电力二次系统运行维护监管中心系统_第1页
电力二次系统运行维护监管中心系统_第2页
电力二次系统运行维护监管中心系统_第3页
电力二次系统运行维护监管中心系统_第4页
电力二次系统运行维护监管中心系统_第5页
已阅读5页,还剩6页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

、目的和意义近年来,随着电力调度通信网络与计算机信息技术的迅速发展、电力二次系统安全防护体系的建立、智能变电站的逐步推进实施,现场对于电力系统厂站端系统的运维管理提出了更高的要求,调度中心自动化专业管理人员面临的挑战越来越高,面对的问题也更加复杂。如何采用技术手段对站端系统运行状态进行采集并与调度中心主站交互的需求已日益迫切,针对电网二次系统的运维信息,应当建立一套具备“集中监管与告警分析”功能的电力二次运行维护监管中心,加强对站端系统设备的监管,及时发现设备运行的潜在风险,降低业务系统的故障率,提升站端设备运行的可靠率,从而提高电力系统站端运维的管理水平。二次系统运行维护信息安全监测装置是针对变电站或发电厂等站端的系统设备状态监管而设计。装置采用适合站端运行环境的高可靠工业级硬件,结合网络监测、网络报文记录分析、电力二次安防以及网络安全管理等技术,对站端的交换机、防火墙、主机、二次安防设备以及变电站自动化系统等的运行状态、配置和告警信息进行采集,对站控层交换机和调度数据网交换机进行报文记录分析处理,建立站端网络拓扑模型,并采用电力系统标准通信规约与运维管理平台进行数据交互,为主站提供站端数据来源并执行主站下发的监测操作。二、远动运行维护的安全现状当前电力远动系统的运行维护主要存在如下问题:1、 站端设备复杂站端分布着如综合自动化系统、远动通信系统以及调度数据交换机、站控层交换机、防火墙、二次安防设备等运行信息复杂多样的系统或设备。2、 监测数据海量采集的性能、运行及安全数据等信息数量大,当系统遭遇到入侵攻击、出现缺陷或故障的时候,难以在海量数据中发现潜在风险或故障原因。3、 不能深入分析协议通用IT系统的运维信息安全监测系统提供的分析协议如HTTP、DNS、SMTP、POP3等在工控环境中很少应用,而应用较多的工控协议反而不能深入分析。4、 事件缺乏关联站端存在着不同业务系统的信息孤岛,单从一个系统去了解事件信息,缺乏对变电站多个系统进行统一关联分析,从而难以实现总体风险管理。4、现场无法重现站端遭受入侵或人为操作失误,导致二次装置故障、遥测跳变、遥控失败、遥信异常等情况后,由于远动采集涉及环节较多,站端现场缺乏网络数据的完整历史记录,通信状况无法重现,从而使事故原

因难以分析及查找定位。三、远动运行维护信息安全监测的必要性当前电力远动系统的运行维护主要存在如下问题:1、当前变电站安全防护的现状当前站端电力二次系统实现了业务系统安全分区,在安全区I与调度数据网的边界部署纵向加密认证装置,实现对重要信息传输的机密性、完整性保护;在安全区I与安全区II之间设置防火墙实现逻辑隔离;在生产控制大区与管理信息大区之间设置横向隔离装置,实现大区之间的强隔离;部署如下图:[ 上级调度控制中心"T一,f: ,T〔纵骨加密) [纵向:加暨〕 (防冬墙di ■■■■■■■■■■■■ 1 U 隔离装置——\_隔离装置——\_-ro 生产管理大区以上防护体系大大加强了站端电力二次系统的边界安全强度,为电力系统安全稳定运行建立了重要技术支撑。2、部署站端运维信息安全监测系统的必要性随着计算机与网络技术的高速发展,基于策略的网络边界静态安全防护仍然存在一定的不足,主要体现如下:系统以策略允许为条件判断是否放行数据报文,这种工作模式不能发现隐藏在正常数据报文中的黑客攻击意图,例如边界防护设备仅对数据包头进行分析并依据策略进行判断,而不对数据包的数据通信规约进行深层次的分析,对规则中允许的端口和服务一直视为正常的用户,一旦黑客程序潜入到调度中心主站,其完全可以通过授权策略通道发送遥控命令操作站端设备,带来重大的安全风险。对于不通过网络边界的数据包(内部的相互访问数据或者是通过其他手段绕过边界的数据),边界防护体系也不能对其进行检测。例如2010年9月伊朗核电站的“震网”病毒,就是采用盘为载体来潜入已物理隔离的网络,并通过正常策略通道对西门子PLC进行程序升级而攻击工控系统。边界防护策略对于工控系统内部用户的误用行为难以检测,一旦不良员工从内部进行网络攻击将会带来巨大的损失。在站端遭到黑客攻击后,因为没有保留攻击时刻的网络数据报文,所以事后无法把简单的日志作为监查日志,而运维信息安全监测系统把数据包内容完整的作为日志保留,有利于事后的审计。因此,运维信息安全监测系统作为站端网络安全体系的第二道防线,对在边界防护设备阻断攻击失败时,最大限度地减少相应的损失。也可以与边界防护设备等安全产品进行联动,实现动态的安全防护。四、项目研究内容和技术关键研究开发主要内容站端运维信息安全监测系统其功能主要包含网络拓扑发现、设备状态监测与告警信息采集、网络数据采集、网络运维信息安全监测分析处理、数据转发通信、数据存储、时间同步及系统配置等模块,说明如下:网络报文数据捕获对站控层与数据网的交换机镜像端口的网络数据进行完整记录。网络拓扑发现通过交换机获得物理联接关系、结合变电站SCL文件及系统配置数据生成站端网络拓扑模型。设备状态监测与告警信息采集采集站端二次设备通信状态、性能状态及告警事件数据。运维信息安全监测分析处理对总体网络数据进行运维信息安全监测分析,并根据设定策略向调度控制中心发出告警,或与边界防护设备进行联动以抵制入侵攻击。转发通信与EMS主站采用IEC61850-MMS服务接口进行数据交互。数据存储对网络数据、日志与告警、运维信息安全监测分析结果等分类保存。

时间同步模块采用由硬件接收的变电站统一时钟信号作为装置网络数据与事件记录加盖时间戳。系统配置模块对装置本身参数配置以及虚拟IED模型进行管理与维护。系统功能架构示意图如下:装,维护酋理IEC句85。*$接口IEE)模型配置时钟同出倍会入便检测分折处理拓环模星设备状态告瞥事件数据•存哺SNMPJCMPSNMPTrap信息展即模块装,维护酋理IEC句85。*$接口IEE)模型配置时钟同出倍会入便检测分折处理拓环模星设备状态告瞥事件数据•存哺SNMPJCMPSNMPTrap信息展即模块SvsIcgiLogfilff综自系统/主机/交换机/防火墙/安防设备 站控层/数据网交换机2.项目的技术关键运维信息安全监测系统IDS(IntrusionDetectionSystem)部署在网络的安全关键点,实时收集各种信息,通过专家系统和入侵分析引擎进行分析、发现、报警或阻断潜在的攻击行为。系统分为基于网络的运维信息安全监测系统(NIDS)和基于主机的运维信息安全监测系统(HIDS),“HRIDS-5000”是一款基于网络的运维信息安全监测系统,它通过实时捕获、分析站端网络的关键数据报文,发现其中的攻击企图,根据响应方式通知调度控制中心、记录事件过程或采取保护措施。目前运维信息安全监测分析主要有模式匹配、异常检测、协议分析、网络审计等技术。模式匹配模式匹配就是将收集到的信息与已知的攻击特征和系统误用模式数据库进行比较,来发现违背安全策略的入侵行为。该方法只需收集相关的数据集合就能进行判断,能减少系统的数据采集占用,并且技术已相当成熟,检测准确率很高,不足之处是需要不断进行升级以对付新的攻击手段。异常检测异常检测首先给通信对象创建一个统计模型,包括统计正常使用时的带宽流量、联接方向、访问次数、操作失败次数和延时等,构造一个通信模型。当观察值在正常值范围之外时,就会判断有入侵发生。该技术的优点是可以检测到未知入侵,缺点存在误报、漏报等情况。协议分析协议分析采用高速数据包捕捉、协议分析和命令解析等技术,来快速检测某个攻击特征是否存在。针对工业控制系统使用通信协议的特点,NIDS能够理解典型工控协议的原理,由此分析相关协议的数据包,来寻找可疑的或违反授权的行为。协议分析具有寻找任何偏离标准或期望值行为的能力,因此能够检测到已知和未知攻击方法。网络审计网络审计即对网络中所有的连接事件进行记录,再结合已经记录完整的网络历史数据,可以让专业人员再现网络被攻击时的真正运行状况。这种方法不仅能发现孤立的攻击事件,还可以分析整个攻击过程,了解攻击确实发生与否以及攻击造成的危害,这种方法对发现内部用户的恶意行为也同样有效。五、项目创新点(技术路线)与实施方案1.项目创新点(技术路线)本项目采取理论分析、试验研究与产品开发相结合的方式,具体项目的创新点是:高效的网络数据采集装置采用高性能工业级FPGA芯片,网络报文由FPGA硬件处理经PCIE接口以DMA技术直接存放到内存数据空间,降低CPU的负荷率,简化了数据处理流程,大大加快了网络报文的处理速度。深度的运维信息安全监测能力针对工控系统常用的IEC-60870-5104、IEC-61850、DNP3.0、MODBUS-TCP等通信协议的行为进行细粒度检测,支持检测分析数据报文中的遥控、遥调及修改配置等命名是否违反策略授权,具备对潜伏于正常通道的入侵攻击进行深度检测的能力。(3)支持IEC61850数据转发通过IED配置程序,采用MMS服务模型,使运维信息安全监测装置虚拟为一个完全遵循IEC61850标准的IED;遵循电力系统未来远动数据传输模式,采用IEC61850-MMS通信标准,实现调度中心EMS主站与运维信息安全监测装置之间进行信息交互;支持智能变电站运行状态监视支持对二次回路异常告警,对错误信号、信号丢失以及信号异常等进行告警,并能同时显示异常点等相关信息;支持对MMS、GOOSE中协议映射网络报文与SCD全站配置文件不一致等关联分析与告警记录;支持变电站时间同步时钟接入支持接收变电站统一时钟信号接入,对时信号类型包含IRIG-B(DC)(对时精度1ms);装置采集的系统事件均包含上述时钟信号的精确时间戳,以便EMS主站对站端数据进行全网时标统一分析;支持站端网络管理信息采集支持Unix、Linux、Windows等主机及常用的路由器、交换机、防火墙等网络设备的运行数据采集;采集模式可支持SNMP、ICMP、SSH、TELNET.SYSLOG等协议及Agent代理;项目技术实施方案运维信息安全监测作为一种积极的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前检测并响应。运维信息安全监测系统是参照电力二次系统安全防护的相关要求与运维信息安全监测系统的技术规范,针对变电站或发电厂等站端的系统设备安全防护而设计。装置采用适合工业控制运行环境的高可靠性硬件,结合网络监测、网络报文记录分析、电力二次安防以及网络运维信息安全监测等技术,对站端的交换机、防火墙、主机、二次安防设备以及变电站自动化系统等的运行状态、配置和告警信息进行采集,对站控层交换机和调度数据网交换机进行报文记录分析,建立站端网络拓扑模型,并形成运维信息安全监测分析结果之后采用IEC61850规约与调度中心EMS系统进行数据交互,为主站提供准确可靠的运维信息安全监测告警与分析数据。随着我国电力系统自动化与通信技术的高速发展,SCADA/EMS系统已建立了包括数据采集、远动通信、实时数据库、历史

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论