宗和剛,張朝粵
(華能瀾滄江水電股份有限公司烏弄龍·里底水電廠,云南 迪慶,674606)
近年來,隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和人工智能的飛速發(fā)展,引發(fā)了多領(lǐng)域的計算處理模式的改變,在對數(shù)據(jù)的處理、分析應(yīng)用和提升協(xié)同計算能力方面取得了顯著成績。然而,伴隨著信息化的日新月異,我國的網(wǎng)絡(luò)安全也面臨著十分嚴(yán)峻的考驗[1]。近些年國內(nèi)外報出的電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊事件比比皆是,例如:烏克蘭電網(wǎng)攻擊事件、以色列電力供應(yīng)系統(tǒng)遭重大網(wǎng)絡(luò)攻擊事件、委內(nèi)瑞拉大停電事件等等。切斷了一個城市的電力,就相當(dāng)于切斷了城市的命脈。正因如此,電力系統(tǒng)網(wǎng)絡(luò)安全問題越來越受到關(guān)注。2018年9月13日,國家能源局印發(fā)《關(guān)于加強電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》,其中指出要進(jìn)一步落實電力企業(yè)網(wǎng)絡(luò)安全主體責(zé)任,完善網(wǎng)絡(luò)安全監(jiān)督管理體制機制,加強全方位網(wǎng)絡(luò)安全管理,強化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,加強行業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè),加強電力企業(yè)數(shù)據(jù)安全保護,提高網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警及應(yīng)急處置能力,支持網(wǎng)絡(luò)安全自主創(chuàng)新與安全可控。水電廠網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的建設(shè)將進(jìn)一步提升監(jiān)控系統(tǒng)安全防護水平,強化網(wǎng)絡(luò)安全防護體系,有力防范和遏制重大網(wǎng)絡(luò)安全事件,保障電力生產(chǎn)安全穩(wěn)定運行和電力可靠供應(yīng)。
目前,水電廠保證電力監(jiān)控網(wǎng)絡(luò)安全的方法主要有2種。
(1)傳統(tǒng)方法即通過公安部要求的《信息系統(tǒng)安全等級保護》測評。
(2)通過在電廠建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全的監(jiān)視和管理。
很多電廠目前是2種方法都在實施,目的是建立電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的雙重保障,下面對2種方法進(jìn)行闡述。
《信息系統(tǒng)安全等級保護》測評工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查5個階段。系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險監(jiān)視以及管理主要依靠人工日常運維,缺乏自動化的風(fēng)險發(fā)現(xiàn)以及監(jiān)視措施,一旦遭遇網(wǎng)絡(luò)攻擊行為,根本不可能第一時間對其進(jìn)行處理;而且,電廠各個系統(tǒng)之間的信息孤島非常嚴(yán)重,單純的對某一個系統(tǒng)進(jìn)行測評,找不出其他系統(tǒng)對它的影響,不能有效的獲取到更多的基礎(chǔ)數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)安全風(fēng)險分析,這對于保障網(wǎng)絡(luò)安全極為不利。
網(wǎng)絡(luò)安全態(tài)勢感知是綜合分析網(wǎng)絡(luò)安全要素,評估網(wǎng)絡(luò)安全狀況,預(yù)測其發(fā)展趨勢,以可視化的方式展現(xiàn)給用戶,并給出相應(yīng)的報表和應(yīng)對措施。
網(wǎng)絡(luò)安全態(tài)勢感知過程可以分為以下4個過程:
(1)數(shù)據(jù)采集:通過各種檢測工具,對各種影響系統(tǒng)安全性的要素進(jìn)行檢測采集獲取,這一步是態(tài)勢感知的前提。
(2)態(tài)勢理解:對各種網(wǎng)絡(luò)安全要素數(shù)據(jù)進(jìn)行分類、歸并、關(guān)聯(lián)分析等處理融合,對融合的信息進(jìn)行綜合分析,得出影響網(wǎng)絡(luò)的整體安全狀況,這一步是態(tài)勢感知基礎(chǔ)。
(3)態(tài)勢評估:定性、定量分析網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)和薄弱環(huán)節(jié),并給出相應(yīng)的應(yīng)對措施,這一步是態(tài)勢感知的核心
(4)態(tài)勢預(yù)測:通過對態(tài)勢評估輸出的數(shù)據(jù),預(yù)測網(wǎng)絡(luò)安全狀況的發(fā)展趨勢,這一步是態(tài)勢感知的目標(biāo)。
網(wǎng)絡(luò)安全態(tài)勢感知要做到深度和廣度兼?zhèn)?,從多層次、多角度、多粒度分析系統(tǒng)的安全性并提供應(yīng)對措施,以圖、表和安全報表的形式展現(xiàn)給用戶[2]。
下面以南網(wǎng)直調(diào)的某電廠為例進(jìn)行詳細(xì)講解,該電廠電壓等級是500 kV,電廠的通信機房、監(jiān)控機房等布置在地下副廠房,開關(guān)站位于大壩下游右側(cè),在上述房間內(nèi)都布置有重要的業(yè)務(wù)系統(tǒng)。
該電廠的電力監(jiān)控系統(tǒng)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則布置;主要劃分為生產(chǎn)控制大區(qū)和管理信息大區(qū)。生產(chǎn)控制大區(qū)又劃分為控制區(qū)(也叫安全區(qū)I)和非控制區(qū)(也叫安全區(qū)II);管理信息大區(qū)分為生產(chǎn)管理區(qū)(安全區(qū)Ⅲ)和管理信息區(qū)(安全區(qū)Ⅳ)。在該電廠生產(chǎn)管理區(qū)和管理信息區(qū)統(tǒng)稱為安全區(qū)Ⅲ,不同安全區(qū)確定不同安全防護要求,其中安全區(qū)I安全等級最高,安全區(qū)II次之,其余依次類推[3]。各個安全區(qū)所包含的系統(tǒng)及接入方式如圖1所示。本次網(wǎng)絡(luò)安全態(tài)勢感知建設(shè)項目需要將安全區(qū)I、安全區(qū)II、安全區(qū)Ⅲ都接入。
該電廠為南網(wǎng)總調(diào)直調(diào)電廠,數(shù)據(jù)采集直接送南網(wǎng)進(jìn)行分析。運用的是分布采集、集中運營管理的部署方式,如圖2所示,分別采集安全區(qū)I、安全區(qū)I、安全區(qū)III的數(shù)據(jù)進(jìn)行態(tài)勢感知分析。
圖1 電廠電力監(jiān)控系統(tǒng)機構(gòu)圖
圖2 電廠網(wǎng)絡(luò)安全態(tài)勢感知平臺部署圖
為了使南網(wǎng)掌握電廠網(wǎng)絡(luò)資產(chǎn)、脆弱性、告警事件、威脅、攻擊和風(fēng)險,并進(jìn)行應(yīng)急響應(yīng)、調(diào)查分析等閉環(huán)處置。電廠要盡可能全面采集信息網(wǎng)絡(luò)相關(guān)數(shù)據(jù),包括網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、安全設(shè)備數(shù)據(jù)、主機設(shè)備數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)以及應(yīng)用系統(tǒng)和中間件數(shù)據(jù),并上送南網(wǎng)總調(diào),總調(diào)安全分析團隊融合威脅情報進(jìn)行基于大數(shù)據(jù)平臺的安全管理與安全分析,實現(xiàn)資產(chǎn)管理、漏洞管理、事件管理、威脅告警、調(diào)查分析和應(yīng)急響應(yīng)等業(yè)務(wù),為安全運營(管理、分析、響應(yīng))團隊提供技術(shù)支撐[4]。具體的架構(gòu)如圖3所示。
圖3 電廠網(wǎng)絡(luò)安全態(tài)勢感知平臺架構(gòu)圖
網(wǎng)絡(luò)安全態(tài)勢感知平臺的建設(shè)是一個持續(xù)推進(jìn)的工作,從數(shù)據(jù)采集、態(tài)勢理解、態(tài)勢評估再到態(tài)勢預(yù)測,不是一次性就能完全實現(xiàn)的,而是隨著技術(shù)的進(jìn)步,持續(xù)在完善。本次在電廠搭建網(wǎng)絡(luò)安全態(tài)勢感知平臺,可以實現(xiàn)對電廠各種電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的數(shù)據(jù)采集、范式化處理、數(shù)據(jù)建模和關(guān)聯(lián)分析,能夠及時發(fā)現(xiàn)如非法跨區(qū)互聯(lián)、非法移動介質(zhì)接入、網(wǎng)絡(luò)非法接入等各類網(wǎng)絡(luò)安全風(fēng)險以及非法訪問事件,以實現(xiàn)對電廠監(jiān)控系統(tǒng)全方位、全天候的網(wǎng)絡(luò)安全監(jiān)測,實現(xiàn)電廠網(wǎng)絡(luò)安全的閉環(huán)管理。但要實現(xiàn)真正的態(tài)勢預(yù)測,還需要進(jìn)一步的完善。
在搭建電廠網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)之前,需要對被采集設(shè)備所對應(yīng)的防火墻或者交換機進(jìn)行策略配置。另外要修改安全區(qū)II縱向防火墻、安全區(qū)I和安全區(qū)II之間的橫向防火墻、縱向加密裝置及安全區(qū)Ⅲ綜合數(shù)據(jù)網(wǎng)防火墻策略配置,實現(xiàn)站內(nèi)及主子站之間系統(tǒng)數(shù)據(jù)的互聯(lián)互通。
接下來在電廠側(cè)配置兩套網(wǎng)絡(luò)安全態(tài)勢感知監(jiān)測終端,分別布置在安全區(qū)I和安全區(qū)Ⅲ,如圖4所示。監(jiān)測終端通過SNMP、syslog以及流量鏡像等技術(shù),在I區(qū)采集縱向加密裝置、橫向防火墻、互聯(lián)交換機、站控層、工作站交換機的信息,在Ⅲ區(qū)采集綜合數(shù)據(jù)網(wǎng)交換機、調(diào)度管理網(wǎng)和視頻會商交換機的信息。在安全區(qū)I和安全區(qū)II之間的橫向防火墻中,采用NAT技術(shù),把安全區(qū)I廠站設(shè)備IP映射成安全區(qū)II的IP,然后通過syslog協(xié)議,實現(xiàn)安全區(qū)II的縱向加密裝置、工作站的信息采集,至此3個安全區(qū)的數(shù)據(jù)都已經(jīng)獲取。
安裝在安全區(qū)I的檢測終端中接入了電廠監(jiān)控系統(tǒng)核心交換機A/B網(wǎng)、南網(wǎng)調(diào)度A/B平面、安穩(wěn)控制裝置A/B套、PMU主機、保信子站、故障錄波等系統(tǒng),實現(xiàn)設(shè)備配置/日志信息以及設(shè)備流量信息的獲?。话惭b在安全區(qū)Ⅲ的檢測終端中接入了綜合數(shù)據(jù)網(wǎng)交換機、調(diào)度管理網(wǎng)和視頻會商交換機,實現(xiàn)設(shè)備配置/日志信息以及設(shè)備流量信息的獲取。
在各個被采集系統(tǒng)的交換機上需要接入兩根網(wǎng)線,一根叫做通信線,另一根叫做鏡像線,兩根網(wǎng)線通過交換機直接接入態(tài)勢感知系統(tǒng)裝置。通信線主要是采集網(wǎng)絡(luò)資產(chǎn)信息,所謂網(wǎng)絡(luò)資產(chǎn)就是處于電廠監(jiān)控網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)。不管是何種形式的網(wǎng)絡(luò)攻擊,總是以處于這個網(wǎng)絡(luò)中的設(shè)備為載體或者目標(biāo)。所以,首先要將網(wǎng)絡(luò)中的設(shè)備都梳理出來,才能做到心中有數(shù),對癥下藥。在這個大的網(wǎng)絡(luò)中,每一個設(shè)備都有一個ID,只要獲取到ID就能唯一定位這個設(shè)備。網(wǎng)絡(luò)中存在的無主資產(chǎn),僵尸資產(chǎn),沒有固定ID的資產(chǎn),往往是最容易受攻擊的對象,這些資產(chǎn)的存在給網(wǎng)絡(luò)安全帶來了極大隱患,故通過通信線采集網(wǎng)絡(luò)資產(chǎn),建立網(wǎng)絡(luò)資產(chǎn)清單,為每一個設(shè)備建立檔案,這是態(tài)勢感知系統(tǒng)的第一步,也是最重要的一步。另外,通信線能夠檢測到網(wǎng)絡(luò)中的一些常規(guī)操作,例如:USB熱插拔、網(wǎng)口熱插拔、設(shè)備告警、資產(chǎn)在離線及設(shè)備日志信息等。端口鏡像作用是把交換機的一個或者多個源端口的流量完全拷貝一份,然后通過鏡像線送到目的端口,目的端口可以是一個或多個。簡單的說,鏡像的作用就是在不影響原來交換機中數(shù)據(jù)傳輸?shù)那疤嵯拢ㄟ^鏡像功能將原來交換機中的數(shù)據(jù)流量復(fù)制一份到指定的目的端口,進(jìn)而來監(jiān)聽和分析網(wǎng)絡(luò)安全問題,以及檢測網(wǎng)絡(luò)攻擊,這是態(tài)勢感知系統(tǒng)的第二步,即態(tài)勢理解。在實際的安裝部署過程中,根據(jù)現(xiàn)場情況,有些系統(tǒng)是通過防火墻接入態(tài)勢感知設(shè)備的,而一般防火墻沒有鏡像功能,故在敷設(shè)時,就只敷設(shè)通信線采集資產(chǎn)。
I區(qū)監(jiān)測終端采集到的數(shù)據(jù)將通過II區(qū)B平面調(diào)度數(shù)據(jù)網(wǎng)IP,向南網(wǎng)總調(diào)II區(qū)B平面的主站平臺服務(wù)器上送數(shù)據(jù);Ⅲ區(qū)監(jiān)測終端采集到的數(shù)據(jù)將通過Ⅲ區(qū)綜合數(shù)據(jù)網(wǎng)IP,向南網(wǎng)總調(diào)Ⅲ區(qū)的主站平臺服務(wù)器上送數(shù)據(jù),在電廠側(cè)未配置網(wǎng)絡(luò)安全態(tài)勢感知平臺對應(yīng)的可視化顯示終端,在南網(wǎng)總調(diào)側(cè)配有可視化顯示終端,實現(xiàn)對電廠網(wǎng)絡(luò)安全的檢測分析和管理。
圖4 網(wǎng)絡(luò)安全態(tài)勢感知廠站端部署圖
伴隨著網(wǎng)絡(luò)強國戰(zhàn)略的提出,網(wǎng)絡(luò)安全問題已經(jīng)上升到國家層面。 水電是將河流、湖泊或海洋等水體所蘊藏的水能轉(zhuǎn)變?yōu)殡娔艿陌l(fā)電方式,是一種清潔環(huán)保的可再生能源。它在整個電力能源中占據(jù)著非常重要的地位。一旦水電廠的電力監(jiān)控網(wǎng)絡(luò)受到攻擊,后果將不堪設(shè)想。因此,本文介紹的在水電廠建設(shè)網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)是一種大膽的嘗試,是符合科技發(fā)展和時代進(jìn)步的必然結(jié)果。盡管,目前電廠態(tài)勢感知系統(tǒng)接入的設(shè)備只是一部分相對重要的設(shè)備,而且態(tài)勢感知只是到達(dá)了第二步態(tài)勢理解,距離態(tài)勢預(yù)測還有一段距離,但不可否認(rèn)的是,態(tài)勢感知的接入比原來通過《信息系統(tǒng)安全等級保護》測評的方法更具體、更直觀也更有效。水電廠網(wǎng)絡(luò)安全態(tài)勢感知的建設(shè)需要更多的電廠去嘗試,去實踐,只有這樣才能更好地保障電廠網(wǎng)絡(luò)安全,才能保證電廠安全穩(wěn)定發(fā)電。