網絡安全監測裝置在抽水蓄能電站的應用

2020-12-29 04:47:00王晶晶李世昌楊敬沫

水電站機電技術 2020年12期

王晶晶，李世昌，楊敬沫

（1.河北張河灣蓄能發電有限責任公司，河北石家莊 050300；2.國網新源控股有限公司檢修分公司，北京 100068）

1 引言

近些年來，互聯網信息技術迅猛發展，電力系統的自動化、智能化技術得到了更加深入的發展，為了保障電力通信網絡能夠安全、穩定運行，采用“安全分區、網絡專用、橫向隔離、縱向認證”防護模式，完成電力監控系統內部的信息交流和資源共享，但是在電力監控系統逐漸成為一個整體的過程中，網絡信息安全問題也日益凸顯，部署網絡安全監測裝置顯得尤為重要。張河灣電站監控系統上位機改造期間，部署一臺Ⅱ型網絡安全監測裝置于電力監控系統局域網內，具備實時采集、監視、告警、審計和核查功能，監測接入設備的不安全信息，為網絡安全管理平臺上傳事件，并同步上送調度網絡安全監測平臺，避免一系列的安全問題出現，確保電力系統網絡安全。

2 電力監控系統結構與安全威脅

2.1 電力監控系統結構

河北張河灣抽水蓄能電站使用SSJ-3000型水電廠計算機監控系統，由站控層和現地控制層等設備組成。站控層為全分布開放系統結構，包括2套冗余實時數據服務器、2套冗余歷史服務器、4套冗余操作員工作站（其中2臺操作員站部署于站外）、1套工程師站、2套調度通信工作站、1套廠內通信工作站、1套語音報警服務器、1套GPS時鐘同步裝置等。現地控制層以雙以太環網為核心，實現各現地控制單元功能分散，10套現地控制單元脫離系統可正常工作。

2.2 電力監控系統的安全威脅

當前站內電力監控系統的整體結構較為封閉，各個業務之間的關聯性強，而且在外部網絡連接方面的權限控制非常嚴格，但是僅使用物理方式對網絡邊界進行隔離，不能有效解決外部網絡的信息傳輸問題，隨著電力監控系統與主站之間的信息交互日益密切，使得不同網絡間的業務數據逐漸融合，不同系統中的數據傳輸越發頻繁。電力監控系統在應用層中主要的威脅包含：拒絕服務攻擊、會話劫持、非授權訪問、網頁篡改，以及木馬病毒和惡意代碼等。網絡中存在的主要威脅有：對等網絡占用帶寬、信息竊聽、破壞數據完整性等，對于網絡威脅要通過相應的管理手段進行解決。

3 網絡安全監測裝置

3.1 監測對象

在張河灣電站中，安全監測裝置部署在生產控制Ⅰ區，主要的監測對象有：交換機、操作員站、服務器、廠內通信機、遠動機、防火墻等。系統按照設備自身感知、監測裝置分布采集、管理平臺統一管控的原則，加強對這些對象設備的監測，對系統的穩定運行有著非常重要的作用和意義。

3.2 平臺架構

在安全Ⅰ/Ⅱ區之間，通過防火墻進行相應連接或斷開點的設置，在其中設置物理隔離層，規定由安全Ⅰ區向安全Ⅱ區的啟動方向為正。在安全Ⅰ區部署網絡安全管理平臺，接收并轉發來自廠站的網絡安全事件，網絡安全監測裝置與站內主交換機進行通信，并經實時交換機、縱向加密裝置將安全事件轉發至調度側主站；在安全Ⅱ區部署網絡安全管理平臺，經防火墻接收Ⅰ區采集的安全事件信息，實現對網絡安全事件的實時監視、集中分析和統一審查，上送告警信息。其網絡拓撲如圖2所示。

圖2 網絡安全監測裝置拓撲圖

3.3 事件采集

網絡安全監測裝置支持對服務器、工作站、網絡設備、安全防護設備等監測對象進行事件采集，采集內容包括：

（1）主機設備：包括主機設備操作系統層面所有的用戶登錄、操作信息、外設設備（鍵盤、鼠標以及所有移動存儲設備）接入信息及網絡外聯等安全事件信息。

（2）網絡設備：交換機相關配置變更、流量信息、網口狀態、CPU 利用率、內存利用率、網絡連接情況等安全事件信息。

（3）安防設備：設備運行狀態、自身策略的安全事件、策略變更及設備異常信息。

3.4 數據分析

在電力監控系統網絡安全監測裝置運行的過程中，對監視過程數據進行分析，包括：

（1）對采集到的CPU利用率、內存使用率、網口流量突變、設備硬件狀態等信息進行分析處理，根據告警等級上報事件。

（2）對網絡設備日志信息、關鍵文件變更、用戶權限變更進行安全性分析處理，將異常事件信息上報。

（3）安全分析事件重復上報可對告警進行定時歸并，安全事件可按時間、等級等篩選，便于報警信息查看。

3.5 通信功能

主機設備通過部署Agent的方式進行采集，讀取主機硬件配置、外部連接監視及運行狀態等；網絡設備依托自身安全策略配置，通過設備支持的Snmp和Snmp Trap協議方式進行安全事件上送；安防設備自主感知安全事件，通過設備自身安全策略、配置信息實現安全事件感知，通過Syslog報文方式主動上報至網絡安全監測裝置。

3.6 運維管理

網絡安全監測裝置具有本地管理功能，通過安全監測管理機登錄進行設備資產及告警信息管理。通過配置多級管理用戶，對裝置安全策略修改的不同權限分級管理，實現安全運維。①資產管理：包括對資產的錄入、修改及刪除，資產信息的補充完善等。②規則管理：根據資產類別服務器、網絡設備、隔離設備，進行告警規則設定，對相關告警設定事件級別、是否上傳。③網絡管理：增加或取消接入設備時，修改相應網口的IP地址等信息。現場運維要加強告警信息的巡視，及時對采集事件、上傳事件進行查看，發現資產設備主網口掉線、登錄退出、危險操作等不安全事件。

4 總結

電力監控系統安全監測裝置的應用全面提升了張河灣電站電力監控系統二次安全防護水平，提高了檢測并抵御各種常見網絡攻擊的能力及抵御滲透攻擊的能力，為電力二次系統安全審計評估提供可靠信息來源和有效的分析手段，對廠內網絡行為安全分析具有積極效果。