大型火電企業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)設(shè)計(jì)及應(yīng)用分析

0引言

某大型發(fā)電企業(yè)(2×600Mw火電機(jī)組)建有1座22okV升壓站,按標(biāo)準(zhǔn)建設(shè)了電力監(jiān)控系統(tǒng),為了進(jìn)一步提高電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)能力,在公司涉網(wǎng)電力監(jiān)控系統(tǒng)中部署了網(wǎng)絡(luò)安全監(jiān)測(cè)裝置,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的實(shí)時(shí)管理和監(jiān)控。

1部署網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)的必要性

隨著計(jì)算機(jī)技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展,電力系統(tǒng)自動(dòng)化水平不斷提高,現(xiàn)在電力生產(chǎn)一刻也無(wú)法離開電力監(jiān)控系統(tǒng)網(wǎng)絡(luò),層出不窮的病毒、黑客攻擊、部分人為差錯(cuò)導(dǎo)致的安全事件都可能造成電力監(jiān)控系統(tǒng)故障甚至導(dǎo)致電網(wǎng)、設(shè)備事故,這就對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全提出了新的要求。

火電企業(yè)電力監(jiān)控系統(tǒng)中涉網(wǎng)設(shè)備主要有交換機(jī)、路由器,各業(yè)務(wù)的服務(wù)器、后臺(tái)電腦等也部署了防火墻、入侵檢測(cè)IDs系統(tǒng)、安全審計(jì)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備,雖然有大量的網(wǎng)絡(luò)安全設(shè)備,但仍存在一些問題。現(xiàn)有電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全存在的問題和不足如下:

(1)原有的入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備獨(dú)立運(yùn)行,呈現(xiàn)"孤島"式分布,相互之間缺少協(xié)作,安全數(shù)據(jù)沒有得到有效共享和關(guān)聯(lián)。

(2)安全事件發(fā)現(xiàn)、響應(yīng)及處理能力相對(duì)薄弱,通過人工對(duì)安全系統(tǒng)大量信息、數(shù)據(jù)進(jìn)行分析,無(wú)法及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)安全事件。

(3)沒有對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行實(shí)時(shí)管理和監(jiān)控的系統(tǒng),無(wú)法保證安全事件得到及時(shí)發(fā)現(xiàn)、分析及處理,無(wú)法滿足當(dāng)前日益提高的網(wǎng)絡(luò)安全管理要求。

2網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)設(shè)計(jì)及應(yīng)用

網(wǎng)絡(luò)安全監(jiān)測(cè)裝置在現(xiàn)有電力監(jiān)控系統(tǒng)及其安全防護(hù)設(shè)施的基礎(chǔ)上,采集涉網(wǎng)的變電站站控層、涉網(wǎng)區(qū)域的服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備和安防設(shè)備自身感知的安全數(shù)據(jù)及網(wǎng)絡(luò)安全事件,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全事件的本地監(jiān)視和管理。

2.1網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)監(jiān)測(cè)采集范圍

根據(jù)企業(yè)電力監(jiān)控系統(tǒng)實(shí)際情況,網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)采集范圍為涉網(wǎng)部分的電力監(jiān)控系統(tǒng)。按照《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》(發(fā)改委2o14年第14號(hào)令)第十四條,采集范圍為網(wǎng)絡(luò)計(jì)算機(jī)監(jiān)控系統(tǒng)、向量測(cè)量裝置PMU、電能量采集裝置、調(diào)度計(jì)劃終端、故障錄波系統(tǒng)裝置、保信子站系統(tǒng)等涉網(wǎng)設(shè)備,覆蓋主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、通用及專用安防設(shè)備。具體如表1所示。

2.2網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)拓?fù)?

根據(jù)企業(yè)網(wǎng)絡(luò)安全分區(qū)和網(wǎng)絡(luò)連接實(shí)際情況,為確保安全I(xiàn)、Ⅱ區(qū)網(wǎng)絡(luò)之間無(wú)物理連接,在安全I(xiàn)、Ⅱ區(qū)各部署1臺(tái)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置,對(duì)企業(yè)安全I(xiàn)區(qū)、Ⅱ區(qū)的網(wǎng)絡(luò)安全信息進(jìn)行采集,通過調(diào)度數(shù)據(jù)網(wǎng)實(shí)時(shí)、非實(shí)時(shí)VPN上送網(wǎng)絡(luò)安全管理平臺(tái)。

根據(jù)需要,在本地新增兩臺(tái)人機(jī)工作站(分別部署于I區(qū)、I區(qū),顯示器共用一臺(tái),通過共享開關(guān)切換),承擔(dān)數(shù)據(jù)庫(kù)存儲(chǔ)兼本地監(jiān)視功能,用來(lái)存儲(chǔ)監(jiān)測(cè)裝置采集到的監(jiān)視對(duì)象運(yùn)行信息、操作信息及告警信息,實(shí)現(xiàn)安全監(jiān)視、安全告警、安全分析以及安全審計(jì)功能,展示本地網(wǎng)絡(luò)安全信息。最終網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

2.3數(shù)據(jù)采集內(nèi)容

數(shù)據(jù)采集實(shí)現(xiàn)對(duì)調(diào)度相關(guān)系統(tǒng)和調(diào)度廠站設(shè)備中的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安防設(shè)備安全信息的采集。

2.3.1主機(jī)設(shè)備

工作站/服務(wù)器的運(yùn)行狀態(tài)、用戶登錄、操作信息、移動(dòng)存儲(chǔ)設(shè)備接入、網(wǎng)絡(luò)外聯(lián)等事件信息。

2.3.2網(wǎng)絡(luò)設(shè)備

用戶登錄、操作信息、流量信息、配置變更、網(wǎng)口狀態(tài)等信息。

2.3.3安防設(shè)備

用戶登錄、運(yùn)行狀態(tài)、配置變更、安全事件等信息。

2.4數(shù)據(jù)采集方式

2.4.1主機(jī)設(shè)備

在服務(wù)器、工作站上部署網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序(Agent,也稱"探針)),將采集的網(wǎng)絡(luò)安全信息發(fā)送至監(jiān)測(cè)裝置。監(jiān)測(cè)裝置作為服務(wù)端監(jiān)聽主機(jī)設(shè)備的連接請(qǐng)求。

2.4.2網(wǎng)絡(luò)設(shè)備

(1)通過1NMP/TRAP協(xié)議被動(dòng)接收交換機(jī)事件信息:

(2)通過1NMP協(xié)議主動(dòng)從交換機(jī)獲取所需信息:

(3)通過日志協(xié)議(sys1og)采集交換機(jī)信息。

2.4.3安防設(shè)備

通過裝置自身日志協(xié)議(sys1og)將數(shù)據(jù)傳至監(jiān)測(cè)裝置。

3系統(tǒng)投運(yùn)后帶來(lái)的提升

3.1提高了發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的及時(shí)性

通過在主機(jī)設(shè)備安裝網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序(Agent),實(shí)現(xiàn)了對(duì)操作人員、主機(jī)以及其他設(shè)備的操作行為監(jiān)視,可及時(shí)發(fā)現(xiàn)不經(jīng)許可的非法操作,通過1NMP協(xié)議實(shí)現(xiàn)了對(duì)交換機(jī)等網(wǎng)絡(luò)設(shè)備接入的監(jiān)視,可及時(shí)發(fā)現(xiàn)未經(jīng)許可的非法網(wǎng)絡(luò)連接。網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)實(shí)現(xiàn)了對(duì)電力監(jiān)控系統(tǒng)整體安全運(yùn)行情況的實(shí)時(shí)監(jiān)視,能及時(shí)發(fā)現(xiàn)各類網(wǎng)絡(luò)安全風(fēng)險(xiǎn),并發(fā)出告警信息提示相關(guān)人員進(jìn)行處理,如圖2所示。

3.2減輕了專業(yè)人員的工作量

由于網(wǎng)絡(luò)安全監(jiān)測(cè)裝置將各服務(wù)器、主機(jī)、網(wǎng)絡(luò)安全防護(hù)設(shè)備的信息整合在一起,專業(yè)人員重點(diǎn)對(duì)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置信息進(jìn)行檢查、分析、判斷,就可替代原先對(duì)每臺(tái)主機(jī)電腦、設(shè)備的檢查,工作量減少70%以上。

3.3降低了對(duì)專業(yè)人員的技術(shù)要求

由于網(wǎng)絡(luò)安全監(jiān)測(cè)裝置對(duì)接入系統(tǒng)的安全運(yùn)行信息進(jìn)行了分析,給出了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的初步判斷,例如交換機(jī)均采用Linux系統(tǒng),原來(lái)日常檢查需使用各種命令進(jìn)行,現(xiàn)在通過網(wǎng)絡(luò)安全監(jiān)測(cè)裝置即可得到分析結(jié)果,降低了對(duì)專業(yè)人員的技術(shù)要求,避免了因人員技術(shù)水平不足導(dǎo)致的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

4系統(tǒng)安裝需要注意的幾個(gè)方面

(1)網(wǎng)絡(luò)安全監(jiān)測(cè)裝置是用來(lái)提高網(wǎng)絡(luò)安全防護(hù)水平的,不能影響到原有系統(tǒng)的正常運(yùn)行。因此主機(jī)設(shè)備的網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序(Agent)宜由主機(jī)設(shè)備廠家進(jìn)行提供及安裝,主機(jī)設(shè)備廠家不能提供網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序的才由網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)廠家提供,并經(jīng)主機(jī)系統(tǒng)廠家進(jìn)行兼容性檢測(cè)正常后方可安裝并使用。

(2)由于網(wǎng)絡(luò)安全監(jiān)測(cè)代理程序(Agent)與主機(jī)的網(wǎng)卡MAC地址、操作系統(tǒng)等設(shè)備碼進(jìn)行了唯一性綁定并授權(quán),當(dāng)主機(jī)故障更換后原有的Agent將失效,在主機(jī)的操作系統(tǒng)升級(jí)、硬件更新等情況下要同步考慮Agent的更新。

(3)如果網(wǎng)絡(luò)安全監(jiān)測(cè)裝置的網(wǎng)口數(shù)量無(wú)法滿足所有涉網(wǎng)電力監(jiān)控系統(tǒng)的接入需求,可以考慮外接交換機(jī),通過在交換機(jī)為每個(gè)獨(dú)立業(yè)務(wù)系統(tǒng)劃分VLAN的方式接入網(wǎng)絡(luò)安全監(jiān)測(cè)裝置。

5結(jié)語(yǔ)

網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)使電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理從"靜態(tài)布防、邊界監(jiān)視)向"實(shí)時(shí)管控、縱深防御)轉(zhuǎn)變,其將各種網(wǎng)絡(luò)安全防護(hù)手段有效結(jié)合在一起,有力提升了電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)水平。