技术领域
[0001] 本
发明属于电
力系统网络安全技术,具体涉及一种变电站网络安全监测客户端系统及其实现方法。
背景技术
[0002] 近年来网络安全形势日益严峻,互联网服务瘫痪、核电站遭受“震网”
蠕虫病毒攻击等网络安全事件时有发生。变电站作为现代社会的关键性
基础设施,是国家级网络对抗的重点目标。目前,变电站网络信息安全防护过多的依赖于边界安全的纵深防护体系,在面对具有国家背景的基于逆向工程的定向攻击时很可能使具有物理隔离的边界防护失效,因此电力系统网络安全监测装置应运而生。该装置能有效采集变电站内网络安全信息,并对存在的安全隐患进行预警,可以有效预判、
跟踪和
预防网络安全
风险。
[0003] 网络安全监测装置是网络安全管理平台数据的来源方和命令的传递者,负责采集监测对象的安全信息,控制监测对象执行
指定命令,向安全管理平台提供安全事件数据、支持相应服务调用。变电站内支持网络安全监测装置采集对象有
服务器、工作站、交换机、
防火墙、正反隔离装置、纵向加密装置。不同设备采集的方式也不尽相同。服务器、工作站等主机设备通过部署安全监测客户端的方式采集设备安全信息;防火墙、正反隔离装置、纵向加密装置等安全设备采用Syslog日志的方式上送设备安全信息;而对于各类交换机则可采用SNMP或Syslog的方式进行采集。然而站内大量嵌入式装置如测控装置和保护装置,由于此类设备使用非通用
操作系统或者无操作系统,无法用上述方式进行采集,所以暂未纳入监测范围。
[0004] 其中,安全监测客户端运行在被监管的主机上,按照预先设定的策略以一定的时间间隔采集主机的软
硬件信息和用户行为信息,然后按照一定的信息格式将采集到的信息发送给网络安全监测装置。网络安全监测装置将客户端采集到的设备状态信息、装置运行信息以及用户行为信息等内容按照规定格式上送网络安全管理平台。安全监测客户端只能部署于搭载通用操作系统的服务器、工作站等主机设备。
[0005] 总体而言,目前构建的变电站网络安全监测体系仍不完善,自动化设备未能全
覆盖,对于存量较大的嵌入式装置没有便捷有效的监测手段;若将嵌入式装置直接接入网络安全监测装置,必然涉及嵌入式装置
软件或硬件的升级改动,且对于目前变电站庞大的设备数量,改造工作量巨大,且成本较高,甚至影响本身正常的业务,从而影响变电站安全稳定运行。
发明内容
[0006] 发明目的:为提高电力系统的监测能力,本发明的目的是提供一种变电站网络安全监测客户端系统,同时,本发明还提供一种变电站网络安全监测客户端系统的实现方法。
[0007] 技术方案:一种变电站网络安全监测客户端系统,包括主机操作系统、
监控系统前置SCADA、命令控
制模块、信息采集模块、信息转换模块、命令解析模块、信息封装模块、网络通信模块和网络安全监测装置;
[0008] 所述监控系统前置SCADA获取电力系统运行中的各种实时和非实时数据;
[0009] 所述命令
控制模块接收经过命令解析模块解析的网络安全监测装置下发的命令;
[0010] 所述信息采集模块为安全监测客户端的核心数据来源,包括独立运行的硬件信息采集模块、
进程信息采集模块、资源信息采集模块、运行转态采集模块和用户行为采集模块;
[0011] 所述信息转换模块对嵌入式装置通过监控系统SCADA上送的遥信、遥测数据进行过滤,转换为可被安全监测客户端识别的网络安全告警信息;
[0012] 所述命令解析模块接收网络安全监测装置下发的操作命令报文,解析为可被主机操作系统执行的操作命令,下发给命令控制模块;
[0013] 所述信息封装模块将信息采集模块和信息转换模块采集的安全信息进行统一封装,并送入数据队列缓存,并由网络通信模块将数据发送给网络安全监测装置;
[0014] 所述网络通信模块采集信息的发送和网络安全监测装置控制指令的接收;
[0015] 所述网络安全监测装置为电力系统运行设备终端检测设备。
[0016] 进一步的,所述监控系统前置SCADA获取的数据包括模拟量测量数据和状态测点测量数据。
[0017] 所述的信息采集模块中,硬件信息采集模块采集
光驱、串口、网卡和USB外接硬件信息;进程信息采集模块负责采集关键进程的运行信息;资源信息采集模块负责采集设备CPU、内存和
硬盘的使用率和负载情况;运行状态信息采集模块负责采集配置异常、对时状态、通讯状态及系统运行状态信息;用户行为采集模块则负责采集用户的操作行为,包括登入、登出和命令操作信息。
[0018] 所述的信息转换模块中包括硬件信息转换模块、告警信息转换模块和运行状态信息转换模块;所述的硬件信息转换模块过滤转换关于嵌入式装置的网卡状态、装置硬件异常信息;所述告警信息转换模块,转换对时服务、对时异常、PT断线、CT断线等告警信息;所述运行状态信息转换模块转换内部工作
电压、装置
温度、光口接收和发送功率信息。
[0019] 一种变电站网络安全监测客户端系统的实现方法,所述方法采用结构化和模块化的方式,以数据流为线索,利用面向对象来实现整个安全监测客户端,对于各个系统模块均封装成相应的类,通过抽象出来的
接口,并运用多线程的方式实现数据流在各模块间的传递。
[0020] 进一步的,包括如下步骤:
[0021] (1)通过读取电力系统已运行的进程ID和名称判断服务
守护进程是否已经启动,并启动守护进程;
[0022] (2)分别创建信息采集和信息转换两项主线程;
[0023] (3)通过信息采集主线程创建采集模块子线程;
[0024] (4)通过信息转换主线程创建转换模块子线程;
[0025] (5)创建信息封装线程,将信息采集线程和信息转换线程采集的安全信息进行统一封装,并送入数据缓存队列,并由网络通信模块将数据发送给网络安全监测装置;
[0026] (6)创建网络通信线程,建立和管理TCP网络通信连接,完成向网络安全监测装置发送采集的安全信息和接收网络安全监测装置下发的控制指令的任务;
[0027] (7)创建命令解析线程,对网络安全监测装置下发的控制指令进行解析,并发送给命令控制模块执行;
[0028] (8)创建命令控制进程,接收命令解析模块发来的控制命令,包括查看
修改配置、基线核查和主动断网操作命令;
[0029] (9)轮询检测守护进程状态,轮询检测守护进程状态,若发现进程异常,自动完成重启,保持进程不间断运行,实时保持监测状态。
[0030] 有益效果:本发明将主机设备监测和嵌入式装置监测结合,通过改进的安全监测客户端完成对两类设备的安全监测,与
现有技术相比,显著效果包括如下两个方面:
[0031] 1、扩大了变电站网络安全监测范围,把原本无法直接监测的嵌入式装置,通过采集监控系统SCADA获取相关遥测和遥信数据,实现对测控、保护装置等嵌入式装置的安全监测。
[0032] 2、部署便捷,实施成本低。特别对于存量站,无需改动原有嵌入式装置的软件和硬件,只需在安全监测客户端上增加对应采集模块,即可完成对全站嵌入式装置的安全监测。
附图说明
[0033] 图1是本发明所述系统的结构示意图;
[0034] 图2是本发明所述方法的流程示意图。
具体实施方式
[0035] 为了详细的说明本发明所公开的技术方案,下面结合
说明书附图及具体
实施例做进一步的阐述。
[0036] 针对变电站网络环境和测控装置、保护装置等嵌入式装置的特点,在原有只负责服务器主机设备监测的安全监测客户端的基础上,利用变电站监控系统前置SCADA采集嵌入式装置安全告警信息,经过信息转换模块转换为安全监测客户端可识别的信息,再通过安全监测客户端上送给网络安全监测装置,以实现对嵌入式装置的安全监测,扩大变电站网络安全监测范围,达到提高全站安全稳定运行的目的。
[0037] 本发明所提供的一种变电站网络安全监测客户端采用结构化和模块化的方式,以数据流为线索,利用面向对象的设计方法,来设计和实现整个安全监测客户端。对于每个模块,都封装成相应的类,通过抽象出来的接口,并运用多线程技术,实现数据流在各模块间的传递。具体架构如图1所示。
[0038] 主机搭载系统运行的主机操作系统,依赖于变电站内的服务器主机设备,是安全监测客户端主要的监测对象。
[0039] 测控、保护及其它嵌入式装置,与主机设备同属于变电站站控层网络内,是监控系统前置SCADA的数据源。
[0040] 监控系统前置SCADA(Supervisory Control And Data Acquisition),是电力自动化系统的基础和核心,负责采集和处理电力系统运行中的各种实时和非实时数据,是变电站监控系统各种
应用软件主要的数据来源。所采集的数据包括模拟量测量(又称为“遥测”),状态测点(又称为“遥信”)。SCADA也依赖于主机设备上的操作系统。
[0041] 信息采集各模块,此模块为安全监测客户端的核心数据来源,各个子模块分别负责不同类型信息的采集,且互不干扰,独立运行。其中硬件信息采集模块负责采集光驱、串口、网卡和USB外设等硬件信息;进程信息采集模块负责采集关键进程的运行信息;资源信息采集模块负责采集设备CPU、内存和硬盘的使用率和负载情况;运行状态信息采集模块负责采集配置异常、对时状态、通讯状态等系统运行状态信息;用户行为采集模块则负责采集用户的操作行为,如登入、登出和命令操作等信息。
[0042] 信息转换模块,此模块针对嵌入式装置通过监控系统SCADA上送的遥信、遥测数据进行过滤,转换为可被安全监测客户端识别的网络安全告警信息。根据测控、保护等嵌入式装置的特点和网络安全监测重点,只对三类数据进行转换。硬件信息转换模块,过滤转换关于嵌入式装置的网卡状态、装置硬件异常等信息;告警信息转换模块,转换对时服务、对时异常、PT断线、CT断线等告警信息;运行状态信息转换模块,转换内部工作电压、装置温度、光口接收和发送功率等信息。
[0043] 信息封装模块,为了便于网络安全监测装置对数据进行解析和存储,此模块负责将信息采集模块和信息转换模块采集的安全信息进行统一封装,并送入数据队列缓存,在网络状况良好时由网络通信模块该部分数据发送给网络安全监测装置。
[0044] 网络通信模块,网络传输协议选择适用于C/S架构的自定义的TCP网络协议,网络传输模块包含采集信息的发送和网络安全监测装置控制指令的接收。不同的数据收发异步进行,互不干扰。
[0045] 命令解析模块,此模块接收网络安全监测装置下发的操作命令报文,解析为可被主机操作系统执行的操作命令,下发给命令控制模块。
[0046] 命令控制模块,此模块负责接收经过命令解析模块解析的网络安全监测装置下发的命令,如查看修改配置、基线核查和主动断网等操作命令,实现对主机设备的命令控制。
[0047] 本发明所述方法具体实现流程如图2所示。具体步骤如下:
[0048] 1、安全监测客户端启动时先检查守护进程是否存在,通过读取当前系统已运行的进程ID和名称,可以判断服务守护进程是否已经启动。如果没有启动,则先启动守护进程。
[0049] 2、确认守护进程启动的情况下,分别创建信息采集和信息转换两大主线程。信息采集线程完成主机安全信息的采集,负责信息采集子线程的统筹管理。信息转换线程完成监控系统SCADA采集到的嵌入式装置安全信息的转换,负责信息转换子线程的统筹管理。
[0050] 3、通过信息采集主线程创建采集模块子线程:
[0051] 3.1、创建硬件信息采集子线程,此线程负责主机光驱、串口、网卡和USB外设等硬件信息采集,包括光驱信息、串口状态,网口状态,USB外设插拔等信息。
[0052] 3.2、创建进程信息采集子线程,此线程负责采集主机系统关键进程的运行信息,包括进程异常、进程退出、进程重启等信息。
[0053] 3.3、创建资源信息采集子线程,此线程负责采集设备CPU、内存和硬盘的使用率和系统负载情况。
[0054] 3.4、创建运行状态采集子线程,此线程负责采集配置异常、对时状态、通讯状态等系统运行状态信息。
[0055] 3.5、创建用户行为采集子线程,此线程负责采集用户的操作行为,如用户登入、用户登出和命令操作和配置修改等操作行为信息。
[0056] 4、通过信息转换主线程创建转换模块子线程:
[0057] 4.1、创建硬件信息转换子线程,负责过滤转换嵌入式装置的网卡状态、装置硬件异常告警等硬件信息。
[0058] 4.2、创建告警信息转换子线程,负责过滤转换嵌入式装置的告警信息,包括对时服务异常、对时状态异常、PT断线、CT断线等告警信息。
[0059] 4.3、创建运行状态信息转换子线程,负责过滤转换嵌入式装置的运行状态信息,包括装置内部工作电压、装置温度、光口接收和发送功率等信息。
[0060] 5、创建信息封装线程,此线程负责将信息采集线程和信息转换线程采集的安全信息进行统一封装,并送入数据缓存队列,在网络状况良好时由网络通信模块该部分数据发送给网络安全监测装置。
[0061] 6、创建网络通信线程,负责建立和管理TCP网络通信连接,针对变电站站控层双网,具备双通道连接。完成向网络安全监测装置发送采集的安全信息和接收网络安全监测装置下发的控制指令的任务。
[0062] 7、创建命令解析线程,此线程对网络安全监测装置下发的控制指令进行解析,并发送给命令控制模块执行。
[0063] 8、创建命令控制进程,此线程负责接收命令解析模块发来的控制命令,包括查看修改配置、基线核查和主动断网等操作命令。
[0064] 9、轮询检测守护进程状态,轮询检测守护进程状态,若发现进程异常,自动完成重启,确保进程不间断运行,实时保持监测状态。
