網(wǎng)絡安全監(jiān)測裝置在抽水蓄能電站的應用

王晶晶，李世昌，楊敬沫

（1.河北張河灣蓄能發(fā)電有限責任公司，河北 石家莊 050300；2.國網(wǎng)新源控股有限公司檢修分公司，北京 100068）

1 引言

近些年來，互聯(lián)網(wǎng)信息技術迅猛發(fā)展，電力系統(tǒng)的自動化、智能化技術得到了更加深入的發(fā)展，為了保障電力通信網(wǎng)絡能夠安全、穩(wěn)定運行，采用“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”防護模式，完成電力監(jiān)控系統(tǒng)內部的信息交流和資源共享，但是在電力監(jiān)控系統(tǒng)逐漸成為一個整體的過程中，網(wǎng)絡信息安全問題也日益凸顯，部署網(wǎng)絡安全監(jiān)測裝置顯得尤為重要。張河灣電站監(jiān)控系統(tǒng)上位機改造期間，部署一臺Ⅱ型網(wǎng)絡安全監(jiān)測裝置于電力監(jiān)控系統(tǒng)局域網(wǎng)內，具備實時采集、監(jiān)視、告警、審計和核查功能，監(jiān)測接入設備的不安全信息，為網(wǎng)絡安全管理平臺上傳事件，并同步上送調度網(wǎng)絡安全監(jiān)測平臺，避免一系列的安全問題出現(xiàn)，確保電力系統(tǒng)網(wǎng)絡安全。

2 電力監(jiān)控系統(tǒng)結構與安全威脅

2.1 電力監(jiān)控系統(tǒng)結構

河北張河灣抽水蓄能電站使用SSJ-3000型水電廠計算機監(jiān)控系統(tǒng)，由站控層和現(xiàn)地控制層等設備組成。站控層為全分布開放系統(tǒng)結構，包括2套冗余實時數(shù)據(jù)服務器、2套冗余歷史服務器、4套冗余操作員工作站（其中2臺操作員站部署于站外）、1套工程師站、2套調度通信工作站、1套廠內通信工作站、1套語音報警服務器、1套GPS時鐘同步裝置等。現(xiàn)地控制層以雙以太環(huán)網(wǎng)為核心，實現(xiàn)各現(xiàn)地控制單元功能分散，10套現(xiàn)地控制單元脫離系統(tǒng)可正常工作。

2.2 電力監(jiān)控系統(tǒng)的安全威脅

當前站內電力監(jiān)控系統(tǒng)的整體結構較為封閉，各個業(yè)務之間的關聯(lián)性強，而且在外部網(wǎng)絡連接方面的權限控制非常嚴格，但是僅使用物理方式對網(wǎng)絡邊界進行隔離，不能有效解決外部網(wǎng)絡的信息傳輸問題，隨著電力監(jiān)控系統(tǒng)與主站之間的信息交互日益密切，使得不同網(wǎng)絡間的業(yè)務數(shù)據(jù)逐漸融合，不同系統(tǒng)中的數(shù)據(jù)傳輸越發(fā)頻繁。電力監(jiān)控系統(tǒng)在應用層中主要的威脅包含：拒絕服務攻擊、會話劫持、非授權訪問、網(wǎng)頁篡改，以及木馬病毒和惡意代碼等。網(wǎng)絡中存在的主要威脅有：對等網(wǎng)絡占用帶寬、信息竊聽、破壞數(shù)據(jù)完整性等，對于網(wǎng)絡威脅要通過相應的管理手段進行解決。

3 網(wǎng)絡安全監(jiān)測裝置

3.1 監(jiān)測對象

在張河灣電站中，安全監(jiān)測裝置部署在生產(chǎn)控制Ⅰ區(qū)，主要的監(jiān)測對象有：交換機、操作員站、服務器、廠內通信機、遠動機、防火墻等。系統(tǒng)按照設備自身感知、監(jiān)測裝置分布采集、管理平臺統(tǒng)一管控的原則，加強對這些對象設備的監(jiān)測，對系統(tǒng)的穩(wěn)定運行有著非常重要的作用和意義。

3.2 平臺架構

在安全Ⅰ/Ⅱ區(qū)之間，通過防火墻進行相應連接或斷開點的設置，在其中設置物理隔離層，規(guī)定由安全Ⅰ區(qū)向安全Ⅱ區(qū)的啟動方向為正。在安全Ⅰ區(qū)部署網(wǎng)絡安全管理平臺，接收并轉發(fā)來自廠站的網(wǎng)絡安全事件，網(wǎng)絡安全監(jiān)測裝置與站內主交換機進行通信，并經(jīng)實時交換機、縱向加密裝置將安全事件轉發(fā)至調度側主站；在安全Ⅱ區(qū)部署網(wǎng)絡安全管理平臺，經(jīng)防火墻接收Ⅰ區(qū)采集的安全事件信息，實現(xiàn)對網(wǎng)絡安全事件的實時監(jiān)視、集中分析和統(tǒng)一審查，上送告警信息。其網(wǎng)絡拓撲如圖2所示。

圖2 網(wǎng)絡安全監(jiān)測裝置拓撲圖

3.3 事件采集

網(wǎng)絡安全監(jiān)測裝置支持對服務器、工作站、網(wǎng)絡設備、安全防護設備等監(jiān)測對象進行事件采集，采集內容包括：

（1）主機設備：包括主機設備操作系統(tǒng)層面所有的用戶登錄、操作信息、外設設備（鍵盤、鼠標以及所有移動存儲設備）接入信息及網(wǎng)絡外聯(lián)等安全事件信息。

（2）網(wǎng)絡設備：交換機相關配置變更、流量信息、網(wǎng)口狀態(tài)、CPU 利用率、內存利用率、網(wǎng)絡連接情況等安全事件信息。

（3）安防設備：設備運行狀態(tài)、自身策略的安全事件、策略變更及設備異常信息。

3.4 數(shù)據(jù)分析

在電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)測裝置運行的過程中，對監(jiān)視過程數(shù)據(jù)進行分析，包括：

（1）對采集到的CPU利用率、內存使用率、網(wǎng)口流量突變、設備硬件狀態(tài)等信息進行分析處理，根據(jù)告警等級上報事件。

（2）對網(wǎng)絡設備日志信息、關鍵文件變更、用戶權限變更進行安全性分析處理，將異常事件信息上報。

（3）安全分析事件重復上報可對告警進行定時歸并，安全事件可按時間、等級等篩選，便于報警信息查看。

3.5 通信功能

主機設備通過部署Agent的方式進行采集，讀取主機硬件配置、外部連接監(jiān)視及運行狀態(tài)等；網(wǎng)絡設備依托自身安全策略配置，通過設備支持的Snmp和Snmp Trap協(xié)議方式進行安全事件上送；安防設備自主感知安全事件，通過設備自身安全策略、配置信息實現(xiàn)安全事件感知，通過Syslog報文方式主動上報至網(wǎng)絡安全監(jiān)測裝置。

3.6 運維管理

網(wǎng)絡安全監(jiān)測裝置具有本地管理功能，通過安全監(jiān)測管理機登錄進行設備資產(chǎn)及告警信息管理。通過配置多級管理用戶，對裝置安全策略修改的不同權限分級管理，實現(xiàn)安全運維。①資產(chǎn)管理：包括對資產(chǎn)的錄入、修改及刪除，資產(chǎn)信息的補充完善等。②規(guī)則管理：根據(jù)資產(chǎn)類別服務器、網(wǎng)絡設備、隔離設備，進行告警規(guī)則設定，對相關告警設定事件級別、是否上傳。③網(wǎng)絡管理：增加或取消接入設備時，修改相應網(wǎng)口的IP地址等信息。現(xiàn)場運維要加強告警信息的巡視，及時對采集事件、上傳事件進行查看，發(fā)現(xiàn)資產(chǎn)設備主網(wǎng)口掉線、登錄退出、危險操作等不安全事件。

4 總結

電力監(jiān)控系統(tǒng)安全監(jiān)測裝置的應用全面提升了張河灣電站電力監(jiān)控系統(tǒng)二次安全防護水平，提高了檢測并抵御各種常見網(wǎng)絡攻擊的能力及抵御滲透攻擊的能力，為電力二次系統(tǒng)安全審計評估提供可靠信息來源和有效的分析手段，對廠內網(wǎng)絡行為安全分析具有積極效果。