地區(qū)電力監(jiān)控系統(tǒng)安全技術(shù)及其應(yīng)用淺析

曹丹華

國(guó)網(wǎng)江蘇省電力有限公司鹽城供電分公司 江蘇 鹽城 224000

引言

隨著信息技術(shù)在我國(guó)各領(lǐng)域的廣泛應(yīng)用，網(wǎng)絡(luò)安全威脅的受關(guān)注程度不斷提升，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理便是其中的代表。基于此，本文將簡(jiǎn)單分析電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)的應(yīng)用價(jià)值，并以此為依據(jù)深入探討電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)，希望研究?jī)?nèi)容能夠給相關(guān)從業(yè)人員以啟發(fā)。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

作為關(guān)鍵信息基礎(chǔ)設(shè)施，我國(guó)對(duì)電力監(jiān)控系統(tǒng)所處的網(wǎng)絡(luò)結(jié)構(gòu)有明確的規(guī)定，將網(wǎng)絡(luò)劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)，根據(jù)所承載業(yè)務(wù)的性質(zhì)，進(jìn)一步將生產(chǎn)控制大區(qū)細(xì)分為控制區(qū)、非控制區(qū)，即安全I(xiàn)、II區(qū)，管理信息大區(qū)則細(xì)分為生產(chǎn)管理區(qū)和信息內(nèi)外網(wǎng)區(qū)，即安全I(xiàn)II區(qū)、IV區(qū)和V區(qū)。生產(chǎn)控制大區(qū)和管理信息大區(qū)之間用電力專用隔離裝置進(jìn)行物理隔離，兩個(gè)大區(qū)內(nèi)的小區(qū)之間使用防火墻進(jìn)行邏輯隔離，電力監(jiān)控系統(tǒng)按要求部署在安全I(xiàn)、II、III區(qū)。這樣的劃分保證系統(tǒng)處于一個(gè)閉合的網(wǎng)絡(luò)環(huán)境，使系統(tǒng)具備一定抵御外部網(wǎng)絡(luò)安全威脅的能力。但軟硬件自身的漏洞、不合理的策略配置、惡意代碼及計(jì)算機(jī)病毒的擺渡攻擊、安全管理的缺失都使電力監(jiān)控系統(tǒng)安全防護(hù)存在木桶效應(yīng)，面對(duì)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)不容樂(lè)觀[1]。

2 地區(qū)電力監(jiān)控系統(tǒng)安全技術(shù)及其應(yīng)用

2.1 變電站網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備的信息接入

變電站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置需采集三類設(shè)備信息，分別為主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備：①主機(jī)設(shè)備采集。主機(jī)設(shè)備采集原則上包含了變電站內(nèi)所有類型的主機(jī)，如變電站后臺(tái)監(jiān)控系統(tǒng)主機(jī)、保護(hù)信息子站工作站、故障錄波器主機(jī)等，考慮到業(yè)務(wù)的可靠運(yùn)行，一般采用相應(yīng)廠商開(kāi)發(fā)的探針程序（agent），采集操作系統(tǒng)自身感知的安全信息，再通過(guò)TCP/IP協(xié)議，發(fā)送至網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，并由網(wǎng)絡(luò)安全監(jiān)測(cè)裝置作為服務(wù)端，監(jiān)聽(tīng)來(lái)自主機(jī)設(shè)備的連接請(qǐng)求。②網(wǎng)絡(luò)設(shè)備采集。網(wǎng)絡(luò)設(shè)備采集主要指站控層及間隔層交換機(jī)的信息采集，網(wǎng)絡(luò)安全監(jiān)測(cè)裝置通過(guò)SNMP協(xié)議采集交換機(jī)的安全信息，交換機(jī)產(chǎn)生告警事件后，通過(guò)SNMPTRAP協(xié)議向網(wǎng)絡(luò)安全監(jiān)測(cè)裝置發(fā)送事件信息，如網(wǎng)口的UP和DOWN、內(nèi)存使用情況及告警信息等。③安全防護(hù)設(shè)備采集。安全防護(hù)設(shè)備采集主要指變電站內(nèi)防火墻設(shè)備、正反向隔離裝置等，安全防護(hù)設(shè)備通過(guò)SYSLOG日志格式將數(shù)據(jù)傳送到網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，如果日志格式不符合規(guī)范要求，則需要對(duì)設(shè)備進(jìn)行升級(jí)，提供標(biāo)準(zhǔn)日志或由廠家提供動(dòng)態(tài)解析庫(kù)，部署到網(wǎng)絡(luò)安全監(jiān)測(cè)裝置上，對(duì)原始日志進(jìn)行解析方可準(zhǔn)確上送。針對(duì)應(yīng)采集的設(shè)備，如無(wú)法通過(guò)軟件升級(jí)方式支持或不具備硬件條件，則需要進(jìn)行整體更換[2]。

2.2 網(wǎng)絡(luò)及電力二次安防設(shè)備加固

電力監(jiān)控系統(tǒng)所處的網(wǎng)絡(luò)結(jié)構(gòu)被強(qiáng)制劃分為生產(chǎn)控制和管理信息兩個(gè)大區(qū)，區(qū)域內(nèi)由交換機(jī)、路由器、防火墻、入侵防御設(shè)備、防病毒管理中心、電力專用縱向加密認(rèn)證裝置、電力專用橫向隔離裝置等構(gòu)成，彼此之間相互協(xié)助，共同構(gòu)建了電力監(jiān)控系統(tǒng)基礎(chǔ)的網(wǎng)絡(luò)安全環(huán)境。這一部分的加固工作涉及網(wǎng)絡(luò)的物理環(huán)境與邏輯環(huán)境兩個(gè)層面，包括策略修改、補(bǔ)丁安裝及軟件升級(jí)、硬件設(shè)備的增改、系統(tǒng)所處安全區(qū)再評(píng)估及遷移等。①策略修改、補(bǔ)丁安裝及軟件升級(jí)是常規(guī)的網(wǎng)絡(luò)安全加固方式，針對(duì)存量網(wǎng)絡(luò)及電力二次安防設(shè)備具有成本低、效率高的特點(diǎn)，具體內(nèi)容包括：以最小權(quán)限開(kāi)放IP地址及端口，置頂黑名單與封堵高危端口，部分業(yè)務(wù)通道開(kāi)啟加密方式傳輸、安裝設(shè)備補(bǔ)丁、升級(jí)設(shè)備軟件及網(wǎng)絡(luò)安全設(shè)備特征庫(kù)等。②硬件設(shè)備的增改，網(wǎng)絡(luò)安全技術(shù)日新月異，適度增加或改變網(wǎng)絡(luò)與安防設(shè)備，對(duì)抵御新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有立竿見(jiàn)影的效果，具體內(nèi)容有：網(wǎng)絡(luò)邊界增加入侵防御系統(tǒng)，在生產(chǎn)控制和管理信息大區(qū)部署網(wǎng)絡(luò)安全態(tài)勢(shì)感知裝置、移動(dòng)介質(zhì)管控平臺(tái)及防病毒管理中心，將生產(chǎn)控制II區(qū)縱向互聯(lián)防火墻更換為電力專用縱向加密認(rèn)證裝置等。③系統(tǒng)所處安全區(qū)再評(píng)估及遷移，電力監(jiān)控系統(tǒng)是不斷完善與發(fā)展的，其所面對(duì)的網(wǎng)絡(luò)安全威脅也是變化的。比如某個(gè)電力監(jiān)控系統(tǒng)升級(jí)改造后，其監(jiān)測(cè)與控制功能的增強(qiáng)，其所承載數(shù)據(jù)的性質(zhì)改變，將導(dǎo)致其網(wǎng)絡(luò)安全形勢(shì)產(chǎn)生改變，這就需要對(duì)系統(tǒng)所處安全區(qū)進(jìn)行再評(píng)估，給出系統(tǒng)是否遷移的建議，這種遷移主要表現(xiàn)為部分系統(tǒng)功能模塊從低安全區(qū)向高安全區(qū)的部署，由于各自所屬安全區(qū)的改變，遷移后系統(tǒng)模塊的數(shù)據(jù)交互必須通過(guò)防火墻或電力專用橫向隔離裝置進(jìn)行。

2.3 安全訪問(wèn)控制和惡意代碼防范

實(shí)行電力監(jiān)控系統(tǒng)安全訪問(wèn)控制重點(diǎn)在于訪問(wèn)控制列表有效的規(guī)則設(shè)定以達(dá)到敏感信息的安全訪問(wèn)。訪問(wèn)通道應(yīng)禁止明文傳輸，如禁用TELNET協(xié)議訪問(wèn)方式，采用SSH強(qiáng)加密訪問(wèn)，對(duì)于關(guān)鍵設(shè)備限定本地串口登錄，這樣可犧牲操作便捷性以達(dá)到安全訪問(wèn)的要求。網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器應(yīng)考慮對(duì)SNMP協(xié)議進(jìn)行訪問(wèn)控制，禁止非法用戶通過(guò)SNMP訪問(wèn)設(shè)備，設(shè)置受信任的網(wǎng)絡(luò)地址范圍。主機(jī)安裝惡意代碼軟件，實(shí)時(shí)查殺病毒并采用專人負(fù)責(zé)，定期維護(hù)更新策略，嚴(yán)禁在線更新病毒庫(kù)[3]。

3 結(jié)束語(yǔ)

電力監(jiān)控系統(tǒng)安全防護(hù)是電力安全生產(chǎn)管理體系的有機(jī)組成部分，無(wú)論是變電站監(jiān)控系統(tǒng)，還是新興的泛在電力物聯(lián)網(wǎng)，每一個(gè)環(huán)節(jié)都需要網(wǎng)絡(luò)安全這道鎖進(jìn)行管控。石嘴山供電公司所建立的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)視體系在近兩年的工作中得到了充分實(shí)踐。其具有較完整、嚴(yán)謹(jǐn)、清晰的管理實(shí)施思路、框架和過(guò)程，既能應(yīng)用于國(guó)家電網(wǎng)有限公司內(nèi)部，如各電壓等級(jí)變電站、配網(wǎng)系統(tǒng)，又能廣泛應(yīng)用于其他企業(yè)或公司，具有普遍適用性和推廣價(jià)值。