亭子口電站網絡安全監測系統及其應用

陳武軍

(嘉陵江亭子口水利水電開發有限公司，四川蒼溪，628400)

1 引言

嘉陵江亭子口水利樞紐位于四川省廣元市蒼溪縣境內，嘉陵江干流的中游上段，是嘉陵江干流開發建設中唯一的骨干控制性工程，電站裝機容量4×275MW。電力監控系統分為生產控制大區和管理信息大區，生產控制大區劃分為安全Ⅰ區(控制區)、安全Ⅱ區(非控制區)；管理信息大區劃分為安全Ⅲ區(生產管理區)、安全Ⅳ區(管理信息區)。近年來，相繼發生網絡攻擊導致烏克蘭大面積停電事件、以色列電力局遭受網絡攻事件等，電力系統已成為國際網絡戰的重要攻擊目標，電力監控系統安全防護承受巨大壓力。亭子口電站在電力監控系統的安全Ⅰ區、Ⅱ區部署PCS-9895B網絡安全監測系統，實現對網絡安全事件的監視與管理。本文對該電站網絡安全監測系統的結構、功能、運行情況進行簡要介紹。

2 系統的結構和功能

PCS-9895B網絡安全監測系統對亭子口電站電力監控系統安全I區和Ⅱ區主機設備、網絡設備和安全防護設備運行狀況的數據采集和實時監視，對安全事件進行就地的集中展現、實時告警和量化分析[1]，并將站端信息通過調度數據網向四川省調安全監管平臺主站上傳，同時通過服務代理方式實現了主站對站內裝置的管理和維護。

2.1 系統結構

亭子口電站網絡安全監測系統由網絡安全監測裝置、交換機、后臺PC機和系統軟件組成。在安全Ⅰ、Ⅱ區各部署一臺Ⅱ型網絡安全監測裝置，通過Agent探針軟件采集亭子口電站生產控制大區服務器、工作站的安全事件，網絡設備和安防設備分別通過SNMP協議和日志協議接入Ⅱ型網絡安全監測裝置。系統結構如圖1所示。

圖1 系統結構

2.2 系統功能

2.2.1 數據采集

采集服務器、工作站設備用戶登錄、操作信息、運行狀態、移動存儲設備接入及網絡外聯等事件信息；采集交換機的用戶登錄、操作信息、配置變更、流量信息、網口狀態等事件信息；采集站內安全防護裝置的用戶登錄、配置變更、運行狀態、安全事件等事件信息；采集數據庫的操作信息、運行狀態等事件信息；采集觸發性事件信息、周期性上送的狀態類信息[2]。

2.2.2 數據處理

以分鐘級統計周期，對重復出現的事件進行歸納處理；根據參數配置，對采集到的CPU利用率、內存使用率、網口流量、用戶登錄失敗等信息進行分析處理，根據處理結果決定是否形成新的上報事件；對網絡設備日志信息進行分析處理，提取出需要的事件信息；形成外設接入事件、用戶登錄事件、危險操作事件、狀態異常事件等上傳事件。

2.2.3 審計日志

對系統重要安全事件，包括用戶和權限的增刪改、配置變化、用戶登錄和退出等系統級事件及業務數據增刪改等業務級事件進行審計；對審計數據的查詢、排序、分類、分析統計；對審計記錄進行分析并能形成審計報表功能。

2.2.4 通信功能

與服務器、工作站設備通信，采用自定義TCP協議進行通信，實現對服務器、工作站等設備的信息采集與命令控制，報文格式包括報文頭、報文體和報文尾三部分。與網絡設備通信，通過SNMP協議主動從交換機獲取所需信息；通過SNMPTRAP協議被動接收交換機事件信息；采用SNMP、SNMPTRAPV3版本與交換機進行通信；通過日志協議采集交換機信息。與安全防護設備通信，通過GB/T31992協議采集信息。

2.2.5 主子站管理

將告警信息上傳至四川省調安全監管平臺；遠程調閱采集信息、上傳事件等數據信息，根據時間段、設備類型、事件等級、事件記錄個數等綜合過濾條件遠程調閱數據信息；對被監測系統內的資產進行遠程管理，包括資產信息的添加、刪除、修改、查看等；參數配置的遠程管理，包括系統參數、通信參數及事件處理參數；通過代理方式實現對服務器、工作站等設備基線核查功能的調用；通過代理方式實現對服務器、工作站等設備主動斷網命令的調用；通過代理方式實現對服務器、工作站等設備的關鍵文件清單、危險操作定義值、周期性事件上報周期等參數的添加、刪除、修改、查看；通過網絡安全管理平臺對網絡安全監測裝置程序進行遠程升級。

3 系統運行情況

PCS-9895B網絡安全監測系統是南瑞繼保公司針對亭子口電站生產控制大區特點和網絡安全需要，設計的新一代網絡安全監測系統。實時監測電力監控系統的服務器、網絡及安全設備運行狀態，及時發現非法外聯、外部入侵等安全事件并告警。技術人員通過對告警信息實時分析，及時采取措施，避免出現安全信息無人關注，無人處理情況，實現電力監控系統網絡安全閉環管理，全面提高電站電力監控系統網絡安全防護整體水平，為亭子口電站和電網電力監控系統安全、穩定運行提供了堅強的保護屏障。