网络安全 - 413 - 电力监控系统网络安全态势感知系统的 设计与运用 华能澜沧江水电股份有限公司糯扎渡水电厂，李畇邑、马云华、陈金德、刘乙人、刘德宇 摘 要：针对当前日益严峻的网络安全形势，国务院依据《中华人民共和国网络安全法》制定了《关键信息基础设 施安全保护条例》以维护关键信息基础设施安全和国家网络安全，而电力监控系统作为我国的关键信息基础设施，如果 遭遇网络攻击将可能导致系统被严重损毁、丢失重要功能、资料信息或者数据外泄，甚至引发大规模停电事故，从而严 重威胁电网和国家安全。根据中国南方电网要求，各级发电厂/变电站的电力监控系统网络内部应部署网络安全态势感知 采集装置，实现网络安全数据采集、分析及上送，以及时感知网络安全事件、防范网络安全事故。本文以某水电厂为例， 简要介绍了电力监控系统网络安全态势感知系统的设计和运用。 关键词：电力监控系统；态势感知系统；网络安全；数据采集；数据分析 目前的电力监控系统安全防护工作存在以下问 题：过度依靠人工手段，技术核查效率低下；安全 运行数据标准化程度较低，难以进行大数据分析整 理；对于跨区互连、网络非法连接、移动介质违规 接入等典型网络安全问题，缺乏自动发现和控制的 技术手段；目前的运行监管体系并无法完全针对安 全状况实施监控和准确分析预警，和全天候全方位 网络安全态势感知的目标有着很大差异。为此，需 建设电力监控系统网络安全态势感知体系，对电力 监控系统网络安全实施全方位、全天候的监控，以 及时发现各种安全风险和非法访问事件，实现对电 力监控系统网络安全的态势感知和预警。 1、系统组网方案设计 （1）在电厂电力监控系统中装设 1 台网络安全 态势感知子站，旁路部署在 I 区。 （2）网络安全态势感知采集装置通过 SNMP、 SNMP trap、Syslog 等技术，在 I 区获取纵向加密装 置、横向防火墙、互联交换机、站控层、工作站交 换机的信息采集。 （3）在横向防火墙使用 NAT 技术将 I 区厂站装 置 IP 映射成 II 区 IP，然后通过 SNMP、SNMP trap、 Syslog 等技术，实现 II 区的纵向加密装置、工作站 的信息采集。 （4）网络安全态势感知子站具备以太网接口和 流量获取端口，在交换机上对网络流量进行镜像， 将流量镜像接入网络安全态势感知子站。部署于安 全 I 区的子站装置分别接入监控系统站控层 A/B 网 核心交换机、南网调度数据网 I/II 区互联接入交换 机， 实现设备配置/日志信息以及设备流量信息的获取。 （5）I 区网络安全态势感知子站采集到的数据 通过 II 区 B 平面调度数据网向南网 II 区 B 平面的 主站平台服务器上送数据。 （6）安装部署Ⅰ区态势感知运维后台，便于在 运维后台查看Ⅰ区态势感知系统的数据。 2、网络拓扑示意图 见图 1，图见下页。