广东电网有限责任公司惠州供电局 516001
摘要:变电站监控后台系统是重要的电力监控系统,其上承载了自动化、保信、计量等多套业务。目前,电力监控系统的网络安全风险主要依靠传统的等级保护测评以及风险评估来发现,系统的网络安全风险监视以及管理主要依靠人工日常运维,缺乏自动化的风险发现以及监视措施。为确保不发生电力监控系统网络安全事件,通过制定网络安全监测方案,补全完整的安全防护体系,有效提高了电力监控系统网络安全防护水平。
关键词:电力监控系统;网络;安全监测;建设
引言
按照“电力监控系统网络安全态势感知关键技术研究与示范应用”重点科技项目的要求惠州供电局将承担网络安全监测厂站安全监控终端在所辖的19座220kV变电站的示范应用,具体包括在变电站部署网络安全监测厂站终端,对现有电力监控系统设备进行配置以实现网络安全数据的接入等工作,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。本次网络安全监测方案探讨以部署220kV变电站网络安全监测建设终端,探讨电力监控系统现状、建设范围和目标、监测内容、网络监测部署架构和说明。
1现状
电力监控系统是公司重要控制系统,承载了南方电网电力生产控制、调度、运行、监视等系列重要任务。随着公司电网规模不断扩大,电力监控系统得到了大量建设以及快速发展,过去独立分散的系统逐步变得高度互连,并在网、省、地层面组成一个巨大的网络空间。
近年来,国内外网络安全形势发生了深刻变化,出现了多起针对能源行业的网络攻击。2011年,美国利用“震网”蠕虫病毒攻击伊朗的铀浓缩设备,已经造成伊朗核电站推迟发电,1/5的离心机报废,造成巨大国际影响;2015年12月23日,黑客对乌克兰境内电力系统发起网络攻击,导致伊万诺—弗兰科夫斯克地区发生大面积停电事件,140万人受到影响,整个停电事件持续6小时之久,这是全世界第一起由于黑客攻击造成电网大规模停电的事件;2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。受害者电脑被黑客锁定后,病毒会提示支付价值相当于300美元(约合人民币2069元)的比特币才可解锁。与此同时,我国部分企业也出现了电力监控系统遭受到网络攻击的案例。
电力系统作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,任何一处网络攻击都将牵一发而动全身,严重威胁企业和国家安全。
2建设范围和目标
通过在220kV变电站安全I区和Ⅲ区分别部署一套变电站电力监控系统网络安全监测终端实现对变电站各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析。及时发现如非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件,实现对变电站电力监控系统全方位、全天候的网络安全监测,实现变电站电力监控系统网络安全的闭环管理。全面提高公司电力监控系统网络安全防护的整体水平,达到电力监控系统网络安全风险可发现、可控制、可溯源的目的。
具体目标包括:
1)在变电站站控层A/B网、控制区(安全区I)和生产管理区(安全区III)部署厂站安全监控终端,实现变电站站控层A/B网、生产控制大区以及生产管理区的网络安全数据采集以及风险在线识别。
2)选择典型的主机设备、网络设备以及安全设备进行数据采集以及接入,数据采集方式包括Agent、SNMP、SNMP trap、syslog以及流量镜像等方式。
3)修改I区加密装置,Ⅱ区纵向防火墙、I/II区横向防火墙、I、II区互联交换机、III区互联交换机的ACL安全策略,实现站内及主子站之间系统数据的互联互通。
3监测内容
变电站网络安全监测厂站终端监视以不影响目标设备正常运行为目标,数据采集方式通过Agent、SNMP v2c、SNMP Trap、Syslog协议采集,其中监测
1)调度数据网:I区纵向加密装置A、I/II区互联交换机A、II区纵向防火墙A、I/II区横向防火墙A、I区纵向加密装置B、I/II区互联交换机B、II区纵向防火墙B、I/II区横向防火墙B;
2)全站A/B网交换机、#1监控服务器、#2监控服务器、#1操作员工作站、#2操作员工作站、五防工作站;
3)综合数据网交换机。
4部署架构
网络安全监测厂站终端部署拓扑图如下图所示:
图1
在变电站中主要部署电力监控系统网络安全监测厂站终端,即在变电站安全区Ⅰ、安全区Ⅲ 中各部署独立的监测终端装置,分别采集处理本区域内的网络流量、日志数据、资产数据等,安全区Ⅱ不需要部署独立的监测终端装置,安全区Ⅱ 内的所有数据通过横向防火墙发送至安全区Ⅰ 中的监测终端装置进行采集处理。
5部署说明
变电站的网络安全监测厂站终端总共2台 ,旁路部署在I区和III区。
网络安全监测厂站终端通过Agent、SNMP、SNMP trap、Syslog等技术,在I区获取纵向加密装置、横向防火墙、互联交换机、站控层、工作站交换机的信息采集。在横向防火墙使用NAT技术将I区厂站装置IP映射成II区IP,然后通过Agent、SNMP、SNMP trap、Syslog等技术,实现II区的纵向加密装置、工作站的信息采集。网络安全监测厂站终端具备日志分析及流量监测与分析功能,分别在站控层A/B网交换机(核心)、二次安防互联交换机进行日志信息、网络流量镜像配置,实现日志信息以及设备流量信息的获取。在III区,络安全监测厂站终端通过Agent、SNMP、SNMP trap、Syslog等技术获取III区交换机、服务器等设备的信息采集。在纵向防火墙装置使用NAT技术将I区厂站装置IP映射成II区IP,通过网络安全监测厂站终端采集到的数据将通过纵向防火墙,向东莞供电局Ⅱ区主站平台服务器上送数据。网络安全监测厂站终端在Ⅲ区对综合数据网交换机、视频监控工作站、生产办公电脑等设备进行信息采集,通过综合数据网向东莞供电局Ⅲ区主站平台服务器上送数据。厂站装置还可以通过ICMP、snmp、镜像三种来源来自动获取到站内的资产信息,包括资产的IP地址、软件版本、内核信息等数据并形成拓扑结构,还可以通过手工录入、主站录入来手动添加资产。镜像来源还可以发现站内的数据通信对(TCP、UDP协议)告警并上报主站。
结束语
通过电力监控系统网络安全监测厂站终端系统建设,在220kV变电站等19个变电站部署电力监控系统网络安全监测厂站终端装置实现电力监控系统网络数据的采集,并将采集、分析的结果发送至电力监控系统网络安全监测主站平台,达到变电站网络安全风险可发现、可控制、可溯源的目的。本方案能显著提升电力监控系统的网络安全水平,及时感知和防止不法分子通过电网控制系统影响电网安全运行,降低电力监控系统发生网络安全事故事件的概率,提升用户对电网企业的信心,树立企业良好形象。
参考文献:
[1]《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号).
[2]《2018年南方电网电力监控系统网络安全态势感知系统建设工作方案》.
[3]《电力监控系统网络安全态势感知厂站装置技术规范》(试行).
论文作者:黄溥涛
论文发表刊物:《防护工程》2019年8期
论文发表时间:2019/7/30
标签:网络安全论文; 监控系统论文; 终端论文; 电力论文; 变电站论文; 交换机论文; 装置论文; 《防护工程》2019年8期论文;