電力監(jiān)控系統(tǒng)信息安全管理系統(tǒng)的研究與分析

朱昊

摘? ?要：基于網(wǎng)絡(luò)安全的現(xiàn)狀及嚴峻的形式，本文介紹了電力監(jiān)控系統(tǒng)信息安全系統(tǒng)的研究背景和目前的研究與應用現(xiàn)狀，明確了研究的內(nèi)容和主要工作;從網(wǎng)絡(luò)結(jié)構(gòu)的脆弱點對電力監(jiān)控系統(tǒng)常見安全措施進行了分析，針對當前現(xiàn)狀進行了分析，基于分析結(jié)論從四個方面給出了優(yōu)化方案;明確了系統(tǒng)功能和子功能項，給出了系統(tǒng)的總體功能架構(gòu)和各功能模塊的結(jié)構(gòu)，包括預警、監(jiān)測、審計、防護、采集、系統(tǒng)管理和展示等功能模塊。

關(guān)鍵詞：信息安全? 電力監(jiān)控系統(tǒng)? 預警? 白名單

隨著現(xiàn)代計算機技術(shù)、通信技術(shù)、網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展及與工業(yè)控制系統(tǒng)（以下簡稱工控系統(tǒng)）的深度融合，在極大地提高了工業(yè)控制系統(tǒng)工作效率的同時，同時也帶來了嚴峻的網(wǎng)絡(luò)安全問題。

目前網(wǎng)絡(luò)攻擊不僅僅以獲取經(jīng)濟利益為目的，還呈現(xiàn)出以破壞敵對國家基礎(chǔ)設(shè)施和能源供給的趨勢。通過不斷滲透或潛伏到電力、鐵路、煤炭、化工、冶金、智能制造等領(lǐng)域的工控系統(tǒng)，展開具有針對性的破壞攻擊活動。因此，世界各國均正努力采取措施，加強工控系統(tǒng)的安全，強化其網(wǎng)絡(luò)系統(tǒng)的防護能力，變被動防御為主動防御，構(gòu)造有足夠縱深的立體化網(wǎng)絡(luò)防護體系，力爭將網(wǎng)絡(luò)攻擊造成的損失降低到最低。

綜述所述，電力監(jiān)控系統(tǒng)信息安全管理系統(tǒng)的研究與分析工作，對電力監(jiān)控系統(tǒng)的安全防護具有促進意義。

1 當前我國同系統(tǒng)研究與應用現(xiàn)狀

目前已開展的研究和應用主要以傳統(tǒng)網(wǎng)絡(luò)流量旁路監(jiān)測和邊界串聯(lián)隔離的方式完成監(jiān)測和防護，主要實現(xiàn)以下功能：

在Ⅱ區(qū)和Ⅲ區(qū)邊界處串聯(lián)放置隔離設(shè)備，實現(xiàn)網(wǎng)絡(luò)流量的單向傳輸，避免外部非法流量影響生產(chǎn)控制大區(qū)。

在網(wǎng)絡(luò)交換設(shè)備旁路傳統(tǒng)網(wǎng)絡(luò)流量監(jiān)測設(shè)備，鏡像交換設(shè)備流量，對流量中的惡意行為進行告警。設(shè)備通常采用黑名單的特征庫來維持惡意行為的檢出率。

以上為目前主流研究和應用方向，存在如下幾個問題：

（1）流量審計缺少對工控協(xié)議的解析能力，可能影響控制設(shè)備的非法控制指令無法檢測。

（2）安全防護措施集中在邊界處，缺少針對各維度層面威脅的縱深防御手段，即在網(wǎng)絡(luò)通信和計算環(huán)境上缺少安全防護措施。

2? 電力監(jiān)控系統(tǒng)信息安全管理相關(guān)措施

2.1 生產(chǎn)控制大區(qū)和管理信息大區(qū)采用隔離裝置

電力企業(yè)按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》，原則上將電廠基于計算機網(wǎng)絡(luò)技術(shù)的業(yè)務系統(tǒng)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制區(qū)中的業(yè)務系統(tǒng)或功能模塊（或子系統(tǒng)）是電力生產(chǎn)的重要環(huán)節(jié)，直接實現(xiàn)對電力一次系統(tǒng)的實時監(jiān)控，管理息大區(qū)是指生產(chǎn)控制大區(qū)以外的電力企業(yè)管理業(yè)務系統(tǒng)的集合。

按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中的相關(guān)規(guī)定，發(fā)電廠生產(chǎn)控制大區(qū)與管理信息大區(qū)之間通信應當部署電力專用橫向單向安全隔離裝置。

2.2 安全I區(qū)與安全II區(qū)邏輯隔離

按照《電力監(jiān)控系統(tǒng)安全防護規(guī)定》中的相關(guān)規(guī)定，安全區(qū)I與安全區(qū)II之間應當采用具有訪問控制功能 的網(wǎng)絡(luò)設(shè)備、安全可靠的硬件防火墻或者相當功能的設(shè)備， 實現(xiàn)邏輯隔離、報文過濾、訪問控制等功能。所選設(shè)備的功能、性能、電磁兼容性必須經(jīng)過國家相關(guān)部門的認證和測試。

2.3 電力調(diào)度數(shù)據(jù)網(wǎng)

發(fā)電廠生產(chǎn)控制大區(qū)系統(tǒng)與調(diào)度端系統(tǒng)通過電力調(diào)度數(shù)據(jù)網(wǎng)進行遠程通信時，應當采用認證、加密、訪問控制等 技術(shù)措施實現(xiàn)數(shù)據(jù)的遠方安全傳輸以及縱向邊界的安全防護。發(fā)電廠的縱向連接處應當設(shè)置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網(wǎng)關(guān)及相應設(shè)施，與調(diào)度端實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。

3? 電力監(jiān)控系統(tǒng)信息安全管理優(yōu)化方案

3.1 安全防護

安全防護功能通過對工控協(xié)議進行解析，運用“白名單+智能學習”技術(shù)，建立工業(yè)網(wǎng)絡(luò)通信“白環(huán)境”，阻止任何來自安全區(qū)域外的非授權(quán)訪問，有效抑制病毒、木馬在工控網(wǎng)絡(luò)中的傳播和擴散，防護針對SCADA、PLC、DCS 等重要控制系統(tǒng)的各類已知、未知的惡意攻擊和破壞行為。

白名單管理，就是引入白名單形式的安全策略控制。由于工控網(wǎng)絡(luò)通信固定化的特征，確定了使用白名單技術(shù)進行安全控制，是解決工業(yè)網(wǎng)絡(luò)安全的一個重要且有效的方式。

3.2 流量監(jiān)測

流量監(jiān)測功能基于對工業(yè)控制協(xié)議的通信報文進行深度解析，能夠?qū)崟r檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網(wǎng)絡(luò)通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。

監(jiān)測模塊通過發(fā)電企業(yè)接入層交換機端口鏡像功能，鏡像出完整控制系統(tǒng)流量信息，經(jīng)由監(jiān)測模塊的異常流量監(jiān)測、關(guān)鍵事件監(jiān)測、工業(yè)協(xié)議解析、協(xié)議通信記錄等功能處理，生成監(jiān)測結(jié)果及日志信息，發(fā)送到預警模塊進行展示。

異常流量監(jiān)測功能主要實現(xiàn)對工控協(xié)議的通信報文進行采集與深度解析，利用人工智能算法自學習建立工控通信模型基線，對當前工控協(xié)議通信行為與工控通信基線進行對比分析，對不符合與工控通信基線的異常行為進行告警，例如異常指令操作、新出現(xiàn)的設(shè)備（IP地址）、異常連接行為、異常通信地址、異常通信端口等告警。

工業(yè)協(xié)議解析提供對多工業(yè)協(xié)議的深度報文解析功能，實現(xiàn)工控網(wǎng)異常監(jiān)測、工控協(xié)議異常監(jiān)測、工控協(xié)議規(guī)約監(jiān)測、工控關(guān)鍵事件監(jiān)測、工控攻擊事件監(jiān)測。

協(xié)議通信記錄網(wǎng)絡(luò)中的所有連接信息，支持對工控網(wǎng)絡(luò)通信記錄進行回溯，除記錄5元組信息外，還包括詳細的開始時間、結(jié)束時間、源MAC、目的MAC、報文數(shù)（上行、下行）、字節(jié)數(shù)（上行、下行），端口號，功能碼完整記錄網(wǎng)絡(luò)中所有流量和行為。

3.3 日志審計

日志審計功能通過采集電力監(jiān)控系統(tǒng)內(nèi)主機設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應用程序的系統(tǒng)日志進行標準化處理，通過日志審計策略及時發(fā)現(xiàn)各種異常事件、安全威脅等，為管理人員提供電力監(jiān)控系統(tǒng)的實時運行狀況。

日志審計模塊通過發(fā)電企業(yè)接入層交換機端口鏡像功能，鏡像出完整控制系統(tǒng)流量信息，經(jīng)由主機日志審計功能、網(wǎng)絡(luò)設(shè)備日志審計功能、應用程序?qū)徲嫻δ艿娜罩臼占?、分析，并將日志審計結(jié)果發(fā)送到預警模塊進行展示。

3.4 安全預警

安全預警模塊通過監(jiān)測模塊、審計模塊、防護模塊、采集模塊實施預警監(jiān)測。

參考文獻

[1] 劉勇.電力監(jiān)控系統(tǒng)二次安全防護的解決方案初探[J].電子制作，2016（8）：154-157.

[2] 王益明，辛耀中，向力，等.調(diào)度自動化系統(tǒng)及數(shù)據(jù)網(wǎng)絡(luò)的安全防護[J].電力系統(tǒng)自動化，2001，25（21）：5-8.

[3] 王鳳彬.信息安全技術(shù)在電力信息系統(tǒng)中的應用分析[J].現(xiàn)代國企研究，2015（16）：83.

[4] 張豆豆.電力信息系統(tǒng)信息安全技術(shù)的研究[J].中國新技術(shù)新產(chǎn)品，2015（17）：161.