摘 要：隨著信息技術(shù)的發(fā)展以及電力行業(yè)對信息化的需求越來越大，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，鑒于此，在火力發(fā)電廠加裝了網(wǎng)絡(luò)安全態(tài)勢感知裝置，其能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行提取、分析及預(yù)測，實現(xiàn)全天候、全方位網(wǎng)絡(luò)安全態(tài)勢感知，確保電力監(jiān)控網(wǎng)絡(luò)安全穩(wěn)定運行。

關(guān)鍵詞：二次安全防護(hù);網(wǎng)絡(luò)安全;態(tài)勢感知

0? ? 引言

從電力監(jiān)控網(wǎng)絡(luò)安全建設(shè)來看，漏洞管理、系統(tǒng)加固、安全區(qū)劃分、防火墻、加密認(rèn)證裝置等措施，在一定程度上反映了網(wǎng)絡(luò)安全狀態(tài)，并且在安全防護(hù)上也取得了一定的成果，但這些都是被動防御措施，難以適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的需要。在進(jìn)一步提升安全運營水平的同時，有必要積極開展主動防御能力的建設(shè)，采用更加積極的對抗措施來應(yīng)對各種網(wǎng)絡(luò)安全問題。應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，能夠全面、動態(tài)分析和預(yù)測網(wǎng)絡(luò)安全問題，感知網(wǎng)絡(luò)攻擊行為，提升主動防御能力。

1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)介紹

1.1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的目標(biāo)和原則

電力監(jiān)控系統(tǒng)安全防護(hù)主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)。要建立健全電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)體系，在統(tǒng)一的安全策略下保護(hù)重要系統(tǒng)免受黑客、病毒、惡意代碼等的侵害，特別是能夠抵御來自外部有組織的團(tuán)體、擁有豐富資源的威脅源發(fā)起的惡意攻擊，能夠減輕嚴(yán)重自然災(zāi)害造成的損害，并能在系統(tǒng)遭到損害后迅速恢復(fù)主要功能，防止電力監(jiān)控系統(tǒng)的安全事件引發(fā)或?qū)е码娏σ淮蜗到y(tǒng)事故或大面積停電事故。安全防護(hù)的基本原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。安全防護(hù)的核心能力是“保護(hù)、檢測、響應(yīng)、恢復(fù)、審計”的閉環(huán)機(jī)制。電力監(jiān)控系統(tǒng)安全防護(hù)是一項系統(tǒng)工程，其總體安全防護(hù)水平取決于系統(tǒng)中最薄弱點的安全水平。

1.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢感知是基于網(wǎng)絡(luò)環(huán)境動態(tài)、整體地洞悉安全風(fēng)險，以安全大數(shù)據(jù)為基礎(chǔ)，全面提升對安全威脅的識別、分析、處置能力的一種方式。面對網(wǎng)絡(luò)空間安全形勢所帶來的挑戰(zhàn)，在強(qiáng)大的信息和數(shù)據(jù)分析平臺的支持下，使用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù)，能夠全面了解當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，預(yù)測其發(fā)展趨勢并做出有效的規(guī)劃和響應(yīng)。

電力監(jiān)控網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)主要由網(wǎng)絡(luò)安全態(tài)勢感知主站系統(tǒng)和采集裝置組成。主站系統(tǒng)是指部署在各級調(diào)控中心，具備網(wǎng)絡(luò)安全實時監(jiān)視、日志審計、預(yù)測分析等功能的應(yīng)用系統(tǒng);采集裝置是指部署在各級調(diào)控中心、各級發(fā)電廠、變電站電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，對主站或廠站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集、分析、處理并與主站系統(tǒng)通信的裝置。采集裝置和主站系統(tǒng)通過現(xiàn)有的數(shù)據(jù)網(wǎng)進(jìn)行通信。

2? ? 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在火力發(fā)電廠的實施

2.1? ? 工程介紹

某電廠一期工程安裝2臺330 MW機(jī)組，2臺發(fā)電機(jī)組經(jīng)升壓變壓器接入220 kV系統(tǒng)，有3回220 kV出線。根據(jù)南方電網(wǎng)公司《關(guān)于印發(fā)2018年南方電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)工作方案的通知》（南方電網(wǎng)系統(tǒng)〔2018〕7號）的要求，在該火力發(fā)電廠加裝態(tài)勢感知裝置。

2.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的現(xiàn)狀

目前該火力發(fā)電廠的網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)（安全Ⅰ區(qū)、Ⅱ區(qū)）、信息管理大區(qū)（安全Ⅲ區(qū)），二次安全防護(hù)設(shè)備結(jié)合數(shù)據(jù)網(wǎng)雙平面實施，配置縱向加密認(rèn)證裝置、防火墻、互聯(lián)交換機(jī)等設(shè)備。在生產(chǎn)控制大區(qū)邊界部署入侵檢測系統(tǒng)（IDS），實現(xiàn)對各個業(yè)務(wù)系統(tǒng)與橫向、縱向網(wǎng)絡(luò)邊界的入侵檢測。在生產(chǎn)控制大區(qū)部署日志審計設(shè)備，對各種網(wǎng)絡(luò)設(shè)備運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、安全防護(hù)設(shè)備運行日志和告警信息等進(jìn)行集中收集、分析、審計和告警處理。

2.3? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知裝置的應(yīng)用

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知平臺在電廠安全區(qū)Ⅰ、安全區(qū)Ⅲ中分別部署獨立的網(wǎng)絡(luò)安全態(tài)勢感知裝置（圖1）。本工程新增的2臺ZH-NSS-3000S網(wǎng)絡(luò)安全態(tài)勢感知裝置為廣州兆和電力技術(shù)有限公司產(chǎn)品，分別采集處理本區(qū)域內(nèi)的網(wǎng)絡(luò)流量、日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等，安全區(qū)Ⅱ不需要部署獨立的網(wǎng)絡(luò)安全態(tài)勢感知裝置，安全區(qū)Ⅱ內(nèi)的所有數(shù)據(jù)通過橫向防火墻發(fā)送至安全區(qū)Ⅰ中的網(wǎng)絡(luò)安全態(tài)勢感知裝置進(jìn)行采集處理。態(tài)勢感知裝置通過電廠網(wǎng)絡(luò)安全數(shù)據(jù)的接入采集，并與電力監(jiān)控系統(tǒng)主站平臺聯(lián)動，最終實現(xiàn)電廠內(nèi)電力監(jiān)控系統(tǒng)設(shè)備信息的采集、分析、處置，達(dá)到電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問題可發(fā)現(xiàn)、可控制、可溯源的目的。

本工程需要采集網(wǎng)絡(luò)安全數(shù)據(jù)的對象有電廠監(jiān)控系統(tǒng)工作站、遠(yuǎn)動機(jī)、保護(hù)信息子站、故障錄波、安穩(wěn)系統(tǒng)、PMU、保護(hù)裝置、測控裝置、交換機(jī)、路由器、防火墻、加密認(rèn)證裝置、入侵檢測系統(tǒng)、運維審計系統(tǒng)、病毒系統(tǒng)等設(shè)備。采集方式包括主動采集和被動采集，支持基于TCP/IP的SNMP、Agent、ICMP、SSH、SNMP Trap、Syslog等通信協(xié)議。采集被監(jiān)視設(shè)備的日志信息和通信流信息，主要包括設(shè)備的IP/MAC、操作系統(tǒng)等;設(shè)備的CPU利用率、內(nèi)存利用率、磁盤利用率、流量大小等;設(shè)備的人為登錄操作、配置/文件變更、外設(shè)接入、網(wǎng)口狀態(tài)變更、異常訪問、異常流量等;設(shè)備網(wǎng)絡(luò)原始數(shù)據(jù)流、通信對、可疑文件等。

態(tài)勢感知裝置進(jìn)行網(wǎng)絡(luò)掃描，統(tǒng)計全廠在線IP資產(chǎn)，當(dāng)有新設(shè)備接入或網(wǎng)絡(luò)結(jié)構(gòu)變化時，能快速感知。態(tài)勢感知裝置具備端口掃描功能，通過平臺端下發(fā)對應(yīng)設(shè)備的掃描，裝置能夠?qū)崟r掃描指定設(shè)備執(zhí)行端口，及時發(fā)現(xiàn)高危端口并通知處理，降低廠端設(shè)備資產(chǎn)的脆弱性，從而提高整體網(wǎng)絡(luò)安全可靠性。采用端口鏡像的方式采集廠內(nèi)交換機(jī)的流量數(shù)據(jù)，并實現(xiàn)網(wǎng)絡(luò)流量的網(wǎng)絡(luò)安全分析，支持將流量原始數(shù)據(jù)上送至主站。態(tài)勢感知裝置在事件告警生成后實時主動上送至主站，事件告警信息包含安全事件、人員操作、設(shè)備故障和運行異常等。

3? ? 工程設(shè)計中的要點

收到設(shè)計任務(wù)后準(zhǔn)備收資清單到現(xiàn)場勘查。收集需要接入的網(wǎng)絡(luò)和設(shè)備相關(guān)資料，如各設(shè)備的廠家、型號及接口，重點核實需要接入的交換機(jī)等設(shè)備是否有備用以太網(wǎng)接口以及CONSOLE接口。確定網(wǎng)絡(luò)態(tài)勢感知裝置的安裝位置。本工程有2臺網(wǎng)絡(luò)態(tài)勢感知終端，高度為2U的標(biāo)準(zhǔn)19英寸機(jī)箱，安裝在網(wǎng)控室二次安全防護(hù)屏備用位置。網(wǎng)絡(luò)態(tài)勢感知裝置要求采用雙路獨立電源供電，可以從直流系統(tǒng)兩段對應(yīng)的饋線屏各引一路電源，也可從兩套交流不間斷電源引接電源。網(wǎng)絡(luò)態(tài)勢感知裝置有失電信號硬接點輸出，該信號接至公用測控裝置，需要核實公用測控裝置是否有足夠的備用信號開入點。收集網(wǎng)控室屏位布置圖，用于統(tǒng)計和計算工程所需的電纜、通信線的長度。

4? ? 結(jié)語

該火力發(fā)電廠部署了網(wǎng)絡(luò)安全態(tài)勢感知裝置，并與電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知主站通信，通過網(wǎng)絡(luò)安全測評后投入使用，能夠及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險以及非法訪問事件，實現(xiàn)對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的態(tài)勢感知及預(yù)警，提高電力監(jiān)控網(wǎng)絡(luò)安全整體水平，為電廠安全穩(wěn)定運行提供技術(shù)保障。

[參考文獻(xiàn)]

[1] 郭杰華.大型水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)用與研究[J].科技創(chuàng)新與應(yīng)用，2019（35）：163-164.

[2] 宗和剛，張朝粵.水電廠網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的實現(xiàn)[J].水電站機(jī)電技術(shù)，2019，42（9）：13-16.

[3] 杜嘉薇，周穎，郭榮華，等.網(wǎng)絡(luò)安全態(tài)勢感知：提取、理解和預(yù)測[M].北京：機(jī)械工業(yè)出版社，2019.

收稿日期：2020-03-31

作者簡介：林益波（1976—），男，廣東揭陽人，工程師，主要從事電力設(shè)計工作。