◆钟掖 龙玉江 赵威扬

网络边界健壮性可视化管控平台在电力系统中研究与应用

◆钟掖 龙玉江 赵威扬

（贵州电网有限责任公司信息中心 贵州 550002）

电力系统不同于其他的系统，电力系统需要与很多其他的系统进行对接，比如：需要与第三方电费的支付平台进行对接，不仅如此，还需要与很多其他的电力设备等进行关联。然而，电力系统的这种网络边界的健壮性在很大程度上决定了电力系统的安全性和稳定性。本文主要就是来从网络边界的健壮性方面来进行分析，研发可视化的管控平台，实现电力系统中网络边界的可视化管理。本文从两个方面展开研究：第一，从网络流量分析、告警分析和综合展现三个角度来实现可视化管控平台的设计；第二，结合内网安全域实时流量，实现对边界防火墙安全策略的命中频次分析和统计，为调整内网安全防护列表提供数据支撑。从内网安全管理角度出发，提出了无纸化网络权限管理工单模式，有效提高内网安全管理效益。

网络边界健壮性；内网安全；电力系统

电力系统的安全影响着民生信息的安全，电力系统是我国的基础设施之一，其安全性是影响国家经济社会发展的全局性、战略性问题之一，电网信息安全成为国家安全的重要组成部分。近年来，国际上发生了乌克兰电网遭受网络攻击导致大面积停电、伊朗核电站遭受震网病毒攻击、针对美国电网的“网络风暴”演习等信息安全事件，我国也先后发生了多起因网络攻击造成电网安全生产事故，带来了严重经济损失和社会影响。因此，深入研究内网信息安全问题、制定和实施信息安全战略、建立全方位动态、纵深防御的内网安全保障体系，严守网络安全红线、底线和网络安全责任，已成为当前信息安全的重要内容。本文从网络边界的健壮性角度出发，研发可视化管控平台，并将其应用到电力系统中。首先解决防火墙品牌策略的建模，可以通过收集各防火墙安全策略配置模型进行建模。第二步，针对自动获取可以通过后台SSH方式，执行相关命令获取配置文件，一键下发问题同样需要对各防火墙配置命令进行建模，针对不同型号和品牌应单独测试，确保一键下发功能安全可控。

1 可视化管控平台需求分析

在电力系统中，需要采集的电力数据信息比较多，接入电力系统的硬件设备的类型和型号比较复杂，为了实现对这些设备的接入管理，在电力系统中部署了不同品牌的防火墙。通过可视化管控平台，要实现对这些不同品牌的防火墙的接入管理，要从根本上解决设备种类所带来的差异化的问题，通过不同防火墙的接入接口，实现对相关参数信息的采集。不仅如此，需要将采集到的各品牌的防火墙的运行数据信息之后，对数据进行统一规范的管理，实现统一化的管理，并将其进行可视化的展示，为电力系统的安全防护管理决策的制定提供重要的参考依据。通过可视化管控平台，不仅要实现数据信息的可视化展示，还可以实现防火墙策略的远程下发等，实现真正意义上的网络边界自动化的管理。通过分析可知，可视化管控平台的需求总体来说有以下四点：

（1）实现内网安全域边界策略健壮性可视化管理

对所有接入电力系统的网络设备的运行状态以及与其他网络设备的关系进行梳理，得出电力系统的网络部署架构，对内网内的每一个安全域进行状态的实时监控个，将人类不可进入的网络世界进行可视化的展示，直观的描述不同的设备之间的关联关系，并实时的显示状态变化情况。对内网安全域内的所有的防火墙所采用的安全策略进行信息采集，实现这些策略的可视化展示。在系统中可以将所有设备之间的关联关系进行设置，这样在进行设备查看的时候，就可以以关联图的形式直观查看和管理。因为可以实时的采集设备的运行状态等信息，所以，在可视化的管控平台可以对设备的运行状态进行实时监控，以不同颜色标识的形式显示设备的状态，一旦发生状态异常的时候，可以动态的提醒，可以短信形式提醒等，让管理员能够在第一时间获取异常信息，并及时响应。

（2）实现内网安全域边界策略自动化分析

获取了内网的网络部署以及关系图之后，就可以对不同的防火墙所采用的安全策略进行自动学习，进而能够对存在的一些潜在的问题进行挖掘，分析网络边界的健壮性，一旦发现了问题就可以可视化的显示，进而为网络管理员的决策制定提供重要的参考依据。在电力系统中，常用的安全策略主要有：冗余策略、重复策略、宽松策略、冲突策略，在对其进行自动化学习的时候，可以采用归类、聚类等算法，通过循环学习和更新网络部署，逐步的提高网络边界的健壮性。

（3）实现防火墙策略的远程下发

因为电力系统中使用到的防火墙品牌和类型比较多，所以对该功能的实现造成了一定的阻力。本文目前主要就是选取几个典型品牌的防火墙进行测试和研究，探索不同品牌防火墙安全策略的自动获取方式，并探索远程控制操作的可行性，逐步的形式统一的管理方案，最终实现防火墙安全策略的远程控制，真正意义上实现网络运维的自动化管理。

（4）提升内网网络权限集中管控工作

在电力系统中，服务的用户类型比较多，比如：售电人员、信息采集人员、网络运维人员以及各销售点的用户等，每一个用户的不当操作都可能给网络安全带来一定的威胁。为此，网络权限的灵活分配和集中管控是非常关键的。在该平台中，要实现网络权限的灵活配置和集中的管控功能。

2 可视化管控平台总体设计

（1）系统的总体架构

在对网络边界健壮性可视化管控平台进行研发之前，需要根据需求情况，来对系统的总体架构进行设计。在该平台中，需要对各防火墙的运行状态等信息进行采集，主要就是通过数据流镜像、私有协议解析等方式进行采集的，采集到的数据通过处理之后，存储在专有数据库中。数据采集完成之后，就需要对这些信息进行分析，可以根据业务需要从不同的角度展开分析，将分析结果也存储到相应的数据库表中。分析完成之后，就需要采用可视化的方式来对分析结果进行展示，针对不同的用户，展示的信息和方式都是不相同的，需要根据实际业务需要进行权限的控制。当然，在对防火墙的相关信息进行采集之前，需要将私有协议进行输入，获取了协议的格式和解析方法之后，才能够对其进行解析处理。其中，网络边界健壮性可视化管控平台的总体架构设计如图1所示。

图1 可视化管控平台总体架构图

（2）业务架构

在对可视化管控平台进行研发的时候，需要确保该平台符合电力行业总体的原则，该平台将作为第一道防线在电力系统中部署应用，所以在对该平台进行研发的时候，要确保平台的稳定性、安全性、可靠性和扩展性。通过该平台，可以为电力系统的网络安全管理提供重要的辅助作用，能够为安全事件的监控和追踪管理提供强有力的证据。随着电力服务的不断升级和创新，电力系统中的业务功能需要进行升级和改造，所以系统要具有一定的扩展性和维护性，不能因为一些功能的改变就全盘否定重新研发系统。可以将系统进行模块化处理，模块内部进行封装，提高模块内聚性，而通过接口实现不同模块间的交互，确保系统的完整性。这样，当系统需要进行升级和功能改进的时候，只需要对相关的模块进行升级改造即可，而其他的模块无须改动。

（3）系统部署方案

在电力系统中，防火墙等边界设备属于第一道防线，如果要想对这些设备的信息进行采集，就需要对内外网边界的部署日志文件中获取到基本的数据信息，然而这些设备一般都是通过私有协议进行通信交互的，所以就需要将通讯协议输入到系统中，通过解析协议，获取到这些交互信息，进而保存到数据库中。通过对这些交互信息进行分析，可以建立相应的规则模型，对网络的健壮性和安全性进行分析，并根据分析结果发出告警和问题节点的追溯。通过这种方式，可以很快对具有安全隐患的节点进行锁定，管理人员可以通过远程控制的方式将命令下发给这些网络边界的设备。

3 可视化管控平台关键技术

在对该平台进行研发的时候，会涉及以下三个关键技术。

（1）网络边界策略健壮性图形化技术研究

防火墙是每一个网络部署中都会使用到的安全测试，在网络中属于第一道防线，通过防火墙可以将业务区域进行安全级别的划分。在电力系统中，为了满足用电用户的需要，需要不断加入网络设备以满足日益增长的服务需要，这就需要该平台具有一定的扩展性。在防火墙的安全策略中，包含有上千条的访问控制策略，但是就管理人员而言，是需要不断进行调整的，这些调整的过程可能产生很多的垃圾策略、冗余策略或者是一些冲突的策略，严重的影响安全策略的匹配效率。在该平台中，通过可视化的方式，可以将这些复杂的关系进行展示，这样就可以在确保网络环境安全的基础上，对一些冗余策略进行删除，提高匹配的效率。

（2）网络边界策略健壮性自动化分析方法研究。

电力系统的网络环境是持续稳定运行的，经过长时间的运行之后，将产生很多的业务数据信息，这也就对防火墙的安全策略产生很大的影响，然而目前还采用人工管理模式进行管理，不能对安全策略进行有效的优化升级，致使效率低下，网络边界健壮性非常的低。

虽然电力系统中使用到的防火墙的品牌和类型是不相同的，但是这些防火墙的通讯协议大同小异，可以对一些共同的特征进行提取，进而建议相应的规则，实现对防火墙安全策略的自动收集。收集了这些信息之后，就可以对安全策略的频次、隐患问题节点等进行统计和分析，可以对网络设备之间的关联关系进行可视化的展示，这样人工在进行运维管理的时候就有了依据可循。不仅如此，还可以通过协议或者是接口实现操作命令的远程下发。

（3）网络边界策略健壮性可视化管控平台研究。

电力系统的运维管理必须严格按照国家电网的流程要求来进行处理，所以在很多的业务处理过程中，需要各级领导的审批处理，传统的管理模式下，效率低下，有时候为了等待某一个领导的签字审批可能花费好几天的时间。而该平台研发完成之后，可以将工作流自定义到系统中，这样在工作流节点中所涉及的相关的业务就会通过平台自动的下发到审批人员，审批人员只需要通过系统就可以完成业务的审批处理，可以大大提高业务处理效率，并且还可以很好的实现无纸化的办公，不仅实现了自动化办公，而且还节约了资源，节省了办公成本。当国家电网需要改进业务处理流程的时候，管理人员只需要在该平台中将工作流进行优化改进处理即可，相应的节点人员就会自动的发生变化，系统会按照改进后的工作流进行业务的周转处理。通过这种可视化的方案，可以将整个电力系统中的所有的网络边界设备以架构图的形式显示，能够实时的显示每一个设备的运行状态，当某一个设备发生安全问题的时候，可能会给哪些设备带来安全隐患，都能够通过直观的关联图进行显示，这样就方便了管理人员快速定位问题，并采取科学合理的措施进行解决。

4 应用实施和效果分析

该平台研发完成之后，需要在试点单位进行投入使用，使用的过程中要注意新旧系统的对接，确保业务数据信息不丢失。通过该系统的部署应用之后可以发现，不仅能够对各品牌的防火墙数据信息进行采集，能够对这些异构的数据进行规范标准化处理，将其存储到专用数据库中，并能够通过多种可视化的方式对这些数据进行展示，可以为网络管理人员提供强有力的依据，这对于电力系统的安全防护和管理而言具有非常重要的意义。该系统不仅提高了网络边界的健壮性，提高了电力系统的安全，而且能够降低网络运维成本，实现无纸化办公，对国家的经济发展而言也具有非常重要的意义。

5 结语

通过研发网络边界健壮性可视化管控平台，建设公司信息网络第一道防线攻击行为监测能力，实现网络边界的在线监控，专有应用协议分析过滤及安全事件上报，起到对信息内外网边界安全事件的监控、采集和一定的分析作用，能有效地提高第一道防线的安全性和可控性。通过对全网信息安全边界设备的统一管理，杜绝了对网络边界物理信息、版本信息、运行状态缺乏管理和监控的问题，使网络边界在有效的监控下运行，便于各种安全事件和运行指标的统一报送和集中采集，为数据库交互审计、安全事件监视和安全态势评估提供良好的基础。

[1]张光益，钟掖，等.大型企业资源池网络设备边界防护关键技术及设计方法浅谈[J].电子世界，2020，23（01）：63-64.

[2]耿新，茹东武.泛在电力物联网下电力系统数据安全防护体系建设[J].电工技术，2020，24（01）：147-149.

[3]杨民.电力系统信息通信的网络安全及防护[J].科技创新与应用，2019，78（36）：137-138.

[4]王桂彬.电力系统信息通信网络安全及防护安全探究[J].信息通信，2019，12（12）：168-169.

贵州电网有限责任公司2019年网络边界健壮性可视化管控平台研究与应用项目