电力调度内网安全监控平台建设分析与研究.docVIP

电力调度内网安全监控平台建设分析与研究 　　[摘 要]本文通过系统构架、功能与实现方法、主要技术特点、项目实施及运行情况等方面详细分析研究了电力调度内网安全监控平台的搭建。 　　[关键词]电力调度内网；安全平台建设；运行 　　中图分类号：TM73 文献标识码：A 文章编号：1009-914X（2015）09-0336-01 　　为促使电力调度内网能安全运行，近年来，省调度中心（以下简称省调 ）及各地市调度中心（以下简称地调 ）、在国网调度（以下简称国调）中心的支持下，将大量安全防护设备和系统大量部署过来，如防火墙、入侵检测系统、防病毒系统等，在较大程度上提升了二次系统安全防护水平，积极开展电力调度内网安全监控平台的建设工作。 　　一、系统构架 　　1.1 分级部署 　　按照“统一部署、分级管理”原则，下级监控平台需主动向上级监控平台报送告警信息，从而实现上下级调度中心安全监控平台的级联通信。由于地市调度中心的规模大小不同，所以配置有所不同。 　　1.2 广域网与局域网 　　广域网安全监控范围包括电力专用安全设备和通用安全设备。广域网安全监视模块负责监视二次系统安全设备，通过日志采集模块实时采集网络中存在的异常访问、非法外联等重要告警信息；局域网安全监视模块负责监视智能调度技术支持系统内部主机的安全状态，当系统内部主机发生异常或非法外联时，向内网安全监控平台发出告警。 　　1.3 平台功能3层架构 　　平台软件功能按照3层架构划分，即采集层、处理层和展现层。采集层主要负责采集不同类型设备的日志事件信息；处理层对原始日志信息进行相应的处理，包括事件归并、过滤、格式转换和标准化；展现层则提供告警、设备和统计信息的实时展示。 　　二、功能与实现方法 　　2.1 数据采集和发送 　　数据采集功能模块实现对横向物理隔离装置、纵向加密认证装置、防火墙、入侵监测系统、防病毒系统以及调度技术支持系统内部关键设备和应用的数据采集。 　　电力系统专用安全设备使用Syslog方式直接采集；通用安全设备通过代理将日志转换为电力系统标准格式后进行采集；调度技术支持系统内部的关键设备和应用通过代理将日志转换为标准格式并发送至安全监控平台。 　　2.2 数据处理和分析 　　（1）数据标准化处理 　　安全监控平台的基础功能。采集端接收到原始日志数据后，首先经过协议识别，分流到各自的内容识别模块。在内容识别模块，经过内容模式匹配引擎，将数据分流到不同类型的数据分析模块中，进行关键字提取、内容筛选填充处理。 　　对于采集到的数据，根据安全监控平台设置的规则进行过滤，只保留监视范围内的、必要的、有效的数据，确保安全监控平台不保存过多冗余数据。 　　（2）数据关联分析 　　安全监控平台支持事件类型关联、事件内容关联、资产信息关联，能够通过特定算法从大量安全事件数据中挖掘当前的安全趋势和规律。 　　2.3 数据展现界面 　　界面展现功能以图形化方式对采集的监视设备数据进行分析、查询以及图表展示，并对分析结果进行报表输出以及报表管理。 　　（1）指标分析 　　指标分析模块实现以下功能：设备数量统计分布饼图，可以看到每类设备所占的比例；各厂商安全设备统计柱状图；最近一周内平台设备在线运行率；紧急、重要告警量分布饼图；最近一周内平台安全指数对比柱状图；最近一周内平台告警数量统计曲线； 地调地域横向对比柱状图；按照地域信息统计指定安全事件列表。 　　（2）装置管理 　　装置管理主要提供对加密装置的管理和查询功能，可以远程管理加密装置，为加密装置配置隧道和策略，并在页面上实时查看加密装置的链路情况，实现实时画面、实时监视和实时信息的即时刷新显示。 　　三、主要技术特点 　　3.1实现省地一体化运维 　　为满足二次系统安全防护的要求，充分发挥省、地两级专业人员的作用，平台采取省、地协同的建设方案，统一规划，两级部署。省调的安全I区和Ⅱ区分别部署日志采集服务器，不仅负责采集省调的安全设备日志，还负责汇集地调的安全设备日志；地调的安全I区和Ⅱ区也分别部署日志采集服务器，除负责采集地调的安全设备日志外，还负责将采集来的信息级联到省调，实现省地两级分布部署。通过系统平台提供的用户权限管理功能，实现系统管理责任区的有效划分。 　　3.2 内建预案管理知识库 　　为保证正确、迅速处理异常情况，内网安全监控平台中建立了预案处理知识库，异常处理预案按照设备类型、告警类型、告警子类型、异常特征、处理方法等关键字段进行分类，方便专业人员检索。新型异常出现以后，专业人员对异常处理进行总结分析，记录处理过程及处理方法，按照异常处理预案的关键要素编制描述文档，录入知识库。 　　3.3 更友好的可视化界面 　　系统提供的展示画面构图充分考虑