發(fā)電廠監(jiān)控系統(tǒng)綜合管控方法研究

于 粟，李 明，冷柏炟

（1.國(guó)網(wǎng)遼寧省電力有限公司電力科學(xué)研究院，遼寧 沈陽 110006；2.沈陽工程學(xué)院，遼寧 沈陽 110136）

發(fā)電廠監(jiān)控系統(tǒng)綜合管控方法研究

于 粟1，李 明1，冷柏炟2

（1.國(guó)網(wǎng)遼寧省電力有限公司電力科學(xué)研究院，遼寧 沈陽 110006；2.沈陽工程學(xué)院，遼寧 沈陽 110136）

發(fā)電廠監(jiān)控系統(tǒng)綜合管控是保證電廠監(jiān)控系統(tǒng)安全穩(wěn)定運(yùn)行的重要手段，介紹了一種較為通用的發(fā)電廠監(jiān)控系統(tǒng)綜合管控方法，并對(duì)發(fā)電廠監(jiān)控系統(tǒng)綜合管控主要涉及的研究領(lǐng)域進(jìn)行了系統(tǒng)闡述。

監(jiān)控系統(tǒng)；綜合管控方法；系統(tǒng)安全防護(hù)

發(fā)電廠監(jiān)控系統(tǒng)綜合管控是應(yīng)用于多種通信系統(tǒng)、計(jì)算機(jī)系統(tǒng)和專用電力系統(tǒng)構(gòu)成的綜合電力信息網(wǎng)絡(luò)的綜合管理方法［1］。隨著我國(guó)智能電網(wǎng)的建設(shè)，信息安全問題在發(fā)電廠控制自動(dòng)化、繼電保護(hù)和安全裝置等多個(gè)領(lǐng)域面臨信息安全威脅，發(fā)電廠監(jiān)控系統(tǒng)綜合管控是保證電網(wǎng)信息安全的重要手段［2-3］。發(fā)電廠監(jiān)控系統(tǒng)綜合管控涉及4個(gè)方面：網(wǎng)絡(luò)管理、服務(wù)器管理、遠(yuǎn)程連接管理、堡壘主機(jī)的設(shè)置。遠(yuǎn)程連接管理及堡壘主機(jī)設(shè)置主要是對(duì)遠(yuǎn)程設(shè)備及訪問進(jìn)行管控，有效地對(duì)機(jī)房外部設(shè)備與機(jī)房?jī)?nèi)部系統(tǒng)連接進(jìn)行控制，網(wǎng)絡(luò)管理及服務(wù)器管理主要是針對(duì)機(jī)房?jī)?nèi)部設(shè)備進(jìn)行管控，監(jiān)控設(shè)備運(yùn)行狀態(tài)，故障前報(bào)警等，通過內(nèi)外系統(tǒng)的管控，達(dá)到安全管理、實(shí)時(shí)報(bào)警等效果［1-3］。

管控系統(tǒng)可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的問題，并及時(shí)報(bào)警，通過對(duì)多家產(chǎn)品的整合，可以將方案虛擬化為故障定位器，讓企業(yè)擁有可持續(xù)發(fā)展的信息安全管理框架、方法和機(jī)制［4］。其原理如圖1所示。

1 網(wǎng)絡(luò)管理方法

網(wǎng)絡(luò)管理系統(tǒng)通常是一個(gè)基于SNMP協(xié)議，采用先進(jìn)的分布式管理技術(shù)，對(duì)于任意規(guī)模的網(wǎng)絡(luò)都可以進(jìn)行全方位管理的綜合網(wǎng)絡(luò)管理系統(tǒng)［5］。為用戶解決網(wǎng)絡(luò)擁塞、網(wǎng)絡(luò)故障、行為管理、安全管理等保障網(wǎng)絡(luò)運(yùn)行的基本問題。網(wǎng)絡(luò)管理系統(tǒng)通常具備以下功能。

a.網(wǎng)絡(luò)構(gòu)成管理

強(qiáng)大的自動(dòng)網(wǎng)絡(luò)節(jié)點(diǎn)發(fā)現(xiàn)功能，自動(dòng)生成網(wǎng)絡(luò)拓?fù)鋱D，并可生成需要的網(wǎng)絡(luò)結(jié)構(gòu)圖，同時(shí)自動(dòng)獲取對(duì)象節(jié)點(diǎn)軟硬件信息。

b.網(wǎng)絡(luò)故障管理

可設(shè)置和定制多種監(jiān)控方式，并可通過聲音報(bào)警、手機(jī)短信等方式將故障及時(shí)通知管理者。

c.網(wǎng)絡(luò)性能管理

對(duì)網(wǎng)絡(luò)結(jié)點(diǎn)進(jìn)行實(shí)時(shí)、定時(shí)或周期性的監(jiān)測(cè)，根據(jù)統(tǒng)計(jì)數(shù)據(jù)對(duì)網(wǎng)絡(luò)系統(tǒng)性能進(jìn)行控制。

d.網(wǎng)絡(luò)安全管理

具有強(qiáng)大的IP地址合法性管理，可以實(shí)現(xiàn)IP／MAC地址綁定，可以進(jìn)行網(wǎng)段隔離，從根本上消除安全隱患。控制內(nèi)部撥號(hào)程序，避免有此引發(fā)的安全漏洞。

e.網(wǎng)絡(luò)自動(dòng)化管理

圖1 管控系統(tǒng)結(jié)構(gòu)原理

可根據(jù)事先設(shè)定的管理策略控制管理功能，支持基于經(jīng)驗(yàn)的過程預(yù)置，支持策略調(diào)度、批量處理。

2 服務(wù)器管理

服務(wù)器管理系統(tǒng)是集服務(wù)器管理、機(jī)房管理、數(shù)據(jù)庫管理、中間件管理、服務(wù)管理、業(yè)務(wù)管理、虛擬集群管理及云平臺(tái)管理等各種軟硬件一體化監(jiān)控平臺(tái)。服務(wù)器管理系統(tǒng)應(yīng)具備以下功能。

a.同時(shí)管理大量網(wǎng)元數(shù)

能同時(shí)在同一個(gè)管理平臺(tái)管理不少于50 000個(gè)設(shè)備、服務(wù)器、數(shù)據(jù)庫、中間件、企業(yè)級(jí)應(yīng)用、服務(wù)和業(yè)務(wù)系統(tǒng)等。基于JAVA和NET技術(shù)開發(fā)，能部署在Windows、Linux、Unix等各種平臺(tái)上，支持B／S和C／S方式訪問，實(shí)現(xiàn)Flex、HTML5等先進(jìn)技術(shù)，自帶高效安全數(shù)據(jù)庫。

b.跨廠商、跨平臺(tái)管理

支持各種廠商及類型的服務(wù)器、安全設(shè)備、存儲(chǔ)設(shè)備、機(jī)房設(shè)備、安全設(shè)備等，只要符合SNMP標(biāo)準(zhǔn)協(xié)議或telnet等網(wǎng)管協(xié)議網(wǎng)絡(luò)設(shè)備都能監(jiān)控。

除支持硬件外，軟件還支持監(jiān)控多種主流操作系統(tǒng)，包括Windows 2000／2003／2008等全系列的32位／64位（中英文各版本）、RedHat Linux AS、IBM-AIX、Solaris、HP-UX及各種中間件、企業(yè)級(jí)應(yīng)用和應(yīng)用系統(tǒng)。

c.智能的異常處理和全面的故障分析

能智能分析各異常間的邏輯關(guān)聯(lián)關(guān)系，提供原因分析，快速發(fā)現(xiàn)故障原因，自動(dòng)告警，縮短恢復(fù)時(shí)間，防止告警泛濫。

d.自動(dòng)告警、支持多種告警模式

支持多種告警方式，包括拓?fù)鋱D圖標(biāo)顏色變化、異常列表、遠(yuǎn)程消息框、遠(yuǎn)程聲音、短信、郵件、聲光及電話告警等方式，支持第三方接口。

e.多維度分析報(bào)表、支持多種格式報(bào)表導(dǎo)出

報(bào)表系統(tǒng)支持高效靈活的類Mrtg性能分析。用戶可以在一個(gè)屏幕上同時(shí)展現(xiàn)各指標(biāo)（如接口速率）的每次輪詢、30 min統(tǒng)計(jì)、2 h統(tǒng)計(jì)、日統(tǒng)計(jì)數(shù)據(jù)，形成曲線進(jìn)行圖形趨勢(shì)分析。并支持多種格式報(bào)表導(dǎo)出。

f.用戶權(quán)限管理、分級(jí)管理、分地域管理

系統(tǒng)可把不同資源分為不同管理域，對(duì)不同的網(wǎng)管功能，給不同的角色分配不同的權(quán)限。通過立體化多維化的地域和權(quán)限管理，構(gòu)建智能化的權(quán)限和視圖管理，并保證高效管理和嚴(yán)密權(quán)限相結(jié)合。

3 遠(yuǎn)程操作平臺(tái)

3.1 遠(yuǎn)程操作平臺(tái)控制臺(tái)功能

a.通過單一界面對(duì)整個(gè)基礎(chǔ)設(shè)施進(jìn)行安全、集中管理。

b.裝置自動(dòng)發(fā)現(xiàn)功能。

c.可實(shí)現(xiàn)冗余、實(shí)時(shí)更新和多站點(diǎn)負(fù)載均衡的中心輻射型架構(gòu)。

d.從桌面對(duì)整個(gè)大廳或全球范圍內(nèi)的連接設(shè)備進(jìn)行診斷測(cè)試。

e.詳細(xì)的審計(jì)日志和報(bào)告。

f.自動(dòng)更新、文件加載和制定計(jì)劃。

g.同步固件更新。

h.支持您安全策略的可選加密模式（AES、DES、3DES、128位SSL）。

i.對(duì)現(xiàn)有服務(wù)（LDAP、活動(dòng)目錄、NT域、RADIUS、TACACS＋和RSA SecurID）進(jìn)行身份驗(yàn)證。

3.2 遠(yuǎn)程操作平臺(tái)客戶端應(yīng)具備功能

利用數(shù)字KVM交換機(jī)，可通過板載Web瀏覽器從任何地方訪問服務(wù)器。無論專業(yè)人員是在現(xiàn)場(chǎng)或身處異地，都可獲得所需工具來保持服務(wù)器的全天候可用性。

通過Avocent HMX數(shù)字Desktop over IP解決方案，用戶可在局域網(wǎng)（LAN）中方便地從桌面訪問計(jì)算機(jī)和關(guān)鍵業(yè)務(wù)服務(wù)器，同時(shí)保持高品質(zhì)的視頻和音頻功能。用戶可通過單個(gè)TCP／IP連接將桌面延伸到LAN中的任何位置，不會(huì)影響任何功能。通過客戶端，技術(shù)人員可使用1套鍵盤、顯示器和鼠標(biāo)訪問多臺(tái)計(jì)算機(jī)。

4 堡壘主機(jī)

堡壘主機(jī)是一種被強(qiáng)化的可以防御進(jìn)攻的計(jì)算機(jī)，作為進(jìn)入內(nèi)部網(wǎng)絡(luò)的一個(gè)檢查點(diǎn)，達(dá)到把整個(gè)網(wǎng)絡(luò)安全問題集中在某個(gè)主機(jī)解決，省時(shí)、省力，不用考慮其他主機(jī)的安全。堡壘主機(jī)是網(wǎng)絡(luò)中最容易受到侵害的主機(jī)，因此，堡壘主機(jī)必須是自身保護(hù)最完善的主機(jī)。一個(gè)堡壘主機(jī)使用2塊網(wǎng)卡，每個(gè)網(wǎng)卡連接不同的網(wǎng)絡(luò)。1塊網(wǎng)卡連接監(jiān)控系統(tǒng)內(nèi)部網(wǎng)絡(luò)，用來管理、控制和保護(hù)，而另1塊連接另1個(gè)網(wǎng)絡(luò)，通常是生產(chǎn)大區(qū)的其他控制網(wǎng)絡(luò)或通過隔離設(shè)備連接管理大區(qū)。堡壘主機(jī)經(jīng)常配置網(wǎng)關(guān)服務(wù)，網(wǎng)關(guān)服務(wù)是由一個(gè)進(jìn)程來提供對(duì)從公網(wǎng)到私有網(wǎng)絡(luò)的特殊協(xié)議路由，反之亦然。

堡壘主機(jī)的功能主要包括內(nèi)／外部網(wǎng)絡(luò)行為管理、命令控制技術(shù)、細(xì)粒度策略控制功能、準(zhǔn)確日志查詢檢索功能、菜單類操作回放審計(jì)功能、帳號(hào)密碼的安全管理、FTP／SFTP文件安全傳輸、支持標(biāo)準(zhǔn)SYSLOG日志、即時(shí)操作“現(xiàn)場(chǎng)直播”的監(jiān)控功能、程序重用與控制技術(shù)、邏輯命令自動(dòng)識(shí)別技術(shù)、分布式處理技術(shù)、實(shí)時(shí)監(jiān)控技術(shù)、日志二次備份技術(shù)、多進(jìn)程／線程與同步技術(shù)、自動(dòng)報(bào)表生成技術(shù)、連續(xù)跳轉(zhuǎn)登錄技術(shù)、多信道登錄技術(shù)、數(shù)據(jù)加密功能、審計(jì)查詢檢索功能、操作還原技術(shù)、審計(jì)雙向備份技術(shù)等。堡壘主機(jī)類型目前一般有無路由雙宿主主機(jī)、犧牲品主機(jī)和內(nèi)部堡壘主機(jī)。

a.無路由雙重宿主主機(jī)

無路由雙重宿主主機(jī)有多個(gè)網(wǎng)絡(luò)接口，但這些接口間沒有信息流，主機(jī)本身就可作為一個(gè)防火墻，也可作為一個(gè)更復(fù)雜的防火墻的一部分。無路由雙重宿主主機(jī)大部分配置類同于其他堡壘主機(jī)，但用戶必須確保其沒有路由。如果某臺(tái)無路由雙重宿主主機(jī)就是一個(gè)防火墻，那么他可以運(yùn)行堡壘主機(jī)的例行程序。

b.犧牲品主機(jī)

有些用戶可能想用一些無論使用代理服務(wù)還是包過濾都難以保障安全的網(wǎng)絡(luò)服務(wù)或一些對(duì)其安全性沒有把握的服務(wù)。針對(duì)這種情況，使用犧牲品主機(jī)就是非常有用的（也稱替罪羊主機(jī)）。犧牲品主機(jī)是一種上面沒有任何需要保護(hù)信息的主機(jī)，同時(shí)又不與任何入侵者想要利用的主機(jī)相連。用戶只有在使用某種特殊服務(wù)時(shí)才需要用到他。

犧牲品主機(jī)除了可讓用戶隨意登錄外，其配置基本與其他堡壘主機(jī)一樣。用戶總是希望在堡壘主機(jī)上存有盡可能多的服務(wù)與程序。但是犧牲品主機(jī)出于安全性的考慮，不可隨意滿足用戶的要求，否則會(huì)使用戶越來越信任犧牲品主機(jī)而違反設(shè)置犧牲品主機(jī)的初衷。犧牲品主機(jī)的主要特點(diǎn)是易于管理，即使被侵襲也無礙內(nèi)部網(wǎng)的安全。

c.內(nèi)部堡壘主機(jī)

在大多數(shù)配置中，堡壘主機(jī)可與某些內(nèi)部主機(jī)有特殊的交互。如堡壘主機(jī)可傳送電子郵件給內(nèi)部主機(jī)的郵件服務(wù)器、傳送Usenet新聞給新聞服務(wù)器、與內(nèi)部域名服務(wù)器協(xié)同工作等。這些內(nèi)部主機(jī)其實(shí)是有效的次級(jí)堡壘主機(jī)，對(duì)他們就應(yīng)象保護(hù)堡壘主機(jī)一樣加以保護(hù)?？梢栽谄渖厦娑喾乓恍┓?wù)，但對(duì)其的配置必須遵循與堡壘主機(jī)一樣的過程。

根據(jù)電廠的實(shí)際情況，建議選擇內(nèi)部堡壘主機(jī)，在監(jiān)控系統(tǒng)對(duì)外設(shè)置單一入口，所有針對(duì)監(jiān)控系統(tǒng)內(nèi)部的訪問將首先通過堡壘主機(jī)，經(jīng)過授權(quán)認(rèn)證后才可連接系統(tǒng)，在對(duì)系統(tǒng)內(nèi)部進(jìn)行訪問過程中，所有訪問行為將受到全程監(jiān)控，從而保證管理的有效性，使外部訪問行為可控。

5 結(jié)束語

發(fā)電廠計(jì)算機(jī)監(jiān)控系統(tǒng)在電廠安全穩(wěn)定運(yùn)行中扮演的角色越來越重要，系統(tǒng)的安全穩(wěn)定直接影響到電廠的安全生產(chǎn)。發(fā)電廠監(jiān)控系統(tǒng)綜合管控可有效控制電廠計(jì)算機(jī)監(jiān)控系統(tǒng)發(fā)生事故的風(fēng)險(xiǎn)，保證電廠安全穩(wěn)定運(yùn)行。

［1］ 徐 偉.綜合網(wǎng)絡(luò)管理系統(tǒng)監(jiān)控平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)［J］.無線電通信技術(shù)，2000，29（2）：52-53.

［2］ 馮燕敏.東北水調(diào)自動(dòng)化系統(tǒng)功能及構(gòu)架探討［J］.東北電力技術(shù)，2011，32（9）：31-35.

［3］ 信息安全是智能電網(wǎng)安全重要基礎(chǔ)［J］.東北電力技術(shù)，2012，33（5）：34.

［4］ 陳 劍.發(fā)電企業(yè)信息系統(tǒng)安全管理初探［J］.東北電力技術(shù)，2011，32（11）：46-49.

［5］ 楚彥君.電廠電氣監(jiān)控管理系統(tǒng)［J］.電力自動(dòng)化設(shè)備，2011，39（5）：126-129.

Research on Synthetical Management Method for Power Plant Monitoring System

YU Su1，LI Ming1，LENG Bo?da2
（1.Electric Power Research Institute of State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China；2.Shenyang Institute of Engineering，Shenyang，Liaoning 110136，China）

The synthetical management for power plant monitoring system is an important means to ensure a safe and stable operation of power plant monitoring system.Commonly used synthetical management method for power plant monitoring system is introduce，and the main research area of synthetical management for power plant monitoring system is systematically elaborated.

Monitoring system；Synthetical management method；Security protection for system

TM621；TP277

A

1004-7913（2015）03-0013-03

于 粟（1979—），男，碩士，高級(jí)工程師，從事水電站監(jiān)控系統(tǒng)開發(fā)和科研工作。

2014-12-25）