陳武軍

(嘉陵江亭子口水利水電開發(fā)有限公司，四川蒼溪，628400)

1 引言

嘉陵江亭子口水利樞紐位于四川省廣元市蒼溪縣境內(nèi)，嘉陵江干流的中游上段，是嘉陵江干流開發(fā)建設(shè)中唯一的骨干控制性工程，電站裝機容量4×275MW。電力監(jiān)控系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)劃分為安全Ⅰ區(qū)(控制區(qū))、安全Ⅱ區(qū)(非控制區(qū))；管理信息大區(qū)劃分為安全Ⅲ區(qū)(生產(chǎn)管理區(qū))、安全Ⅳ區(qū)(管理信息區(qū))。近年來，相繼發(fā)生網(wǎng)絡(luò)攻擊導(dǎo)致烏克蘭大面積停電事件、以色列電力局遭受網(wǎng)絡(luò)攻事件等，電力系統(tǒng)已成為國際網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標，電力監(jiān)控系統(tǒng)安全防護承受巨大壓力。亭子口電站在電力監(jiān)控系統(tǒng)的安全Ⅰ區(qū)、Ⅱ區(qū)部署PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)安全事件的監(jiān)視與管理。本文對該電站網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)的結(jié)構(gòu)、功能、運行情況進行簡要介紹。

2 系統(tǒng)的結(jié)構(gòu)和功能

PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)對亭子口電站電力監(jiān)控系統(tǒng)安全I區(qū)和Ⅱ區(qū)主機設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護設(shè)備運行狀況的數(shù)據(jù)采集和實時監(jiān)視，對安全事件進行就地的集中展現(xiàn)、實時告警和量化分析[1]，并將站端信息通過調(diào)度數(shù)據(jù)網(wǎng)向四川省調(diào)安全監(jiān)管平臺主站上傳，同時通過服務(wù)代理方式實現(xiàn)了主站對站內(nèi)裝置的管理和維護。

2.1 系統(tǒng)結(jié)構(gòu)

亭子口電站網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)由網(wǎng)絡(luò)安全監(jiān)測裝置、交換機、后臺PC機和系統(tǒng)軟件組成。在安全Ⅰ、Ⅱ區(qū)各部署一臺Ⅱ型網(wǎng)絡(luò)安全監(jiān)測裝置，通過Agent探針軟件采集亭子口電站生產(chǎn)控制大區(qū)服務(wù)器、工作站的安全事件，網(wǎng)絡(luò)設(shè)備和安防設(shè)備分別通過SNMP協(xié)議和日志協(xié)議接入Ⅱ型網(wǎng)絡(luò)安全監(jiān)測裝置。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)

2.2 系統(tǒng)功能

2.2.1 數(shù)據(jù)采集

采集服務(wù)器、工作站設(shè)備用戶登錄、操作信息、運行狀態(tài)、移動存儲設(shè)備接入及網(wǎng)絡(luò)外聯(lián)等事件信息；采集交換機的用戶登錄、操作信息、配置變更、流量信息、網(wǎng)口狀態(tài)等事件信息；采集站內(nèi)安全防護裝置的用戶登錄、配置變更、運行狀態(tài)、安全事件等事件信息；采集數(shù)據(jù)庫的操作信息、運行狀態(tài)等事件信息；采集觸發(fā)性事件信息、周期性上送的狀態(tài)類信息[2]。

2.2.2 數(shù)據(jù)處理

以分鐘級統(tǒng)計周期，對重復(fù)出現(xiàn)的事件進行歸納處理；根據(jù)參數(shù)配置，對采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口流量、用戶登錄失敗等信息進行分析處理，根據(jù)處理結(jié)果決定是否形成新的上報事件；對網(wǎng)絡(luò)設(shè)備日志信息進行分析處理，提取出需要的事件信息；形成外設(shè)接入事件、用戶登錄事件、危險操作事件、狀態(tài)異常事件等上傳事件。

2.2.3 審計日志

對系統(tǒng)重要安全事件，包括用戶和權(quán)限的增刪改、配置變化、用戶登錄和退出等系統(tǒng)級事件及業(yè)務(wù)數(shù)據(jù)增刪改等業(yè)務(wù)級事件進行審計；對審計數(shù)據(jù)的查詢、排序、分類、分析統(tǒng)計；對審計記錄進行分析并能形成審計報表功能。

2.2.4 通信功能

與服務(wù)器、工作站設(shè)備通信，采用自定義TCP協(xié)議進行通信，實現(xiàn)對服務(wù)器、工作站等設(shè)備的信息采集與命令控制，報文格式包括報文頭、報文體和報文尾三部分。與網(wǎng)絡(luò)設(shè)備通信，通過SNMP協(xié)議主動從交換機獲取所需信息；通過SNMPTRAP協(xié)議被動接收交換機事件信息；采用SNMP、SNMPTRAPV3版本與交換機進行通信；通過日志協(xié)議采集交換機信息。與安全防護設(shè)備通信，通過GB/T31992協(xié)議采集信息。

2.2.5 主子站管理

將告警信息上傳至四川省調(diào)安全監(jiān)管平臺；遠程調(diào)閱采集信息、上傳事件等數(shù)據(jù)信息，根據(jù)時間段、設(shè)備類型、事件等級、事件記錄個數(shù)等綜合過濾條件遠程調(diào)閱數(shù)據(jù)信息；對被監(jiān)測系統(tǒng)內(nèi)的資產(chǎn)進行遠程管理，包括資產(chǎn)信息的添加、刪除、修改、查看等；參數(shù)配置的遠程管理，包括系統(tǒng)參數(shù)、通信參數(shù)及事件處理參數(shù)；通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備基線核查功能的調(diào)用；通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備主動斷網(wǎng)命令的調(diào)用；通過代理方式實現(xiàn)對服務(wù)器、工作站等設(shè)備的關(guān)鍵文件清單、危險操作定義值、周期性事件上報周期等參數(shù)的添加、刪除、修改、查看；通過網(wǎng)絡(luò)安全管理平臺對網(wǎng)絡(luò)安全監(jiān)測裝置程序進行遠程升級。

3 系統(tǒng)運行情況

PCS-9895B網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)是南瑞繼保公司針對亭子口電站生產(chǎn)控制大區(qū)特點和網(wǎng)絡(luò)安全需要，設(shè)計的新一代網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)。實時監(jiān)測電力監(jiān)控系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備運行狀態(tài)，及時發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警。技術(shù)人員通過對告警信息實時分析，及時采取措施，避免出現(xiàn)安全信息無人關(guān)注，無人處理情況，實現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全閉環(huán)管理，全面提高電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護整體水平，為亭子口電站和電網(wǎng)電力監(jiān)控系統(tǒng)安全、穩(wěn)定運行提供了堅強的保護屏障。