湯 超

（國網(wǎng)寧夏電力有限公司石嘴山供電公司，寧夏石嘴山753000）

0 引言

國家電網(wǎng)有限公司2019年重點(diǎn)工作部署中明確指出要構(gòu)建與“三型兩網(wǎng)”建設(shè)相適應(yīng)的網(wǎng)絡(luò)安全防控體系。為了確保電力監(jiān)控系統(tǒng)業(yè)務(wù)穩(wěn)定、快速、安全、高效率地傳輸，防止其遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，國家電網(wǎng)必須要加強(qiáng)網(wǎng)絡(luò)安全防護(hù)工作。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視體系的建設(shè)背景

2015年12月，烏克蘭電力系統(tǒng)發(fā)生網(wǎng)絡(luò)黑客攻擊事件，導(dǎo)致伊萬諾-弗蘭科夫斯克地區(qū)發(fā)生大面積停電；2017年5月，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區(qū)，影響領(lǐng)域包括政府部門、醫(yī)療服務(wù)、公共交通、郵政、通信和汽車制造業(yè)；2019年3月，委內(nèi)瑞拉電力系統(tǒng)遭遇網(wǎng)絡(luò)攻擊，造成包括委內(nèi)瑞拉首都加拉斯加在內(nèi)的23個州中約有22個州出現(xiàn)電力供應(yīng)中斷。種種教訓(xùn)告訴我們，電力作為重要基礎(chǔ)設(shè)施領(lǐng)域，已被不少國家視為“網(wǎng)絡(luò)戰(zhàn)”首選攻擊目標(biāo)，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全形勢異常嚴(yán)峻，建設(shè)網(wǎng)絡(luò)安全防護(hù)體系，有效抵御網(wǎng)絡(luò)黑客攻擊，加強(qiáng)網(wǎng)絡(luò)空間的安全監(jiān)管已日趨緊迫。

2 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視體系的建設(shè)

2018年以前，國網(wǎng)石嘴山供電公司全部變電站均為無人值守運(yùn)行管理模式，原有的視頻監(jiān)控系統(tǒng)僅作為遠(yuǎn)方監(jiān)視以及設(shè)備巡視的輔助手段，暫時實(shí)現(xiàn)了對變電站相關(guān)環(huán)節(jié)的遠(yuǎn)程監(jiān)視，但是手段較為單一，對于網(wǎng)絡(luò)行為監(jiān)測、分析和審計(jì)設(shè)備接入、網(wǎng)絡(luò)訪問、用戶登錄、人員操作等事件仍無法更加精準(zhǔn)地監(jiān)視，無法達(dá)到“軟硬監(jiān)視”全覆蓋，存在網(wǎng)絡(luò)安全監(jiān)視盲區(qū)，同時，網(wǎng)絡(luò)安全監(jiān)視在管理上并未形成專業(yè)聯(lián)動機(jī)制，無相關(guān)制度支撐，故急需一套完整的管理手段來加強(qiáng)管控。綜合種種，石嘴山供電公司專業(yè)管理人員認(rèn)真思考、總結(jié)，擬從網(wǎng)絡(luò)安全監(jiān)測裝置部署、專業(yè)聯(lián)動機(jī)制建立、專業(yè)運(yùn)維隊(duì)伍建設(shè)3個方面建立網(wǎng)絡(luò)安全監(jiān)視體系，以全面實(shí)現(xiàn)電力監(jiān)控系統(tǒng)的“軟硬”監(jiān)管。

2.1 建立變電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測體系

2.1.1 變電站側(cè)部署網(wǎng)絡(luò)安全監(jiān)測裝置

網(wǎng)絡(luò)安全監(jiān)測裝置是指部署在變電站站控層或并網(wǎng)電廠的電力監(jiān)控系統(tǒng)，用于采集變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備的安全事件，并轉(zhuǎn)發(fā)至調(diào)度端網(wǎng)絡(luò)安全管理平臺的數(shù)據(jù)網(wǎng)關(guān)機(jī)。

現(xiàn)階段，變電站網(wǎng)絡(luò)拓?fù)浯篌w可以分為安全I(xiàn)、II區(qū)通過防火墻互聯(lián)，安全I(xiàn)、II區(qū)無防火墻連接及無安全I(xiàn)I區(qū)三大類。第一類僅需部署1臺設(shè)備于安全I(xiàn)I區(qū)，第二類則需在安全I(xiàn)區(qū)和安全I(xiàn)I區(qū)各部署1臺設(shè)備，第三類則需在安全I(xiàn)區(qū)布置1臺設(shè)備。目前應(yīng)用較為廣泛的是第一類，即部署1臺II型網(wǎng)絡(luò)安全監(jiān)測裝置于II區(qū)，接入雙路不間斷電源、GPS對時信號，并將裝置自身告警信息接入測控裝置并通過遠(yuǎn)動裝置上送調(diào)度端。

2.1.2 變電站網(wǎng)絡(luò)安全監(jiān)測設(shè)備的信息接入

變電站網(wǎng)絡(luò)安全監(jiān)測裝置需采集三類設(shè)備信息，分別為主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備：

（1）主機(jī)設(shè)備采集。主機(jī)設(shè)備采集原則上包含了變電站內(nèi)所有類型的主機(jī)，如變電站后臺監(jiān)控系統(tǒng)主機(jī)、保護(hù)信息子站工作站、故障錄波器主機(jī)等，考慮到業(yè)務(wù)的可靠運(yùn)行，一般采用相應(yīng)廠商開發(fā)的探針程序（agent），采集操作系統(tǒng)自身感知的安全信息，再通過TCP/IP協(xié)議，發(fā)送至網(wǎng)絡(luò)安全監(jiān)測裝置，并由網(wǎng)絡(luò)安全監(jiān)測裝置作為服務(wù)端，監(jiān)聽來自主機(jī)設(shè)備的連接請求。

（2）網(wǎng)絡(luò)設(shè)備采集。網(wǎng)絡(luò)設(shè)備采集主要指站控層及間隔層交換機(jī)的信息采集，網(wǎng)絡(luò)安全監(jiān)測裝置通過SNMP協(xié)議采集交換機(jī)的安全信息，交換機(jī)產(chǎn)生告警事件后，通過SNMP TRAP協(xié)議向網(wǎng)絡(luò)安全監(jiān)測裝置發(fā)送事件信息，如網(wǎng)口的UP和DOWN、內(nèi)存使用情況及告警信息等。

（3）安全防護(hù)設(shè)備采集。安全防護(hù)設(shè)備采集主要指變電站內(nèi)防火墻設(shè)備、正反向隔離裝置等，安全防護(hù)設(shè)備通過SYSLOG日志格式將數(shù)據(jù)傳送到網(wǎng)絡(luò)安全監(jiān)測裝置，如果日志格式不符合規(guī)范要求，則需要對設(shè)備進(jìn)行升級，提供標(biāo)準(zhǔn)日志或由廠家提供動態(tài)解析庫，部署到網(wǎng)絡(luò)安全監(jiān)測裝置上，對原始日志進(jìn)行解析方可準(zhǔn)確上送。針對應(yīng)采集的設(shè)備，如無法通過軟件升級方式支持或不具備硬件條件，則需要進(jìn)行整體更換。

2.1.3 同調(diào)度端網(wǎng)絡(luò)安全管理平臺聯(lián)調(diào)

現(xiàn)場應(yīng)采集的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備軟硬件部署完畢后，則需要完成站內(nèi)網(wǎng)絡(luò)安全監(jiān)測裝置與調(diào)度端網(wǎng)絡(luò)安全管理平臺間的聯(lián)調(diào)工作，驗(yàn)證本地安全事件的采集、監(jiān)視告警以及安全核查等功能，確保本地重要告警事件能夠被準(zhǔn)確及時地上報到上級調(diào)度單位。

調(diào)度端則需要對廠站側(cè)接入的監(jiān)測裝置進(jìn)行相應(yīng)的驗(yàn)收測試，以保障現(xiàn)場設(shè)施功能竣工驗(yàn)收的完整性。驗(yàn)收內(nèi)容應(yīng)包括危險命令測試、裝置自身告警信息上送等。

2.1.4 規(guī)范網(wǎng)絡(luò)安全體系白名單

以工業(yè)控制系統(tǒng)安全為視角，針對工控系統(tǒng)對可靠性、穩(wěn)定性、業(yè)務(wù)連續(xù)性的嚴(yán)格要求，工控系統(tǒng)軟件和設(shè)備更新的頻率，以及通信和數(shù)據(jù)的特點(diǎn)，提出了建立工控系統(tǒng)安全生產(chǎn)與運(yùn)行的“軟件應(yīng)用白名單”概念：（1）只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；（2）只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；（3）只有可信任的軟件，才允許被執(zhí)行。

變電站具有主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備及安全防護(hù)設(shè)備眾多，服務(wù)及端口數(shù)量大，通信網(wǎng)絡(luò)拓?fù)鋸?fù)雜等特點(diǎn)，為確保網(wǎng)絡(luò)事件準(zhǔn)確上報，需對網(wǎng)絡(luò)安全監(jiān)測裝置白名單進(jìn)行細(xì)化，按照在用設(shè)備地址及端口清單對所有配置進(jìn)行核查和整改，嚴(yán)格落實(shí)“最小化”原則。

2.2 延伸安全監(jiān)測維度，拓展多部門聯(lián)動機(jī)制

2.2.1 源頭精準(zhǔn)監(jiān)控，部門快速反應(yīng)

充分利用調(diào)度自動化網(wǎng)絡(luò)安全管理平臺對各站網(wǎng)絡(luò)安全監(jiān)測裝置上送的網(wǎng)絡(luò)安全事件及遠(yuǎn)動系統(tǒng)異常信息進(jìn)行精準(zhǔn)監(jiān)控，由調(diào)度自動化班專業(yè)人員進(jìn)行技術(shù)篩選，并通過網(wǎng)絡(luò)安全值班及調(diào)度監(jiān)控人員及時通知運(yùn)維檢修部相關(guān)負(fù)責(zé)人進(jìn)行處置。變電運(yùn)維室負(fù)責(zé)對站內(nèi)設(shè)備外觀及運(yùn)行環(huán)境進(jìn)行檢查，為后續(xù)其他專業(yè)檢查判斷提供第一手資料，變電檢修室、二次檢修室負(fù)責(zé)對站內(nèi)運(yùn)行的一、二次設(shè)備內(nèi)部配置及專業(yè)管理內(nèi)容進(jìn)行檢查，信通分公司負(fù)責(zé)對站內(nèi)傳輸通道運(yùn)行情況進(jìn)行檢查。

2.2.2 視頻監(jiān)控系統(tǒng)聯(lián)動，全面定位網(wǎng)絡(luò)事件

充分利用變電站視頻監(jiān)控系統(tǒng)的實(shí)時及歷史瀏覽功能，結(jié)合網(wǎng)絡(luò)安全事件信息，對全站運(yùn)行環(huán)境進(jìn)行全面判斷。多角度、立體式檢查事件發(fā)生前后人員進(jìn)出情況。利用安裝在變電站各個角度的攝像機(jī)對生產(chǎn)設(shè)備和環(huán)境安全進(jìn)行監(jiān)控，并將監(jiān)視目標(biāo)的動態(tài)圖像傳輸?shù)奖O(jiān)控中心，監(jiān)控中心可以對攝像機(jī)進(jìn)行控制和錄像。監(jiān)控中心、變電站運(yùn)行維護(hù)人員通過視頻監(jiān)控主機(jī)即可對變電站監(jiān)控范圍的目標(biāo)區(qū)域中設(shè)備或現(xiàn)場進(jìn)行監(jiān)視，同時可以通過主機(jī)對鏡頭進(jìn)行控制，包括左右、上下、聚焦、變焦、畫面切換等動作。根據(jù)授權(quán)，監(jiān)控人員可以調(diào)用歷史錄像進(jìn)行查看，從而對發(fā)生的網(wǎng)絡(luò)安全事件進(jìn)行有效監(jiān)視。

2.3 建設(shè)網(wǎng)絡(luò)安全運(yùn)維隊(duì)伍，提升人員技能等級

為了有效防范網(wǎng)絡(luò)滲透攻擊，國家電網(wǎng)需要進(jìn)一步提升運(yùn)維人員技術(shù)水平，抽調(diào)二次檢修室、變電檢修室、變電運(yùn)維室、信通分公司骨干力量，組建網(wǎng)絡(luò)安全運(yùn)維隊(duì)伍，通過開展安全防護(hù)培訓(xùn)和模擬網(wǎng)絡(luò)滲透攻擊，在充分發(fā)揮各專業(yè)優(yōu)勢、發(fā)現(xiàn)轄區(qū)內(nèi)各站網(wǎng)絡(luò)安全薄弱環(huán)節(jié)的同時，持續(xù)提升隊(duì)伍人員技能等級。

3 結(jié)語

電力監(jiān)控系統(tǒng)安全防護(hù)是電力安全生產(chǎn)管理體系的有機(jī)組成部分，無論是變電站監(jiān)控系統(tǒng)，還是新興的泛在電力物聯(lián)網(wǎng)，每一個環(huán)節(jié)都需要網(wǎng)絡(luò)安全這道鎖進(jìn)行管控。石嘴山供電公司所建立的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視體系在近兩年的工作中得到了充分實(shí)踐。其具有較完整、嚴(yán)謹(jǐn)、清晰的管理實(shí)施思路、框架和過程，既能應(yīng)用于國家電網(wǎng)有限公司內(nèi)部，如各電壓等級變電站、配網(wǎng)系統(tǒng)，又能廣泛應(yīng)用于其他企業(yè)或公司，具有普遍適用性和推廣價值。