吳程楠，田 茜，李 曼

(國網上海市電力公司松江供電公司，上海 201600)

1 網絡安全管理平臺建設及功能

1.1 網絡安全管理平臺建設

電力監(jiān)控系統(tǒng)網絡安全管理平臺[1-3]主要實現(xiàn)對調度機構電力監(jiān)控系統(tǒng)、變電站站控層和電廠涉網部分的專用安防設備、通用安全設備、主機操作系統(tǒng)、數(shù)據庫、網絡設備等的設備狀態(tài)、安全狀態(tài)、安全事件和操作行為進行實時監(jiān)測與告警，實現(xiàn)對電力監(jiān)控系統(tǒng)進行安全核查及掃描，以發(fā)現(xiàn)薄弱環(huán)節(jié)，甚至主動隔離風險主機。

網絡安全管理平臺使用C/S架構運行于安全Ⅱ區(qū)，并在主站安全Ⅰ區(qū)、Ⅱ區(qū)的采集裝置中部署采集模塊，主要采集來自電力監(jiān)控系統(tǒng)中的安全設備、主機設備和網絡設備的運行信息、操作信息以及告警信息，并將采集到的數(shù)據統(tǒng)一匯總至安全Ⅱ區(qū)的平臺服務器，由人機工作站進行集中展現(xiàn)。

NS 5000網絡安全管理平臺具備安全檢查、監(jiān)視、告警、分析以及事后審計等應用功能，并提供管理平臺自身及相關應用的配置管理功能，用來維護系統(tǒng)的完整性和可用性，提高系統(tǒng)的運行效率。

1.2 安全檢查功能

安全檢查可核查對象配置安全并評估存在的安全風險，需預先將核查腳本分發(fā)到設備主機上，由平臺發(fā)起安全配置核查任務，并在操作系統(tǒng)層執(zhí)行核查腳本，之后將核查結果返回給安全配置核查服務程序。

安全檢查基于漏洞庫和安全配置基線，對安全漏洞、弱口令、安全配置進行掃描和核查，實現(xiàn)網絡安全的主動防御。安全風險評估服務連接安全Ⅰ/Ⅱ區(qū)采集裝置的探針程序，向對應安全區(qū)的設備進行安全風險評估?？紤]到對電力監(jiān)控系統(tǒng)的影響，平臺提供基礎風險評估及深度風險評估功能模塊。

1.3 安全監(jiān)視功能

安全監(jiān)視功能可全方位實時監(jiān)視電力監(jiān)控系統(tǒng)的安全運行情況，可宏觀展示電力監(jiān)控系統(tǒng)運行概況，將采集的網絡安全數(shù)據通過采集消息總線發(fā)送給分析服務模塊；分析服務模塊處理收集到的數(shù)據，將必要的數(shù)據存入實時庫，生成具體的監(jiān)視、告警信息推送給人機；人機的監(jiān)聽模塊獲取相關信息后展示給用戶，并根據用戶的操作向分析服務模塊發(fā)送請求，分析服務模塊收到請求后再從實時庫中提取相關數(shù)據，發(fā)送給人機進行數(shù)據展示。支持以拓撲圖形式展現(xiàn)內網的安全主機及各類安全設備，實時展示設備告警和在離線狀態(tài)。

1.4 安全告警功能

安全告警功能提供實時告警和歷史告警兩種告警展示，根據告警產生的類型采取多種監(jiān)視方式，實時監(jiān)控告警情況。針對監(jiān)管平臺的詳細告警情況，采用多種監(jiān)視方式，諸如告警提示窗、告警懸浮窗、告警輪播等，多手段實時監(jiān)視告警情況。

1.5 安全分析功能

安全分析功能使用各種綜合分析手段，并提供報表工具生成用戶所需的安全運行報表，通過對設備監(jiān)視與告警數(shù)據進行多維度的分析與挖掘。

當告警處理模塊分析出告警信息后，通知數(shù)據分析模塊，在接收到告警通知后查詢歷史數(shù)據庫對告警數(shù)量、告警曲線等信息進行統(tǒng)計分析并將分析結果寫入歷史數(shù)據庫和實時數(shù)據庫，人機界面通過查詢歷史庫和實時庫來獲取統(tǒng)計數(shù)據并展示電力監(jiān)控系統(tǒng)安全運行情況。

1.6 安全審計功能

安全審計功能基于歷史記錄數(shù)據，在事后對所有安全事件、操作行為進行關聯(lián)、跟蹤和追溯的分析，并作出相應安全評價，以發(fā)掘未被實時管理的安全漏洞與安全風險。

數(shù)據采集模塊將采集的信息通過采集消息總線發(fā)送給數(shù)據處理模塊，數(shù)據處理模塊進行分析處理后存入歷史庫；數(shù)據分析服務通過服務總線注冊并對外提供審計數(shù)據服務，人機界面通過服務總線發(fā)現(xiàn)數(shù)據服務并建立連接，數(shù)據分析服務通過查詢歷史數(shù)據庫，分析統(tǒng)計人機界面請求審計信息，并反饋給平臺界面進行展示。

2 典型主機設備接入

2.1 廠站網絡安全監(jiān)測裝置接入

廠站端部署網絡安全監(jiān)測裝置(Ⅱ型)，當站端安全Ⅰ區(qū)、Ⅱ區(qū)網絡可達時，僅在安全Ⅱ區(qū)部署一臺；否則安全Ⅰ區(qū)、Ⅱ區(qū)需各部署一臺。ISG 3000網絡安全監(jiān)測裝置(Ⅱ型)需同時接入站控層A、B網內，保證與A、B網內所有設備互聯(lián)互通。

典型變電站部署拓撲圖如圖1所示。

圖1 典型變電站部署拓撲圖

本文選取110 kV變電站作為典型案例，分析探討110 kV變電站網絡安全監(jiān)測裝置接入及調試相關事項，其他類型廠站可參考接入，其拓撲圖如圖2所示。

圖2 廠站網絡安全監(jiān)測裝置接入參考圖

調度主站網絡安全管理平臺和廠站網絡安全監(jiān)測裝置是通過電力調度數(shù)據網互聯(lián)互通，調度主站網絡安全管理平臺數(shù)據網關機與廠站網絡安全監(jiān)測裝置之間設置通信所需靜態(tài)路由，確保雙方通信正常。110 kV變電站調試網絡安全監(jiān)測裝置常碰到“資產不在線”等問題，建議排故方法如下。

首先確保調度主站網絡安全管理平臺與廠站網絡安全監(jiān)測裝置網絡可達，并查看網絡地址，確保地址生效。

(1) 查看模塊運行是否正常。

(2) 主機日志采集測試。

對照《電力監(jiān)控系統(tǒng)網絡安全監(jiān)測裝置技術規(guī)范》附錄E.3.2廠站服務器、工作站等設備采集信息，逐條觸發(fā)主機事件抓包驗證報文格式正確性。

2.2 設備主機資產接入

主機信息采集方式為，由安全操作系統(tǒng) (凝思、麒麟)主動進行信息采集，通過消息總線上報到監(jiān)管平臺。信息采集分為周期上報(運行信息)和觸發(fā)上報兩種方式，以達到對主機運行狀態(tài)進行全面監(jiān)視的目的。

SSH每次以鏈路為基本單元進行跳轉訪問，由操作系統(tǒng)主動將采集項通過消息總線發(fā)送至Ⅰ區(qū)和Ⅱ區(qū)采集服務器，并在平臺側進行匯總展現(xiàn)。對于非法的鏈路阻斷或當人員通過本機或X11(Xmanager)登錄后打開console操作時，操作系統(tǒng)主動采集登錄及操作信息，通過消息總線發(fā)送至Ⅰ區(qū)和Ⅱ區(qū)采集服務器，可由網絡安全管理平臺通過Ⅰ區(qū)和Ⅱ區(qū)采集服務器向該業(yè)務主機發(fā)送非法鏈路，在該主機上產生的進程號(通過消息總線)，由操作系統(tǒng)進行實時鏈路阻斷。對于危險操作命令例如(reboot)，可由平臺直接識別，并產生告警內容。

以廠站側監(jiān)控主機為例，安全操作系統(tǒng) (凝思、麒麟)主動進行信息采集，通過消息總線上報到安全網關。針對不同類型操作系統(tǒng)，需部署探針程序agent，采集用戶登錄、操作并監(jiān)控系統(tǒng)運行情況等信息，并通過Ⅱ區(qū)調度數(shù)據網交換機發(fā)送到網絡安全管理平臺的二區(qū)數(shù)據網關機進行處理，然后在平臺應用界面上顯示出來。

3 網絡安全技術應用實踐

3.1 NAT技術應用

NAT技術是將內部網絡的私有IP地址翻譯成唯一的公網IP地址，使內部網絡可以連接到外部網絡上過程[3]。

本文主要探討靜態(tài)地址映射技術實現(xiàn)前置服務器訪問RTU時暴露內部網絡地址功能。在前置網關服務器配置相應的私網地址，因此私網地址需要與各廠站RTU配置的前置網關通信。當調度主站前置通信服務器主動發(fā)起業(yè)務訪問時，數(shù)據包的源地址及目的地址在NAT網關機進行轉換，完成轉換成公網地址后，廠站側電力監(jiān)控系統(tǒng)收到數(shù)據包進行解析處理并反應至調度主站，完成最終的業(yè)務交互過程。由于IP包的源IP已經被NAT轉換成的調度數(shù)據網IP，響應的IP包(Des=32.1.2.2，Src=32.1.2.1)將被發(fā)送到NAT網關機。當前置服務器(172.16.1.1)訪問RTU終端(32.1.2.1)時，私有網中的主機172.16.1.1向公共網中的主機32.1.2.1發(fā)送了1個IP包(Des=32.1.2.1，Src=172.16.1.1)。當IP包經過NAT網關時，NAT會將IP包的源IP轉換為NAT的調度數(shù)據網IP并轉發(fā)到調度數(shù)據網，此時IP包(Des=32.1.2.1，Src=32.1.2.2)中已經不含任何私有網絡IP的信息。NAT網關在地址映射轉換過程對前置服務器來說是透明的；對廠站側電力監(jiān)控系統(tǒng)而言，調度主站前置通信服務器是32.1.2.1，調度主站端則隱藏了172.16.1.1的私有地址。因此，NAT技術“隱藏”了調度主站和廠站RTU通信雙方的私有網絡地址，有效保證了電力監(jiān)控系統(tǒng)的安全運行及穩(wěn)定性。

3.2 ACL技術應用

電力監(jiān)控系統(tǒng)中采取業(yè)務訪問白名單方式，控制并規(guī)范網絡訪問行為，ACL訪問控制列表技術[1]正可實現(xiàn)在網絡出口處精準識別和控制業(yè)務訪問，做到流量控制及訪問授權等功能。如果數(shù)據包與ACL中某條語句匹配，則列表中其他語句會被忽略;若不匹配，則繼續(xù)檢查ACL下一個命令語句，在到達ACL的最后一條命令仍舊不匹配時，該數(shù)據包將被丟棄。當出現(xiàn)匹配并且該規(guī)則允許報文轉發(fā)時，才會將該條報文轉發(fā);如果無法匹配全部規(guī)則，或匹配既定規(guī)則后禁止報文轉發(fā)，則丟棄該報文。

ACL針對符合規(guī)則的入站數(shù)據包，由路由器處理器調入內存，讀取數(shù)據包的包頭信息，如目標IP地址，并搜索路由器的路由表，查看是否在路由表項中，如果有，則從路由表的選擇接口轉發(fā)(如果無，則丟棄該數(shù)據包)，數(shù)據包進入該接口的訪問控制列表(如果無訪問控制規(guī)則，直接轉發(fā))，然后按條件進行篩選。訪問控制列表流程如圖3所示。

圖3 訪問控制列表流程

結合地區(qū)調度工作實際情況，調度數(shù)據網接入規(guī)范及業(yè)務IP地址訪問需要，ACL規(guī)則需要實現(xiàn)如下功能需求。

(1)允許廠站側電力監(jiān)控系統(tǒng)安全Ⅰ區(qū)的業(yè)務主機通過2404端口與主站側安全Ⅰ區(qū)業(yè)務主機通信。

(2)允許主站側安全Ⅰ區(qū)業(yè)務主機通過SSH安全協(xié)議遠程登錄廠站側電力系統(tǒng)安全Ⅰ區(qū)的業(yè)務主機。

(3)阻止其他任何報文訪問。根據實際業(yè)務需求，需在廠站側網絡出口處對業(yè)務訪問流量進行限制，設置ACL并綁定網關設備MAC端口。

廠站RTU如在網絡出口有不符合安全策略的訪問，則丟棄該數(shù)據包。假設某個IP地址以TCP協(xié)議試圖掃描廠站縱向加密裝置以訪問其他通信端業(yè)務主機，那惡意代碼則可通過TCP的某端口進行惡意傳播的風險大大增加，存在極大安全隱患。

提前在廠站側網絡出口側設定必需的ACL訪問控制策略后，所有與業(yè)務端口無關的數(shù)據包都將被丟棄，最后一條隱含的語句適用于不滿足之前任何條件的所有數(shù)據包。這條最后的測試條件與這些數(shù)據包匹配，通常會隱含拒絕一切數(shù)據包的指令。

4 結語

電力監(jiān)控系統(tǒng)網絡安全管理平臺的建設與應用為電力監(jiān)控系統(tǒng)網絡安全監(jiān)控提供了技術手段，實現(xiàn)電力監(jiān)控系統(tǒng)安全告警信息的實時采集以及網絡安全事件的快速隔離與處理。同時，采用網絡NAT技術和ACL技術可限定網絡流量隨意性訪問，規(guī)范日常業(yè)務訪問行為。電力監(jiān)控系統(tǒng)網絡安全是一個系統(tǒng)性、整體性的問題，系統(tǒng)中任何一個漏洞或威脅都有可能造成全網安全問題。

結合近幾年的電力監(jiān)控系統(tǒng)網絡安全管理平臺實踐經驗，本文提出若干網絡安全技術的應用，并結合實際工作提出了保證電力監(jiān)控系統(tǒng)安全高效運行的一些措施和建議，以期為提高電網整體監(jiān)控系統(tǒng)安全、建設數(shù)字化孿生電網和加快推進調度信息資源夯實技術基礎。