王晶晶，李世昌，楊敬沫

（1.河北張河灣蓄能發(fā)電有限責(zé)任公司，河北 石家莊 050300；2.國網(wǎng)新源控股有限公司檢修分公司，北京 100068）

1 引言

近些年來，互聯(lián)網(wǎng)信息技術(shù)迅猛發(fā)展，電力系統(tǒng)的自動(dòng)化、智能化技術(shù)得到了更加深入的發(fā)展，為了保障電力通信網(wǎng)絡(luò)能夠安全、穩(wěn)定運(yùn)行，采用“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”防護(hù)模式，完成電力監(jiān)控系統(tǒng)內(nèi)部的信息交流和資源共享，但是在電力監(jiān)控系統(tǒng)逐漸成為一個(gè)整體的過程中，網(wǎng)絡(luò)信息安全問題也日益凸顯，部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置顯得尤為重要。張河灣電站監(jiān)控系統(tǒng)上位機(jī)改造期間，部署一臺(tái)Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置于電力監(jiān)控系統(tǒng)局域網(wǎng)內(nèi)，具備實(shí)時(shí)采集、監(jiān)視、告警、審計(jì)和核查功能，監(jiān)測(cè)接入設(shè)備的不安全信息，為網(wǎng)絡(luò)安全管理平臺(tái)上傳事件，并同步上送調(diào)度網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，避免一系列的安全問題出現(xiàn)，確保電力系統(tǒng)網(wǎng)絡(luò)安全。

2 電力監(jiān)控系統(tǒng)結(jié)構(gòu)與安全威脅

2.1 電力監(jiān)控系統(tǒng)結(jié)構(gòu)

河北張河灣抽水蓄能電站使用SSJ-3000型水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)，由站控層和現(xiàn)地控制層等設(shè)備組成。站控層為全分布開放系統(tǒng)結(jié)構(gòu)，包括2套冗余實(shí)時(shí)數(shù)據(jù)服務(wù)器、2套冗余歷史服務(wù)器、4套冗余操作員工作站（其中2臺(tái)操作員站部署于站外）、1套工程師站、2套調(diào)度通信工作站、1套廠內(nèi)通信工作站、1套語音報(bào)警服務(wù)器、1套GPS時(shí)鐘同步裝置等?，F(xiàn)地控制層以雙以太環(huán)網(wǎng)為核心，實(shí)現(xiàn)各現(xiàn)地控制單元功能分散，10套現(xiàn)地控制單元脫離系統(tǒng)可正常工作。

2.2 電力監(jiān)控系統(tǒng)的安全威脅

當(dāng)前站內(nèi)電力監(jiān)控系統(tǒng)的整體結(jié)構(gòu)較為封閉，各個(gè)業(yè)務(wù)之間的關(guān)聯(lián)性強(qiáng)，而且在外部網(wǎng)絡(luò)連接方面的權(quán)限控制非常嚴(yán)格，但是僅使用物理方式對(duì)網(wǎng)絡(luò)邊界進(jìn)行隔離，不能有效解決外部網(wǎng)絡(luò)的信息傳輸問題，隨著電力監(jiān)控系統(tǒng)與主站之間的信息交互日益密切，使得不同網(wǎng)絡(luò)間的業(yè)務(wù)數(shù)據(jù)逐漸融合，不同系統(tǒng)中的數(shù)據(jù)傳輸越發(fā)頻繁。電力監(jiān)控系統(tǒng)在應(yīng)用層中主要的威脅包含：拒絕服務(wù)攻擊、會(huì)話劫持、非授權(quán)訪問、網(wǎng)頁篡改，以及木馬病毒和惡意代碼等。網(wǎng)絡(luò)中存在的主要威脅有：對(duì)等網(wǎng)絡(luò)占用帶寬、信息竊聽、破壞數(shù)據(jù)完整性等，對(duì)于網(wǎng)絡(luò)威脅要通過相應(yīng)的管理手段進(jìn)行解決。

3 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置

3.1 監(jiān)測(cè)對(duì)象

在張河灣電站中，安全監(jiān)測(cè)裝置部署在生產(chǎn)控制Ⅰ區(qū)，主要的監(jiān)測(cè)對(duì)象有：交換機(jī)、操作員站、服務(wù)器、廠內(nèi)通信機(jī)、遠(yuǎn)動(dòng)機(jī)、防火墻等。系統(tǒng)按照設(shè)備自身感知、監(jiān)測(cè)裝置分布采集、管理平臺(tái)統(tǒng)一管控的原則，加強(qiáng)對(duì)這些對(duì)象設(shè)備的監(jiān)測(cè)，對(duì)系統(tǒng)的穩(wěn)定運(yùn)行有著非常重要的作用和意義。

3.2 平臺(tái)架構(gòu)

在安全Ⅰ/Ⅱ區(qū)之間，通過防火墻進(jìn)行相應(yīng)連接或斷開點(diǎn)的設(shè)置，在其中設(shè)置物理隔離層，規(guī)定由安全Ⅰ區(qū)向安全Ⅱ區(qū)的啟動(dòng)方向?yàn)檎?。在安全Ⅰ區(qū)部署網(wǎng)絡(luò)安全管理平臺(tái)，接收并轉(zhuǎn)發(fā)來自廠站的網(wǎng)絡(luò)安全事件，網(wǎng)絡(luò)安全監(jiān)測(cè)裝置與站內(nèi)主交換機(jī)進(jìn)行通信，并經(jīng)實(shí)時(shí)交換機(jī)、縱向加密裝置將安全事件轉(zhuǎn)發(fā)至調(diào)度側(cè)主站；在安全Ⅱ區(qū)部署網(wǎng)絡(luò)安全管理平臺(tái)，經(jīng)防火墻接收Ⅰ區(qū)采集的安全事件信息，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的實(shí)時(shí)監(jiān)視、集中分析和統(tǒng)一審查，上送告警信息。其網(wǎng)絡(luò)拓?fù)淙鐖D2所示。

圖2 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置拓?fù)鋱D

3.3 事件采集

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置支持對(duì)服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備等監(jiān)測(cè)對(duì)象進(jìn)行事件采集，采集內(nèi)容包括：

（1）主機(jī)設(shè)備：包括主機(jī)設(shè)備操作系統(tǒng)層面所有的用戶登錄、操作信息、外設(shè)設(shè)備（鍵盤、鼠標(biāo)以及所有移動(dòng)存儲(chǔ)設(shè)備）接入信息及網(wǎng)絡(luò)外聯(lián)等安全事件信息。

（2）網(wǎng)絡(luò)設(shè)備：交換機(jī)相關(guān)配置變更、流量信息、網(wǎng)口狀態(tài)、CPU 利用率、內(nèi)存利用率、網(wǎng)絡(luò)連接情況等安全事件信息。

（3）安防設(shè)備：設(shè)備運(yùn)行狀態(tài)、自身策略的安全事件、策略變更及設(shè)備異常信息。

3.4 數(shù)據(jù)分析

在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置運(yùn)行的過程中，對(duì)監(jiān)視過程數(shù)據(jù)進(jìn)行分析，包括：

（1）對(duì)采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口流量突變、設(shè)備硬件狀態(tài)等信息進(jìn)行分析處理，根據(jù)告警等級(jí)上報(bào)事件。

（2）對(duì)網(wǎng)絡(luò)設(shè)備日志信息、關(guān)鍵文件變更、用戶權(quán)限變更進(jìn)行安全性分析處理，將異常事件信息上報(bào)。

（3）安全分析事件重復(fù)上報(bào)可對(duì)告警進(jìn)行定時(shí)歸并，安全事件可按時(shí)間、等級(jí)等篩選，便于報(bào)警信息查看。

3.5 通信功能

主機(jī)設(shè)備通過部署Agent的方式進(jìn)行采集，讀取主機(jī)硬件配置、外部連接監(jiān)視及運(yùn)行狀態(tài)等；網(wǎng)絡(luò)設(shè)備依托自身安全策略配置，通過設(shè)備支持的Snmp和Snmp Trap協(xié)議方式進(jìn)行安全事件上送；安防設(shè)備自主感知安全事件，通過設(shè)備自身安全策略、配置信息實(shí)現(xiàn)安全事件感知，通過Syslog報(bào)文方式主動(dòng)上報(bào)至網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。

3.6 運(yùn)維管理

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置具有本地管理功能，通過安全監(jiān)測(cè)管理機(jī)登錄進(jìn)行設(shè)備資產(chǎn)及告警信息管理。通過配置多級(jí)管理用戶，對(duì)裝置安全策略修改的不同權(quán)限分級(jí)管理，實(shí)現(xiàn)安全運(yùn)維。①資產(chǎn)管理：包括對(duì)資產(chǎn)的錄入、修改及刪除，資產(chǎn)信息的補(bǔ)充完善等。②規(guī)則管理：根據(jù)資產(chǎn)類別服務(wù)器、網(wǎng)絡(luò)設(shè)備、隔離設(shè)備，進(jìn)行告警規(guī)則設(shè)定，對(duì)相關(guān)告警設(shè)定事件級(jí)別、是否上傳。③網(wǎng)絡(luò)管理：增加或取消接入設(shè)備時(shí)，修改相應(yīng)網(wǎng)口的IP地址等信息?，F(xiàn)場(chǎng)運(yùn)維要加強(qiáng)告警信息的巡視，及時(shí)對(duì)采集事件、上傳事件進(jìn)行查看，發(fā)現(xiàn)資產(chǎn)設(shè)備主網(wǎng)口掉線、登錄退出、危險(xiǎn)操作等不安全事件。

4 總結(jié)

電力監(jiān)控系統(tǒng)安全監(jiān)測(cè)裝置的應(yīng)用全面提升了張河灣電站電力監(jiān)控系統(tǒng)二次安全防護(hù)水平，提高了檢測(cè)并抵御各種常見網(wǎng)絡(luò)攻擊的能力及抵御滲透攻擊的能力，為電力二次系統(tǒng)安全審計(jì)評(píng)估提供可靠信息來源和有效的分析手段，對(duì)廠內(nèi)網(wǎng)絡(luò)行為安全分析具有積極效果。