡像的作用就是在不影響原來交換機中數據傳輸的前提下，通過鏡像功能將原來交換機中的數據流量復制一份到指定的目的端口，進而來監聽和分析網絡安全問題，以及檢測網絡攻擊，這是態勢感知系統的第二步，即態勢理解。在實際的安裝部署過程中，根據現場情況，有些系統是通過防火墻接入態勢感知設備的，而一般防火墻沒有鏡像功能，故在敷設時，就只敷設通信線采集資產。

I區監測終端采集到的數據將通過II區B平面調度數據網IP，向南網總調II區B平面的主站平臺服務器上送數據；Ⅲ區監測終端采集到的數據將通過Ⅲ區綜合數據網IP，向南網總調Ⅲ區的主站平臺服務器上送數據，在電廠側未配置網絡安全態勢感知平臺對應的可視化顯示終端，在南網總調側配有可視化顯示終端，實現對電廠網絡安全的檢測分析和管理。

圖4 網絡安全態勢感知廠站端部署圖

3 結語

伴隨著網絡強國戰略的提出，網絡安全問題已經上升到國家層面。 水電是將河流、湖泊或海洋等水體所蘊藏的水能轉變為電能的發電方式，是一種清潔環保的可再生能源。它在整個電力能源中占據著非常重要的地位。一旦水電廠的電力監控網絡受到攻擊，后果將不堪設想。因此，本文介紹的在水電廠建設網絡安全態勢感知系統是一種大膽的嘗試，是符合科技發展和時代進步的必然結果。盡管，目前電廠態勢感知系統接入的設備只是一部分相對重要的設備，而且態勢感知只是到達了第二步態勢理解，距離態勢預測還有一段距離，但不可否認的是，態勢感知的接入比原來通過《信息系統安全等級保護》測評的方法更具體、更直觀也更有效。水電廠網絡安全態勢感知的建設需要更多的電廠去嘗試，去實踐，只有這樣才能更好地保障電廠網絡安全，才能保證電廠安全穩定發電。