網絡安全態勢感知系統在火力發電廠的應用

摘 要：隨著信息技術的發展以及電力行業對信息化的需求越來越大，電力監控系統的網絡不斷擴大，網絡安全形勢日益嚴峻，鑒于此，在火力發電廠加裝了網絡安全態勢感知裝置，其能夠對電力監控系統的網絡數據進行提取、分析及預測，實現全天候、全方位網絡安全態勢感知，確保電力監控網絡安全穩定運行。

關鍵詞：二次安全防護;網絡安全;態勢感知

0? ? 引言

從電力監控網絡安全建設來看，漏洞管理、系統加固、安全區劃分、防火墻、加密認證裝置等措施，在一定程度上反映了網絡安全狀態，并且在安全防護上也取得了一定的成果，但這些都是被動防御措施，難以適應當前網絡安全形勢的需要。在進一步提升安全運營水平的同時，有必要積極開展主動防御能力的建設，采用更加積極的對抗措施來應對各種網絡安全問題。應用網絡安全態勢感知技術，能夠全面、動態分析和預測網絡安全問題，感知網絡攻擊行為，提升主動防御能力。

1? ? 電力監控網絡安全防護介紹

1.1? ? 電力監控網絡安全防護的目標和原則

電力監控系統安全防護主要針對網絡系統和基于網絡的生產控制系統。要建立健全電網電力監控系統安全防護體系，在統一的安全策略下保護重要系統免受黑客、病毒、惡意代碼等的侵害，特別是能夠抵御來自外部有組織的團體、擁有豐富資源的威脅源發起的惡意攻擊，能夠減輕嚴重自然災害造成的損害，并能在系統遭到損害后迅速恢復主要功能，防止電力監控系統的安全事件引發或導致電力一次系統事故或大面積停電事故。安全防護的基本原則為“安全分區、網絡專用、橫向隔離、縱向認證”。安全防護的核心能力是“保護、檢測、響應、恢復、審計”的閉環機制。電力監控系統安全防護是一項系統工程，其總體安全防護水平取決于系統中最薄弱點的安全水平。

1.2? ? 電力監控網絡安全態勢感知系統

網絡安全態勢感知是基于網絡環境動態、整體地洞悉安全風險，以安全大數據為基礎，全面提升對安全威脅的識別、分析、處置能力的一種方式。面對網絡空間安全形勢所帶來的挑戰，在強大的信息和數據分析平臺的支持下，使用網絡安全態勢感知技術，能夠全面了解當前網絡安全狀態，預測其發展趨勢并做出有效的規劃和響應。

電力監控網絡態勢感知系統主要由網絡安全態勢感知主站系統和采集裝置組成。主站系統是指部署在各級調控中心，具備網絡安全實時監視、日志審計、預測分析等功能的應用系統;采集裝置是指部署在各級調控中心、各級發電廠、變電站電力監控系統局域網網絡內部，對主站或廠站電力監控系統網絡安全數據進行采集、分析、處理并與主站系統通信的裝置。采集裝置和主站系統通過現有的數據網進行通信。

2? ? 網絡安全態勢感知系統在火力發電廠的實施

2.1? ? 工程介紹

某電廠一期工程安裝2臺330 MW機組，2臺發電機組經升壓變壓器接入220 kV系統，有3回220 kV出線。根據南方電網公司《關于印發2018年南方電網電力監控系統網絡安全態勢感知系統建設工作方案的通知》（南方電網系統〔2018〕7號）的要求，在該火力發電廠加裝態勢感知裝置。

2.2? ? 電力監控網絡安全防護的現狀

目前該火力發電廠的網絡劃分為生產控制大區（安全Ⅰ區、Ⅱ區）、信息管理大區（安全Ⅲ區），二次安全防護設備結合數據網雙平面實施，配置縱向加密認證裝置、防火墻、互聯交換機等設備。在生產控制大區邊界部署入侵檢測系統（IDS），實現對各個業務系統與橫向、縱向網絡邊界的入侵檢測。在生產控制大區部署日志審計設備，對各種網絡設備運行日志、操作系統運行日志、數據庫訪問日志、業務應用系統運行日志、安全防護設備運行日志和告警信息等進行集中收集、分析、審計和告警處理。

2.3? ? 電力監控網絡安全態勢感知裝置的應用

電力監控系統網絡安全態勢感知平臺在電廠安全區Ⅰ、安全區Ⅲ中分別部署獨立的網絡安全態勢感知裝置（圖1）。本工程新增的2臺ZH-NSS-3000S網絡安全態勢感知裝置為廣州兆和電力技術有限公司產品，分別采集處理本區域內的網絡流量、日志數據、資產數據等，安全區Ⅱ不需要部署獨立的網絡安全態勢感知裝置，安全區Ⅱ內的所有數據通過橫向防火墻發送至安全區Ⅰ中的網絡安全態勢感知裝置進行采集處理。態勢感知裝置通過電廠網絡安全數據的接入采集，并與電力監控系統主站平臺聯動，最終實現電廠內電力監控系統設備信息的采集、分析、處置，達到電廠電力監控系統網絡安全問題可發現、可控制、可溯源的目的。

本工程需要采集網絡安全數據的對象有電廠監控系統工作站、遠動機、保護信息子站、故障錄波、安穩系統、PMU、保護裝置、測控裝置、交換機、路由器、防火墻、加密認證裝置、入侵檢測系統、運維審計系統、病毒系統等設備。采集方式包括主動采集和被動采集，支持基于TCP/IP的SNMP、Agent、ICMP、SSH、SNMP Trap、Syslog等通信協議。采集被監視設備的日志信息和通信流信息，主要包括設備的IP/MAC、操作系統等;設備的CPU利用率、內存利用率、磁盤利用率、流量大小等;設備的人為登錄操作、配置/文件變更、外設接入、網口狀態變更、異常訪問、異常流量等;設備網絡原始數據流、通信對、可疑文件等。

態勢感知裝置進行網絡掃描，統計全廠在線IP資產，當有新設備接入或網絡結構變化時，能快速感知。態勢感知裝置具備端口掃描功能，通過平臺端下發對應設備的掃描，裝置能夠實時掃描指定設備執行端口，及時發現高危端口并通知處理，降低廠端設備資產的脆弱性，從而提高整體網絡安全可靠性。采用端口鏡像的方式采集廠內交換機的流量數據，并實現網絡流量的網絡安全分析，支持將流量原始數據上送至主站。態勢感知裝置在事件告警生成后實時主動上送至主站，事件告警信息包含安全事件、人員操作、設備故障和運行異常等。

3? ? 工程設計中的要點

收到設計任務后準備收資清單到現場勘查。收集需要接入的網絡和設備相關資料，如各設備的廠家、型號及接口，重點核實需要接入的交換機等設備是否有備用以太網接口以及CONSOLE接口。確定網絡態勢感知裝置的安裝位置。本工程有2臺網絡態勢感知終端，高度為2U的標準19英寸機箱，安裝在網控室二次安全防護屏備用位置。網絡態勢感知裝置要求采用雙路獨立電源供電，可以從直流系統兩段對應的饋線屏各引一路電源，也可從兩套交流不間斷電源引接電源。網絡態勢感知裝置有失電信號硬接點輸出，該信號接至公用測控裝置，需要核實公用測控裝置是否有足夠的備用信號開入點。收集網控室屏位布置圖，用于統計和計算工程所需的電纜、通信線的長度。

4? ? 結語

該火力發電廠部署了網絡安全態勢感知裝置，并與電力監控網絡安全態勢感知主站通信，通過網絡安全測評后投入使用，能夠及時發現各類網絡安全風險以及非法訪問事件，實現對電力監控系統網絡安全的態勢感知及預警，提高電力監控網絡安全整體水平，為電廠安全穩定運行提供技術保障。

[參考文獻]

[1] 郭杰華.大型水電站電力監控系統網絡安全態勢感知系統應用與研究[J].科技創新與應用，2019（35）：163-164.

[2] 宗和剛，張朝粵.水電廠網絡安全態勢感知系統的實現[J].水電站機電技術，2019，42（9）：13-16.

[3] 杜嘉薇，周穎，郭榮華，等.網絡安全態勢感知：提取、理解和預測[M].北京：機械工業出版社，2019.

收稿日期：2020-03-31

作者簡介：林益波（1976—），男，廣東揭陽人，工程師，主要從事電力設計工作。