基于OPC 技術的電力監控系統網絡安全風險預警研究

張逸康，傅亞啟

（國網江蘇省電力有限公司鎮江供電分公司，江蘇 鎮江 212000）

0 引 言

隨著計算機、互聯網等技術的優化升級，計算機監控系統應運而生。電力監控系統安全與電力安全密切相關，若缺少有力的網絡和數據安全保障，可能會發生重要信息丟失、泄露或更改的危險。隨著近些年國家電力網絡安全建設的日益深入，大多數電力的原有安全系統需要進行改進。因此，構建以電力監控系統為研究對象的網絡安全風險預警平臺，對于增強電力網絡安全防范能力意義重大。用于過程控制的對象連接與嵌入（Object Linking and Embedding for Process Control，OPC）技術的本質是采用Microsoft的組件對象模型/分布式組件對象模型（Component Object Model/Distributed Component Object Model，COM/DCOM）技術，實現軟件復用和交互操作，還可基于Windows 終端平臺通過可擴充、面向對象的統一通信協議，支持不同計算機設備之間的融合通信[1]。文章將利用OPC 技術設計電力監控系統網絡安全風險預警平臺。

1 OPC 服務器技術

計算機監控系統網絡安全風險預警平臺設計應用OPC 技術，要與監控系統組態軟件結合，采集電力系統各設備數據信息，執行OPC 服務器開發任務，并實時顯示各用戶界面。圖1 為OPC 服務器技術用于計算機監控系統架構，可完成各監控設備的相關數據信息采集，通過OPC 接口發布相關數據信息，遵循標準步驟訪問數據[2]。OPC 服務器還可在系統標準接口支持下，統一處理不同通信規約間隔層設備。電力計算機監控系統所用OPC 服務器與輸入/輸出（Input/Output，I/O）設備類似，功能層面則符合OPC 標準，實現OPC 標準接口驅動。

圖1 OPC 服務器結構

2 基于OPC 技術的電力監控系統

2.1 系統結構

在電力計算機監控系統設計中應用OPC 技術，基于數據采集與監視控制系統（Supervisory Control And Data Acquisition，SCADA），設計電力監控分層分布式系統，主要包括站控層、通信管理層、間隔層以及過程層，如圖2 所示。

圖2 基于OPC 技術的電力監控系統架構

在電力計算機監控系統設計中，系統間隔層主要負責向站控層傳輸所采集的電力系統各設備數據信息，并接收系統發布的相關控制指令。通信管理層則利用RS-485 總線、控制器局域網絡（Controller Area Network，CNA）總線與間隔層相連，接收間隔層傳輸的數據信息，經以太網完成站控層數據交互[3]。站控層提供電力系統運行情況的人機界面，測量、管理、監督與控制電力系統過程性一次系統、間隔層二次系統與其他相關信息，監督管控站負責管理與顯示運行信息，方便管理人員操控電力系統設備。工程站負責系統運維功能，收集電力系統各類信息，經以太網上傳至遠方調度中心，接收中心下達的遠程控制與調度指令。

2.2 監控系統模型

基于OPC 技術的電力監控系統選用廠級監控信息系統（Supervisory Information System，SIS）運行平臺，從保障數據庫安全視角出發，將瀏覽器/服務器（Browser/Server，B/S）模型對比客戶/服務器（Client Server，C/S）模型，發現2 種模型各有優勢，最終選擇B/S 與C/S 混合模型。利用OPC C/S 服務器建立管理信息系統（Management Information System，MIS）關系數據庫，與SIS 數據實時互聯，從而減少通信復雜性，保證SIS 和MIS 的獨立可靠性?？梢栽谕慌_服務器內布置OPC 歷史數據服務器與實時/歷史數據庫，也可將其設置于SIS 的Web 服務器，其中實時/歷史數據庫與OPC 報警服務器連接。。B/S 與C/S 混合模型可以支持系統經Internet 直接與數據庫服務器相連接。管理者擁有用戶操作控制權，在確認系統用戶合法身份前提下，在服務器數據庫內存儲用戶信息，在給予用戶登錄授權后，即可一對一識別預防企業數據暴露給外部用戶。設置證書頒發機構（Certificate Authority，CA）設計加密算法與密鑰，與常規安全指令配合設計多層安全體系，保障電力監控系統的安全性。

2.3 硬件驅動

圖3 為基于OPC 技術的電力計算機監控系統硬件驅動的實際驅動流程。在OPC 服務器內，硬件驅動負責通過多線程延遲鎖相環（Delay-Locked Loop，DLL）技術，執行各智能儀表所采集數據信息的解析任務，并在此基礎上實現系統上位機和硬件設備之間的實時通信?？紤]到電力監控系統標準、開放、便捷使用以及簡單幀格式等技術優勢，遵循Modbus 通信規約，成功建立電力監控現場設備與上位機的數據通信連接。通過半雙工連接方式，在主站發出操控指令時，尋址終端便可接收并作出實時響應[4]。

圖3 OPC 服務器硬件驅動工作流程

3 電力監控系統安全風險預警平臺構建

3.1 軟硬件實現

電力監控系統的網絡安全風險預警平臺中，相關軟硬件設計包括主機、網關、日志服務器等，保證平臺各硬件設備性能兼容，主機作為電力監控系統虛擬安裝，實現對平臺入侵行為的全面監控。網關與電力監控系統獨立存在，可以隔離威脅入侵。日志服務器負責收集整理各類數據日志，通過數據聚合與關聯分析，實時識別威脅入侵行為，達到安全風險預警的目的[5]。

3.2 防火墻設計

目前，防火墻包括基于路由器、通用操作系統、專用安全操作系統3 種，不僅能夠支持IP 協議，還可支持IPX、NetBEUI、DECnet 等通用協議。采用抵御攻擊如訪問控制，提供入侵實時警告功能。應用層提供代理支持，實現實時入侵防范及預警響應功能[6]。一旦平臺發生入侵事件，防火墻可迅速響應并阻擋惡意報文，根據實際情況實時調整安全策略，識別、記錄、防治入侵手段。此外，要對防火墻安全預警軟硬件優化升級，從而更全面的預防入侵。

3.3 安全入侵偵測

安全入侵偵測是在防火墻的基礎上，收集、整理并分析電力監控系統的關鍵信息，以偵測可能的入侵行為跡象。一方面，網絡安全模塊是一種高速計算機監控系統網絡分析工具，通常部署于電力系統網絡，如撥號連接、廣域網連接等，可以分析電力監控各數據包內容所處環境是否安全，進而確定網絡內傳輸業務是否獲得授權。一旦檢測到入侵信號，模塊便會即刻發出警報，并執行安全措施[7]。另一方面，網絡安全模塊可支持離線數據分析，經過科學分析生成新規則檢測入侵行為，根據反饋信息分析結果自動學習，使得入侵檢測功能可以具備智能分析優勢，從而適應黑客攻擊的多樣化特點。高性能安全管理一旦接收入侵預警，可迅速定位入侵位置。

4 系統測試

為了證實基于OPC 技術的電力監控系統網絡安全風險預警平臺的適用性，選取平臺模擬測試中的預警信息，提取安全預警時隙內的全部信息，構建網絡安全預警模型，并提取正常時隙內的預警信息作為正常樣本。通過對比文章提出方法、支持向量機方法、樸素貝葉斯方法，根據測試獲得入侵檢測與預警準確度指標，平臺準確率可以達到87%，優于支持向量機安全預警方法的準確率，可以獲得穩定的系統檢測結果（見圖4）。

圖4 系統檢測結果

5 結 論

通過構建基于OPC 技術的電力監控系統網絡安全風險預警平臺，發揮了OPC 技術的交互操作優勢，基于Windows 終端平臺通過可擴充、面向對象的統一通信協議，支持不同設備間的通信，達到了與預期相符的安全風險預警目標，即一旦檢測到入侵信號，模塊便會即刻發出警報，迅速定位入侵行為并執行安全措施，在電力監控系統中具有重要作用。