發電廠監控系統綜合管控方法研究

于 粟，李 明，冷柏炟

（1.國網遼寧省電力有限公司電力科學研究院，遼寧 沈陽 110006；2.沈陽工程學院，遼寧 沈陽 110136）

發電廠監控系統綜合管控方法研究

于 粟1，李 明1，冷柏炟2

（1.國網遼寧省電力有限公司電力科學研究院，遼寧 沈陽 110006；2.沈陽工程學院，遼寧 沈陽 110136）

發電廠監控系統綜合管控是保證電廠監控系統安全穩定運行的重要手段，介紹了一種較為通用的發電廠監控系統綜合管控方法，并對發電廠監控系統綜合管控主要涉及的研究領域進行了系統闡述。

監控系統；綜合管控方法；系統安全防護

發電廠監控系統綜合管控是應用于多種通信系統、計算機系統和專用電力系統構成的綜合電力信息網絡的綜合管理方法［1］。隨著我國智能電網的建設，信息安全問題在發電廠控制自動化、繼電保護和安全裝置等多個領域面臨信息安全威脅，發電廠監控系統綜合管控是保證電網信息安全的重要手段［2-3］。發電廠監控系統綜合管控涉及4個方面：網絡管理、服務器管理、遠程連接管理、堡壘主機的設置。遠程連接管理及堡壘主機設置主要是對遠程設備及訪問進行管控，有效地對機房外部設備與機房內部系統連接進行控制，網絡管理及服務器管理主要是針對機房內部設備進行管控，監控設備運行狀態，故障前報警等，通過內外系統的管控，達到安全管理、實時報警等效果［1-3］。

管控系統可及時發現網絡中的問題，并及時報警，通過對多家產品的整合，可以將方案虛擬化為故障定位器，讓企業擁有可持續發展的信息安全管理框架、方法和機制［4］。其原理如圖1所示。

1 網絡管理方法

網絡管理系統通常是一個基于SNMP協議，采用先進的分布式管理技術，對于任意規模的網絡都可以進行全方位管理的綜合網絡管理系統［5］。為用戶解決網絡擁塞、網絡故障、行為管理、安全管理等保障網絡運行的基本問題。網絡管理系統通常具備以下功能。

a.網絡構成管理

強大的自動網絡節點發現功能，自動生成網絡拓撲圖，并可生成需要的網絡結構圖，同時自動獲取對象節點軟硬件信息。

b.網絡故障管理

可設置和定制多種監控方式，并可通過聲音報警、手機短信等方式將故障及時通知管理者。

c.網絡性能管理

對網絡結點進行實時、定時或周期性的監測，根據統計數據對網絡系統性能進行控制。

d.網絡安全管理

具有強大的IP地址合法性管理，可以實現IP／MAC地址綁定，可以進行網段隔離，從根本上消除安全隱患。控制內部撥號程序，避免有此引發的安全漏洞。

e.網絡自動化管理

圖1 管控系統結構原理

可根據事先設定的管理策略控制管理功能，支持基于經驗的過程預置，支持策略調度、批量處理。

2 服務器管理

服務器管理系統是集服務器管理、機房管理、數據庫管理、中間件管理、服務管理、業務管理、虛擬集群管理及云平臺管理等各種軟硬件一體化監控平臺。服務器管理系統應具備以下功能。

a.同時管理大量網元數

能同時在同一個管理平臺管理不少于50 000個設備、服務器、數據庫、中間件、企業級應用、服務和業務系統等。基于JAVA和NET技術開發，能部署在Windows、Linux、Unix等各種平臺上，支持B／S和C／S方式訪問，實現Flex、HTML5等先進技術，自帶高效安全數據庫。

b.跨廠商、跨平臺管理

支持各種廠商及類型的服務器、安全設備、存儲設備、機房設備、安全設備等，只要符合SNMP標準協議或telnet等網管協議網絡設備都能監控。

除支持硬件外，軟件還支持監控多種主流操作系統，包括Windows 2000／2003／2008等全系列的32位／64位（中英文各版本）、RedHat Linux AS、IBM-AIX、Solaris、HP-UX及各種中間件、企業級應用和應用系統。

c.智能的異常處理和全面的故障分析

能智能分析各異常間的邏輯關聯關系，提供原因分析，快速發現故障原因，自動告警，縮短恢復時間，防止告警泛濫。

d.自動告警、支持多種告警模式

支持多種告警方式，包括拓撲圖圖標顏色變化、異常列表、遠程消息框、遠程聲音、短信、郵件、聲光及電話告警等方式，支持第三方接口。

e.多維度分析報表、支持多種格式報表導出

報表系統支持高效靈活的類Mrtg性能分析。用戶可以在一個屏幕上同時展現各指標（如接口速率）的每次輪詢、30 min統計、2 h統計、日統計數據，形成曲線進行圖形趨勢分析。并支持多種格式報表導出。

f.用戶權限管理、分級管理、分地域管理

系統可把不同資源分為不同管理域，對不同的網管功能，給不同的角色分配不同的權限。通過立體化多維化的地域和權限管理，構建智能化的權限和視圖管理，并保證高效管理和嚴密權限相結合。

3 遠程操作平臺

3.1 遠程操作平臺控制臺功能

a.通過單一界面對整個基礎設施進行安全、集中管理。

b.裝置自動發現功能。

c.可實現冗余、實時更新和多站點負載均衡的中心輻射型架構。

d.從桌面對整個大廳或全球范圍內的連接設備進行診斷測試。

e.詳細的審計日志和報告。

f.自動更新、文件加載和制定計劃。

g.同步固件更新。

h.支持您安全策略的可選加密模式（AES、DES、3DES、128位SSL）。

i.對現有服務（LDAP、活動目錄、NT域、RADIUS、TACACS＋和RSA SecurID）進行身份驗證。

3.2 遠程操作平臺客戶端應具備功能

利用數字KVM交換機，可通過板載Web瀏覽器從任何地方訪問服務器。無論專業人員是在現場或身處異地，都可獲得所需工具來保持服務器的全天候可用性。

通過Avocent HMX數字Desktop over IP解決方案，用戶可在局域網（LAN）中方便地從桌面訪問計算機和關鍵業務服務器，同時保持高品質的視頻和音頻功能。用戶可通過單個TCP／IP連接將桌面延伸到LAN中的任何位置，不會影響任何功能。通過客戶端，技術人員可使用1套鍵盤、顯示器和鼠標訪問多臺計算機。

4 堡壘主機

堡壘主機是一種被強化的可以防御進攻的計算機，作為進入內部網絡的一個檢查點，達到把整個網絡安全問題集中在某個主機解決，省時、省力，不用考慮其他主機的安全。堡壘主機是網絡中最容易受到侵害的主機，因此，堡壘主機必須是自身保護最完善的主機。一個堡壘主機使用2塊網卡，每個網卡連接不同的網絡。1塊網卡連接監控系統內部網絡，用來管理、控制和保護，而另1塊連接另1個網絡，通常是生產大區的其他控制網絡或通過隔離設備連接管理大區。堡壘主機經常配置網關服務，網關服務是由一個進程來提供對從公網到私有網絡的特殊協議路由，反之亦然。

堡壘主機的功能主要包括內／外部網絡行為管理、命令控制技術、細粒度策略控制功能、準確日志查詢檢索功能、菜單類操作回放審計功能、帳號密碼的安全管理、FTP／SFTP文件安全傳輸、支持標準SYSLOG日志、即時操作“現場直播”的監控功能、程序重用與控制技術、邏輯命令自動識別技術、分布式處理技術、實時監控技術、日志二次備份技術、多進程／線程與同步技術、自動報表生成技術、連續跳轉登錄技術、多信道登錄技術、數據加密功能、審計查詢檢索功能、操作還原技術、審計雙向備份技術等。堡壘主機類型目前一般有無路由雙宿主主機、犧牲品主機和內部堡壘主機。

a.無路由雙重宿主主機

無路由雙重宿主主機有多個網絡接口，但這些接口間沒有信息流，主機本身就可作為一個防火墻，也可作為一個更復雜的防火墻的一部分。無路由雙重宿主主機大部分配置類同于其他堡壘主機，但用戶必須確保其沒有路由。如果某臺無路由雙重宿主主機就是一個防火墻，那么他可以運行堡壘主機的例行程序。

b.犧牲品主機

有些用戶可能想用一些無論使用代理服務還是包過濾都難以保障安全的網絡服務或一些對其安全性沒有把握的服務。針對這種情況，使用犧牲品主機就是非常有用的（也稱替罪羊主機）。犧牲品主機是一種上面沒有任何需要保護信息的主機，同時又不與任何入侵者想要利用的主機相連。用戶只有在使用某種特殊服務時才需要用到他。

犧牲品主機除了可讓用戶隨意登錄外，其配置基本與其他堡壘主機一樣。用戶總是希望在堡壘主機上存有盡可能多的服務與程序。但是犧牲品主機出于安全性的考慮，不可隨意滿足用戶的要求，否則會使用戶越來越信任犧牲品主機而違反設置犧牲品主機的初衷。犧牲品主機的主要特點是易于管理，即使被侵襲也無礙內部網的安全。

c.內部堡壘主機

在大多數配置中，堡壘主機可與某些內部主機有特殊的交互。如堡壘主機可傳送電子郵件給內部主機的郵件服務器、傳送Usenet新聞給新聞服務器、與內部域名服務器協同工作等。這些內部主機其實是有效的次級堡壘主機，對他們就應象保護堡壘主機一樣加以保護。可以在其上面多放一些服務，但對其的配置必須遵循與堡壘主機一樣的過程。

根據電廠的實際情況，建議選擇內部堡壘主機，在監控系統對外設置單一入口，所有針對監控系統內部的訪問將首先通過堡壘主機，經過授權認證后才可連接系統，在對系統內部進行訪問過程中，所有訪問行為將受到全程監控，從而保證管理的有效性，使外部訪問行為可控。

5 結束語

發電廠計算機監控系統在電廠安全穩定運行中扮演的角色越來越重要，系統的安全穩定直接影響到電廠的安全生產。發電廠監控系統綜合管控可有效控制電廠計算機監控系統發生事故的風險，保證電廠安全穩定運行。

［1］ 徐 偉.綜合網絡管理系統監控平臺的設計與實現［J］.無線電通信技術，2000，29（2）：52-53.

［2］ 馮燕敏.東北水調自動化系統功能及構架探討［J］.東北電力技術，2011，32（9）：31-35.

［3］ 信息安全是智能電網安全重要基礎［J］.東北電力技術，2012，33（5）：34.

［4］ 陳 劍.發電企業信息系統安全管理初探［J］.東北電力技術，2011，32（11）：46-49.

［5］ 楚彥君.電廠電氣監控管理系統［J］.電力自動化設備，2011，39（5）：126-129.

Research on Synthetical Management Method for Power Plant Monitoring System

YU Su1，LI Ming1，LENG Bo?da2
（1.Electric Power Research Institute of State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China；2.Shenyang Institute of Engineering，Shenyang，Liaoning 110136，China）

The synthetical management for power plant monitoring system is an important means to ensure a safe and stable operation of power plant monitoring system.Commonly used synthetical management method for power plant monitoring system is introduce，and the main research area of synthetical management for power plant monitoring system is systematically elaborated.

Monitoring system；Synthetical management method；Security protection for system

TM621；TP277

A

1004-7913（2015）03-0013-03

于 粟（1979—），男，碩士，高級工程師，從事水電站監控系統開發和科研工作。

2014-12-25）