火力發電廠網絡安全監測裝置部署策略探討

◆韓彥哲

火力發電廠網絡安全監測裝置部署策略探討

◆韓彥哲

（神華國能集團有限公司神頭第二發電廠 山西 036002）

網絡安全監測裝置通過采集監測對象運行信息，對安全事件進行分析及實時告警。本文介紹了火力發電廠電力監控系統網絡安全監測裝置的采集對象、探針程序的配置和調試以及部署策略，防范了黑客及惡意代碼等對電力監控系統的攻擊及傷害，保障了電力系統的安全穩定運行。

火力發電廠；電力監控系統；網絡安全監測裝置；網絡安全

電力行業是關系國計民生的重要基礎產業，電力系統的安全穩定運行直接關系到國民經濟的發展和人民的生命財產安全以及社會的穩定[1-2]?；鹆Πl電廠調度自動化系統作為電力監控系統的重要組成部分，其在對電廠涉網設備運行信息采集分析的科學基礎上，運用現代自動化技術及通信技術，由計算機監控作出縱觀全局的控制決策，用來監控電廠涉網設備的運行狀態[3]。調度自動化系統是火力發電廠電網調度和電網運行管理不可或缺的重要組成部分，其安全問題一直受到國家電網公司的重點關注[4]。為了加強調度自動化系統的信息安全管理，防范黑客及惡意代碼等對調度自動化系統的攻擊和侵害，切實保障電力監控系統的網絡安全，生產控制大區應當逐步推廣內網安全監視功能，實時監測電力監控系統的計算機、網絡及安全設備運行狀態，及時發現非法外聯、外部入侵等安全事件并告警。本文探討了火力發電廠網絡安全監測裝置的部署策略，以保障調度自動化系統的穩定可靠運行。

1 監測裝置采集對象

火力發電廠網絡安全監測裝置監測信息對象為涉網部分的火電廠電力監控系統，覆蓋主機設備、網絡設備、通用及專用安防設備，具體包括：火力發電廠計算機監控系統（NCS）、遠動裝置、電量計費采集裝置、同步向量測量裝置（PMU）、故障錄波器、保護及故障信息子站等。

1.1 監測對象采集方式

（1）服務器及工作站

在服務器、工作站上部署網絡安全監測代理程序，將采集的網絡安全信息發送至網絡安全監測裝置，對服務器及工作站的用戶登錄、操作信息、運行狀態、移動存儲設備接入、網絡外聯等事件信息進行監視。

（2）網絡設備

網絡設備的采集方式可有以下三種：通過SNMP協議主動從交換機獲取所需信息；通過SNMP TRAP協議被動接收交換機事件信息；通過日志協議（syslog）采集交換機信息，對用戶登錄、操作信息、配置變更、流量信息、網口狀態、MAC地址綁定關系等信息進行監視。

（3）安全防護設備

通過裝置自身日志協議將數據傳至監測裝置，對用戶登錄、配置變更、運行狀態、安全事件等信息進行監視。

1.2 監測裝置型式

網絡安全監測裝置Ⅰ型監測對象包括調度主站主機、數據庫、內網交換機及安防設備等。網絡安全監測裝置Ⅱ型監測變電站站控層及發電廠涉網生產控制大區的主機設備、網絡設備和安全防護設備。

《國家電網公司關于加快推進電力監控系統網絡安全管理平臺建設的通知》（國家電網調〔2017〕1084號）文件明確指出：“在變電站、并網電廠電力監控系統的安全Ⅱ區（或Ⅰ區）部署Ⅱ型網絡安全監測裝置，實現對網絡安全事件的監視與管理?！?/p>

2 探針配置

2.1 主機探針配置

主機類資產若與網絡安全監測裝置進行通信，需要在主機上安裝探針軟件（Agent），用來監測并上傳主機的USB、端口、外部網絡連接等信息。目前探針程序已兼容Windows、Linux、Unix版本。

使用工具將探針軟件安裝包上傳到主機電腦，輸入命令執行探針安裝腳本。以南京南瑞繼保電氣有限公司生產的PCS-9895BⅡ型裝置為例說明，探針程序安裝成功后運行./PCS-9895D_UI_GW_release.sh，輸入用戶名及密碼登錄主界面針對一些常用的參數進行配置。

圖1 主機探針配置界面1

圖2 主機探針配置界面2

圖1和圖2為主機探針配置界面。主界面中可以對操作事件、網絡外聯事件、開放非法端口事件、網口UP/DOWN事件及關鍵文件變更等進行詳細配置。

2.2 網關機（遠動）探針配置

網關機探針配置方法和主機探針配置方法相同，探針程序部署成功后運行./PCS-9895D_UI_GW_release_independent.sh，輸入用戶名及密碼登錄主界面進行參數配置，建議現場互為主備的兩臺網關機探針配置保持相同。

2.3 交換機探針配置

現場中若交換機型號或程序版本老舊，不支持接入網絡安全監測裝置時，需對程序進行升級或更換滿足要求的交換機?，F場通常有多臺交換機需要接入網絡安全監測裝置，可以考慮將第一臺交換機配置好，并完成信號測試后，將其配置文件略加修改，傳輸到其他同型號同版本交換機中，提高工作效率。以南京南瑞繼保電氣有限公司生產的PCS-9882AD交換機為例說明，設置好調試筆記本本地IP地址，利用IE瀏覽器登錄交換機默認IP地址192.169.0.82，輸入用戶名及密碼。圖3為交換機配置界面。

圖3 交換機配置界面

3 網絡安全監測裝置部署方案

國調網絡安全處按照“監測對象自身感知、網絡安全監測裝置分布采集、網絡安全管理平臺統一管控”的原則，構建了一個電力監控系統網絡安全管理體系，如圖4所示。

圖4 電力監控系統網絡安全管理體系

廠站如果只有安全Ⅰ區，則只需在安全Ⅰ區部署一臺網絡安全監測裝置；若有安全Ⅰ區、Ⅱ區，且兩個區通過防火墻相連，則在安全Ⅱ區部署一臺網絡安全監測裝置即可；若有安全Ⅰ區、Ⅱ區，且兩個區通過單向隔離裝置相連接，則需在安全Ⅰ區、Ⅱ區各部署一臺網絡安全監測裝置；若有安全Ⅰ區、Ⅱ區，且兩個區相互獨立沒有連接，則需在安全Ⅰ區、Ⅱ區各部署一臺網絡安全監測裝置。

以某火力發電廠電力監控系統網絡安全監測裝置部署實施方案為例，其部署拓撲圖如圖5所示，接入業務包括計算機監控系統（NCS 5臺SCADA主機）、遠動裝置、電量計費采集裝置、同步向量測量裝置（PMU）、故障錄波器及網絡交換機。網絡安全監測裝置為南京南瑞繼保電氣有限公司生產的PCS-9895BⅡ型裝置。

圖5 某火力發電廠電力監控系統網絡安全監測裝置部署拓撲圖

火力發電廠接入的設備數量與類型比較多，對于如PMU工作站、煙氣終端等孤網設備（只涉及調度數據網，不涉站控層）可通過擴展網卡的方式與網絡安全監測裝置直接連接，從而采集其安全事件，如不支持擴展網卡，則可通過調度數據網交換機實現與監測裝置互通，采集其安全事件。

由于縱向加密認證裝置已經由調度主站的網絡安全管理系統進行了監測，故網絡安全監測裝置不需要對縱向加密認證裝置進行安全事件的采集與監測。

部署在Ⅰ區的網絡安全監測裝置通過以太網口連接到電廠內網交換機上，實現對廠站內遠動裝置、NCS系統SCADA服務器及內網交換機的安全信息采集；對于PMU工作站利用PMU交換機通過以太網口與網絡安全監測裝置相連，實現安全事件的采集。部署在Ⅱ區的網絡安全監測裝置通過以太網口連接到電廠內電量計費服務器及通過以太網口連接到故障錄波器交換機上，實現對其安全信息的采集工作。

另外火力發電廠還可根據本廠電力監控系統結構確定是否選用本地擴展功能。

圖6 本地功能擴展拓

圖6所示為本地功能擴展拓撲圖。服務器用來存儲網絡安全監測裝置采集到的監視對象的運行信息、操作信息及告警信息，實現安全監視、安全告警、安全分析以及安全審計功能。人機工作站用來展示本地網絡安全信息，用于本地監視。

4 調試

南京南瑞繼保電氣有限公司生產的PCS-9895B廠站安全監測裝置可以實現對電力二次系統主機設備、網絡設備和安全防護設備運行狀況的實時監視，對安全事件進行集中采集、實時告警和分析，并將站端信息通過調度數據網向安全監管平臺主站上傳，為電力二次系統安全審計評估提供可靠的信息來源和有效的分析手段。

對探針的調試主要是在主機側開啟相關功能后觸發相關事件，然后在網絡安全監測裝置的告警窗口中查看。主要事件觸發方式包括如下：登錄成功、操作輸入信息、操作回顯信息、退出登錄、USB接入/拔出、網口UP/DOWN、用戶權限變更、關鍵文件/目錄變更、網口流量超過閾值、非法外聯、MAC地址綁定關系、修改用戶密碼等等。如圖7所示為網絡安全監測裝置登錄首頁面，圖8為觸發事件詳細告警頁面。

網口UP/DOWN：在開啟功能情況下，插拔一下網線即可觸發，注意不要插拔與調度數據網相連接的網線。

圖7 網絡安全監測裝置登錄首頁面

圖8 網絡安全監測裝置告警頁面

非法外聯：在啟用網絡外聯事件監測情況下，配置一下白名單，如果使用觸發上送，則找一個不在白名單的IP，連接一下裝了探針的機器即可，如果使用周期上送，不在白名單的連接時間超過一個周期即可上報。

5 結束語

監測現場作業操作行為，能夠及時發現并處置網絡安全風險及事件，為全面營造清朗有序安全的電力監控系統網絡空間奠定了基礎，保障了電力系統的安全穩定運行。

[1]張燕，張劍.論我國電力系統及其自動化發展現狀及趨勢[J].山東工業技術，2016．

[2]高小芊，羅超.電力監控系統網絡安全監測裝置功能及實施[J].通訊世界，2019.

[3]王菊.發電廠調度自動化系統二次防護探討[J].數字技術與應用，2012.

[4]張瑤瑤，胡斌，路天峰，等.調度自動化系統及數據網絡的安全防護研究[J].工程技術研究，2019.