電力系統(tǒng)重點(diǎn)場(chǎng)所網(wǎng)絡(luò)監(jiān)控實(shí)時(shí)報(bào)警研究

張明達(dá) 王思謹(jǐn)

國(guó)網(wǎng)寧波市奉化區(qū)供電公司 浙江 寧波 315500

引言

電力監(jiān)控系統(tǒng)是電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)的關(guān)鍵支撐[1]。隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)現(xiàn)，計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的企業(yè)經(jīng)營(yíng)管理中的重要性不斷凸顯，電力網(wǎng)絡(luò)的調(diào)度、管理等系統(tǒng)都通過網(wǎng)絡(luò)進(jìn)行運(yùn)行。為此，電力系統(tǒng)紛紛加大了網(wǎng)絡(luò)技術(shù)應(yīng)用力度。不過，信息網(wǎng)絡(luò)具有兩面性，它在給企業(yè)管理帶來便利的同時(shí)，自身也具有一定風(fēng)險(xiǎn)，如非法惡意操作、外部網(wǎng)攻擊等，都有可能危及電力系統(tǒng)的正常運(yùn)轉(zhuǎn)。這就要求電力企業(yè)在運(yùn)用信息網(wǎng)絡(luò)的同時(shí)，還要做好信息網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全防護(hù)，管理手段和技術(shù)手段相互補(bǔ)充，缺一不可[2]，才能為電力網(wǎng)絡(luò)系統(tǒng)提供安全保障，提高電力系統(tǒng)的經(jīng)濟(jì)效益。

目前，國(guó)內(nèi)電力企業(yè)監(jiān)控系統(tǒng)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護(hù)總體策略建立安全防護(hù)體系[3]，但電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用場(chǎng)景豐富，安全問題仍然面臨各類威脅。供電局營(yíng)業(yè)場(chǎng)所等地方運(yùn)行的公共終端通常在無(wú)人值守的情況進(jìn)行運(yùn)營(yíng)，由于業(yè)務(wù)數(shù)據(jù)的互通互聯(lián)要求，其網(wǎng)絡(luò)系統(tǒng)連接到供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)中，和供電系統(tǒng)核心業(yè)務(wù)系統(tǒng)處于同一個(gè)網(wǎng)絡(luò)。在供電局營(yíng)業(yè)場(chǎng)所等地方公共終端進(jìn)行非法惡意操作和外部網(wǎng)攻擊等情況，由于其網(wǎng)絡(luò)端口的安全性往往存在安全管理的漏洞，會(huì)給整個(gè)電力管理網(wǎng)絡(luò)帶來嚴(yán)重的問題。尤其是供電營(yíng)業(yè)廳的用戶區(qū)放有公共查詢電腦，主要用于用戶用電數(shù)據(jù)查詢等。由于電腦在無(wú)人值守的情況進(jìn)行運(yùn)行，計(jì)算機(jī)運(yùn)行狀態(tài)無(wú)法監(jiān)控，包括計(jì)算機(jī)是否運(yùn)行正常，是否有非法進(jìn)行侵入等。

本文針對(duì)營(yíng)業(yè)場(chǎng)所公共電腦無(wú)人值守運(yùn)行的情況，提出一種端口實(shí)時(shí)報(bào)警機(jī)制，自動(dòng)監(jiān)控計(jì)算機(jī)和網(wǎng)絡(luò)端口運(yùn)行情況，當(dāng)發(fā)現(xiàn)外部設(shè)備通過端口聯(lián)入網(wǎng)絡(luò)等情況，能夠主動(dòng)向指定值班人員進(jìn)行報(bào)警以便確認(rèn)。不僅保證了信息系統(tǒng)資產(chǎn)的安全，而且為電力業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行提供了保障。

1 系統(tǒng)設(shè)計(jì)

為了保障內(nèi)部網(wǎng)絡(luò)的安全，電力企業(yè)通常會(huì)安裝多種安全防護(hù)設(shè)備，如防火墻、防病毒軟件等，共同為單位內(nèi)部網(wǎng)絡(luò)構(gòu)建安全防護(hù)圈。這些設(shè)備在運(yùn)行過程中都會(huì)產(chǎn)生大量日志來記錄自身行為，這些日志經(jīng)過分析，能夠有效地提供設(shè)備狀態(tài)和網(wǎng)絡(luò)運(yùn)行狀況。但在國(guó)家電網(wǎng)存在大量的無(wú)人值守營(yíng)業(yè)廳，具有結(jié)構(gòu)復(fù)雜和分散獨(dú)立的特點(diǎn)，嚴(yán)重制約了對(duì)整個(gè)網(wǎng)絡(luò)環(huán)境的運(yùn)行狀態(tài)以及有害活動(dòng)的檢測(cè)。為此，將系統(tǒng)設(shè)計(jì)為采用C/S架構(gòu)，將地理位置分散的營(yíng)業(yè)廳公共終端建模為多個(gè)營(yíng)業(yè)廳客戶端，并與監(jiān)控端分離。監(jiān)控端客戶端用于定期收集來自各公共終端的網(wǎng)絡(luò)安全日志，進(jìn)行統(tǒng)計(jì)分析后提交給服務(wù)器端。

隨著網(wǎng)絡(luò)攻擊的手段越來越多樣化，攻擊方法越來越隱蔽，依靠傳統(tǒng)的單一節(jié)點(diǎn)分析技術(shù)已經(jīng)無(wú)法滿足對(duì)海量安全日志的實(shí)時(shí)性分析和多維度檢測(cè)，從而使網(wǎng)絡(luò)管理員人員難以從全局實(shí)時(shí)把握網(wǎng)絡(luò)安全態(tài)勢(shì)，無(wú)法制定出正確的安全決策和應(yīng)急響應(yīng)。各類網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志信息重復(fù)率高，網(wǎng)絡(luò)管理人員很難發(fā)現(xiàn)其中隱藏的關(guān)聯(lián)性，這不利于對(duì)網(wǎng)絡(luò)態(tài)勢(shì)進(jìn)行全局分析。為此，本系統(tǒng)設(shè)置服務(wù)器端，并制定了客戶端的定期上報(bào)機(jī)制，用于實(shí)現(xiàn)網(wǎng)絡(luò)異常事件的快速采集、快速檢測(cè)，及時(shí)將預(yù)警信息提供給審核客戶端審核、研判，為網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng)提供支撐，以及為其他安全管理系統(tǒng)提供預(yù)警信息等。

通常使用的安全威脅機(jī)制是漏洞掃描器等掃描軟件，但這類掃描得出的威脅評(píng)價(jià)是靜態(tài)的，不能及時(shí)反映系統(tǒng)所面臨的動(dòng)態(tài)網(wǎng)絡(luò)安全威脅。為此，本文利用各客戶端定期提交并匯總的報(bào)警日志，動(dòng)態(tài)度量所面臨的網(wǎng)絡(luò)安全威脅，經(jīng)過分析后及時(shí)發(fā)出有針對(duì)性的實(shí)時(shí)報(bào)警，并定位發(fā)送給特定的監(jiān)控客戶端，幫助電網(wǎng)營(yíng)業(yè)廳更有效地應(yīng)對(duì)各種網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)攻擊和端口密切相關(guān)。依據(jù)TCP/IP協(xié)議，端口對(duì)應(yīng)著軟件所提供的某種服務(wù)，因此，系統(tǒng)的脆弱性可以用端口的風(fēng)險(xiǎn)值來表示。計(jì)算機(jī)系統(tǒng)中，邏輯意義上的端口則是指TCP/IP協(xié)議中的網(wǎng)絡(luò)端口，計(jì)算機(jī)之間的通信是通過端口進(jìn)行的，每一個(gè)網(wǎng)絡(luò)用戶的數(shù)據(jù)包必須經(jīng)過網(wǎng)絡(luò)端口才能與外界實(shí)現(xiàn)交流。對(duì)計(jì)算機(jī)端口狀態(tài)的查詢是了解其運(yùn)行情況的重要方式，通過對(duì)其狀態(tài)的查詢能及時(shí)發(fā)現(xiàn)計(jì)算機(jī)系統(tǒng)中的異常，以便及時(shí)做出防范與解決。常用的安全策略包括通過端口監(jiān)聽嗅探常規(guī)業(yè)務(wù)傳輸端口。為此，本系統(tǒng)根據(jù)業(yè)務(wù)端口情況進(jìn)行具體黑白名單策略配置，判別異常流量發(fā)起端口，能夠自動(dòng)監(jiān)控計(jì)算機(jī)操作系統(tǒng)和程序的運(yùn)行情況、自動(dòng)監(jiān)控網(wǎng)絡(luò)端口運(yùn)行情況。

2 系統(tǒng)實(shí)現(xiàn)

本文實(shí)現(xiàn)了一種基于網(wǎng)絡(luò)日志的端口自動(dòng)報(bào)警系統(tǒng)，能夠自動(dòng)監(jiān)控計(jì)算機(jī)操作系統(tǒng)和程序的運(yùn)行情況、自動(dòng)監(jiān)控網(wǎng)絡(luò)端口運(yùn)行情況，當(dāng)發(fā)現(xiàn)計(jì)算機(jī)上有可疑程序進(jìn)程運(yùn)行，或者有外部設(shè)備通過端口聯(lián)入網(wǎng)絡(luò)等情況，能夠主動(dòng)向指定值班人員進(jìn)行報(bào)警以便確認(rèn)。不僅保證了信息系統(tǒng)資產(chǎn)的安全，而且為電力業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行提供了保障。

系統(tǒng)架構(gòu)如圖1所示，采用C/S架構(gòu)，包括服務(wù)器端和兩個(gè)客戶端。其中，客戶端包括營(yíng)業(yè)廳客戶端和監(jiān)控客戶端，營(yíng)業(yè)廳客戶端運(yùn)行于供電所營(yíng)業(yè)廳無(wú)人值守計(jì)算機(jī)上，主要用于和服務(wù)器端連接，檢測(cè)允許和禁止的程序清單；監(jiān)控客戶端運(yùn)行于特定工作站上的服務(wù)程序，根據(jù)配置情況，檢測(cè)不同的工作站運(yùn)行情況。服務(wù)器端用來接收營(yíng)業(yè)廳計(jì)算機(jī)的報(bào)警信息，并同時(shí)根據(jù)信息的路由信息向客戶端程序進(jìn)行轉(zhuǎn)發(fā)。

圖1 端口實(shí)時(shí)報(bào)警系統(tǒng)架構(gòu)圖

2.1 營(yíng)業(yè)廳查詢客戶端

該客戶端位于供電所營(yíng)業(yè)廳外面，主要用于用戶查詢供電系統(tǒng)，該查詢臺(tái)直接聯(lián)入供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)中。該客戶端的核心功能是運(yùn)行時(shí)開通本地運(yùn)行日志信息，記錄運(yùn)行情況，并及時(shí)上報(bào)日志。

該系統(tǒng)啟動(dòng)時(shí)，首先和服務(wù)器建立TCP連接，同時(shí)檢查本機(jī)的注冊(cè)信息。當(dāng)系統(tǒng)正常注冊(cè)以后，接收服務(wù)器端的黑名單和白名單運(yùn)行程序，檢查本地程序，如果發(fā)現(xiàn)白名單上程序沒有運(yùn)行或運(yùn)行有黑名單程序，系統(tǒng)就向服務(wù)器發(fā)送報(bào)警信息。白名單和黑名單會(huì)定期檢查，如果發(fā)現(xiàn)當(dāng)前運(yùn)行的程序不在白名單上，或者該程序在黑名單上，則向服務(wù)器報(bào)警，并記錄日志。

2.2 自動(dòng)監(jiān)控客戶端

該客戶端運(yùn)行于有營(yíng)業(yè)員值班的計(jì)算機(jī)中，主要功能是接收服務(wù)器發(fā)過來的報(bào)警信息，并進(jìn)行顯示和運(yùn)行。系統(tǒng)啟動(dòng)時(shí)，首先和服務(wù)器建立TCP連接，同時(shí)檢查本機(jī)的注冊(cè)信息。當(dāng)系統(tǒng)正常注冊(cè)后，開通本地運(yùn)行日志信息，記錄運(yùn)行情況。該客戶端能夠記錄客戶端進(jìn)行查詢、統(tǒng)計(jì)和處理的結(jié)果，并且接收服務(wù)器端發(fā)過來的報(bào)警信息，在本地記錄報(bào)警日志和報(bào)警。

2.3 服務(wù)器端

安全監(jiān)控服務(wù)器是整個(gè)系統(tǒng)運(yùn)行和控制的中心，并承擔(dān)了兩個(gè)客戶端的核心服務(wù)；服務(wù)器接收查詢客戶端發(fā)過來的消息，并根據(jù)消息轉(zhuǎn)發(fā)路由配置信息，將監(jiān)控客戶端的消息轉(zhuǎn)發(fā)到特定的查看和報(bào)警客戶端。另外，當(dāng)報(bào)警信息發(fā)過來的時(shí)候，確定應(yīng)該發(fā)送到哪一臺(tái)設(shè)備進(jìn)行配置。監(jiān)控設(shè)備消息配置包括設(shè)備名稱、CPUID、主板ID，設(shè)備開關(guān)機(jī)時(shí)間，監(jiān)控周期，是否注冊(cè)和運(yùn)行等。

該服務(wù)器端可進(jìn)行多種配置，包括設(shè)備應(yīng)用程序黑名單和白名單配置、消息轉(zhuǎn)發(fā)路由配置、和系統(tǒng)功能配置。

3 系統(tǒng)評(píng)估

采用本系統(tǒng)后，通過對(duì)電力系統(tǒng)重點(diǎn)場(chǎng)所網(wǎng)絡(luò)監(jiān)控，實(shí)現(xiàn)了安全異常數(shù)據(jù)實(shí)時(shí)獲取，從而能夠?qū)崟r(shí)獲取檢測(cè)結(jié)果，有效地提高事件檢測(cè)速度，實(shí)現(xiàn)快速發(fā)現(xiàn)、快速告警，降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。由于端口的監(jiān)控和匯總是動(dòng)態(tài)的，能夠得到一系列連續(xù)的分析結(jié)果，實(shí)現(xiàn)對(duì)分析結(jié)果的動(dòng)態(tài)更新。由于采用了網(wǎng)絡(luò)日志進(jìn)行分析，因此保證了報(bào)警事件的完整性，可以發(fā)現(xiàn)該網(wǎng)絡(luò)空間中發(fā)生的所有類型的安全事件。由于采用了基于客戶端和服務(wù)器的匯總機(jī)制，能夠發(fā)現(xiàn)網(wǎng)絡(luò)空間中各個(gè)節(jié)點(diǎn)發(fā)生的安全事件。結(jié)合以上機(jī)制，實(shí)現(xiàn)了網(wǎng)絡(luò)安全監(jiān)控的時(shí)域全程性，能夠?qū)υ撓到y(tǒng)應(yīng)用的全網(wǎng)段的網(wǎng)絡(luò)安全事件的全部步驟及其時(shí)序關(guān)系進(jìn)行獲取和分析。

該系統(tǒng)采用分布式服務(wù)模式，可以在部署1臺(tái)或者多臺(tái)服務(wù)器，并可以實(shí)現(xiàn)多臺(tái)服務(wù)器的協(xié)同工作，從而為后續(xù)進(jìn)行基于大數(shù)據(jù)和數(shù)據(jù)融合技術(shù)奠定了基礎(chǔ)。針對(duì)網(wǎng)絡(luò)多個(gè)節(jié)點(diǎn)中存在大量多源、異構(gòu)、冗余的報(bào)警信息問題，能夠進(jìn)行報(bào)警規(guī)范化方法，和多源報(bào)警融合方法。從而為下一步對(duì)各個(gè)報(bào)警信息進(jìn)行協(xié)同處理，減少報(bào)警數(shù)量提高檢測(cè)準(zhǔn)確性和效率。在服務(wù)器上匯聚了多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)客戶端的報(bào)警大數(shù)據(jù)后，可進(jìn)一步搭建面向大規(guī)模攻擊的多步攻擊序列挖掘方法，通過數(shù)據(jù)挖掘方法實(shí)現(xiàn)對(duì)多角度、孤立的報(bào)警信息的融合，挖掘出網(wǎng)絡(luò)中存在的頻繁多步攻擊序列，發(fā)現(xiàn)單個(gè)攻擊事件之間的因果關(guān)系，為電力企業(yè)搭建高性能高智能的網(wǎng)絡(luò)安全機(jī)制提供基礎(chǔ)設(shè)施。

4 結(jié)束語(yǔ)

本文分析了電力系統(tǒng)營(yíng)業(yè)場(chǎng)所的無(wú)人值守公共終端所面臨的安全問題，針對(duì)非法惡意操作和外部網(wǎng)攻擊等情況，往往存在安全管理的漏洞，提出基于網(wǎng)絡(luò)日志的端口監(jiān)控實(shí)時(shí)報(bào)警方案。該方案采用C/S架構(gòu)，采用了端口監(jiān)控、網(wǎng)絡(luò)日志、黑白程序名單等機(jī)制，并可以通過中心監(jiān)控服務(wù)器同時(shí)對(duì)一個(gè)或多個(gè)客戶端進(jìn)行實(shí)時(shí)監(jiān)控。該系統(tǒng)可用于營(yíng)業(yè)場(chǎng)所無(wú)人值守計(jì)算機(jī)的運(yùn)行情況以及端口的監(jiān)控，也可以用于野外獨(dú)立運(yùn)行計(jì)算機(jī)的安全監(jiān)控，能夠解決監(jiān)控計(jì)算機(jī)的安全運(yùn)行問題。保障了供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全性和可靠性。