摘 要：隨著信息技術(shù)的發(fā)展以及電力行業(yè)對(duì)信息化的需求越來(lái)越大，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)不斷擴(kuò)大，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，鑒于此，在火力發(fā)電廠加裝了網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置，其能夠?qū)﹄娏ΡO(jiān)控系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行提取、分析及預(yù)測(cè)，實(shí)現(xiàn)全天候、全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知，確保電力監(jiān)控網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：二次安全防護(hù);網(wǎng)絡(luò)安全;態(tài)勢(shì)感知

0? ? 引言

從電力監(jiān)控網(wǎng)絡(luò)安全建設(shè)來(lái)看，漏洞管理、系統(tǒng)加固、安全區(qū)劃分、防火墻、加密認(rèn)證裝置等措施，在一定程度上反映了網(wǎng)絡(luò)安全狀態(tài)，并且在安全防護(hù)上也取得了一定的成果，但這些都是被動(dòng)防御措施，難以適應(yīng)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)的需要。在進(jìn)一步提升安全運(yùn)營(yíng)水平的同時(shí)，有必要積極開展主動(dòng)防御能力的建設(shè)，采用更加積極的對(duì)抗措施來(lái)應(yīng)對(duì)各種網(wǎng)絡(luò)安全問(wèn)題。應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，能夠全面、動(dòng)態(tài)分析和預(yù)測(cè)網(wǎng)絡(luò)安全問(wèn)題，感知網(wǎng)絡(luò)攻擊行為，提升主動(dòng)防御能力。

1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)介紹

1.1? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的目標(biāo)和原則

電力監(jiān)控系統(tǒng)安全防護(hù)主要針對(duì)網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的生產(chǎn)控制系統(tǒng)。要建立健全電網(wǎng)電力監(jiān)控系統(tǒng)安全防護(hù)體系，在統(tǒng)一的安全策略下保護(hù)重要系統(tǒng)免受黑客、病毒、惡意代碼等的侵害，特別是能夠抵御來(lái)自外部有組織的團(tuán)體、擁有豐富資源的威脅源發(fā)起的惡意攻擊，能夠減輕嚴(yán)重自然災(zāi)害造成的損害，并能在系統(tǒng)遭到損害后迅速恢復(fù)主要功能，防止電力監(jiān)控系統(tǒng)的安全事件引發(fā)或?qū)е码娏σ淮蜗到y(tǒng)事故或大面積停電事故。安全防護(hù)的基本原則為“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”。安全防護(hù)的核心能力是“保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、審計(jì)”的閉環(huán)機(jī)制。電力監(jiān)控系統(tǒng)安全防護(hù)是一項(xiàng)系統(tǒng)工程，其總體安全防護(hù)水平取決于系統(tǒng)中最薄弱點(diǎn)的安全水平。

1.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)

網(wǎng)絡(luò)安全態(tài)勢(shì)感知是基于網(wǎng)絡(luò)環(huán)境動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)，以安全大數(shù)據(jù)為基礎(chǔ)，全面提升對(duì)安全威脅的識(shí)別、分析、處置能力的一種方式。面對(duì)網(wǎng)絡(luò)空間安全形勢(shì)所帶來(lái)的挑戰(zhàn)，在強(qiáng)大的信息和數(shù)據(jù)分析平臺(tái)的支持下，使用網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)，能夠全面了解當(dāng)前網(wǎng)絡(luò)安全狀態(tài)，預(yù)測(cè)其發(fā)展趨勢(shì)并做出有效的規(guī)劃和響應(yīng)。

電力監(jiān)控網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)主要由網(wǎng)絡(luò)安全態(tài)勢(shì)感知主站系統(tǒng)和采集裝置組成。主站系統(tǒng)是指部署在各級(jí)調(diào)控中心，具備網(wǎng)絡(luò)安全實(shí)時(shí)監(jiān)視、日志審計(jì)、預(yù)測(cè)分析等功能的應(yīng)用系統(tǒng);采集裝置是指部署在各級(jí)調(diào)控中心、各級(jí)發(fā)電廠、變電站電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，對(duì)主站或廠站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行采集、分析、處理并與主站系統(tǒng)通信的裝置。采集裝置和主站系統(tǒng)通過(guò)現(xiàn)有的數(shù)據(jù)網(wǎng)進(jìn)行通信。

2? ? 網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在火力發(fā)電廠的實(shí)施

2.1? ? 工程介紹

某電廠一期工程安裝2臺(tái)330 MW機(jī)組，2臺(tái)發(fā)電機(jī)組經(jīng)升壓變壓器接入220 kV系統(tǒng)，有3回220 kV出線。根據(jù)南方電網(wǎng)公司《關(guān)于印發(fā)2018年南方電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)建設(shè)工作方案的通知》（南方電網(wǎng)系統(tǒng)〔2018〕7號(hào)）的要求，在該火力發(fā)電廠加裝態(tài)勢(shì)感知裝置。

2.2? ? 電力監(jiān)控網(wǎng)絡(luò)安全防護(hù)的現(xiàn)狀

目前該火力發(fā)電廠的網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)（安全Ⅰ區(qū)、Ⅱ區(qū)）、信息管理大區(qū)（安全Ⅲ區(qū)），二次安全防護(hù)設(shè)備結(jié)合數(shù)據(jù)網(wǎng)雙平面實(shí)施，配置縱向加密認(rèn)證裝置、防火墻、互聯(lián)交換機(jī)等設(shè)備。在生產(chǎn)控制大區(qū)邊界部署入侵檢測(cè)系統(tǒng)（IDS），實(shí)現(xiàn)對(duì)各個(gè)業(yè)務(wù)系統(tǒng)與橫向、縱向網(wǎng)絡(luò)邊界的入侵檢測(cè)。在生產(chǎn)控制大區(qū)部署日志審計(jì)設(shè)備，對(duì)各種網(wǎng)絡(luò)設(shè)備運(yùn)行日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全防護(hù)設(shè)備運(yùn)行日志和告警信息等進(jìn)行集中收集、分析、審計(jì)和告警處理。

2.3? ? 電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置的應(yīng)用

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)在電廠安全區(qū)Ⅰ、安全區(qū)Ⅲ中分別部署獨(dú)立的網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置（圖1）。本工程新增的2臺(tái)ZH-NSS-3000S網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置為廣州兆和電力技術(shù)有限公司產(chǎn)品，分別采集處理本區(qū)域內(nèi)的網(wǎng)絡(luò)流量、日志數(shù)據(jù)、資產(chǎn)數(shù)據(jù)等，安全區(qū)Ⅱ不需要部署獨(dú)立的網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置，安全區(qū)Ⅱ內(nèi)的所有數(shù)據(jù)通過(guò)橫向防火墻發(fā)送至安全區(qū)Ⅰ中的網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置進(jìn)行采集處理。態(tài)勢(shì)感知裝置通過(guò)電廠網(wǎng)絡(luò)安全數(shù)據(jù)的接入采集，并與電力監(jiān)控系統(tǒng)主站平臺(tái)聯(lián)動(dòng)，最終實(shí)現(xiàn)電廠內(nèi)電力監(jiān)控系統(tǒng)設(shè)備信息的采集、分析、處置，達(dá)到電廠電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題可發(fā)現(xiàn)、可控制、可溯源的目的。

本工程需要采集網(wǎng)絡(luò)安全數(shù)據(jù)的對(duì)象有電廠監(jiān)控系統(tǒng)工作站、遠(yuǎn)動(dòng)機(jī)、保護(hù)信息子站、故障錄波、安穩(wěn)系統(tǒng)、PMU、保護(hù)裝置、測(cè)控裝置、交換機(jī)、路由器、防火墻、加密認(rèn)證裝置、入侵檢測(cè)系統(tǒng)、運(yùn)維審計(jì)系統(tǒng)、病毒系統(tǒng)等設(shè)備。采集方式包括主動(dòng)采集和被動(dòng)采集，支持基于TCP/IP的SNMP、Agent、ICMP、SSH、SNMP Trap、Syslog等通信協(xié)議。采集被監(jiān)視設(shè)備的日志信息和通信流信息，主要包括設(shè)備的IP/MAC、操作系統(tǒng)等;設(shè)備的CPU利用率、內(nèi)存利用率、磁盤利用率、流量大小等;設(shè)備的人為登錄操作、配置/文件變更、外設(shè)接入、網(wǎng)口狀態(tài)變更、異常訪問(wèn)、異常流量等;設(shè)備網(wǎng)絡(luò)原始數(shù)據(jù)流、通信對(duì)、可疑文件等。

態(tài)勢(shì)感知裝置進(jìn)行網(wǎng)絡(luò)掃描，統(tǒng)計(jì)全廠在線IP資產(chǎn)，當(dāng)有新設(shè)備接入或網(wǎng)絡(luò)結(jié)構(gòu)變化時(shí)，能快速感知。態(tài)勢(shì)感知裝置具備端口掃描功能，通過(guò)平臺(tái)端下發(fā)對(duì)應(yīng)設(shè)備的掃描，裝置能夠?qū)崟r(shí)掃描指定設(shè)備執(zhí)行端口，及時(shí)發(fā)現(xiàn)高危端口并通知處理，降低廠端設(shè)備資產(chǎn)的脆弱性，從而提高整體網(wǎng)絡(luò)安全可靠性。采用端口鏡像的方式采集廠內(nèi)交換機(jī)的流量數(shù)據(jù)，并實(shí)現(xiàn)網(wǎng)絡(luò)流量的網(wǎng)絡(luò)安全分析，支持將流量原始數(shù)據(jù)上送至主站。態(tài)勢(shì)感知裝置在事件告警生成后實(shí)時(shí)主動(dòng)上送至主站，事件告警信息包含安全事件、人員操作、設(shè)備故障和運(yùn)行異常等。

3? ? 工程設(shè)計(jì)中的要點(diǎn)

收到設(shè)計(jì)任務(wù)后準(zhǔn)備收資清單到現(xiàn)場(chǎng)勘查。收集需要接入的網(wǎng)絡(luò)和設(shè)備相關(guān)資料，如各設(shè)備的廠家、型號(hào)及接口，重點(diǎn)核實(shí)需要接入的交換機(jī)等設(shè)備是否有備用以太網(wǎng)接口以及CONSOLE接口。確定網(wǎng)絡(luò)態(tài)勢(shì)感知裝置的安裝位置。本工程有2臺(tái)網(wǎng)絡(luò)態(tài)勢(shì)感知終端，高度為2U的標(biāo)準(zhǔn)19英寸機(jī)箱，安裝在網(wǎng)控室二次安全防護(hù)屏備用位置。網(wǎng)絡(luò)態(tài)勢(shì)感知裝置要求采用雙路獨(dú)立電源供電，可以從直流系統(tǒng)兩段對(duì)應(yīng)的饋線屏各引一路電源，也可從兩套交流不間斷電源引接電源。網(wǎng)絡(luò)態(tài)勢(shì)感知裝置有失電信號(hào)硬接點(diǎn)輸出，該信號(hào)接至公用測(cè)控裝置，需要核實(shí)公用測(cè)控裝置是否有足夠的備用信號(hào)開入點(diǎn)。收集網(wǎng)控室屏位布置圖，用于統(tǒng)計(jì)和計(jì)算工程所需的電纜、通信線的長(zhǎng)度。

4? ? 結(jié)語(yǔ)

該火力發(fā)電廠部署了網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置，并與電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)感知主站通信，通過(guò)網(wǎng)絡(luò)安全測(cè)評(píng)后投入使用，能夠及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn)以及非法訪問(wèn)事件，實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的態(tài)勢(shì)感知及預(yù)警，提高電力監(jiān)控網(wǎng)絡(luò)安全整體水平，為電廠安全穩(wěn)定運(yùn)行提供技術(shù)保障。

[參考文獻(xiàn)]

[1] 郭杰華.大型水電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)應(yīng)用與研究[J].科技創(chuàng)新與應(yīng)用，2019（35）：163-164.

[2] 宗和剛，張朝粵.水電廠網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)的實(shí)現(xiàn)[J].水電站機(jī)電技術(shù)，2019，42（9）：13-16.

[3] 杜嘉薇，周穎，郭榮華，等.網(wǎng)絡(luò)安全態(tài)勢(shì)感知：提取、理解和預(yù)測(cè)[M].北京：機(jī)械工業(yè)出版社，2019.

收稿日期：2020-03-31

作者簡(jiǎn)介：林益波（1976—），男，廣東揭陽(yáng)人，工程師，主要從事電力設(shè)計(jì)工作。