吳程楠，田 茜，李 曼

(國(guó)網(wǎng)上海市電力公司松江供電公司，上海 201600)

1 網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)及功能

1.1 網(wǎng)絡(luò)安全管理平臺(tái)建設(shè)

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)[1-3]主要實(shí)現(xiàn)對(duì)調(diào)度機(jī)構(gòu)電力監(jiān)控系統(tǒng)、變電站站控層和電廠涉網(wǎng)部分的專用安防設(shè)備、通用安全設(shè)備、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備等的設(shè)備狀態(tài)、安全狀態(tài)、安全事件和操作行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)與告警，實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)進(jìn)行安全核查及掃描，以發(fā)現(xiàn)薄弱環(huán)節(jié)，甚至主動(dòng)隔離風(fēng)險(xiǎn)主機(jī)。

網(wǎng)絡(luò)安全管理平臺(tái)使用C/S架構(gòu)運(yùn)行于安全Ⅱ區(qū)，并在主站安全Ⅰ區(qū)、Ⅱ區(qū)的采集裝置中部署采集模塊，主要采集來(lái)自電力監(jiān)控系統(tǒng)中的安全設(shè)備、主機(jī)設(shè)備和網(wǎng)絡(luò)設(shè)備的運(yùn)行信息、操作信息以及告警信息，并將采集到的數(shù)據(jù)統(tǒng)一匯總至安全Ⅱ區(qū)的平臺(tái)服務(wù)器，由人機(jī)工作站進(jìn)行集中展現(xiàn)。

NS 5000網(wǎng)絡(luò)安全管理平臺(tái)具備安全檢查、監(jiān)視、告警、分析以及事后審計(jì)等應(yīng)用功能，并提供管理平臺(tái)自身及相關(guān)應(yīng)用的配置管理功能，用來(lái)維護(hù)系統(tǒng)的完整性和可用性，提高系統(tǒng)的運(yùn)行效率。

1.2 安全檢查功能

安全檢查可核查對(duì)象配置安全并評(píng)估存在的安全風(fēng)險(xiǎn)，需預(yù)先將核查腳本分發(fā)到設(shè)備主機(jī)上，由平臺(tái)發(fā)起安全配置核查任務(wù)，并在操作系統(tǒng)層執(zhí)行核查腳本，之后將核查結(jié)果返回給安全配置核查服務(wù)程序。

安全檢查基于漏洞庫(kù)和安全配置基線，對(duì)安全漏洞、弱口令、安全配置進(jìn)行掃描和核查，實(shí)現(xiàn)網(wǎng)絡(luò)安全的主動(dòng)防御。安全風(fēng)險(xiǎn)評(píng)估服務(wù)連接安全Ⅰ/Ⅱ區(qū)采集裝置的探針程序，向?qū)?yīng)安全區(qū)的設(shè)備進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。考慮到對(duì)電力監(jiān)控系統(tǒng)的影響，平臺(tái)提供基礎(chǔ)風(fēng)險(xiǎn)評(píng)估及深度風(fēng)險(xiǎn)評(píng)估功能模塊。

1.3 安全監(jiān)視功能

安全監(jiān)視功能可全方位實(shí)時(shí)監(jiān)視電力監(jiān)控系統(tǒng)的安全運(yùn)行情況，可宏觀展示電力監(jiān)控系統(tǒng)運(yùn)行概況，將采集的網(wǎng)絡(luò)安全數(shù)據(jù)通過(guò)采集消息總線發(fā)送給分析服務(wù)模塊；分析服務(wù)模塊處理收集到的數(shù)據(jù)，將必要的數(shù)據(jù)存入實(shí)時(shí)庫(kù)，生成具體的監(jiān)視、告警信息推送給人機(jī)；人機(jī)的監(jiān)聽(tīng)模塊獲取相關(guān)信息后展示給用戶，并根據(jù)用戶的操作向分析服務(wù)模塊發(fā)送請(qǐng)求，分析服務(wù)模塊收到請(qǐng)求后再?gòu)膶?shí)時(shí)庫(kù)中提取相關(guān)數(shù)據(jù)，發(fā)送給人機(jī)進(jìn)行數(shù)據(jù)展示。支持以拓?fù)鋱D形式展現(xiàn)內(nèi)網(wǎng)的安全主機(jī)及各類安全設(shè)備，實(shí)時(shí)展示設(shè)備告警和在離線狀態(tài)。

1.4 安全告警功能

安全告警功能提供實(shí)時(shí)告警和歷史告警兩種告警展示，根據(jù)告警產(chǎn)生的類型采取多種監(jiān)視方式，實(shí)時(shí)監(jiān)控告警情況。針對(duì)監(jiān)管平臺(tái)的詳細(xì)告警情況，采用多種監(jiān)視方式，諸如告警提示窗、告警懸浮窗、告警輪播等，多手段實(shí)時(shí)監(jiān)視告警情況。

1.5 安全分析功能

安全分析功能使用各種綜合分析手段，并提供報(bào)表工具生成用戶所需的安全運(yùn)行報(bào)表，通過(guò)對(duì)設(shè)備監(jiān)視與告警數(shù)據(jù)進(jìn)行多維度的分析與挖掘。

當(dāng)告警處理模塊分析出告警信息后，通知數(shù)據(jù)分析模塊，在接收到告警通知后查詢歷史數(shù)據(jù)庫(kù)對(duì)告警數(shù)量、告警曲線等信息進(jìn)行統(tǒng)計(jì)分析并將分析結(jié)果寫(xiě)入歷史數(shù)據(jù)庫(kù)和實(shí)時(shí)數(shù)據(jù)庫(kù)，人機(jī)界面通過(guò)查詢歷史庫(kù)和實(shí)時(shí)庫(kù)來(lái)獲取統(tǒng)計(jì)數(shù)據(jù)并展示電力監(jiān)控系統(tǒng)安全運(yùn)行情況。

1.6 安全審計(jì)功能

安全審計(jì)功能基于歷史記錄數(shù)據(jù)，在事后對(duì)所有安全事件、操作行為進(jìn)行關(guān)聯(lián)、跟蹤和追溯的分析，并作出相應(yīng)安全評(píng)價(jià)，以發(fā)掘未被實(shí)時(shí)管理的安全漏洞與安全風(fēng)險(xiǎn)。

數(shù)據(jù)采集模塊將采集的信息通過(guò)采集消息總線發(fā)送給數(shù)據(jù)處理模塊，數(shù)據(jù)處理模塊進(jìn)行分析處理后存入歷史庫(kù)；數(shù)據(jù)分析服務(wù)通過(guò)服務(wù)總線注冊(cè)并對(duì)外提供審計(jì)數(shù)據(jù)服務(wù)，人機(jī)界面通過(guò)服務(wù)總線發(fā)現(xiàn)數(shù)據(jù)服務(wù)并建立連接，數(shù)據(jù)分析服務(wù)通過(guò)查詢歷史數(shù)據(jù)庫(kù)，分析統(tǒng)計(jì)人機(jī)界面請(qǐng)求審計(jì)信息，并反饋給平臺(tái)界面進(jìn)行展示。

2 典型主機(jī)設(shè)備接入

2.1 廠站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置接入

廠站端部署網(wǎng)絡(luò)安全監(jiān)測(cè)裝置(Ⅱ型)，當(dāng)站端安全Ⅰ區(qū)、Ⅱ區(qū)網(wǎng)絡(luò)可達(dá)時(shí)，僅在安全Ⅱ區(qū)部署一臺(tái)；否則安全Ⅰ區(qū)、Ⅱ區(qū)需各部署一臺(tái)。ISG 3000網(wǎng)絡(luò)安全監(jiān)測(cè)裝置(Ⅱ型)需同時(shí)接入站控層A、B網(wǎng)內(nèi)，保證與A、B網(wǎng)內(nèi)所有設(shè)備互聯(lián)互通。

典型變電站部署拓?fù)鋱D如圖1所示。

圖1 典型變電站部署拓?fù)鋱D

本文選取110 kV變電站作為典型案例，分析探討110 kV變電站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置接入及調(diào)試相關(guān)事項(xiàng)，其他類型廠站可參考接入，其拓?fù)鋱D如圖2所示。

圖2 廠站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置接入?yún)⒖紙D

調(diào)度主站網(wǎng)絡(luò)安全管理平臺(tái)和廠站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置是通過(guò)電力調(diào)度數(shù)據(jù)網(wǎng)互聯(lián)互通，調(diào)度主站網(wǎng)絡(luò)安全管理平臺(tái)數(shù)據(jù)網(wǎng)關(guān)機(jī)與廠站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置之間設(shè)置通信所需靜態(tài)路由，確保雙方通信正常。110 kV變電站調(diào)試網(wǎng)絡(luò)安全監(jiān)測(cè)裝置常碰到“資產(chǎn)不在線”等問(wèn)題，建議排故方法如下。

首先確保調(diào)度主站網(wǎng)絡(luò)安全管理平臺(tái)與廠站網(wǎng)絡(luò)安全監(jiān)測(cè)裝置網(wǎng)絡(luò)可達(dá)，并查看網(wǎng)絡(luò)地址，確保地址生效。

(1) 查看模塊運(yùn)行是否正常。

(2) 主機(jī)日志采集測(cè)試。

對(duì)照《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置技術(shù)規(guī)范》附錄E.3.2廠站服務(wù)器、工作站等設(shè)備采集信息，逐條觸發(fā)主機(jī)事件抓包驗(yàn)證報(bào)文格式正確性。

2.2 設(shè)備主機(jī)資產(chǎn)接入

主機(jī)信息采集方式為，由安全操作系統(tǒng) (凝思、麒麟)主動(dòng)進(jìn)行信息采集，通過(guò)消息總線上報(bào)到監(jiān)管平臺(tái)。信息采集分為周期上報(bào)(運(yùn)行信息)和觸發(fā)上報(bào)兩種方式，以達(dá)到對(duì)主機(jī)運(yùn)行狀態(tài)進(jìn)行全面監(jiān)視的目的。

SSH每次以鏈路為基本單元進(jìn)行跳轉(zhuǎn)訪問(wèn)，由操作系統(tǒng)主動(dòng)將采集項(xiàng)通過(guò)消息總線發(fā)送至Ⅰ區(qū)和Ⅱ區(qū)采集服務(wù)器，并在平臺(tái)側(cè)進(jìn)行匯總展現(xiàn)。對(duì)于非法的鏈路阻斷或當(dāng)人員通過(guò)本機(jī)或X11(Xmanager)登錄后打開(kāi)console操作時(shí)，操作系統(tǒng)主動(dòng)采集登錄及操作信息，通過(guò)消息總線發(fā)送至Ⅰ區(qū)和Ⅱ區(qū)采集服務(wù)器，可由網(wǎng)絡(luò)安全管理平臺(tái)通過(guò)Ⅰ區(qū)和Ⅱ區(qū)采集服務(wù)器向該業(yè)務(wù)主機(jī)發(fā)送非法鏈路，在該主機(jī)上產(chǎn)生的進(jìn)程號(hào)(通過(guò)消息總線)，由操作系統(tǒng)進(jìn)行實(shí)時(shí)鏈路阻斷。對(duì)于危險(xiǎn)操作命令例如(reboot)，可由平臺(tái)直接識(shí)別，并產(chǎn)生告警內(nèi)容。

以廠站側(cè)監(jiān)控主機(jī)為例，安全操作系統(tǒng) (凝思、麒麟)主動(dòng)進(jìn)行信息采集，通過(guò)消息總線上報(bào)到安全網(wǎng)關(guān)。針對(duì)不同類型操作系統(tǒng)，需部署探針程序agent，采集用戶登錄、操作并監(jiān)控系統(tǒng)運(yùn)行情況等信息，并通過(guò)Ⅱ區(qū)調(diào)度數(shù)據(jù)網(wǎng)交換機(jī)發(fā)送到網(wǎng)絡(luò)安全管理平臺(tái)的二區(qū)數(shù)據(jù)網(wǎng)關(guān)機(jī)進(jìn)行處理，然后在平臺(tái)應(yīng)用界面上顯示出來(lái)。

3 網(wǎng)絡(luò)安全技術(shù)應(yīng)用實(shí)踐

3.1 NAT技術(shù)應(yīng)用

NAT技術(shù)是將內(nèi)部網(wǎng)絡(luò)的私有IP地址翻譯成唯一的公網(wǎng)IP地址，使內(nèi)部網(wǎng)絡(luò)可以連接到外部網(wǎng)絡(luò)上過(guò)程[3]。

本文主要探討靜態(tài)地址映射技術(shù)實(shí)現(xiàn)前置服務(wù)器訪問(wèn)RTU時(shí)暴露內(nèi)部網(wǎng)絡(luò)地址功能。在前置網(wǎng)關(guān)服務(wù)器配置相應(yīng)的私網(wǎng)地址，因此私網(wǎng)地址需要與各廠站RTU配置的前置網(wǎng)關(guān)通信。當(dāng)調(diào)度主站前置通信服務(wù)器主動(dòng)發(fā)起業(yè)務(wù)訪問(wèn)時(shí)，數(shù)據(jù)包的源地址及目的地址在NAT網(wǎng)關(guān)機(jī)進(jìn)行轉(zhuǎn)換，完成轉(zhuǎn)換成公網(wǎng)地址后，廠站側(cè)電力監(jiān)控系統(tǒng)收到數(shù)據(jù)包進(jìn)行解析處理并反應(yīng)至調(diào)度主站，完成最終的業(yè)務(wù)交互過(guò)程。由于IP包的源IP已經(jīng)被NAT轉(zhuǎn)換成的調(diào)度數(shù)據(jù)網(wǎng)IP，響應(yīng)的IP包(Des=32.1.2.2，Src=32.1.2.1)將被發(fā)送到NAT網(wǎng)關(guān)機(jī)。當(dāng)前置服務(wù)器(172.16.1.1)訪問(wèn)RTU終端(32.1.2.1)時(shí)，私有網(wǎng)中的主機(jī)172.16.1.1向公共網(wǎng)中的主機(jī)32.1.2.1發(fā)送了1個(gè)IP包(Des=32.1.2.1，Src=172.16.1.1)。當(dāng)IP包經(jīng)過(guò)NAT網(wǎng)關(guān)時(shí)，NAT會(huì)將IP包的源IP轉(zhuǎn)換為NAT的調(diào)度數(shù)據(jù)網(wǎng)IP并轉(zhuǎn)發(fā)到調(diào)度數(shù)據(jù)網(wǎng)，此時(shí)IP包(Des=32.1.2.1，Src=32.1.2.2)中已經(jīng)不含任何私有網(wǎng)絡(luò)IP的信息。NAT網(wǎng)關(guān)在地址映射轉(zhuǎn)換過(guò)程對(duì)前置服務(wù)器來(lái)說(shuō)是透明的；對(duì)廠站側(cè)電力監(jiān)控系統(tǒng)而言，調(diào)度主站前置通信服務(wù)器是32.1.2.1，調(diào)度主站端則隱藏了172.16.1.1的私有地址。因此，NAT技術(shù)“隱藏”了調(diào)度主站和廠站RTU通信雙方的私有網(wǎng)絡(luò)地址，有效保證了電力監(jiān)控系統(tǒng)的安全運(yùn)行及穩(wěn)定性。

3.2 ACL技術(shù)應(yīng)用

電力監(jiān)控系統(tǒng)中采取業(yè)務(wù)訪問(wèn)白名單方式，控制并規(guī)范網(wǎng)絡(luò)訪問(wèn)行為，ACL訪問(wèn)控制列表技術(shù)[1]正可實(shí)現(xiàn)在網(wǎng)絡(luò)出口處精準(zhǔn)識(shí)別和控制業(yè)務(wù)訪問(wèn)，做到流量控制及訪問(wèn)授權(quán)等功能。如果數(shù)據(jù)包與ACL中某條語(yǔ)句匹配，則列表中其他語(yǔ)句會(huì)被忽略;若不匹配，則繼續(xù)檢查ACL下一個(gè)命令語(yǔ)句，在到達(dá)ACL的最后一條命令仍舊不匹配時(shí)，該數(shù)據(jù)包將被丟棄。當(dāng)出現(xiàn)匹配并且該規(guī)則允許報(bào)文轉(zhuǎn)發(fā)時(shí)，才會(huì)將該條報(bào)文轉(zhuǎn)發(fā);如果無(wú)法匹配全部規(guī)則，或匹配既定規(guī)則后禁止報(bào)文轉(zhuǎn)發(fā)，則丟棄該報(bào)文。

ACL針對(duì)符合規(guī)則的入站數(shù)據(jù)包，由路由器處理器調(diào)入內(nèi)存，讀取數(shù)據(jù)包的包頭信息，如目標(biāo)IP地址，并搜索路由器的路由表，查看是否在路由表項(xiàng)中，如果有，則從路由表的選擇接口轉(zhuǎn)發(fā)(如果無(wú)，則丟棄該數(shù)據(jù)包)，數(shù)據(jù)包進(jìn)入該接口的訪問(wèn)控制列表(如果無(wú)訪問(wèn)控制規(guī)則，直接轉(zhuǎn)發(fā))，然后按條件進(jìn)行篩選。訪問(wèn)控制列表流程如圖3所示。

圖3 訪問(wèn)控制列表流程

結(jié)合地區(qū)調(diào)度工作實(shí)際情況，調(diào)度數(shù)據(jù)網(wǎng)接入規(guī)范及業(yè)務(wù)IP地址訪問(wèn)需要，ACL規(guī)則需要實(shí)現(xiàn)如下功能需求。

(1)允許廠站側(cè)電力監(jiān)控系統(tǒng)安全Ⅰ區(qū)的業(yè)務(wù)主機(jī)通過(guò)2404端口與主站側(cè)安全Ⅰ區(qū)業(yè)務(wù)主機(jī)通信。

(2)允許主站側(cè)安全Ⅰ區(qū)業(yè)務(wù)主機(jī)通過(guò)SSH安全協(xié)議遠(yuǎn)程登錄廠站側(cè)電力系統(tǒng)安全Ⅰ區(qū)的業(yè)務(wù)主機(jī)。

(3)阻止其他任何報(bào)文訪問(wèn)。根據(jù)實(shí)際業(yè)務(wù)需求，需在廠站側(cè)網(wǎng)絡(luò)出口處對(duì)業(yè)務(wù)訪問(wèn)流量進(jìn)行限制，設(shè)置ACL并綁定網(wǎng)關(guān)設(shè)備MAC端口。

廠站RTU如在網(wǎng)絡(luò)出口有不符合安全策略的訪問(wèn)，則丟棄該數(shù)據(jù)包。假設(shè)某個(gè)IP地址以TCP協(xié)議試圖掃描廠站縱向加密裝置以訪問(wèn)其他通信端業(yè)務(wù)主機(jī)，那惡意代碼則可通過(guò)TCP的某端口進(jìn)行惡意傳播的風(fēng)險(xiǎn)大大增加，存在極大安全隱患。

提前在廠站側(cè)網(wǎng)絡(luò)出口側(cè)設(shè)定必需的ACL訪問(wèn)控制策略后，所有與業(yè)務(wù)端口無(wú)關(guān)的數(shù)據(jù)包都將被丟棄，最后一條隱含的語(yǔ)句適用于不滿足之前任何條件的所有數(shù)據(jù)包。這條最后的測(cè)試條件與這些數(shù)據(jù)包匹配，通常會(huì)隱含拒絕一切數(shù)據(jù)包的指令。

4 結(jié)語(yǔ)

電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)的建設(shè)與應(yīng)用為電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控提供了技術(shù)手段，實(shí)現(xiàn)電力監(jiān)控系統(tǒng)安全告警信息的實(shí)時(shí)采集以及網(wǎng)絡(luò)安全事件的快速隔離與處理。同時(shí)，采用網(wǎng)絡(luò)NAT技術(shù)和ACL技術(shù)可限定網(wǎng)絡(luò)流量隨意性訪問(wèn)，規(guī)范日常業(yè)務(wù)訪問(wèn)行為。電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)性、整體性的問(wèn)題，系統(tǒng)中任何一個(gè)漏洞或威脅都有可能造成全網(wǎng)安全問(wèn)題。

結(jié)合近幾年的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)實(shí)踐經(jīng)驗(yàn)，本文提出若干網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，并結(jié)合實(shí)際工作提出了保證電力監(jiān)控系統(tǒng)安全高效運(yùn)行的一些措施和建議，以期為提高電網(wǎng)整體監(jiān)控系統(tǒng)安全、建設(shè)數(shù)字化孿生電網(wǎng)和加快推進(jìn)調(diào)度信息資源夯實(shí)技術(shù)基礎(chǔ)。