吴程楠，田 茜，李 曼

(国网上海市电力公司松江供电公司，上海 201600)

1 网络安全管理平台建设及功能

1.1 网络安全管理平台建设

电力监控系统网络安全管理平台[1-3]主要实现对调度机构电力监控系统、变电站站控层和电厂涉网部分的专用安防设备、通用安全设备、主机操作系统、数据库、网络设备等的设备状态、安全状态、安全事件和操作行为进行实时监测与告警，实现对电力监控系统进行安全核查及扫描，以发现薄弱环节，甚至主动隔离风险主机。

网络安全管理平台使用C/S架构运行于安全Ⅱ区，并在主站安全Ⅰ区、Ⅱ区的采集装置中部署采集模块，主要采集来自电力监控系统中的安全设备、主机设备和网络设备的运行信息、操作信息以及告警信息，并将采集到的数据统一汇总至安全Ⅱ区的平台服务器，由人机工作站进行集中展现。

NS 5000网络安全管理平台具备安全检查、监视、告警、分析以及事后审计等应用功能，并提供管理平台自身及相关应用的配置管理功能，用来维护系统的完整性和可用性，提高系统的运行效率。

1.2 安全检查功能

安全检查可核查对象配置安全并评估存在的安全风险，需预先将核查脚本分发到设备主机上，由平台发起安全配置核查任务，并在操作系统层执行核查脚本，之后将核查结果返回给安全配置核查服务程序。

安全检查基于漏洞库和安全配置基线，对安全漏洞、弱口令、安全配置进行扫描和核查，实现网络安全的主动防御。安全风险评估服务连接安全Ⅰ/Ⅱ区采集装置的探针程序，向对应安全区的设备进行安全风险评估。考虑到对电力监控系统的影响，平台提供基础风险评估及深度风险评估功能模块。

1.3 安全监视功能

安全监视功能可全方位实时监视电力监控系统的安全运行情况，可宏观展示电力监控系统运行概况，将采集的网络安全数据通过采集消息总线发送给分析服务模块；分析服务模块处理收集到的数据，将必要的数据存入实时库，生成具体的监视、告警信息推送给人机；人机的监听模块获取相关信息后展示给用户，并根据用户的操作向分析服务模块发送请求，分析服务模块收到请求后再从实时库中提取相关数据，发送给人机进行数据展示。支持以拓扑图形式展现内网的安全主机及各类安全设备，实时展示设备告警和在离线状态。

1.4 安全告警功能

安全告警功能提供实时告警和历史告警两种告警展示，根据告警产生的类型采取多种监视方式，实时监控告警情况。针对监管平台的详细告警情况，采用多种监视方式，诸如告警提示窗、告警悬浮窗、告警轮播等，多手段实时监视告警情况。

1.5 安全分析功能

安全分析功能使用各种综合分析手段，并提供报表工具生成用户所需的安全运行报表，通过对设备监视与告警数据进行多维度的分析与挖掘。

当告警处理模块分析出告警信息后，通知数据分析模块，在接收到告警通知后查询历史数据库对告警数量、告警曲线等信息进行统计分析并将分析结果写入历史数据库和实时数据库，人机界面通过查询历史库和实时库来获取统计数据并展示电力监控系统安全运行情况。

1.6 安全审计功能

安全审计功能基于历史记录数据，在事后对所有安全事件、操作行为进行关联、跟踪和追溯的分析，并作出相应安全评价，以发掘未被实时管理的安全漏洞与安全风险。

数据采集模块将采集的信息通过采集消息总线发送给数据处理模块，数据处理模块进行分析处理后存入历史库；数据分析服务通过服务总线注册并对外提供审计数据服务，人机界面通过服务总线发现数据服务并建立连接，数据分析服务通过查询历史数据库，分析统计人机界面请求审计信息，并反馈给平台界面进行展示。

2 典型主机设备接入

2.1 厂站网络安全监测装置接入

厂站端部署网络安全监测装置(Ⅱ型)，当站端安全Ⅰ区、Ⅱ区网络可达时，仅在安全Ⅱ区部署一台；否则安全Ⅰ区、Ⅱ区需各部署一台。ISG 3000网络安全监测装置(Ⅱ型)需同时接入站控层A、B网内，保证与A、B网内所有设备互联互通。

典型变电站部署拓扑图如图1所示。

图1 典型变电站部署拓扑图

本文选取110 kV变电站作为典型案例，分析探讨110 kV变电站网络安全监测装置接入及调试相关事项，其他类型厂站可参考接入，其拓扑图如图2所示。

图2 厂站网络安全监测装置接入参考图

调度主站网络安全管理平台和厂站网络安全监测装置是通过电力调度数据网互联互通，调度主站网络安全管理平台数据网关机与厂站网络安全监测装置之间设置通信所需静态路由，确保双方通信正常。110 kV变电站调试网络安全监测装置常碰到“资产不在线”等问题，建议排故方法如下。

首先确保调度主站网络安全管理平台与厂站网络安全监测装置网络可达，并查看网络地址，确保地址生效。

(1) 查看模块运行是否正常。

(2) 主机日志采集测试。

对照《电力监控系统网络安全监测装置技术规范》附录E.3.2厂站服务器、工作站等设备采集信息，逐条触发主机事件抓包验证报文格式正确性。

2.2 设备主机资产接入

主机信息采集方式为，由安全操作系统 (凝思、麒麟)主动进行信息采集，通过消息总线上报到监管平台。信息采集分为周期上报(运行信息)和触发上报两种方式，以达到对主机运行状态进行全面监视的目的。

SSH每次以链路为基本单元进行跳转访问，由操作系统主动将采集项通过消息总线发送至Ⅰ区和Ⅱ区采集服务器，并在平台侧进行汇总展现。对于非法的链路阻断或当人员通过本机或X11(Xmanager)登录后打开console操作时，操作系统主动采集登录及操作信息，通过消息总线发送至Ⅰ区和Ⅱ区采集服务器，可由网络安全管理平台通过Ⅰ区和Ⅱ区采集服务器向该业务主机发送非法链路，在该主机上产生的进程号(通过消息总线)，由操作系统进行实时链路阻断。对于危险操作命令例如(reboot)，可由平台直接识别，并产生告警内容。

以厂站侧监控主机为例，安全操作系统 (凝思、麒麟)主动进行信息采集，通过消息总线上报到安全网关。针对不同类型操作系统，需部署探针程序agent，采集用户登录、操作并监控系统运行情况等信息，并通过Ⅱ区调度数据网交换机发送到网络安全管理平台的二区数据网关机进行处理，然后在平台应用界面上显示出来。

3 网络安全技术应用实践

3.1 NAT技术应用

NAT技术是将内部网络的私有IP地址翻译成唯一的公网IP地址，使内部网络可以连接到外部网络上过程[3]。

本文主要探讨静态地址映射技术实现前置服务器访问RTU时暴露内部网络地址功能。在前置网关服务器配置相应的私网地址，因此私网地址需要与各厂站RTU配置的前置网关通信。当调度主站前置通信服务器主动发起业务访问时，数据包的源地址及目的地址在NAT网关机进行转换，完成转换成公网地址后，厂站侧电力监控系统收到数据包进行解析处理并反应至调度主站，完成最终的业务交互过程。由于IP包的源IP已经被NAT转换成的调度数据网IP，响应的IP包(Des=32.1.2.2，Src=32.1.2.1)将被发送到NAT网关机。当前置服务器(172.16.1.1)访问RTU终端(32.1.2.1)时，私有网中的主机172.16.1.1向公共网中的主机32.1.2.1发送了1个IP包(Des=32.1.2.1，Src=172.16.1.1)。当IP包经过NAT网关时，NAT会将IP包的源IP转换为NAT的调度数据网IP并转发到调度数据网，此时IP包(Des=32.1.2.1，Src=32.1.2.2)中已经不含任何私有网络IP的信息。NAT网关在地址映射转换过程对前置服务器来说是透明的；对厂站侧电力监控系统而言，调度主站前置通信服务器是32.1.2.1，调度主站端则隐藏了172.16.1.1的私有地址。因此，NAT技术“隐藏”了调度主站和厂站RTU通信双方的私有网络地址，有效保证了电力监控系统的安全运行及稳定性。

3.2 ACL技术应用

电力监控系统中采取业务访问白名单方式，控制并规范网络访问行为，ACL访问控制列表技术[1]正可实现在网络出口处精准识别和控制业务访问，做到流量控制及访问授权等功能。如果数据包与ACL中某条语句匹配，则列表中其他语句会被忽略;若不匹配，则继续检查ACL下一个命令语句，在到达ACL的最后一条命令仍旧不匹配时，该数据包将被丢弃。当出现匹配并且该规则允许报文转发时，才会将该条报文转发;如果无法匹配全部规则，或匹配既定规则后禁止报文转发，则丢弃该报文。

ACL针对符合规则的入站数据包，由路由器处理器调入内存，读取数据包的包头信息，如目标IP地址，并搜索路由器的路由表，查看是否在路由表项中，如果有，则从路由表的选择接口转发(如果无，则丢弃该数据包)，数据包进入该接口的访问控制列表(如果无访问控制规则，直接转发)，然后按条件进行筛选。访问控制列表流程如图3所示。

图3 访问控制列表流程

结合地区调度工作实际情况，调度数据网接入规范及业务IP地址访问需要，ACL规则需要实现如下功能需求。

(1)允许厂站侧电力监控系统安全Ⅰ区的业务主机通过2404端口与主站侧安全Ⅰ区业务主机通信。

(2)允许主站侧安全Ⅰ区业务主机通过SSH安全协议远程登录厂站侧电力系统安全Ⅰ区的业务主机。

(3)阻止其他任何报文访问。根据实际业务需求，需在厂站侧网络出口处对业务访问流量进行限制，设置ACL并绑定网关设备MAC端口。

厂站RTU如在网络出口有不符合安全策略的访问，则丢弃该数据包。假设某个IP地址以TCP协议试图扫描厂站纵向加密装置以访问其他通信端业务主机，那恶意代码则可通过TCP的某端口进行恶意传播的风险大大增加，存在极大安全隐患。

提前在厂站侧网络出口侧设定必需的ACL访问控制策略后，所有与业务端口无关的数据包都将被丢弃，最后一条隐含的语句适用于不满足之前任何条件的所有数据包。这条最后的测试条件与这些数据包匹配，通常会隐含拒绝一切数据包的指令。

4 结语

电力监控系统网络安全管理平台的建设与应用为电力监控系统网络安全监控提供了技术手段，实现电力监控系统安全告警信息的实时采集以及网络安全事件的快速隔离与处理。同时，采用网络NAT技术和ACL技术可限定网络流量随意性访问，规范日常业务访问行为。电力监控系统网络安全是一个系统性、整体性的问题，系统中任何一个漏洞或威胁都有可能造成全网安全问题。

结合近几年的电力监控系统网络安全管理平台实践经验，本文提出若干网络安全技术的应用，并结合实际工作提出了保证电力监控系统安全高效运行的一些措施和建议，以期为提高电网整体监控系统安全、建设数字化孪生电网和加快推进调度信息资源夯实技术基础。