地區電力監控系統安全技術及其應用淺析

曹丹華

國網江蘇省電力有限公司鹽城供電分公司 江蘇 鹽城 224000

引言

隨著信息技術在我國各領域的廣泛應用，網絡安全威脅的受關注程度不斷提升，電力監控系統網絡安全管理便是其中的代表。基于此，本文將簡單分析電力監控系統網絡安全管理平臺的應用價值，并以此為依據深入探討電力監控系統網絡安全管理平臺設計與實現，希望研究內容能夠給相關從業人員以啟發。

1 電力監控系統網絡安全風險

作為關鍵信息基礎設施，我國對電力監控系統所處的網絡結構有明確的規定，將網絡劃分為生產控制大區和管理信息大區，根據所承載業務的性質，進一步將生產控制大區細分為控制區、非控制區，即安全I、II區，管理信息大區則細分為生產管理區和信息內外網區，即安全III區、IV區和V區。生產控制大區和管理信息大區之間用電力專用隔離裝置進行物理隔離，兩個大區內的小區之間使用防火墻進行邏輯隔離，電力監控系統按要求部署在安全I、II、III區。這樣的劃分保證系統處于一個閉合的網絡環境，使系統具備一定抵御外部網絡安全威脅的能力。但軟硬件自身的漏洞、不合理的策略配置、惡意代碼及計算機病毒的擺渡攻擊、安全管理的缺失都使電力監控系統安全防護存在木桶效應，面對的網絡安全風險不容樂觀[1]。

2 地區電力監控系統安全技術及其應用

2.1 變電站網絡安全監測設備的信息接入

變電站網絡安全監測裝置需采集三類設備信息，分別為主機設備、網絡設備和安全防護設備：①主機設備采集。主機設備采集原則上包含了變電站內所有類型的主機，如變電站后臺監控系統主機、保護信息子站工作站、故障錄波器主機等，考慮到業務的可靠運行，一般采用相應廠商開發的探針程序（agent），采集操作系統自身感知的安全信息，再通過TCP/IP協議，發送至網絡安全監測裝置，并由網絡安全監測裝置作為服務端，監聽來自主機設備的連接請求。②網絡設備采集。網絡設備采集主要指站控層及間隔層交換機的信息采集，網絡安全監測裝置通過SNMP協議采集交換機的安全信息，交換機產生告警事件后，通過SNMPTRAP協議向網絡安全監測裝置發送事件信息，如網口的UP和DOWN、內存使用情況及告警信息等。③安全防護設備采集。安全防護設備采集主要指變電站內防火墻設備、正反向隔離裝置等，安全防護設備通過SYSLOG日志格式將數據傳送到網絡安全監測裝置，如果日志格式不符合規范要求，則需要對設備進行升級，提供標準日志或由廠家提供動態解析庫，部署到網絡安全監測裝置上，對原始日志進行解析方可準確上送。針對應采集的設備，如無法通過軟件升級方式支持或不具備硬件條件，則需要進行整體更換[2]。

2.2 網絡及電力二次安防設備加固

電力監控系統所處的網絡結構被強制劃分為生產控制和管理信息兩個大區，區域內由交換機、路由器、防火墻、入侵防御設備、防病毒管理中心、電力專用縱向加密認證裝置、電力專用橫向隔離裝置等構成，彼此之間相互協助，共同構建了電力監控系統基礎的網絡安全環境。這一部分的加固工作涉及網絡的物理環境與邏輯環境兩個層面，包括策略修改、補丁安裝及軟件升級、硬件設備的增改、系統所處安全區再評估及遷移等。①策略修改、補丁安裝及軟件升級是常規的網絡安全加固方式，針對存量網絡及電力二次安防設備具有成本低、效率高的特點，具體內容包括：以最小權限開放IP地址及端口，置頂黑名單與封堵高危端口，部分業務通道開啟加密方式傳輸、安裝設備補丁、升級設備軟件及網絡安全設備特征庫等。②硬件設備的增改，網絡安全技術日新月異，適度增加或改變網絡與安防設備，對抵御新的網絡安全風險有立竿見影的效果，具體內容有：網絡邊界增加入侵防御系統，在生產控制和管理信息大區部署網絡安全態勢感知裝置、移動介質管控平臺及防病毒管理中心，將生產控制II區縱向互聯防火墻更換為電力專用縱向加密認證裝置等。③系統所處安全區再評估及遷移，電力監控系統是不斷完善與發展的，其所面對的網絡安全威脅也是變化的。比如某個電力監控系統升級改造后，其監測與控制功能的增強，其所承載數據的性質改變，將導致其網絡安全形勢產生改變，這就需要對系統所處安全區進行再評估，給出系統是否遷移的建議，這種遷移主要表現為部分系統功能模塊從低安全區向高安全區的部署，由于各自所屬安全區的改變，遷移后系統模塊的數據交互必須通過防火墻或電力專用橫向隔離裝置進行。

2.3 安全訪問控制和惡意代碼防范

實行電力監控系統安全訪問控制重點在于訪問控制列表有效的規則設定以達到敏感信息的安全訪問。訪問通道應禁止明文傳輸，如禁用TELNET協議訪問方式，采用SSH強加密訪問，對于關鍵設備限定本地串口登錄，這樣可犧牲操作便捷性以達到安全訪問的要求。網絡設備如交換機、路由器應考慮對SNMP協議進行訪問控制，禁止非法用戶通過SNMP訪問設備，設置受信任的網絡地址范圍。主機安裝惡意代碼軟件，實時查殺病毒并采用專人負責，定期維護更新策略，嚴禁在線更新病毒庫[3]。

3 結束語

電力監控系統安全防護是電力安全生產管理體系的有機組成部分，無論是變電站監控系統，還是新興的泛在電力物聯網，每一個環節都需要網絡安全這道鎖進行管控。石嘴山供電公司所建立的電力監控系統網絡安全監視體系在近兩年的工作中得到了充分實踐。其具有較完整、嚴謹、清晰的管理實施思路、框架和過程，既能應用于國家電網有限公司內部，如各電壓等級變電站、配網系統，又能廣泛應用于其他企業或公司，具有普遍適用性和推廣價值。