付鹏
摘 要:从电力调度数据网的安全风险出发,深入剖析目前国网宣城市供电公司调度数据网的安全威胁,根据威胁数据源制定安全威胁指标,并提出相应的安全防护对策及解决方案。以调度数据网安全威胁指标为依据,对调度数据网边界设备、网络设备及远动设备的基本信息、运行信息及安全审计信息进行实时搜集,形成调度数据网安全的全面监测,并支持可视化展示。
关键词:调度数据网;风险分析;在线检测;事件可视
中图分类号:TN919.2 文献标识码:A 文章编号:1671-2064(2017)23-0130-02
调度数据网是电网调度自动化、管理现代化的基础,是确保电网安全、稳定、经济运行的重要手段,是电网系统的重要基础设施。为了进一步深化调度数据网安全工作,需对调度数据网安全风险进一步分析、并形成完整的安全风险台帐、设备台帐。
随着各种信息技术的应用,加大了网络环境的复杂性,技术成分亦更加复杂,给入侵检测、安全审计、流量检测带来诸多难题。目前,宣城电网调度数据网的信息安全系统还未完全进行整合,非整体的运作方式势必会导致不完整的安全策略,在技术、架构和管理上留下多个漏洞,而这些漏洞只能靠投入昂贵的安全设备和不断地增加运维人员来弥补。因此,需要展开调度数据网安全风险检测技术研究及应用,结合传统安全技术和主动防御技术的研究与应用,实现对宣城电网调度数据网的整体安全进行维护、监控和管理。
1 现有调度数据网安全隐患分析
调度数据网承担电力调度工作数据传输任务,然而其建设周期长,新老设备共存、设备种类繁多,厂站建设、运行、改造、维护过程经常会发生设备变动、新增设备等情况,这些情况导致调度数据网工控设备台帐准确度较低,设备所开放的网络服务更是缺少台账,而且存在一些施工不规范等情况导致交换机当做透明设备使用。缺乏入侵检测、行为审计、流量监测及链路管理等安全防护手段。调度数据网设备管理区是设备安全管理最重要的环节,也是目前比较薄弱的环节。因此,做好电力调度数据网的安全技术管理任重而道远。
目前,国网宣城供电公司调度数据网主要存在以下安全隐患:
(1)厂站工控设备台帐信息不完整,设备入网未实现100%登记在册或发生变化时未能及时更新台帐信息。(2)厂站内部因建设、技改等过程施工规范性不足,存在直接使用Hub和将交换机作为透明设备使用等现象;(3)厂站IP地址仅仅按照省调规划分配地址使用,未能明确到设备与IP之间的具体映射关系,更未明确其设备所开放的网络服务;(4)网络设备运行台账和网络地址资源通常独立维护,没有实现二者的联动管理,导致设备台账与网络地址资源对应信息难以维护,数据准确性较差,设备与网络资源之间的对应关系混乱,直接造成维护的网络数据可信度差;(5)缺少对调度数据网安全风险在线检测和工控设备摸排、普查工具。
2 安全技术在调度数据网中的应用
调度数据网关注的网络安全课题有:保障调度数据网每台网络设备运行稳定;监测核心链路流量传输情况;预防每台网络设备故障和网络安全事件的发生;快速应对网络设备故障或者网络安全事件的发生;利用收集到的数据快速定位到导致网络设备故障和网络风险的源头;加强调度数据网入侵防御体系等。
目前,调度数据网主要应用安全防护方案有物理隔离、数据加密和验证、防火墙、访问控制、信息过滤、数据备份、入侵检测、查杀木马和病毒等。在调度数据网中主要使用防火墙技术和纵向加密的技术来实现安全防护:一般在调度中心端和厂站端实行纵向加密认证措施,对网络实现端对端的保护;在实时业务和路由器之间也进行纵向加密认证措施,在非实时业务和路由器之间可以选择硬件防火墙或纵向加密认证措施。通过对传输数据进行加密认证,防止数据在网络的传输过程中出现破坏和篡改的现象,保证数据的安全性。网络安全的应用包括网络设备安全、虚拟局域网的划分、安全访问控制、恶意代码防范、加固审计策略、专用安全设备网络服务整合,等等。
3 调度数据网安全风险检测技术研究及应用
调度数据网安全风险检测技术研究及应用,从电力二次系统安全防护角度出发,结合当前先进的安全理念与实用技术,针对电力调度数据网中存在的安全隐患进行分析,并制定相应的安全防护对策及解决方案,实现电力调度数据网安全技术的升级与优化。
3.1 解决方案
调度数据网安全风险检测技术研究及应用,通过对电力调度数据网中存在的主要安全威胁和各种威胁的在线检测技术的研究,以自动化专业拓扑为核心,实现全网段设备拓扑图的集中管理,将涉及到调控业务的安全I/II/III区网络设备按照不同分区、分层直观绘制,使不同分区的自动化系统网络拓扑在一个平台集中展现和維护。并根据威胁数据源制定安全威胁指标,以调度数据网安全威胁指标为依据,对数据网边界设备、网络设备及远动设备的基本信息、运行信息及安全审计信息进行实时搜集,形成调度数据网安全的全面监测,支持可视化展示。
3.1.1 调度数据网安全风险点分析
网络威胁来源于设备安全隐患、环境威胁和人为威胁,项目主要研究网络上可以检测出来的设备安全隐患及环境威胁,如设备漏洞、链路故障等,这些威胁发生频率较高,对网络安全运行的危害大小不一。威胁事件发生的可能性受多种指标的影响,把威胁发生可能性的指标划分为环境信息、人为信息和状态信息三种,并研究各类威胁的各项具体指标。
3.1.2 调度数据网网络拓扑、基础台账管理
从全局的角度对电力调度数据网的网络设备进行统一管理,实现调控自动化系统依赖的基础数据实现集中管理功能,主要包括设备台帐管理、网络拓扑管理、IP资源管理及屏柜管理、系统管理等。
3.1.3 调度数据网安全风险在线检测
通过调度数据网安全风险在线检测,实现对调度数据网网络设备状态的监测,包括调度数据网边界设备、网络设备及终端设备的基本信息、运行信息及安全审计信息进行实时搜集、检测,再通过关联分析技术实现风险可视化展示,方便运维管理人员能够迅速发现、定位和解决安全隐患,有效应对安全事件的发生。endprint
3.2 技术措施
调度数据网设备在运行过程中会产生大量的事件信息,事件信息包括丰富的运行状态、用户操作、潜在安全告警等数据。通过调度数据网安全风险检测技术研究及应用,以实现日志的标准化采集、存储为基础目标,并实现基于关键字的网络行为有效分析,进而实现调度数据网网络安全事件在线监测,帮助网络运维人员及时掌握整个网络运行状态、潜在的安全风险。
3.2.1 基于拓扑关系的台帐管理
建立調度数据网网络拓扑、基础台帐管理模型,按照多分区、多平面绘制基于拓扑结构的台帐管理。可从OMS、PMS等其它系统导入设备台账信息,维护整个调度数据网网络环境运行的网络设备日志采集方式。
3.2.2 采用Syslog协议作为日志采集的主要采集协议
Syslog是一种工业标准的协议,可用来记录设备的日志。在路由器、交换机、服务器等网络设备中,syslog记录着系统的任何事件,管理者可以通过查看系统记录,随时掌握系统状况。
Syslog使用UDP作为传输协议,通过目的端口514(也可以是其他定义的端口号),将所有安全设备的日志管理配置发送到安装了Syslog软件系统的日志服务器,Syslog日志服务器自动接收日志数据并写到日志文件中。
3.2.3 采用syslogd作为日志后台采集及存储服务
基于标准的数据格式实现各类厂家不同类型设备日志的自动化采集,同时能够以支撑关系查询的日志存储方式支持调度数据网网络设备日志的集中存储。
根据syslog协议,开发syslog后台接收服务程序syslogd。syslogd日志采集服务在syslog协议指定的UDP端口514进行监听。syslogd中采用MySQL数据库存储日志,便于后期的日志数据分析。
采用syslogd作为日志数据采集的方式,实现原始日志信息的采集,分别以日志文件和日志数据库为中心进行的日志数据分析采集有用的日志信息。保证了采集工作各项事务能独立完成:syslog服务器采集原始日志数据不受后面程序分析采集、数据库读写等的影响,后面的分析采集部分不受syslog服务器采集工作影响而减慢分析采集的速度。
3.2.4 基于正则表达关键字的安全策略处理实现安全风险分析
针对调度数据网网络设备集合定义不同的安全触发策略集合,实现设备日志分析的等级管理;根据预先设定的分析策略和安全事件检测规则库自动进行日志分析。并支持根据时间段、设备、日志等级及关键字等日志进行过滤查询及日志导出。
不同厂家、不同类型的交换机针对同一安全事件具有不同的表达,同时安全事件和时间、设备IP、端口等信息存在一定的关联,是一个动态的数据,为了更好的匹配出存在风险的行日志,基于正则表达式对行日志进行过滤,避免基于单纯的关键字匹配存在的局限性、同时安全策略可以有多个关键字形成的逻辑关系组成一套完整的过滤策略,逻辑关系支持包含、排斥两种。
4 结语
调度数据网安全风险检测技术研究及应用,运用多元化的技术手段(结合传统安全技术和主动防御技术的研究与应用),对电力调度数据网的网络设备及网络服务进行整体安全进行维护、监控和管理,以减少调度数据网在复杂的网络环境的各种安全隐患,保障电力调度数据网的平稳、安全运行,提高调离调度数据网的安全性。
参考文献
[1]申芳,刘晴.贵州电力调度数据网应用特性测试技术研究[J].电力系统通信,2011.
[2]肖振华,钟志萍,徐星.电力调度数据网安全技术分析[J].信息技术,2015.
[3]磨正坤.电网调度数据网信息安全分析[J].广西电力,2012.endprint