纵向加密认证装置安防基线自动检测技术应用研究

◆杨显睿 刘裕明 王杰鸿 姚朝 周艳平

行业与应用安全

纵向加密认证装置安防基线自动检测技术应用研究

◆杨显睿 刘裕明 王杰鸿 姚朝 周艳平

（云南电网有限责任公司昆明供电局 云南 65000000）

纵向加密认证装置是电力二次系统网络安全的重要保证，针对纵向加密认证装置配置的高频检测，能及时发现隐患，进一步保障电力调度数据网的密通率。本文围绕地区电网纵向加密认证装置安防基线的检测与维护工作，汇集纵向加密认证装置管理专家对纵向加密认证装置安防基线防护的经验，在纵向加密认证装置安防基线检查方面，通过使用计算机自动检测技术满足调度运行部门二次设备安全防护及提高工作效率的要求。

纵向加密认证装置；自动化；检测

1 引言

随着国内外信息网络安全形势的日益严峻，电监会发布《电力二次系统安全防护方案》，提出了“安全分区、网络专用、横向隔离、纵向认证”十六字方针[1]，纵向加密认证装置越来越多应用于调度数据网中，成为保障调度数据网安全运行不可或缺的重要设备。为此，各地电力部门将纵向加密装置大量应用于调度数据网中，保证电力企业的安全平稳生产[2]。

2 背景

随着电力信息化的发展，调度中心、发电厂、变电站、用户等单位之间的业务数据传输变得更加频繁，纵向加密认证装置的应用为电网运行的安全性和稳定性提供了重要支撑[3]。近年来，纵向加密认证装置数量和型号的增加，维护复杂度高，管理工作量日益增加。现有[i]的纵向加密认证装置安防基线配置检测管理方式主要有通过装置管理中心管理和现场控制口命令管理两种[4]。在纵向加密认证装置运行过程中，如对基线配置进行更改，将会失去数据安全加密功能，业务数据将失去保护，因此，需要对装置内系统软件配置进行例行检查和管理，保障基线配置满足安防最基本要求[5]。对于调度自动化主站和厂站二次专业人员来说，通过现场计算机连接控制口或连接远程管理机，输入与接收命令方式查看配置与分析故障方式技术复杂、专业要求高，甚至需要联系厂商人员到达现场处理，容易延误故障处理工作，隐患较大[6]。总体来说，当前函待解决如下问题：

（1）纵向加密认证装置操作命令复杂，专业要求高。不同厂商、型号的装置操作命令不相同，不利于二次专业人员进行记忆和理解。

（2）巡检频率低、周期长，隐患与问题发现慢。基线配置检查需要逐个人工操作、效率低。现场控制口接入操作方式需要监控人员在笔记本身手动输入命令获取回显结果然后逐条比对，操作不方便，费时费力。

因此，根据当前纵向加密认证装置数量和配置检查项多，调试设备策略容易变更或遗忘恢复配置，发现隐患时间长等现象，需要人工时常逐一检查核对，较为烦琐问题，迫切需要实现自动化管理方案，能够帮助运维人员自动获取安防设备置配置和运行状态信息进行分析，提供通用的友好易于记忆与理解的视窗操作反馈。

3 纵向加密认证装置安防基线自动化检测研究思路

3.1 研究思路

在主站通过网络以多个线程并发运行，通过使用SSH协议对纵向加密装置安防基线配置进行命令发送与收取，快速获取设备内部通信策略并将命令回显结果与预设的检测配置规则进行校验比对，替代人工进行问题分析判定，短时间将所有设备最新状态与问题显示在报表中。通过对网络设备内部配置与通信策略的快速全面扫描、在线的网络设备异常监视、扫描与监测数据的快速分析与可视化展示，分析结果的主动告知与异常告警，提供全面的检测报告和问题修复建议，从而有效提高对调度数据网设备二次安防配置正确性、网络设备运行稳定性，保障电力调度数据网稳定可靠运行。

3.2 关键技术及解决方案

（1）实现纵向加密认证装置安防配置柔性自动化检测

纵向加密认证装置安防配置检测策略需要支持的厂商、设备型号、设备类型较多且后期会不断扩增，通常这些不同厂商、类型的设备指令存在差异，研究并得出这些指令的共通之处是个难点，即需要在应用中开展满足绝大部分纵向加密认证装置指令适配方法的研究。在此基础上，对纵向加密认证装置安防配置检测内容的反馈信息增加逻辑研判及相关处置功能，即根据反馈信息中的相关内容，应用按照自定义的逻辑处置功能执行相应的操作。最终，将纵向加密认证装置指令及逻辑处置相结合，形成完整的纵向加密认证装置安防配置检测策略，并满足可编程可自定义的要求。

为此，建立8张数据表，分别为：CheckMenuNode（检测项目表）用于存储所需检测项目信息。CheckRule（检测规则表）用于存储对所需检测项目的具体规则描述。CheckCommand（检测指令表）用于存储检测规则所对应的配置获取命令。CheckMethod（检测规则关键属性表）用于存储根据命令获取到的回显结果中需要校验的关键属性。CheckLogic（检测规则关键属性逻辑表）用于存储根据命令获取到的回显结果中需要校验的关键属性的校验逻辑。Manufactory（厂商信息表）用于存储纵向加密装置对应厂商的基础信息。DeviceType（设备类型表）用于存储纵向加密装置各个厂商不同版本型号的基础信息。DevTypeRule（设备型号检测模板明细表）用于存储纵向加密装置各个设备型号与校验规则之间的对应关系。

同时，针对每次检测流程过程追溯需求，建立7张实例表，用于存储实际检测流程中各个阶段的反馈情况，便于后期维护，分别为：CheckTaskInstance（检测任务实例表）用于存储每次检测任务的基础信息；CheckMenuNodeInstance（检测项目实例表）；CheckRuleInstance（检测规则实例表）；CheckCommandInstance（检测指令实例表）；CheckMethodInstance（检测规则关键属性实例表）；CheckLogicInstance（检测规则关键属性逻辑实例表）；CheckResultInstance（检测结果表）用于存储检测指令获取到的回显结果。

图1 纵向加密装置安防基线数据库设计图

根据用户配置的每个检测项目检测流程，代码会进行自动判断，具体研判过程如下：

A：读取checkcommand表中的command字段作为输入指令。

B：读取checkcommand表中的ifRoot（是否需要root权限）字段查看该指令是否需要root权限，成功转入步骤C，失败转入步骤D。

C：切换至root账户。

D：执行checkcommand表中配置获取请求指令。

E：判断指令是否可行（因设备型号、版本不同的原因获取相同的配置或者进行同一操作时所需命令不一定相同，如：在华为交换机中进入en模式的命令因型号版本不同分为sy、en、sys），成功转入步骤H，失败转入步骤F。

F：读取checkcommand表中的spare-scheme（备用指令）字段该指令的后备指令。

G：判断后备指令是否执行成功，成功转入步骤H，失败转入步骤J。

H：读取checkResult表中的method字段来筛选需要显示的回显结果。

I：读取checkRule表中的Application字段，确定回显结果的应用范围（在调度数据网中主要有实时（Ⅰ）区与非实时（Ⅱ）区，每个区又分别拥有两个平面，每一个平面又分为主调和备调，在进行基线配置检测时不同区的不同平面中需要校验的规则各不相同，故需要对检验规则进行应用范围限制）。

J：读取checkcommand表中的Exception字段获取异常处理方法。

K：与checkRule表中的rule字段进行该指令的规则检验，判断是否拥有多个规则（rule字段），成功转入步骤M，失败转入步骤L。

L：判断回显结果是否符合checkRule表中rule字段的规则要求，成功转入步骤N，失败转入步骤P。

M：判断回显结果是否符合checkRule表中所有rule字段的规则要求，成功转入步骤N，失败转入步骤P。

N：读取checkResult表中的CheckContent字段作为正常显示回显内容。

O：将检测结果进行标绿显示。

P：将检测结果进行标红显示。

图2 纵向加密装置安防基线检测流程图

（2）实现纵向加密认证装置智能巡检需求

纵向加密认证装置智能巡检依赖于安防配置自动检测，在此基础上，可以自定义巡检频率（按周巡检，按天巡检，按小时巡检等）、巡检范围、巡检内容等，同时在定义巡检频率是可以设置是否需要结合节假日与休息日对巡检周期进行限制。为了满足在一定时间内对网内所有设备进行多次巡检的需求，需要将调度数据网设备分成若干个虚拟区域，以此提高对纵向加密认证装置安防配置正确性的监视力度，保障电力调度数据网稳定可靠运行，同时在巡检结束后根据巡检结果的严重情况智能选择通过电话联系、发送告警短信或进行警铃提醒的方式通知监控人员第一时间对设备进行维护。

4 纵向加密认证装置安防基线柔性自动化检测系统设计

在调度数据网Ⅰ、Ⅱ分区隔离防火墙下部署一台管理机服务器，负责扫描检测设备配置、获取配置并存储、分析与展示。管理机通过防火墙与调度数据网内纵向加密认证装置通过SSH通信，由一台核心路由器映射转发数据实现。工作时，管理机根据设定的任务，自动对网络内纵向加密认证装置进行周期扫描，并形成报告。

Ⅱ区网络PC客户端，可以通过路由映射访问管理机Web页面，形成图形化监视效果，当主动探测终端向管理机发送网络探测结果后，管理机程序通过分析，进行网络异常的图形与声音告警，推送在Web网络拓扑图页面上。

系统包括如下主要功能模块：

扫描范围管理：可以通过输入IP范围、导入设备台账EXCEL等形式，定制扫描的范围。

扫描任务管理：可以通过条件查询和勾选，建立不同设备台账范围、扫描周期形成自动执行的扫描任务。

扫描结果分析：可以快速对扫描结果进行分析，给出问题设备以及具体问题原因。

报表分析：给出管理和专业两个视角的分析报表，管理视角可以对趋势、问题分类、等级分类进行查看，专业视角可针对具体问题设备，查看问题以及该问题的修复处置方案。

检测策略管理：可以在模块通过编制扫描命令、研判过程，扩展不同设备或新的检查项。

台账管理：可以查看纵向加密装置的设备台账，可对设备台账进行添加、删除、修改操作。

日志管理：可以查看纵向加密装置安防基线配置检测过程中的回显结果，方便后期系统维护。

图3 系统网络结构图

图4 系统功能结构图

5 应用情况分析

当前，昆明供电局调度中心自动化班组需要运维四百余台纵向加密认证装置，按照以往的检测方式自动化运维人员对一台纵向加密认证装置进行安防基线检测每次约需要0.5小时，所有纵向加密认证装置的安防基线检测需要200小时以上。本文提出的纵向加密认证装置安防基线柔性自动化检测系统，能将纵向加密认证装置进行安防基线检测时间控制在5分钟一次，可以够有效提高调度自动化人员对纵向加密认证装置安防维护效率。

6 结束语

本文阐述了纵向加密认证装置安防基线柔性自动化检测的主要研究思路与关键技术，开发满足纵向加密认证装置安全防护要求的自动化检测与主动分析系统，实现对电网调度数据网设备短周期扫描和设备运行主动分析，提高设备维护水平，减少调度自动化人员维护工作量，提高运维效率。

[1]王胜飞，胡华，赵文杰，陈文雄，李端欢，王兴念.配电自动化安全防护设计与实践[J].电工技术，2019.

[2]刘媛，李劲，殷晓蓓.调度数据网纵向安全防护系统的构建和应用[J].广西电力，2011.

[3]任杰，王婷宇.电力通信网数据的安全防护系统及实现研究[J].科技风，2019.

[4]陆子成，张铁龙，程夏.针对纵向加密认证装置的网络安全威胁分析[J].微型机与应用，2016.

[5]高健，刘萍.电力专用纵向加密认证网关的技术应用[J].湖州师范学院学报，2011.

[6]潘路. 电力二次系统网络信息安全防护的设计与实现[D].华南理工大学，2014.

云南电网公司科技项目资助：调度数据网安防设备柔性自动化检测与主动分析技术研究与应用（编号：YNKJXM20180364）