摘要:针对电网二次系统安防体系缺乏集中管控和统计分析手段这一情况,本文围绕平台的体系架构和逻辑功能两方面对电力调控系统内网安全监视平台进行了研究并应用到了宁夏电网。该平台在宁夏电网顺利上线,为调度自动化系统提供了全面的安全基础支撑作用。
关键词:二次系统;安全防护;内网安全监
1 监视平台体系架构设计
本人在设计电力二次系统内网安全监视平台的总体架构时将其分为广域网安全监视和局域网安全监视两部分进行设计。
1.1 广域网安全监视体系架构
广域网安全监视模块负责监视二次系统安全设备(电力专用安全设备和通用安全设备),通过数据采集装置实时采集网络中存在的异常访问,非法外连等重要告警信息。按照“统一部署、分级管理”的原则,实现调控中心上下级安全监测平台的级联通信,按要求下级中心主动上报上级监测平台告警信息。
1.2 局域网安全监视体系架构
局域网安全监视功能负责监视主站调度技术支持系统内部主机的安全状态,当系统内部主机发生异常、非法操作或外连时,向安全监视平台发出告警。
在设计局域网安全监视模块时,本人将其分为主机安全监视代理(Agent)和主机安全监管理中心两个部分来分别进行设计。
(1)局域网安全监视模块
主机安全监视代理(Agent):监视主机的系统资源(CPU、内存、硬盘),当系统负载超过预先设定的阈值时发出告警;监视主机的外接设备(USB接口、串口、并口),根据主机安全监视代理的配置文件,当有不符合安全策略的外接设备接入时发出告警;监视主机的网口,当出现非法访问或者外连时,以Syslog标准格式向管理中心发出告警;监视主机的关键进程,当进程非法退出或者出现异常时发出告警。
(2)主机安全监视管理中心:主机安全监视管理中心主要有日志接收/转发,数据库写入、报警处理线程模块、报文心跳接收模块、IP-MAC探测线程模块和配置修改处理模块组成。当主机安全监视管理中心接收到安全告警信息后,利用调度自动化系统基础平台的安全告警服务,将主机安全监视代理发出的告警信息转发至基础平台的安全告警服务处理,并发送该告警信息到内网安全监视平台;主机安全监视管理中心有权限修改主机安全监视代理的配置文件。
(3)与智能调度技术支持系统D5000的有机结合
按照国家电网公司的要求,宁夏省调智能调度技术支持系统统一使用D5000平台。系统的硬件由CPU、内存、电源、网络等组成,在D5000系统平台内部接入各硬件设备的检测装置,例如:线路保护监测装置、线路监测装置、主变监测装置和公用检测装置等。利用这些硬件监测装置对设备的原始数据进行采集,将采集后的数据上传给上层系统来分析。
2 监视平台逻辑功能设计
电力二次系内网安全监视平台的逻辑架构分为三层,由下至上依次为数据采集层、数据处理&分析层、数据展现层。
监视平台在逻辑功能设计方面,我采用灵活可扩展的设计方式,处理不同系统、安全设备的日志信息。安全监控至少包括事件分析、处理和监控等管理功能。事件分析与处理包括事件采集、转换代理、过滤存储、分级上报、事件分析、事件响应和安全审计等功能模块;监控管理包括系统管理、资产管理、实时监控、风险管理、统计分析、业务报表、辅助工具等功能模块。
期刊文章分类查询,尽在期刊图书馆
2.1 数据采集层设计
电力系统安全设备日志主要是指防火墙、入侵检测系统等网络安全设备产生的日志。日前,防火墙、路由器、交换机、服务器和其他安全设备的日志格式尚没有统一格式,都有它们自己记录事件的格式,甚至同一厂家的不同服务器也会不同。例如Windows服务器有庞大的用户群,但仅这一个厂家就提供了几种不同格式的日志数据,所以我们需要寻找一种可以解决该问题的日志采集方式,可是,利用日志服务器日志数据进行采集的方法很多,如何选用适合的技术方式进行呢?我对常用的几种日志数据采集技术进行分析,通过研究对比,我选取了最合理的数据日志采集方案为:广域网日志采集采用syslog采集技术,局域网日志采集以简单网络管理协议SNMP Trap方式。
Agent日志代理模块是电力二次系统安全监控的重要组成部分,负责日志收集、调用设备厂商转换程序、初步预处理,以及日志转发功能。由于各种通用安全设备发送的日志格式不统一,需要通过设备IP判断调用的日志转换程序,通过配置设备IP与转换程序的对应关系来实现。
2.2 数据处理和分析
当原始日志数据被采集端接收到以后,经过预处理,通过协议识别,然后将其分流到对应的内容识别模块里,再经过内容模式匹配引擎,最后将数据分流到不相同的数据分析模块里,提取关键字,筛选内容填充处理。安全监控将对采集到的实时信息进行统计分析,分析处理后的数据不能一直存放在文本文档里,系统分析引擎周期性将日志信息、统计分析结果转存到历史数据库中,这样才能将数据长久保存。
2.3 图形界面展现
安全监视平台基于Web以图形化方式对采集的监视设备数据进行分析、查询,以及图表展示,并将分析结果进行报表输出,以及报表管理,对监视设备进行资产管理,对系统本身的参数配置管理、日志管理、用户权限管理等。
3 监视平台在宁夏电网的应用成果
(1)指标得到有效提高。截止宁夏内网安全监视平台顺利上线运行,二次系统内网安全监控记录告警事件由平台上线前的890次下降为平台上线后的109次,(同比减少781次),回溯近期监控情况,未出现安全事故,二次系统安全防护设备运行稳定。分析可得,系统上线后由于关键安全设备、服务器的日志集中采集和统一管理问题得以解决,能够对二次安全设备的实时告警与运行状态进行集中实时监测,及时掌握电力二次系统存在的安全隐患,采取有效措施阻止恶意攻击行为,处理了大量告警缺陷,为银川电网安全稳定运行提供了强有力的支撑。
(2)安全指标显著提高。自监视平台上线运行以来各项安全指标得到显著提高,监视平台为调控系统二次安全防护的监管和考核提供了有效的技术手段。极大的方便了运行人员通过监视平台可以全面的掌握调控系统二次安全防护的整体运行状态,及时发现安全隐患,准确定位故障点,便于维护人员处理。平台还提供了完备、标准的基础信息,方便进行安全审计。
4 结束语
内网安全监视平台的建设完成,有助于宁夏电网二次系统安全防护体系由边界防护向纵深防御发展,解决调度自动化系统对关键安全设备、服务器的日志集中采集和统一管理问题,实现对安全设备的实时告警与运行状态监测,为调度自动化系统提供全面的安全基础支撑,对于及时掌握电力二次系统存在的安全隐患,采取有效措施阻止恶意攻击行为,对电网安全稳定运行起到了至关重要的作用。
参考文献:
[1]胡炎,辛耀中,韩英铎.二次系统安全体系结构化设计方案[J].电力系统自动化,2003,27(21):5-8
[2]刘合富.基于syslog技术的防火墙日志数据采集方法的研究[D].武汉:华中师范大学,2006. 13-15
[3]刘必雄,魏连,许榕生.基于Agent技术的多源日志采集系统的设计与实现[J].计算机系统应用,2008(2):71-74
论文作者:岳晓璇
论文发表刊物:《电力设备》2017年第30期
论文发表时间:2018/3/13
标签:平台论文; 日志论文; 系统论文; 主机论文; 模块论文; 安全设备论文; 宁夏论文; 《电力设备》2017年第30期论文;