水电厂网络安全态势感知系统的实现
2019-09-23宗和刚张朝粤
宗和刚,张朝粤
(华能澜沧江水电股份有限公司乌弄龙·里底水电厂,云南 迪庆,674606)
0 引言
近年来,随着云计算、大数据、物联网、移动互联和人工智能的飞速发展,引发了多领域的计算处理模式的改变,在对数据的处理、分析应用和提升协同计算能力方面取得了显著成绩。然而,伴随着信息化的日新月异,我国的网络安全也面临着十分严峻的考验[1]。近些年国内外报出的电力系统遭到网络攻击事件比比皆是,例如:乌克兰电网攻击事件、以色列电力供应系统遭重大网络攻击事件、委内瑞拉大停电事件等等。切断了一个城市的电力,就相当于切断了城市的命脉。正因如此,电力系统网络安全问题越来越受到关注。2018年9月13日,国家能源局印发《关于加强电力行业网络安全工作的指导意见》,其中指出要进一步落实电力企业网络安全主体责任,完善网络安全监督管理体制机制,加强全方位网络安全管理,强化关键信息基础设施安全保护,加强行业网络安全基础设施建设,加强电力企业数据安全保护,提高网络安全态势感知、预警及应急处置能力,支持网络安全自主创新与安全可控。水电厂网络安全态势感知系统的建设将进一步提升监控系统安全防护水平,强化网络安全防护体系,有力防范和遏制重大网络安全事件,保障电力生产安全稳定运行和电力可靠供应。
1 水电厂网络安全测评方法
目前,水电厂保证电力监控网络安全的方法主要有2种。
(1)传统方法即通过公安部要求的《信息系统安全等级保护》测评。
(2)通过在电厂建设网络安全态势感知系统进行网络安全的监视和管理。
很多电厂目前是2种方法都在实施,目的是建立电力监控系统网络安全的双重保障,下面对2种方法进行阐述。
1.1 《信息系统安全等级保护》测评
《信息系统安全等级保护》测评工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段。系统的网络安全风险监视以及管理主要依靠人工日常运维,缺乏自动化的风险发现以及监视措施,一旦遭遇网络攻击行为,根本不可能第一时间对其进行处理;而且,电厂各个系统之间的信息孤岛非常严重,单纯的对某一个系统进行测评,找不出其他系统对它的影响,不能有效的获取到更多的基础数据进行网络安全风险分析,这对于保障网络安全极为不利。
1.2 网络安全态势感知系统
网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,以可视化的方式展现给用户,并给出相应的报表和应对措施。
网络安全态势感知过程可以分为以下4个过程:
(1)数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。
(2)态势理解:对各种网络安全要素数据进行分类、归并、关联分析等处理融合,对融合的信息进行综合分析,得出影响网络的整体安全状况,这一步是态势感知基础。
(3)态势评估:定性、定量分析网络当前的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心
(4)态势预测:通过对态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的目标。
网络安全态势感知要做到深度和广度兼备,从多层次、多角度、多粒度分析系统的安全性并提供应对措施,以图、表和安全报表的形式展现给用户[2]。
2 搭建水电厂网络安全态势感知系统
下面以南网直调的某电厂为例进行详细讲解,该电厂电压等级是500 kV,电厂的通信机房、监控机房等布置在地下副厂房,开关站位于大坝下游右侧,在上述房间内都布置有重要的业务系统。
2.1 电厂电力监控系统介绍
该电厂的电力监控系统按照“安全分区、网络专用、横向隔离、纵向认证”的原则布置;主要划分为生产控制大区和管理信息大区。生产控制大区又划分为控制区(也叫安全区I)和非控制区(也叫安全区II);管理信息大区分为生产管理区(安全区Ⅲ)和管理信息区(安全区Ⅳ)。在该电厂生产管理区和管理信息区统称为安全区Ⅲ,不同安全区确定不同安全防护要求,其中安全区I安全等级最高,安全区II次之,其余依次类推[3]。各个安全区所包含的系统及接入方式如图1所示。本次网络安全态势感知建设项目需要将安全区I、安全区II、安全区Ⅲ都接入。
2.2 电厂网络安全态势感知平台部署
该电厂为南网总调直调电厂,数据采集直接送南网进行分析。运用的是分布采集、集中运营管理的部署方式,如图2所示,分别采集安全区I、安全区I、安全区III的数据进行态势感知分析。
图1 电厂电力监控系统机构图
图2 电厂网络安全态势感知平台部署图
为了使南网掌握电厂网络资产、脆弱性、告警事件、威胁、攻击和风险,并进行应急响应、调查分析等闭环处置。电厂要尽可能全面采集信息网络相关数据,包括网络设备数据、安全设备数据、主机设备数据、数据库数据以及应用系统和中间件数据,并上送南网总调,总调安全分析团队融合威胁情报进行基于大数据平台的安全管理与安全分析,实现资产管理、漏洞管理、事件管理、威胁告警、调查分析和应急响应等业务,为安全运营(管理、分析、响应)团队提供技术支撑[4]。具体的架构如图3所示。
图3 电厂网络安全态势感知平台架构图
2.3 电厂网络安全态势感知平台实施方案
网络安全态势感知平台的建设是一个持续推进的工作,从数据采集、态势理解、态势评估再到态势预测,不是一次性就能完全实现的,而是随着技术的进步,持续在完善。本次在电厂搭建网络安全态势感知平台,可以实现对电厂各种电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析,能够及时发现如非法跨区互联、非法移动介质接入、网络非法接入等各类网络安全风险以及非法访问事件,以实现对电厂监控系统全方位、全天候的网络安全监测,实现电厂网络安全的闭环管理。但要实现真正的态势预测,还需要进一步的完善。
在搭建电厂网络安全态势感知系统之前,需要对被采集设备所对应的防火墙或者交换机进行策略配置。另外要修改安全区II纵向防火墙、安全区I和安全区II之间的横向防火墙、纵向加密装置及安全区Ⅲ综合数据网防火墙策略配置,实现站内及主子站之间系统数据的互联互通。
接下来在电厂侧配置两套网络安全态势感知监测终端,分别布置在安全区I和安全区Ⅲ,如图4所示。监测终端通过SNMP、syslog以及流量镜像等技术,在I区采集纵向加密装置、横向防火墙、互联交换机、站控层、工作站交换机的信息,在Ⅲ区采集综合数据网交换机、调度管理网和视频会商交换机的信息。在安全区I和安全区II之间的横向防火墙中,采用NAT技术,把安全区I厂站设备IP映射成安全区II的IP,然后通过syslog协议,实现安全区II的纵向加密装置、工作站的信息采集,至此3个安全区的数据都已经获取。
安装在安全区I的检测终端中接入了电厂监控系统核心交换机A/B网、南网调度A/B平面、安稳控制装置A/B套、PMU主机、保信子站、故障录波等系统,实现设备配置/日志信息以及设备流量信息的获取;安装在安全区Ⅲ的检测终端中接入了综合数据网交换机、调度管理网和视频会商交换机,实现设备配置/日志信息以及设备流量信息的获取。
在各个被采集系统的交换机上需要接入两根网线,一根叫做通信线,另一根叫做镜像线,两根网线通过交换机直接接入态势感知系统装置。通信线主要是采集网络资产信息,所谓网络资产就是处于电厂监控网络中的各种设备和系统。不管是何种形式的网络攻击,总是以处于这个网络中的设备为载体或者目标。所以,首先要将网络中的设备都梳理出来,才能做到心中有数,对症下药。在这个大的网络中,每一个设备都有一个ID,只要获取到ID就能唯一定位这个设备。网络中存在的无主资产,僵尸资产,没有固定ID的资产,往往是最容易受攻击的对象,这些资产的存在给网络安全带来了极大隐患,故通过通信线采集网络资产,建立网络资产清单,为每一个设备建立档案,这是态势感知系统的第一步,也是最重要的一步。另外,通信线能够检测到网络中的一些常规操作,例如:USB热插拔、网口热插拔、设备告警、资产在离线及设备日志信息等。端口镜像作用是把交换机的一个或者多个源端口的流量完全拷贝一份,然后通过镜像线送到目的端口,目的端口可以是一个或多个。简单的说,镜像的作用就是在不影响原来交换机中数据传输的前提下,通过镜像功能将原来交换机中的数据流量复制一份到指定的目的端口,进而来监听和分析网络安全问题,以及检测网络攻击,这是态势感知系统的第二步,即态势理解。在实际的安装部署过程中,根据现场情况,有些系统是通过防火墙接入态势感知设备的,而一般防火墙没有镜像功能,故在敷设时,就只敷设通信线采集资产。
I区监测终端采集到的数据将通过II区B平面调度数据网IP,向南网总调II区B平面的主站平台服务器上送数据;Ⅲ区监测终端采集到的数据将通过Ⅲ区综合数据网IP,向南网总调Ⅲ区的主站平台服务器上送数据,在电厂侧未配置网络安全态势感知平台对应的可视化显示终端,在南网总调侧配有可视化显示终端,实现对电厂网络安全的检测分析和管理。
图4 网络安全态势感知厂站端部署图
3 结语
伴随着网络强国战略的提出,网络安全问题已经上升到国家层面。 水电是将河流、湖泊或海洋等水体所蕴藏的水能转变为电能的发电方式,是一种清洁环保的可再生能源。它在整个电力能源中占据着非常重要的地位。一旦水电厂的电力监控网络受到攻击,后果将不堪设想。因此,本文介绍的在水电厂建设网络安全态势感知系统是一种大胆的尝试,是符合科技发展和时代进步的必然结果。尽管,目前电厂态势感知系统接入的设备只是一部分相对重要的设备,而且态势感知只是到达了第二步态势理解,距离态势预测还有一段距离,但不可否认的是,态势感知的接入比原来通过《信息系统安全等级保护》测评的方法更具体、更直观也更有效。水电厂网络安全态势感知的建设需要更多的电厂去尝试,去实践,只有这样才能更好地保障电厂网络安全,才能保证电厂安全稳定发电。