◆韓彥哲

火力發(fā)電廠網(wǎng)絡(luò)安全監(jiān)測(cè)裝置部署策略探討

◆韓彥哲

（神華國能集團(tuán)有限公司神頭第二發(fā)電廠 山西 036002）

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置通過采集監(jiān)測(cè)對(duì)象運(yùn)行信息，對(duì)安全事件進(jìn)行分析及實(shí)時(shí)告警。本文介紹了火力發(fā)電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置的采集對(duì)象、探針程序的配置和調(diào)試以及部署策略，防范了黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及傷害，保障了電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

火力發(fā)電廠；電力監(jiān)控系統(tǒng)；網(wǎng)絡(luò)安全監(jiān)測(cè)裝置；網(wǎng)絡(luò)安全

電力行業(yè)是關(guān)系國計(jì)民生的重要基礎(chǔ)產(chǎn)業(yè)，電力系統(tǒng)的安全穩(wěn)定運(yùn)行直接關(guān)系到國民經(jīng)濟(jì)的發(fā)展和人民的生命財(cái)產(chǎn)安全以及社會(huì)的穩(wěn)定[1-2]?；鹆Πl(fā)電廠調(diào)度自動(dòng)化系統(tǒng)作為電力監(jiān)控系統(tǒng)的重要組成部分，其在對(duì)電廠涉網(wǎng)設(shè)備運(yùn)行信息采集分析的科學(xué)基礎(chǔ)上，運(yùn)用現(xiàn)代自動(dòng)化技術(shù)及通信技術(shù)，由計(jì)算機(jī)監(jiān)控作出縱觀全局的控制決策，用來監(jiān)控電廠涉網(wǎng)設(shè)備的運(yùn)行狀態(tài)[3]。調(diào)度自動(dòng)化系統(tǒng)是火力發(fā)電廠電網(wǎng)調(diào)度和電網(wǎng)運(yùn)行管理不可或缺的重要組成部分，其安全問題一直受到國家電網(wǎng)公司的重點(diǎn)關(guān)注[4]。為了加強(qiáng)調(diào)度自動(dòng)化系統(tǒng)的信息安全管理，防范黑客及惡意代碼等對(duì)調(diào)度自動(dòng)化系統(tǒng)的攻擊和侵害，切實(shí)保障電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全，生產(chǎn)控制大區(qū)應(yīng)當(dāng)逐步推廣內(nèi)網(wǎng)安全監(jiān)視功能，實(shí)時(shí)監(jiān)測(cè)電力監(jiān)控系統(tǒng)的計(jì)算機(jī)、網(wǎng)絡(luò)及安全設(shè)備運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警。本文探討了火力發(fā)電廠網(wǎng)絡(luò)安全監(jiān)測(cè)裝置的部署策略，以保障調(diào)度自動(dòng)化系統(tǒng)的穩(wěn)定可靠運(yùn)行。

1 監(jiān)測(cè)裝置采集對(duì)象

火力發(fā)電廠網(wǎng)絡(luò)安全監(jiān)測(cè)裝置監(jiān)測(cè)信息對(duì)象為涉網(wǎng)部分的火電廠電力監(jiān)控系統(tǒng)，覆蓋主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、通用及專用安防設(shè)備，具體包括：火力發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)（NCS）、遠(yuǎn)動(dòng)裝置、電量計(jì)費(fèi)采集裝置、同步向量測(cè)量裝置（PMU）、故障錄波器、保護(hù)及故障信息子站等。

1.1 監(jiān)測(cè)對(duì)象采集方式

（1）服務(wù)器及工作站

在服務(wù)器、工作站上部署網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序，將采集的網(wǎng)絡(luò)安全信息發(fā)送至網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，對(duì)服務(wù)器及工作站的用戶登錄、操作信息、運(yùn)行狀態(tài)、移動(dòng)存儲(chǔ)設(shè)備接入、網(wǎng)絡(luò)外聯(lián)等事件信息進(jìn)行監(jiān)視。

（2）網(wǎng)絡(luò)設(shè)備

網(wǎng)絡(luò)設(shè)備的采集方式可有以下三種：通過SNMP協(xié)議主動(dòng)從交換機(jī)獲取所需信息；通過SNMP TRAP協(xié)議被動(dòng)接收交換機(jī)事件信息；通過日志協(xié)議（syslog）采集交換機(jī)信息，對(duì)用戶登錄、操作信息、配置變更、流量信息、網(wǎng)口狀態(tài)、MAC地址綁定關(guān)系等信息進(jìn)行監(jiān)視。

（3）安全防護(hù)設(shè)備

通過裝置自身日志協(xié)議將數(shù)據(jù)傳至監(jiān)測(cè)裝置，對(duì)用戶登錄、配置變更、運(yùn)行狀態(tài)、安全事件等信息進(jìn)行監(jiān)視。

1.2 監(jiān)測(cè)裝置型式

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置Ⅰ型監(jiān)測(cè)對(duì)象包括調(diào)度主站主機(jī)、數(shù)據(jù)庫、內(nèi)網(wǎng)交換機(jī)及安防設(shè)備等。網(wǎng)絡(luò)安全監(jiān)測(cè)裝置Ⅱ型監(jiān)測(cè)變電站站控層及發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備。

《國家電網(wǎng)公司關(guān)于加快推進(jìn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)的通知》（國家電網(wǎng)調(diào)〔2017〕1084號(hào)）文件明確指出：“在變電站、并網(wǎng)電廠電力監(jiān)控系統(tǒng)的安全Ⅱ區(qū)（或Ⅰ區(qū)）部署Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的監(jiān)視與管理。”

2 探針配置

2.1 主機(jī)探針配置

主機(jī)類資產(chǎn)若與網(wǎng)絡(luò)安全監(jiān)測(cè)裝置進(jìn)行通信，需要在主機(jī)上安裝探針軟件（Agent），用來監(jiān)測(cè)并上傳主機(jī)的USB、端口、外部網(wǎng)絡(luò)連接等信息。目前探針程序已兼容Windows、Linux、Unix版本。

使用工具將探針軟件安裝包上傳到主機(jī)電腦，輸入命令執(zhí)行探針安裝腳本。以南京南瑞繼保電氣有限公司生產(chǎn)的PCS-9895BⅡ型裝置為例說明，探針程序安裝成功后運(yùn)行./PCS-9895D_UI_GW_release.sh，輸入用戶名及密碼登錄主界面針對(duì)一些常用的參數(shù)進(jìn)行配置。

圖1 主機(jī)探針配置界面1

圖2 主機(jī)探針配置界面2

圖1和圖2為主機(jī)探針配置界面。主界面中可以對(duì)操作事件、網(wǎng)絡(luò)外聯(lián)事件、開放非法端口事件、網(wǎng)口UP/DOWN事件及關(guān)鍵文件變更等進(jìn)行詳細(xì)配置。

2.2 網(wǎng)關(guān)機(jī)（遠(yuǎn)動(dòng)）探針配置

網(wǎng)關(guān)機(jī)探針配置方法和主機(jī)探針配置方法相同，探針程序部署成功后運(yùn)行./PCS-9895D_UI_GW_release_independent.sh，輸入用戶名及密碼登錄主界面進(jìn)行參數(shù)配置，建議現(xiàn)場(chǎng)互為主備的兩臺(tái)網(wǎng)關(guān)機(jī)探針配置保持相同。

2.3 交換機(jī)探針配置

現(xiàn)場(chǎng)中若交換機(jī)型號(hào)或程序版本老舊，不支持接入網(wǎng)絡(luò)安全監(jiān)測(cè)裝置時(shí)，需對(duì)程序進(jìn)行升級(jí)或更換滿足要求的交換機(jī)。現(xiàn)場(chǎng)通常有多臺(tái)交換機(jī)需要接入網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，可以考慮將第一臺(tái)交換機(jī)配置好，并完成信號(hào)測(cè)試后，將其配置文件略加修改，傳輸?shù)狡渌吞?hào)同版本交換機(jī)中，提高工作效率。以南京南瑞繼保電氣有限公司生產(chǎn)的PCS-9882AD交換機(jī)為例說明，設(shè)置好調(diào)試筆記本本地IP地址，利用IE瀏覽器登錄交換機(jī)默認(rèn)IP地址192.169.0.82，輸入用戶名及密碼。圖3為交換機(jī)配置界面。

圖3 交換機(jī)配置界面

3 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置部署方案

國調(diào)網(wǎng)絡(luò)安全處按照“監(jiān)測(cè)對(duì)象自身感知、網(wǎng)絡(luò)安全監(jiān)測(cè)裝置分布采集、網(wǎng)絡(luò)安全管理平臺(tái)統(tǒng)一管控”的原則，構(gòu)建了一個(gè)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理體系，如圖4所示。

圖4 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理體系

廠站如果只有安全Ⅰ區(qū)，則只需在安全Ⅰ區(qū)部署一臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置；若有安全Ⅰ區(qū)、Ⅱ區(qū)，且兩個(gè)區(qū)通過防火墻相連，則在安全Ⅱ區(qū)部署一臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置即可；若有安全Ⅰ區(qū)、Ⅱ區(qū)，且兩個(gè)區(qū)通過單向隔離裝置相連接，則需在安全Ⅰ區(qū)、Ⅱ區(qū)各部署一臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置；若有安全Ⅰ區(qū)、Ⅱ區(qū)，且兩個(gè)區(qū)相互獨(dú)立沒有連接，則需在安全Ⅰ區(qū)、Ⅱ區(qū)各部署一臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。

以某火力發(fā)電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置部署實(shí)施方案為例，其部署拓?fù)鋱D如圖5所示，接入業(yè)務(wù)包括計(jì)算機(jī)監(jiān)控系統(tǒng)（NCS 5臺(tái)SCADA主機(jī)）、遠(yuǎn)動(dòng)裝置、電量計(jì)費(fèi)采集裝置、同步向量測(cè)量裝置（PMU）、故障錄波器及網(wǎng)絡(luò)交換機(jī)。網(wǎng)絡(luò)安全監(jiān)測(cè)裝置為南京南瑞繼保電氣有限公司生產(chǎn)的PCS-9895BⅡ型裝置。

圖5 某火力發(fā)電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置部署拓?fù)鋱D

火力發(fā)電廠接入的設(shè)備數(shù)量與類型比較多，對(duì)于如PMU工作站、煙氣終端等孤網(wǎng)設(shè)備（只涉及調(diào)度數(shù)據(jù)網(wǎng)，不涉站控層）可通過擴(kuò)展網(wǎng)卡的方式與網(wǎng)絡(luò)安全監(jiān)測(cè)裝置直接連接，從而采集其安全事件，如不支持?jǐn)U展網(wǎng)卡，則可通過調(diào)度數(shù)據(jù)網(wǎng)交換機(jī)實(shí)現(xiàn)與監(jiān)測(cè)裝置互通，采集其安全事件。

由于縱向加密認(rèn)證裝置已經(jīng)由調(diào)度主站的網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行了監(jiān)測(cè)，故網(wǎng)絡(luò)安全監(jiān)測(cè)裝置不需要對(duì)縱向加密認(rèn)證裝置進(jìn)行安全事件的采集與監(jiān)測(cè)。

部署在Ⅰ區(qū)的網(wǎng)絡(luò)安全監(jiān)測(cè)裝置通過以太網(wǎng)口連接到電廠內(nèi)網(wǎng)交換機(jī)上，實(shí)現(xiàn)對(duì)廠站內(nèi)遠(yuǎn)動(dòng)裝置、NCS系統(tǒng)SCADA服務(wù)器及內(nèi)網(wǎng)交換機(jī)的安全信息采集；對(duì)于PMU工作站利用PMU交換機(jī)通過以太網(wǎng)口與網(wǎng)絡(luò)安全監(jiān)測(cè)裝置相連，實(shí)現(xiàn)安全事件的采集。部署在Ⅱ區(qū)的網(wǎng)絡(luò)安全監(jiān)測(cè)裝置通過以太網(wǎng)口連接到電廠內(nèi)電量計(jì)費(fèi)服務(wù)器及通過以太網(wǎng)口連接到故障錄波器交換機(jī)上，實(shí)現(xiàn)對(duì)其安全信息的采集工作。

另外火力發(fā)電廠還可根據(jù)本廠電力監(jiān)控系統(tǒng)結(jié)構(gòu)確定是否選用本地?cái)U(kuò)展功能。

圖6 本地功能擴(kuò)展拓

圖6所示為本地功能擴(kuò)展拓?fù)鋱D。服務(wù)器用來存儲(chǔ)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置采集到的監(jiān)視對(duì)象的運(yùn)行信息、操作信息及告警信息，實(shí)現(xiàn)安全監(jiān)視、安全告警、安全分析以及安全審計(jì)功能。人機(jī)工作站用來展示本地網(wǎng)絡(luò)安全信息，用于本地監(jiān)視。

4 調(diào)試

南京南瑞繼保電氣有限公司生產(chǎn)的PCS-9895B廠站安全監(jiān)測(cè)裝置可以實(shí)現(xiàn)對(duì)電力二次系統(tǒng)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備運(yùn)行狀況的實(shí)時(shí)監(jiān)視，對(duì)安全事件進(jìn)行集中采集、實(shí)時(shí)告警和分析，并將站端信息通過調(diào)度數(shù)據(jù)網(wǎng)向安全監(jiān)管平臺(tái)主站上傳，為電力二次系統(tǒng)安全審計(jì)評(píng)估提供可靠的信息來源和有效的分析手段。

對(duì)探針的調(diào)試主要是在主機(jī)側(cè)開啟相關(guān)功能后觸發(fā)相關(guān)事件，然后在網(wǎng)絡(luò)安全監(jiān)測(cè)裝置的告警窗口中查看。主要事件觸發(fā)方式包括如下：登錄成功、操作輸入信息、操作回顯信息、退出登錄、USB接入/拔出、網(wǎng)口UP/DOWN、用戶權(quán)限變更、關(guān)鍵文件/目錄變更、網(wǎng)口流量超過閾值、非法外聯(lián)、MAC地址綁定關(guān)系、修改用戶密碼等等。如圖7所示為網(wǎng)絡(luò)安全監(jiān)測(cè)裝置登錄首頁面，圖8為觸發(fā)事件詳細(xì)告警頁面。

網(wǎng)口UP/DOWN：在開啟功能情況下，插拔一下網(wǎng)線即可觸發(fā)，注意不要插拔與調(diào)度數(shù)據(jù)網(wǎng)相連接的網(wǎng)線。

圖7 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置登錄首頁面

圖8 網(wǎng)絡(luò)安全監(jiān)測(cè)裝置告警頁面

非法外聯(lián)：在啟用網(wǎng)絡(luò)外聯(lián)事件監(jiān)測(cè)情況下，配置一下白名單，如果使用觸發(fā)上送，則找一個(gè)不在白名單的IP，連接一下裝了探針的機(jī)器即可，如果使用周期上送，不在白名單的連接時(shí)間超過一個(gè)周期即可上報(bào)。

5 結(jié)束語

監(jiān)測(cè)現(xiàn)場(chǎng)作業(yè)操作行為，能夠及時(shí)發(fā)現(xiàn)并處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及事件，為全面營造清朗有序安全的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)空間奠定了基礎(chǔ)，保障了電力系統(tǒng)的安全穩(wěn)定運(yùn)行。

[1]張燕，張劍.論我國電力系統(tǒng)及其自動(dòng)化發(fā)展現(xiàn)狀及趨勢(shì)[J].山東工業(yè)技術(shù)，2016．

[2]高小芊，羅超.電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置功能及實(shí)施[J].通訊世界，2019.

[3]王菊.發(fā)電廠調(diào)度自動(dòng)化系統(tǒng)二次防護(hù)探討[J].數(shù)字技術(shù)與應(yīng)用，2012.

[4]張瑤瑤，胡斌，路天峰，等.調(diào)度自動(dòng)化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護(hù)研究[J].工程技術(shù)研究，2019.