郑铁军，丁旭元，尹 亮

电力信息及通信技术

电力企业二次系统安全防护监视平台建设

郑铁军1，丁旭元2，尹 亮3

随着电力企业二次系统安全防护要求的不断提高，各供电企业在自动化系统主站、变电站安全边界部署了大量防火墙、隔离装置、纵向加密装置等安全防护设备，很大程度上提高了二次安全防护的水平。但安全防护设备均分布在自动化主站及变电站、新能源厂站等地，运维人员在检查信息的安全状况时，只能到安全防护设备的安装现场通过设备管理软件查看设备的日志文件，其过程十分繁琐且工作效率低，无法实时了解自动化信息［1］的安全情况。所以各供电企业急需一种对各安全防护设备实时监控和统计的手段，直观地发现系统非法地址访问、非法外联及防护设备硬件运行状况的远程集中管控平台，以便运维人员了解自动化系统信息安全运行情况，提高二次防护系统的管控能力。

1 现状分析及需要解决的问题

1.1 现状分析

传统的电力信息安全排查工作是通过运维人员到变电站现场对安全防护设备逐个进行登录并导出日志文件进行分析，通过日志文件的解析，判断信息事件的发生，其效率较低，工作量大，容易遗漏安全信息事件。往往信息安全隐患已经存在很长时间了，运维人员还没有发现，造成安全事件的发生。随着信息网络安全的要求不断提高，电力系统急需建设一个二次系统安全防护监视平台系统，对安全防护设备［2］日志文件进行采集，分析，实现远程管控、监视，及时发现信息安全告警事件，提高现场安全信息排查工作的效率。

1.2 需要解决的问题

电力企业二次系统安全防护监视平台系统（以下简称监视平台系统）建设需要解决以下问题：

（1）监视平台系统采集网络不能影响现有的电力数据网络结构，解决变电站安全防护设备日志实时监视及数据通道的经济性问题。

（2）监视平台系统要与不同厂商的防护设备运行日志文件兼容，监视平台应有丰富的展现模块，包括信息告警窗，设备在线工况图、密通率数据显示窗等，解决运维人员实时掌握电网信息安全情况的问题。

（3）监视平台系统的采集结构不能违反“网络专用、安全分区、横向隔离、纵向认证”［3］的二次安全防护的要求。

2 电力企业二次系统安全防护监视平台系统的建设

电力自动化信息业务分为实时业务［4］和非实时业务2类。为平衡安全I区和安全II区［6］的信息数据流，防止因数据业务较大时造成的系统内存占有率较高，影响系统运行，应将监视平台服务器接入至非实时区。自动化网络在结构上分为广域网和局域网，广域网是指地调接入网络；局域网特指调度自动化主站系统的局域网络［5］。监视平台系统应能实现对广域网和局域网内的安全防护设备安全日志进行采集、分析，实现对整体自动化信息网络的安全监视。

2.1 系统结构及传输通道

监视平台系统结构框图如图1所示。各变电站实时、非实时纵向加密装置的日志文件经站端路由器通过地调接入数据网上传至主站端的地调核心路由器，地调核心路由器将采集的日志文件发送至二平面路由器中，二平面路由器将各变电站非实时纵向加密装置的日志文件通过主站非实时纵向加密装置、二平面非实时交换机上传至非实时数据日志采集模块，最后上传至监视平台服务器进行解析。同时二平面路由器也将各变电站的实时纵向加密装置的日志文件经主站实时纵向加密装置、二平面实时交换机上传至实时数据日志采集模块，实时数据日志采集模块经防火墙将实时纵向加密装置的日志文件发送至非实时数据日志采集模后传送至监视平台服务器进行解析。局域网内的安全防护设备日志文件直接上传至实时数据日志采集模块，经防火墙发送至非实时数据日志采集模块后再上传至监视平台服务器进行解析。这样就实现了广域网和局域网安全防护设备的日志采集。监视平台系统后台机读取监视平台服务器数据实现安全防护设备可视化的实时监视。

图1 电力企业二次系统安全防护监视平台系统结构

2.2 日志采集

2.2.1 广域网日志采集

在广域网中，业务传输过程如图2所示。变电站内实时、非实时业务数据流经实时、非实时纵向加密装置汇聚至变电站端数据网路由器后通过地调接入数据网络发送至主站核心路由器，业务数据按照“安全分区”的要求经二平面路由器传送至实时、非实时纵向加密装置分别进入实时、非实时采集模块后汇入到监视平台服务器进行分析、处理。所以在广域网中，对变电站端纵向加密装置的安全日志采集、分析也就是对广域网的安全信息监视。其过程是在广域网中的各变电站纵向加密装置上设置监视平台系统的管理中心（采集服务器）地址，导入管理中心数字证书［7］。建立变电站纵向加密装置与主站纵向加密装置的密文隧道，并配置相关的安全策略，通过syslog（日志）方式将变电站纵向加密装置日志信息传输至监视平台服务器进行解析，实现平台系统允许符合安全策略的IP地址通过，拦截非规划范围的IP地址并发出报警的功能。

图2 广域网日志数据采集拓扑结构

2.2.2 局域网数据日志采集

局域网日志采集是对主站系统中所有关键服务器、二次安全防护设备例如防火墙、正反向隔离装置［8］、入侵检测装置（IDS）［9］等通过Agent代理方式将设备日志转换为符合电力系统标准格式的日志后，传输至监视平台服务器并对日志文件进行解析，实现对各防护设备的运行情况及数据访问情况的监视。

实现过程是在相应安全防护设备上设置监视平台系统的管理中心地址（日志采集服务器地址），配置相关安全策略、端口号、相应服务协议等，有效限制非规划IP的访问，当有不符合安全策略的IP地址访问时，监视平台会实时发送告警。

图3 局域网日志采集拓扑结构

连接拓扑结构如图3所示。调度自动化系统中所有安全I区防护设备如防病毒系统、正反向隔离装置、调度自动化系统关键服务器等与系统主干实时交换机连接，防护设备的运行日志通过主干交换机传输至监视平台实时采集模块中，实时采集服务器通过I/II区防火墙与非实时采集模块连接并将采集的日志文件传输至监视平台服务器进行解析、处理。

2.3 数据处理

如图4所示，监视平台系统在数据处理结构上分为数据采集层、数据处理分析层和数据展现层，在数据采集层主要是通过syslog、采集agent日志代理方式将广域网、局域网的安全防护设备日志信息采集至监视平台系统的数据处理分析层中，因安全防护设备厂商众多，设备日志格式也存在差异，所以监视平台系统进行数据处理前需先要对日志的格式进行标准化转换，然后再进行日志数据的分析、处理。日志格式的转换是通过平台系统中的日志代理模块进行的，该模块提供开放的日志标准接口规范，不同安全防护设备厂商可按照日志接口规范要求，向代理程序提供动态链接库，实现采集日志数据格式的统一。监视平台系统再通过对日志信息进行分析、处理用于建立防护设备的资产库，生成相应报表、逻辑计算、告警判断等。在数据展现层，通过人机界面系统的资产管理、指标分析、历史查询、告警窗、报表统计、系统设置等模块实现对安全防护设备的监视、管理等功能，让运维人员直观，高效地看到安全防护设备的告警信息和电网整体的信息安全情况。

图4 电力企业二次系统安全防护监视平台数据处理

3 效果评价

电力企业二次系统安全防护监视平台在宁东电网投入试运行后取得如下效果：

（1）平台采用现有调度数据网络结构，大大降低了传输通道的建设成本，并且实现了安全防护设备的日志实时监控功能，保证安全防护设备接入率100%，安全防护设备在线率由69%，提升至100%。

（2）采用日志代理方式采集不同厂商的安全防护设备日志文件，保证了日志采集数据的兼容性，为平台分析、处理数据信息提供了强有力的基础保障，自2016年1月至3月运行以来，通过对二次系统安全防护监视平台系统的使用，安全信息月消缺率由原20%提高至90%，消除了包括现场安全设备配置不规范或未配置、IP未按规划要求进行配置、安全策略不满足要求、设备路由配置不规范等安全隐患。

（3）二次系统安全防护监视平台系统的建设过程中采用分区密文采集方式，不仅满足了“安全分区”的二次安全防护的要求，而且宁东广域网密通率由45%提高至97%，主站密通率由54%提升至89%，有效提高了二次防护系统信息安全防御的管控能力。

4 结论

（1）电力企业二次系统安全防护监视平台通过现有调度数据网络作为日志传输通道，可高效的将厂站安全防护设备日志文件传输至平台主站，实现了远程管控，并且不需改变现有调度数据网的结构，大大减少了厂站接入层的建设投资。

（2）电力企业二次系统安全防护监视平台系统通过日志代理的方式可兼容不同厂商的安全防护设备日志文件，提高了二次防护系统对安全防护设备的兼容性。

（3）电力企业二次系统安全防护监视平台系统的实时采集和非实时采集结构可有效减少数据流，提高数据处理的速度，并且保证系统的“安全分区”要求。

［1］ 徐力.中山电力二次系统安全防护的应用研究[D].广州：华南理工大学，2011：23-31.

［2］ 王保义.基于安全网关的电力二次系统安全防护[J].电力系统通信，2008，20（12）：11-14.

［3］ 李延瑾，杨淑英，任有刚.电网调度系统二次安全防护的策略分析[J].现代企业教育，2012（11）：246.

［4］ 蔡洋，王积荣.电网调度自动化系统的应用与发展[J].中国电力.2012，24（02）：4.

［5］ 周瑾.论电网调度自动化二次系统的安全防护[J].北京电力高等专科学校学报：自然科学版，2011，28（11）：186-186.

［6］ 藏琦，邹蒨，郭娟莉等，电网调度自动化二次系统安全防护实践[J].电子设计工程，2011,19(20):47-49.

［7］ 袁琳，高夏生，赵天虹.电力调度内网安全监控平台建设[J].电信科学，2014，30（1）：199-201.

［8］ 胡燕，辛耀中，韩颖异.二次系统安全体系结构化设计方案[J].电力系统自动化，2003，27（21）：123-125.

［9］ 秦朝，张涛，林伟民.基于数字证书认证的电力安全拨号认证系统[J].电力系统自动化，2009，33（10）：99-101.

（1.国网宁东供电公司，宁夏，宁东，750411；2.国网宁夏培训中心，宁夏，银川，750011；3.国网宁夏电力公司电力科学研究院，宁夏，银川，750011）

针对电力企业二次系统安全防护存在的问题，对其现状进行分析，采用数据分析及采集技术开发了电力企业二次系统安全防护监视平台，并成功应用于宁东电网。应用结果表明：电力企业二次系统安全防护监视平台提高了二次防护系统对安全防护设备的兼容性，实现了安全防护设备实现了远程实时监控功能，由于不需改变现有调度数据网的结构，大大减少了厂站接入层的建设投资，经济效益显著。

二次系统；调度数据网；信息安全防护

The construction of the secondary power system safety protection monitoring platform for power enterprise

ZHENG Tiejun1,DING Xuyuan2,YIN Liang3
(1.Ningdong Power Supply Filiale of Stata Grid Ningxia Power Co.,Ningdong Ningxia 750411,China; 2.Training Center of State Grid Ningxia Power Co.,Yinchuan Ningxia 750001,China; 3.Power Research Institute of State Grid NingXia Power Co.,Yinchuan Ningxia 750001,China)

Aiming at the problem of existing in the secondary power system safety protection in power enterprise,analyzes status quo of the system,adopts data analysis and acquisition technology to develop the secondary power system safety protection monitoring platform for power enterprise,and successfully applied in Ningdong power grid.The application result shows that the secondary power system safety protection monitoring platform for power enterprise improves the compatibility of the secondary system for safety protection equipments,realizes remote control of safety protection equipments,needn’t change the structure of current dispatching data network,greatly reduces the construction investment of substation data access layer,the economic benefit is obvious.

secondary system;dispatching data network;information safety protection

TM645.2

A

1672-3643（2017）03-0051-04

10.3969/j.issn.1672-3643.2017.03.010

2017-03-18

郑铁军（1984），男，工程师，工学硕士，从事电力系统自动化运维工作。

有效访问地址：http://dx.doi.org/10.3969/j.issn.1672-3643.2017.03.010