神华国华寿光发电有限责任公司 山东寿光 262714
摘要:本论文从发电厂网络与信息安全的管控方式进行论述,并解释了网络安全管理容易存在的弊端,讨论采用什么样的方式去管理现有网络安全设备,从而进一步提升电厂网络安全防护能力,使电厂DCS系统及其他重要信息系统较少攻击。
关键词:Internet(互联网);防火墙;网闸;入侵检测;安全管控中心
一、前言
随着工业4.0概念的不断深入和落地,电力企业相关系统将开始接入互联网,电力监控系统、管理系统、业务系统以及与众多企业的协同都将互联,对于工业互联网企业来说,在安全防护上普遍都面临着三重困境:1、检测能力的困境,对于一些可能带来重大损失的安全威胁无法做到及时发现;2、响应能力的困境,由于企业网络边界的扩大,安全人才的匮乏,在发生安全事件时响应能力更是大打折扣;3、应用安全的困境,工业控制、管理系统复杂、更新不及时,导致了应用的漏洞百出,以及攻防的不对称。
习总书记419讲话、国家网络安全法、国家十三五信息化规划,明确提出需要全天候全方位感知网络安全态势,感知网络安全态势是最基本最基础的工作,各行业都在积极响应国家政策的号召,构建态势感知系统以应对目前面临的严峻挑战。摸清家底、认清风险、找出漏洞、通报整改、情报共享五个方面是态势感知系统核心需要解决的问题。
二、网络安全法律法规
国家非常重视网络安全工作,2017年6月1日颁布并实施了《中华人民共和国网络安全法》,电力行业主管、监管部门不断强化电力监控系统安全防护等网络安全工作,先后发布了《电网与电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》和《电力监控系统安全防护规定》,按照电力监控系统“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,电力行业网络安全技术水平需要不断提升。网络安全技术体系向合规化、结构化、主动化、智能化逐步发展。
针对电力行业也先后出台了国家和行业相关网络安全标准,具体如下:
1国家法规
国家颁布《中华人民共和国网络安全法》,2017年6月1日实施。
2部委文件
2.1《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)
2.2《电力监控系统安全防火总体方案》(国家能源局国能安全〔2015〕36号文)
2.3《关于加强电力行业网络安全工作的指导意见》,2018年9月能源局
3 国家标准和行业标准
3.1《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2008
3.2《电力行业信息系统安全等级保护基本要求》2012年
3.3《电力信息系统安全等级保护实施指南》 GB/T 37318-2018
3.4《电力监控系统网络安全防护导则》 GB∕T 36572-2018
三、电厂网络安全管控存在问题
各发电厂按照国家和行业标准要求,采购相关网络安全设备,如防火墙、网闸、上网行为管理、入侵检测、漏洞扫描等设备,对本单位网络安全不符合项进行整改,最终网络安全结构满足相关标准要求,但网络安全管控方面存在孤岛,难以管理,最终网络安全监控及处置方面达不到网络安全管控要求,主要体现以下几个方面。
1.网络安全设备(各区域防火墙)各自独立工作,网络安全日志信息不能在同一平台查看。
防火墙、网闸、入侵检测、漏洞扫描等网络安全产品,都有一套自己的管理后台,监控后台数据需打开不能网址。
2.部分网络安全设备日志信息不能在本地设备上长期保存,需要单独建立日志服务器,配置较繁琐。
大部分安全设备,如防火墙、上网行为管理等安全设备受到本身存储和性能限制,本地安全设备只能存储少量安全日志信息,需要单独配置日志服务器。
3.各网络安全设备在不同安全区域防护,网络安全管理员监控必须就地在该区域平台监控,一人无法实现多方监控。
按照电力二次安全防护要求,电厂网络系统一般分生产控制大区I区、II区和信息管理大区III区,每个区域都部署了相关网络安全产品,但由于每个区域相互隔离,网络安全设备后台监控需在本网络区域内查看,各网络安全后台系统不能在一台计算机上查看。
4.已经购置了一些安全设备及产品,但这些产品所报告出来的问题往往不是难于理解就是极其分散,从而无法确定当前企业的网络和系统运行到底是否安全。
5.传统安全设备或系统只会报告当前发生了什么,而无法对未来的安全形势进行预判,简而言之,就是缺乏一定的安全形势预估能力。
四、网络安全管控解决方案
将电厂所有的安全设备包括防火墙、入侵检测系统、网闸、上网行为管理、审计系统、防病毒服务器、补丁服务器及重要的服务器、网络设备进行资产梳理,确定厂家、设备产品型号,利用安全设备管理口、控制口等组成一套单独的网络安全管理网,将所有网络安全设备提取的网络安全日志进行分析和梳理,以运用安全大数据为基础,结合漏洞扫描系统,全面支持资产采集、流采集、文件采集、包采集、漏洞采集、情报采集等能力,对设备、主机、日志、进程、服务等全要素信息的归并,构建安全大数据分析专家,帮助用户构造全方位、全天候态势感知系统的建设需求。
本方案建立一套网络安全监控中心,所有网络设备安全状态信息均在该平台进行展示,可以提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平,在网络新常态下,实现诸如:网络整体运行态势监控、暴露或内部资产识别监控、内外部入侵行为定位、行为分析建模、高级持续威胁判定、失陷主机态势分布、政企侧漏洞闭环管理、攻击链还原、威胁情报管理、终端管控等高价值业务和场景的管理能力。
◆┫A发电厂网络安全管控研究
姚荣财
神华国华寿光发电有限责任公司 山东寿光 262714
摘要:本论文从发电厂网络与信息安全的管控方式进行论述,并解释了网络安全管理容易存在的弊端,讨论采用什么样的方式去管理现有网络安全设备,从而进一步提升电厂网络安全防护能力,使电厂DCS系统及其他重要信息系统较少攻击。
关键词:Internet(互联网);防火墙;网闸;入侵检测;安全管控中心
一、前言
随着工业4.0概念的不断深入和落地,电力企业相关系统将开始接入互联网,电力监控系统、管理系统、业务系统以及与众多企业的协同都将互联,对于工业互联网企业来说,在安全防护上普遍都面临着三重困境:1、检测能力的困境,对于一些可能带来重大损失的安全威胁无法做到及时发现;2、响应能力的困境,由于企业网络边界的扩大,安全人才的匮乏,在发生安全事件时响应能力更是大打折扣;3、应用安全的困境,工业控制、管理系统复杂、更新不及时,导致了应用的漏洞百出,以及攻防的不对称。
习总书记419讲话、国家网络安全法、国家十三五信息化规划,明确提出需要全天候全方位感知网络安全态势,感知网络安全态势是最基本最基础的工作,各行业都在积极响应国家政策的号召,构建态势感知系统以应对目前面临的严峻挑战。摸清家底、认清风险、找出漏洞、通报整改、情报共享五个方面是态势感知系统核心需要解决的问题。
二、网络安全法律法规
国家非常重视网络安全工作,2017年6月1日颁布并实施了《中华人民共和国网络安全法》,电力行业主管、监管部门不断强化电力监控系统安全防护等网络安全工作,先后发布了《电网与电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》和《电力监控系统安全防护规定》,按照电力监控系统“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则,电力行业网络安全技术水平需要不断提升。网络安全技术体系向合规化、结构化、主动化、智能化逐步发展。
针对电力行业也先后出台了国家和行业相关网络安全标准,具体如下:
1国家法规
国家颁布《中华人民共和国网络安全法》,2017年6月1日实施。
2部委文件
2.1《电力监控系统安全防护规定》(国家发展和改革委员会令2014年第14号)
2.2《电力监控系统安全防火总体方案》(国家能源局国能安全〔2015〕36号文)
2.3《关于加强电力行业网络安全工作的指导意见》,2018年9月能源局
3 国家标准和行业标准
3.1《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2008
3.2《电力行业信息系统安全等级保护基本要求》2012年
3.3《电力信息系统安全等级保护实施指南》 GB/T 37318-2018
3.4《电力监控系统网络安全防护导则》 GB∕T 36572-2018
三、电厂网络安全管控存在问题
各发电厂按照国家和行业标准要求,采购相关网络安全设备,如防火墙、网闸、上网行为管理、入侵检测、漏洞扫描等设备,对本单位网络安全不符合项进行整改,最终网络安全结构满足相关标准要求,但网络安全管控方面存在孤岛,难以管理,最终网络安全监控及处置方面达不到网络安全管控要求,主要体现以下几个方面。
1.网络安全设备(各区域防火墙)各自独立工作,网络安全日志信息不能在同一平台查看。
防火墙、网闸、入侵检测、漏洞扫描等网络安全产品,都有一套自己的管理后台,监控后台数据需打开不能网址。
2.部分网络安全设备日志信息不能在本地设备上长期保存,需要单独建立日志服务器,配置较繁琐。
大部分安全设备,如防火墙、上网行为管理等安全设备受到本身存储和性能限制,本地安全设备只能存储少量安全日志信息,需要单独配置日志服务器。
3.各网络安全设备在不同安全区域防护,网络安全管理员监控必须就地在该区域平台监控,一人无法实现多方监控。
按照电力二次安全防护要求,电厂网络系统一般分生产控制大区I区、II区和信息管理大区III区,每个区域都部署了相关网络安全产品,但由于每个区域相互隔离,网络安全设备后台监控需在本网络区域内查看,各网络安全后台系统不能在一台计算机上查看。
4.已经购置了一些安全设备及产品,但这些产品所报告出来的问题往往不是难于理解就是极其分散,从而无法确定当前企业的网络和系统运行到底是否安全。
5.传统安全设备或系统只会报告当前发生了什么,而无法对未来的安全形势进行预判,简而言之,就是缺乏一定的安全形势预估能力。
四、网络安全管控解决方案
将电厂所有的安全设备包括防火墙、入侵检测系统、网闸、上网行为管理、审计系统、防病毒服务器、补丁服务器及重要的服务器、网络设备进行资产梳理,确定厂家、设备产品型号,利用安全设备管理口、控制口等组成一套单独的网络安全管理网,将所有网络安全设备提取的网络安全日志进行分析和梳理,以运用安全大数据为基础,结合漏洞扫描系统,全面支持资产采集、流采集、文件采集、包采集、漏洞采集、情报采集等能力,对设备、主机、日志、进程、服务等全要素信息的归并,构建安全大数据分析专家,帮助用户构造全方位、全天候态势感知系统的建设需求。
本方案建立一套网络安全监控中心,所有网络设备安全状态信息均在该平台进行展示,可以提升网络态势监控、威胁分析、日常运维、事件处置等安全能力建设水平,在网络新常态下,实现诸如:网络整体运行态势监控、暴露或内部资产识别监控、内外部入侵行为定位、行为分析建模、高级持续威胁判定、失陷主机态势分布、政企侧漏洞闭环管理、攻击链还原、威胁情报管理、终端管控等高价值业务和场景的管理能力。
网络安全监控中心总体框架
网络管控平台应集成众多自有的安全问题感知子模块,这些安全感知子模块应包含了如下内容:
1.网络攻击检测子模块;2.网络性能检测子模块;3.文件安全检测子模块;4.威胁情报检测子模块;5.日志安全审计子模块;6.主机漏洞扫描检查子模块;7.安全配置核查子模块;8.网站扫描漏洞检测子模块;9.弱口令检测子模块等等。
另外,除上述基础安全检测子模块外,安全管控平台应具有一下高级安全检查功能:
1.安全问题告警分析子模块;2.主机及用户行为分析子模块;3.网站安全检测分析子模块;4.安全风险分析子模块等等。
除了上述各类模块外,为了提供完善的安全运维能力,网络安全监控中心还应提供完善的安全资产管理模块、安全运维工单模块以及安全知识库等模块。
五、网络安全监控中心优势
1.实现对全网事件、配置、漏洞、状态的采集、分析和管理,实现安全问题的流程化处理,增强对未知威胁和隐蔽威胁的检测能力,增强安全响应能力,达到等保等相关合规要求,消除隐业务系统安全缺陷或隐患,提高系统稳定性,提高数据安全性,支持日常安全运维工作的开展。
2.通过专家数据分析,解决安全运营阶段中网络安全监控能力和分析能力不足的难题;
3.将网络安全设备在一个平台展示,解决网络各类资产产生的安全信息孤岛难以形成威胁情报的难题;
4.通过高效的处理算法及采集的大量安全数据,解决威胁情报如何高效转化利用数据共享的难题;
信息安全问题从来就不是单纯的技术问题,仅仅通过部署安全产品难以覆盖主流的安全问题,应将所有安全设备收集的安全数据信息进行实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析和可视化展示,并把技术措施和管理措施结合起来,才能使系统和网络安全更加有效。
参考文献:
[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2.
[2]陈鹏,吕卫锋,单征.基于网络的入侵检测方法研究.计算机工程与应用,2007.
[3]冯登国.计算机通信网络安全.北京:清华大学出版社,2001.
作者:姚荣财,工作单位:神华国华寿光发电有限责任公司,部门:生产技术部,职务:信息高级主管,职称:助理工程师
Z
网络安全监控中心总体框架
网络管控平台应集成众多自有的安全问题感知子模块,这些安全感知子模块应包含了如下内容:
1.网络攻击检测子模块;2.网络性能检测子模块;3.文件安全检测子模块;4.威胁情报检测子模块;5.日志安全审计子模块;6.主机漏洞扫描检查子模块;7.安全配置核查子模块;8.网站扫描漏洞检测子模块;9.弱口令检测子模块等等。
另外,除上述基础安全检测子模块外,安全管控平台应具有一下高级安全检查功能:
1.安全问题告警分析子模块;2.主机及用户行为分析子模块;3.网站安全检测分析子模块;4.安全风险分析子模块等等。
除了上述各类模块外,为了提供完善的安全运维能力,网络安全监控中心还应提供完善的安全资产管理模块、安全运维工单模块以及安全知识库等模块。
五、网络安全监控中心优势
1.实现对全网事件、配置、漏洞、状态的采集、分析和管理,实现安全问题的流程化处理,增强对未知威胁和隐蔽威胁的检测能力,增强安全响应能力,达到等保等相关合规要求,消除隐业务系统安全缺陷或隐患,提高系统稳定性,提高数据安全性,支持日常安全运维工作的开展。
2.通过专家数据分析,解决安全运营阶段中网络安全监控能力和分析能力不足的难题;
3.将网络安全设备在一个平台展示,解决网络各类资产产生的安全信息孤岛难以形成威胁情报的难题;
4.通过高效的处理算法及采集的大量安全数据,解决威胁情报如何高效转化利用数据共享的难题;
信息安全问题从来就不是单纯的技术问题,仅仅通过部署安全产品难以覆盖主流的安全问题,应将所有安全设备收集的安全数据信息进行实时分析、离线分析、关联分析、统计分析、规则库、专家经验库以及外部安全情报的交换、机器学习等多方位进行风险分析和可视化展示,并把技术措施和管理措施结合起来,才能使系统和网络安全更加有效。
参考文献:
[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2.
[2]陈鹏,吕卫锋,单征.基于网络的入侵检测方法研究.计算机工程与应用,2007.
[3]冯登国.计算机通信网络安全.北京:清华大学出版社,2001.
作者:姚荣财,工作单位:神华国华寿光发电有限责任公司,部门:生产技术部,职务:信息高级主管,职称:助理工程师