淺析電力監控系統網絡安全監視體系建設

湯 超

（國網寧夏電力有限公司石嘴山供電公司，寧夏石嘴山753000）

0 引言

國家電網有限公司2019年重點工作部署中明確指出要構建與“三型兩網”建設相適應的網絡安全防控體系。為了確保電力監控系統業務穩定、快速、安全、高效率地傳輸，防止其遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，國家電網必須要加強網絡安全防護工作。

1 電力監控系統網絡安全監視體系的建設背景

2015年12月，烏克蘭電力系統發生網絡黑客攻擊事件，導致伊萬諾-弗蘭科夫斯克地區發生大面積停電；2017年5月，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區，影響領域包括政府部門、醫療服務、公共交通、郵政、通信和汽車制造業；2019年3月，委內瑞拉電力系統遭遇網絡攻擊，造成包括委內瑞拉首都加拉斯加在內的23個州中約有22個州出現電力供應中斷。種種教訓告訴我們，電力作為重要基礎設施領域，已被不少國家視為“網絡戰”首選攻擊目標，電力監控系統的網絡安全形勢異常嚴峻，建設網絡安全防護體系，有效抵御網絡黑客攻擊，加強網絡空間的安全監管已日趨緊迫。

2 電力監控系統網絡安全監視體系的建設

2018年以前，國網石嘴山供電公司全部變電站均為無人值守運行管理模式，原有的視頻監控系統僅作為遠方監視以及設備巡視的輔助手段，暫時實現了對變電站相關環節的遠程監視，但是手段較為單一，對于網絡行為監測、分析和審計設備接入、網絡訪問、用戶登錄、人員操作等事件仍無法更加精準地監視，無法達到“軟硬監視”全覆蓋，存在網絡安全監視盲區，同時，網絡安全監視在管理上并未形成專業聯動機制，無相關制度支撐，故急需一套完整的管理手段來加強管控。綜合種種，石嘴山供電公司專業管理人員認真思考、總結，擬從網絡安全監測裝置部署、專業聯動機制建立、專業運維隊伍建設3個方面建立網絡安全監視體系，以全面實現電力監控系統的“軟硬”監管。

2.1 建立變電站電力監控系統網絡安全監測體系

2.1.1 變電站側部署網絡安全監測裝置

網絡安全監測裝置是指部署在變電站站控層或并網電廠的電力監控系統，用于采集變電站站控層或發電廠涉網區域的服務器、工作站、網絡設備和安全防護設備的安全事件，并轉發至調度端網絡安全管理平臺的數據網關機。

現階段，變電站網絡拓撲大體可以分為安全I、II區通過防火墻互聯，安全I、II區無防火墻連接及無安全II區三大類。第一類僅需部署1臺設備于安全II區，第二類則需在安全I區和安全II區各部署1臺設備，第三類則需在安全I區布置1臺設備。目前應用較為廣泛的是第一類，即部署1臺II型網絡安全監測裝置于II區，接入雙路不間斷電源、GPS對時信號，并將裝置自身告警信息接入測控裝置并通過遠動裝置上送調度端。

2.1.2 變電站網絡安全監測設備的信息接入

變電站網絡安全監測裝置需采集三類設備信息，分別為主機設備、網絡設備和安全防護設備：

（1）主機設備采集。主機設備采集原則上包含了變電站內所有類型的主機，如變電站后臺監控系統主機、保護信息子站工作站、故障錄波器主機等，考慮到業務的可靠運行，一般采用相應廠商開發的探針程序（agent），采集操作系統自身感知的安全信息，再通過TCP/IP協議，發送至網絡安全監測裝置，并由網絡安全監測裝置作為服務端，監聽來自主機設備的連接請求。

（2）網絡設備采集。網絡設備采集主要指站控層及間隔層交換機的信息采集，網絡安全監測裝置通過SNMP協議采集交換機的安全信息，交換機產生告警事件后，通過SNMP TRAP協議向網絡安全監測裝置發送事件信息，如網口的UP和DOWN、內存使用情況及告警信息等。

（3）安全防護設備采集。安全防護設備采集主要指變電站內防火墻設備、正反向隔離裝置等，安全防護設備通過SYSLOG日志格式將數據傳送到網絡安全監測裝置，如果日志格式不符合規范要求，則需要對設備進行升級，提供標準日志或由廠家提供動態解析庫，部署到網絡安全監測裝置上，對原始日志進行解析方可準確上送。針對應采集的設備，如無法通過軟件升級方式支持或不具備硬件條件，則需要進行整體更換。

2.1.3 同調度端網絡安全管理平臺聯調

現場應采集的主機設備、網絡設備和安全防護設備軟硬件部署完畢后，則需要完成站內網絡安全監測裝置與調度端網絡安全管理平臺間的聯調工作，驗證本地安全事件的采集、監視告警以及安全核查等功能，確保本地重要告警事件能夠被準確及時地上報到上級調度單位。

調度端則需要對廠站側接入的監測裝置進行相應的驗收測試，以保障現場設施功能竣工驗收的完整性。驗收內容應包括危險命令測試、裝置自身告警信息上送等。

2.1.4 規范網絡安全體系白名單

以工業控制系統安全為視角，針對工控系統對可靠性、穩定性、業務連續性的嚴格要求，工控系統軟件和設備更新的頻率，以及通信和數據的特點，提出了建立工控系統安全生產與運行的“軟件應用白名單”概念：（1）只有可信任的設備，才能接入控制網絡；（2）只有可信任的消息，才能在網絡上傳輸；（3）只有可信任的軟件，才允許被執行。

變電站具有主機設備、網絡設備及安全防護設備眾多，服務及端口數量大，通信網絡拓撲復雜等特點，為確保網絡事件準確上報，需對網絡安全監測裝置白名單進行細化，按照在用設備地址及端口清單對所有配置進行核查和整改，嚴格落實“最小化”原則。

2.2 延伸安全監測維度，拓展多部門聯動機制

2.2.1 源頭精準監控，部門快速反應

充分利用調度自動化網絡安全管理平臺對各站網絡安全監測裝置上送的網絡安全事件及遠動系統異常信息進行精準監控，由調度自動化班專業人員進行技術篩選，并通過網絡安全值班及調度監控人員及時通知運維檢修部相關負責人進行處置。變電運維室負責對站內設備外觀及運行環境進行檢查，為后續其他專業檢查判斷提供第一手資料，變電檢修室、二次檢修室負責對站內運行的一、二次設備內部配置及專業管理內容進行檢查，信通分公司負責對站內傳輸通道運行情況進行檢查。

2.2.2 視頻監控系統聯動，全面定位網絡事件

充分利用變電站視頻監控系統的實時及歷史瀏覽功能，結合網絡安全事件信息，對全站運行環境進行全面判斷。多角度、立體式檢查事件發生前后人員進出情況。利用安裝在變電站各個角度的攝像機對生產設備和環境安全進行監控，并將監視目標的動態圖像傳輸到監控中心，監控中心可以對攝像機進行控制和錄像。監控中心、變電站運行維護人員通過視頻監控主機即可對變電站監控范圍的目標區域中設備或現場進行監視，同時可以通過主機對鏡頭進行控制，包括左右、上下、聚焦、變焦、畫面切換等動作。根據授權，監控人員可以調用歷史錄像進行查看，從而對發生的網絡安全事件進行有效監視。

2.3 建設網絡安全運維隊伍，提升人員技能等級

為了有效防范網絡滲透攻擊，國家電網需要進一步提升運維人員技術水平，抽調二次檢修室、變電檢修室、變電運維室、信通分公司骨干力量，組建網絡安全運維隊伍，通過開展安全防護培訓和模擬網絡滲透攻擊，在充分發揮各專業優勢、發現轄區內各站網絡安全薄弱環節的同時，持續提升隊伍人員技能等級。

3 結語

電力監控系統安全防護是電力安全生產管理體系的有機組成部分，無論是變電站監控系統，還是新興的泛在電力物聯網，每一個環節都需要網絡安全這道鎖進行管控。石嘴山供電公司所建立的電力監控系統網絡安全監視體系在近兩年的工作中得到了充分實踐。其具有較完整、嚴謹、清晰的管理實施思路、框架和過程，既能應用于國家電網有限公司內部，如各電壓等級變電站、配網系統，又能廣泛應用于其他企業或公司，具有普遍適用性和推廣價值。