◆楊顯睿 劉裕明 王杰鴻 姚朝 周艷平

行業(yè)與應(yīng)用安全

縱向加密認證裝置安防基線自動檢測技術(shù)應(yīng)用研究

◆楊顯睿 劉裕明 王杰鴻 姚朝 周艷平

（云南電網(wǎng)有限責任公司昆明供電局 云南 65000000）

縱向加密認證裝置是電力二次系統(tǒng)網(wǎng)絡(luò)安全的重要保證，針對縱向加密認證裝置配置的高頻檢測，能及時發(fā)現(xiàn)隱患，進一步保障電力調(diào)度數(shù)據(jù)網(wǎng)的密通率。本文圍繞地區(qū)電網(wǎng)縱向加密認證裝置安防基線的檢測與維護工作，匯集縱向加密認證裝置管理專家對縱向加密認證裝置安防基線防護的經(jīng)驗，在縱向加密認證裝置安防基線檢查方面，通過使用計算機自動檢測技術(shù)滿足調(diào)度運行部門二次設(shè)備安全防護及提高工作效率的要求。

縱向加密認證裝置；自動化；檢測

1 引言

隨著國內(nèi)外信息網(wǎng)絡(luò)安全形勢的日益嚴峻，電監(jiān)會發(fā)布《電力二次系統(tǒng)安全防護方案》，提出了“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”十六字方針[1]，縱向加密認證裝置越來越多應(yīng)用于調(diào)度數(shù)據(jù)網(wǎng)中，成為保障調(diào)度數(shù)據(jù)網(wǎng)安全運行不可或缺的重要設(shè)備。為此，各地電力部門將縱向加密裝置大量應(yīng)用于調(diào)度數(shù)據(jù)網(wǎng)中，保證電力企業(yè)的安全平穩(wěn)生產(chǎn)[2]。

2 背景

隨著電力信息化的發(fā)展，調(diào)度中心、發(fā)電廠、變電站、用戶等單位之間的業(yè)務(wù)數(shù)據(jù)傳輸變得更加頻繁，縱向加密認證裝置的應(yīng)用為電網(wǎng)運行的安全性和穩(wěn)定性提供了重要支撐[3]。近年來，縱向加密認證裝置數(shù)量和型號的增加，維護復(fù)雜度高，管理工作量日益增加?，F(xiàn)有[i]的縱向加密認證裝置安防基線配置檢測管理方式主要有通過裝置管理中心管理和現(xiàn)場控制口命令管理兩種[4]。在縱向加密認證裝置運行過程中，如對基線配置進行更改，將會失去數(shù)據(jù)安全加密功能，業(yè)務(wù)數(shù)據(jù)將失去保護，因此，需要對裝置內(nèi)系統(tǒng)軟件配置進行例行檢查和管理，保障基線配置滿足安防最基本要求[5]。對于調(diào)度自動化主站和廠站二次專業(yè)人員來說，通過現(xiàn)場計算機連接控制口或連接遠程管理機，輸入與接收命令方式查看配置與分析故障方式技術(shù)復(fù)雜、專業(yè)要求高，甚至需要聯(lián)系廠商人員到達現(xiàn)場處理，容易延誤故障處理工作，隱患較大[6]。總體來說，當前函待解決如下問題：

（1）縱向加密認證裝置操作命令復(fù)雜，專業(yè)要求高。不同廠商、型號的裝置操作命令不相同，不利于二次專業(yè)人員進行記憶和理解。

（2）巡檢頻率低、周期長，隱患與問題發(fā)現(xiàn)慢。基線配置檢查需要逐個人工操作、效率低。現(xiàn)場控制口接入操作方式需要監(jiān)控人員在筆記本身手動輸入命令獲取回顯結(jié)果然后逐條比對，操作不方便，費時費力。

因此，根據(jù)當前縱向加密認證裝置數(shù)量和配置檢查項多，調(diào)試設(shè)備策略容易變更或遺忘恢復(fù)配置，發(fā)現(xiàn)隱患時間長等現(xiàn)象，需要人工時常逐一檢查核對，較為煩瑣問題，迫切需要實現(xiàn)自動化管理方案，能夠幫助運維人員自動獲取安防設(shè)備置配置和運行狀態(tài)信息進行分析，提供通用的友好易于記憶與理解的視窗操作反饋。

3 縱向加密認證裝置安防基線自動化檢測研究思路

3.1 研究思路

在主站通過網(wǎng)絡(luò)以多個線程并發(fā)運行，通過使用SSH協(xié)議對縱向加密裝置安防基線配置進行命令發(fā)送與收取，快速獲取設(shè)備內(nèi)部通信策略并將命令回顯結(jié)果與預(yù)設(shè)的檢測配置規(guī)則進行校驗比對，替代人工進行問題分析判定，短時間將所有設(shè)備最新狀態(tài)與問題顯示在報表中。通過對網(wǎng)絡(luò)設(shè)備內(nèi)部配置與通信策略的快速全面掃描、在線的網(wǎng)絡(luò)設(shè)備異常監(jiān)視、掃描與監(jiān)測數(shù)據(jù)的快速分析與可視化展示，分析結(jié)果的主動告知與異常告警，提供全面的檢測報告和問題修復(fù)建議，從而有效提高對調(diào)度數(shù)據(jù)網(wǎng)設(shè)備二次安防配置正確性、網(wǎng)絡(luò)設(shè)備運行穩(wěn)定性，保障電力調(diào)度數(shù)據(jù)網(wǎng)穩(wěn)定可靠運行。

3.2 關(guān)鍵技術(shù)及解決方案

（1）實現(xiàn)縱向加密認證裝置安防配置柔性自動化檢測

縱向加密認證裝置安防配置檢測策略需要支持的廠商、設(shè)備型號、設(shè)備類型較多且后期會不斷擴增，通常這些不同廠商、類型的設(shè)備指令存在差異，研究并得出這些指令的共通之處是個難點，即需要在應(yīng)用中開展?jié)M足絕大部分縱向加密認證裝置指令適配方法的研究。在此基礎(chǔ)上，對縱向加密認證裝置安防配置檢測內(nèi)容的反饋信息增加邏輯研判及相關(guān)處置功能，即根據(jù)反饋信息中的相關(guān)內(nèi)容，應(yīng)用按照自定義的邏輯處置功能執(zhí)行相應(yīng)的操作。最終，將縱向加密認證裝置指令及邏輯處置相結(jié)合，形成完整的縱向加密認證裝置安防配置檢測策略，并滿足可編程可自定義的要求。

為此，建立8張數(shù)據(jù)表，分別為：CheckMenuNode（檢測項目表）用于存儲所需檢測項目信息。CheckRule（檢測規(guī)則表）用于存儲對所需檢測項目的具體規(guī)則描述。CheckCommand（檢測指令表）用于存儲檢測規(guī)則所對應(yīng)的配置獲取命令。CheckMethod（檢測規(guī)則關(guān)鍵屬性表）用于存儲根據(jù)命令獲取到的回顯結(jié)果中需要校驗的關(guān)鍵屬性。CheckLogic（檢測規(guī)則關(guān)鍵屬性邏輯表）用于存儲根據(jù)命令獲取到的回顯結(jié)果中需要校驗的關(guān)鍵屬性的校驗邏輯。Manufactory（廠商信息表）用于存儲縱向加密裝置對應(yīng)廠商的基礎(chǔ)信息。DeviceType（設(shè)備類型表）用于存儲縱向加密裝置各個廠商不同版本型號的基礎(chǔ)信息。DevTypeRule（設(shè)備型號檢測模板明細表）用于存儲縱向加密裝置各個設(shè)備型號與校驗規(guī)則之間的對應(yīng)關(guān)系。

同時，針對每次檢測流程過程追溯需求，建立7張實例表，用于存儲實際檢測流程中各個階段的反饋情況，便于后期維護，分別為：CheckTaskInstance（檢測任務(wù)實例表）用于存儲每次檢測任務(wù)的基礎(chǔ)信息；CheckMenuNodeInstance（檢測項目實例表）；CheckRuleInstance（檢測規(guī)則實例表）；CheckCommandInstance（檢測指令實例表）；CheckMethodInstance（檢測規(guī)則關(guān)鍵屬性實例表）；CheckLogicInstance（檢測規(guī)則關(guān)鍵屬性邏輯實例表）；CheckResultInstance（檢測結(jié)果表）用于存儲檢測指令獲取到的回顯結(jié)果。

圖1 縱向加密裝置安防基線數(shù)據(jù)庫設(shè)計圖

根據(jù)用戶配置的每個檢測項目檢測流程，代碼會進行自動判斷，具體研判過程如下：

A：讀取checkcommand表中的command字段作為輸入指令。

B：讀取checkcommand表中的ifRoot（是否需要root權(quán)限）字段查看該指令是否需要root權(quán)限，成功轉(zhuǎn)入步驟C，失敗轉(zhuǎn)入步驟D。

C：切換至root賬戶。

D：執(zhí)行checkcommand表中配置獲取請求指令。

E：判斷指令是否可行（因設(shè)備型號、版本不同的原因獲取相同的配置或者進行同一操作時所需命令不一定相同，如：在華為交換機中進入en模式的命令因型號版本不同分為sy、en、sys），成功轉(zhuǎn)入步驟H，失敗轉(zhuǎn)入步驟F。

F：讀取checkcommand表中的spare-scheme（備用指令）字段該指令的后備指令。

G：判斷后備指令是否執(zhí)行成功，成功轉(zhuǎn)入步驟H，失敗轉(zhuǎn)入步驟J。

H：讀取checkResult表中的method字段來篩選需要顯示的回顯結(jié)果。

I：讀取checkRule表中的Application字段，確定回顯結(jié)果的應(yīng)用范圍（在調(diào)度數(shù)據(jù)網(wǎng)中主要有實時（Ⅰ）區(qū)與非實時（Ⅱ）區(qū)，每個區(qū)又分別擁有兩個平面，每一個平面又分為主調(diào)和備調(diào)，在進行基線配置檢測時不同區(qū)的不同平面中需要校驗的規(guī)則各不相同，故需要對檢驗規(guī)則進行應(yīng)用范圍限制）。

J：讀取checkcommand表中的Exception字段獲取異常處理方法。

K：與checkRule表中的rule字段進行該指令的規(guī)則檢驗，判斷是否擁有多個規(guī)則（rule字段），成功轉(zhuǎn)入步驟M，失敗轉(zhuǎn)入步驟L。

L：判斷回顯結(jié)果是否符合checkRule表中rule字段的規(guī)則要求，成功轉(zhuǎn)入步驟N，失敗轉(zhuǎn)入步驟P。

M：判斷回顯結(jié)果是否符合checkRule表中所有rule字段的規(guī)則要求，成功轉(zhuǎn)入步驟N，失敗轉(zhuǎn)入步驟P。

N：讀取checkResult表中的CheckContent字段作為正常顯示回顯內(nèi)容。

O：將檢測結(jié)果進行標綠顯示。

P：將檢測結(jié)果進行標紅顯示。

圖2 縱向加密裝置安防基線檢測流程圖

（2）實現(xiàn)縱向加密認證裝置智能巡檢需求

縱向加密認證裝置智能巡檢依賴于安防配置自動檢測，在此基礎(chǔ)上，可以自定義巡檢頻率（按周巡檢，按天巡檢，按小時巡檢等）、巡檢范圍、巡檢內(nèi)容等，同時在定義巡檢頻率是可以設(shè)置是否需要結(jié)合節(jié)假日與休息日對巡檢周期進行限制。為了滿足在一定時間內(nèi)對網(wǎng)內(nèi)所有設(shè)備進行多次巡檢的需求，需要將調(diào)度數(shù)據(jù)網(wǎng)設(shè)備分成若干個虛擬區(qū)域，以此提高對縱向加密認證裝置安防配置正確性的監(jiān)視力度，保障電力調(diào)度數(shù)據(jù)網(wǎng)穩(wěn)定可靠運行，同時在巡檢結(jié)束后根據(jù)巡檢結(jié)果的嚴重情況智能選擇通過電話聯(lián)系、發(fā)送告警短信或進行警鈴提醒的方式通知監(jiān)控人員第一時間對設(shè)備進行維護。

4 縱向加密認證裝置安防基線柔性自動化檢測系統(tǒng)設(shè)計

在調(diào)度數(shù)據(jù)網(wǎng)Ⅰ、Ⅱ分區(qū)隔離防火墻下部署一臺管理機服務(wù)器，負責掃描檢測設(shè)備配置、獲取配置并存儲、分析與展示。管理機通過防火墻與調(diào)度數(shù)據(jù)網(wǎng)內(nèi)縱向加密認證裝置通過SSH通信，由一臺核心路由器映射轉(zhuǎn)發(fā)數(shù)據(jù)實現(xiàn)。工作時，管理機根據(jù)設(shè)定的任務(wù)，自動對網(wǎng)絡(luò)內(nèi)縱向加密認證裝置進行周期掃描，并形成報告。

Ⅱ區(qū)網(wǎng)絡(luò)PC客戶端，可以通過路由映射訪問管理機Web頁面，形成圖形化監(jiān)視效果，當主動探測終端向管理機發(fā)送網(wǎng)絡(luò)探測結(jié)果后，管理機程序通過分析，進行網(wǎng)絡(luò)異常的圖形與聲音告警，推送在Web網(wǎng)絡(luò)拓撲圖頁面上。

系統(tǒng)包括如下主要功能模塊：

掃描范圍管理：可以通過輸入IP范圍、導(dǎo)入設(shè)備臺賬EXCEL等形式，定制掃描的范圍。

掃描任務(wù)管理：可以通過條件查詢和勾選，建立不同設(shè)備臺賬范圍、掃描周期形成自動執(zhí)行的掃描任務(wù)。

掃描結(jié)果分析：可以快速對掃描結(jié)果進行分析，給出問題設(shè)備以及具體問題原因。

報表分析：給出管理和專業(yè)兩個視角的分析報表，管理視角可以對趨勢、問題分類、等級分類進行查看，專業(yè)視角可針對具體問題設(shè)備，查看問題以及該問題的修復(fù)處置方案。

檢測策略管理：可以在模塊通過編制掃描命令、研判過程，擴展不同設(shè)備或新的檢查項。

臺賬管理：可以查看縱向加密裝置的設(shè)備臺賬，可對設(shè)備臺賬進行添加、刪除、修改操作。

日志管理：可以查看縱向加密裝置安防基線配置檢測過程中的回顯結(jié)果，方便后期系統(tǒng)維護。

圖3 系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)圖

圖4 系統(tǒng)功能結(jié)構(gòu)圖

5 應(yīng)用情況分析

當前，昆明供電局調(diào)度中心自動化班組需要運維四百余臺縱向加密認證裝置，按照以往的檢測方式自動化運維人員對一臺縱向加密認證裝置進行安防基線檢測每次約需要0.5小時，所有縱向加密認證裝置的安防基線檢測需要200小時以上。本文提出的縱向加密認證裝置安防基線柔性自動化檢測系統(tǒng)，能將縱向加密認證裝置進行安防基線檢測時間控制在5分鐘一次，可以夠有效提高調(diào)度自動化人員對縱向加密認證裝置安防維護效率。

6 結(jié)束語

本文闡述了縱向加密認證裝置安防基線柔性自動化檢測的主要研究思路與關(guān)鍵技術(shù)，開發(fā)滿足縱向加密認證裝置安全防護要求的自動化檢測與主動分析系統(tǒng)，實現(xiàn)對電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備短周期掃描和設(shè)備運行主動分析，提高設(shè)備維護水平，減少調(diào)度自動化人員維護工作量，提高運維效率。

[1]王勝飛，胡華，趙文杰，陳文雄，李端歡，王興念.配電自動化安全防護設(shè)計與實踐[J].電工技術(shù)，2019.

[2]劉媛，李勁，殷曉蓓.調(diào)度數(shù)據(jù)網(wǎng)縱向安全防護系統(tǒng)的構(gòu)建和應(yīng)用[J].廣西電力，2011.

[3]任杰，王婷宇.電力通信網(wǎng)數(shù)據(jù)的安全防護系統(tǒng)及實現(xiàn)研究[J].科技風，2019.

[4]陸子成，張鐵龍，程夏.針對縱向加密認證裝置的網(wǎng)絡(luò)安全威脅分析[J].微型機與應(yīng)用，2016.

[5]高健，劉萍.電力專用縱向加密認證網(wǎng)關(guān)的技術(shù)應(yīng)用[J].湖州師范學院學報，2011.

[6]潘路. 電力二次系統(tǒng)網(wǎng)絡(luò)信息安全防護的設(shè)計與實現(xiàn)[D].華南理工大學，2014.

云南電網(wǎng)公司科技項目資助：調(diào)度數(shù)據(jù)網(wǎng)安防設(shè)備柔性自動化檢測與主動分析技術(shù)研究與應(yīng)用（編號：YNKJXM20180364）