鄭鐵軍，丁旭元，尹 亮

電力信息及通信技術(shù)

電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺建設(shè)

鄭鐵軍1，丁旭元2，尹 亮3

隨著電力企業(yè)二次系統(tǒng)安全防護要求的不斷提高，各供電企業(yè)在自動化系統(tǒng)主站、變電站安全邊界部署了大量防火墻、隔離裝置、縱向加密裝置等安全防護設(shè)備，很大程度上提高了二次安全防護的水平。但安全防護設(shè)備均分布在自動化主站及變電站、新能源廠站等地，運維人員在檢查信息的安全狀況時，只能到安全防護設(shè)備的安裝現(xiàn)場通過設(shè)備管理軟件查看設(shè)備的日志文件，其過程十分繁瑣且工作效率低，無法實時了解自動化信息［1］的安全情況。所以各供電企業(yè)急需一種對各安全防護設(shè)備實時監(jiān)控和統(tǒng)計的手段，直觀地發(fā)現(xiàn)系統(tǒng)非法地址訪問、非法外聯(lián)及防護設(shè)備硬件運行狀況的遠程集中管控平臺，以便運維人員了解自動化系統(tǒng)信息安全運行情況，提高二次防護系統(tǒng)的管控能力。

1 現(xiàn)狀分析及需要解決的問題

1.1 現(xiàn)狀分析

傳統(tǒng)的電力信息安全排查工作是通過運維人員到變電站現(xiàn)場對安全防護設(shè)備逐個進行登錄并導(dǎo)出日志文件進行分析，通過日志文件的解析，判斷信息事件的發(fā)生，其效率較低，工作量大，容易遺漏安全信息事件。往往信息安全隱患已經(jīng)存在很長時間了，運維人員還沒有發(fā)現(xiàn)，造成安全事件的發(fā)生。隨著信息網(wǎng)絡(luò)安全的要求不斷提高，電力系統(tǒng)急需建設(shè)一個二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)，對安全防護設(shè)備［2］日志文件進行采集，分析，實現(xiàn)遠程管控、監(jiān)視，及時發(fā)現(xiàn)信息安全告警事件，提高現(xiàn)場安全信息排查工作的效率。

1.2 需要解決的問題

電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)（以下簡稱監(jiān)視平臺系統(tǒng)）建設(shè)需要解決以下問題：

（1）監(jiān)視平臺系統(tǒng)采集網(wǎng)絡(luò)不能影響現(xiàn)有的電力數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，解決變電站安全防護設(shè)備日志實時監(jiān)視及數(shù)據(jù)通道的經(jīng)濟性問題。

（2）監(jiān)視平臺系統(tǒng)要與不同廠商的防護設(shè)備運行日志文件兼容，監(jiān)視平臺應(yīng)有豐富的展現(xiàn)模塊，包括信息告警窗，設(shè)備在線工況圖、密通率數(shù)據(jù)顯示窗等，解決運維人員實時掌握電網(wǎng)信息安全情況的問題。

（3）監(jiān)視平臺系統(tǒng)的采集結(jié)構(gòu)不能違反“網(wǎng)絡(luò)專用、安全分區(qū)、橫向隔離、縱向認證”［3］的二次安全防護的要求。

2 電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)的建設(shè)

電力自動化信息業(yè)務(wù)分為實時業(yè)務(wù)［4］和非實時業(yè)務(wù)2類。為平衡安全I區(qū)和安全II區(qū)［6］的信息數(shù)據(jù)流，防止因數(shù)據(jù)業(yè)務(wù)較大時造成的系統(tǒng)內(nèi)存占有率較高，影響系統(tǒng)運行，應(yīng)將監(jiān)視平臺服務(wù)器接入至非實時區(qū)。自動化網(wǎng)絡(luò)在結(jié)構(gòu)上分為廣域網(wǎng)和局域網(wǎng)，廣域網(wǎng)是指地調(diào)接入網(wǎng)絡(luò)；局域網(wǎng)特指調(diào)度自動化主站系統(tǒng)的局域網(wǎng)絡(luò)［5］。監(jiān)視平臺系統(tǒng)應(yīng)能實現(xiàn)對廣域網(wǎng)和局域網(wǎng)內(nèi)的安全防護設(shè)備安全日志進行采集、分析，實現(xiàn)對整體自動化信息網(wǎng)絡(luò)的安全監(jiān)視。

2.1 系統(tǒng)結(jié)構(gòu)及傳輸通道

監(jiān)視平臺系統(tǒng)結(jié)構(gòu)框圖如圖1所示。各變電站實時、非實時縱向加密裝置的日志文件經(jīng)站端路由器通過地調(diào)接入數(shù)據(jù)網(wǎng)上傳至主站端的地調(diào)核心路由器，地調(diào)核心路由器將采集的日志文件發(fā)送至二平面路由器中，二平面路由器將各變電站非實時縱向加密裝置的日志文件通過主站非實時縱向加密裝置、二平面非實時交換機上傳至非實時數(shù)據(jù)日志采集模塊，最后上傳至監(jiān)視平臺服務(wù)器進行解析。同時二平面路由器也將各變電站的實時縱向加密裝置的日志文件經(jīng)主站實時縱向加密裝置、二平面實時交換機上傳至實時數(shù)據(jù)日志采集模塊，實時數(shù)據(jù)日志采集模塊經(jīng)防火墻將實時縱向加密裝置的日志文件發(fā)送至非實時數(shù)據(jù)日志采集模后傳送至監(jiān)視平臺服務(wù)器進行解析。局域網(wǎng)內(nèi)的安全防護設(shè)備日志文件直接上傳至實時數(shù)據(jù)日志采集模塊，經(jīng)防火墻發(fā)送至非實時數(shù)據(jù)日志采集模塊后再上傳至監(jiān)視平臺服務(wù)器進行解析。這樣就實現(xiàn)了廣域網(wǎng)和局域網(wǎng)安全防護設(shè)備的日志采集。監(jiān)視平臺系統(tǒng)后臺機讀取監(jiān)視平臺服務(wù)器數(shù)據(jù)實現(xiàn)安全防護設(shè)備可視化的實時監(jiān)視。

圖1 電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)結(jié)構(gòu)

2.2 日志采集

2.2.1 廣域網(wǎng)日志采集

在廣域網(wǎng)中，業(yè)務(wù)傳輸過程如圖2所示。變電站內(nèi)實時、非實時業(yè)務(wù)數(shù)據(jù)流經(jīng)實時、非實時縱向加密裝置匯聚至變電站端數(shù)據(jù)網(wǎng)路由器后通過地調(diào)接入數(shù)據(jù)網(wǎng)絡(luò)發(fā)送至主站核心路由器，業(yè)務(wù)數(shù)據(jù)按照“安全分區(qū)”的要求經(jīng)二平面路由器傳送至實時、非實時縱向加密裝置分別進入實時、非實時采集模塊后匯入到監(jiān)視平臺服務(wù)器進行分析、處理。所以在廣域網(wǎng)中，對變電站端縱向加密裝置的安全日志采集、分析也就是對廣域網(wǎng)的安全信息監(jiān)視。其過程是在廣域網(wǎng)中的各變電站縱向加密裝置上設(shè)置監(jiān)視平臺系統(tǒng)的管理中心（采集服務(wù)器）地址，導(dǎo)入管理中心數(shù)字證書［7］。建立變電站縱向加密裝置與主站縱向加密裝置的密文隧道，并配置相關(guān)的安全策略，通過syslog（日志）方式將變電站縱向加密裝置日志信息傳輸至監(jiān)視平臺服務(wù)器進行解析，實現(xiàn)平臺系統(tǒng)允許符合安全策略的IP地址通過，攔截非規(guī)劃范圍的IP地址并發(fā)出報警的功能。

圖2 廣域網(wǎng)日志數(shù)據(jù)采集拓撲結(jié)構(gòu)

2.2.2 局域網(wǎng)數(shù)據(jù)日志采集

局域網(wǎng)日志采集是對主站系統(tǒng)中所有關(guān)鍵服務(wù)器、二次安全防護設(shè)備例如防火墻、正反向隔離裝置［8］、入侵檢測裝置（IDS）［9］等通過Agent代理方式將設(shè)備日志轉(zhuǎn)換為符合電力系統(tǒng)標準格式的日志后，傳輸至監(jiān)視平臺服務(wù)器并對日志文件進行解析，實現(xiàn)對各防護設(shè)備的運行情況及數(shù)據(jù)訪問情況的監(jiān)視。

實現(xiàn)過程是在相應(yīng)安全防護設(shè)備上設(shè)置監(jiān)視平臺系統(tǒng)的管理中心地址（日志采集服務(wù)器地址），配置相關(guān)安全策略、端口號、相應(yīng)服務(wù)協(xié)議等，有效限制非規(guī)劃IP的訪問，當有不符合安全策略的IP地址訪問時，監(jiān)視平臺會實時發(fā)送告警。

圖3 局域網(wǎng)日志采集拓撲結(jié)構(gòu)

連接拓撲結(jié)構(gòu)如圖3所示。調(diào)度自動化系統(tǒng)中所有安全I區(qū)防護設(shè)備如防病毒系統(tǒng)、正反向隔離裝置、調(diào)度自動化系統(tǒng)關(guān)鍵服務(wù)器等與系統(tǒng)主干實時交換機連接，防護設(shè)備的運行日志通過主干交換機傳輸至監(jiān)視平臺實時采集模塊中，實時采集服務(wù)器通過I/II區(qū)防火墻與非實時采集模塊連接并將采集的日志文件傳輸至監(jiān)視平臺服務(wù)器進行解析、處理。

2.3 數(shù)據(jù)處理

如圖4所示，監(jiān)視平臺系統(tǒng)在數(shù)據(jù)處理結(jié)構(gòu)上分為數(shù)據(jù)采集層、數(shù)據(jù)處理分析層和數(shù)據(jù)展現(xiàn)層，在數(shù)據(jù)采集層主要是通過syslog、采集agent日志代理方式將廣域網(wǎng)、局域網(wǎng)的安全防護設(shè)備日志信息采集至監(jiān)視平臺系統(tǒng)的數(shù)據(jù)處理分析層中，因安全防護設(shè)備廠商眾多，設(shè)備日志格式也存在差異，所以監(jiān)視平臺系統(tǒng)進行數(shù)據(jù)處理前需先要對日志的格式進行標準化轉(zhuǎn)換，然后再進行日志數(shù)據(jù)的分析、處理。日志格式的轉(zhuǎn)換是通過平臺系統(tǒng)中的日志代理模塊進行的，該模塊提供開放的日志標準接口規(guī)范，不同安全防護設(shè)備廠商可按照日志接口規(guī)范要求，向代理程序提供動態(tài)鏈接庫，實現(xiàn)采集日志數(shù)據(jù)格式的統(tǒng)一。監(jiān)視平臺系統(tǒng)再通過對日志信息進行分析、處理用于建立防護設(shè)備的資產(chǎn)庫，生成相應(yīng)報表、邏輯計算、告警判斷等。在數(shù)據(jù)展現(xiàn)層，通過人機界面系統(tǒng)的資產(chǎn)管理、指標分析、歷史查詢、告警窗、報表統(tǒng)計、系統(tǒng)設(shè)置等模塊實現(xiàn)對安全防護設(shè)備的監(jiān)視、管理等功能，讓運維人員直觀，高效地看到安全防護設(shè)備的告警信息和電網(wǎng)整體的信息安全情況。

圖4 電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺數(shù)據(jù)處理

3 效果評價

電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺在寧東電網(wǎng)投入試運行后取得如下效果：

（1）平臺采用現(xiàn)有調(diào)度數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)，大大降低了傳輸通道的建設(shè)成本，并且實現(xiàn)了安全防護設(shè)備的日志實時監(jiān)控功能，保證安全防護設(shè)備接入率100%，安全防護設(shè)備在線率由69%，提升至100%。

（2）采用日志代理方式采集不同廠商的安全防護設(shè)備日志文件，保證了日志采集數(shù)據(jù)的兼容性，為平臺分析、處理數(shù)據(jù)信息提供了強有力的基礎(chǔ)保障，自2016年1月至3月運行以來，通過對二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)的使用，安全信息月消缺率由原20%提高至90%，消除了包括現(xiàn)場安全設(shè)備配置不規(guī)范或未配置、IP未按規(guī)劃要求進行配置、安全策略不滿足要求、設(shè)備路由配置不規(guī)范等安全隱患。

（3）二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)的建設(shè)過程中采用分區(qū)密文采集方式，不僅滿足了“安全分區(qū)”的二次安全防護的要求，而且寧東廣域網(wǎng)密通率由45%提高至97%，主站密通率由54%提升至89%，有效提高了二次防護系統(tǒng)信息安全防御的管控能力。

4 結(jié)論

（1）電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺通過現(xiàn)有調(diào)度數(shù)據(jù)網(wǎng)絡(luò)作為日志傳輸通道，可高效的將廠站安全防護設(shè)備日志文件傳輸至平臺主站，實現(xiàn)了遠程管控，并且不需改變現(xiàn)有調(diào)度數(shù)據(jù)網(wǎng)的結(jié)構(gòu)，大大減少了廠站接入層的建設(shè)投資。

（2）電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)通過日志代理的方式可兼容不同廠商的安全防護設(shè)備日志文件，提高了二次防護系統(tǒng)對安全防護設(shè)備的兼容性。

（3）電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺系統(tǒng)的實時采集和非實時采集結(jié)構(gòu)可有效減少數(shù)據(jù)流，提高數(shù)據(jù)處理的速度，并且保證系統(tǒng)的“安全分區(qū)”要求。

［1］ 徐力.中山電力二次系統(tǒng)安全防護的應(yīng)用研究[D].廣州：華南理工大學，2011：23-31.

［2］ 王保義.基于安全網(wǎng)關(guān)的電力二次系統(tǒng)安全防護[J].電力系統(tǒng)通信，2008，20（12）：11-14.

［3］ 李延瑾，楊淑英，任有剛.電網(wǎng)調(diào)度系統(tǒng)二次安全防護的策略分析[J].現(xiàn)代企業(yè)教育，2012（11）：246.

［4］ 蔡洋，王積榮.電網(wǎng)調(diào)度自動化系統(tǒng)的應(yīng)用與發(fā)展[J].中國電力.2012，24（02）：4.

［5］ 周瑾.論電網(wǎng)調(diào)度自動化二次系統(tǒng)的安全防護[J].北京電力高等?？茖W校學報：自然科學版，2011，28（11）：186-186.

［6］ 藏琦，鄒蒨，郭娟莉等，電網(wǎng)調(diào)度自動化二次系統(tǒng)安全防護實踐[J].電子設(shè)計工程，2011,19(20):47-49.

［7］ 袁琳，高夏生，趙天虹.電力調(diào)度內(nèi)網(wǎng)安全監(jiān)控平臺建設(shè)[J].電信科學，2014，30（1）：199-201.

［8］ 胡燕，辛耀中，韓穎異.二次系統(tǒng)安全體系結(jié)構(gòu)化設(shè)計方案[J].電力系統(tǒng)自動化，2003，27（21）：123-125.

［9］ 秦朝，張濤，林偉民.基于數(shù)字證書認證的電力安全撥號認證系統(tǒng)[J].電力系統(tǒng)自動化，2009，33（10）：99-101.

（1.國網(wǎng)寧東供電公司，寧夏，寧東，750411；2.國網(wǎng)寧夏培訓(xùn)中心，寧夏，銀川，750011；3.國網(wǎng)寧夏電力公司電力科學研究院，寧夏，銀川，750011）

針對電力企業(yè)二次系統(tǒng)安全防護存在的問題，對其現(xiàn)狀進行分析，采用數(shù)據(jù)分析及采集技術(shù)開發(fā)了電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺，并成功應(yīng)用于寧東電網(wǎng)。應(yīng)用結(jié)果表明：電力企業(yè)二次系統(tǒng)安全防護監(jiān)視平臺提高了二次防護系統(tǒng)對安全防護設(shè)備的兼容性，實現(xiàn)了安全防護設(shè)備實現(xiàn)了遠程實時監(jiān)控功能，由于不需改變現(xiàn)有調(diào)度數(shù)據(jù)網(wǎng)的結(jié)構(gòu)，大大減少了廠站接入層的建設(shè)投資，經(jīng)濟效益顯著。

二次系統(tǒng)；調(diào)度數(shù)據(jù)網(wǎng)；信息安全防護

The construction of the secondary power system safety protection monitoring platform for power enterprise

ZHENG Tiejun1,DING Xuyuan2,YIN Liang3
(1.Ningdong Power Supply Filiale of Stata Grid Ningxia Power Co.,Ningdong Ningxia 750411,China; 2.Training Center of State Grid Ningxia Power Co.,Yinchuan Ningxia 750001,China; 3.Power Research Institute of State Grid NingXia Power Co.,Yinchuan Ningxia 750001,China)

Aiming at the problem of existing in the secondary power system safety protection in power enterprise,analyzes status quo of the system,adopts data analysis and acquisition technology to develop the secondary power system safety protection monitoring platform for power enterprise,and successfully applied in Ningdong power grid.The application result shows that the secondary power system safety protection monitoring platform for power enterprise improves the compatibility of the secondary system for safety protection equipments,realizes remote control of safety protection equipments,needn’t change the structure of current dispatching data network,greatly reduces the construction investment of substation data access layer,the economic benefit is obvious.

secondary system;dispatching data network;information safety protection

TM645.2

A

1672-3643（2017）03-0051-04

10.3969/j.issn.1672-3643.2017.03.010

2017-03-18

鄭鐵軍（1984），男，工程師，工學碩士，從事電力系統(tǒng)自動化運維工作。

有效訪問地址：http://dx.doi.org/10.3969/j.issn.1672-3643.2017.03.010