网络安全态势感知系统在火力发电厂的应用

摘 要：随着信息技术的发展以及电力行业对信息化的需求越来越大，电力监控系统的网络不断扩大，网络安全形势日益严峻，鉴于此，在火力发电厂加装了网络安全态势感知装置，其能够对电力监控系统的网络数据进行提取、分析及预测，实现全天候、全方位网络安全态势感知，确保电力监控网络安全稳定运行。

关键词：二次安全防护;网络安全;态势感知

0    引言

从电力监控网络安全建设来看，漏洞管理、系统加固、安全区划分、防火墙、加密认证装置等措施，在一定程度上反映了网络安全状态，并且在安全防护上也取得了一定的成果，但这些都是被动防御措施，难以适应当前网络安全形势的需要。在进一步提升安全运营水平的同时，有必要积极开展主动防御能力的建设，采用更加积极的对抗措施来应对各种网络安全问题。应用网络安全态势感知技术，能够全面、动态分析和预测网络安全问题，感知网络攻击行为，提升主动防御能力。

1    电力监控网络安全防护介绍

1.1    电力监控网络安全防护的目标和原则

电力监控系统安全防护主要针对网络系统和基于网络的生产控制系统。要建立健全电网电力监控系统安全防护体系，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后迅速恢复主要功能，防止电力监控系统的安全事件引发或导致电力一次系统事故或大面积停电事故。安全防护的基本原则为“安全分区、网络专用、横向隔离、纵向认证”。安全防护的核心能力是“保护、检测、响应、恢复、审计”的闭环机制。电力监控系统安全防护是一项系统工程，其总体安全防护水平取决于系统中最薄弱点的安全水平。

1.2    电力监控网络安全态势感知系统

网络安全态势感知是基于网络环境动态、整体地洞悉安全风险，以安全大数据为基础，全面提升对安全威胁的识别、分析、处置能力的一种方式。面对网络空间安全形势所带来的挑战，在强大的信息和数据分析平台的支持下，使用网络安全态势感知技术，能够全面了解当前网络安全状态，预测其发展趋势并做出有效的规划和响应。

电力监控网络态势感知系统主要由网络安全态势感知主站系统和采集装置组成。主站系统是指部署在各级调控中心，具备网络安全实时监视、日志审计、预测分析等功能的应用系统;采集装置是指部署在各级调控中心、各级发电厂、变电站电力监控系统局域网网络内部，对主站或厂站电力监控系统网络安全数据进行采集、分析、处理并与主站系统通信的装置。采集装置和主站系统通过现有的数据网进行通信。

2    网络安全态势感知系统在火力发电厂的实施

2.1    工程介绍

某电厂一期工程安装2台330 MW机组，2台发电机组经升压变压器接入220 kV系统，有3回220 kV出线。根据南方电网公司《关于印发2018年南方电网电力监控系统网络安全态势感知系统建设工作方案的通知》（南方电网系统〔2018〕7号）的要求，在该火力发电厂加装态势感知装置。

2.2    电力监控网络安全防护的现状

目前该火力发电厂的网络划分为生产控制大区（安全Ⅰ区、Ⅱ区）、信息管理大区（安全Ⅲ区），二次安全防护设备结合数据网双平面实施，配置纵向加密认证装置、防火墙、互联交换机等设备。在生产控制大区边界部署入侵检测系统（IDS），实现对各个业务系统与横向、纵向网络边界的入侵检测。在生产控制大区部署日志审计设备，对各种网络设备运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全防护设备运行日志和告警信息等进行集中收集、分析、审计和告警处理。

2.3    电力监控网络安全态势感知装置的应用

电力监控系统网络安全态势感知平台在电厂安全区Ⅰ、安全区Ⅲ中分别部署独立的网络安全态势感知装置（图1）。本工程新增的2台ZH-NSS-3000S网络安全态势感知装置为广州兆和电力技术有限公司产品，分别采集处理本区域内的网络流量、日志数据、资产数据等，安全区Ⅱ不需要部署独立的网络安全态势感知装置，安全区Ⅱ内的所有数据通过横向防火墙发送至安全区Ⅰ中的网络安全态势感知装置进行采集处理。态势感知装置通过电厂网络安全数据的接入采集，并与电力监控系统主站平台联动，最终实现电厂内电力监控系统设备信息的采集、分析、处置，达到电厂电力监控系统网络安全问题可发现、可控制、可溯源的目的。

本工程需要采集网络安全数据的对象有电厂监控系统工作站、远动机、保护信息子站、故障录波、安稳系统、PMU、保护装置、测控装置、交换机、路由器、防火墙、加密认证装置、入侵检测系统、运维审计系统、病毒系统等设备。采集方式包括主动采集和被动采集，支持基于TCP/IP的SNMP、Agent、ICMP、SSH、SNMP Trap、Syslog等通信協议。采集被监视设备的日志信息和通信流信息，主要包括设备的IP/MAC、操作系统等;设备的CPU利用率、内存利用率、磁盘利用率、流量大小等;设备的人为登录操作、配置/文件变更、外设接入、网口状态变更、异常访问、异常流量等;设备网络原始数据流、通信对、可疑文件等。

态势感知装置进行网络扫描，统计全厂在线IP资产，当有新设备接入或网络结构变化时，能快速感知。态势感知装置具备端口扫描功能，通过平台端下发对应设备的扫描，装置能够实时扫描指定设备执行端口，及时发现高危端口并通知处理，降低厂端设备资产的脆弱性，从而提高整体网络安全可靠性。采用端口镜像的方式采集厂内交换机的流量数据，并实现网络流量的网络安全分析，支持将流量原始数据上送至主站。态势感知装置在事件告警生成后实时主动上送至主站，事件告警信息包含安全事件、人员操作、设备故障和运行异常等。

3    工程设计中的要点

收到设计任务后准备收资清单到现场勘查。收集需要接入的网络和设备相关资料，如各设备的厂家、型号及接口，重点核实需要接入的交换机等设备是否有备用以太网接口以及CONSOLE接口。确定网络态势感知装置的安装位置。本工程有2台网络态势感知终端，高度为2U的标准19英寸机箱，安装在网控室二次安全防护屏备用位置。网络态势感知装置要求采用双路独立电源供电，可以从直流系统两段对应的馈线屏各引一路电源，也可从两套交流不间断电源引接电源。网络态势感知装置有失电信号硬接点输出，该信号接至公用测控装置，需要核实公用测控装置是否有足够的备用信号开入点。收集网控室屏位布置图，用于统计和计算工程所需的电缆、通信线的长度。

4    结语

该火力发电厂部署了网络安全态势感知装置，并与电力监控网络安全态势感知主站通信，通过网络安全测评后投入使用，能够及时发现各类网络安全风险以及非法访问事件，实现对电力监控系统网络安全的态势感知及预警，提高电力监控网络安全整体水平，为电厂安全稳定运行提供技术保障。

[参考文献]

[1] 郭杰华.大型水电站电力监控系统网络安全态势感知系统应用与研究[J].科技创新与应用，2019（35）：163-164.

[2] 宗和刚，张朝粤.水电厂网络安全态势感知系统的实现[J].水电站机电技术，2019，42（9）：13-16.

[3] 杜嘉薇，周颖，郭荣华，等.网络安全态势感知：提取、理解和预测[M].北京：机械工业出版社，2019.

收稿日期：2020-03-31

作者简介：林益波（1976—），男，广东揭阳人，工程师，主要从事电力设计工作。