亭子口電站網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)及其應(yīng)用

陳武軍

(嘉陵江亭子口水利水電開(kāi)發(fā)有限公司，四川蒼溪，628400)

1 引言

嘉陵江亭子口水利樞紐位于四川省廣元市蒼溪縣境內(nèi)，嘉陵江干流的中游上段，是嘉陵江干流開(kāi)發(fā)建設(shè)中唯一的骨干控制性工程，電站裝機(jī)容量4×275MW。電力監(jiān)控系統(tǒng)分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，生產(chǎn)控制大區(qū)劃分為安全Ⅰ區(qū)(控制區(qū))、安全Ⅱ區(qū)(非控制區(qū))；管理信息大區(qū)劃分為安全Ⅲ區(qū)(生產(chǎn)管理區(qū))、安全Ⅳ區(qū)(管理信息區(qū))。近年來(lái)，相繼發(fā)生網(wǎng)絡(luò)攻擊導(dǎo)致烏克蘭大面積停電事件、以色列電力局遭受網(wǎng)絡(luò)攻事件等，電力系統(tǒng)已成為國(guó)際網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標(biāo)，電力監(jiān)控系統(tǒng)安全防護(hù)承受巨大壓力。亭子口電站在電力監(jiān)控系統(tǒng)的安全Ⅰ區(qū)、Ⅱ區(qū)部署PCS-9895B網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的監(jiān)視與管理。本文對(duì)該電站網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的結(jié)構(gòu)、功能、運(yùn)行情況進(jìn)行簡(jiǎn)要介紹。

2 系統(tǒng)的結(jié)構(gòu)和功能

PCS-9895B網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)對(duì)亭子口電站電力監(jiān)控系統(tǒng)安全I(xiàn)區(qū)和Ⅱ區(qū)主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備運(yùn)行狀況的數(shù)據(jù)采集和實(shí)時(shí)監(jiān)視，對(duì)安全事件進(jìn)行就地的集中展現(xiàn)、實(shí)時(shí)告警和量化分析[1]，并將站端信息通過(guò)調(diào)度數(shù)據(jù)網(wǎng)向四川省調(diào)安全監(jiān)管平臺(tái)主站上傳，同時(shí)通過(guò)服務(wù)代理方式實(shí)現(xiàn)了主站對(duì)站內(nèi)裝置的管理和維護(hù)。

2.1 系統(tǒng)結(jié)構(gòu)

亭子口電站網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)由網(wǎng)絡(luò)安全監(jiān)測(cè)裝置、交換機(jī)、后臺(tái)PC機(jī)和系統(tǒng)軟件組成。在安全Ⅰ、Ⅱ區(qū)各部署一臺(tái)Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，通過(guò)Agent探針軟件采集亭子口電站生產(chǎn)控制大區(qū)服務(wù)器、工作站的安全事件，網(wǎng)絡(luò)設(shè)備和安防設(shè)備分別通過(guò)SNMP協(xié)議和日志協(xié)議接入Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。系統(tǒng)結(jié)構(gòu)如圖1所示。

圖1 系統(tǒng)結(jié)構(gòu)

2.2 系統(tǒng)功能

2.2.1 數(shù)據(jù)采集

采集服務(wù)器、工作站設(shè)備用戶登錄、操作信息、運(yùn)行狀態(tài)、移動(dòng)存儲(chǔ)設(shè)備接入及網(wǎng)絡(luò)外聯(lián)等事件信息；采集交換機(jī)的用戶登錄、操作信息、配置變更、流量信息、網(wǎng)口狀態(tài)等事件信息；采集站內(nèi)安全防護(hù)裝置的用戶登錄、配置變更、運(yùn)行狀態(tài)、安全事件等事件信息；采集數(shù)據(jù)庫(kù)的操作信息、運(yùn)行狀態(tài)等事件信息；采集觸發(fā)性事件信息、周期性上送的狀態(tài)類信息[2]。

2.2.2 數(shù)據(jù)處理

以分鐘級(jí)統(tǒng)計(jì)周期，對(duì)重復(fù)出現(xiàn)的事件進(jìn)行歸納處理；根據(jù)參數(shù)配置，對(duì)采集到的CPU利用率、內(nèi)存使用率、網(wǎng)口流量、用戶登錄失敗等信息進(jìn)行分析處理，根據(jù)處理結(jié)果決定是否形成新的上報(bào)事件；對(duì)網(wǎng)絡(luò)設(shè)備日志信息進(jìn)行分析處理，提取出需要的事件信息；形成外設(shè)接入事件、用戶登錄事件、危險(xiǎn)操作事件、狀態(tài)異常事件等上傳事件。

2.2.3 審計(jì)日志

對(duì)系統(tǒng)重要安全事件，包括用戶和權(quán)限的增刪改、配置變化、用戶登錄和退出等系統(tǒng)級(jí)事件及業(yè)務(wù)數(shù)據(jù)增刪改等業(yè)務(wù)級(jí)事件進(jìn)行審計(jì)；對(duì)審計(jì)數(shù)據(jù)的查詢、排序、分類、分析統(tǒng)計(jì)；對(duì)審計(jì)記錄進(jìn)行分析并能形成審計(jì)報(bào)表功能。

2.2.4 通信功能

與服務(wù)器、工作站設(shè)備通信，采用自定義TCP協(xié)議進(jìn)行通信，實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備的信息采集與命令控制，報(bào)文格式包括報(bào)文頭、報(bào)文體和報(bào)文尾三部分。與網(wǎng)絡(luò)設(shè)備通信，通過(guò)SNMP協(xié)議主動(dòng)從交換機(jī)獲取所需信息；通過(guò)SNMPTRAP協(xié)議被動(dòng)接收交換機(jī)事件信息；采用SNMP、SNMPTRAPV3版本與交換機(jī)進(jìn)行通信；通過(guò)日志協(xié)議采集交換機(jī)信息。與安全防護(hù)設(shè)備通信，通過(guò)GB/T31992協(xié)議采集信息。

2.2.5 主子站管理

將告警信息上傳至四川省調(diào)安全監(jiān)管平臺(tái)；遠(yuǎn)程調(diào)閱采集信息、上傳事件等數(shù)據(jù)信息，根據(jù)時(shí)間段、設(shè)備類型、事件等級(jí)、事件記錄個(gè)數(shù)等綜合過(guò)濾條件遠(yuǎn)程調(diào)閱數(shù)據(jù)信息；對(duì)被監(jiān)測(cè)系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行遠(yuǎn)程管理，包括資產(chǎn)信息的添加、刪除、修改、查看等；參數(shù)配置的遠(yuǎn)程管理，包括系統(tǒng)參數(shù)、通信參數(shù)及事件處理參數(shù)；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備基線核查功能的調(diào)用；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備主動(dòng)斷網(wǎng)命令的調(diào)用；通過(guò)代理方式實(shí)現(xiàn)對(duì)服務(wù)器、工作站等設(shè)備的關(guān)鍵文件清單、危險(xiǎn)操作定義值、周期性事件上報(bào)周期等參數(shù)的添加、刪除、修改、查看；通過(guò)網(wǎng)絡(luò)安全管理平臺(tái)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置程序進(jìn)行遠(yuǎn)程升級(jí)。

3 系統(tǒng)運(yùn)行情況

PCS-9895B網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)是南瑞繼保公司針對(duì)亭子口電站生產(chǎn)控制大區(qū)特點(diǎn)和網(wǎng)絡(luò)安全需要，設(shè)計(jì)的新一代網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。實(shí)時(shí)監(jiān)測(cè)電力監(jiān)控系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)及安全設(shè)備運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)非法外聯(lián)、外部入侵等安全事件并告警。技術(shù)人員通過(guò)對(duì)告警信息實(shí)時(shí)分析，及時(shí)采取措施，避免出現(xiàn)安全信息無(wú)人關(guān)注，無(wú)人處理情況，實(shí)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全閉環(huán)管理，全面提高電站電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)整體水平，為亭子口電站和電網(wǎng)電力監(jiān)控系統(tǒng)安全、穩(wěn)定運(yùn)行提供了堅(jiān)強(qiáng)的保護(hù)屏障。