电力监控系统网络安全监测装置应用分析

敖 勇

（华能安源电厂，江西 萍乡 337053）

0 引 言

近年来，我国电力事业发展迅猛，逐步朝着信息化、智能化方向发展。在电力系统建设过程中，为了保证电力通信安全、稳定，可以在其中设置网络安全监测装置。

1 电力监控系统安全防护的原则

1.1 安全分区

所谓的安全分区，是指将信息管理与生产控制2个大区进行合理划分，让生产控制大区主要控制那些和电力生产之间存在紧密联系的决策信息系统，让信息管理大区负责那些与电力经营、管理及行政事务有关联的系统[1]。同时，需要进一步细分涉及的工作，如生产控制可以细分为控制区与非控制区等。

1.2 横向隔离

所谓的横向隔离，主要是指在信息管理与生产控制2个大区之间设置边界安全防护设备如电力专用的单向安全隔离装置，这些装置必须经过国家相关部门检测认证后才能设置。利用这样的装置进行隔离时，所产生的效果理论上可以达到物理隔离水平，这样就能有效阻隔很多黑客入侵和病毒输入，避免其侵入、攻击电力系统内部。

1.3 网络专用

所谓的网络专用，指的是部分电力企业生产控制大区中的数据网络需要应用独立的专用网络设备来进行组网，并且需要在物理层面充分实现与其他的外部公共信息网产生安全隔离。

1.4 纵向认证

所谓的纵向认证，是指通过加密、访问或者访问控制等相关的技术措施来实现数据远程安全传送或者对纵向边界开展安全防护工作，对于发电厂、电力调度中心等生产控制区，需要设置一些纵向加密的认证装置，从而实现数据加密、访问控制及双向身份认证等职能。

2 电力监控系统安全监控管理工作

对网络进行监控管理是网络安全监测装置固有的一个管理功能，在对网络安全进行监控管理的过程中，大多数情况下都会采用一种图形界面的方式来完成对装置的本地化管理。开展本地化管理工作时，可以根据不同的角色对相应的管理人员进行划分，如可以将管理人员具体分为审计员、操作员和管理员等。同时，在实际的安全监控管理过程中，不同的角色所承担的责任存在差异，但是，无论是什么角色，要想对本地网络进行管理，必须在统一的管理平台上完成相关工作。

2.1 审计员权限

审计员的工作比较简单，只需要依据实际选择的时段、级别及类型等综合数据来进行相关日志信息的查看和分析，保证信息的准确性。

2.2 操作员权限

操作员的权限是所有角色权限中涉及范围较广的，因为实际上操作员在所有工作人员中占有很大的比重。为了更有效地开展基层的网络安全监测工作，需要操作人员具备一些实际的操作权限。

2.3 管理员权限

管理员权限能让相关的管理员对于监测装置进行用户操作、进程监测、时区监测及时钟管理，这样能从相对宏观角度了解电力系统运行的实际情况，方便及时对系统进行调整和改正。

3 电力监控系统网络安全监测装置的功能

3.1 监测对象

现阶段，电力监控系统中所应用的一些网络安全监测装置主要被用来监测电力厂站，在实际应用过程中可以实现一次性接入比较多的监测对象，如防火墙、服务器、正反向隔离装置、交换机、防病毒系统、纵向加密装置、网络安全监测系统及入侵监测系统等[2]。在电力系统的实际运行过程中，可以利用一些相关的技术方式，加强对这一系列监测对象的监测，会给整个电力监控系统平稳运行起到极大的作用。

3.2 数据采集功能

应用网络安全监测装置，能有效地对服务器、网络设备等一系列监测对象进行数据采集和统计的工作，这种工作比较烦琐，需要耗费大量的心血。其中数据采集的内容很多，包括服务器、工作站、网络设备及安防设备等。

3.3 数据分析功能

在网络安全监测装置的运行过程中，除了能进行数据采集，还能对于采集的一些数据进行合理的解读和分析。其中，在对CPU利用率、网口流量、内存使用率等相关信息进行分析时，可以将分析结果作为依据，确定是否有必要形成一个新的上报事件，数据分析工作需要在完成数据收集工作后进行。

此外，在网络安全监测装置的实际运行过程中，能详细分析网络设备中的一些日志信息，提取其中的重要信息，从而方便更好地了解设备日常运行情况，同时能将一部分外接设备的信息进行统一分析和处理，详细分析用户登陆信息、危险操作事件及操作值等，一旦发现问题可以及时进行上报，防止影响电力系统平稳运行。

3.4 服务代理功能

服务代理是网络安全监测装置的主要功能之一，其实际的作用有很多，如上传一些数据信息、对监控范围内的一些资产实行远程管理、对服务器或工作站等相关设备进行管理与核查等。此外，服务代理能远程管理部分参数配置、处理一些服务器或者工作站等设备中出现的危险操作等，为电力系统平稳运行提供很大的保障。

3.5 通信功能

电力监控系统中的网络安全监测装置具备一定的通信功能，可以与服务站或者工作站等设备之间实现通信，并且能在电力系统运行时对相关设备进行相应的数据采集和命令控制。此外，对于电力系统内的交换机来说，不仅可以实现其与监测装置之间的通信，而且可以与一些安全防护设备进行通信，同时能对交换机上的数据进行采集与分析，更好地完善电力监控系统。

3.6 某电厂电力监测装置实例分析

3.6.1 项目实施范围

本次电力监控网络安全监测装置项目实施范围针对某电厂涉网部分设备接入范围涵盖主机设备、网络设备（独立组网业务交换机）、IDS以及通用、专用安全防护设备，正反向隔离装置的接入等，主要监测业务有远动AGC/AVC、相量监测PMU、故障录波、调峰辅助/调度计划校核系统、烟气在线和NCS/ECMS等。

3.6.2 项目实施内容

本项目主要工作范围如下，但不限于此：（1）为Ⅱ型网络安全监测装置申请并分配IP地址；（2）协调完成某电厂内涉网业务系统调研，针对网络设备、安防设备、业务主机设备后台进行安装测试。

由于装置类设备多为裁剪内核的嵌入式系统，开发周期较长，本项目不接入监测，但需要保留相应接口和安全监测能力，待后续装置类设备满足接入条件后，可平滑扩容接入监测装置。除以上涉及的内容之外，如有其他未统计的涉网系统，只要有后台管理机的，均要在本次项目中接入并监测。

4 电力监控系统网络安全装置存在的问题

4.1 技术管理方面

4.1.1 分区错误

电力监控系统具有复杂、多样的特点，要想将所有系统的安全等级进行统一是非常困难的，不仅操作不易，而且需要付出很大的代价。从系统论的角度展开分析，将具有不同特性及重要性的系统分于不同的安全分区中，并且针对性地制定安全防护策略，保证电力监控系统能满足不同等级安全防护的相关要求。但是，一些地方在初步规划和建设电力监控系统中的安全防护体系时，因为不够重视网络安全，使得建好后的系统设备与分区存在定义错误的现象。例如，将防护等级要求比较高的一些设备放置于低等级的区域，在一定程度上降低了网络的安全水平。

4.1.2 跨区并联

在电力监控系统的实际运行过程中，一般都会在信息管理大区与生产控制大区之间设置一个单项的安全隔离装置，同时会在控制区与非控制区之间借助防火墙开展访问控制工作，进而能达到逻辑隔离的效果。正常情况下，允许安全等级高的系统向等级低的系统发送相关数据，并且进行正向的安全隔离部署，但是安全等级低的系统要想向等级高的系统传送信息，就需要进行反向隔离传输，同时将传输的信息进行加密处理。如果在同一个设备上用2个不同的网卡设置信息管理及生产控制2个大区的IP地址，就会在两个大区之间形成一个直连的通道，并且能将交互的信息直接绕过隔离装置，从而使得生产控制区出现防护功能丢失的情况。现阶段，在构建网络安全防护系统的过程中，由于人们的网络安全意识不够强等，很多电力监控系统存在跨区互联的现象，甚至个别系统存在同时连接Ⅰ、Ⅲ区的现象。

4.2 运行管理方面

对安全防护体系的运行过程进行管理时，同样存在很多问题。第一，存在弱口令和数据明文规定的问题，密码口令一旦泄露，会直接造成整个安全防护系统丧失相应的防护能力，影响电力系统的正常运行。第二，台账或者拓扑图与实际情况不相符，当系统出现异常或故障时，无法及时找到导致故障发生的原因，导致无法有效掌控设备的风险。第三，没有完善的机房管理与系统备份制度，系统遭受物理入侵时没有有效的防范手段，而且系统遇到袭击时不能及时、有效地恢复。

5 电力监控系统网络安全监测装置的功能实施

5.1 安装配置

先将注意力放在安装布线上，也就是对监测装置的相应设备进行上架和网络布线；完成接线工作后，需要将接入设备的软硬件进行更新及升级，同时根据系统的实际运行情况来进行相关运行数据的修改、调整等。

5.2 通信调试

进行通信调试的相关监测对象包括工作站、服务站、安全防护设备及网络安全设备等，一般都是在网络管理平台上进行通信调试的。通信调试是整个装置正常运行过程中必不可少的一个环节，如果在通信调试过程中出现了问题，那么会直接影响整个监测装置，使得装置的所有功能均无法实现。

5.3 测试验证

完成前期准备、安装工作和通信调试工作后，为了更好地保证装置能正常运行，需要提前对整个装置进行测试验证。首先需要将事件进行上传，在上传操作过程中，需要准确地对服务器、工作站、安全防护设备及网络监测设备监测的不同内容进行上传，以保证测试验证结果的有效性和真实性[3]。事件上传完成后，需要对于相关设备的数据信息进行远程调阅，以此来验证远程的网络安全管理平台能否与主站平台之间实现有效的通信，这样能方便远程实行网络安全监测装置的安全事件调和。

5.4 提升防护人员的综合素质

为了让相应的管理与技术措施得到最大限度的落实，需要进一步提升相关防护人员的综合素质，包括责任心、安全意识等。同时，可以对参与网络安全监测装置安全防护的工作人员进行定期培训与绩效考核，这样不仅能让这些防护人员拥有更加强大的技术能力，而且能提高他们处理现场问题的效率和质量。

5.5 加强对网络安全监测设置的管理

为了保证网络安全监测数据的准确性、安全性及机密性，需要在生产控制大区设置一个严禁外部进行拨号访问的系统，同时需要加强对于网络用户的身份验证与核对，对于一台服务器布置多个不同网段地址的现象进行严厉查处，这样才能更好地进行网络安全体系防护，保证电力系统能平稳运行。

6 结 论

安全防护是电力系统网络安全管理的首要任务，做好网络安全防护工作，能在很大程度上提高相关电力企业的效益。电力监控系统网络安全监测装置应用是电力专网安全防护效果较好的防控应用措施之一。