摘 要:隨著信息技術(shù)的發(fā)展以及電力行業(yè)對信息化的需求越來越大,電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)不斷擴(kuò)大,網(wǎng)絡(luò)安全形勢日益嚴(yán)峻,鑒于此,在火力發(fā)電廠加裝了網(wǎng)絡(luò)安全態(tài)勢感知裝置,其能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行提取、分析及預(yù)測,實現(xiàn)全天候、全方位網(wǎng)絡(luò)安全態(tài)勢感知,確保電力監(jiān)控網(wǎng)絡(luò)安全穩(wěn)定運行。
關(guān)鍵詞:二次安全防護(hù);網(wǎng)絡(luò)安全;態(tài)勢感知
0? ? 引言
從電力監(jiān)控網(wǎng)絡(luò)安全建設(shè)來看,漏洞管理、系統(tǒng)加固、安全區(qū)劃分、防火墻、加密認(rèn)證裝置等措施,在一定程度上反映了網(wǎng)絡(luò)安全狀態(tài),并且在安全防護(hù)上也取得了一定的成果,但這些都是被動防御措施,難以適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢的需要。在進(jìn)一步提升安全運營水平的同時,有必要積極開展主動防御能力的建設(shè),采用更加積極的對抗措施來應(yīng)對各種網(wǎng)絡(luò)安全問題。應(yīng)用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù),能夠全面、動態(tài)分析和預(yù)測網(wǎng)絡(luò)安全問題,感知網(wǎng)絡(luò)攻擊行為,提升主動防御能力。
1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)介紹
1.1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的目標(biāo)和原則
電力監(jiān)控系統(tǒng)安全防護(hù)主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)。要建立健全電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)體系,在統(tǒng)一的安全策略下保護(hù)重要系統(tǒng)免受黑客、病毒、惡意代碼等的侵害,特別是能夠抵御來自外部有組織的團(tuán)體、擁有豐富資源的威脅源發(fā)起的惡意攻擊,能夠減輕嚴(yán)重自然災(zāi)害造成的損害,并能在系統(tǒng)遭到損害后迅速恢復(fù)主要功能,防止電力監(jiān)控系統(tǒng)的安全事件引發(fā)或?qū)е码娏σ淮蜗到y(tǒng)事故或大面積停電事故。安全防護(hù)的基本原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。安全防護(hù)的核心能力是“保護(hù)、檢測、響應(yīng)、恢復(fù)、審計”的閉環(huán)機(jī)制。電力監(jiān)控系統(tǒng)安全防護(hù)是一項系統(tǒng)工程,其總體安全防護(hù)水平取決于系統(tǒng)中最薄弱點的安全水平。
1.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)
網(wǎng)絡(luò)安全態(tài)勢感知是基于網(wǎng)絡(luò)環(huán)境動態(tài)、整體地洞悉安全風(fēng)險,以安全大數(shù)據(jù)為基礎(chǔ),全面提升對安全威脅的識別、分析、處置能力的一種方式。面對網(wǎng)絡(luò)空間安全形勢所帶來的挑戰(zhàn),在強(qiáng)大的信息和數(shù)據(jù)分析平臺的支持下,使用網(wǎng)絡(luò)安全態(tài)勢感知技術(shù),能夠全面了解當(dāng)前網(wǎng)絡(luò)安全狀態(tài),預(yù)測其發(fā)展趨勢并做出有效的規(guī)劃和響應(yīng)。
電力監(jiān)控網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)主要由網(wǎng)絡(luò)安全態(tài)勢感知主站系統(tǒng)和采集裝置組成。主站系統(tǒng)是指部署在各級調(diào)控中心,具備網(wǎng)絡(luò)安全實時監(jiān)視、日志審計、預(yù)測分析等功能的應(yīng)用系統(tǒng);采集裝置是指部署在各級調(diào)控中心、各級發(fā)電廠、變電站電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部,對主站或廠站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集、分析、處理并與主站系統(tǒng)通信的裝置。采集裝置和主站系統(tǒng)通過現(xiàn)有的數(shù)據(jù)網(wǎng)進(jìn)行通信。
2? ? 網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)在火力發(fā)電廠的實施
2.1? ? 工程介紹
某電廠一期工程安裝2臺330 MW機(jī)組,2臺發(fā)電機(jī)組經(jīng)升壓變壓器接入220 kV系統(tǒng),有3回220 kV出線。根據(jù)南方電網(wǎng)公司《關(guān)于印發(fā)2018年南方電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)建設(shè)工作方案的通知》(南方電網(wǎng)系統(tǒng)〔2018〕7號)的要求,在該火力發(fā)電廠加裝態(tài)勢感知裝置。
2.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的現(xiàn)狀
目前該火力發(fā)電廠的網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)(安全Ⅰ區(qū)、Ⅱ區(qū))、信息管理大區(qū)(安全Ⅲ區(qū)),二次安全防護(hù)設(shè)備結(jié)合數(shù)據(jù)網(wǎng)雙平面實施,配置縱向加密認(rèn)證裝置、防火墻、互聯(lián)交換機(jī)等設(shè)備。在生產(chǎn)控制大區(qū)邊界部署入侵檢測系統(tǒng)(IDS),實現(xiàn)對各個業(yè)務(wù)系統(tǒng)與橫向、縱向網(wǎng)絡(luò)邊界的入侵檢測。在生產(chǎn)控制大區(qū)部署日志審計設(shè)備,對各種網(wǎng)絡(luò)設(shè)備運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務(wù)應(yīng)用系統(tǒng)運行日志、安全防護(hù)設(shè)備運行日志和告警信息等進(jìn)行集中收集、分析、審計和告警處理。
2.3? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知裝置的應(yīng)用
電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知平臺在電廠安全區(qū)Ⅰ、安全區(qū)Ⅲ中分別部署獨立的網(wǎng)絡(luò)安全態(tài)勢感知裝置(圖1)。本工程新增的2臺ZH-NSS-3000S網(wǎng)絡(luò)安全態(tài)勢感知裝置為廣州兆和電力技術(shù)有限公司產(chǎn)品,分別采集處理本區(qū)域內(nèi)的網(wǎng)絡(luò)流量、日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等,安全區(qū)Ⅱ不需要部署獨立的網(wǎng)絡(luò)安全態(tài)勢感知裝置,安全區(qū)Ⅱ內(nèi)的所有數(shù)據(jù)通過橫向防火墻發(fā)送至安全區(qū)Ⅰ中的網(wǎng)絡(luò)安全態(tài)勢感知裝置進(jìn)行采集處理。態(tài)勢感知裝置通過電廠網(wǎng)絡(luò)安全數(shù)據(jù)的接入采集,并與電力監(jiān)控系統(tǒng)主站平臺聯(lián)動,最終實現(xiàn)電廠內(nèi)電力監(jiān)控系統(tǒng)設(shè)備信息的采集、分析、處置,達(dá)到電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問題可發(fā)現(xiàn)、可控制、可溯源的目的。
本工程需要采集網(wǎng)絡(luò)安全數(shù)據(jù)的對象有電廠監(jiān)控系統(tǒng)工作站、遠(yuǎn)動機(jī)、保護(hù)信息子站、故障錄波、安穩(wěn)系統(tǒng)、PMU、保護(hù)裝置、測控裝置、交換機(jī)、路由器、防火墻、加密認(rèn)證裝置、入侵檢測系統(tǒng)、運維審計系統(tǒng)、病毒系統(tǒng)等設(shè)備。采集方式包括主動采集和被動采集,支持基于TCP/IP的SNMP、Agent、ICMP、SSH、SNMP Trap、Syslog等通信協(xié)議。采集被監(jiān)視設(shè)備的日志信息和通信流信息,主要包括設(shè)備的IP/MAC、操作系統(tǒng)等;設(shè)備的CPU利用率、內(nèi)存利用率、磁盤利用率、流量大小等;設(shè)備的人為登錄操作、配置/文件變更、外設(shè)接入、網(wǎng)口狀態(tài)變更、異常訪問、異常流量等;設(shè)備網(wǎng)絡(luò)原始數(shù)據(jù)流、通信對、可疑文件等。
態(tài)勢感知裝置進(jìn)行網(wǎng)絡(luò)掃描,統(tǒng)計全廠在線IP資產(chǎn),當(dāng)有新設(shè)備接入或網(wǎng)絡(luò)結(jié)構(gòu)變化時,能快速感知。態(tài)勢感知裝置具備端口掃描功能,通過平臺端下發(fā)對應(yīng)設(shè)備的掃描,裝置能夠?qū)崟r掃描指定設(shè)備執(zhí)行端口,及時發(fā)現(xiàn)高危端口并通知處理,降低廠端設(shè)備資產(chǎn)的脆弱性,從而提高整體網(wǎng)絡(luò)安全可靠性。采用端口鏡像的方式采集廠內(nèi)交換機(jī)的流量數(shù)據(jù),并實現(xiàn)網(wǎng)絡(luò)流量的網(wǎng)絡(luò)安全分析,支持將流量原始數(shù)據(jù)上送至主站。態(tài)勢感知裝置在事件告警生成后實時主動上送至主站,事件告警信息包含安全事件、人員操作、設(shè)備故障和運行異常等。
3? ? 工程設(shè)計中的要點
收到設(shè)計任務(wù)后準(zhǔn)備收資清單到現(xiàn)場勘查。收集需要接入的網(wǎng)絡(luò)和設(shè)備相關(guān)資料,如各設(shè)備的廠家、型號及接口,重點核實需要接入的交換機(jī)等設(shè)備是否有備用以太網(wǎng)接口以及CONSOLE接口。確定網(wǎng)絡(luò)態(tài)勢感知裝置的安裝位置。本工程有2臺網(wǎng)絡(luò)態(tài)勢感知終端,高度為2U的標(biāo)準(zhǔn)19英寸機(jī)箱,安裝在網(wǎng)控室二次安全防護(hù)屏備用位置。網(wǎng)絡(luò)態(tài)勢感知裝置要求采用雙路獨立電源供電,可以從直流系統(tǒng)兩段對應(yīng)的饋線屏各引一路電源,也可從兩套交流不間斷電源引接電源。網(wǎng)絡(luò)態(tài)勢感知裝置有失電信號硬接點輸出,該信號接至公用測控裝置,需要核實公用測控裝置是否有足夠的備用信號開入點。收集網(wǎng)控室屏位布置圖,用于統(tǒng)計和計算工程所需的電纜、通信線的長度。
4? ? 結(jié)語
該火力發(fā)電廠部署了網(wǎng)絡(luò)安全態(tài)勢感知裝置,并與電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知主站通信,通過網(wǎng)絡(luò)安全測評后投入使用,能夠及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險以及非法訪問事件,實現(xiàn)對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的態(tài)勢感知及預(yù)警,提高電力監(jiān)控網(wǎng)絡(luò)安全整體水平,為電廠安全穩(wěn)定運行提供技術(shù)保障。
[參考文獻(xiàn)]
[1] 郭杰華.大型水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)應(yīng)用與研究[J].科技創(chuàng)新與應(yīng)用,2019(35):163-164.
[2] 宗和剛,張朝粵.水電廠網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的實現(xiàn)[J].水電站機(jī)電技術(shù),2019,42(9):13-16.
[3] 杜嘉薇,周穎,郭榮華,等.網(wǎng)絡(luò)安全態(tài)勢感知:提取、理解和預(yù)測[M].北京:機(jī)械工業(yè)出版社,2019.
收稿日期:2020-03-31
作者簡介:林益波(1976—),男,廣東揭陽人,工程師,主要從事電力設(shè)計工作。