尤小明 湯震宇 胡紹謙 林 青 曹 翔

?

變電站內(nèi)網(wǎng)安全監(jiān)測裝置的設(shè)計與實現(xiàn)

尤小明 湯震宇 胡紹謙 林 青 曹 翔

（南京南瑞繼保電氣有限公司，南京 211102）

目前變電站二次系統(tǒng)安防體系缺乏集中監(jiān)視及統(tǒng)計分析，本文針對此現(xiàn)狀研制了變電站內(nèi)網(wǎng)安全監(jiān)測裝置。該裝置實現(xiàn)對電力二次系統(tǒng)主機設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護設(shè)備運行狀況的實時監(jiān)視，對安全事件進行集中展現(xiàn)、實時告警和量化分析，對變電站網(wǎng)絡(luò)架構(gòu)進行拓撲展示，并將站端信息通過調(diào)度數(shù)據(jù)網(wǎng)向內(nèi)網(wǎng)安全監(jiān)管平臺主站上傳，為電力二次系統(tǒng)安全審計評估提供可靠的信息來源和有效的分析手段。在國網(wǎng)試點站的運行實踐表明，變電站內(nèi)網(wǎng)安全監(jiān)測裝置對于運行人員及時掌握和分析變電站安全設(shè)備運行情況、發(fā)現(xiàn)和處理安全隱患、保障變電站穩(wěn)定運行具有重要意義。

二次系統(tǒng)；安全監(jiān)測；安全分析；拓撲展示

近年來，隨著計算機和網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，電力生產(chǎn)自動化水平日益提高，遠方控制等功能大量采用，對變電站的安全性和可靠性提出了更高的要求。隨著國家發(fā)改委第14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》規(guī)定的“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向加密”要求的推廣[1]以及變電站二次系統(tǒng)安全防護工作的深入開展[2-3]，變電站部署了大量的安防設(shè)備，同時對變電站的主機設(shè)備和網(wǎng)絡(luò)設(shè)備進行了安全加固[4]，在多個環(huán)節(jié)建立了安全防護系統(tǒng)[5]。但變電站中的主機設(shè)備、網(wǎng)絡(luò)設(shè)備和安防設(shè)備的運行和管理一直處于相對獨立的狀態(tài)，缺乏集中監(jiān)視和統(tǒng)計分析手段，完全獨立的安全信息毫無關(guān)聯(lián)。運行維護和管理人員無法全面掌控變電站二次系統(tǒng)的安全狀態(tài)及網(wǎng)絡(luò)架構(gòu)，難以及時發(fā)現(xiàn)安全隱患，同時安全統(tǒng)計分析工作也難以開展。因此，亟需一種設(shè)備，實現(xiàn)對變電站中的主機設(shè)備、網(wǎng)絡(luò)設(shè)備和安防設(shè)備運行狀況的實時監(jiān)視，對安全事件進行集中展現(xiàn)、實時告警和量化分析以及拓撲展示網(wǎng)絡(luò)架構(gòu)，為電力二次系統(tǒng)風險評估及安全審計提供充足的信息及高效的分析手段，提升電力二次系統(tǒng)安全防護的能力[6]。

基于以上出發(fā)點，研制了變電站內(nèi)網(wǎng)安全監(jiān)測裝置。該裝置以高性能的CPU及大容量的SSD（）為基礎(chǔ)，可實時處理和分析大規(guī)模的告警信息，動態(tài)展示變電站網(wǎng)絡(luò)拓撲信息，同時也可穩(wěn)定高效的存儲告警和審計信息；功能模塊化的設(shè)計思想，將應(yīng)用功能采用模塊化、標準化、可重用化設(shè)計；同時該裝置設(shè)計基于三權(quán)（管理員、操作員和審計員）分立的理念，保證了裝置權(quán)限管理的 安全。

1 功能定位

變電站內(nèi)網(wǎng)安全監(jiān)測裝置作為安全專業(yè)的網(wǎng)關(guān)機，是變電站與安全監(jiān)管主站之間關(guān)于安全信息和安全操作交互的接口，獨立于監(jiān)控系統(tǒng)，對站內(nèi)監(jiān)控系統(tǒng)網(wǎng)絡(luò)運行狀態(tài)、非法訪問、非法操作等信息進行監(jiān)視、分析和上送，對網(wǎng)絡(luò)架構(gòu)進行拓撲分析及展示。主要功能包括：

1）數(shù)據(jù)采集。采集主機信息，包括登錄信息、用戶操作信息、外設(shè)狀態(tài)（USB、串口、并口、光驅(qū)及網(wǎng)口）及外聯(lián)事件等；采集網(wǎng)絡(luò)設(shè)備信息，包括網(wǎng)口狀態(tài)、登錄信息、用戶操作信息、流量信息及mac地址綁定關(guān)系等；采集安防設(shè)備信息，包括登錄信息、非法訪問、配置變化及CPU和內(nèi)存的利用率等信息。

2）安全分析及告警。對不同設(shè)備采集的不同格式的信息進行標準化處理、對過于頻繁上送的數(shù)據(jù)進行歸并處理，對不重要的數(shù)據(jù)進行過濾篩選處理。

3）本地展示及管理。提供圖形化的界面進行實時數(shù)據(jù)及統(tǒng)計分析數(shù)據(jù)的多維度多形態(tài)的展示。

4）主子站通信。實現(xiàn)告警事件的上傳及遠程維護、基線核查等功能。

5）高級應(yīng)用。拓撲管理實現(xiàn)站端網(wǎng)絡(luò)架構(gòu)的展示；安全審計實現(xiàn)站內(nèi)安全事件的關(guān)聯(lián)系分析及操作流程的合法性審計；安全核查實現(xiàn)主機的配置信息、口令及鏈接等信息的核查。

變電站內(nèi)網(wǎng)安全監(jiān)測裝置實現(xiàn)對變電站中的關(guān)鍵設(shè)備運行狀況的實時監(jiān)視，對安全事件進行集中展現(xiàn)、實時告警和量化分析以及拓撲展示網(wǎng)絡(luò)架構(gòu)，為安全監(jiān)管平臺提供全面的安全基礎(chǔ)支撐，可及時掌握系統(tǒng)存在的安全隱患。

該裝置典型的應(yīng)用示意圖如圖1所示。

圖1 典型的應(yīng)用示意圖

2 系統(tǒng)設(shè)計

2.1 硬件架構(gòu)設(shè)計

裝置由高性能CPU、大容量固態(tài)存儲設(shè)備、大容量內(nèi)存及豐富外設(shè)組成。硬件結(jié)構(gòu)整體結(jié)構(gòu)如圖2所示。

圖2 硬件架構(gòu)圖

CPU采用4核1.2GHz的高性能PowerPC，負責裝置的所有數(shù)據(jù)處理及數(shù)據(jù)管理。大容量存儲設(shè)備采用256G的SSD，負責配置數(shù)據(jù)、采集數(shù)據(jù)和審計數(shù)據(jù)的存儲；豐富的外設(shè)包含LED、USBkey、千兆網(wǎng)卡、I/O、IRIG-b以及USB等。

2.2 系統(tǒng)軟件設(shè)計

為了能做到分布式、智能化、易擴展，將軟件分為“系統(tǒng)軟件”和“應(yīng)用軟件”兩大塊。應(yīng)用軟件基于系統(tǒng)軟件的支持，完成具體目標功能的實現(xiàn)。系統(tǒng)軟件作為應(yīng)用軟件和硬件之間的聯(lián)系橋梁，負責為應(yīng)用軟件實現(xiàn)I/O通信，以及完成應(yīng)用軟件執(zhí)行的調(diào)度和管理。

裝置軟件運行在嵌入式Linux平臺，總體上按照模塊化進行設(shè)計，每個模塊單獨為一個進程，由此可以將軟件整體分解為若干軟件子系統(tǒng)，分別實現(xiàn)相對獨立的功能。

圖3 系統(tǒng)軟件架構(gòu)圖

3 功能實現(xiàn)

3.1 資產(chǎn)管理

裝置可以在就地的客戶端進行資產(chǎn)信息的錄入、修改、刪除等操作，同時資產(chǎn)信息也可通過調(diào)度遠程修改、添加和刪除，資產(chǎn)信息應(yīng)包括：設(shè)備名稱、設(shè)備IP、MAC地址、設(shè)備類型、設(shè)備廠家、序列號、系統(tǒng)版本、責任人等。變電站內(nèi)網(wǎng)安全監(jiān)測裝置能將資產(chǎn)信息按照若干指定格式的文件進行導出及導入，進行管理備份或還原，同時導出的資產(chǎn)信息也可提供給其他業(yè)務(wù)系統(tǒng)使用。

3.2 數(shù)據(jù)采集

1）主機信息采集

裝置采集變電站站控層、發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)主機設(shè)備操作系統(tǒng)層面所有的用戶登錄、操作信息、移動存儲設(shè)備接入信息及網(wǎng)絡(luò)外聯(lián)等安全事件信息。主機探針負責主動收集采集信息，通過TCP/IP協(xié)議發(fā)送至安全監(jiān)測裝置，安全監(jiān)測裝置應(yīng)作為服務(wù)端開啟8800端口監(jiān)聽主機設(shè)備的連接請求。若站控層存在A、B雙網(wǎng)，則變電站內(nèi)網(wǎng)安全監(jiān)測裝置同時接入A、B雙網(wǎng)交換機。采集數(shù)據(jù)應(yīng)由主機設(shè)備發(fā)出，若出現(xiàn)網(wǎng)絡(luò)故障，則切換至另一網(wǎng)絡(luò)發(fā)送采集信息。若變電站內(nèi)網(wǎng)安全監(jiān)測裝置未能在規(guī)定時間內(nèi)（時間策略可配置）接收到主機設(shè)備發(fā)送的信息，則變電站內(nèi)網(wǎng)安全監(jiān)測裝置上報主機離線告警。

2）網(wǎng)絡(luò)設(shè)備信息采集

裝置采集變電站站控層、發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)的交換機相關(guān)的配置變更、流量信息、網(wǎng)口狀態(tài)等安全事件信息。采集方式包括以下兩種：①以SNMP V3、V2 TRAP方式主動發(fā)送采集信息；②以SNMP V3、V2協(xié)議主動輪詢采集信息，通常優(yōu)先使用SNMP V3協(xié)議。

3）安防信息采集

裝置采集站內(nèi)防火墻、正向隔離裝置和反向隔離裝置等安全防護裝置的Syslog日志，通過監(jiān)聽固定端口實現(xiàn)日志采集，并將日志數(shù)據(jù)解析后，按照一定格式，進行存儲及轉(zhuǎn)發(fā)上送。Syslog采用用戶數(shù)據(jù)報協(xié)議（UDP）作為其底層傳輸機制，Syslog默認采用514端口，端口也可根據(jù)實際情況重新 配置。

3.3 安全分析與告警

1）信息標準化

目前主機、網(wǎng)絡(luò)設(shè)備及安防設(shè)備信息采集的方式不一樣，而且安防設(shè)備送出的Syslog信息的格式也是千差萬別，按照業(yè)務(wù)需要對原始事件中包含的信息進行重定義并標準化[7]，具體內(nèi)容包括：將信息進行相關(guān)的修改定義，將事件的內(nèi)容、描述信息、級別等進行規(guī)范，從而標準化事件信息，便于事件的處理。

2）信息歸并[8]

對主機關(guān)鍵文件變更、用戶權(quán)限變更、危險操作，對網(wǎng)絡(luò)設(shè)備流量超過閾值，配置變更等事件進行安全性分析，并將大量的重復事件進行歸并，同時提供告警事件的第一次發(fā)生的時間和最后一次發(fā)生的時間以及次數(shù)。

3）信息過濾

明確定義采集數(shù)據(jù)的模板，同時配置采集數(shù)據(jù)的屏蔽規(guī)則，可以對指定的事件進行過濾從而提高事件的處理效率和時效性，也可配置轉(zhuǎn)發(fā)上送數(shù)據(jù)的屏蔽規(guī)則，確保主站不關(guān)注的信息直接在站端進行過濾，減少主站處理事件的數(shù)據(jù)量，減輕主站處理事件的壓力[9]。

3.4 本地安全管理

裝置從時間、設(shè)備類型、告警等級、告警對象等多維度提供事件匯總及分析，并自動生成安全運行態(tài)勢報告；本地能夠?qū)崿F(xiàn)顯示資產(chǎn)的在線及離線的統(tǒng)計信息；能夠展示近12個月的告警統(tǒng)計信息；界面能夠按照表格編輯器、餅圖、棒圖、實施曲線圖等多種手段展示。

3.5 綜合數(shù)據(jù)傳輸

主子站通信子采用基于調(diào)度數(shù)字證書[10]的上線認證機制的擴展DL/T 634.5.104規(guī)約進行實時告警信息的傳輸，保證電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視平臺采集裝置的安全性；同時通過服務(wù)代理規(guī)約實現(xiàn)資產(chǎn)的遠程調(diào)閱及修改，采集信息和上傳信息的調(diào)閱，對主機的基線核查、主動斷網(wǎng)和關(guān)鍵文件清單、危險操作定義等參數(shù)的查看和修改，以及遠程升級，從而實現(xiàn)變電站內(nèi)網(wǎng)安全監(jiān)測裝置的遠程維護。

3.6 高級應(yīng)用

1）拓撲管理

網(wǎng)絡(luò)拓撲主要從交換機中讀取拓撲信息，利用拓撲算法形成全站網(wǎng)絡(luò)拓撲模型，并通過動態(tài)掃描得到MAC地址和IP地址之間的關(guān)聯(lián)，根據(jù)網(wǎng)絡(luò)拓撲模型及MAC地址和IP地址之間的關(guān)聯(lián)，進行網(wǎng)絡(luò)拓撲圖像成圖，拓撲圖的分層分布要符合現(xiàn)場的實際情況，并支持拓撲圖的放大、縮小，圖元的拖拽，結(jié)合資產(chǎn)信息可以更加詳細的展示實際拓撲信息。拓撲圖可以按照分層圖、星狀圖和總線圖進行多種方式的展示。

2）安全審計

對主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的歷史登錄信息的關(guān)聯(lián)分析，提取出用戶操作的行為特征及操作軌跡，聚合離散的歷史登錄操作行為記錄，建立歷史記錄間的關(guān)聯(lián)關(guān)系，實現(xiàn)對用戶整個操作流程的審計。

對主機、網(wǎng)絡(luò)設(shè)備的外設(shè)設(shè)備接入歷史記錄與主機操作歷史記錄的關(guān)聯(lián)分析，實現(xiàn)對設(shè)備接入后的相關(guān)操作行為關(guān)聯(lián)審計及操作回溯。

對歷史安全告警信息的記錄分析與挖掘。提取出告警信息間的關(guān)聯(lián)關(guān)系，挖掘出告警事件發(fā)生的趨勢及告警事件的源頭。

3）安全核查

對主機設(shè)備的配置信息進行安全基線核查，實現(xiàn)主機安全加固配置核查，主機用戶與口令合規(guī)性核查，主機通用網(wǎng)絡(luò)服務(wù)關(guān)閉情況核查，主機審計功能檢查，并最終形成核查報告。

4 性能指標

本文研制的變電站內(nèi)網(wǎng)安全監(jiān)測裝置充分考慮了不同應(yīng)用場景下的需求，提供方便的應(yīng)用開發(fā)接口，適合大規(guī)模模塊化應(yīng)用開發(fā)，各項性能指標滿足站內(nèi)各業(yè)務(wù)相應(yīng)的技術(shù)標準。主要性能指標見表1。

表1 主要性能指標

5 試驗與運行

研制成功的變電站內(nèi)網(wǎng)安全監(jiān)測裝置已經(jīng)在國網(wǎng)所屬的變電站實現(xiàn)了工程實用化運行。變電站內(nèi)網(wǎng)安全監(jiān)測裝置部署在二區(qū)，共接入Ⅰ區(qū)和Ⅱ區(qū)的18臺設(shè)備。變電站內(nèi)網(wǎng)安全監(jiān)測裝置工程配置如圖4所示。

圖4 現(xiàn)場實施圖

試點站變電站內(nèi)網(wǎng)安全監(jiān)測裝置通過站控層網(wǎng)絡(luò)實現(xiàn)了對站內(nèi)Ⅰ區(qū)、Ⅱ區(qū)的監(jiān)控主機、網(wǎng)關(guān)機、綜合應(yīng)用服務(wù)器、交換機、防火墻、正向隔離及反向隔離進行數(shù)據(jù)采集；同時通過雙平面的非實時通道實現(xiàn)了與主站安全監(jiān)管平臺進行告警上送及服務(wù)代理功能的調(diào)用。

變電站內(nèi)網(wǎng)安全監(jiān)測裝置于2017年在實際工程實用以來，各對象數(shù)據(jù)采集、分析及轉(zhuǎn)發(fā)未出現(xiàn)任何問題，CPU負荷一直在低位運行，現(xiàn)場運行性能完全滿足實際要求。

安全監(jiān)視在現(xiàn)場應(yīng)用效果顯著，現(xiàn)場有違規(guī)操作的時候（例如主機插拔U盤）、安防設(shè)備有非法訪問或特殊操作（交換機上插拔網(wǎng)線）等裝置均正常進行告警和記錄并實時上送安全監(jiān)管平臺。

拓撲管理為現(xiàn)場高效的分析處理網(wǎng)絡(luò)問題提供了有力支撐，圖5為現(xiàn)場實際的星狀拓撲圖，可以便捷的查看實際通信鏈路，與物理鏈路進行比對可以快速定位網(wǎng)絡(luò)異常。

圖5 拓撲星狀圖

6 結(jié)論

變電站內(nèi)網(wǎng)安全監(jiān)測裝置作為電力二次系統(tǒng)內(nèi)網(wǎng)安全監(jiān)測建設(shè)中站內(nèi)核心設(shè)備，承擔著站內(nèi)安全信息數(shù)據(jù)中心、監(jiān)視中心和控制中心的作用，其運行可靠性、數(shù)據(jù)處理實時性以及與主站應(yīng)用的互動貫通功能是其關(guān)鍵考核指標，目前處于試點運行階段。變電站內(nèi)網(wǎng)安全監(jiān)測裝置的建設(shè)有助于廠站安全防護體系由邊界防護向縱深防御發(fā)展，解決了對關(guān)鍵安全設(shè)備的集中采集和統(tǒng)一管理的問題，為主站提供全面的安全基礎(chǔ)支撐，有利于及時掌握系統(tǒng)存在的安全隱患，對保證電網(wǎng)安全穩(wěn)定運行具有重要意義。

[1] 肖建民. 電力調(diào)度自動化二次安全防護方案分析[J].電氣技術(shù), 2016, 17(7): 157-160.

[2] 胡炎, 辛耀中, 韓英鐸. 二次系統(tǒng)安全體系結(jié)構(gòu)化設(shè)計方案[J]. 電力系統(tǒng)自動化, 2003, 27(21): 63-68.

[3] 鄭潔. 智能變電站網(wǎng)絡(luò)可靠性和信息安全的研究[J]. 電氣技術(shù), 2015, 16(11): 118-121.

[4] 王益民, 辛耀中, 向力, 等. 調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護[J]. 電力系統(tǒng)自動化, 2001, 25(21): 5-8.

[5] 湯震宇, 胡紹謙, 林青, 等. 一種三位一體的變電站安全防護架構(gòu)的設(shè)計探討[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2017(9): 129-130.

[6] 陳茂源, 孫煒, 梁野, 等. 電力二次系統(tǒng)內(nèi)網(wǎng)安全監(jiān)視功能的研究及實現(xiàn)[J]. 江蘇電機工程, 2014, 33(3): 31-34.

[7] 黃學慶, 夏友斌, 潘文虎, 等. 分布式電網(wǎng)二次設(shè)備管控平臺的研究[J]. 電氣技術(shù), 2017, 18(8): 114-117.

[8] 劉巍, 李鵬, 李猛, 等. 面向智能配電網(wǎng)的大數(shù)據(jù)統(tǒng)一支撐平臺體系與架構(gòu)[J]. 電工技術(shù)學報, 2014, 29(S1): 486-491.

[9] 周國亮, 朱永利, 王桂蘭, 等. 實時大數(shù)據(jù)處理技術(shù)在狀態(tài)監(jiān)測領(lǐng)域中的應(yīng)用[J]. 電工技術(shù)學報, 2014, 29(S1): 432-437.

[10] 劉剛, 梁野, 李毅松, 等. 數(shù)字證書技術(shù)在電力二次系統(tǒng)中的實現(xiàn)及應(yīng)用[J]. 電網(wǎng)技術(shù), 2006(30): 71-75.

Design and implementation of internal network security monitoring device for substations

You Xiaoming Tang Zhenyu Hu Shaoqian Lin Qing Cao Xiang

(NARI-Relays Electric Co., Ltd, Nanjing 211102)

At present, there is a lack of unified management and statistical analysis for the security protection of the secondary system in substations，so the internal network security monitoring device for substations is developed for this situation. The device realizes the real-time monitoring of the running status of the mainframe equipment, network equipment and security protection equipment. The device displays the security events in a centralized way, the real-time alarm and the quantitative analysis, the topology of the substation network architecture, and send the station information to the safety supervision platform through the dispatching data network. Uploading provides reliable information sources and effective analytical tools for the secondary system security audit evaluation. The operation practice of the pilot station in State Grid shows that the internal network security monitoring device is of great significance for the operators to master and analyze the operation of the safety equipment in time, find and deal with the hidden danger of security, and ensure the stable operation of the substation.

secondary system; safety monitoring; safety analysis; topology display

2018-06-14

尤小明（1983-），男，湖北省襄陽市人，碩士，工程師，從事變電站自動化系統(tǒng)、通信協(xié)議和信息安全方面工作。