陈武军

(嘉陵江亭子口水利水电开发有限公司，四川苍溪，628400)

1 引言

嘉陵江亭子口水利枢纽位于四川省广元市苍溪县境内，嘉陵江干流的中游上段，是嘉陵江干流开发建设中唯一的骨干控制性工程，电站装机容量4×275MW。电力监控系统分为生产控制大区和管理信息大区，生产控制大区划分为安全Ⅰ区(控制区)、安全Ⅱ区(非控制区)；管理信息大区划分为安全Ⅲ区(生产管理区)、安全Ⅳ区(管理信息区)。近年来，相继发生网络攻击导致乌克兰大面积停电事件、以色列电力局遭受网络攻事件等，电力系统已成为国际网络战的重要攻击目标，电力监控系统安全防护承受巨大压力。亭子口电站在电力监控系统的安全Ⅰ区、Ⅱ区部署PCS-9895B网络安全监测系统，实现对网络安全事件的监视与管理。本文对该电站网络安全监测系统的结构、功能、运行情况进行简要介绍。

2 系统的结构和功能

PCS-9895B网络安全监测系统对亭子口电站电力监控系统安全I区和Ⅱ区主机设备、网络设备和安全防护设备运行状况的数据采集和实时监视，对安全事件进行就地的集中展现、实时告警和量化分析[1]，并将站端信息通过调度数据网向四川省调安全监管平台主站上传，同时通过服务代理方式实现了主站对站内装置的管理和维护。

2.1 系统结构

亭子口电站网络安全监测系统由网络安全监测装置、交换机、后台PC机和系统软件组成。在安全Ⅰ、Ⅱ区各部署一台Ⅱ型网络安全监测装置，通过Agent探针软件采集亭子口电站生产控制大区服务器、工作站的安全事件，网络设备和安防设备分别通过SNMP协议和日志协议接入Ⅱ型网络安全监测装置。系统结构如图1所示。

图1 系统结构

2.2 系统功能

2.2.1 数据采集

采集服务器、工作站设备用户登录、操作信息、运行状态、移动存储设备接入及网络外联等事件信息；采集交换机的用户登录、操作信息、配置变更、流量信息、网口状态等事件信息；采集站内安全防护装置的用户登录、配置变更、运行状态、安全事件等事件信息；采集数据库的操作信息、运行状态等事件信息；采集触发性事件信息、周期性上送的状态类信息[2]。

2.2.2 数据处理

以分钟级统计周期，对重复出现的事件进行归纳处理；根据参数配置，对采集到的CPU利用率、内存使用率、网口流量、用户登录失败等信息进行分析处理，根据处理结果决定是否形成新的上报事件；对网络设备日志信息进行分析处理，提取出需要的事件信息；形成外设接入事件、用户登录事件、危险操作事件、状态异常事件等上传事件。

2.2.3 审计日志

对系统重要安全事件，包括用户和权限的增删改、配置变化、用户登录和退出等系统级事件及业务数据增删改等业务级事件进行审计；对审计数据的查询、排序、分类、分析统计；对审计记录进行分析并能形成审计报表功能。

2.2.4 通信功能

与服务器、工作站设备通信，采用自定义TCP协议进行通信，实现对服务器、工作站等设备的信息采集与命令控制，报文格式包括报文头、报文体和报文尾三部分。与网络设备通信，通过SNMP协议主动从交换机获取所需信息；通过SNMPTRAP协议被动接收交换机事件信息；采用SNMP、SNMPTRAPV3版本与交换机进行通信；通过日志协议采集交换机信息。与安全防护设备通信，通过GB/T31992协议采集信息。

2.2.5 主子站管理

将告警信息上传至四川省调安全监管平台；远程调阅采集信息、上传事件等数据信息，根据时间段、设备类型、事件等级、事件记录个数等综合过滤条件远程调阅数据信息；对被监测系统内的资产进行远程管理，包括资产信息的添加、删除、修改、查看等；参数配置的远程管理，包括系统参数、通信参数及事件处理参数；通过代理方式实现对服务器、工作站等设备基线核查功能的调用；通过代理方式实现对服务器、工作站等设备主动断网命令的调用；通过代理方式实现对服务器、工作站等设备的关键文件清单、危险操作定义值、周期性事件上报周期等参数的添加、删除、修改、查看；通过网络安全管理平台对网络安全监测装置程序进行远程升级。

3 系统运行情况

PCS-9895B网络安全监测系统是南瑞继保公司针对亭子口电站生产控制大区特点和网络安全需要，设计的新一代网络安全监测系统。实时监测电力监控系统的服务器、网络及安全设备运行状态，及时发现非法外联、外部入侵等安全事件并告警。技术人员通过对告警信息实时分析，及时采取措施，避免出现安全信息无人关注，无人处理情况，实现电力监控系统网络安全闭环管理，全面提高电站电力监控系统网络安全防护整体水平，为亭子口电站和电网电力监控系统安全、稳定运行提供了坚强的保护屏障。