电力系统重点场所网络监控实时报警研究

张明达 王思谨

国网宁波市奉化区供电公司 浙江 宁波 315500

引言

电力监控系统是电力系统安全稳定运行和电力可靠供应的关键支撑[1]。随着网络技术不断发现，计算机网络在电力系统的企业经营管理中的重要性不断凸显，电力网络的调度、管理等系统都通过网络进行运行。为此，电力系统纷纷加大了网络技术应用力度。不过，信息网络具有两面性，它在给企业管理带来便利的同时，自身也具有一定风险，如非法恶意操作、外部网攻击等，都有可能危及电力系统的正常运转。这就要求电力企业在运用信息网络的同时，还要做好信息网络安全管理。网络安全防护，管理手段和技术手段相互补充，缺一不可[2]，才能为电力网络系统提供安全保障，提高电力系统的经济效益。

目前，国内电力企业监控系统按照“安全分区、网络专用、横向隔离、纵向认证”的安全防护总体策略建立安全防护体系[3]，但电力监控系统的网络结构复杂，应用场景丰富，安全问题仍然面临各类威胁。供电局营业场所等地方运行的公共终端通常在无人值守的情况进行运营，由于业务数据的互通互联要求，其网络系统连接到供电系统内部网络中，和供电系统核心业务系统处于同一个网络。在供电局营业场所等地方公共终端进行非法恶意操作和外部网攻击等情况，由于其网络端口的安全性往往存在安全管理的漏洞，会给整个电力管理网络带来严重的问题。尤其是供电营业厅的用户区放有公共查询电脑，主要用于用户用电数据查询等。由于电脑在无人值守的情况进行运行，计算机运行状态无法监控，包括计算机是否运行正常，是否有非法进行侵入等。

本文针对营业场所公共电脑无人值守运行的情况，提出一种端口实时报警机制，自动监控计算机和网络端口运行情况，当发现外部设备通过端口联入网络等情况，能够主动向指定值班人员进行报警以便确认。不仅保证了信息系统资产的安全，而且为电力业务网络系统的安全运行提供了保障。

1 系统设计

为了保障内部网络的安全，电力企业通常会安装多种安全防护设备，如防火墙、防病毒软件等，共同为单位内部网络构建安全防护圈。这些设备在运行过程中都会产生大量日志来记录自身行为，这些日志经过分析，能够有效地提供设备状态和网络运行状况。但在国家电网存在大量的无人值守营业厅，具有结构复杂和分散独立的特点，严重制约了对整个网络环境的运行状态以及有害活动的检测。为此，将系统设计为采用C/S架构，将地理位置分散的营业厅公共终端建模为多个营业厅客户端，并与监控端分离。监控端客户端用于定期收集来自各公共终端的网络安全日志，进行统计分析后提交给服务器端。

随着网络攻击的手段越来越多样化，攻击方法越来越隐蔽，依靠传统的单一节点分析技术已经无法满足对海量安全日志的实时性分析和多维度检测，从而使网络管理员人员难以从全局实时把握网络安全态势，无法制定出正确的安全决策和应急响应。各类网络安全设备产生的日志信息重复率高，网络管理人员很难发现其中隐藏的关联性，这不利于对网络态势进行全局分析。为此，本系统设置服务器端，并制定了客户端的定期上报机制，用于实现网络异常事件的快速采集、快速检测，及时将预警信息提供给审核客户端审核、研判，为网络安全态势评估系统提供支撑，以及为其他安全管理系统提供预警信息等。

通常使用的安全威胁机制是漏洞扫描器等扫描软件，但这类扫描得出的威胁评价是静态的，不能及时反映系统所面临的动态网络安全威胁。为此，本文利用各客户端定期提交并汇总的报警日志，动态度量所面临的网络安全威胁，经过分析后及时发出有针对性的实时报警，并定位发送给特定的监控客户端，帮助电网营业厅更有效地应对各种网络安全威胁。

网络攻击和端口密切相关。依据TCP/IP协议，端口对应着软件所提供的某种服务，因此，系统的脆弱性可以用端口的风险值来表示。计算机系统中，逻辑意义上的端口则是指TCP/IP协议中的网络端口，计算机之间的通信是通过端口进行的，每一个网络用户的数据包必须经过网络端口才能与外界实现交流。对计算机端口状态的查询是了解其运行情况的重要方式，通过对其状态的查询能及时发现计算机系统中的异常，以便及时做出防范与解决。常用的安全策略包括通过端口监听嗅探常规业务传输端口。为此，本系统根据业务端口情况进行具体黑白名单策略配置，判别异常流量发起端口，能够自动监控计算机操作系统和程序的运行情况、自动监控网络端口运行情况。

2 系统实现

本文实现了一种基于网络日志的端口自动报警系统，能够自动监控计算机操作系统和程序的运行情况、自动监控网络端口运行情况，当发现计算机上有可疑程序进程运行，或者有外部设备通过端口联入网络等情况，能够主动向指定值班人员进行报警以便确认。不仅保证了信息系统资产的安全，而且为电力业务网络系统的安全运行提供了保障。

系统架构如图1所示，采用C/S架构，包括服务器端和两个客户端。其中，客户端包括营业厅客户端和监控客户端，营业厅客户端运行于供电所营业厅无人值守计算机上，主要用于和服务器端连接，检测允许和禁止的程序清单；监控客户端运行于特定工作站上的服务程序，根据配置情况，检测不同的工作站运行情况。服务器端用来接收营业厅计算机的报警信息，并同时根据信息的路由信息向客户端程序进行转发。

图1 端口实时报警系统架构图

2.1 营业厅查询客户端

该客户端位于供电所营业厅外面，主要用于用户查询供电系统，该查询台直接联入供电系统内部网络中。该客户端的核心功能是运行时开通本地运行日志信息，记录运行情况，并及时上报日志。

该系统启动时，首先和服务器建立TCP连接，同时检查本机的注册信息。当系统正常注册以后，接收服务器端的黑名单和白名单运行程序，检查本地程序，如果发现白名单上程序没有运行或运行有黑名单程序，系统就向服务器发送报警信息。白名单和黑名单会定期检查，如果发现当前运行的程序不在白名单上，或者该程序在黑名单上，则向服务器报警，并记录日志。

2.2 自动监控客户端

该客户端运行于有营业员值班的计算机中，主要功能是接收服务器发过来的报警信息，并进行显示和运行。系统启动时，首先和服务器建立TCP连接，同时检查本机的注册信息。当系统正常注册后，开通本地运行日志信息，记录运行情况。该客户端能够记录客户端进行查询、统计和处理的结果，并且接收服务器端发过来的报警信息，在本地记录报警日志和报警。

2.3 服务器端

安全监控服务器是整个系统运行和控制的中心，并承担了两个客户端的核心服务；服务器接收查询客户端发过来的消息，并根据消息转发路由配置信息，将监控客户端的消息转发到特定的查看和报警客户端。另外，当报警信息发过来的时候，确定应该发送到哪一台设备进行配置。监控设备消息配置包括设备名称、CPUID、主板ID，设备开关机时间，监控周期，是否注册和运行等。

该服务器端可进行多种配置，包括设备应用程序黑名单和白名单配置、消息转发路由配置、和系统功能配置。

3 系统评估

采用本系统后，通过对电力系统重点场所网络监控，实现了安全异常数据实时获取，从而能够实时获取检测结果，有效地提高事件检测速度，实现快速发现、快速告警，降低网络安全风险。由于端口的监控和汇总是动态的，能够得到一系列连续的分析结果，实现对分析结果的动态更新。由于采用了网络日志进行分析，因此保证了报警事件的完整性，可以发现该网络空间中发生的所有类型的安全事件。由于采用了基于客户端和服务器的汇总机制，能够发现网络空间中各个节点发生的安全事件。结合以上机制，实现了网络安全监控的时域全程性，能够对该系统应用的全网段的网络安全事件的全部步骤及其时序关系进行获取和分析。

该系统采用分布式服务模式，可以在部署1台或者多台服务器，并可以实现多台服务器的协同工作，从而为后续进行基于大数据和数据融合技术奠定了基础。针对网络多个节点中存在大量多源、异构、冗余的报警信息问题，能够进行报警规范化方法，和多源报警融合方法。从而为下一步对各个报警信息进行协同处理，减少报警数量提高检测准确性和效率。在服务器上汇聚了多个网络节点客户端的报警大数据后，可进一步搭建面向大规模攻击的多步攻击序列挖掘方法，通过数据挖掘方法实现对多角度、孤立的报警信息的融合，挖掘出网络中存在的频繁多步攻击序列，发现单个攻击事件之间的因果关系，为电力企业搭建高性能高智能的网络安全机制提供基础设施。

4 结束语

本文分析了电力系统营业场所的无人值守公共终端所面临的安全问题，针对非法恶意操作和外部网攻击等情况，往往存在安全管理的漏洞，提出基于网络日志的端口监控实时报警方案。该方案采用C/S架构，采用了端口监控、网络日志、黑白程序名单等机制，并可以通过中心监控服务器同时对一个或多个客户端进行实时监控。该系统可用于营业场所无人值守计算机的运行情况以及端口的监控，也可以用于野外独立运行计算机的安全监控，能够解决监控计算机的安全运行问题。保障了供电系统内部网络的安全性和可靠性。