曹丹华
国网江苏省电力有限公司盐城供电分公司 江苏 盐城 224000
随着信息技术在我国各领域的广泛应用,网络安全威胁的受关注程度不断提升,电力监控系统网络安全管理便是其中的代表。基于此,本文将简单分析电力监控系统网络安全管理平台的应用价值,并以此为依据深入探讨电力监控系统网络安全管理平台设计与实现,希望研究内容能够给相关从业人员以启发。
作为关键信息基础设施,我国对电力监控系统所处的网络结构有明确的规定,将网络划分为生产控制大区和管理信息大区,根据所承载业务的性质,进一步将生产控制大区细分为控制区、非控制区,即安全I、II区,管理信息大区则细分为生产管理区和信息内外网区,即安全III区、IV区和V区。生产控制大区和管理信息大区之间用电力专用隔离装置进行物理隔离,两个大区内的小区之间使用防火墙进行逻辑隔离,电力监控系统按要求部署在安全I、II、III区。这样的划分保证系统处于一个闭合的网络环境,使系统具备一定抵御外部网络安全威胁的能力。但软硬件自身的漏洞、不合理的策略配置、恶意代码及计算机病毒的摆渡攻击、安全管理的缺失都使电力监控系统安全防护存在木桶效应,面对的网络安全风险不容乐观[1]。
变电站网络安全监测装置需采集三类设备信息,分别为主机设备、网络设备和安全防护设备:①主机设备采集。主机设备采集原则上包含了变电站内所有类型的主机,如变电站后台监控系统主机、保护信息子站工作站、故障录波器主机等,考虑到业务的可靠运行,一般采用相应厂商开发的探针程序(agent),采集操作系统自身感知的安全信息,再通过TCP/IP协议,发送至网络安全监测装置,并由网络安全监测装置作为服务端,监听来自主机设备的连接请求。②网络设备采集。网络设备采集主要指站控层及间隔层交换机的信息采集,网络安全监测装置通过SNMP协议采集交换机的安全信息,交换机产生告警事件后,通过SNMPTRAP协议向网络安全监测装置发送事件信息,如网口的UP和DOWN、内存使用情况及告警信息等。③安全防护设备采集。安全防护设备采集主要指变电站内防火墙设备、正反向隔离装置等,安全防护设备通过SYSLOG日志格式将数据传送到网络安全监测装置,如果日志格式不符合规范要求,则需要对设备进行升级,提供标准日志或由厂家提供动态解析库,部署到网络安全监测装置上,对原始日志进行解析方可准确上送。针对应采集的设备,如无法通过软件升级方式支持或不具备硬件条件,则需要进行整体更换[2]。
电力监控系统所处的网络结构被强制划分为生产控制和管理信息两个大区,区域内由交换机、路由器、防火墙、入侵防御设备、防病毒管理中心、电力专用纵向加密认证装置、电力专用横向隔离装置等构成,彼此之间相互协助,共同构建了电力监控系统基础的网络安全环境。这一部分的加固工作涉及网络的物理环境与逻辑环境两个层面,包括策略修改、补丁安装及软件升级、硬件设备的增改、系统所处安全区再评估及迁移等。①策略修改、补丁安装及软件升级是常规的网络安全加固方式,针对存量网络及电力二次安防设备具有成本低、效率高的特点,具体内容包括:以最小权限开放IP地址及端口,置顶黑名单与封堵高危端口,部分业务通道开启加密方式传输、安装设备补丁、升级设备软件及网络安全设备特征库等。②硬件设备的增改,网络安全技术日新月异,适度增加或改变网络与安防设备,对抵御新的网络安全风险有立竿见影的效果,具体内容有:网络边界增加入侵防御系统,在生产控制和管理信息大区部署网络安全态势感知装置、移动介质管控平台及防病毒管理中心,将生产控制II区纵向互联防火墙更换为电力专用纵向加密认证装置等。③系统所处安全区再评估及迁移,电力监控系统是不断完善与发展的,其所面对的网络安全威胁也是变化的。比如某个电力监控系统升级改造后,其监测与控制功能的增强,其所承载数据的性质改变,将导致其网络安全形势产生改变,这就需要对系统所处安全区进行再评估,给出系统是否迁移的建议,这种迁移主要表现为部分系统功能模块从低安全区向高安全区的部署,由于各自所属安全区的改变,迁移后系统模块的数据交互必须通过防火墙或电力专用横向隔离装置进行。
实行电力监控系统安全访问控制重点在于访问控制列表有效的规则设定以达到敏感信息的安全访问。访问通道应禁止明文传输,如禁用TELNET协议访问方式,采用SSH强加密访问,对于关键设备限定本地串口登录,这样可牺牲操作便捷性以达到安全访问的要求。网络设备如交换机、路由器应考虑对SNMP协议进行访问控制,禁止非法用户通过SNMP访问设备,设置受信任的网络地址范围。主机安装恶意代码软件,实时查杀病毒并采用专人负责,定期维护更新策略,严禁在线更新病毒库[3]。
电力监控系统安全防护是电力安全生产管理体系的有机组成部分,无论是变电站监控系统,还是新兴的泛在电力物联网,每一个环节都需要网络安全这道锁进行管控。石嘴山供电公司所建立的电力监控系统网络安全监视体系在近两年的工作中得到了充分实践。其具有较完整、严谨、清晰的管理实施思路、框架和过程,既能应用于国家电网有限公司内部,如各电压等级变电站、配网系统,又能广泛应用于其他企业或公司,具有普遍适用性和推广价值。