电力监控系统网络安全监测装置建设改造

电力监控系统网络安全监测装置建设改造

发表时间：2019-12-11T15:03:59.173Z 来源：《中国电业》2019年第16期作者：雷雨

[导读] 随着电力行业的日益发展，电力系统运行的安全稳定日益重要。

摘要：随着电力行业的日益发展，电力系统运行的安全稳定日益重要。构建完整的电力网络安全监测系统，确保电力系统网络安全，是保障电力系统安全稳定运行至关重要的一步。

关键词：电力监控；网络安全；检测防护；监测采集

Abstract：With the development of power industry, the security and stability of power system operation is becoming more and more important. Constructing a complete power network security monitoring system to ensure the security of power system network is a crucial step to ensure the safe and stable operation of power system.

Key words: Power monitoring；Network security；Detection and protection；Monitoring collection

1前言

2017年8月2日陕西电力调控中心转发国家电网调〔2017〕1084号《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》，并安排陕西44个电厂（含韩城二厂）于2018年底前完成网络安全监管装置建设工作。要求落实电力监控系统网络安全实时监测手段建设，在调度数据一、二平面网的生产控制大区和非控制大区各部署一台网络安全监测装置（一二区之间没有防火墙的必须在一、二区各部署一台网络安全监管装置），实现对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计和核查功能，并将相关信息接入调度网络安全管理平台。

2原设备系统概况

1.2.3.3.1. 目前韩城二厂调度数据网只有安全防护设备（调度数据一二平面网的4台纵向加密装置）接入陕西电力调度网络安全管理平台，其他网络设备和服务器、工作站等均未接入相关监视系统，无法实施对生产控制大区服务器、工作站、网络设备及安防设备网络安全事件的实时采集、监视、告警、审计和核查功能。

2018年8月27日起，韩城二厂根据国网下发文件要求及陕西电力调控中心的指示，以《电力监控系统安全防护规定》为基础，结合现有调度数据网平台，进行调度数据网网络安全监测装置的安装和数据接入调试工作。

3技术方案

3.1监测采集范围

根据《电力监控系统安全防护规定》（发改委2014年14号令）第十四条规定“电力调度机构负责直接调度范围内的下一级电力调度机构、变电站、发电厂涉网部分的电力监控系统安全防护的技术监督。”电力调度机构采集火电厂网络安全监测信息范围为涉网部分的火电厂电力监控系统，覆盖主机设备、网络设备、通用及专用安防设备。

3.2数据采集方式

根据国网下发文件要求，本方案实现对服务器、工作站、网络设备、安全防护设备、数据库的安全信息采集。

3.3服务器、工作站

通讯要求：支持采用自定义TCP协议与服务器、工作站等设备进行通信，实现对服务器、工作站等设备的信息采集与命令控制。

采集内容：服务器、工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息。

采集方式：在服务器、工作站上部署网络安全监测代理程序（Agent），将采集的网络安全信息发送至监测装置。监测装置作为服务端监听主机设备的连接请求。

3.4网络设备

采集内容：用户登录、操作信息、配置变更、流量信息、网口状态、MAC地址绑定关系等信息。

采集方式：

1）通过SNMP协议主动从交换机获取所需信息；

2）通过SNMP TRAP协议被动接收交换机事件信息；

3）通过日志协议（syslog）采集交换机信息。

3.5安全防护设备

采集内容：用户登录、配置变更、运行状态、安全事件等信息。

采集方式：通过装置自身日志协议将数据传至监测装置。

4 功能部署

4.1信息采集

由于纵向加密认证装置已经由调度主站的网络安全管理系统进行监测，因此网络安全监测装置不对纵向加密认证装置的安全事件进行监测。

部署于Ⅰ区的网络安全监测装置通过以太网口连接到厂站内网交换机上，实现对厂站内主机设备、网络设备、安防设备的安全信息采集；对于PMU工作站利用扩展网卡或通过调度数据网实时交换机与检测装置网络相连接，实现安全事件的采集。

部署于Ⅱ区的网络安全监测装置通过连接到保护信息子站交换机，实现对保信子站系统内服务器和工作站，以及交换机及保信防火墙自身安全信息的采集。烟气终端利用扩展网卡或通过调度数据网非实时交换机与网络安全监测装置网络连接，实现安全事件的采集。

4.2信息上传

部署于Ⅰ、Ⅱ区的网络安全监测装置，通过以太网口与调度数据网实时、非实时VPN连接将信息上送到调度机构网络安全管理平台。

5工作清单

3.5.1工程开展前期准备工作

1233.1 收集本厂需接入的主机设备、网络设备、安防设备的信息，对厂内所有主机设备、网络设备、安防设备的系统版本、厂商、硬件架

构等信息进行统计。

根据调研网络拓扑状况，明制定具体部署方案。

确定监测设备IP地址及网络接口、线路连接方式。

向调度申请监测装置的IP地址，确定监测装置连接调度数据网交换机网口号等。

确认网络安全监测装置安装地点。

与电厂相关系统厂家及安全防护设备厂家协调好进厂实施时间。

5.2接入调试

完成监测装置的通电及功能验证；

配置监测装置调度数据网地址，及在各类子系统站控层地址；

联系各系统厂家完成相关主机的Agent部署及交换机的固件升级；

联系安全防护设备厂商将Syslog地址配置为监测装置的地址；

监测装置完成与主机Agent、交换机、防火墙及隔离装置的接入测试；

模拟各类网络安全事件，以验证网络安全监测装置能够实现网络安全事件信息的采集且上级网络安全管理平台能接收到告警信息。向调度主站申请，进行远程配置或安防厂家现场配置用以开通相应策略，实现监测装置与主站网络的连通。完成监测装置与主站平台的配合联调工作。

6结论

综上所述，本次改造工作在原有调度数据网的基础上，分别在其一、二平面增加了电力网络监控装置，并在一区和二区之间加装防火墙，通过对数据网内相关设备进行数据接入工作将其纳入电力网络监控装置的监控范围，从而实现对相关运行数据的实时监测及对系统内设备操作信息的监视分析。

参考文献

[1]章伟华.电力监控系统网络安全防护探讨[J].信息记录材料,2017,18(6):46-47.

[2]陕西电力调控中心转发国家电网调.国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知.〔2017〕1084号.

[3]中国人民共和国国家发展和改革委员会.电力监控系统安全防护规定[Z].2014-08-01.