电力二次系统运行维护监管中心系统.docxVIP

一、目的和意义近年来，随着电力调度通信网络与计算机信息技术的迅速发展、电力二次系统安全防护体系的建立、智能变电站的逐步推进实施，现场对于电力系统厂站端系统的运维管理提出了更高的要求，调度中心自动化专业管理人员面临的挑战越来越高，面对的问题也更加复杂。如何采用技术手段对站端系统运行状态进行采集并与调度中心主站交互的需求已日益迫切，针对电网二次系统的运维信息，应当建立一套具备“集中监管与告警分析”功能的电力二次运行维护监管中心，加强对站端系统设备的监管，及时发现设备运行的潜在风险，降低业务系统的故障率，提升站端设备运行的可靠率，从而提高电力系统站端运维的管理水平。二次系统运行维护信息安全监测装置是针对变电站或发电厂等站端的系统设备状态监管而设计。装置采用适合站端运行环境的高可靠工业级硬件，结合网络监测、网络报文记录分析、电力二次安防以及网络安全管理等技术，对站端的交换机、防火墙、主机、二次安防设备以及变电站自动化系统等的运行状态、配置和告警信息进行采集，对站控层交换机和调度数据网交换机进行报文记录分析处理，建立站端网络拓扑模型，并采用电力系统标准通信规约与运维管理平台进行数据交互，为主站提供站端数据来源并执行主站下发的监测操作。二、远动运行维护的安全现状当前电力远动系统的运行维护主要存在如下问题：1、站端设备复杂站端分布着如综合自动化系统、远动通信系统以及调度数据交换机、站控层交换机、防火墙、二次安防设备等运行信息复杂多样的系统或设备。2、监测数据海量采集的性能、运行及安全数据等信息数量大，当系统遭遇到入侵攻击、出现缺陷或故障的时候，难以在海量数据中发现潜在风险或故障原因。3、不能深入分析协议通用IT系统的运维信息安全监测系统提供的分析协议如HTTP、DNS、SMTP、POP3等在工控环境中很少应用，而应用较多的工控协议反而不能深入分析。4、事件缺乏关联站端存在着不同业务系统的信息孤岛，单从一个系统去了解事件信息，缺乏对变电站多个系统进行统一关联分析，从而难以实现总体风险管理。4、现场无法重现站端遭受入侵或人为操作失误，导致二次装置故障、遥测跳变、遥控失败、遥信异常等情况后，由于远动采集涉及环节较多，站端现场缺乏网络数据的完整历史记录，通信状况无法重现，从而使事故原因难以分析及查找定位。三、远动运行维护信息安全监测的必要性当前电力远动系统的运行维护主要存在如下问题：1、当前变电站安全防护的现状当前站端电力二次系统实现了业务系统安全分区，在安全区I与调度数据网的边界部署纵向加密认证装置，实现对重要信息传输的机密性、完整性保护；在安全区I与安全区II之间设置防火墙实现逻辑隔离；在生产控制大区与管理信息大区之间设置横向隔离装置，实现大区之间的强隔离；部署如下图：以上防护体系大大加强了站端电力二次系统的边界安全强度，为电力系统安全稳定运行建立了重要技术支撑。2、部署站端运维信息安全监测系统的必要性随着计算机与网络技术的高速发展，基于策略的网络边界静态安全防护仍然存在一定的不足，主要体现如下：系统以策略允许为条件判断是否放行数据报文，这种工作模式不能发现隐藏在正常数据报文中的黑客攻击意图，例如边界防护设备仅对数据包头进行分析并依据策略进行判断，而不对数据包的数据通信规约进行深层次的分析，对规则中允许的端口和服务一直视为正常的用户，一旦黑客程序潜入到调度中心主站，其完全可以通过授权策略通道发送遥控命令操作站端设备，带来重大的安全风险。对于不通过网络边界的数据包（内部的相互访问数据或者是通过其他手段绕过边界的数据），边界防护体系也不能对其进行检测。例如2010年9月伊朗核电站的“震网”病毒，就是采用U盘为载体来潜入已物理隔离的网络，并通过正常策略通道对西门子PLC进行程序升级而攻击工控系统。边界防护策略对于工控系统内部用户的误用行为难以检测，一旦不良员工从内部进行网络攻击将会带来巨大的损失。在站端遭到黑客攻击后，因为没有保留攻击时刻的网络数据报文，所以事后无法把简单的日志作为监查日志，而运维信息安全监测系统把数据包内容完整的作为日志保留，有利于事后的审计。因此，运维信息安全监测系统作为站端网络安全体系的第二道防线，对在边界防护设备阻断攻击失败时，最大限度地减少相应的损失。也可以与边界防护设备等安全产品进行联动，实现动态的安全防护。四、项目研究内容和技术关键1. 研究开发主要内容站端运维信息安全监测系统其功能主要包含网络拓扑发现、设备状态监测与告警信息采集、网络数据采集、网络运维信息安全监测分析处理、数据转发通信、数据存储、时间同步及系统配置等模块，说明如下：网络报文数据捕获对站控层与数据网的交换机镜像端口的网络数据进行完整记录。网络拓扑发现通过交换机获得物理联接关系、结合变电站SCL文件及系统配置数据生成站端网络拓扑模型。设备状态监测与告警信息