发电厂监控系统综合管控方法研究

2015-06-06冷柏炟

东北电力技术 2015年3期

关键词：堡垒发电厂服务器

于粟，李明，冷柏炟

（1.国网辽宁省电力有限公司电力科学研究院，辽宁沈阳 110006；2.沈阳工程学院，辽宁沈阳 110136）

发电厂监控系统综合管控方法研究

于粟1，李明1，冷柏炟2

（1.国网辽宁省电力有限公司电力科学研究院，辽宁沈阳 110006；2.沈阳工程学院，辽宁沈阳 110136）

发电厂监控系统综合管控是保证电厂监控系统安全稳定运行的重要手段，介绍了一种较为通用的发电厂监控系统综合管控方法，并对发电厂监控系统综合管控主要涉及的研究领域进行了系统阐述。

监控系统；综合管控方法；系统安全防护

发电厂监控系统综合管控是应用于多种通信系统、计算机系统和专用电力系统构成的综合电力信息网络的综合管理方法［1］。随着我国智能电网的建设，信息安全问题在发电厂控制自动化、继电保护和安全装置等多个领域面临信息安全威胁，发电厂监控系统综合管控是保证电网信息安全的重要手段［2-3］。发电厂监控系统综合管控涉及4个方面：网络管理、服务器管理、远程连接管理、堡垒主机的设置。远程连接管理及堡垒主机设置主要是对远程设备及访问进行管控，有效地对机房外部设备与机房内部系统连接进行控制，网络管理及服务器管理主要是针对机房内部设备进行管控，监控设备运行状态，故障前报警等，通过内外系统的管控，达到安全管理、实时报警等效果［1-3］。

管控系统可及时发现网络中的问题，并及时报警，通过对多家产品的整合，可以将方案虚拟化为故障定位器，让企业拥有可持续发展的信息安全管理框架、方法和机制［4］。其原理如图1所示。

1 网络管理方法

网络管理系统通常是一个基于SNMP协议，采用先进的分布式管理技术，对于任意规模的网络都可以进行全方位管理的综合网络管理系统［5］。为用户解决网络拥塞、网络故障、行为管理、安全管理等保障网络运行的基本问题。网络管理系统通常具备以下功能。

a.网络构成管理

强大的自动网络节点发现功能，自动生成网络拓扑图，并可生成需要的网络结构图，同时自动获取对象节点软硬件信息。

b.网络故障管理

可设置和定制多种监控方式，并可通过声音报警、手机短信等方式将故障及时通知管理者。

c.网络性能管理

对网络结点进行实时、定时或周期性的监测，根据统计数据对网络系统性能进行控制。

d.网络安全管理

具有强大的IP地址合法性管理，可以实现IP／MAC地址绑定，可以进行网段隔离，从根本上消除安全隐患。控制内部拨号程序，避免有此引发的安全漏洞。

e.网络自动化管理

图1 管控系统结构原理

可根据事先设定的管理策略控制管理功能，支持基于经验的过程预置，支持策略调度、批量处理。

2 服务器管理

服务器管理系统是集服务器管理、机房管理、数据库管理、中间件管理、服务管理、业务管理、虚拟集群管理及云平台管理等各种软硬件一体化监控平台。服务器管理系统应具备以下功能。

a.同时管理大量网元数

能同时在同一个管理平台管理不少于50 000个设备、服务器、数据库、中间件、企业级应用、服务和业务系统等。基于JAVA和NET技术开发，能部署在Windows、Linux、Unix等各种平台上，支持B／S和C／S方式访问，实现Flex、HTML5等先进技术，自带高效安全数据库。

b.跨厂商、跨平台管理

支持各种厂商及类型的服务器、安全设备、存储设备、机房设备、安全设备等，只要符合SNMP标准协议或telnet等网管协议网络设备都能监控。

除支持硬件外，软件还支持监控多种主流操作系统，包括Windows 2000／2003／2008等全系列的32位／64位（中英文各版本）、RedHat Linux AS、IBM-AIX、Solaris、HP-UX及各种中间件、企业级应用和应用系统。

c.智能的异常处理和全面的故障分析

能智能分析各异常间的逻辑关联关系，提供原因分析，快速发现故障原因，自动告警，缩短恢复时间，防止告警泛滥。

d.自动告警、支持多种告警模式

支持多种告警方式，包括拓扑图图标颜色变化、异常列表、远程消息框、远程声音、短信、邮件、声光及电话告警等方式，支持第三方接口。

e.多维度分析报表、支持多种格式报表导出

报表系统支持高效灵活的类Mrtg性能分析。用户可以在一个屏幕上同时展现各指标（如接口速率）的每次轮询、30 min统计、2 h统计、日统计数据，形成曲线进行图形趋势分析。并支持多种格式报表导出。

f.用户权限管理、分级管理、分地域管理

系统可把不同资源分为不同管理域，对不同的网管功能，给不同的角色分配不同的权限。通过立体化多维化的地域和权限管理，构建智能化的权限和视图管理，并保证高效管理和严密权限相结合。

3 远程操作平台

3.1 远程操作平台控制台功能

a.通过单一界面对整个基础设施进行安全、集中管理。

b.装置自动发现功能。

c.可实现冗余、实时更新和多站点负载均衡的中心辐射型架构。

d.从桌面对整个大厅或全球范围内的连接设备进行诊断测试。

e.详细的审计日志和报告。

f.自动更新、文件加载和制定计划。

g.同步固件更新。

h.支持您安全策略的可选加密模式（AES、DES、3DES、128位SSL）。

i.对现有服务（LDAP、活动目录、NT域、RADIUS、TACACS＋和RSA SecurID）进行身份验证。

3.2 远程操作平台客户端应具备功能

利用数字KVM交换机，可通过板载Web浏览器从任何地方访问服务器。无论专业人员是在现场或身处异地，都可获得所需工具来保持服务器的全天候可用性。

通过Avocent HMX数字Desktop over IP解决方案，用户可在局域网（LAN）中方便地从桌面访问计算机和关键业务服务器，同时保持高品质的视频和音频功能。用户可通过单个TCP／IP连接将桌面延伸到LAN中的任何位置，不会影响任何功能。通过客户端，技术人员可使用1套键盘、显示器和鼠标访问多台计算机。

4 堡垒主机

堡垒主机是一种被强化的可以防御进攻的计算机，作为进入内部网络的一个检查点，达到把整个网络安全问题集中在某个主机解决，省时、省力，不用考虑其他主机的安全。堡垒主机是网络中最容易受到侵害的主机，因此，堡垒主机必须是自身保护最完善的主机。一个堡垒主机使用2块网卡，每个网卡连接不同的网络。1块网卡连接监控系统内部网络，用来管理、控制和保护，而另1块连接另1个网络，通常是生产大区的其他控制网络或通过隔离设备连接管理大区。堡垒主机经常配置网关服务，网关服务是由一个进程来提供对从公网到私有网络的特殊协议路由，反之亦然。

堡垒主机的功能主要包括内／外部网络行为管理、命令控制技术、细粒度策略控制功能、准确日志查询检索功能、菜单类操作回放审计功能、帐号密码的安全管理、FTP／SFTP文件安全传输、支持标准SYSLOG日志、即时操作“现场直播”的监控功能、程序重用与控制技术、逻辑命令自动识别技术、分布式处理技术、实时监控技术、日志二次备份技术、多进程／线程与同步技术、自动报表生成技术、连续跳转登录技术、多信道登录技术、数据加密功能、审计查询检索功能、操作还原技术、审计双向备份技术等。堡垒主机类型目前一般有无路由双宿主主机、牺牲品主机和内部堡垒主机。

a.无路由双重宿主主机

无路由双重宿主主机有多个网络接口，但这些接口间没有信息流，主机本身就可作为一个防火墙，也可作为一个更复杂的防火墙的一部分。无路由双重宿主主机大部分配置类同于其他堡垒主机，但用户必须确保其没有路由。如果某台无路由双重宿主主机就是一个防火墙，那么他可以运行堡垒主机的例行程序。

b.牺牲品主机

有些用户可能想用一些无论使用代理服务还是包过滤都难以保障安全的网络服务或一些对其安全性没有把握的服务。针对这种情况，使用牺牲品主机就是非常有用的（也称替罪羊主机）。牺牲品主机是一种上面没有任何需要保护信息的主机，同时又不与任何入侵者想要利用的主机相连。用户只有在使用某种特殊服务时才需要用到他。

牺牲品主机除了可让用户随意登录外，其配置基本与其他堡垒主机一样。用户总是希望在堡垒主机上存有尽可能多的服务与程序。但是牺牲品主机出于安全性的考虑，不可随意满足用户的要求，否则会使用户越来越信任牺牲品主机而违反设置牺牲品主机的初衷。牺牲品主机的主要特点是易于管理，即使被侵袭也无碍内部网的安全。

c.内部堡垒主机

在大多数配置中，堡垒主机可与某些内部主机有特殊的交互。如堡垒主机可传送电子邮件给内部主机的邮件服务器、传送Usenet新闻给新闻服务器、与内部域名服务器协同工作等。这些内部主机其实是有效的次级堡垒主机，对他们就应象保护堡垒主机一样加以保护。可以在其上面多放一些服务，但对其的配置必须遵循与堡垒主机一样的过程。

根据电厂的实际情况，建议选择内部堡垒主机，在监控系统对外设置单一入口，所有针对监控系统内部的访问将首先通过堡垒主机，经过授权认证后才可连接系统，在对系统内部进行访问过程中，所有访问行为将受到全程监控，从而保证管理的有效性，使外部访问行为可控。

5 结束语

发电厂计算机监控系统在电厂安全稳定运行中扮演的角色越来越重要，系统的安全稳定直接影响到电厂的安全生产。发电厂监控系统综合管控可有效控制电厂计算机监控系统发生事故的风险，保证电厂安全稳定运行。

［1］徐伟.综合网络管理系统监控平台的设计与实现［J］.无线电通信技术，2000，29（2）：52-53.

［2］冯燕敏.东北水调自动化系统功能及构架探讨［J］.东北电力技术，2011，32（9）：31-35.

［3］信息安全是智能电网安全重要基础［J］.东北电力技术，2012，33（5）：34.

［4］陈剑.发电企业信息系统安全管理初探［J］.东北电力技术，2011，32（11）：46-49.

［5］楚彦君.电厂电气监控管理系统［J］.电力自动化设备，2011，39（5）：126-129.

Research on Synthetical Management Method for Power Plant Monitoring System

YU Su1，LI Ming1，LENG Bo⁃da2
（1.Electric Power Research Institute of State Grid Liaoning Electric Power Co.，Ltd.，Shenyang，Liaoning 110006，China；2.Shenyang Institute of Engineering，Shenyang，Liaoning 110136，China）

The synthetical management for power plant monitoring system is an important means to ensure a safe and stable operation of power plant monitoring system.Commonly used synthetical management method for power plant monitoring system is introduce，and the main research area of synthetical management for power plant monitoring system is systematically elaborated.

Monitoring system；Synthetical management method；Security protection for system

TM621；TP277

1004-7913（2015）03-0013-03

于粟（1979—），男，硕士，高级工程师，从事水电站监控系统开发和科研工作。

2014-12-25）