陳武軍
(嘉陵江亭子口水利水電開發(fā)有限公司,四川蒼溪,628400)
嘉陵江亭子口水利樞紐位于四川省廣元市蒼溪縣境內(nèi),嘉陵江干流的中游上段,是嘉陵江干流開發(fā)建設(shè)中唯一的骨干控制性工程,電站裝機容量4×275MW。電力監(jiān)控系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū),生產(chǎn)控制大區(qū)劃分為安全Ⅰ區(qū)(控制區(qū))、安全Ⅱ區(qū)(非控制區(qū));管理信息大區(qū)劃分為安全Ⅲ區(qū)(生產(chǎn)管理區(qū))、安全Ⅳ區(qū)(管理信息區(qū))。近年來,相繼發(fā)生網(wǎng)絡(luò)攻擊導(dǎo)致烏克蘭大面積停電事件、以色列電力局遭受網(wǎng)絡(luò)攻事件等,電力系統(tǒng)已成為國際網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標,電力監(jiān)控系統(tǒng)安全防護承受巨大壓力。亭子口電站在電力監(jiān)控系統(tǒng)的安全Ⅰ區(qū)、Ⅱ區(qū)部署PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實現(xiàn)對網(wǎng)絡(luò)安全事件的監(jiān)視與管理。本文對該電站網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的結(jié)構(gòu)、功能、運行情況進行簡要介紹。
PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對亭子口電站電力監(jiān)控系統(tǒng)安全I區(qū)和Ⅱ區(qū)主機設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護設(shè)備運行狀況的數(shù)據(jù)采集和實時監(jiān)視,對安全事件進行就地的集中展現(xiàn)、實時告警和量化分析[1],并將站端信息通過調(diào)度數(shù)據(jù)網(wǎng)向四川省調(diào)安全監(jiān)管平臺主站上傳,同時通過服務(wù)代理方式實現(xiàn)了主站對站內(nèi)裝置的管理和維護。
亭子口電站網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)由網(wǎng)絡(luò)安全監(jiān)測裝置、交換機、后臺PC機和系統(tǒng)軟件組成。在安全Ⅰ、Ⅱ區(qū)各部署一臺Ⅱ型網(wǎng)絡(luò)安全監(jiān)測裝置,通過Agent探針軟件采集亭子口電站生產(chǎn)控制大區(qū)服務(wù)器、工作站的安全事件,網(wǎng)絡(luò)設(shè)備和安防設(shè)備分別通過SNMP協(xié)議和日志協(xié)議接入Ⅱ型網(wǎng)絡(luò)安全監(jiān)測裝置。系統(tǒng)結(jié)構(gòu)如圖1所示。
圖1 系統(tǒng)結(jié)構(gòu)
2.2.1 數(shù)據(jù)采集
采集服務(wù)器、工作站設(shè)備用戶登錄、操作信息、運行狀態(tài)、移動存儲設(shè)備接入及網(wǎng)絡(luò)外聯(lián)等事件信息;采集交換機的用戶登錄、操作信息、配置變更、流量信息、網(wǎng)口狀態(tài)等事件信息;采集站內(nèi)安全防護裝置的用戶登錄、配置變更、運行狀態(tài)、安全事件等事件信息;采集數(shù)據(jù)庫的操作信息、運行狀態(tài)等事件信息;采集觸發(fā)性事件信息、周期性上送的狀態(tài)類信息[2]。
2.2.2 數(shù)據(jù)處理
以分鐘級統(tǒng)計周期,對重復(fù)出現(xiàn)的事件進行歸納處理;根據(jù)參數(shù)配置,對采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口流量、用戶登錄失敗等信息進行分析處理,根據(jù)處理結(jié)果決定是否形成新的上報事件;對網(wǎng)絡(luò)設(shè)備日志信息進行分析處理,提取出需要的事件信息;形成外設(shè)接入事件、用戶登錄事件、危險操作事件、狀態(tài)異常事件等上傳事件。
2.2.3 審計日志
對系統(tǒng)重要安全事件,包括用戶和權(quán)限的增刪改、配置變化、用戶登錄和退出等系統(tǒng)級事件及業(yè)務(wù)數(shù)據(jù)增刪改等業(yè)務(wù)級事件進行審計;對審計數(shù)據(jù)的查詢、排序、分類、分析統(tǒng)計;對審計記錄進行分析并能形成審計報表功能。
2.2.4 通信功能
與服務(wù)器、工作站設(shè)備通信,采用自定義TCP協(xié)議進行通信,實現(xiàn)對服務(wù)器、工作站等設(shè)備的信息采集與命令控制,報文格式包括報文頭、報文體和報文尾三部分。與網(wǎng)絡(luò)設(shè)備通信,通過SNMP協(xié)議主動從交換機獲取所需信息;通過SNMPTRAP協(xié)議被動接收交換機事件信息;采用SNMP、SNMPTRAPV3版本與交換機進行通信;通過日志協(xié)議采集交換機信息。與安全防護設(shè)備通信,通過GB/T31992協(xié)議采集信息。
2.2.5 主子站管理
將告警信息上傳至四川省調(diào)安全監(jiān)管平臺;遠程調(diào)閱采集信息、上傳事件等數(shù)據(jù)信息,根據(jù)時間段、設(shè)備類型、事件等級、事件記錄個數(shù)等綜合過濾條件遠程調(diào)閱數(shù)據(jù)信息;對被監(jiān)測系統(tǒng)內(nèi)的資產(chǎn)進行遠程管理,包括資產(chǎn)信息的添加、刪除、修改、查看等;參數(shù)配置的遠程管理,包括系統(tǒng)參數(shù)、通信參數(shù)及事件處理參數(shù);通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備基線核查功能的調(diào)用;通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備主動斷網(wǎng)命令的調(diào)用;通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備的關(guān)鍵文件清單、危險操作定義值、周期性事件上報周期等參數(shù)的添加、刪除、修改、查看;通過網(wǎng)絡(luò)安全管理平臺對網(wǎng)絡(luò)安全監(jiān)測裝置程序進行遠程升級。
PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)是南瑞繼保公司針對亭子口電站生產(chǎn)控制大區(qū)特點和網(wǎng)絡(luò)安全需要,設(shè)計的新一代網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)。實時監(jiān)測電力監(jiān)控系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備運行狀態(tài),及時發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警。技術(shù)人員通過對告警信息實時分析,及時采取措施,避免出現(xiàn)安全信息無人關(guān)注,無人處理情況,實現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全閉環(huán)管理,全面提高電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護整體水平,為亭子口電站和電網(wǎng)電力監(jiān)控系統(tǒng)安全、穩(wěn)定運行提供了堅強的保護屏障。