EMS系統(tǒng)內(nèi)非法節(jié)點(diǎn)接入檢測技術(shù)的研究

雷霆 王智勇 程智 韓文芝 葉章文

【摘 要】 為適應(yīng)電網(wǎng)發(fā)展的需求，符合國網(wǎng)公司“集團(tuán)化運(yùn)作、集約化發(fā)展、精益化管理、標(biāo)準(zhǔn)化建設(shè)”的要求，防止信息泄露事件的頻頻發(fā)生和日益凸顯的網(wǎng)絡(luò)安全問題，提出了EMS系統(tǒng)內(nèi)的非法節(jié)點(diǎn)接入檢測技術(shù)的研究。通過對EMS系統(tǒng)內(nèi)非法節(jié)點(diǎn)接入檢測技術(shù)進(jìn)行研究，構(gòu)建了可視化的EMS系統(tǒng)安全檢測管控系統(tǒng)，并以甘肅省平?jīng)龉╇姽緸榘咐?，分析了該系統(tǒng)在電網(wǎng)系統(tǒng)中的實(shí)際應(yīng)用。

【關(guān)鍵詞】 EMS系統(tǒng) ?非法節(jié)點(diǎn)接入檢測技術(shù) ?可視化EMS系統(tǒng)安全檢測管控系統(tǒng)

隨著各大電力專業(yè)自動(dòng)化系統(tǒng)應(yīng)用的普及，網(wǎng)絡(luò)系統(tǒng)的安全性、可靠性問題日益突出，已逐漸成為管理者、使用者所關(guān)注的焦點(diǎn)。有效的監(jiān)測手段是實(shí)現(xiàn)科學(xué)管理的必要前提，其不但有利于優(yōu)化網(wǎng)絡(luò)資源配置，而且使管理人員能夠?qū)崟r(shí)掌握網(wǎng)絡(luò)體系各個(gè)方面的運(yùn)行狀態(tài)和違規(guī)行為，對于網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行具有重大的意義。

1 電網(wǎng)信息安全管理系統(tǒng)的現(xiàn)狀及問題

近年來國家電網(wǎng)公司特別重視內(nèi)網(wǎng)信息安全，逐步建立內(nèi)網(wǎng)安全管理機(jī)制，增建網(wǎng)絡(luò)安全防護(hù)設(shè)備，實(shí)行內(nèi)外網(wǎng)隔離控制，加強(qiáng)內(nèi)網(wǎng)設(shè)備的安全管控和外部存儲(chǔ)設(shè)備的加密監(jiān)測防護(hù)。通過上述信息安全防火措施的實(shí)行，切實(shí)減少了惡意病毒和木馬攻擊內(nèi)網(wǎng)的次數(shù)，加強(qiáng)了公司內(nèi)網(wǎng)的信息的安全，降低了公司機(jī)密泄密事件的發(fā)生。不過，現(xiàn)有的電網(wǎng)信息安全管理系統(tǒng)還是建立在實(shí)時(shí)監(jiān)測、被動(dòng)防御和加強(qiáng)人員安全意識的基礎(chǔ)上，沒有從根本上真正解決病毒或木馬入侵的根源。主要存在的問題包括：歷史數(shù)據(jù)存儲(chǔ)容量不足，超出系統(tǒng)告警值;服務(wù)器、工作站配置低且嚴(yán)重老化;軟件版本低，無PAS系統(tǒng)模塊軟件，系統(tǒng)接口兼容性差，高級應(yīng)用功能實(shí)施困難;電力行業(yè)現(xiàn)有各應(yīng)用系統(tǒng)一般都由大量的不同服務(wù)器和網(wǎng)絡(luò)設(shè)備組成，均使用著不同的管理軟件，所以無法集中管理各個(gè)應(yīng)用系統(tǒng);無法及時(shí)準(zhǔn)確地掌握各應(yīng)用系統(tǒng)的整體運(yùn)行狀態(tài)，無法及時(shí)快速發(fā)現(xiàn)應(yīng)用系統(tǒng)可能存在的問題并快速地作出應(yīng)對響應(yīng)，也無法智能化地遠(yuǎn)程掌握各應(yīng)用系統(tǒng)的運(yùn)行情況。

2 研究EMS系統(tǒng)內(nèi)非法節(jié)點(diǎn)接入檢測技術(shù)的意義

EMS能量管理系統(tǒng)是現(xiàn)代電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)總稱。EMS系統(tǒng)內(nèi)非法節(jié)點(diǎn)接入檢測技術(shù)包括節(jié)點(diǎn)身份的辨識、節(jié)點(diǎn)運(yùn)行狀態(tài)的獲取、網(wǎng)絡(luò)拓?fù)涞挠?jì)算、節(jié)點(diǎn)狀態(tài)的比對分析和終端違規(guī)行為的檢測，以網(wǎng)絡(luò)節(jié)點(diǎn)整體和實(shí)時(shí)變化的檢測為目標(biāo)，包含了主動(dòng)輪詢和被動(dòng)監(jiān)聽兩種工作模型。該技術(shù)是通過信息通信手段，對網(wǎng)絡(luò)進(jìn)行探測，并將獲得的數(shù)據(jù)與已經(jīng)定義的合法節(jié)點(diǎn)進(jìn)行模式匹配。如果有非法的節(jié)點(diǎn)接入到網(wǎng)絡(luò)，就及時(shí)告警，并給出節(jié)點(diǎn)在內(nèi)部網(wǎng)上的所有可能接入位置，通過數(shù)據(jù)采集及探測，最終進(jìn)行定位，并做出處理。利用EMS系統(tǒng)內(nèi)非法節(jié)點(diǎn)接入檢測技術(shù)，就可以封鎖公司內(nèi)網(wǎng)所有設(shè)備的外網(wǎng)或外設(shè)存儲(chǔ)設(shè)備的連接進(jìn)出口，杜絕一切惡意病毒或木馬攻擊的所有端口出現(xiàn)，徹底解決由于人們的大意疏忽或網(wǎng)絡(luò)黑客高手的高水平能力，而造成內(nèi)網(wǎng)信息泄露或系統(tǒng)癱瘓的情況。

3 可視化EMS系統(tǒng)安全檢測管控系統(tǒng)的構(gòu)建

3.1 系統(tǒng)需求分析

主要包括調(diào)查用戶需求、收集資料數(shù)據(jù)、現(xiàn)有系統(tǒng)分析，并對系統(tǒng)進(jìn)行可行性分析。具體調(diào)研了電網(wǎng)公司調(diào)度自動(dòng)化系統(tǒng)以及各關(guān)鍵業(yè)務(wù)軟件系統(tǒng)的特點(diǎn)，統(tǒng)計(jì)相關(guān)數(shù)據(jù)，然后對比目前該方面國內(nèi)外相關(guān)軟件的研究情況，并參考金融、電信等行業(yè)IT運(yùn)維管理現(xiàn)狀，為下一步設(shè)計(jì)打下了堅(jiān)實(shí)基礎(chǔ)。

3.2 系統(tǒng)架構(gòu)設(shè)計(jì)

系統(tǒng)設(shè)計(jì)主要包括系統(tǒng)目標(biāo)和功能、子系統(tǒng)和模塊的劃分，開發(fā)工具、開發(fā)語言的選擇等總體設(shè)計(jì)。可視化EMS系統(tǒng)安全檢測功能總體架構(gòu)包括數(shù)據(jù)采集、處理、加工、展現(xiàn)、管理等過程，為使系統(tǒng)架構(gòu)清晰，按照模塊化、松耦合、分層的設(shè)計(jì)思想。整個(gè)系統(tǒng)架構(gòu)分為五個(gè)層次，依次是：監(jiān)控資源層、數(shù)據(jù)采集層、數(shù)據(jù)處理層、界面展現(xiàn)層、用戶層，其中數(shù)據(jù)采集層、數(shù)據(jù)處理層、界面展現(xiàn)層為整個(gè)系統(tǒng)的核心層次。

3.3 詳細(xì)設(shè)計(jì)

詳細(xì)設(shè)計(jì)主要包括：數(shù)據(jù)庫設(shè)計(jì)、軟件設(shè)計(jì)、代碼設(shè)計(jì)、功能設(shè)計(jì)等。本系統(tǒng)使用業(yè)界領(lǐng)先的專業(yè)技術(shù)，選擇JAVA、C作為開發(fā)語言，并使用TOMCAT作為WEB服務(wù)展示平臺，數(shù)據(jù)庫采用ORACLE數(shù)據(jù)庫來存儲(chǔ)數(shù)據(jù)，并結(jié)合通用的、可擴(kuò)展的WEB技術(shù)，包括JavaScript、XML（可擴(kuò)展標(biāo)記語言）、SVG（可縮放矢量圖形）、微軟VML（矢量可標(biāo)記語言）等語言進(jìn)行系統(tǒng)開發(fā)。（1）設(shè)計(jì)數(shù)據(jù)庫的表，包括監(jiān)測對象表、監(jiān)測對象類型表、監(jiān)測對象運(yùn)行狀態(tài)表、監(jiān)測對象信息、監(jiān)測點(diǎn)采集信息記錄、監(jiān)測配置信息、監(jiān)測實(shí)時(shí)信息表、監(jiān)測點(diǎn)類型、監(jiān)測點(diǎn)屬性等，并建立它們之間的關(guān)聯(lián)規(guī)則。（2）構(gòu)建可視化EMS系統(tǒng)安全檢測管控系統(tǒng)數(shù)據(jù)采集（agent）。數(shù)據(jù)采集層由ServerMonitorAgent模塊組成，主要功能是ServerMonitorAgent模塊按照采集策略，調(diào)度被監(jiān)控對象上的Agent模塊采集和監(jiān)控本地的資源信息、運(yùn)行狀態(tài)信息及數(shù)據(jù)庫相關(guān)信息，并由Server Monitor Agent模塊中的事件檢測引擎按相關(guān)事件規(guī)則對采集的數(shù)據(jù)進(jìn)行初步分析，及時(shí)發(fā)現(xiàn)事件，發(fā)送給數(shù)據(jù)處理層。（3）構(gòu)建可視化EMS系統(tǒng)安全檢測管控系統(tǒng)數(shù)據(jù)處理（server）。數(shù)據(jù)處理層主要對采集或接收到的各種原始數(shù)據(jù)進(jìn)行存儲(chǔ)、原始事件進(jìn)行標(biāo)準(zhǔn)化處理，并實(shí)現(xiàn)對性能數(shù)據(jù)的聚合、統(tǒng)計(jì)等處理工作，同時(shí)，數(shù)據(jù)處理層還提供資源管理、事件管理、告警管理、維護(hù)管理、動(dòng)作管理等功能服務(wù)。（4）界面展現(xiàn)層（Brower）。主要是將告警信息以及所采集的數(shù)據(jù)以拓?fù)湟晥D、圖表、告警等方式展現(xiàn)給用戶，并為用戶提供各種管理功能界面。

3.4 系統(tǒng)功能

本系統(tǒng)對EMS系統(tǒng)網(wǎng)絡(luò)體系的整體結(jié)構(gòu)、具體節(jié)點(diǎn)的工作狀態(tài)和接入狀態(tài)、終端節(jié)點(diǎn)的違規(guī)行為進(jìn)行有效檢測，主要實(shí)現(xiàn)功能如下：實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)身份的辨識，對設(shè)備節(jié)點(diǎn)工作狀態(tài)的監(jiān)測，對節(jié)點(diǎn)接入狀態(tài)的監(jiān)測，對終端節(jié)點(diǎn)行為是否違規(guī)的監(jiān)測，對各類報(bào)警信息進(jìn)行分析和處理，查看所監(jiān)控的服務(wù)器和應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)， 查看服務(wù)器中所部屬的oracle、mysql等數(shù)據(jù)庫的運(yùn)行情況，滿足對所有外聯(lián)設(shè)備的網(wǎng)絡(luò)封包的截獲，對不同外聯(lián)設(shè)備進(jìn)行區(qū)分標(biāo)示，查看監(jiān)聽某些系統(tǒng)的網(wǎng)絡(luò)通斷情況，查看網(wǎng)絡(luò)中間傳輸設(shè)備的運(yùn)行情況等。

3.5 系統(tǒng)技術(shù)分析

可視化EMS系統(tǒng)安全檢測管控系統(tǒng)從最基礎(chǔ)的物理層、數(shù)據(jù)鏈路層到設(shè)備層和應(yīng)用層進(jìn)行全方位的監(jiān)控，確保系統(tǒng)網(wǎng)絡(luò)和信息安全。（1）關(guān)鍵技術(shù)：本系統(tǒng)基于Internet技術(shù)、面向?qū)ο蠹夹g(shù)、數(shù)據(jù)庫技術(shù)、JAVA技術(shù)，將SCADA、PAS、DTS、WAMS等集成于統(tǒng)一的支撐平臺上;系統(tǒng)采用分布式、跨平臺式設(shè)計(jì)，支持在多種操作系統(tǒng)上進(jìn)行運(yùn)行監(jiān)測（如WINDOWS、LINUX、UNIX等）;系統(tǒng)基于IEC61850和IEC101、104規(guī)約，支持與電能量計(jì)量系統(tǒng)、電力市場技術(shù)支持系統(tǒng)、OMS系統(tǒng)、綜自等系統(tǒng)的互聯(lián)互通;系統(tǒng)采用開放式分布應(yīng)用環(huán)境和IEC61970標(biāo)準(zhǔn)及SVG的公共圖形交換標(biāo)準(zhǔn)，利用UML的建模機(jī)制和CORBA分布式對象技術(shù)，實(shí)現(xiàn)數(shù)據(jù)的自動(dòng)推送機(jī)制;（2）創(chuàng)新點(diǎn)：系統(tǒng)基于Winsock2 SPI網(wǎng)絡(luò)封包截獲技術(shù)，在現(xiàn)有的基礎(chǔ)TCP/IP提供者上建立一個(gè)分層式的URL過濾管理者，通過URL過濾管理者截獲用戶請求HTTP數(shù)據(jù)包中的URL地址;基于高效的數(shù)據(jù)檢索算法，在訪問規(guī)則庫中查找指定的IP，根據(jù)檢索結(jié)果拒絕訪問請求;通過可視化技術(shù)與可視化管理來監(jiān)視、處理、應(yīng)用系統(tǒng)資源;跨平臺、通用性強(qiáng)，采集的范圍滿足幾乎所有的目前主流平臺;采集的信息具備導(dǎo)出/導(dǎo)入/轉(zhuǎn)發(fā)等靈活的接口功能。

4 可視化EMS系統(tǒng)安全檢測管控系統(tǒng)在電網(wǎng)系統(tǒng)中的應(yīng)用

平?jīng)龉╇姽菊{(diào)度自動(dòng)化系統(tǒng)主站是2003年8月開始投運(yùn)，2008年12月對系統(tǒng)軟件進(jìn)行了改造升級?？梢暬疎MS系統(tǒng)安全檢測管控系統(tǒng)項(xiàng)目得到了平?jīng)龉╇姽敬罅χС?，該系統(tǒng)主要是軟件平臺，可以根據(jù)實(shí)際的環(huán)境進(jìn)行靈活部署，與硬件關(guān)聯(lián)性、要求不高，可以應(yīng)用在EMS系統(tǒng)中，還可以應(yīng)用于平?jīng)龉╇姽镜碾娔芰肯到y(tǒng)、綜自系統(tǒng)、調(diào)度管控等應(yīng)用系統(tǒng)。系統(tǒng)實(shí)施階段，進(jìn)行了系統(tǒng)的安裝部署和聯(lián)調(diào)測試等工作，進(jìn)行綜合測試和系統(tǒng)完善優(yōu)化。通過為期近1個(gè)月的系統(tǒng)運(yùn)行測試，系統(tǒng)總體運(yùn)行良好，達(dá)到設(shè)計(jì)研制目標(biāo)。

本系統(tǒng)在平?jīng)龉╇姽镜腅MS系統(tǒng)安全管控中起到了非常重要的作用，它整合不同系統(tǒng)、設(shè)備于同一平臺，集中管理所有設(shè)備，實(shí)時(shí)采集各種信息，實(shí)時(shí)監(jiān)視設(shè)備運(yùn)行狀態(tài)，實(shí)時(shí)閥值報(bào)警，在EMS系統(tǒng)安全管控過程中擔(dān)負(fù)了各種角色功能，為運(yùn)行維護(hù)管理部門提供了強(qiáng)有力的基礎(chǔ)保障。該系統(tǒng)從2014年10月開始實(shí)施，截止目前該系統(tǒng)運(yùn)行狀態(tài)穩(wěn)定，部署在公司信息機(jī)房中，發(fā)揮了重要的功能，保障了EMS系統(tǒng)內(nèi)各應(yīng)用系統(tǒng)的安全穩(wěn)定運(yùn)行。

5 結(jié)語

隨著網(wǎng)絡(luò)安全管理規(guī)范、各指標(biāo)體系不斷完善、智能電網(wǎng)建設(shè)的需要，可視化EMS系統(tǒng)安全檢測管控系統(tǒng)也將逐步規(guī)范化和標(biāo)準(zhǔn)化，逐步建立穩(wěn)定、高效、靈活的系統(tǒng)運(yùn)行和維護(hù)管理體系，逐步實(shí)現(xiàn)“實(shí)時(shí)監(jiān)控、精益管理、閉環(huán)控制、分析規(guī)劃”的目標(biāo)，為實(shí)現(xiàn)電網(wǎng)公司的戰(zhàn)略目標(biāo)提供堅(jiān)實(shí)的基礎(chǔ)支撐。

參考文獻(xiàn)：

[1]李曉記.無線傳感器網(wǎng)絡(luò)同步與接入技術(shù)研究[D].西安電子科技大學(xué)，2012（02）.

[2]王榮茂.確保EMS系統(tǒng)安全可靠運(yùn)行的技術(shù)措施[J].東北電力技術(shù)，2006（01）.

[3]陳征等.網(wǎng)絡(luò)隔離環(huán)境下多節(jié)點(diǎn)接入控制技術(shù)研究[J].小型微型計(jì)算機(jī)系統(tǒng)，2014（07）.