核电厂电力监控系统网络安全改进分析
2020-12-09邱波
邱波
摘要:核电厂电力监控系统网络安全设计比较简单,同时电厂对这方面也不是特别重视。在国外经历几次比较严重的网络入侵事件后,目前国内逐渐重视网络安全防护,特别是核电厂涉及核安全问题。专业网络安全公司对核电厂电力监控系统进行安全评估及网络安全防护技术发展的推动下,核电厂电力监控系统网络安全整体情况有较大提升。
关键词:网络安全;电力监控
0.引言
在核电厂中,电力监控系统主要负责与电网进行数据传输,是核电厂生产控制大区与外界的唯一接口,其安全性直接关系电厂生产系统能否安全稳定运行。随着国外及国内多起电厂网络安全事件发生,国内电厂及电网公司已逐渐认识到电力监控系统网络安全的重要性,本文从核电厂典型电力监控系统配置介绍,分析其存在的问题及改进后对安全性的提升作用。
1.改进前网络结构
从上图看,核电厂500kV开关站系统网络结构主要包括:核心区和边界接入区两大安全区域。边界接入区主要实现与上级单位的互联,通过部署两台路由器接入广域网,并且部署四台加密认证网关提供纵向加密。核心区网络主要提供服务器、数据库、存储设备等重要设备的数据交换功能。通过部署两台交换机为操作员站以及各安全区的设备提供接入,并且上联边界接入区的设备,部署两台防火墙对安全I 区和安全II 区进行横向隔离,安全I 区与安全II 区之间通过横向隔离防火墙进行访问控制。
但该网络结构只具备过滤小风险的能力,在以下几方面仍存在安全隐患:
a)业务交换机及边界路由器两条链路之间有连接,若出现网络攻击,很有可能两条业务链路同时中断,存在两条链路相互影响的情况。
b)没有在网络边界处采取措施,监视网络攻击行为(端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击),并对攻击行为进行记录。
c)没有在网络边界部署防恶意代码设备对恶意代码进行检测和清除。
2、改进后网络结构
改进后的网络结构变化点:将电力监控系统两个平面完全隔离,不存在数据交互可能;增加了IDS、堡垒机及态势感知等网络监控设备,预警并帮助分析网络攻击等行为。相对之前网络,在网络安全性提升方面主要有以下几方面:
a)配置IDS系统,入侵检测系统(IDS)采用协议分析、模式匹配、异常检测等技术,通过将交换机上的关键接入端口的数据报文镜像到IDS检测引擎(IDS探头)的接入端口,实现对网络流量、数据包的动态监视、记录和管理、对异常事件进行告警等。
b)增加堡垒机设备,能够自动将更换后的密码下载到专用芯片级硬件加密设备,可通过指纹和管理权限对相应的服务器托管密码进行查看和打印;内部管理功能授权可以限制到某个树形节点的范围内;支持命令操作的黑白名单设置,命令权限控制规则应支持正则表达式,并可对命令的参数进行限制并记录日志;为保证日志存储的安全性,会话日志必须先备份才可以删除,不可以覆盖。
c)配备态势感知设备,通过探测采集、镜像流量、NMAP、SNMP等手段自动发现厂站装置检测范围内的资产;资产关键属性包括:IP、MAC、主机名、设备类型、软件版本等;采集主机、安全设备、网络设备的原始日志并已时间形式记录于数据库中;实施发现并采集敏感报文和可疑文件,主动将特征信息上送主站;支持采集安全设备、服务器、工作站的用户登录、操作信息、配置变更信息、流量信息、网口状态信息的事件信息;主动将事件告警信息通过104通信协议上送主站;自动生成物理连接拓扑图呈现设备端口与设备端口之间物理连接关系,并实时展示当前的设备端口流量情况。
d)系统切割为两个独立平面,每台远动机分别配置调度数据网A/B平面接口,改造后业务装置A接口接入到A平面调度数据网,B接口接入到B平面调度数据网。增加下游重要业务系统的可靠性及安全性。
综上分析,改进后的电力监控系统网络结构较为合理,网络中主要设备的业务处理能力具备冗余空间,能满足业务高峰期的需要;网络中部署有访问控制设备和入侵检测系统,但访问控制策略和入侵检测策略还需进一步完善,通过加强机房的物理安全管理,目前还算安全;并且电力监控系統所处的网络区域范围较小,且管理上操作员站、工作站和装置等均禁止接入U 盘,具有较为严格的访问管理措施,可以降低未安装防恶意代码软件和及时升级系统补丁、系统口令不足等带来的安全风险。
3、结论
核电厂网络安全在如下几方面得到加强:
a)网络链路完全冗余,提升系统的可靠性;
b)增加安全防护及检测设备,抵抗网络攻击,并及时提醒维护人员系统健康状况;
c)控制安全设备策略精细度,仅业务地址数据可以通过,达到更精准管控。
d)物理隔离设备得到加强,防社工攻击进一步提升。
但是,新增设备的策略配置不合理、安全补丁更新不及时等问题,同时随着网络科技的发展,一些新的攻击手段的出现也逐渐威胁核电厂电力监控系统网络正常运行,需要持续提升。
参考文献:
1、电力监控系统网络安全态势感知厂站装置技术规范(试行) 中国南方电网 2018年4月;
2、南方电网总调直采厂站接入网级自动化主站技术方案 中国南方电网 2017年5月
3、国家能源局关于印发电力监控系统安全防护总体方案等安全防护方案 国家能源局 2015年2月