国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

基于電力監(jiān)控系統(tǒng)測評及評估工作的網絡安全防護研究

2024-03-15 09:54孟凡磊陳婉茹李海學
設備管理與維修 2024年3期
關鍵詞:網絡安全應急監(jiān)控

陳 翔,孟凡磊,陳婉茹,李海學

(1.中海石油(中國)有限公司天津分公司,天津 300459;2.中海油安全技術服務有限公司,天津 300450)

0 引言

近年來,隨著岸電工程海上油田群電力監(jiān)控系統(tǒng)(以下簡稱“電力監(jiān)控系統(tǒng)”)的大規(guī)模應用,電力監(jiān)控系統(tǒng)的重要性也越來越高,系統(tǒng)中各種信息技術的應用和挑戰(zhàn)也將越來越多。在網絡環(huán)境日益復雜和安全威脅日益嚴峻的背景下,電力監(jiān)控系統(tǒng)信息安全問題已成為系統(tǒng)運行的新類型風險。因此,基于電力監(jiān)控系統(tǒng)網絡安全問題方面的網絡安全防護研究具有重要意義,對于保障海陸電網的穩(wěn)定與可靠性具有重要作用。

本文從電力監(jiān)控系統(tǒng)的網絡安全等級保護測評、電力監(jiān)控系統(tǒng)安全防護評估兩個方面出發(fā),對系統(tǒng)網絡安全問題進行研究,提出一種基于測評評估設計的二次系統(tǒng)網絡的安全防護體系,包括網絡安全架構設計、安全控制策略、網絡運行監(jiān)測和安全應急響應等內容。

1 電力監(jiān)控系統(tǒng)網絡安全等級保護測評

隨著《網絡安全法》的發(fā)布將網絡安全等級保護工作提升到法律層面,本文依據(jù)國家相關標準規(guī)范開展網絡安全合規(guī)性測評和安全整改措施的工作。電力監(jiān)控系統(tǒng)網絡安全等級保護測評工作需在遵循通用要求的基礎上,同時遵循工業(yè)控制安全擴展要求,以滿足工控場景下的安全防護需求。電力監(jiān)控系統(tǒng)網絡安全等級保護測評工作,可以從以下4 個方面入手。

1.1 系統(tǒng)定級備案

電力監(jiān)控系統(tǒng)屬于變電站自動化系統(tǒng)(含開關站、換流站),參照《電力行業(yè)信息系統(tǒng)等級保護定級工作指導意見》(電監(jiān)信息〔2007〕44 號),GB/T 22240—2020《信息安全技術網絡安全等級保護定級指南》[1],以及相關標準文件,220 kV 及以上系統(tǒng)建議定級為第三級。定級備案完成后整理系統(tǒng)備案材料提交公安網安部門申請備案,最終獲取備案證明。

1.2 安全建設整改

系統(tǒng)定級完成后,參照系統(tǒng)所定級別開展安全建設整改工作,對照相應級別的安全防護要求采取安全措施。例如,采用“一個中心三重防護”思想“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的電力行業(yè)十六字方針等體系思想,保證系統(tǒng)具備基礎的安全防護要求。

1.3 現(xiàn)場測評實施

現(xiàn)場測評實施階段主要是實施評估活動的過程,依據(jù)相應級別的標準要求開展測評準備、方案編制、評估實施等工作。GB/T 28448—2019《信息安全技術網絡安全等級保護測評要求》[2],包括兩方面、10 個層面,其中技術方面包括安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心,管理方面包括安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理,在此基礎上同時遵循電力行業(yè)要求以及工控系統(tǒng)擴展要求。

1.4 測評結論形成

測評機構完成現(xiàn)場測評后,依據(jù)量化評估標準開展風險的計算和分析工作,并形成電力監(jiān)控系統(tǒng)測評報告。2021 版測評報告改版后,測評結論的計算發(fā)生一些變化,下面簡述結論計算方式。

2021 版報告中測評結果計算公式改為缺陷扣分法,首先將測評指標分為技術和管理兩大類,然后采用缺陷扣分法分別計算技術和管理兩類的得分,最后將技術和管理的得分相加作為最終得分。

該測評報告風險最終得分計算過程如下:

(1)f(ωk)×(1-xk)×S 用于計算每一項的得分情況,如果每一項包含多個資產,綜合此項所有資產的符合情況。需要注意的是,所有資產均不符合,此項按照不符合計算;所有資產均符合,此項按照符合計算;具有符合、部分符合和不符合中兩種的,此項按照部分符合計算。

(8)M=Vt+Vm匯總技術和管理層面的得分,得出報告的最終得分。

2 電力監(jiān)控系統(tǒng)安全防護評估

電力監(jiān)控系統(tǒng)網絡安全風險評估是指對電力監(jiān)控系統(tǒng)中存在的網絡安全隱患和安全風險進行評估,并提出相應的安全控制和防護措施的過程。電力監(jiān)控系統(tǒng)網絡安全風險評估,可以從以下4 個方面入手。

(1)安全需求規(guī)劃。對電力監(jiān)控系統(tǒng)的網絡安全要求進行規(guī)劃和描述,制定相關的安全策略和安全標準,主要包括安全保密性、完整性、可用性、法律合規(guī)等方面。

(2)安全風險識別。確定電力監(jiān)控系統(tǒng)中可能存在的安全風險和威脅,包括網絡攻擊、病毒攻擊、黑客攻擊、信息盜竊等方式。對于每種安全風險進行詳細描述和評估。

(3)安全風險分析。對安全風險進行分析,確定安全風險的危害程度、概率和影響范圍,并盡可能多地獲取安全風險的相關信息和可靠數(shù)據(jù)。

(4)安全風險評估。評估已確定的安全風險,確定是否需要采取相應的安全措施來降低風險。

根據(jù)資產賦值、資產面臨的威脅和存在的脆弱性賦值情況,對資產面臨的風險進行分析計算。

風險值=R(A,T,V)

其中,R 表示安全風險計算函數(shù),A 表示資產,T表示威脅,V 表示脆弱性。可采用矩陣法或相乘法計算風險評估結果。

基于電力安全風險評估的分析結果,可以制定出一系列有效的安全控制和防護措施,包括網絡安全防御、應急響應、攻擊溯源、信息安全管理等方面。

3 基于測評評估設計的二次系統(tǒng)網絡安全防護體系

岸電工程海上油田群電力監(jiān)控系統(tǒng)的網絡化程度和復雜性較高,無法單獨采用傳統(tǒng)的網絡安全防御手段來對其進行防護,因此需要尋求新的研究方向來提高其網絡安全性。

基于岸電工程海上油田群電力監(jiān)控系統(tǒng)中的二次系統(tǒng)網絡,本文提出了一種安全防護體系,通過多層次、多維度的安全控制和監(jiān)測機制來保障電力監(jiān)控系統(tǒng)的網絡安全,包括網絡安全架構設計、安全控制策略、網絡運行監(jiān)測和安全應急響應等方面的內容。

3.1 網絡安全架構設計

為了保證電力監(jiān)控系統(tǒng)的安全,需要從架構設計到安全建設時符合進入網絡安全等級保護以及安全防護評估的要求,如“一個中心三重防護”體系、電力行業(yè)十六字方針等。

3.1.1 “一個中心三重防護”體系

(1)網絡安全等級保護“一個中心三重防護”體系,主要在電力監(jiān)控系統(tǒng)中建立一個管理中心,用于對系統(tǒng)的安全狀態(tài)監(jiān)測、對安全運維操作日志存儲分析、對安全設備進行集中管理等(圖1)。其中,管理中心可以由多種安全功能的設備組成,如流量監(jiān)測類、攻擊檢測類、審計類、態(tài)勢分析類、運行監(jiān)控類等;建立三重防護機制,從網絡架構區(qū)域的安全劃分,到區(qū)域邊界的防護機制建立,再到核心的主機層安全防護,構建層層防護機制以及縱深防護體系。

圖1 “一個中心三重防護”體系

3.1.2 十六字方針

電力行業(yè)的十六字方針為,“安全分區(qū)、網絡專用、橫向隔離、縱向認證”。

(1)安全分區(qū)主要是在電力監(jiān)控系統(tǒng)中對網絡區(qū)域進行劃分。依據(jù)36 號文[5]等相關要求,將電力監(jiān)控系統(tǒng)網絡劃分為安全I 區(qū)、安全II 區(qū)、安全III 區(qū)和安全IV 區(qū),其中安全I 區(qū)和安全II 區(qū)屬生產大區(qū),安全III 區(qū)和安全IV 區(qū)屬管理信息大區(qū)。另外,生產大區(qū)的安全I 區(qū)控制區(qū)為電力監(jiān)控系統(tǒng)的核心,主要部署電力監(jiān)控系統(tǒng)工作站、五防站、測控控制以及遠東裝置等;安全II 區(qū)生產非控制區(qū)主要用于部署電能采集終端、保護信息子站等(圖2)。

圖2 電力監(jiān)控系統(tǒng)安全分區(qū)示意

(2)網絡專用是指生產大區(qū)的數(shù)據(jù)通過電力調度數(shù)據(jù)網傳輸,通過采用MSTP 和ASON 等技術具備良好的安全性和通信效率。電力調度數(shù)據(jù)網獨立于運營商的基站和通信鏈路,隔離公網帶來的安全威脅和風險,提升數(shù)據(jù)通信安全。

(3)橫向隔離主要指由于電力安全防護的需要,電力專網對網絡區(qū)域進行了安全分區(qū)。根據(jù)36 號文相關要求,生產大區(qū)和管理信息大區(qū)之間采用物理隔離措施,可采用通過電力認證的單向傳輸?shù)母綦x裝置實現(xiàn)防護;生產大區(qū)的實時區(qū)與非實時區(qū)之間采用邏輯隔離裝置,如國產防火墻等。通過橫向隔離保證數(shù)據(jù)不出區(qū),或者在保證安全的情況下出區(qū)轉發(fā)。

(4)縱向加密裝置是電力安全縱向防護措施,通過安全認證及加密傳輸,保證在電力調度數(shù)據(jù)網傳輸?shù)臄?shù)據(jù)保密性和完整性,避免非授權的篡改及訪問。

3.2 安全控制策略

為了保障電力監(jiān)控系統(tǒng)的網絡安全,需要制定相應的安全控制策略,并采取有效的控制措施來規(guī)避安全風險。

(1)操作系統(tǒng)的安全配置:與電力監(jiān)控系統(tǒng)相關的計算機終端,需要采取國產化操作系統(tǒng),并基于穩(wěn)定版本運行,同時對其進行相關的安全配置,如升級補丁程序、關閉不必要的端口、配置防火墻等,關閉135、139、445等高危端口。

(2)信息安全管理。涉及電力監(jiān)控系統(tǒng)運行的任何信息,都需要進行詳細的管理和記錄,包括訪問權限授權、加密技術、備份技術等方面。

(3)安全訪問控制。對于網絡中的所有節(jié)點,需要嚴格控制其訪問權限,在防止攻擊的同時保護重要數(shù)據(jù)的安全。

3.3 網絡監(jiān)測

電力監(jiān)控系統(tǒng)的網絡監(jiān)測是保障網絡安全的重要措施。通過對電力監(jiān)控系統(tǒng)中的網絡節(jié)點進行監(jiān)測和分析,可以預防和發(fā)現(xiàn)安全威脅。

(1)網絡實時監(jiān)控。采用網絡安全監(jiān)測類、攻擊檢測類、審計類、態(tài)勢分析類、運行監(jiān)控類等措施,對系統(tǒng)中的各個關鍵節(jié)點進行實時監(jiān)控,包括系統(tǒng)的運行狀態(tài)、入侵狀態(tài)等方面。

(2)網絡流量分析。采用流量監(jiān)測類措施,對電力監(jiān)控系統(tǒng)中的網絡流量進行分析,以發(fā)現(xiàn)異常流量和威脅,并對其進行有效防護。

(3)網絡行為分析。對電力監(jiān)控系統(tǒng)中的用戶行為進行分析,以識別惡意行為和隱含風險,并通過安全控制策略進行有效防護。

(4)通過在岸電工程海上油田群電力監(jiān)控系統(tǒng)中部署攻擊檢測類、審計類、態(tài)勢分析類,集中監(jiān)控電力監(jiān)控系統(tǒng)內攻擊事件、資產運行狀態(tài),實現(xiàn)實時的運行監(jiān)控及安全監(jiān)控。

3.4 應急處置

應急處置是保障電力監(jiān)控系統(tǒng)網絡安全的關鍵環(huán)節(jié)。一般會通過應急預案建立、應急演練工作以及應急處理,減少系統(tǒng)異常的影響及損失。

(1)建立應急預案,結合岸電工程海上油田群電力監(jiān)控系統(tǒng)特點,建立針對性的安全應急預案,包括物理安全事件、網絡故障、網絡攻擊等場景。

(2)定期開展應急演練,根據(jù)應急預案的方案,結合系統(tǒng)運行的情況、檢修間隔等情況,選擇性開展應急演練工作,通過應急演練工作提升運維人員的應急處置能力。

(3)通過上述的應急措施建立,提升人員的應急處置能力。如果系統(tǒng)發(fā)生安全事件,第一時間進行事件處置,以減少事件造成的損失。

4 實驗驗證

為驗證基于電力監(jiān)控系統(tǒng)的安全防護體系的有效性和實用性,本文采用工具接入掃描測試的方式,對系統(tǒng)的網絡防護體系進行驗證。通過建立實驗網絡,模擬了電力監(jiān)控系統(tǒng)中的一些常見攻擊行為,并對其進行詳細的分析和溯源。

4.1 確定工具的接入點

在實驗網絡中接入工具。工具接入點的確定遵循不影響目標系統(tǒng)正常運行的前提下嚴格按照方案選定范圍進行測試,需要遵循如下5 個原則:①由低級別系統(tǒng)向高級別系統(tǒng)探測;②同一系統(tǒng)同等重要程度功能區(qū)域之間要相互探測;③有較低重要程度區(qū)域向較高重要程度區(qū)域探測;④由外鏈接口向系統(tǒng)內部探測;⑤跨網絡隔離設備(包括網絡設備和安全設備)要分段探測。

4.2 開展工具掃描測試

采用漏洞掃描、驗證測試等方式開展測試。測試中應依據(jù)工具接入原則,開展跨網測試、直接測試等,驗證安全設備及安全策略的有效性。

4.3 分析入侵監(jiān)測及日志記錄情況

漏洞掃描完成后,在入侵監(jiān)測設備查看,是否存在入侵攻擊行為;登錄邊界防火墻設備查看,是否存在攔截記錄,分析攔截有效性;登錄日志審計系統(tǒng)查看日志記錄情況,分析日志記錄的有效性。

實驗結果表明,本文提出的防護體系能有效防御和發(fā)現(xiàn)各種安全威脅,并追蹤和定位攻擊源和攻擊路徑。

5 總結與展望

本文基于岸電工程海上油田群電力監(jiān)控系統(tǒng)網絡安全等級保護測評及安全防護評估,對系統(tǒng)的網絡安全問題進行研究,提出了一種基于電力監(jiān)控系統(tǒng)的安全防護體系,包括網絡安全架構設計、安全控制策略、網絡運行監(jiān)測和安全應急響應等內容,并通過實驗驗證該體系的有效性和實用性。在岸電工程海上油田群電力監(jiān)控系統(tǒng)的網絡安全方面,未來還需要進一步深入探討多層次、多維度的網絡安全策略和防御機制,從而為系統(tǒng)安全提供更加完善的技術支持。

猜你喜歡
網絡安全應急監(jiān)控
多維深入復盤 促進應急搶險
The Great Barrier Reef shows coral comeback
完善應急指揮機制融嵌應急準備、響應、處置全周期
你被監(jiān)控了嗎?
Zabbix在ATS系統(tǒng)集中監(jiān)控中的應用
網絡安全
網絡安全人才培養(yǎng)應“實戰(zhàn)化”
上網時如何注意網絡安全?
應急管理部6個“怎么看”
國際新應急標準《核或輻射應急的準備與響應》的釋疑
建平县| 阿拉善右旗| 荔浦县| 昌平区| 新乡市| 龙里县| 高邑县| 额济纳旗| 柞水县| 深圳市| 永昌县| 桐乡市| 富源县| 万安县| 石首市| 龙江县| 东方市| 东乌珠穆沁旗| 会理县| 府谷县| 溧阳市| 镶黄旗| 科技| 高要市| 曲周县| 泽库县| 凤翔县| 定边县| 开阳县| 平舆县| 甘肃省| 达拉特旗| 宁南县| 正蓝旗| 云浮市| 江西省| 三亚市| 平阳县| 明溪县| 双牌县| 湖南省|