刘 宇
近年来国际上网络安全事件频发,相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,电力监控系统的网络安全形势异常严峻,需要加强网络空间的安全监管。因此,网络安全监测装置调试的研究的具有十分重要的意义。
厂站Ⅱ型网络安全监测装置已实现了对变电站站控层主机设备、网络设备、安防设备的监视与告警,能够实时掌握站内主机的外设接入、网络设备接入、人员登录等安全事件。经过长期测试运行,设备状态稳定,满足了“内部介入有效遏制、安全风险有效管控”的安全防控目标。
网络安全监测装置可实现站端设备的运行状态、业务数据、设备拓扑模型、配置信息等有效采集及可靠上送。总体上涉及厂站端自动化及相关设备信息采集、信息分析处理及信息远传三个方面,具体实现业务功能如下:
第一,设备状态监视;
第二,网络拓扑信息生成管理;
第三,网络报文监视记录;
第四,设备健康状态诊断分析;
第五,站内运维信息上送。
系统遵循分级部署和协同管控的总体设计思想,在地调主站部署网络安全管理平台,在主站部署Ⅰ型网络安全监测装置;在下级变电站、发电厂、县调部署Ⅱ型网络安全监测装置,最终构成一个完整的网络安全管理系统,如图1所示。
图1
网络安全监测装置采集范围包括网络设备、安防设备和主机类设备。主机类设备主要包括站内各业务服务器、主机、工作站等设备,
网络安全监测技术作为一门新的应用技术,发展正在逐步趋于完善,但是在技术应用过程中,特别是网络安全监测装置的调试过程中,会出现各类的问题,通过解决这类调试问题,不仅能够丰富调试者自身的经验,而且为实时监测提供更为有力的保障。第一,主站无法调阅厂站监测装置信息。针对此类情况,可能存在以下三类原因。一是网络不通,路由未添加;二是纵向加密设备未添加策略或策略有误;三是厂站未导入主站的平台证书。网络不通,则进行相关的ping测试,检查是否能相互ping通,如果ping不通,查看网络配置是否正常,物理链路是否正常,另外,需要查看主站数据网关机上是否有到厂站监测装置的路由,厂站监测装置是否有到主站平台的路由等。查看纵向加密配置是否正确,查看隧道是否能协商起来,如果未协商起来,查看网络是否可达,查看导入的证书是否正常,如果隧道协商起来,查看是否有加解密数据包,如果未有加解密数据包,查看厂站监测装置和主站是否网络可达,策略有没有配置错误,查看明通策略里是否有包含这条策略并且优先级是否比这条策略优先级高等。第二,主站平台编辑不了厂站白名单。当厂站监测装置的时间与网络安全管理平台的时间不匹配,且时间差相差大于30秒时,导致平台无法对厂站白名单进行编辑。通过把平台和厂站监测装置统一成同一时间或者采用相同的NTP服务器对时,问题得到有效解决。
随着网络安全工作越来越受重视,越来越多的网络安全监测技术应用到电力监控系统当中。尤其是网络安全监测装置的实际应用,将有效地推动电力监控系统网络安全技术的发展,保障电力监控系统的安全、可靠和稳定运行,促进我国电力系统的健康发展。