王勋
贵州电网公司贵阳供电局 贵州省贵阳市 550002
摘要:本文分析了变电站电力监控系统态势感知系统建设重要性,介绍变电站态势感知系统建设内容和实施方案,通过态势感知系统建设达到变电站网络安全风险可发现、可控制、可溯源的目的。
关键字:电力监控系统;态势感知系统
Research?On?The?Implementation?Of?Substation?Situation?Awareness?System WANG Xun
Guiyang Power Supply Bureau,Guizhou Power Grid Corporation,Guiyang 550002
Abstract:This paper analyzes the importance of the construction of the situation awareness system of the substation power monitoring system, introduces the construction content and implementation scheme of the system, and achieves the purpose of the discovery, control and traceability of the network security risk of the substation through the construction of the situation awareness system.
Key words:Power?monitoring?system; Situation?awareness?system
0 引言
变电站电力监控系统是电网的重要控制系统,承载了电网电力生产控制、调度、运行、监视等系列重要任务。电力系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件。电力监控系统安全防护存在诸多问题,主要表现在部分数据通道未实现加密通信、缺乏非法外联、非法内联、病毒感染、网络入侵等行为的监测及阻断技术手段、系统缺乏防病毒措施、缺乏用户操作授权及行为审计缺乏技术手段等,网络安全态势感知与预警能力不足。建立电力监控系统网络安全态势感知系统,实现对变电站电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。
1态势感知系统功能
1.1数据采集
支持对通用主机、工控设备、网络设备、安全防护设备进行数据采集。包括:服务器、工作站、二次设备、交换机、防火墙、纵向加密装置。采集方式有:SNMP、SNMP Trap、Agent、ARP、网络主动扫描、ICMP、Syslog、流量嗅探等。采集内容包括:设备状态类、日志类、流量类信息。
1.2数据上送
厂站装置向主站系统上送的数据包括资产信息、拓扑信息、流量信息、事件告警信息等。
资产信息:支持网络扫描功能,基于全协议栈扫描方式、流量镜像方式自动发现全站在线的IP资产;支持全站多源在线IP资产信息的比对、去重和拼接,实现厂站资产信息的建模;支持与态势感知主站系统联动,实现厂站资产的主动上送、合法注册和实时同步,实现厂站资产的主站统一维护。
拓扑信息:支持添加物理拓扑关系连接连接,包含:序号、源端设备全局唯一标识、源端设备物理端口号、源端设备物理端口IP地址、目的端设备全局唯一标识、目的端设备物理端口号、目的端设备物理端口IP地址;支持物理拓扑连接关系表的本地查询,提供按IP、设备名称进行检索;支持物理拓扑连接关系数据的本地导出,格式支持excel。
流量信息:支持采用端口镜像的方式采集厂站内交换机的流量数据;支持分析网络中的通信连接,将通信对信息上送至主站,包括:通信客户端/通信服务端IP、通信客户端/通信服务端端口、协议(TCP、UDP);
事件告警信息:支持事件告警上送,包括:告警级别、告警时间、厂站装置唯一标识、告警设备类型、告警内容等信息。告警内容包括:开始日期时间、告警设备唯一标识、告警设备类型、告警类型、告警子类型、重复次数、内容描述。
2 态势感知系统建设及问题研究
在变电站安全I区和Ⅲ区分别部署一套变电站电力监控系统网络安全监测终端实现对变电站各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析。具体建设内容如下。
2.1建设内容
1)在变电站站控层A/B网、控制区(安全区I)和生产管理区(安全区III)部署厂站安全监控终端,实现变电站站控层A/B网、生产控制大区以及生产管理区的网络安全数据采集以及风险在线识别。设备电源为双电源,采用220V交流电源。
2)敷设电力电缆及网络综合布线。
3)对厂站采集装置与主站的通信进行调试,确保厂站装置与主站的通信为正常通信。
4)修改I区加密装置,Ⅱ区纵向防火墙、I/II区横向防火墙、I、II区互联交换机、III区互联交换机的ACL安全策略,实现站内及主子站之间系统数据的互联互通。
5)选择典型的主机设备、网络设备以及安全设备进行数据采集以及接入。变电站进行通用主机设备数据采集,需要对站内的主机设备配置SNMP、SYSLOG服务,对站内的交换机管理IP、SNMP、SNMP Trap 、SYSLOG、镜像进行配置采集,对安全设备SYSLOG进行配置采集,通过Nmap扫描可以实现对工控设备的在线状态、端口开放状态信息进行采集。
接入站内设备后,通过态势感知采集装置将数据上送至主站态势感知平台,确保上送数据及采集功能的准确性,完整性。
2.2可能遇到的困难和问题。
1)老旧变电站电缆敷设不易,容易误动和损坏电缆层其他线缆,须做好安全措施,谨慎施工。
2)部分变电站站控层交换机不满足SNMP、SNMP Trap 、SYSLOG、流量镜像等功能,需要求将交换机进行更换。
3)部分变电站设备资产不完整、不清晰,需要重新进行收集。
3 研究结果
1)完善主站和厂站端网络安全运行数据采集手段,加强监管与分析。
2)电力监控系统安全合规性由态势感知系统进行分析判断,提高核查效率。
3)安全运行数据规范化程度高,便于直接分析处理;对跨区互联、网络非法接入、移动介质非法接入等典型安全问题有自动发现与管控手段。
4)实现对各电力监控系统全方位、全天候的网络安全态势感知,及时发现各类网络安全风险以及非法访问事件,实现电力监控系统网络安全的态势感知及预警。
5 结论
通过变电站态势系统建设,实现变电站网络安全数据接入、分析,达到变电站网络安全风险可发现、可控制、可溯源的目的。本项目技术方案可行,投资合理,项目建成后将取得显著经济效益。
参考文献:
[1]陈春霖,屠正伟,郭靓. 国家电网公司网络与信息安全态势感知的实践.电力信息与通信技术. 2017.
作者简介:
王勋:(1980- ),男,大学本科,学士学位,高级工程师,从事自动化工作。