EMS系统内非法节点接入检测技术的研究

雷霆王智勇程智韩文芝叶章文

（1.国网甘肃省电力公司平凉供电公司调度控制中心，甘肃平凉 744000；2.安徽继远电网技术有限责任公司，安徽合肥 230088）

EMS系统内非法节点接入检测技术的研究

雷霆1王智勇1程智1韩文芝2叶章文2

（1.国网甘肃省电力公司平凉供电公司调度控制中心，甘肃平凉 744000；2.安徽继远电网技术有限责任公司，安徽合肥 230088）

为适应电网发展的需求，符合国网公司“集团化运作、集约化发展、精益化管理、标准化建设”的要求，防止信息泄露事件的频频发生和日益凸显的网络安全问题，提出了EMS系统内的非法节点接入检测技术的研究。通过对EMS系统内非法节点接入检测技术进行研究，构建了可视化的EMS系统安全检测管控系统，并以甘肃省平凉供电公司为案例，分析了该系统在电网系统中的实际应用。

EMS系统 非法节点接入检测技术 可视化EMS系统安全检测管控系统

随着各大电力专业自动化系统应用的普及，网络系统的安全性、可靠性问题日益突出，已逐渐成为管理者、使用者所关注的焦点。有效的监测手段是实现科学管理的必要前提，其不但有利于优化网络资源配置，而且使管理人员能够实时掌握网络体系各个方面的运行状态和违规行为，对于网络系统的安全可靠运行具有重大的意义。

1 电网信息安全管理系统的现状及问题

近年来国家电网公司特别重视内网信息安全，逐步建立内网安全管理机制，增建网络安全防护设备，实行内外网隔离控制，加强内网设备的安全管控和外部存储设备的加密监测防护。通过上述信息安全防火措施的实行，切实减少了恶意病毒和木马攻击内网的次数，加强了公司内网的信息的安全，降低了公司机密泄密事件的发生。不过，现有的电网信息安全管理系统还是建立在实时监测、被动防御和加强人员安全意识的基础上，没有从根本上真正解决病毒或木马入侵的根源。主要存在的问题包括：历史数据存储容量不足，超出系统告警值；服务器、工作站配置低且严重老化；软件版本低，无PAS系统模块软件，系统接口兼容性差，高级应用功能实施困难；电力行业现有各应用系统一般都由大量的不同服务器和网络设备组成，均使用着不同的管理软件，所以无法集中管理各个应用系统；无法及时准确地掌握各应用系统的整体运行状态，无法及时快速发现应用系统可能存在的问题并快速地作出应对响应，也无法智能化地远程掌握各应用系统的运行情况。

2 研究EMS系统内非法节点接入检测技术的意义

EMS能量管理系统是现代电网调度自动化系统总称。EMS系统内非法节点接入检测技术包括节点身份的辨识、节点运行状态的获取、网络拓扑的计算、节点状态的比对分析和终端违规行为的检测，以网络节点整体和实时变化的检测为目标，包含了主动轮询和被动监听两种工作模型。该技术是通过信息通信手段，对网络进行探测，并将获得的数据与已经定义的合法节点进行模式匹配。如果有非法的节点接入到网络，就及时告警，并给出节点在内部网上的所有可能接入位置，通过数据采集及探测，最终进行定位，并做出处理。利用EMS系统内非法节点接入检测技术，就可以封锁公司内网所有设备的外网或外设存储设备的连接进出口，杜绝一切恶意病毒或木马攻击的所有端口出现，彻底解决由于人们的大意疏忽或网络黑客高手的高水平能力，而造成内网信息泄露或系统瘫痪的情况。

3 可视化EMS系统安全检测管控系统的构建

3.1 系统需求分析

主要包括调查用户需求、收集资料数据、现有系统分析，并对系统进行可行性分析。具体调研了电网公司调度自动化系统以及各关键业务软件系统的特点，统计相关数据，然后对比目前该方面国内外相关软件的研究情况，并参考金融、电信等行业IT运维管理现状，为下一步设计打下了坚实基础。

3.2 系统架构设计

系统设计主要包括系统目标和功能、子系统和模块的划分，开发工具、开发语言的选择等总体设计。可视化EMS系统安全检测功能总体架构包括数据采集、处理、加工、展现、管理等过程，为使系统架构清晰，按照模块化、松耦合、分层的设计思想。整个系统架构分为五个层次，依次是：监控资源层、数据采集层、数据处理层、界面展现层、用户层，其中数据采集层、数据处理层、界面展现层为整个系统的核心层次。

3.3 详细设计

详细设计主要包括：数据库设计、软件设计、代码设计、功能设计等。本系统使用业界领先的专业技术，选择JAVA、C作为开发语言，并使用T O MC A T作为W E B服务展示平台，数据库采用ORACLE数据库来存储数据，并结合通用的、可扩展的WEB技术，包括JavaScript、XML（可扩展标记语言）、SVG（可缩放矢量图形）、微软VML（矢量可标记语言）等语言进行系统开发。（1）设计数据库的表，包括监测对象表、监测对象类型表、监测对象运行状态表、监测对象信息、监测点采集信息记录、监测配置信息、监测实时信息表、监测点类型、监测点属性等，并建立它们之间的关联规则。（2）构建可视化EMS系统安全检测管控系统数据采集（agent）。数据采集层由ServerMonitorAgent模块组成，主要功能是ServerMonitorAgent模块按照采集策略，调度被监控对象上的Agent模块采集和监控本地的资源信息、运行状态信息及数据库相关信息，并由Server Monitor Agent模块中的事件检测引擎按相关事件规则对采集的数据进行初步分析，及时发现事件，发送给数据处理层。（3）构建可视化EMS系统安全检测管控系统数据处理（server）。数据处理层主要对采集或接收到的各种原始数据进行存储、原始事件进行标准化处理，并实现对性能数据的聚合、统计等处理工作，同时，数据处理层还提供资源管理、事件管理、告警管理、维护管理、动作管理等功能服务。（4）界面展现层（Brower）。主要是将告警信息以及所采集的数据以拓扑视图、图表、告警等方式展现给用户，并为用户提供各种管理功能界面。

3.4 系统功能

本系统对EMS系统网络体系的整体结构、具体节点的工作状态和接入状态、终端节点的违规行为进行有效检测，主要实现功能如下：实现网络节点身份的辨识，对设备节点工作状态的监测，对节点接入状态的监测，对终端节点行为是否违规的监测，对各类报警信息进行分析和处理，查看所监控的服务器和应用系统的运行状态，查看服务器中所部属的oracle、mysql等数据库的运行情况，满足对所有外联设备的网络封包的截获，对不同外联设备进行区分标示，查看监听某些系统的网络通断情况，查看网络中间传输设备的运行情况等。

3.5 系统技术分析

可视化EMS系统安全检测管控系统从最基础的物理层、数据链路层到设备层和应用层进行全方位的监控，确保系统网络和信息安全。（1）关键技术：本系统基于Internet技术、面向对象技术、数据库技术、JAVA技术，将SCADA、PAS、DTS、WAMS等集成于统一的支撑平台上；系统采用分布式、跨平台式设计，支持在多种操作系统上进行运行监测（如WINDOWS、LINUX、UNIX等）；系统基于IEC61850 和IEC101、104规约，支持与电能量计量系统、电力市场技术支持系统、OMS系统、综自等系统的互联互通；系统采用开放式分布应用环境和IEC61970标准及SVG的公共图形交换标准，利用UML的建模机制和CORBA分布式对象技术，实现数据的自动推送机制；（2）创新点：系统基于Winsock2 SPI网络封包截获技术，在现有的基础TCP/4 可视化EMS系统安全检测管控系统在电网系统中的应用

IP提供者上建立一个分层式的URL过滤管理者，通过URL过滤管理者截获用户请求HTTP数据包中的URL地址；基于高效的数据检索算法，在访问规则库中查找指定的IP，根据检索结果拒绝访问请求；通过可视化技术与可视化管理来监视、处理、应用系统资源；跨平台、通用性强，采集的范围满足几乎所有的目前主流平台；采集的信息具备导出/导入/转发等灵活的接口功能。

平凉供电公司调度自动化系统主站是2003年8月开始投运，2008 年12月对系统软件进行了改造升级。可视化EMS系统安全检测管控系统项目得到了平凉供电公司大力支持，该系统主要是软件平台，可以根据实际的环境进行灵活部署，与硬件关联性、要求不高，可以应用在EMS系统中，还可以应用于平凉供电公司的电能量系统、综自系统、调度管控等应用系统。系统实施阶段，进行了系统的安装部署和联调测试等工作，进行综合测试和系统完善优化。通过为期近1个月的系统运行测试，系统总体运行良好，达到设计研制目标。

本系统在平凉供电公司的EMS系统安全管控中起到了非常重要的作用，它整合不同系统、设备于同一平台，集中管理所有设备，实时采集各种信息，实时监视设备运行状态，实时阀值报警，在EMS系统安全管控过程中担负了各种角色功能，为运行维护管理部门提供了强有力的基础保障。该系统从2014年10月开始实施，截止目前该系统运行状态稳定，部署在公司信息机房中，发挥了重要的功能，保障了EMS系统内各应用系统的安全稳定运行。

5 结语

随着网络安全管理规范、各指标体系不断完善、智能电网建设的需要，可视化EMS系统安全检测管控系统也将逐步规范化和标准化，逐步建立稳定、高效、灵活的系统运行和维护管理体系，逐步实现“实时监控、精益管理、闭环控制、分析规划”的目标，为实现电网公司的战略目标提供坚实的基础支撑。

［1］李晓记.无线传感器网络同步与接入技术研究［D］.西安电子科技大学，2012（02）.

［2］王荣茂.确保EMS系统安全可靠运行的技术措施［J］.东北电力技术，2006（01）.

［3］陈征等.网络隔离环境下多节点接入控制技术研究［J］.小型微型计算机系统，2014（07）.