电力监控系统网络安全管理平台设计与实现

孟庆东，李满坡，安天瑜，李 丹，郝梦凝，包 鹏，陈志奎

（1. 国家电网公司东北分部，辽宁 沈阳 110180；2. 国家电网通辽供电公司，内蒙古 通辽 028000；3. 北京科东电力控制系统有限责任公司，北京 100192；4. 大连理工大学 软件学院，辽宁 大连 116620）

信息时代是信息处理、通信传输、网络安全与工业生产相结合的产物，其快速发展促进了传统行业的变化与革新。作为传统行业的代表，电力系统的建设是国家发展和人民生活的重要基础，随着经济腾飞和电网建设的进一步发展，电力生产的信息化水平日益提高。基于“统一规划设计、统一技术体制、统一路由策略、统一组织实施”原则的国家电力调度数据网，包括厂站远动装置的“遥信、遥测、遥控、遥调、遥视”、继电保护测控单元、发电厂机组数据等各种生产信息的处理和传输，使得电力生产系统越来越精密与复杂。为了保障其中的网络安全，维护国家、社会和企业的合法利益，国家与行业颁布执行相关法律、法规，不断完善网络安全战略，保障电力系统网络安全的防护能力[1]。

近年来，电力监控系统网络安全事件屡发。例如，2015年，乌克兰的电力部门遭受了恶意的网络攻击，攻击者获得了电力监控系统控制能力后，远程下达开关指令断电，覆盖 MBR和部分扇区，致使设备数据损失、重启后不能自举，拖延事故处理进程，导致大规模停电。同一时间，乌克兰境内其他多家能源企业如煤炭、石油公司也遭到了有针对性的网络攻击。面对日益严峻的形势，如何提高网络安全防范能力是摆在电力监控系统面前的一道难题[2-3]。

电力监控系统是指利用计算机和网络等信息技术，监视和控制电力生产整个流程。具体实现包括电力数据采集系统，实时在线监控系统，能量管理系统，配电、变电站等自动化系统，微机继电保护和安全自动装配系统，电能量计量系统，在线电力市场的辅助管控系统，以及电力调度系统等。加强电力监控系统管理的安全性，防范互联网恶意攻击，国家发改委根据相关法律、法规，制定了电力监控系统安全防护规定，确定了“安全划分、网络专用、横向隔离、纵向认证”的总体原则，并将发电企业、电网企业内部网络及业务系统划分为生产控制和管理信息两大区，从而逐渐形成电力监控系统安全防护体系。本文基于此建立了一套电力监控系统网络安全管理平台[4-6]。

1 相关工作

随着电力监控系统安全防护工作的逐渐推进，各发电企业、电网企业采用了大量的安全防护设施，在横向传输中部署隔离装置来隔离生产控制与管理信息，在纵向传输中部署纵向加密认证装置来认证主站与厂站之间交互的信息。电力监控系统内所有的安全防护装置接入到内网安全监视平台中，同时在内网安全监视平台内增加了集中监控、统计分析、安全审计等功能，确保实时监视部署的安全设备的运行状况以及网络安全运行情况，达到对网络安全事件的实时警报、集中可视化和综合分析，同时为电力系统的安全评估提供有效的数据来源和分析方法，提升了电力系统的安全管理与防控能力[7-8]。现有的内网安全监视平台的通用架构如图1所示。

虽然现有电力监控系统大多依托内网安全监视平台，来建立基于栅格状网络的安全防护体系，但目前的内网安全监视平台仅仅是针对网络安全分区中的边界设备，以及纵向加密认证中的部分装备进行监控，只能做到对防护装备的在线及运行情况的监测，无法探测和感知安全分区内部的设备及系统的运行情况，这样就无法控制各个安全分区内部的病毒源与危险源，致使潜在的危险可能被遗漏从而导致安全事件的发生，所以需要进一步将网络安全感知和监测范围从网络边界扩展到更深层次、更广层面的服务器、工作站和网络设备等，实现网络安全防护体系从静态布防到动态管控的提升[9-12]。

图1 内网安全监视平台架构

综上，构建有效的网络安全主动防御体系能够探知到安全分区所有接入网络内部设备、系统的运行情况，从而更加精确地监测并定位安全风险，因此，建设并部署新一代电力监控系统网络安全管理平台成为解决现有问题的关键[13-14]。根据动态网络安全体系P2DR模型，新一代网络安全管理平台比上一代内网安全监视平台有相应提升（见表1）。

表1 新一代网络安全管理平台性能提升

通用的安全监测过程或产品一般依托于网络的信息流量和数据包的分析技术，完成对互联网中通用的数据协议和服务报文进行监测和分析，对于网络空间中信息交互的隔离、网络用户和设备间的相互关系、网络应用的可控、正常运行的无人操控等的电力监控系统而言，不是最好的解决方案，2种安全监测技术对比如表2所示。

为此，需研发适合电力监控系统、面向电力设备事件的专用网络安全监测技术。

表2 通用与专用网络安全监测技术对比

2 平台设计

电力监控系统具有网络私有和相对封闭、设备和使用人员相对稳定、使用内网或端口专有的内部服务、网络报文处理使用自主程序等特点，因此，用户或设备的使用方式超出规定的界限就可被确定为存在潜在的安全风险。电力监控系统运行在专有业务网络上，其业务种类专一、数据流量流向相对固定、业务系统架构同质、传输报文遵循电力系统规定的协议，电力监控设备均由电网企业或者发电集团管理。在技术和管理上具备了相应的基础，使得对网络安全监测实施可以从网络边界节点移动到网络中的交换机、路由器、服务器、主机、工作节点等具体设备，并通过探针程序从每一台网络中连接的设备和人员产生的事件和行为入手，尽可能早地发现并处置可能存在的网络中恶意攻击、程序篡改等各类安全隐患。因此，需要构建集成感知识别、采集归纳和管理控制3层逻辑结构的网络安全管理体系。

（1）网络设备自我感知。实现工作节点、服务节点、路由节点、交换节点、加密认证装置、正/反向隔离装置等设备自我安全计算和网络数据的安全感知及传输上报，并具体执行整个流程的安全性校验。

（2）监测设备的分布管理与数据采集。实现对控制装备、站点、配电设备和装置、负控设备和装置等整个监控系统中的所有相关设备在网络中的数据的采集和汇总，并且与监管平台进行交互和传输。

（3）管理平台集成管控。实现网络中数据和信息的在线实时监测、安全报警、安全数据分析、审查、核对、控制等相关功能和部件的集成。

其中采用的关键技术包括：

（1）基于面向网络装置和设备的安全事件自我感知原理、方法和技术。通过网络中各设备和装置的安全感知，直接、精准地发现存在的风险事件。

（2）基于网络中监测装置安全保障的采集、传输与汇总技术。通过在网络中布置安全监测设备或装置，实现设备采集区域的网络威胁数据的采集、分析与处理，同时把分析后的临时结果转送到上一层级网络安全信息汇总和管理平台。

（3）基于层级部署的管理平台设计及管控体系协同。实现网络安全在线监控、实时预警、精准分析、核对、审查、控制等平台功能的分布式管理。

基于上述技术特性，本文设计的电力系统网络安全管理平台的技术体系需要覆盖全国、各省和地级调控机构及厂站等各级调控网络安全管理平台，其中全国和各省调控平台主要包括安全信息采集、安全事件监测与报警、安全事件分析和审查核实等核心功能，各地级网络安全管理平台主要包括低级别安全信息采集、安全事件监测预报警和安全事件核实等基本功能。如图2所示。

图2 网络安全管理体系总体设计

图 2中变电站及电厂需要布置网络安全监测设备，主要实现对本地安全事件的采集获取、监听报警和安全核实等功能，并将重要报警事件上报到上级调度平台。各级管理平台之间、变电站及电厂装备管理平台之间通信传输构建于国家电网电力调度数据网的基础之上，并采用专用的电力调度 VPN进行数据交互，保证数据传输的可靠性与安全性。

在安全事件数据采集方面，本文平台采用面向设备的采集方法，改变原有基于网络中传播报文的分析挖掘方法，实现网络中安全事件监听的新方法。具体地，基于本地主机的操作系统及连接在网络中的设备和部件，实现网络设备的相关事件安全数据的在线实时采集；基于调控和转换数据网络的连接，构建各厂站监控系统和装置、电网整体调控系统、负载管控系统和配电服务系统等各平台系统间的网络安全事件的统一管控；在上述构建的基础上，综合实现网络安全事件的集中核实、监管、处理和审查的网络安全实践综合管理和控制功能，实现面向电力服务的综合体系架构和安全应用服务，保障整个平台的安全监管功能能够在电网广泛维度内的正确应用。综上可知，本文构建的网络安全管理平台的整体功能需要融合4类安全支撑模块和5类综合应用功能。4类安全支撑模块包括安全数据采集、模型设计管理、平台功能管理和应用集成服务，实现平台中基础安全数据的通信与分析处理、服务接入与注册请求等的基础平台功能；5类综合应用功能具体包括网络安全事件监测、安全报警和处理、安全审查和核实等，满足新型电力监控系统整体网络安全管控功能的要求，本文设计的平台功能整体架构如图3所示。

通过上述架构，实现以下功能要求：

图3 网络安全管理整体架构

（1）安全监测，从网络边缘的专用防护装置扩展到网络区域内所有服务器、工作站点、网络设备和其他基础装置等。

（2）对网络中的安全事件进行监测，从对边缘事件监测转变为对外部和内部的不安全行为的全面和整体覆盖。

（3）平台功能从简单的监控报警，全面提升为网络安全分析定位、溯源处理、审查核实和交互管理。

（4）网络综合安全管理模式，从“边缘监测、静态管控”升级到“全面综合监测、动态实时管理”。

其中网络中的整体安全服务响应是面向 SOA体系的一种功能模式，具体包括3种网络角色，即提供服务的用户、本地服务的使用用户和注册服务的用户中心；2个服务过程包括服务的封装过程和服务的代理过程，具体如图4所示。通过广域网上的服务交互及响应，可以实现不同级间的服务相互调用，同时能够实现调控机构对所辖变电站点和发电厂站的安全监控设备信息和警告的使用，满足新型一体化安全监管需求。

图4 基于SOA的服务总线结构

平台中的安全数据采集功能按照采集对象装置不同类型划分为4大类：主机设备信息采集、网络设备信息采集、数据库信息采集和安全设备信息采集。例如，主机设备采集由主机操作系统负责整体数据信息的收集，并通过消息总线进行数据发送和传输，网络平台通过消息总线得到主机采集信息并对其进行分析处理，采集的数据信息主要包括用户登录信息、设备运行信息、网络中的安全事件信息等。具体信息采集流程如图5所示。

图5 主机设备数据采集流程

3 平台实现与应用

本平台的实现采用分级部署和协同管理的整体设计原则，在各级调控机构布置网络安全分布式管理平台，并在各厂站布置网络安全监听装置，形成覆盖整个电力网的新型综合网络安全管理体系。

本文实现的新型网络安全管理平台自运行以来，在东北区域每月能够有效处理电力监控系统网络安全警告1万余条，并能对于主机和外部设备病毒入侵等紧急状况进行实时报警和及时处理。经过近2年的运行管理，现在东北区域电力监控系统的网络安全管理已经从安全事件处置转向主机加固、关闭无用网络服务和端口、网络设备参数严格配置、关闭应用程序无效行为、网络行为有序管理等常态化模式。

网络安全管理平台建设运行以来，收到了以下应用成效：

（1）扩充了对电力监控系统内业务主机、数据交换设备、网络安全设备、数据库运行、告警信息的监视与采集，实现了对监视对象安全事件的记录与关联分析，为全网协同防护提供数据基础。

（2）通过在电厂与变电站部署厂站监测装置，采集和管理厂站内的安全事件，弥补了对厂站内设备及系统安全管理手段的缺失。

（3）为日常运维提供接口，集中化监视与管理电力监控系统软、硬件运行状态，同时提供操作信息、报警信息等记录功能，为事后问题的解决与溯源提供了有效的数据追踪支撑。

（4）核查主机的安全配置和评估安全风险，便于发现自身安全漏洞，实现安全防护工作由被动防御向主动监管的转变。

（5）提供了丰富的管理手段：实现安全事件从发生到处理的全生命周期管理；实时掌握资产的运行状态；提供数据及拓扑调阅的功能，由被动接收变为主动监管；对威胁、脆弱性进行统一管理。

本文提出的网络安全管理平台自投运以来，月均处理网络安全报警3 000次左右，通过以运行指标为考核依据的运行管理，做到紧急告警即时处理，基本消除了最高级别的网络安全威胁，现已进入次级安全告警治理阶段。监视和管理纵向加密装置运行，纵密在线率≥99.0%，加密通信率≥98.0%，东北区域内电力监控系统网络安全水平稳步提高。

国家相关部门针对电网系统的大规模攻防演练，尝试从全国各地的电厂、变电站等节点向国家电网计算机网络发起渗透攻击。东北区域网络安全管理平台对安全设备、关键网络设备、重要服务器的运行日志进行集中数据采集和统一管理，实现了网络安全状态的实时告警与动态监测，采取了有效方法阻止和解决了网络中的恶意攻击，经受住了攻防演练的考验，未被渗透，实现了设计和使用功能。随着网络安全管理平台的部署和使用，本区域内电力监控系统还未发生任何一起因病毒和漏洞导致的电力监控系统故障事件。

4 结语

建设网络安全管理平台并有效运行是提高网络安全态势感知、预警及应急处置能力的基础技术手段，是电力监控系统网络安全体系的重中之重。相对于上一代的内网安全监视管理平台，本文构建了一套电力监控系统网络安全管理平台，实现了以可信计算技术为基础、安全可控为目标、安全免疫为特征的主动防御体系，并在实际应用中发挥了更有效的安全防护作用。