网络安全监测装置在抽水蓄能电站的应用

王晶晶，李世昌，杨敬沫

（1.河北张河湾蓄能发电有限责任公司，河北 石家庄 050300；2.国网新源控股有限公司检修分公司，北京 100068）

1 引言

近些年来，互联网信息技术迅猛发展，电力系统的自动化、智能化技术得到了更加深入的发展，为了保障电力通信网络能够安全、稳定运行，采用“安全分区、网络专用、横向隔离、纵向认证”防护模式，完成电力监控系统内部的信息交流和资源共享，但是在电力监控系统逐渐成为一个整体的过程中，网络信息安全问题也日益凸显，部署网络安全监测装置显得尤为重要。张河湾电站监控系统上位机改造期间，部署一台Ⅱ型网络安全监测装置于电力监控系统局域网内，具备实时采集、监视、告警、审计和核查功能，监测接入设备的不安全信息，为网络安全管理平台上传事件，并同步上送调度网络安全监测平台，避免一系列的安全问题出现，确保电力系统网络安全。

2 电力监控系统结构与安全威胁

2.1 电力监控系统结构

河北张河湾抽水蓄能电站使用SSJ-3000型水电厂计算机监控系统，由站控层和现地控制层等设备组成。站控层为全分布开放系统结构，包括2套冗余实时数据服务器、2套冗余历史服务器、4套冗余操作员工作站（其中2台操作员站部署于站外）、1套工程师站、2套调度通信工作站、1套厂内通信工作站、1套语音报警服务器、1套GPS时钟同步装置等。现地控制层以双以太环网为核心，实现各现地控制单元功能分散，10套现地控制单元脱离系统可正常工作。

2.2 电力监控系统的安全威胁

当前站内电力监控系统的整体结构较为封闭，各个业务之间的关联性强，而且在外部网络连接方面的权限控制非常严格，但是仅使用物理方式对网络边界进行隔离，不能有效解决外部网络的信息传输问题，随着电力监控系统与主站之间的信息交互日益密切，使得不同网络间的业务数据逐渐融合，不同系统中的数据传输越发频繁。电力监控系统在应用层中主要的威胁包含：拒绝服务攻击、会话劫持、非授权访问、网页篡改，以及木马病毒和恶意代码等。网络中存在的主要威胁有：对等网络占用带宽、信息窃听、破坏数据完整性等，对于网络威胁要通过相应的管理手段进行解决。

3 网络安全监测装置

3.1 监测对象

在张河湾电站中，安全监测装置部署在生产控制Ⅰ区，主要的监测对象有：交换机、操作员站、服务器、厂内通信机、远动机、防火墙等。系统按照设备自身感知、监测装置分布采集、管理平台统一管控的原则，加强对这些对象设备的监测，对系统的稳定运行有着非常重要的作用和意义。

3.2 平台架构

在安全Ⅰ/Ⅱ区之间，通过防火墙进行相应连接或断开点的设置，在其中设置物理隔离层，规定由安全Ⅰ区向安全Ⅱ区的启动方向为正。在安全Ⅰ区部署网络安全管理平台，接收并转发来自厂站的网络安全事件，网络安全监测装置与站内主交换机进行通信，并经实时交换机、纵向加密装置将安全事件转发至调度侧主站；在安全Ⅱ区部署网络安全管理平台，经防火墙接收Ⅰ区采集的安全事件信息，实现对网络安全事件的实时监视、集中分析和统一审查，上送告警信息。其网络拓扑如图2所示。

图2 网络安全监测装置拓扑图

3.3 事件采集

网络安全监测装置支持对服务器、工作站、网络设备、安全防护设备等监测对象进行事件采集，采集内容包括：

（1）主机设备：包括主机设备操作系统层面所有的用户登录、操作信息、外设设备（键盘、鼠标以及所有移动存储设备）接入信息及网络外联等安全事件信息。

（2）网络设备：交换机相关配置变更、流量信息、网口状态、CPU 利用率、内存利用率、网络连接情况等安全事件信息。

（3）安防设备：设备运行状态、自身策略的安全事件、策略变更及设备异常信息。

3.4 数据分析

在电力监控系统网络安全监测装置运行的过程中，对监视过程数据进行分析，包括：

（1）对采集到的CPU利用率、内存使用率、网口流量突变、设备硬件状态等信息进行分析处理，根据告警等级上报事件。

（2）对网络设备日志信息、关键文件变更、用户权限变更进行安全性分析处理，将异常事件信息上报。

（3）安全分析事件重复上报可对告警进行定时归并，安全事件可按时间、等级等筛选，便于报警信息查看。

3.5 通信功能

主机设备通过部署Agent的方式进行采集，读取主机硬件配置、外部连接监视及运行状态等；网络设备依托自身安全策略配置，通过设备支持的Snmp和Snmp Trap协议方式进行安全事件上送；安防设备自主感知安全事件，通过设备自身安全策略、配置信息实现安全事件感知，通过Syslog报文方式主动上报至网络安全监测装置。

3.6 运维管理

网络安全监测装置具有本地管理功能，通过安全监测管理机登录进行设备资产及告警信息管理。通过配置多级管理用户，对装置安全策略修改的不同权限分级管理，实现安全运维。①资产管理：包括对资产的录入、修改及删除，资产信息的补充完善等。②规则管理：根据资产类别服务器、网络设备、隔离设备，进行告警规则设定，对相关告警设定事件级别、是否上传。③网络管理：增加或取消接入设备时，修改相应网口的IP地址等信息。现场运维要加强告警信息的巡视，及时对采集事件、上传事件进行查看，发现资产设备主网口掉线、登录退出、危险操作等不安全事件。

4 总结

电力监控系统安全监测装置的应用全面提升了张河湾电站电力监控系统二次安全防护水平，提高了检测并抵御各种常见网络攻击的能力及抵御渗透攻击的能力，为电力二次系统安全审计评估提供可靠信息来源和有效的分析手段，对厂内网络行为安全分析具有积极效果。