论文部分内容阅读
摘要:针对500kV变电站电力监控网络安全态势感知系统的实施与应用,分析了厂站端安全态势感知的应用现状与前景。以云南楚雄500kV和平变电站的网络安全态势感知厂站装置加装和调试为例,分析了网络安全态势感知的基本业务和功能特点,提出了相应的具体措施和对策。
关键词:网络安全;态势感知;500kV变电站;二次安防
一、引言
变电站作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。建立网络安全态势感知系统,对电力监控系统进行全方位、全天候的网络安全态势感知,及时发现各类网络安全风险和非法访问,实现网络安全的态势感知及预警,成为电力监控系统二次安防的迫切需求。
二、系统结构
500kV和平变电站监控后台系统是楚雄供电局重要的电力监控系统,其上承载了自动化、保信、计量等多套业务。目前,该变电站的网络安全风险主要依靠传统的等级保护测评以及风险评估来发现问题。因此,整个系统的网络安全风险监视、管理主要依靠人工日常运维,缺乏自动化的风险发现和监控措施。
通过在500kV和平变电站安全I区和Ⅲ区边界,分别部署一套网络安全监测终端,实现对变电站各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析。具体实施内容包括:
(1)在500kV和平变站控层A/B网、控制区(安全区I)和生产管理区(安全区III)部署厂站安全监控终端,实现站控层A/B网、生产控制大区以及生产管理区的网络安全数据采集以及风险在线识别。
(2)选择典型的主机设备、网络设备以及安全设备进行数据采集以及接入,数据采集方式包括Agent、SNMP、SNMP trap、syslog以及流量镜像等方式。
(3)修改I区加密装置,Ⅱ区纵向防火墙、I/II区横向防火墙、I、II区互联交换机、III区互联交换机的ACL安全策略,实现站内及主子站之间系统数据的互联互通。
变电站加装感知装置后的网络拓扑图如下:
三、具体实施与应用
500kV和平变态势感知系统施工及接入工程涉及内容如下:
(1)现场勘察:进入变电站进行现场勘察,工作内容主要包含勘察设备上架、取电及综合布线情况;勘察现场设备的型号及实际业务情况;对前期资产台账收集及网络拓扑图进行校验核对。
(2)厂站采集装置上架:和平变电站采集装置为广州兆和电力技术有限公司(简称兆和)厂家装置,有两台装置分别部署于I、III大区,每台设备需要2U的安装位置,设备采用220V交流双电源。
(3)网络综合布线:和平变电站采集装置分为I区采集与III区采集装置。I区采集装置需要与站控层交换机、调度数据网I、II区实时与非实时交换机和保信C网和故障录波交换机进行网络连接;III区装置需要与综合数据网交换机、进行网络互联。
(4)厂站采集装置调试:对厂站采集装置与主站的通信进行调试,确保厂站装置与主站的通信正常。
(5)NMAP扫描:完善对变电站的资产详情统计,可通过NMAP扫描达到收集设备信息的目的。
(6)交换机配置:为达到数据采集的目的,需对站内的交换机管理IP、SNMP、SNMP Trap、SYSLOG进行相关配置。
(7)主机设备配置:配合数据采集,还需在主机设备安装配置SNMP、SYSLOG、Agent。主要包含监控后台机、工作站和三区的办公电脑等。
(8)站内设备接入:将站内的网络设备全部接入兆和数据采集装置,接入设备以交换机为核心。
(9)主厂站调试:接入站内设备后,通过采集装置将数据上送至主站态势感知平台,确保上送数据及采集功能的准确性,完整性。
四、总体特点与主要风险
(一)网络安全态势感知装置的标准
本次工程依据《南方电网电力监控系统网络安全态势感知厂站装置技术规范》,具体检测方法参见各厂家调试手册。
(二)主站系统与厂站装置
态势感知主站系统指部署在各个调控中心(监控、检修中心),具备网络安全数据采集、安全监视、安全审计、预测分析等功能的系统。厂站装置是指部署在厂站电力监控系统局域网网络内部,对厂站电力监控系统网络安全数据进行采集、分析处理并与主站系统通信的装置。电力监控系统网络安全态势感知主站系统、厂站装置在生产控制大区的态势感知数据信息通过调度数据网非实时VPN 进行交互;主站系统、厂站装置在管理信息大区的态势感知数据信息通过综合数据网进行交互。
500kV和平变电站态势感知系统部署主要特点如下:(1)需提前规划提交项目部署实施所需的IP、端口及网络资源;(2)工作中涉及配置交换机、主机设备及二次安防设备,需要进行相应的风险评估,做好数据备份工作、数据封锁工作;(3)工作中设计设备上架、取电及综合布线,需要进行相应的风险评估,做好安全防范工作;(4)部署接入完成后需与中调主站平台核对数据与功能无误,经其确认数据与功能无误后方可结束工作。
同时,本次工程的主要风险有以下几点:(1)在设备上架、取电及综合布线时走错机房,动错设备;(2)在进行主子站通信配置时二次安防设备增加配置影响现有策略;(3)在设备安装时上电及线缆敷设影响现有设备的正常运行;(4)被监视的设备开启协议与配置时导致交换机故障、重启;主机设备安装Agent时导致主机故障、重启;主机开启Agent时导致主机设备性能下降,导致服务器运行缓慢或者宕机;(5)监视站内设备时网络安全监测厂站终端调试过程中存在异常网络行为,影响到站内其它设备;网络安全监测厂站终端数据采集过于频繁导致被监视设备变慢或宕机;(6)I区主子站通信通道调试时误配置终端IP引起地址冲突,导致运行业务通道中断;
五、結束语
为满足电力监控系统安全防护的需求,通过部署电力监控系统网络安全厂站监测装置,实现变电站网络安全数据接入、分析,达到变电站网络安全风险可发现、可控制、可溯源的目的。这样能显著提升电力监控系统的网络安全水平,及时感知和防止不法分子通过电网控制系统影响电网安全运行,降低网络安全事故事件的发生概率,不断提升用户对电网企业的信心,树立企业良好形象。
(作者单位:楚雄供电局)
关键词:网络安全;态势感知;500kV变电站;二次安防
一、引言
变电站作为国家关键信息基础设施,面临的网络安全形势日趋严峻,一旦遭受网络安全攻击将可能导致大面积停电事件,严重威胁企业和国家安全。建立网络安全态势感知系统,对电力监控系统进行全方位、全天候的网络安全态势感知,及时发现各类网络安全风险和非法访问,实现网络安全的态势感知及预警,成为电力监控系统二次安防的迫切需求。
二、系统结构
500kV和平变电站监控后台系统是楚雄供电局重要的电力监控系统,其上承载了自动化、保信、计量等多套业务。目前,该变电站的网络安全风险主要依靠传统的等级保护测评以及风险评估来发现问题。因此,整个系统的网络安全风险监视、管理主要依靠人工日常运维,缺乏自动化的风险发现和监控措施。
通过在500kV和平变电站安全I区和Ⅲ区边界,分别部署一套网络安全监测终端,实现对变电站各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析。具体实施内容包括:
(1)在500kV和平变站控层A/B网、控制区(安全区I)和生产管理区(安全区III)部署厂站安全监控终端,实现站控层A/B网、生产控制大区以及生产管理区的网络安全数据采集以及风险在线识别。
(2)选择典型的主机设备、网络设备以及安全设备进行数据采集以及接入,数据采集方式包括Agent、SNMP、SNMP trap、syslog以及流量镜像等方式。
(3)修改I区加密装置,Ⅱ区纵向防火墙、I/II区横向防火墙、I、II区互联交换机、III区互联交换机的ACL安全策略,实现站内及主子站之间系统数据的互联互通。
变电站加装感知装置后的网络拓扑图如下:
三、具体实施与应用
500kV和平变态势感知系统施工及接入工程涉及内容如下:
(1)现场勘察:进入变电站进行现场勘察,工作内容主要包含勘察设备上架、取电及综合布线情况;勘察现场设备的型号及实际业务情况;对前期资产台账收集及网络拓扑图进行校验核对。
(2)厂站采集装置上架:和平变电站采集装置为广州兆和电力技术有限公司(简称兆和)厂家装置,有两台装置分别部署于I、III大区,每台设备需要2U的安装位置,设备采用220V交流双电源。
(3)网络综合布线:和平变电站采集装置分为I区采集与III区采集装置。I区采集装置需要与站控层交换机、调度数据网I、II区实时与非实时交换机和保信C网和故障录波交换机进行网络连接;III区装置需要与综合数据网交换机、进行网络互联。
(4)厂站采集装置调试:对厂站采集装置与主站的通信进行调试,确保厂站装置与主站的通信正常。
(5)NMAP扫描:完善对变电站的资产详情统计,可通过NMAP扫描达到收集设备信息的目的。
(6)交换机配置:为达到数据采集的目的,需对站内的交换机管理IP、SNMP、SNMP Trap、SYSLOG进行相关配置。
(7)主机设备配置:配合数据采集,还需在主机设备安装配置SNMP、SYSLOG、Agent。主要包含监控后台机、工作站和三区的办公电脑等。
(8)站内设备接入:将站内的网络设备全部接入兆和数据采集装置,接入设备以交换机为核心。
(9)主厂站调试:接入站内设备后,通过采集装置将数据上送至主站态势感知平台,确保上送数据及采集功能的准确性,完整性。
四、总体特点与主要风险
(一)网络安全态势感知装置的标准
本次工程依据《南方电网电力监控系统网络安全态势感知厂站装置技术规范》,具体检测方法参见各厂家调试手册。
(二)主站系统与厂站装置
态势感知主站系统指部署在各个调控中心(监控、检修中心),具备网络安全数据采集、安全监视、安全审计、预测分析等功能的系统。厂站装置是指部署在厂站电力监控系统局域网网络内部,对厂站电力监控系统网络安全数据进行采集、分析处理并与主站系统通信的装置。电力监控系统网络安全态势感知主站系统、厂站装置在生产控制大区的态势感知数据信息通过调度数据网非实时VPN 进行交互;主站系统、厂站装置在管理信息大区的态势感知数据信息通过综合数据网进行交互。
500kV和平变电站态势感知系统部署主要特点如下:(1)需提前规划提交项目部署实施所需的IP、端口及网络资源;(2)工作中涉及配置交换机、主机设备及二次安防设备,需要进行相应的风险评估,做好数据备份工作、数据封锁工作;(3)工作中设计设备上架、取电及综合布线,需要进行相应的风险评估,做好安全防范工作;(4)部署接入完成后需与中调主站平台核对数据与功能无误,经其确认数据与功能无误后方可结束工作。
同时,本次工程的主要风险有以下几点:(1)在设备上架、取电及综合布线时走错机房,动错设备;(2)在进行主子站通信配置时二次安防设备增加配置影响现有策略;(3)在设备安装时上电及线缆敷设影响现有设备的正常运行;(4)被监视的设备开启协议与配置时导致交换机故障、重启;主机设备安装Agent时导致主机故障、重启;主机开启Agent时导致主机设备性能下降,导致服务器运行缓慢或者宕机;(5)监视站内设备时网络安全监测厂站终端调试过程中存在异常网络行为,影响到站内其它设备;网络安全监测厂站终端数据采集过于频繁导致被监视设备变慢或宕机;(6)I区主子站通信通道调试时误配置终端IP引起地址冲突,导致运行业务通道中断;
五、結束语
为满足电力监控系统安全防护的需求,通过部署电力监控系统网络安全厂站监测装置,实现变电站网络安全数据接入、分析,达到变电站网络安全风险可发现、可控制、可溯源的目的。这样能显著提升电力监控系统的网络安全水平,及时感知和防止不法分子通过电网控制系统影响电网安全运行,降低网络安全事故事件的发生概率,不断提升用户对电网企业的信心,树立企业良好形象。
(作者单位:楚雄供电局)