韋建新

摘要：針對500kV變電站電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的實施與應(yīng)用，分析了廠站端安全態(tài)勢感知的應(yīng)用現(xiàn)狀與前景。以云南楚雄500kV和平變電站的網(wǎng)絡(luò)安全態(tài)勢感知廠站裝置加裝和調(diào)試為例，分析了網(wǎng)絡(luò)安全態(tài)勢感知的基本業(yè)務(wù)和功能特點，提出了相應(yīng)的具體措施和對策。

關(guān)鍵詞：網(wǎng)絡(luò)安全;態(tài)勢感知;500kV變電站;二次安防

一、引言

變電站作為國家關(guān)鍵信息基礎(chǔ)設(shè)施，面臨的網(wǎng)絡(luò)安全形勢日趨嚴峻，一旦遭受網(wǎng)絡(luò)安全攻擊將可能導(dǎo)致大面積停電事件，嚴重威脅企業(yè)和國家安全。建立網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，對電力監(jiān)控系統(tǒng)進行全方位、全天候的網(wǎng)絡(luò)安全態(tài)勢感知，及時發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風險和非法訪問，實現(xiàn)網(wǎng)絡(luò)安全的態(tài)勢感知及預(yù)警，成為電力監(jiān)控系統(tǒng)二次安防的迫切需求。

二、系統(tǒng)結(jié)構(gòu)

500kV和平變電站監(jiān)控后臺系統(tǒng)是楚雄供電局重要的電力監(jiān)控系統(tǒng)，其上承載了自動化、保信、計量等多套業(yè)務(wù)。目前，該變電站的網(wǎng)絡(luò)安全風險主要依靠傳統(tǒng)的等級保護測評以及風險評估來發(fā)現(xiàn)問題。因此，整個系統(tǒng)的網(wǎng)絡(luò)安全風險監(jiān)視、管理主要依靠人工日常運維，缺乏自動化的風險發(fā)現(xiàn)和監(jiān)控措施。

通過在500kV和平變電站安全I區(qū)和Ⅲ區(qū)邊界，分別部署一套網(wǎng)絡(luò)安全監(jiān)測終端，實現(xiàn)對變電站各電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、范式化處理、數(shù)據(jù)建模和關(guān)聯(lián)分析。具體實施內(nèi)容包括：

（1）在500kV和平變站控層A/B網(wǎng)、控制區(qū)（安全區(qū)I）和生產(chǎn)管理區(qū)（安全區(qū)III）部署廠站安全監(jiān)控終端，實現(xiàn)站控層A/B網(wǎng)、生產(chǎn)控制大區(qū)以及生產(chǎn)管理區(qū)的網(wǎng)絡(luò)安全數(shù)據(jù)采集以及風險在線識別。

（2）選擇典型的主機設(shè)備、網(wǎng)絡(luò)設(shè)備以及安全設(shè)備進行數(shù)據(jù)采集以及接入，數(shù)據(jù)采集方式包括Agent、SNMP、SNMP trap、syslog以及流量鏡像等方式。

（3）修改I區(qū)加密裝置，Ⅱ區(qū)縱向防火墻、I/II區(qū)橫向防火墻、I、II區(qū)互聯(lián)交換機、III區(qū)互聯(lián)交換機的ACL安全策略，實現(xiàn)站內(nèi)及主子站之間系統(tǒng)數(shù)據(jù)的互聯(lián)互通。

變電站加裝感知裝置后的網(wǎng)絡(luò)拓撲圖如下：

三、具體實施與應(yīng)用

500kV和平變態(tài)勢感知系統(tǒng)施工及接入工程涉及內(nèi)容如下：

（1）現(xiàn)場勘察：進入變電站進行現(xiàn)場勘察，工作內(nèi)容主要包含勘察設(shè)備上架、取電及綜合布線情況;勘察現(xiàn)場設(shè)備的型號及實際業(yè)務(wù)情況;對前期資產(chǎn)臺賬收集及網(wǎng)絡(luò)拓撲圖進行校驗核對。

（2）廠站采集裝置上架：和平變電站采集裝置為廣州兆和電力技術(shù)有限公司（簡稱兆和）廠家裝置，有兩臺裝置分別部署于I、III大區(qū)，每臺設(shè)備需要2U的安裝位置，設(shè)備采用220V交流雙電源。

（3）網(wǎng)絡(luò)綜合布線：和平變電站采集裝置分為I區(qū)采集與III區(qū)采集裝置。I區(qū)采集裝置需要與站控層交換機、調(diào)度數(shù)據(jù)網(wǎng)I、II區(qū)實時與非實時交換機和保信C網(wǎng)和故障錄波交換機進行網(wǎng)絡(luò)連接;III區(qū)裝置需要與綜合數(shù)據(jù)網(wǎng)交換機、進行網(wǎng)絡(luò)互聯(lián)。

（4）廠站采集裝置調(diào)試：對廠站采集裝置與主站的通信進行調(diào)試，確保廠站裝置與主站的通信正常。

（5）NMAP掃描：完善對變電站的資產(chǎn)詳情統(tǒng)計，可通過NMAP掃描達到收集設(shè)備信息的目的。

（6）交換機配置：為達到數(shù)據(jù)采集的目的，需對站內(nèi)的交換機管理IP、SNMP、SNMP Trap、SYSLOG進行相關(guān)配置。

（7）主機設(shè)備配置：配合數(shù)據(jù)采集，還需在主機設(shè)備安裝配置SNMP、SYSLOG、Agent。主要包含監(jiān)控后臺機、工作站和三區(qū)的辦公電腦等。

（8）站內(nèi)設(shè)備接入：將站內(nèi)的網(wǎng)絡(luò)設(shè)備全部接入兆和數(shù)據(jù)采集裝置，接入設(shè)備以交換機為核心。

（9）主廠站調(diào)試：接入站內(nèi)設(shè)備后，通過采集裝置將數(shù)據(jù)上送至主站態(tài)勢感知平臺，確保上送數(shù)據(jù)及采集功能的準確性，完整性。

四、總體特點與主要風險

（一）網(wǎng)絡(luò)安全態(tài)勢感知裝置的標準

本次工程依據(jù)《南方電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知廠站裝置技術(shù)規(guī)范》，具體檢測方法參見各廠家調(diào)試手冊。

（二）主站系統(tǒng)與廠站裝置

態(tài)勢感知主站系統(tǒng)指部署在各個調(diào)控中心（監(jiān)控、檢修中心），具備網(wǎng)絡(luò)安全數(shù)據(jù)采集、安全監(jiān)視、安全審計、預(yù)測分析等功能的系統(tǒng)。廠站裝置是指部署在廠站電力監(jiān)控系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)內(nèi)部，對廠站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全數(shù)據(jù)進行采集、分析處理并與主站系統(tǒng)通信的裝置。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知主站系統(tǒng)、廠站裝置在生產(chǎn)控制大區(qū)的態(tài)勢感知數(shù)據(jù)信息通過調(diào)度數(shù)據(jù)網(wǎng)非實時VPN 進行交互;主站系統(tǒng)、廠站裝置在管理信息大區(qū)的態(tài)勢感知數(shù)據(jù)信息通過綜合數(shù)據(jù)網(wǎng)進行交互。

500kV和平變電站態(tài)勢感知系統(tǒng)部署主要特點如下：（1）需提前規(guī)劃提交項目部署實施所需的IP、端口及網(wǎng)絡(luò)資源;（2）工作中涉及配置交換機、主機設(shè)備及二次安防設(shè)備，需要進行相應(yīng)的風險評估，做好數(shù)據(jù)備份工作、數(shù)據(jù)封鎖工作;（3）工作中設(shè)計設(shè)備上架、取電及綜合布線，需要進行相應(yīng)的風險評估，做好安全防范工作;（4）部署接入完成后需與中調(diào)主站平臺核對數(shù)據(jù)與功能無誤，經(jīng)其確認數(shù)據(jù)與功能無誤后方可結(jié)束工作。

同時，本次工程的主要風險有以下幾點：（1）在設(shè)備上架、取電及綜合布線時走錯機房，動錯設(shè)備;（2）在進行主子站通信配置時二次安防設(shè)備增加配置影響現(xiàn)有策略;（3）在設(shè)備安裝時上電及線纜敷設(shè)影響現(xiàn)有設(shè)備的正常運行;（4）被監(jiān)視的設(shè)備開啟協(xié)議與配置時導(dǎo)致交換機故障、重啟;主機設(shè)備安裝Agent時導(dǎo)致主機故障、重啟;主機開啟Agent時導(dǎo)致主機設(shè)備性能下降，導(dǎo)致服務(wù)器運行緩慢或者宕機;（5）監(jiān)視站內(nèi)設(shè)備時網(wǎng)絡(luò)安全監(jiān)測廠站終端調(diào)試過程中存在異常網(wǎng)絡(luò)行為，影響到站內(nèi)其它設(shè)備;網(wǎng)絡(luò)安全監(jiān)測廠站終端數(shù)據(jù)采集過于頻繁導(dǎo)致被監(jiān)視設(shè)備變慢或宕機;（6）I區(qū)主子站通信通道調(diào)試時誤配置終端IP引起地址沖突，導(dǎo)致運行業(yè)務(wù)通道中斷;

五、結(jié)束語

為滿足電力監(jiān)控系統(tǒng)安全防護的需求，通過部署電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全廠站監(jiān)測裝置，實現(xiàn)變電站網(wǎng)絡(luò)安全數(shù)據(jù)接入、分析，達到變電站網(wǎng)絡(luò)安全風險可發(fā)現(xiàn)、可控制、可溯源的目的。這樣能顯著提升電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全水平，及時感知和防止不法分子通過電網(wǎng)控制系統(tǒng)影響電網(wǎng)安全運行，降低網(wǎng)絡(luò)安全事故事件的發(fā)生概率，不斷提升用戶對電網(wǎng)企業(yè)的信心，樹立企業(yè)良好形象。

（作者單位：楚雄供電局）