0引言

某大型發(fā)電企業(yè)(2×600Mw火電機組)建有1座22okV升壓站,按標準建設了電力監(jiān)控系統(tǒng),為了進一步提高電力監(jiān)控系統(tǒng)的網(wǎng)絡安全防護能力,在公司涉網(wǎng)電力監(jiān)控系統(tǒng)中部署了網(wǎng)絡安全監(jiān)測裝置,實現(xiàn)對網(wǎng)絡安全事件的實時管理和監(jiān)控。

1部署網(wǎng)絡安全監(jiān)測系統(tǒng)的必要性

隨著計算機技術、通信技術和網(wǎng)絡技術的發(fā)展,電力系統(tǒng)自動化水平不斷提高,現(xiàn)在電力生產(chǎn)一刻也無法離開電力監(jiān)控系統(tǒng)網(wǎng)絡,層出不窮的病毒、黑客攻擊、部分人為差錯導致的安全事件都可能造成電力監(jiān)控系統(tǒng)故障甚至導致電網(wǎng)、設備事故,這就對電力監(jiān)控系統(tǒng)網(wǎng)絡安全提出了新的要求。

火電企業(yè)電力監(jiān)控系統(tǒng)中涉網(wǎng)設備主要有交換機、路由器,各業(yè)務的服務器、后臺電腦等也部署了防火墻、入侵檢測IDs系統(tǒng)、安全審計系統(tǒng)等網(wǎng)絡安全設備,雖然有大量的網(wǎng)絡安全設備,但仍存在一些問題。現(xiàn)有電力監(jiān)控系統(tǒng)網(wǎng)絡安全存在的問題和不足如下:

(1)原有的入侵檢測系統(tǒng)等網(wǎng)絡安全設備獨立運行,呈現(xiàn)"孤島"式分布,相互之間缺少協(xié)作,安全數(shù)據(jù)沒有得到有效共享和關聯(lián)。

(2)安全事件發(fā)現(xiàn)、響應及處理能力相對薄弱,通過人工對安全系統(tǒng)大量信息、數(shù)據(jù)進行分析,無法及時發(fā)現(xiàn)內網(wǎng)安全事件。

(3)沒有對電力監(jiān)控系統(tǒng)網(wǎng)絡安全進行實時管理和監(jiān)控的系統(tǒng),無法保證安全事件得到及時發(fā)現(xiàn)、分析及處理,無法滿足當前日益提高的網(wǎng)絡安全管理要求。

2網(wǎng)絡安全監(jiān)測系統(tǒng)設計及應用

網(wǎng)絡安全監(jiān)測裝置在現(xiàn)有電力監(jiān)控系統(tǒng)及其安全防護設施的基礎上,采集涉網(wǎng)的變電站站控層、涉網(wǎng)區(qū)域的服務器、工作站、網(wǎng)絡設備和安防設備自身感知的安全數(shù)據(jù)及網(wǎng)絡安全事件,實現(xiàn)對網(wǎng)絡安全事件的本地監(jiān)視和管理。

2.1網(wǎng)絡安全監(jiān)測系統(tǒng)監(jiān)測采集范圍

根據(jù)企業(yè)電力監(jiān)控系統(tǒng)實際情況,網(wǎng)絡安全監(jiān)測系統(tǒng)采集范圍為涉網(wǎng)部分的電力監(jiān)控系統(tǒng)。按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》(發(fā)改委2o14年第14號令)第十四條,采集范圍為網(wǎng)絡計算機監(jiān)控系統(tǒng)、向量測量裝置PMU、電能量采集裝置、調度計劃終端、故障錄波系統(tǒng)裝置、保信子站系統(tǒng)等涉網(wǎng)設備,覆蓋主機設備、網(wǎng)絡設備、通用及專用安防設備。具體如表1所示。

2.2網(wǎng)絡安全監(jiān)測系統(tǒng)網(wǎng)絡拓撲

根據(jù)企業(yè)網(wǎng)絡安全分區(qū)和網(wǎng)絡連接實際情況,為確保安全I、Ⅱ區(qū)網(wǎng)絡之間無物理連接,在安全I、Ⅱ區(qū)各部署1臺網(wǎng)絡安全監(jiān)測裝置,對企業(yè)安全I區(qū)、Ⅱ區(qū)的網(wǎng)絡安全信息進行采集,通過調度數(shù)據(jù)網(wǎng)實時、非實時VPN上送網(wǎng)絡安全管理平臺。

根據(jù)需要,在本地新增兩臺人機工作站(分別部署于I區(qū)、I區(qū),顯示器共用一臺,通過共享開關切換),承擔數(shù)據(jù)庫存儲兼本地監(jiān)視功能,用來存儲監(jiān)測裝置采集到的監(jiān)視對象運行信息、操作信息及告警信息,實現(xiàn)安全監(jiān)視、安全告警、安全分析以及安全審計功能,展示本地網(wǎng)絡安全信息。最終網(wǎng)絡安全監(jiān)測系統(tǒng)網(wǎng)絡拓撲圖如圖1所示。

2.3數(shù)據(jù)采集內容

數(shù)據(jù)采集實現(xiàn)對調度相關系統(tǒng)和調度廠站設備中的主機設備、網(wǎng)絡設備、安防設備安全信息的采集。

2.3.1主機設備

工作站/服務器的運行狀態(tài)、用戶登錄、操作信息、移動存儲設備接入、網(wǎng)絡外聯(lián)等事件信息。

2.3.2網(wǎng)絡設備

用戶登錄、操作信息、流量信息、配置變更、網(wǎng)口狀態(tài)等信息。

2.3.3安防設備

用戶登錄、運行狀態(tài)、配置變更、安全事件等信息。

2.4數(shù)據(jù)采集方式

2.4.1主機設備

在服務器、工作站上部署網(wǎng)絡安全監(jiān)測代理程序(Agent,也稱"探針)),將采集的網(wǎng)絡安全信息發(fā)送至監(jiān)測裝置。監(jiān)測裝置作為服務端監(jiān)聽主機設備的連接請求。

2.4.2網(wǎng)絡設備

(1)通過1NMP/TRAP協(xié)議被動接收交換機事件信息:

(2)通過1NMP協(xié)議主動從交換機獲取所需信息:

(3)通過日志協(xié)議(sys1og)采集交換機信息。

2.4.3安防設備

通過裝置自身日志協(xié)議(sys1og)將數(shù)據(jù)傳至監(jiān)測裝置。

3系統(tǒng)投運后帶來的提升

3.1提高了發(fā)現(xiàn)網(wǎng)絡安全風險的及時性

通過在主機設備安裝網(wǎng)絡安全監(jiān)測代理程序(Agent),實現(xiàn)了對操作人員、主機以及其他設備的操作行為監(jiān)視,可及時發(fā)現(xiàn)不經(jīng)許可的非法操作,通過1NMP協(xié)議實現(xiàn)了對交換機等網(wǎng)絡設備接入的監(jiān)視,可及時發(fā)現(xiàn)未經(jīng)許可的非法網(wǎng)絡連接。網(wǎng)絡安全監(jiān)測系統(tǒng)實現(xiàn)了對電力監(jiān)控系統(tǒng)整體安全運行情況的實時監(jiān)視,能及時發(fā)現(xiàn)各類網(wǎng)絡安全風險,并發(fā)出告警信息提示相關人員進行處理,如圖2所示。

3.2減輕了專業(yè)人員的工作量

由于網(wǎng)絡安全監(jiān)測裝置將各服務器、主機、網(wǎng)絡安全防護設備的信息整合在一起,專業(yè)人員重點對網(wǎng)絡安全監(jiān)測裝置信息進行檢查、分析、判斷,就可替代原先對每臺主機電腦、設備的檢查,工作量減少70%以上。

3.3降低了對專業(yè)人員的技術要求

由于網(wǎng)絡安全監(jiān)測裝置對接入系統(tǒng)的安全運行信息進行了分析,給出了網(wǎng)絡安全風險的初步判斷,例如交換機均采用Linux系統(tǒng),原來日常檢查需使用各種命令進行,現(xiàn)在通過網(wǎng)絡安全監(jiān)測裝置即可得到分析結果,降低了對專業(yè)人員的技術要求,避免了因人員技術水平不足導致的網(wǎng)絡安全風險。

4系統(tǒng)安裝需要注意的幾個方面

(1)網(wǎng)絡安全監(jiān)測裝置是用來提高網(wǎng)絡安全防護水平的,不能影響到原有系統(tǒng)的正常運行。因此主機設備的網(wǎng)絡安全監(jiān)測代理程序(Agent)宜由主機設備廠家進行提供及安裝,主機設備廠家不能提供網(wǎng)絡安全監(jiān)測代理程序的才由網(wǎng)絡安全監(jiān)測系統(tǒng)廠家提供,并經(jīng)主機系統(tǒng)廠家進行兼容性檢測正常后方可安裝并使用。

(2)由于網(wǎng)絡安全監(jiān)測代理程序(Agent)與主機的網(wǎng)卡MAC地址、操作系統(tǒng)等設備碼進行了唯一性綁定并授權,當主機故障更換后原有的Agent將失效,在主機的操作系統(tǒng)升級、硬件更新等情況下要同步考慮Agent的更新。

(3)如果網(wǎng)絡安全監(jiān)測裝置的網(wǎng)口數(shù)量無法滿足所有涉網(wǎng)電力監(jiān)控系統(tǒng)的接入需求,可以考慮外接交換機,通過在交換機為每個獨立業(yè)務系統(tǒng)劃分VLAN的方式接入網(wǎng)絡安全監(jiān)測裝置。

5結語

網(wǎng)絡安全監(jiān)測系統(tǒng)使電力監(jiān)控系統(tǒng)的網(wǎng)絡安全管理從"靜態(tài)布防、邊界監(jiān)視)向"實時管控、縱深防御)轉變,其將各種網(wǎng)絡安全防護手段有效結合在一起,有力提升了電力監(jiān)控系統(tǒng)的網(wǎng)絡安全防護水平。