淺析電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)視體系建設

湯 超

（國網(wǎng)寧夏電力有限公司石嘴山供電公司，寧夏石嘴山753000）

0 引言

國家電網(wǎng)有限公司2019年重點工作部署中明確指出要構建與“三型兩網(wǎng)”建設相適應的網(wǎng)絡安全防控體系。為了確保電力監(jiān)控系統(tǒng)業(yè)務穩(wěn)定、快速、安全、高效率地傳輸，防止其遭到黑客、病毒、惡意代碼等各種形式的惡意破壞和攻擊，國家電網(wǎng)必須要加強網(wǎng)絡安全防護工作。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)視體系的建設背景

2015年12月，烏克蘭電力系統(tǒng)發(fā)生網(wǎng)絡黑客攻擊事件，導致伊萬諾-弗蘭科夫斯克地區(qū)發(fā)生大面積停電；2017年5月，一種名為“想哭”的勒索病毒襲擊全球150多個國家和地區(qū)，影響領域包括政府部門、醫(yī)療服務、公共交通、郵政、通信和汽車制造業(yè)；2019年3月，委內(nèi)瑞拉電力系統(tǒng)遭遇網(wǎng)絡攻擊，造成包括委內(nèi)瑞拉首都加拉斯加在內(nèi)的23個州中約有22個州出現(xiàn)電力供應中斷。種種教訓告訴我們，電力作為重要基礎設施領域，已被不少國家視為“網(wǎng)絡戰(zhàn)”首選攻擊目標，電力監(jiān)控系統(tǒng)的網(wǎng)絡安全形勢異常嚴峻，建設網(wǎng)絡安全防護體系，有效抵御網(wǎng)絡黑客攻擊，加強網(wǎng)絡空間的安全監(jiān)管已日趨緊迫。

2 電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)視體系的建設

2018年以前，國網(wǎng)石嘴山供電公司全部變電站均為無人值守運行管理模式，原有的視頻監(jiān)控系統(tǒng)僅作為遠方監(jiān)視以及設備巡視的輔助手段，暫時實現(xiàn)了對變電站相關環(huán)節(jié)的遠程監(jiān)視，但是手段較為單一，對于網(wǎng)絡行為監(jiān)測、分析和審計設備接入、網(wǎng)絡訪問、用戶登錄、人員操作等事件仍無法更加精準地監(jiān)視，無法達到“軟硬監(jiān)視”全覆蓋，存在網(wǎng)絡安全監(jiān)視盲區(qū)，同時，網(wǎng)絡安全監(jiān)視在管理上并未形成專業(yè)聯(lián)動機制，無相關制度支撐，故急需一套完整的管理手段來加強管控。綜合種種，石嘴山供電公司專業(yè)管理人員認真思考、總結(jié)，擬從網(wǎng)絡安全監(jiān)測裝置部署、專業(yè)聯(lián)動機制建立、專業(yè)運維隊伍建設3個方面建立網(wǎng)絡安全監(jiān)視體系，以全面實現(xiàn)電力監(jiān)控系統(tǒng)的“軟硬”監(jiān)管。

2.1 建立變電站電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)測體系

2.1.1 變電站側(cè)部署網(wǎng)絡安全監(jiān)測裝置

網(wǎng)絡安全監(jiān)測裝置是指部署在變電站站控層或并網(wǎng)電廠的電力監(jiān)控系統(tǒng)，用于采集變電站站控層或發(fā)電廠涉網(wǎng)區(qū)域的服務器、工作站、網(wǎng)絡設備和安全防護設備的安全事件，并轉(zhuǎn)發(fā)至調(diào)度端網(wǎng)絡安全管理平臺的數(shù)據(jù)網(wǎng)關機。

現(xiàn)階段，變電站網(wǎng)絡拓撲大體可以分為安全I、II區(qū)通過防火墻互聯(lián)，安全I、II區(qū)無防火墻連接及無安全II區(qū)三大類。第一類僅需部署1臺設備于安全II區(qū)，第二類則需在安全I區(qū)和安全II區(qū)各部署1臺設備，第三類則需在安全I區(qū)布置1臺設備。目前應用較為廣泛的是第一類，即部署1臺II型網(wǎng)絡安全監(jiān)測裝置于II區(qū)，接入雙路不間斷電源、GPS對時信號，并將裝置自身告警信息接入測控裝置并通過遠動裝置上送調(diào)度端。

2.1.2 變電站網(wǎng)絡安全監(jiān)測設備的信息接入

變電站網(wǎng)絡安全監(jiān)測裝置需采集三類設備信息，分別為主機設備、網(wǎng)絡設備和安全防護設備：

（1）主機設備采集。主機設備采集原則上包含了變電站內(nèi)所有類型的主機，如變電站后臺監(jiān)控系統(tǒng)主機、保護信息子站工作站、故障錄波器主機等，考慮到業(yè)務的可靠運行，一般采用相應廠商開發(fā)的探針程序（agent），采集操作系統(tǒng)自身感知的安全信息，再通過TCP/IP協(xié)議，發(fā)送至網(wǎng)絡安全監(jiān)測裝置，并由網(wǎng)絡安全監(jiān)測裝置作為服務端，監(jiān)聽來自主機設備的連接請求。

（2）網(wǎng)絡設備采集。網(wǎng)絡設備采集主要指站控層及間隔層交換機的信息采集，網(wǎng)絡安全監(jiān)測裝置通過SNMP協(xié)議采集交換機的安全信息，交換機產(chǎn)生告警事件后，通過SNMP TRAP協(xié)議向網(wǎng)絡安全監(jiān)測裝置發(fā)送事件信息，如網(wǎng)口的UP和DOWN、內(nèi)存使用情況及告警信息等。

（3）安全防護設備采集。安全防護設備采集主要指變電站內(nèi)防火墻設備、正反向隔離裝置等，安全防護設備通過SYSLOG日志格式將數(shù)據(jù)傳送到網(wǎng)絡安全監(jiān)測裝置，如果日志格式不符合規(guī)范要求，則需要對設備進行升級，提供標準日志或由廠家提供動態(tài)解析庫，部署到網(wǎng)絡安全監(jiān)測裝置上，對原始日志進行解析方可準確上送。針對應采集的設備，如無法通過軟件升級方式支持或不具備硬件條件，則需要進行整體更換。

2.1.3 同調(diào)度端網(wǎng)絡安全管理平臺聯(lián)調(diào)

現(xiàn)場應采集的主機設備、網(wǎng)絡設備和安全防護設備軟硬件部署完畢后，則需要完成站內(nèi)網(wǎng)絡安全監(jiān)測裝置與調(diào)度端網(wǎng)絡安全管理平臺間的聯(lián)調(diào)工作，驗證本地安全事件的采集、監(jiān)視告警以及安全核查等功能，確保本地重要告警事件能夠被準確及時地上報到上級調(diào)度單位。

調(diào)度端則需要對廠站側(cè)接入的監(jiān)測裝置進行相應的驗收測試，以保障現(xiàn)場設施功能竣工驗收的完整性。驗收內(nèi)容應包括危險命令測試、裝置自身告警信息上送等。

2.1.4 規(guī)范網(wǎng)絡安全體系白名單

以工業(yè)控制系統(tǒng)安全為視角，針對工控系統(tǒng)對可靠性、穩(wěn)定性、業(yè)務連續(xù)性的嚴格要求，工控系統(tǒng)軟件和設備更新的頻率，以及通信和數(shù)據(jù)的特點，提出了建立工控系統(tǒng)安全生產(chǎn)與運行的“軟件應用白名單”概念：（1）只有可信任的設備，才能接入控制網(wǎng)絡；（2）只有可信任的消息，才能在網(wǎng)絡上傳輸；（3）只有可信任的軟件，才允許被執(zhí)行。

變電站具有主機設備、網(wǎng)絡設備及安全防護設備眾多，服務及端口數(shù)量大，通信網(wǎng)絡拓撲復雜等特點，為確保網(wǎng)絡事件準確上報，需對網(wǎng)絡安全監(jiān)測裝置白名單進行細化，按照在用設備地址及端口清單對所有配置進行核查和整改，嚴格落實“最小化”原則。

2.2 延伸安全監(jiān)測維度，拓展多部門聯(lián)動機制

2.2.1 源頭精準監(jiān)控，部門快速反應

充分利用調(diào)度自動化網(wǎng)絡安全管理平臺對各站網(wǎng)絡安全監(jiān)測裝置上送的網(wǎng)絡安全事件及遠動系統(tǒng)異常信息進行精準監(jiān)控，由調(diào)度自動化班專業(yè)人員進行技術篩選，并通過網(wǎng)絡安全值班及調(diào)度監(jiān)控人員及時通知運維檢修部相關負責人進行處置。變電運維室負責對站內(nèi)設備外觀及運行環(huán)境進行檢查，為后續(xù)其他專業(yè)檢查判斷提供第一手資料，變電檢修室、二次檢修室負責對站內(nèi)運行的一、二次設備內(nèi)部配置及專業(yè)管理內(nèi)容進行檢查，信通分公司負責對站內(nèi)傳輸通道運行情況進行檢查。

2.2.2 視頻監(jiān)控系統(tǒng)聯(lián)動，全面定位網(wǎng)絡事件

充分利用變電站視頻監(jiān)控系統(tǒng)的實時及歷史瀏覽功能，結(jié)合網(wǎng)絡安全事件信息，對全站運行環(huán)境進行全面判斷。多角度、立體式檢查事件發(fā)生前后人員進出情況。利用安裝在變電站各個角度的攝像機對生產(chǎn)設備和環(huán)境安全進行監(jiān)控，并將監(jiān)視目標的動態(tài)圖像傳輸?shù)奖O(jiān)控中心，監(jiān)控中心可以對攝像機進行控制和錄像。監(jiān)控中心、變電站運行維護人員通過視頻監(jiān)控主機即可對變電站監(jiān)控范圍的目標區(qū)域中設備或現(xiàn)場進行監(jiān)視，同時可以通過主機對鏡頭進行控制，包括左右、上下、聚焦、變焦、畫面切換等動作。根據(jù)授權，監(jiān)控人員可以調(diào)用歷史錄像進行查看，從而對發(fā)生的網(wǎng)絡安全事件進行有效監(jiān)視。

2.3 建設網(wǎng)絡安全運維隊伍，提升人員技能等級

為了有效防范網(wǎng)絡滲透攻擊，國家電網(wǎng)需要進一步提升運維人員技術水平，抽調(diào)二次檢修室、變電檢修室、變電運維室、信通分公司骨干力量，組建網(wǎng)絡安全運維隊伍，通過開展安全防護培訓和模擬網(wǎng)絡滲透攻擊，在充分發(fā)揮各專業(yè)優(yōu)勢、發(fā)現(xiàn)轄區(qū)內(nèi)各站網(wǎng)絡安全薄弱環(huán)節(jié)的同時，持續(xù)提升隊伍人員技能等級。

3 結(jié)語

電力監(jiān)控系統(tǒng)安全防護是電力安全生產(chǎn)管理體系的有機組成部分，無論是變電站監(jiān)控系統(tǒng)，還是新興的泛在電力物聯(lián)網(wǎng)，每一個環(huán)節(jié)都需要網(wǎng)絡安全這道鎖進行管控。石嘴山供電公司所建立的電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)視體系在近兩年的工作中得到了充分實踐。其具有較完整、嚴謹、清晰的管理實施思路、框架和過程，既能應用于國家電網(wǎng)有限公司內(nèi)部，如各電壓等級變電站、配網(wǎng)系統(tǒng)，又能廣泛應用于其他企業(yè)或公司，具有普遍適用性和推廣價值。