韋建新

摘要：針對(duì)500kV變電站電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的實(shí)施與應(yīng)用，分析了廠站端安全態(tài)勢(shì)感知的應(yīng)用現(xiàn)狀與前景。以云南楚雄500kV和平變電站的網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站裝置加裝和調(diào)試為例，分析了網(wǎng)絡(luò)安全態(tài)勢(shì)感知的基本業(yè)務(wù)和功能特點(diǎn)，提出了相應(yīng)的具體措施和對(duì)策。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢(shì)感知;500kV變電站;二次安防

一、引言

變電站作為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，面臨的網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻，一旦遭受網(wǎng)絡(luò)安全攻擊將可能導(dǎo)致大面積停電事件，嚴(yán)重威脅企業(yè)和國(guó)家安全。建立網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，對(duì)電力監(jiān)控系統(tǒng)進(jìn)行全方位、全天候的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和非法訪問(wèn)，實(shí)現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知及預(yù)警，成為電力監(jiān)控系統(tǒng)二次安防的迫切需求。

二、系統(tǒng)結(jié)構(gòu)

500kV和平變電站監(jiān)控后臺(tái)系統(tǒng)是楚雄供電局重要的電力監(jiān)控系統(tǒng)，其上承載了自動(dòng)化、保信、計(jì)量等多套業(yè)務(wù)。目前，該變電站的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)主要依靠傳統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)以及風(fēng)險(xiǎn)評(píng)估來(lái)發(fā)現(xiàn)問(wèn)題。因此，整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)監(jiān)視、管理主要依靠人工日常運(yùn)維，缺乏自動(dòng)化的風(fēng)險(xiǎn)發(fā)現(xiàn)和監(jiān)控措施。

通過(guò)在500kV和平變電站安全I(xiàn)區(qū)和Ⅲ區(qū)邊界，分別部署一套網(wǎng)絡(luò)安全監(jiān)測(cè)終端，實(shí)現(xiàn)對(duì)變電站各電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、范式化處理、數(shù)據(jù)建模和關(guān)聯(lián)分析。具體實(shí)施內(nèi)容包括：

（1）在500kV和平變站控層A/B網(wǎng)、控制區(qū)（安全區(qū)I）和生產(chǎn)管理區(qū)（安全區(qū)III）部署廠站安全監(jiān)控終端，實(shí)現(xiàn)站控層A/B網(wǎng)、生產(chǎn)控制大區(qū)以及生產(chǎn)管理區(qū)的網(wǎng)絡(luò)安全數(shù)據(jù)采集以及風(fēng)險(xiǎn)在線識(shí)別。

（2）選擇典型的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備進(jìn)行數(shù)據(jù)采集以及接入，數(shù)據(jù)采集方式包括Agent、SNMP、SNMP trap、syslog以及流量鏡像等方式。

（3）修改I區(qū)加密裝置，Ⅱ區(qū)縱向防火墻、I/II區(qū)橫向防火墻、I、II區(qū)互聯(lián)交換機(jī)、III區(qū)互聯(lián)交換機(jī)的ACL安全策略，實(shí)現(xiàn)站內(nèi)及主子站之間系統(tǒng)數(shù)據(jù)的互聯(lián)互通。

變電站加裝感知裝置后的網(wǎng)絡(luò)拓?fù)鋱D如下：

三、具體實(shí)施與應(yīng)用

500kV和平變態(tài)勢(shì)感知系統(tǒng)施工及接入工程涉及內(nèi)容如下：

（1）現(xiàn)場(chǎng)勘察：進(jìn)入變電站進(jìn)行現(xiàn)場(chǎng)勘察，工作內(nèi)容主要包含勘察設(shè)備上架、取電及綜合布線情況;勘察現(xiàn)場(chǎng)設(shè)備的型號(hào)及實(shí)際業(yè)務(wù)情況;對(duì)前期資產(chǎn)臺(tái)賬收集及網(wǎng)絡(luò)拓?fù)鋱D進(jìn)行校驗(yàn)核對(duì)。

（2）廠站采集裝置上架：和平變電站采集裝置為廣州兆和電力技術(shù)有限公司（簡(jiǎn)稱兆和）廠家裝置，有兩臺(tái)裝置分別部署于I、III大區(qū)，每臺(tái)設(shè)備需要2U的安裝位置，設(shè)備采用220V交流雙電源。

（3）網(wǎng)絡(luò)綜合布線：和平變電站采集裝置分為I區(qū)采集與III區(qū)采集裝置。I區(qū)采集裝置需要與站控層交換機(jī)、調(diào)度數(shù)據(jù)網(wǎng)I、II區(qū)實(shí)時(shí)與非實(shí)時(shí)交換機(jī)和保信C網(wǎng)和故障錄波交換機(jī)進(jìn)行網(wǎng)絡(luò)連接;III區(qū)裝置需要與綜合數(shù)據(jù)網(wǎng)交換機(jī)、進(jìn)行網(wǎng)絡(luò)互聯(lián)。

（4）廠站采集裝置調(diào)試：對(duì)廠站采集裝置與主站的通信進(jìn)行調(diào)試，確保廠站裝置與主站的通信正常。

（5）NMAP掃描：完善對(duì)變電站的資產(chǎn)詳情統(tǒng)計(jì)，可通過(guò)NMAP掃描達(dá)到收集設(shè)備信息的目的。

（6）交換機(jī)配置：為達(dá)到數(shù)據(jù)采集的目的，需對(duì)站內(nèi)的交換機(jī)管理IP、SNMP、SNMP Trap、SYSLOG進(jìn)行相關(guān)配置。

（7）主機(jī)設(shè)備配置：配合數(shù)據(jù)采集，還需在主機(jī)設(shè)備安裝配置SNMP、SYSLOG、Agent。主要包含監(jiān)控后臺(tái)機(jī)、工作站和三區(qū)的辦公電腦等。

（8）站內(nèi)設(shè)備接入：將站內(nèi)的網(wǎng)絡(luò)設(shè)備全部接入兆和數(shù)據(jù)采集裝置，接入設(shè)備以交換機(jī)為核心。

（9）主廠站調(diào)試：接入站內(nèi)設(shè)備后，通過(guò)采集裝置將數(shù)據(jù)上送至主站態(tài)勢(shì)感知平臺(tái)，確保上送數(shù)據(jù)及采集功能的準(zhǔn)確性，完整性。

四、總體特點(diǎn)與主要風(fēng)險(xiǎn)

（一）網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置的標(biāo)準(zhǔn)

本次工程依據(jù)《南方電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知廠站裝置技術(shù)規(guī)范》，具體檢測(cè)方法參見(jiàn)各廠家調(diào)試手冊(cè)。

（二）主站系統(tǒng)與廠站裝置

態(tài)勢(shì)感知主站系統(tǒng)指部署在各個(gè)調(diào)控中心（監(jiān)控、檢修中心），具備網(wǎng)絡(luò)安全數(shù)據(jù)采集、安全監(jiān)視、安全審計(jì)、預(yù)測(cè)分析等功能的系統(tǒng)。廠站裝置是指部署在廠站電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，對(duì)廠站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集、分析處理并與主站系統(tǒng)通信的裝置。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知主站系統(tǒng)、廠站裝置在生產(chǎn)控制大區(qū)的態(tài)勢(shì)感知數(shù)據(jù)信息通過(guò)調(diào)度數(shù)據(jù)網(wǎng)非實(shí)時(shí)VPN 進(jìn)行交互;主站系統(tǒng)、廠站裝置在管理信息大區(qū)的態(tài)勢(shì)感知數(shù)據(jù)信息通過(guò)綜合數(shù)據(jù)網(wǎng)進(jìn)行交互。

500kV和平變電站態(tài)勢(shì)感知系統(tǒng)部署主要特點(diǎn)如下：（1）需提前規(guī)劃提交項(xiàng)目部署實(shí)施所需的IP、端口及網(wǎng)絡(luò)資源;（2）工作中涉及配置交換機(jī)、主機(jī)設(shè)備及二次安防設(shè)備，需要進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估，做好數(shù)據(jù)備份工作、數(shù)據(jù)封鎖工作;（3）工作中設(shè)計(jì)設(shè)備上架、取電及綜合布線，需要進(jìn)行相應(yīng)的風(fēng)險(xiǎn)評(píng)估，做好安全防范工作;（4）部署接入完成后需與中調(diào)主站平臺(tái)核對(duì)數(shù)據(jù)與功能無(wú)誤，經(jīng)其確認(rèn)數(shù)據(jù)與功能無(wú)誤后方可結(jié)束工作。

同時(shí)，本次工程的主要風(fēng)險(xiǎn)有以下幾點(diǎn)：（1）在設(shè)備上架、取電及綜合布線時(shí)走錯(cuò)機(jī)房，動(dòng)錯(cuò)設(shè)備;（2）在進(jìn)行主子站通信配置時(shí)二次安防設(shè)備增加配置影響現(xiàn)有策略;（3）在設(shè)備安裝時(shí)上電及線纜敷設(shè)影響現(xiàn)有設(shè)備的正常運(yùn)行;（4）被監(jiān)視的設(shè)備開(kāi)啟協(xié)議與配置時(shí)導(dǎo)致交換機(jī)故障、重啟;主機(jī)設(shè)備安裝Agent時(shí)導(dǎo)致主機(jī)故障、重啟;主機(jī)開(kāi)啟Agent時(shí)導(dǎo)致主機(jī)設(shè)備性能下降，導(dǎo)致服務(wù)器運(yùn)行緩慢或者宕機(jī);（5）監(jiān)視站內(nèi)設(shè)備時(shí)網(wǎng)絡(luò)安全監(jiān)測(cè)廠站終端調(diào)試過(guò)程中存在異常網(wǎng)絡(luò)行為，影響到站內(nèi)其它設(shè)備;網(wǎng)絡(luò)安全監(jiān)測(cè)廠站終端數(shù)據(jù)采集過(guò)于頻繁導(dǎo)致被監(jiān)視設(shè)備變慢或宕機(jī);（6）I區(qū)主子站通信通道調(diào)試時(shí)誤配置終端IP引起地址沖突，導(dǎo)致運(yùn)行業(yè)務(wù)通道中斷;

五、結(jié)束語(yǔ)

為滿足電力監(jiān)控系統(tǒng)安全防護(hù)的需求，通過(guò)部署電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全廠站監(jiān)測(cè)裝置，實(shí)現(xiàn)變電站網(wǎng)絡(luò)安全數(shù)據(jù)接入、分析，達(dá)到變電站網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可發(fā)現(xiàn)、可控制、可溯源的目的。這樣能顯著提升電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全水平，及時(shí)感知和防止不法分子通過(guò)電網(wǎng)控制系統(tǒng)影響電網(wǎng)安全運(yùn)行，降低網(wǎng)絡(luò)安全事故事件的發(fā)生概率，不斷提升用戶對(duì)電網(wǎng)企業(yè)的信心，樹(shù)立企業(yè)良好形象。

（作者單位：楚雄供電局）