電力監控系統網絡安全監測裝置應用分析

敖 勇

（華能安源電廠，江西 萍鄉 337053）

0 引 言

近年來，我國電力事業發展迅猛，逐步朝著信息化、智能化方向發展。在電力系統建設過程中，為了保證電力通信安全、穩定，可以在其中設置網絡安全監測裝置。

1 電力監控系統安全防護的原則

1.1 安全分區

所謂的安全分區，是指將信息管理與生產控制2個大區進行合理劃分，讓生產控制大區主要控制那些和電力生產之間存在緊密聯系的決策信息系統，讓信息管理大區負責那些與電力經營、管理及行政事務有關聯的系統[1]。同時，需要進一步細分涉及的工作，如生產控制可以細分為控制區與非控制區等。

1.2 橫向隔離

所謂的橫向隔離，主要是指在信息管理與生產控制2個大區之間設置邊界安全防護設備如電力專用的單向安全隔離裝置，這些裝置必須經過國家相關部門檢測認證后才能設置。利用這樣的裝置進行隔離時，所產生的效果理論上可以達到物理隔離水平，這樣就能有效阻隔很多黑客入侵和病毒輸入，避免其侵入、攻擊電力系統內部。

1.3 網絡專用

所謂的網絡專用，指的是部分電力企業生產控制大區中的數據網絡需要應用獨立的專用網絡設備來進行組網，并且需要在物理層面充分實現與其他的外部公共信息網產生安全隔離。

1.4 縱向認證

所謂的縱向認證，是指通過加密、訪問或者訪問控制等相關的技術措施來實現數據遠程安全傳送或者對縱向邊界開展安全防護工作，對于發電廠、電力調度中心等生產控制區，需要設置一些縱向加密的認證裝置，從而實現數據加密、訪問控制及雙向身份認證等職能。

2 電力監控系統安全監控管理工作

對網絡進行監控管理是網絡安全監測裝置固有的一個管理功能，在對網絡安全進行監控管理的過程中，大多數情況下都會采用一種圖形界面的方式來完成對裝置的本地化管理。開展本地化管理工作時，可以根據不同的角色對相應的管理人員進行劃分，如可以將管理人員具體分為審計員、操作員和管理員等。同時，在實際的安全監控管理過程中，不同的角色所承擔的責任存在差異，但是，無論是什么角色，要想對本地網絡進行管理，必須在統一的管理平臺上完成相關工作。

2.1 審計員權限

審計員的工作比較簡單，只需要依據實際選擇的時段、級別及類型等綜合數據來進行相關日志信息的查看和分析，保證信息的準確性。

2.2 操作員權限

操作員的權限是所有角色權限中涉及范圍較廣的，因為實際上操作員在所有工作人員中占有很大的比重。為了更有效地開展基層的網絡安全監測工作，需要操作人員具備一些實際的操作權限。

2.3 管理員權限

管理員權限能讓相關的管理員對于監測裝置進行用戶操作、進程監測、時區監測及時鐘管理，這樣能從相對宏觀角度了解電力系統運行的實際情況，方便及時對系統進行調整和改正。

3 電力監控系統網絡安全監測裝置的功能

3.1 監測對象

現階段，電力監控系統中所應用的一些網絡安全監測裝置主要被用來監測電力廠站，在實際應用過程中可以實現一次性接入比較多的監測對象，如防火墻、服務器、正反向隔離裝置、交換機、防病毒系統、縱向加密裝置、網絡安全監測系統及入侵監測系統等[2]。在電力系統的實際運行過程中，可以利用一些相關的技術方式，加強對這一系列監測對象的監測，會給整個電力監控系統平穩運行起到極大的作用。

3.2 數據采集功能

應用網絡安全監測裝置，能有效地對服務器、網絡設備等一系列監測對象進行數據采集和統計的工作，這種工作比較煩瑣，需要耗費大量的心血。其中數據采集的內容很多，包括服務器、工作站、網絡設備及安防設備等。

3.3 數據分析功能

在網絡安全監測裝置的運行過程中，除了能進行數據采集，還能對于采集的一些數據進行合理的解讀和分析。其中，在對CPU利用率、網口流量、內存使用率等相關信息進行分析時，可以將分析結果作為依據，確定是否有必要形成一個新的上報事件，數據分析工作需要在完成數據收集工作后進行。

此外，在網絡安全監測裝置的實際運行過程中，能詳細分析網絡設備中的一些日志信息，提取其中的重要信息，從而方便更好地了解設備日常運行情況，同時能將一部分外接設備的信息進行統一分析和處理，詳細分析用戶登陸信息、危險操作事件及操作值等，一旦發現問題可以及時進行上報，防止影響電力系統平穩運行。

3.4 服務代理功能

服務代理是網絡安全監測裝置的主要功能之一，其實際的作用有很多，如上傳一些數據信息、對監控范圍內的一些資產實行遠程管理、對服務器或工作站等相關設備進行管理與核查等。此外，服務代理能遠程管理部分參數配置、處理一些服務器或者工作站等設備中出現的危險操作等，為電力系統平穩運行提供很大的保障。

3.5 通信功能

電力監控系統中的網絡安全監測裝置具備一定的通信功能，可以與服務站或者工作站等設備之間實現通信，并且能在電力系統運行時對相關設備進行相應的數據采集和命令控制。此外，對于電力系統內的交換機來說，不僅可以實現其與監測裝置之間的通信，而且可以與一些安全防護設備進行通信，同時能對交換機上的數據進行采集與分析，更好地完善電力監控系統。

3.6 某電廠電力監測裝置實例分析

3.6.1 項目實施范圍

本次電力監控網絡安全監測裝置項目實施范圍針對某電廠涉網部分設備接入范圍涵蓋主機設備、網絡設備（獨立組網業務交換機）、IDS以及通用、專用安全防護設備，正反向隔離裝置的接入等，主要監測業務有遠動AGC/AVC、相量監測PMU、故障錄波、調峰輔助/調度計劃校核系統、煙氣在線和NCS/ECMS等。

3.6.2 項目實施內容

本項目主要工作范圍如下，但不限于此：（1）為Ⅱ型網絡安全監測裝置申請并分配IP地址；（2）協調完成某電廠內涉網業務系統調研，針對網絡設備、安防設備、業務主機設備后臺進行安裝測試。

由于裝置類設備多為裁剪內核的嵌入式系統，開發周期較長，本項目不接入監測，但需要保留相應接口和安全監測能力，待后續裝置類設備滿足接入條件后，可平滑擴容接入監測裝置。除以上涉及的內容之外，如有其他未統計的涉網系統，只要有后臺管理機的，均要在本次項目中接入并監測。

4 電力監控系統網絡安全裝置存在的問題

4.1 技術管理方面

4.1.1 分區錯誤

電力監控系統具有復雜、多樣的特點，要想將所有系統的安全等級進行統一是非常困難的，不僅操作不易，而且需要付出很大的代價。從系統論的角度展開分析，將具有不同特性及重要性的系統分于不同的安全分區中，并且針對性地制定安全防護策略，保證電力監控系統能滿足不同等級安全防護的相關要求。但是，一些地方在初步規劃和建設電力監控系統中的安全防護體系時，因為不夠重視網絡安全，使得建好后的系統設備與分區存在定義錯誤的現象。例如，將防護等級要求比較高的一些設備放置于低等級的區域，在一定程度上降低了網絡的安全水平。

4.1.2 跨區并聯

在電力監控系統的實際運行過程中，一般都會在信息管理大區與生產控制大區之間設置一個單項的安全隔離裝置，同時會在控制區與非控制區之間借助防火墻開展訪問控制工作，進而能達到邏輯隔離的效果。正常情況下，允許安全等級高的系統向等級低的系統發送相關數據，并且進行正向的安全隔離部署，但是安全等級低的系統要想向等級高的系統傳送信息，就需要進行反向隔離傳輸，同時將傳輸的信息進行加密處理。如果在同一個設備上用2個不同的網卡設置信息管理及生產控制2個大區的IP地址，就會在兩個大區之間形成一個直連的通道，并且能將交互的信息直接繞過隔離裝置，從而使得生產控制區出現防護功能丟失的情況。現階段，在構建網絡安全防護系統的過程中，由于人們的網絡安全意識不夠強等，很多電力監控系統存在跨區互聯的現象，甚至個別系統存在同時連接Ⅰ、Ⅲ區的現象。

4.2 運行管理方面

對安全防護體系的運行過程進行管理時，同樣存在很多問題。第一，存在弱口令和數據明文規定的問題，密碼口令一旦泄露，會直接造成整個安全防護系統喪失相應的防護能力，影響電力系統的正常運行。第二，臺賬或者拓撲圖與實際情況不相符，當系統出現異常或故障時，無法及時找到導致故障發生的原因，導致無法有效掌控設備的風險。第三，沒有完善的機房管理與系統備份制度，系統遭受物理入侵時沒有有效的防范手段，而且系統遇到襲擊時不能及時、有效地恢復。

5 電力監控系統網絡安全監測裝置的功能實施

5.1 安裝配置

先將注意力放在安裝布線上，也就是對監測裝置的相應設備進行上架和網絡布線；完成接線工作后，需要將接入設備的軟硬件進行更新及升級，同時根據系統的實際運行情況來進行相關運行數據的修改、調整等。

5.2 通信調試

進行通信調試的相關監測對象包括工作站、服務站、安全防護設備及網絡安全設備等，一般都是在網絡管理平臺上進行通信調試的。通信調試是整個裝置正常運行過程中必不可少的一個環節，如果在通信調試過程中出現了問題，那么會直接影響整個監測裝置，使得裝置的所有功能均無法實現。

5.3 測試驗證

完成前期準備、安裝工作和通信調試工作后，為了更好地保證裝置能正常運行，需要提前對整個裝置進行測試驗證。首先需要將事件進行上傳，在上傳操作過程中，需要準確地對服務器、工作站、安全防護設備及網絡監測設備監測的不同內容進行上傳，以保證測試驗證結果的有效性和真實性[3]。事件上傳完成后，需要對于相關設備的數據信息進行遠程調閱，以此來驗證遠程的網絡安全管理平臺能否與主站平臺之間實現有效的通信，這樣能方便遠程實行網絡安全監測裝置的安全事件調和。

5.4 提升防護人員的綜合素質

為了讓相應的管理與技術措施得到最大限度的落實，需要進一步提升相關防護人員的綜合素質，包括責任心、安全意識等。同時，可以對參與網絡安全監測裝置安全防護的工作人員進行定期培訓與績效考核，這樣不僅能讓這些防護人員擁有更加強大的技術能力，而且能提高他們處理現場問題的效率和質量。

5.5 加強對網絡安全監測設置的管理

為了保證網絡安全監測數據的準確性、安全性及機密性，需要在生產控制大區設置一個嚴禁外部進行撥號訪問的系統，同時需要加強對于網絡用戶的身份驗證與核對，對于一臺服務器布置多個不同網段地址的現象進行嚴厲查處，這樣才能更好地進行網絡安全體系防護，保證電力系統能平穩運行。

6 結 論

安全防護是電力系統網絡安全管理的首要任務，做好網絡安全防護工作，能在很大程度上提高相關電力企業的效益。電力監控系統網絡安全監測裝置應用是電力專網安全防護效果較好的防控應用措施之一。