火力发电厂网络安全监测装置部署策略探讨

2019-12-07韩彦哲

网络安全技术与应用 2019年12期

◆韩彦哲

火力发电厂网络安全监测装置部署策略探讨

◆韩彦哲

（神华国能集团有限公司神头第二发电厂山西 036002）

网络安全监测装置通过采集监测对象运行信息，对安全事件进行分析及实时告警。本文介绍了火力发电厂电力监控系统网络安全监测装置的采集对象、探针程序的配置和调试以及部署策略，防范了黑客及恶意代码等对电力监控系统的攻击及伤害，保障了电力系统的安全稳定运行。

火力发电厂；电力监控系统；网络安全监测装置；网络安全

电力行业是关系国计民生的重要基础产业，电力系统的安全稳定运行直接关系到国民经济的发展和人民的生命财产安全以及社会的稳定[1-2]。火力发电厂调度自动化系统作为电力监控系统的重要组成部分，其在对电厂涉网设备运行信息采集分析的科学基础上，运用现代自动化技术及通信技术，由计算机监控作出纵观全局的控制决策，用来监控电厂涉网设备的运行状态[3]。调度自动化系统是火力发电厂电网调度和电网运行管理不可或缺的重要组成部分，其安全问题一直受到国家电网公司的重点关注[4]。为了加强调度自动化系统的信息安全管理，防范黑客及恶意代码等对调度自动化系统的攻击和侵害，切实保障电力监控系统的网络安全，生产控制大区应当逐步推广内网安全监视功能，实时监测电力监控系统的计算机、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警。本文探讨了火力发电厂网络安全监测装置的部署策略，以保障调度自动化系统的稳定可靠运行。

1 监测装置采集对象

火力发电厂网络安全监测装置监测信息对象为涉网部分的火电厂电力监控系统，覆盖主机设备、网络设备、通用及专用安防设备，具体包括：火力发电厂计算机监控系统（NCS）、远动装置、电量计费采集装置、同步向量测量装置（PMU）、故障录波器、保护及故障信息子站等。

1.1 监测对象采集方式

（1）服务器及工作站

在服务器、工作站上部署网络安全监测代理程序，将采集的网络安全信息发送至网络安全监测装置，对服务器及工作站的用户登录、操作信息、运行状态、移动存储设备接入、网络外联等事件信息进行监视。

（2）网络设备

网络设备的采集方式可有以下三种：通过SNMP协议主动从交换机获取所需信息；通过SNMP TRAP协议被动接收交换机事件信息；通过日志协议（syslog）采集交换机信息，对用户登录、操作信息、配置变更、流量信息、网口状态、MAC地址绑定关系等信息进行监视。

（3）安全防护设备

通过装置自身日志协议将数据传至监测装置，对用户登录、配置变更、运行状态、安全事件等信息进行监视。

1.2 监测装置型式

网络安全监测装置Ⅰ型监测对象包括调度主站主机、数据库、内网交换机及安防设备等。网络安全监测装置Ⅱ型监测变电站站控层及发电厂涉网生产控制大区的主机设备、网络设备和安全防护设备。

《国家电网公司关于加快推进电力监控系统网络安全管理平台建设的通知》（国家电网调〔2017〕1084号）文件明确指出：“在变电站、并网电厂电力监控系统的安全Ⅱ区（或Ⅰ区）部署Ⅱ型网络安全监测装置，实现对网络安全事件的监视与管理。”

2 探针配置

2.1 主机探针配置

主机类资产若与网络安全监测装置进行通信，需要在主机上安装探针软件（Agent），用来监测并上传主机的USB、端口、外部网络连接等信息。目前探针程序已兼容Windows、Linux、Unix版本。

使用工具将探针软件安装包上传到主机电脑，输入命令执行探针安装脚本。以南京南瑞继保电气有限公司生产的PCS-9895BⅡ型装置为例说明，探针程序安装成功后运行./PCS-9895D_UI_GW_release.sh，输入用户名及密码登录主界面针对一些常用的参数进行配置。

图1 主机探针配置界面1

图2 主机探针配置界面2

图1和图2为主机探针配置界面。主界面中可以对操作事件、网络外联事件、开放非法端口事件、网口UP/DOWN事件及关键文件变更等进行详细配置。

2.2 网关机（远动）探针配置

网关机探针配置方法和主机探针配置方法相同，探针程序部署成功后运行./PCS-9895D_UI_GW_release_independent.sh，输入用户名及密码登录主界面进行参数配置，建议现场互为主备的两台网关机探针配置保持相同。

2.3 交换机探针配置

现场中若交换机型号或程序版本老旧，不支持接入网络安全监测装置时，需对程序进行升级或更换满足要求的交换机。现场通常有多台交换机需要接入网络安全监测装置，可以考虑将第一台交换机配置好，并完成信号测试后，将其配置文件略加修改，传输到其他同型号同版本交换机中，提高工作效率。以南京南瑞继保电气有限公司生产的PCS-9882AD交换机为例说明，设置好调试笔记本本地IP地址，利用IE浏览器登录交换机默认IP地址192.169.0.82，输入用户名及密码。图3为交换机配置界面。

图3 交换机配置界面

3 网络安全监测装置部署方案

国调网络安全处按照“监测对象自身感知、网络安全监测装置分布采集、网络安全管理平台统一管控”的原则，构建了一个电力监控系统网络安全管理体系，如图4所示。

图4 电力监控系统网络安全管理体系

厂站如果只有安全Ⅰ区，则只需在安全Ⅰ区部署一台网络安全监测装置；若有安全Ⅰ区、Ⅱ区，且两个区通过防火墙相连，则在安全Ⅱ区部署一台网络安全监测装置即可；若有安全Ⅰ区、Ⅱ区，且两个区通过单向隔离装置相连接，则需在安全Ⅰ区、Ⅱ区各部署一台网络安全监测装置；若有安全Ⅰ区、Ⅱ区，且两个区相互独立没有连接，则需在安全Ⅰ区、Ⅱ区各部署一台网络安全监测装置。

以某火力发电厂电力监控系统网络安全监测装置部署实施方案为例，其部署拓扑图如图5所示，接入业务包括计算机监控系统（NCS 5台SCADA主机）、远动装置、电量计费采集装置、同步向量测量装置（PMU）、故障录波器及网络交换机。网络安全监测装置为南京南瑞继保电气有限公司生产的PCS-9895BⅡ型装置。

图5 某火力发电厂电力监控系统网络安全监测装置部署拓扑图

火力发电厂接入的设备数量与类型比较多，对于如PMU工作站、烟气终端等孤网设备（只涉及调度数据网，不涉站控层）可通过扩展网卡的方式与网络安全监测装置直接连接，从而采集其安全事件，如不支持扩展网卡，则可通过调度数据网交换机实现与监测装置互通，采集其安全事件。

由于纵向加密认证装置已经由调度主站的网络安全管理系统进行了监测，故网络安全监测装置不需要对纵向加密认证装置进行安全事件的采集与监测。

部署在Ⅰ区的网络安全监测装置通过以太网口连接到电厂内网交换机上，实现对厂站内远动装置、NCS系统SCADA服务器及内网交换机的安全信息采集；对于PMU工作站利用PMU交换机通过以太网口与网络安全监测装置相连，实现安全事件的采集。部署在Ⅱ区的网络安全监测装置通过以太网口连接到电厂内电量计费服务器及通过以太网口连接到故障录波器交换机上，实现对其安全信息的采集工作。

另外火力发电厂还可根据本厂电力监控系统结构确定是否选用本地扩展功能。

图6 本地功能扩展拓

图6所示为本地功能扩展拓扑图。服务器用来存储网络安全监测装置采集到的监视对象的运行信息、操作信息及告警信息，实现安全监视、安全告警、安全分析以及安全审计功能。人机工作站用来展示本地网络安全信息，用于本地监视。

4 调试

南京南瑞继保电气有限公司生产的PCS-9895B厂站安全监测装置可以实现对电力二次系统主机设备、网络设备和安全防护设备运行状况的实时监视，对安全事件进行集中采集、实时告警和分析，并将站端信息通过调度数据网向安全监管平台主站上传，为电力二次系统安全审计评估提供可靠的信息来源和有效的分析手段。

对探针的调试主要是在主机侧开启相关功能后触发相关事件，然后在网络安全监测装置的告警窗口中查看。主要事件触发方式包括如下：登录成功、操作输入信息、操作回显信息、退出登录、USB接入/拔出、网口UP/DOWN、用户权限变更、关键文件/目录变更、网口流量超过阈值、非法外联、MAC地址绑定关系、修改用户密码等等。如图7所示为网络安全监测装置登录首页面，图8为触发事件详细告警页面。

网口UP/DOWN：在开启功能情况下，插拔一下网线即可触发，注意不要插拔与调度数据网相连接的网线。