伍兆恒
广州兆和电力技术有限公司 广东广州510623
摘要:网络安全是电力系统安全稳定运行的重要前提及保障。随着我国现代电力工业规模扩展,信息化和网络化工具和技术极大的辅助电力系统向前发展的同时,也对电力系统网络安全提出了更高的要求。本文从电力监控系统网络安全角度出发,浅谈针对电力工业态势感知系统的建设。
关键词:网络安全;信息化;态势感知
1 电力监控系统网络安全现状及问题
1.1 电力监控系统网络安全现状
国家电力监管委员会在2006年印发《电力二次系统安全防护总体方案》中指出:电力二次系统安全防护总体原则为“安全分区、网络专用、横向隔离、纵向认证”[1]。历经十多年网络安全建设后,目前电力系统已广泛使用支持国密算法的纵向加密网关、电力行业专用的单向隔离装置以及防火墙,并配以IDS、堡垒机、防病毒网关、拨号网关、主机加固等安全设备加以辅助;在规则配置上实现以最小原则为基准的安全防护策略。因此电力二次系统在信息传递的通道及边界上已构建起一道基础防线。且当前电力行业正推行国产化安全可控设备和操作系统,进一步增强电力二次系统安全防护能力。
1.2 电力监控系统网络安全问题
1.2.1 行业具备安全意识,但管理力度不足
随着国家对网络安全的重视,电力行业在网络安全管理方面也逐步建立行业专属的管理制度。但运行管理人员未全面认知安全管理工作导致网络安全管理投放力度不足,以及未清晰认知本单位网络安全现状是当前网络安全管理较为突出的问题[2]。而且不少电力运营单位网络安全人员的配备及培训不足也进一步导致网络安全短板出现。
1.2.2 安全设备众多,但缺乏规划及合力
电力运营单位虽然按照国家、行业等规定部署了满足技术要求的众多安全设备,但日常运行当中,若系统未受到网络攻击造成故障,管理者和用户非常容易忽视其潜在风险,形成麻痹。若发现和发生问题才采取相应的解决措施,则系统已经受到一定程度的破坏,甚至造成不可挽救的损失。如何让安全设备形成合力,有效的服务于运维人员,是当前电力运营单位所面临的困惑。
2 电力监控系统态势感知建设
2.1 建设背景
为强化涉网网络安全风险防控,防范各类网络安全异常事件,进一步提升涉网网络安全防护水平,结合调度管理机构的网络安全管理要求,建设关于电力监控系统的网络安全态势感知系统,将相关厂站的安全设备、核心设备接入,资产注册率不低于90%,并将网络安全日常运行监视纳入24 小时监视范围,以实现统一监控,确保网络安全异常事件得到及时发现和处置。
2.2 系统架构
电力监控系统网络安全态势感知系统由主站系统与采集装置两部分组成。主站系统部署在管理中心的安全II区和安全III区,主站系统遵循电网技术规范中的通信规约,负责对采集装置进行管理以及数据采集,并完成采集数据的处理与分析,为网络安全人员提供各种安全应用。采集装置部署在管理中心与厂站的安全I 区和安全III区,负责采集和上送各种电力监控系统网络安全相关的数据。主站系统整体架构如下图:
.png)
2.3 系统功能
2.3.1 电力监控系统网络安全态势感知主站系统
主站系统通过接入厂站端采集装置,接收装置上送的资产属性数据报文、流量报文和安全设备日志报文等数据,实时分析安全事件和威胁告警。提供可视化界面,以实现网络安全态势的实时监视,全面提升网络安全防控水平。
主站系统作为安全信息和事件管理系统,可接入多台装置,通过主动调阅或被动接收的方式,从装置获取数据,实现对资产数据的收集,并通过对资产数据主动监视,分析资产发生的事件,及时发现威胁事件,产生告警。主要实现的功能包括安全概况、实时监视、综合审计、预测分析、平台管理。
(一)安全概况
可实现多种可视化方式展示电力监控系统全局安全感知信息,对安全事件进行规则分析,生成威胁告警,并能根据站点和组织两种维度进行实用化指标计算功能。
(二)实时监视
对装置上送的报文进行规则分析,生成安全事件,解析采集装置上送的通信流量,生成通信连接信息,并解析采集装置上送的资产信息并以已知资产、未知资产两种维度展示;可根据用户组织架构,生成组织站点树图;能够统计组织或站点的资产信息;
(三)综合审计
提供网络行为审计、外设接入审计、登录行为审计、文件变动审计等多种行为审计。
(四)预测分析
提供按天统计分析告警、事件、通信对数据的告警事件分析功能。
(五)平台管理
告警规则可配置,能够自定义设置装置运行状态越限告警阈值、定义非法登录判断规则、高危操作指令库维护、高危端口库维护;提供组织站点维护功能,能够新增、修改、删除组织并添加、修改、删除所属站点;提供对用户角色配置进行管理,支持添加、删除访问主站系统的用户及角色;
(六)终端安全
可对资产设为隔离状态,隔离资产只能和服务器通信;可收集资产的各种信息,统计基本资产等;支持采集主机行为日志;支持关键字搜索;支持日志过滤;支持威胁事件关联报告;支持基线核查、风险识别、安全防护等功能。
2.3.2 电力监控系统网络安全态势感知采集装置
数据采集装置的主要功能由数据采集、数据解析、安全分析、数据上送和装置管理五大方面组成:
(一)数据采集
数据采集包括日志数据、会话数据和资产属性数据的采集。
(二)数据解析
数据解析包括日志解析服务、会话解析服务、资产属性解析服务。
(三)安全分析
数据解析包括网络行为、移动介质、登录操作、文件变化、互联拓扑、开放服务、运行状态、配置合规、安全漏洞等功能
(四)数据上送
管理控制通道承载采集装置与主站系统交互的管理控制数据。主要是通过安全事件通道、正向代理通道、反向代理通道进行数据交互。
(五)装置管理
平台管理包括用户权限、装置注册、装置注销、程序升级、通道管理、采集管理、规则管理、资产管理、容器管理等管理功能。
3 运行效果
电力监控系统网络安全态势感知系统采用了分布式部署的方式建设,根据管辖范围以及数据量大小,由若干服务器及若干采集装置构成,并与厂站端连接各种安全、网络设备,形成相对完整的统一监视平台。该系统已在电网中多个集控中心、厂站端进行应用,使运行维护人员有更加丰富的工具对本单位系统进行可靠的安全管控。
结束语
电力专家指出,要以信息化、数字化技术构建新型电力系统。但信息化、数字化技术依赖计算机网络作为基础,网络技术辅助行业飞速发展的同时,也使其面临来自网络的威胁。提升电力行业网络安全水平,对电力系统的正常运行发挥不可估量的作用。在加强运行人员网络安全意识及能力的同时,通过配置合适的工具,对增强网络安全的监控及维护,有效抵御恶意攻击、提高安全威胁的反应速度、优化智能电网的建设水平起到重要的作用。
参考文献
[1]国家电力监管委员会.电力二次系统安全防护总体方案[S].2006
[2]罗建东.电力行业网络安全现状及对策研究[J].软件,2021,42(04):132-134.