張 東，李 健，孫 蒙

(呼和浩特供電公司，內(nèi)蒙古 呼和浩特 010050)

當(dāng)前，網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，計(jì)算機(jī)病毒、木馬、黑客攻擊等惡意網(wǎng)絡(luò)攻擊行為日益猖獗，網(wǎng)絡(luò)信息戰(zhàn)和網(wǎng)絡(luò)恐怖行動(dòng)等國(guó)家、集團(tuán)性網(wǎng)絡(luò)攻擊行為對(duì)全社會(huì)的生產(chǎn)和生活都造成了嚴(yán)重影響。針對(duì)電力監(jiān)控網(wǎng)絡(luò)，無(wú)論從國(guó)家層面還是各電網(wǎng)企業(yè)，都高度重視網(wǎng)絡(luò)安全工作，將網(wǎng)絡(luò)安全視為大電網(wǎng)安全的重要組成部分，尤其是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)，在突發(fā)網(wǎng)絡(luò)安全事件的時(shí)候，調(diào)度主站能夠快速反應(yīng)并切除網(wǎng)絡(luò)攻擊行為，逐步形成預(yù)防預(yù)控機(jī)制。

隨著地區(qū)電網(wǎng)調(diào)度業(yè)務(wù)的大量增加，如遙控和遙調(diào)等遠(yuǎn)方控制功能也被大量采用。這將嚴(yán)重挑戰(zhàn)電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡(luò)的安全可靠運(yùn)行；同時(shí)內(nèi)部IT基礎(chǔ)設(shè)施，如服務(wù)器、網(wǎng)絡(luò)設(shè)備、工作站等硬件設(shè)備，存在被外部威脅和攻擊的風(fēng)險(xiǎn)；操作系統(tǒng)、數(shù)據(jù)庫(kù)等各業(yè)務(wù)應(yīng)用軟件，普遍存在后門或漏洞等安全風(fēng)險(xiǎn)。電力監(jiān)控系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)見(jiàn)表1。

表1 電力監(jiān)控系統(tǒng)面臨的主要風(fēng)險(xiǎn)

呼和浩特供電公司現(xiàn)有的內(nèi)網(wǎng)安全監(jiān)視功能實(shí)現(xiàn)了電力監(jiān)控系統(tǒng)安全防護(hù)設(shè)備的集中管理和在線監(jiān)視，能夠監(jiān)視安防設(shè)備的運(yùn)行狀態(tài)及異常網(wǎng)絡(luò)訪問(wèn)。但生產(chǎn)現(xiàn)場(chǎng)存在的非法外聯(lián)行為、移動(dòng)介質(zhì)和設(shè)備接入管理不嚴(yán)格、運(yùn)維的安全管理不到位等問(wèn)題時(shí)有發(fā)生，亟待解決。針對(duì)以上問(wèn)題，結(jié)合地區(qū)調(diào)度內(nèi)網(wǎng)系統(tǒng)生產(chǎn)實(shí)際，筆者提出了呼和浩特地區(qū)調(diào)度網(wǎng)絡(luò)安全管理平臺(tái)配置方案并進(jìn)行分析。

1 地區(qū)調(diào)度網(wǎng)絡(luò)安全管理平臺(tái)的總體架構(gòu)

地區(qū)調(diào)度網(wǎng)絡(luò)安全管理平臺(tái)采用獨(dú)立組網(wǎng)的形式進(jìn)行網(wǎng)絡(luò)部署，平臺(tái)運(yùn)行硬件按功能劃分為安全監(jiān)測(cè)裝置、數(shù)據(jù)網(wǎng)關(guān)機(jī)、應(yīng)用服務(wù)器、人機(jī)工作站4類。網(wǎng)絡(luò)安全監(jiān)測(cè)裝置包括Ⅰ型和Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，分別部署在主站和廠站。作為業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)內(nèi)部及外部網(wǎng)絡(luò)的邊界，主要實(shí)現(xiàn)對(duì)調(diào)度自動(dòng)化系統(tǒng)及直調(diào)廠站監(jiān)控系統(tǒng)的數(shù)據(jù)采集；數(shù)據(jù)網(wǎng)關(guān)機(jī)置于網(wǎng)絡(luò)安全管理平臺(tái)內(nèi)外網(wǎng)邊界，主要作用是匯集內(nèi)部數(shù)據(jù)以及平臺(tái)間信息交互；各種應(yīng)用服務(wù)器置于平臺(tái)內(nèi)網(wǎng)中，用來(lái)為網(wǎng)絡(luò)安全數(shù)據(jù)存儲(chǔ)、監(jiān)測(cè)、分析、審計(jì)等功能提供支撐；人機(jī)工作站也置于網(wǎng)絡(luò)安全管理平臺(tái)內(nèi)網(wǎng)，主要為人機(jī)界面展示、人機(jī)交互提供支撐。系統(tǒng)總體架構(gòu)圖如圖1所示。

圖1 地區(qū)調(diào)度網(wǎng)絡(luò)安全管理系統(tǒng)配置示意

平臺(tái)側(cè)：網(wǎng)絡(luò)安全管理平臺(tái)采用在調(diào)度端安全Ⅱ區(qū)內(nèi)部獨(dú)立組網(wǎng)的部署方式，組網(wǎng)使用1臺(tái)交換機(jī)，平臺(tái)內(nèi)部采用1臺(tái)監(jiān)視與告警服務(wù)器，1臺(tái)分析審計(jì)與核查服務(wù)器；負(fù)責(zé)對(duì)主站側(cè)、變電站站控層及發(fā)電廠涉網(wǎng)生產(chǎn)控制大區(qū)Ⅰ型、Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置收集到的相關(guān)設(shè)備的運(yùn)行信息、操作信息、告警信息進(jìn)行分析處理，并將分析后的結(jié)果發(fā)送至平臺(tái)Ⅱ的UI工作站，實(shí)現(xiàn)UI圖形化界面展現(xiàn)各相關(guān)信息。另外，平臺(tái)內(nèi)還包括2臺(tái)數(shù)據(jù)網(wǎng)關(guān)機(jī)，1臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，2臺(tái)分析與審計(jì)服務(wù)器和1臺(tái)服務(wù)網(wǎng)關(guān)機(jī)。平臺(tái)內(nèi)的數(shù)據(jù)網(wǎng)關(guān)機(jī)連接調(diào)度數(shù)據(jù)網(wǎng)管理VPN實(shí)現(xiàn)平臺(tái)間的數(shù)據(jù)通信，服務(wù)網(wǎng)關(guān)機(jī)與平臺(tái)內(nèi)網(wǎng)交換機(jī)相連實(shí)現(xiàn)數(shù)據(jù)交互，實(shí)現(xiàn)調(diào)閱下級(jí)平臺(tái)關(guān)鍵運(yùn)行指標(biāo)、告警信息、拓?fù)浣Y(jié)構(gòu)以及對(duì)外提供接口等服務(wù)。

Ⅰ、Ⅱ區(qū)數(shù)據(jù)網(wǎng)關(guān)機(jī)：部署在安全Ⅰ區(qū)的數(shù)據(jù)網(wǎng)關(guān)機(jī)負(fù)責(zé)收集來(lái)自廠站側(cè)實(shí)時(shí)Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置上傳的相關(guān)告警信息。安全Ⅰ區(qū)上的網(wǎng)關(guān)機(jī)收到數(shù)據(jù)后，從Ⅰ區(qū)通過(guò)防火墻將數(shù)據(jù)轉(zhuǎn)發(fā)至網(wǎng)絡(luò)安全監(jiān)管平臺(tái)；安全Ⅱ區(qū)上的網(wǎng)關(guān)機(jī)收到數(shù)據(jù)后，從Ⅱ區(qū)地址將數(shù)據(jù)發(fā)送至網(wǎng)絡(luò)安全監(jiān)管平臺(tái)。廠站側(cè)安全Ⅱ區(qū)的相關(guān)告警信息通過(guò)調(diào)度數(shù)據(jù)網(wǎng)非實(shí)時(shí)VPN上傳至主站Ⅱ區(qū)網(wǎng)關(guān)機(jī)；廠站側(cè)在安全Ⅰ區(qū)如果存在Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，其相關(guān)告警信息通過(guò)調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)VPN上傳至主站Ⅰ區(qū)網(wǎng)關(guān)機(jī)。主站建設(shè)時(shí)Ⅰ、Ⅱ區(qū)的數(shù)據(jù)網(wǎng)關(guān)機(jī)應(yīng)分別接收廠站Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置發(fā)送上來(lái)的雙平面數(shù)據(jù)。

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置：在調(diào)度自動(dòng)化主站側(cè)安全Ⅰ、Ⅱ、Ⅲ區(qū)各部署1臺(tái)Ⅰ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，分別負(fù)責(zé)收集各自內(nèi)網(wǎng)區(qū)域的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備(交換機(jī))、安防設(shè)備以及數(shù)據(jù)庫(kù)的相關(guān)運(yùn)行信息、操作信息、告警信息等并轉(zhuǎn)發(fā)給監(jiān)管平臺(tái)。其中在安全Ⅰ、Ⅱ區(qū)部署的Ⅰ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置收到數(shù)據(jù)后，通過(guò)內(nèi)網(wǎng)地址發(fā)給安全Ⅱ區(qū)的管理平臺(tái)；在安全Ⅲ區(qū)部署的Ⅰ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，將收到的數(shù)據(jù)形成符合反向隔離傳輸?shù)奈募ㄟ^(guò)反向隔離裝置將采集到的告警信息轉(zhuǎn)發(fā)給Ⅱ區(qū)平臺(tái)服務(wù)器。廠站建設(shè)時(shí),廠站Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置應(yīng)向上級(jí)平臺(tái)的Ⅱ區(qū)的數(shù)據(jù)網(wǎng)關(guān)機(jī)Ⅰ、Ⅱ平面地址分別發(fā)送數(shù)據(jù)。廠站內(nèi)如果Ⅰ區(qū)也有Ⅱ型網(wǎng)絡(luò)安全監(jiān)測(cè)裝置，也應(yīng)向上級(jí)平臺(tái)的Ⅰ區(qū)的數(shù)據(jù)網(wǎng)關(guān)機(jī)Ⅰ、Ⅱ平面地址分別發(fā)送數(shù)據(jù)。

2 地區(qū)調(diào)度網(wǎng)絡(luò)安全管理平臺(tái)的數(shù)據(jù)采集功能研究

電力監(jiān)控系統(tǒng)中主站側(cè)及廠站側(cè)主機(jī)操作系統(tǒng)的安全事件感知，由運(yùn)行于操作系統(tǒng)內(nèi)核層的可信計(jì)算安全模塊和操作系統(tǒng)廠商負(fù)責(zé)研發(fā)的主機(jī)感知程序兩部分組成，從事件產(chǎn)生的根源實(shí)現(xiàn)安全感知，并通過(guò)可信計(jì)算安全模塊的可信審計(jì)功能和消息總線分別將主機(jī)違反可信策略的操作和登錄信息、運(yùn)行信息和安全事件傳輸至網(wǎng)絡(luò)安全管理平臺(tái)。由操作系統(tǒng)進(jìn)行自身安全事件的感知能夠在第一時(shí)間發(fā)現(xiàn)安全事件的產(chǎn)生，并且操作系統(tǒng)對(duì)自身運(yùn)行狀態(tài)及安全事件的監(jiān)視信息的獲取更加直接和準(zhǔn)確，同時(shí)操作系統(tǒng)能夠更好地在自身安全體系框架內(nèi)完成對(duì)自身安全事件的感知。

基于可信免疫和操作系統(tǒng)自身感知的主機(jī)設(shè)備感知架構(gòu)如圖2所示。

圖2 基于可信免疫和操作系統(tǒng)自身感和主機(jī)設(shè)備感知架構(gòu)

基于可信免疫的操作系統(tǒng)感知通過(guò)部署可信計(jì)算安全模塊主動(dòng)監(jiān)控主機(jī)本地未知惡意代碼的執(zhí)行、策略的強(qiáng)制執(zhí)行控制、業(yè)務(wù)應(yīng)用軟件版本的管理等狀態(tài)，方式如下：①通過(guò)惡意代碼免疫機(jī)制主動(dòng)監(jiān)控未知代碼的執(zhí)行并生成審計(jì)；②通過(guò)軟件版本管理功能識(shí)別軟件版本來(lái)源的可信性并生成審計(jì)；③通過(guò)強(qiáng)制執(zhí)行控制功能捕獲違反可信策略執(zhí)行操作并生成審計(jì)。

上述方式不改變操作系統(tǒng)和業(yè)務(wù)程序的源碼，不影響業(yè)務(wù)程序的正常運(yùn)行。監(jiān)測(cè)程序運(yùn)行在內(nèi)核態(tài)，如若程序異常則功能失效不影響系統(tǒng)正常運(yùn)行?？尚庞?jì)算安全模塊CPU和內(nèi)存占用率低于1%，對(duì)程序加載時(shí)間影響在2 ms～30 ms級(jí)別，對(duì)程序訪問(wèn)時(shí)間無(wú)影響。

操作系統(tǒng)自身感知通過(guò)部署安全服務(wù)代理程序讀取主機(jī)硬件配置、系統(tǒng)運(yùn)行狀態(tài)、用戶登錄/退出、外網(wǎng)連接監(jiān)視、硬件異常監(jiān)視等信息，方式如下：①通過(guò)系統(tǒng)日志捕獲操作系統(tǒng)內(nèi)核動(dòng)態(tài)信息；②調(diào)用系統(tǒng)提供的標(biāo)準(zhǔn)人機(jī)命令并讀取相關(guān)信息；③采用輪詢方式，查詢系統(tǒng)關(guān)鍵資源使用狀態(tài)信息。

上述方式不改變操作系統(tǒng)源碼，保證了操作系統(tǒng)源碼的安全性和完整性。操作系統(tǒng)通過(guò)內(nèi)核層感知發(fā)生的所有事件，感知模塊通過(guò)操作系統(tǒng)標(biāo)準(zhǔn)接口(包括但不限于sysfs、procfs、hotplug等接口技術(shù))，捕獲特定的安全事件如設(shè)備接入、用戶操作、重要目錄變更、權(quán)限變更等信息，按照《GB/T 31992-2015 電力系統(tǒng)通用告警格式》轉(zhuǎn)發(fā)到網(wǎng)絡(luò)安全管理平臺(tái)。

操作系統(tǒng)內(nèi)核和感知模塊均受到可信計(jì)算的保護(hù)，感知模塊以審計(jì)管理員的身份運(yùn)行。感知模塊利用Linux現(xiàn)有內(nèi)核運(yùn)行機(jī)制獲取相關(guān)信息準(zhǔn)確、安全，且不會(huì)影響系統(tǒng)原有功能及原有應(yīng)用的運(yùn)行，對(duì)系統(tǒng)性能負(fù)載影響較小。

3 結(jié)論

筆者針對(duì)呼和浩特地區(qū)調(diào)度自動(dòng)化系統(tǒng)提出了網(wǎng)絡(luò)安全管理平臺(tái)的配置方案并對(duì)數(shù)據(jù)采集功能進(jìn)行簡(jiǎn)單分析，通過(guò)測(cè)試表明該平臺(tái)具備對(duì)主機(jī)操作系統(tǒng)和業(yè)務(wù)程序違反可信策略的操作和運(yùn)行的主動(dòng)監(jiān)控和審計(jì)功能，并能夠通過(guò)可信計(jì)算安全模塊的可信審計(jì)接口向網(wǎng)絡(luò)安全管理平臺(tái)推送審計(jì)信息。平臺(tái)數(shù)據(jù)采集完整、分析結(jié)果準(zhǔn)確，達(dá)到地區(qū)調(diào)度網(wǎng)絡(luò)安全管理平臺(tái)對(duì)數(shù)據(jù)采集的基本要求。