电力二次系统内网安全监视平台的设计与实现.docVIP

精品论文 参考文献 电力二次系统内网安全监视平台的设计与实现 戴良珍 （广西 南宁 530022） 摘 要：安全监视平台分为广域网和局域网安全监视两部分，前者是通过二次系统安全设备日志的集中采集，实现对安全设备运行的状况实时监控及对安全事件的实时告警和分析；后者是通过对调度技术支持系统关键设备和应用日志的集中采集，实现对系统安全运行情况的实时监控。本文针对电力二次系统安全防护体系缺乏集中管控和统计分析的现状，提出了电力二次系统内网安全监视平台设计和实施方案。 关键词：二次系统；内网安全；安全防护；智能电网 电力二次系统是指由各级电力监控系统和调度数据网络（SPDnet）及各级管理信息系统和电力数据通信网络（SPTnet）构成的大系统。随着计算机网络技术的广泛应用，电力生产自动化水平日益提高，远程控制的大量运用，对电力二次系统的安全性和可靠性提出了更高的要求。本文提出了一种电网安全监视平台的设计与实施方案。 1 平台的总体构造设计 电网安全监视平台的总体构造如下图1所示，分为广域网和局域网安全监视两个部分。 1.1 广域网的安全监控。监控电力二次系统的安全设备，通过日志的采集模块采集在网络中存在的异常访问、非法外联等重要的告警信息，并调度数据网实现下级调度中心的日志采集模块和上级的调度中心安全监视平台的级联通信，日志的采集模块是根据制定策略向安全监视平台报送重要的告警信息。 1.2 局域网的安全监控。监控调度技术支持系统的安全状态，通过同操作系统的接口，实时获取调度技术支持系统的运行状态，在系统发生异常、非法操作或是外联时，根据预先设定的规则，将告警信息上报到安全监视平台，以供用户实行全局的统计分析与综合运用。 2 平台的功能设计 电网平台设计如图2所示，从功能结构上看，安全监视平台可分为数据采集层、数据处理分析层和数据展现层。 2.1 数据采集。数据采集层实现对电力二次系统安全设备、调度技术支持系统关键设备和应用的日志采集。分为广域网和局域网日志采集两部分。 （1）广域网的日志采集。广域网的日志采集模块可以部署在各级调度机构和厂站端，通过syslog方式采集电力专用安全设备的运行日志以及告警信息。广域网日志采集模块接收到的大量安全事件不是全都要关注，因此，需要对安全等级较低的时间实行分布式的过滤，对重复的事件星星压缩归并。再将处理后的信息发至安全监视平台，进行集中分析与展示。（2）局域网的日志采集。局域网的日志采集模块是用简单的网络管理协议（SNMP）Trap方式采集调度技术支持系统的应用日志，监视系统关键设备和应用：监控系统主机的外接设备情况，根据配置文件，有不符合安全策略的外接设备接入、出现非法外联、出现非法进程、进程异常或是非法退出时向监视平台发送告警信息。 2.2 数据的处理与分析。（1）事件的过滤。对于各种采集的数据，安全监视平台根据事先设置好的规则进行过滤，只保留必要的、有效的数据，确保平台数据库不存在多余的数据。（2）事件的分析。安全监视平台配置了事件关联分析引擎，分为数据库和流数据两种关联分析引擎。通过关联分析引擎，对异常事件和行为进行分析处理。（3）数据的展现。安全监视平台基于Web，用图形化的方式对采集的数据和分析结果加以展示，实现设备管理、实时监控、事件检索、统计分析、报表管理、系统配置和IP地址扫描等功能。 图3 电力二次系统安全防护总体方案的框架结构 3 电力二次系统安全防护的总体方案 3.1 总则。电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。 3.2 安全防护方案。（1）安全分区。原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区（又称安全区Ⅰ）和非控制区（又称安全区Ⅱ）。a.控制区（安全区Ⅰ）。控制区中的业务系统或功能模块（或子系统）的典型特征为；是电力生产的重要环节，直接实现对电力一次系统的实时监控，纵向使用电力调度数据网络或专用通道，是安全防护的重点与核心。b.非控制区（安全区Ⅱ）。非控制区中的业务系统或其功能模块的典型特征为：是电力生产的必要环节，在线运行但不具备控制功能，使用电力调度数据网络，与控制区中的业务系统或功能模块联系紧密。（2）网络专用。电力调度数据网是为生产控制大区服务的专用数据网络，承载电力实时控制、在线生产交易等业务。安全区的外部边界网络之间的安全防护隔离强度应该和所连接的安全区之间的安全防护隔离强度相匹配。电力调度数据网应当在专用通道上使用独立的网络设备组网，采用基于SDH/PDH