湖北师范大学机电与控制工程学院, 湖北 黄石 435000
摘 要:近年来的电网网络安全事件的不断发生使得电力监控系统网络安全形势日益严峻,在此背景下,通过电力监控系统安全态势感知技术主动感知电力监控系统的各类网络安全风险以及非法访问事件具有重要意义。文章通过对电力监控系统网络安全态势感知的总体目标及主要内容进行阐述,并对各个应用功能进行分析,在此基础上提出了安全态势感知平台的部署方案,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。
关键词:电力监控;网络安全;态势感知
近年来,伊朗、乌克兰、委内瑞拉等国家的电网安全事件给世界各国敲响了警钟,电力监控系统的网络安全已经被提高到了国家安全层面。但目前,电力监控系统的网络安全主要依靠人工进行监视,难以实时、有效地监视电力监控系统的网络安全状态,存在极大的安全隐患。因此,亟需研究电力监控系统网络安全态势感知技术并建设网络安全态势感知平台,以实现电力监控系统网络安全相关数据的全面采集和实时监视,最终达到电力监控系统网络安全风险可发现、可控制、可溯源的目标。
电网安全事件说明敌对组织及黑客实施网络攻击的主要意图是,通过电力监控系统破坏电力系统的运行,达到破坏社会稳定、扰乱公共秩序或获取经济利益的目的。
电力监控系统是国家电网企业中最核心、也最为重要的系统,是电力安全生产的基础。为确保电力监控系统的安全,构建了安全分区、网络专用、横向隔离、纵向认证的网络安全防护体系。在此基础上,电力监控系统网络安全态势感知是基于网络环境实时动态地监视和感知安全风险,及时发现如非法跨区互联、网络非法接入、非法移动介质接入等各类网络安全风险以及非法访问事件,以实现对各电力监控系统全面、实时的网络安全态势感知及预警,全面提升对网络安全威胁的识别、分析和处置能力,实现电力监控系统网络安全的闭环管控,全面提高电力监控系统网络安全防护的整体水平。
电力监控网络态势感知一般主要由网络安全态势感知主站系统和采集装置组成。其中,主站系统是指部署在各级调控中心的应用系统,将采集的数据进行实时监视、日志审计、预测分析等。采集装置是指部署在各级调控中心、各级发电厂、变电站电力监控系统局域网网络内部,对主站或厂站电力监控系统网络安全数据进行采集、分析、处理并与主站系统通信的装置。采集装置和主站系统之间则通过调度数据网进行通信和数据传输。通过采集装置及主站系统的实时监视和感知,实现对电力监控系统全方位、全天候的网络安全监测。
(1) 传感设备层
态势感知系统整体目标的实现,需要利用在电力监控系统网络环境内部设置大量的传感设备来实现,传感设备相当于主站系统延伸至电力监控系统各个角落的感知触角,不仅可以搜集大量的安全讯息,也可把数据信息直观展示于显示器内部,协助网络安全管理工作人员在第一时间去了解系统安全态势以及发展趋势,客观的判断和描述安全态势,利于在有效时间内做出响应,把安全隐患降到最低。
(2)数据采集层
基于系统传感设备进行数据采集,并将采集的数据按照约定的协议和格式进行传输,传送至主站系统。一般来说,系统可以通过不同的格式展现各个差异性的采集数据,并经过统一的接口进行数据转换,转换为标准的格式。
(3)计算存储层
采集数据送至主站系统后在计算存储层进行存储并供后续计算分析使用。存储的目标是将采集数据按照数据库表结构进行统一的存储。计算的目标是对采集数据进行抽取和分析计算,工作人员可在计算存储层开展高智能模型的计算,为工作人员安全管理分析工作提供强有力的支持。
(4)业务能力层
工作人员通过多样化的引擎组织,实施业务协同工作,把网络安全的整个状态全部展现,有效预测未来的安全发展趋势,解决可能发生的安全问题,设置预警装置,把安全问题发生率控制在最低。
(5) 系统服务层
系统服务层以以上各层为基础,进行安全事件的告警,并设计网络安全的不同层次视图,有效管理整个网络环境的安全性,及时结合实际情况,对全局进行判断,并作出有效的决策和响应。也可制定健全应急预案,利用合理举措落实安全管理和预防工作。
电力监控系统网络安全态势感知平台的部署需按照功能模块逐项部署,并按照分步实施的方式开展,选取主机设备、网络设备、安防设备进行数据采集,待成熟之后,逐步实现其他电力监控系统设备的采集,以确保部署工作的逐步推进和安全开展。
(1)部署态势感知主站平台,实现对主站各电力监控系统以及厂站网络安全相关数据的采集分析和集中展示;
(2)部署流量分析子系统,接入核心网络设备,通过对网络流量检测出的威胁做进一步的调查分析;
(3)部署大数据平台实现对通信流及未解析日志数据的集中采集及存储,利用大数据的技术架构,快速高效地解析实时网络安全海量数据,识别内部资产网络特征,并通过匹配分析,揭示电力监控系统可能面临的威胁;
(4)在不影响现有电力监控系统正常稳定运行的前提下,选择典型的主机设备、网络设备以及安全设备进行数据采集以及监视,其中主机设备通过syslog、snmp、snmp trap方式实现数据采集,网络设备通过syslog、snmp、snmp trap方式实现数据采集,安全设备通过syslog方式实现数据采集;
(5)电力安全II区前置数据处理服务器接入安全II区前端网络,通过纵向加密认证装置接入调度数据网,实现主站平台互联互通;
(6)电力安全III区前置数据处理服务器接入安全III区前端网络,通过纵向防火墙接入综合数据网,实现主站平台互联互通;
(7)开通电力安全I区与安全II区之间横向防火墙相关策略,实现安全I区采集装置与安全II区前置数据处理服务器以及大数据分析服务器之间的横向数据交互
(8)开通正反向隔离装置相关策略,实现监测安全II区主站平台与安全III区主站平台之间的横向数据交互。
电力监控系统网络安全态势感知系统能够有效地改变现有完全依赖人工的现状,实现网络安全态势的实时监控,提升安全风险防控水平,降低安全隐患,确保电力企业的安全稳定供电。