变电站内网安全监测装置的设计与实现

尤小明 汤震宇 胡绍谦 林 青 曹 翔



变电站内网安全监测装置的设计与实现

尤小明 汤震宇 胡绍谦 林 青 曹 翔

（南京南瑞继保电气有限公司，南京 211102）

目前变电站二次系统安防体系缺乏集中监视及统计分析，本文针对此现状研制了变电站内网安全监测装置。该装置实现对电力二次系统主机设备、网络设备和安全防护设备运行状况的实时监视，对安全事件进行集中展现、实时告警和量化分析，对变电站网络架构进行拓扑展示，并将站端信息通过调度数据网向内网安全监管平台主站上传，为电力二次系统安全审计评估提供可靠的信息来源和有效的分析手段。在国网试点站的运行实践表明，变电站内网安全监测装置对于运行人员及时掌握和分析变电站安全设备运行情况、发现和处理安全隐患、保障变电站稳定运行具有重要意义。

二次系统；安全监测；安全分析；拓扑展示

近年来，随着计算机和网络技术的广泛应用，电力生产自动化水平日益提高，远方控制等功能大量采用，对变电站的安全性和可靠性提出了更高的要求。随着国家发改委第14号令《电力监控系统安全防护规定》规定的“安全分区、网络专用、横向隔离、纵向加密”要求的推广[1]以及变电站二次系统安全防护工作的深入开展[2-3]，变电站部署了大量的安防设备，同时对变电站的主机设备和网络设备进行了安全加固[4]，在多个环节建立了安全防护系统[5]。但变电站中的主机设备、网络设备和安防设备的运行和管理一直处于相对独立的状态，缺乏集中监视和统计分析手段，完全独立的安全信息毫无关联。运行维护和管理人员无法全面掌控变电站二次系统的安全状态及网络架构，难以及时发现安全隐患，同时安全统计分析工作也难以开展。因此，亟需一种设备，实现对变电站中的主机设备、网络设备和安防设备运行状况的实时监视，对安全事件进行集中展现、实时告警和量化分析以及拓扑展示网络架构，为电力二次系统风险评估及安全审计提供充足的信息及高效的分析手段，提升电力二次系统安全防护的能力[6]。

基于以上出发点，研制了变电站内网安全监测装置。该装置以高性能的CPU及大容量的SSD（）为基础，可实时处理和分析大规模的告警信息，动态展示变电站网络拓扑信息，同时也可稳定高效的存储告警和审计信息；功能模块化的设计思想，将应用功能采用模块化、标准化、可重用化设计；同时该装置设计基于三权（管理员、操作员和审计员）分立的理念，保证了装置权限管理的 安全。

1 功能定位

变电站内网安全监测装置作为安全专业的网关机，是变电站与安全监管主站之间关于安全信息和安全操作交互的接口，独立于监控系统，对站内监控系统网络运行状态、非法访问、非法操作等信息进行监视、分析和上送，对网络架构进行拓扑分析及展示。主要功能包括：

1）数据采集。采集主机信息，包括登录信息、用户操作信息、外设状态（USB、串口、并口、光驱及网口）及外联事件等；采集网络设备信息，包括网口状态、登录信息、用户操作信息、流量信息及mac地址绑定关系等；采集安防设备信息，包括登录信息、非法访问、配置变化及CPU和内存的利用率等信息。

2）安全分析及告警。对不同设备采集的不同格式的信息进行标准化处理、对过于频繁上送的数据进行归并处理，对不重要的数据进行过滤筛选处理。

3）本地展示及管理。提供图形化的界面进行实时数据及统计分析数据的多维度多形态的展示。

4）主子站通信。实现告警事件的上传及远程维护、基线核查等功能。

5）高级应用。拓扑管理实现站端网络架构的展示；安全审计实现站内安全事件的关联系分析及操作流程的合法性审计；安全核查实现主机的配置信息、口令及链接等信息的核查。

变电站内网安全监测装置实现对变电站中的关键设备运行状况的实时监视，对安全事件进行集中展现、实时告警和量化分析以及拓扑展示网络架构，为安全监管平台提供全面的安全基础支撑，可及时掌握系统存在的安全隐患。

该装置典型的应用示意图如图1所示。

图1 典型的应用示意图

2 系统设计

2.1 硬件架构设计

装置由高性能CPU、大容量固态存储设备、大容量内存及丰富外设组成。硬件结构整体结构如图2所示。

图2 硬件架构图

CPU采用4核1.2GHz的高性能PowerPC，负责装置的所有数据处理及数据管理。大容量存储设备采用256G的SSD，负责配置数据、采集数据和审计数据的存储；丰富的外设包含LED、USBkey、千兆网卡、I/O、IRIG-b以及USB等。

2.2 系统软件设计

为了能做到分布式、智能化、易扩展，将软件分为“系统软件”和“应用软件”两大块。应用软件基于系统软件的支持，完成具体目标功能的实现。系统软件作为应用软件和硬件之间的联系桥梁，负责为应用软件实现I/O通信，以及完成应用软件执行的调度和管理。

装置软件运行在嵌入式Linux平台，总体上按照模块化进行设计，每个模块单独为一个进程，由此可以将软件整体分解为若干软件子系统，分别实现相对独立的功能。

图3 系统软件架构图

3 功能实现

3.1 资产管理

装置可以在就地的客户端进行资产信息的录入、修改、删除等操作，同时资产信息也可通过调度远程修改、添加和删除，资产信息应包括：设备名称、设备IP、MAC地址、设备类型、设备厂家、序列号、系统版本、责任人等。变电站内网安全监测装置能将资产信息按照若干指定格式的文件进行导出及导入，进行管理备份或还原，同时导出的资产信息也可提供给其他业务系统使用。

3.2 数据采集

1）主机信息采集

装置采集变电站站控层、发电厂涉网生产控制大区主机设备操作系统层面所有的用户登录、操作信息、移动存储设备接入信息及网络外联等安全事件信息。主机探针负责主动收集采集信息，通过TCP/IP协议发送至安全监测装置，安全监测装置应作为服务端开启8800端口监听主机设备的连接请求。若站控层存在A、B双网，则变电站内网安全监测装置同时接入A、B双网交换机。采集数据应由主机设备发出，若出现网络故障，则切换至另一网络发送采集信息。若变电站内网安全监测装置未能在规定时间内（时间策略可配置）接收到主机设备发送的信息，则变电站内网安全监测装置上报主机离线告警。

2）网络设备信息采集

装置采集变电站站控层、发电厂涉网生产控制大区的交换机相关的配置变更、流量信息、网口状态等安全事件信息。采集方式包括以下两种：①以SNMP V3、V2 TRAP方式主动发送采集信息；②以SNMP V3、V2协议主动轮询采集信息，通常优先使用SNMP V3协议。

3）安防信息采集

装置采集站内防火墙、正向隔离装置和反向隔离装置等安全防护装置的Syslog日志，通过监听固定端口实现日志采集，并将日志数据解析后，按照一定格式，进行存储及转发上送。Syslog采用用户数据报协议（UDP）作为其底层传输机制，Syslog默认采用514端口，端口也可根据实际情况重新 配置。

3.3 安全分析与告警

1）信息标准化

目前主机、网络设备及安防设备信息采集的方式不一样，而且安防设备送出的Syslog信息的格式也是千差万别，按照业务需要对原始事件中包含的信息进行重定义并标准化[7]，具体内容包括：将信息进行相关的修改定义，将事件的内容、描述信息、级别等进行规范，从而标准化事件信息，便于事件的处理。

2）信息归并[8]

对主机关键文件变更、用户权限变更、危险操作，对网络设备流量超过阈值，配置变更等事件进行安全性分析，并将大量的重复事件进行归并，同时提供告警事件的第一次发生的时间和最后一次发生的时间以及次数。

3）信息过滤

明确定义采集数据的模板，同时配置采集数据的屏蔽规则，可以对指定的事件进行过滤从而提高事件的处理效率和时效性，也可配置转发上送数据的屏蔽规则，确保主站不关注的信息直接在站端进行过滤，减少主站处理事件的数据量，减轻主站处理事件的压力[9]。

3.4 本地安全管理

装置从时间、设备类型、告警等级、告警对象等多维度提供事件汇总及分析，并自动生成安全运行态势报告；本地能够实现显示资产的在线及离线的统计信息；能够展示近12个月的告警统计信息；界面能够按照表格编辑器、饼图、棒图、实施曲线图等多种手段展示。

3.5 综合数据传输

主子站通信子采用基于调度数字证书[10]的上线认证机制的扩展DL/T 634.5.104规约进行实时告警信息的传输，保证电力监控系统网络安全监视平台采集装置的安全性；同时通过服务代理规约实现资产的远程调阅及修改，采集信息和上传信息的调阅，对主机的基线核查、主动断网和关键文件清单、危险操作定义等参数的查看和修改，以及远程升级，从而实现变电站内网安全监测装置的远程维护。

3.6 高级应用

1）拓扑管理

网络拓扑主要从交换机中读取拓扑信息，利用拓扑算法形成全站网络拓扑模型，并通过动态扫描得到MAC地址和IP地址之间的关联，根据网络拓扑模型及MAC地址和IP地址之间的关联，进行网络拓扑图像成图，拓扑图的分层分布要符合现场的实际情况，并支持拓扑图的放大、缩小，图元的拖拽，结合资产信息可以更加详细的展示实际拓扑信息。拓扑图可以按照分层图、星状图和总线图进行多种方式的展示。

2）安全审计

对主机、网络设备、安全设备的历史登录信息的关联分析，提取出用户操作的行为特征及操作轨迹，聚合离散的历史登录操作行为记录，建立历史记录间的关联关系，实现对用户整个操作流程的审计。

对主机、网络设备的外设设备接入历史记录与主机操作历史记录的关联分析，实现对设备接入后的相关操作行为关联审计及操作回溯。

对历史安全告警信息的记录分析与挖掘。提取出告警信息间的关联关系，挖掘出告警事件发生的趋势及告警事件的源头。

3）安全核查

对主机设备的配置信息进行安全基线核查，实现主机安全加固配置核查，主机用户与口令合规性核查，主机通用网络服务关闭情况核查，主机审计功能检查，并最终形成核查报告。

4 性能指标

本文研制的变电站内网安全监测装置充分考虑了不同应用场景下的需求，提供方便的应用开发接口，适合大规模模块化应用开发，各项性能指标满足站内各业务相应的技术标准。主要性能指标见表1。

表1 主要性能指标

5 试验与运行

研制成功的变电站内网安全监测装置已经在国网所属的变电站实现了工程实用化运行。变电站内网安全监测装置部署在二区，共接入Ⅰ区和Ⅱ区的18台设备。变电站内网安全监测装置工程配置如图4所示。

图4 现场实施图

试点站变电站内网安全监测装置通过站控层网络实现了对站内Ⅰ区、Ⅱ区的监控主机、网关机、综合应用服务器、交换机、防火墙、正向隔离及反向隔离进行数据采集；同时通过双平面的非实时通道实现了与主站安全监管平台进行告警上送及服务代理功能的调用。

变电站内网安全监测装置于2017年在实际工程实用以来，各对象数据采集、分析及转发未出现任何问题，CPU负荷一直在低位运行，现场运行性能完全满足实际要求。

安全监视在现场应用效果显著，现场有违规操作的时候（例如主机插拔U盘）、安防设备有非法访问或特殊操作（交换机上插拔网线）等装置均正常进行告警和记录并实时上送安全监管平台。

拓扑管理为现场高效的分析处理网络问题提供了有力支撑，图5为现场实际的星状拓扑图，可以便捷的查看实际通信链路，与物理链路进行比对可以快速定位网络异常。

图5 拓扑星状图

6 结论

变电站内网安全监测装置作为电力二次系统内网安全监测建设中站内核心设备，承担着站内安全信息数据中心、监视中心和控制中心的作用，其运行可靠性、数据处理实时性以及与主站应用的互动贯通功能是其关键考核指标，目前处于试点运行阶段。变电站内网安全监测装置的建设有助于厂站安全防护体系由边界防护向纵深防御发展，解决了对关键安全设备的集中采集和统一管理的问题，为主站提供全面的安全基础支撑，有利于及时掌握系统存在的安全隐患，对保证电网安全稳定运行具有重要意义。

[1] 肖建民. 电力调度自动化二次安全防护方案分析[J].电气技术, 2016, 17(7): 157-160.

[2] 胡炎, 辛耀中, 韩英铎. 二次系统安全体系结构化设计方案[J]. 电力系统自动化, 2003, 27(21): 63-68.

[3] 郑洁. 智能变电站网络可靠性和信息安全的研究[J]. 电气技术, 2015, 16(11): 118-121.

[4] 王益民, 辛耀中, 向力, 等. 调度自动化系统及数据网络的安全防护[J]. 电力系统自动化, 2001, 25(21): 5-8.

[5] 汤震宇, 胡绍谦, 林青, 等. 一种三位一体的变电站安全防护架构的设计探讨[J]. 网络安全技术与应用, 2017(9): 129-130.

[6] 陈茂源, 孙炜, 梁野, 等. 电力二次系统内网安全监视功能的研究及实现[J]. 江苏电机工程, 2014, 33(3): 31-34.

[7] 黄学庆, 夏友斌, 潘文虎, 等. 分布式电网二次设备管控平台的研究[J]. 电气技术, 2017, 18(8): 114-117.

[8] 刘巍, 李鹏, 李猛, 等. 面向智能配电网的大数据统一支撑平台体系与架构[J]. 电工技术学报, 2014, 29(S1): 486-491.

[9] 周国亮, 朱永利, 王桂兰, 等. 实时大数据处理技术在状态监测领域中的应用[J]. 电工技术学报, 2014, 29(S1): 432-437.

[10] 刘刚, 梁野, 李毅松, 等. 数字证书技术在电力二次系统中的实现及应用[J]. 电网技术, 2006(30): 71-75.

Design and implementation of internal network security monitoring device for substations

You Xiaoming Tang Zhenyu Hu Shaoqian Lin Qing Cao Xiang

(NARI-Relays Electric Co., Ltd, Nanjing 211102)

At present, there is a lack of unified management and statistical analysis for the security protection of the secondary system in substations，so the internal network security monitoring device for substations is developed for this situation. The device realizes the real-time monitoring of the running status of the mainframe equipment, network equipment and security protection equipment. The device displays the security events in a centralized way, the real-time alarm and the quantitative analysis, the topology of the substation network architecture, and send the station information to the safety supervision platform through the dispatching data network. Uploading provides reliable information sources and effective analytical tools for the secondary system security audit evaluation. The operation practice of the pilot station in State Grid shows that the internal network security monitoring device is of great significance for the operators to master and analyze the operation of the safety equipment in time, find and deal with the hidden danger of security, and ensure the stable operation of the substation.

secondary system; safety monitoring; safety analysis; topology display

2018-06-14

尤小明（1983-），男，湖北省襄阳市人，硕士，工程师，从事变电站自动化系统、通信协议和信息安全方面工作。