電力監控系統信息安全管理系統的研究與分析

朱昊

摘? ?要：基于網絡安全的現狀及嚴峻的形式，本文介紹了電力監控系統信息安全系統的研究背景和目前的研究與應用現狀，明確了研究的內容和主要工作;從網絡結構的脆弱點對電力監控系統常見安全措施進行了分析，針對當前現狀進行了分析，基于分析結論從四個方面給出了優化方案;明確了系統功能和子功能項，給出了系統的總體功能架構和各功能模塊的結構，包括預警、監測、審計、防護、采集、系統管理和展示等功能模塊。

關鍵詞：信息安全? 電力監控系統? 預警? 白名單

隨著現代計算機技術、通信技術、網絡技術的迅猛發展及與工業控制系統（以下簡稱工控系統）的深度融合，在極大地提高了工業控制系統工作效率的同時，同時也帶來了嚴峻的網絡安全問題。

目前網絡攻擊不僅僅以獲取經濟利益為目的，還呈現出以破壞敵對國家基礎設施和能源供給的趨勢。通過不斷滲透或潛伏到電力、鐵路、煤炭、化工、冶金、智能制造等領域的工控系統，展開具有針對性的破壞攻擊活動。因此，世界各國均正努力采取措施，加強工控系統的安全，強化其網絡系統的防護能力，變被動防御為主動防御，構造有足夠縱深的立體化網絡防護體系，力爭將網絡攻擊造成的損失降低到最低。

綜述所述，電力監控系統信息安全管理系統的研究與分析工作，對電力監控系統的安全防護具有促進意義。

1 當前我國同系統研究與應用現狀

目前已開展的研究和應用主要以傳統網絡流量旁路監測和邊界串聯隔離的方式完成監測和防護，主要實現以下功能：

在Ⅱ區和Ⅲ區邊界處串聯放置隔離設備，實現網絡流量的單向傳輸，避免外部非法流量影響生產控制大區。

在網絡交換設備旁路傳統網絡流量監測設備，鏡像交換設備流量，對流量中的惡意行為進行告警。設備通常采用黑名單的特征庫來維持惡意行為的檢出率。

以上為目前主流研究和應用方向，存在如下幾個問題：

（1）流量審計缺少對工控協議的解析能力，可能影響控制設備的非法控制指令無法檢測。

（2）安全防護措施集中在邊界處，缺少針對各維度層面威脅的縱深防御手段，即在網絡通信和計算環境上缺少安全防護措施。

2? 電力監控系統信息安全管理相關措施

2.1 生產控制大區和管理信息大區采用隔離裝置

電力企業按照《電力監控系統安全防護規定》，原則上將電廠基于計算機網絡技術的業務系統劃分為生產控制大區和管理信息大區。生產控制區中的業務系統或功能模塊（或子系統）是電力生產的重要環節，直接實現對電力一次系統的實時監控，管理息大區是指生產控制大區以外的電力企業管理業務系統的集合。

按照《電力監控系統安全防護規定》中的相關規定，發電廠生產控制大區與管理信息大區之間通信應當部署電力專用橫向單向安全隔離裝置。

2.2 安全I區與安全II區邏輯隔離

按照《電力監控系統安全防護規定》中的相關規定，安全區I與安全區II之間應當采用具有訪問控制功能 的網絡設備、安全可靠的硬件防火墻或者相當功能的設備， 實現邏輯隔離、報文過濾、訪問控制等功能。所選設備的功能、性能、電磁兼容性必須經過國家相關部門的認證和測試。

2.3 電力調度數據網

發電廠生產控制大區系統與調度端系統通過電力調度數據網進行遠程通信時，應當采用認證、加密、訪問控制等 技術措施實現數據的遠方安全傳輸以及縱向邊界的安全防護。發電廠的縱向連接處應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置或者加密認證網關及相應設施，與調度端實現雙向身份認證、數據加密和訪問控制。

3? 電力監控系統信息安全管理優化方案

3.1 安全防護

安全防護功能通過對工控協議進行解析，運用“白名單+智能學習”技術，建立工業網絡通信“白環境”，阻止任何來自安全區域外的非授權訪問，有效抑制病毒、木馬在工控網絡中的傳播和擴散，防護針對SCADA、PLC、DCS 等重要控制系統的各類已知、未知的惡意攻擊和破壞行為。

白名單管理，就是引入白名單形式的安全策略控制。由于工控網絡通信固定化的特征，確定了使用白名單技術進行安全控制，是解決工業網絡安全的一個重要且有效的方式。

3.2 流量監測

流量監測功能基于對工業控制協議的通信報文進行深度解析，能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警，同時詳實記錄一切網絡通信行為，包括指令級的工業控制協議通信記錄，為工業控制系統的安全事故調查提供堅實的基礎。

監測模塊通過發電企業接入層交換機端口鏡像功能，鏡像出完整控制系統流量信息，經由監測模塊的異常流量監測、關鍵事件監測、工業協議解析、協議通信記錄等功能處理，生成監測結果及日志信息，發送到預警模塊進行展示。

異常流量監測功能主要實現對工控協議的通信報文進行采集與深度解析，利用人工智能算法自學習建立工控通信模型基線，對當前工控協議通信行為與工控通信基線進行對比分析，對不符合與工控通信基線的異常行為進行告警，例如異常指令操作、新出現的設備（IP地址）、異常連接行為、異常通信地址、異常通信端口等告警。

工業協議解析提供對多工業協議的深度報文解析功能，實現工控網異常監測、工控協議異常監測、工控協議規約監測、工控關鍵事件監測、工控攻擊事件監測。

協議通信記錄網絡中的所有連接信息，支持對工控網絡通信記錄進行回溯，除記錄5元組信息外，還包括詳細的開始時間、結束時間、源MAC、目的MAC、報文數（上行、下行）、字節數（上行、下行），端口號，功能碼完整記錄網絡中所有流量和行為。

3.3 日志審計

日志審計功能通過采集電力監控系統內主機設備、網絡設備、安全設備、應用程序的系統日志進行標準化處理，通過日志審計策略及時發現各種異常事件、安全威脅等，為管理人員提供電力監控系統的實時運行狀況。

日志審計模塊通過發電企業接入層交換機端口鏡像功能，鏡像出完整控制系統流量信息，經由主機日志審計功能、網絡設備日志審計功能、應用程序審計功能的日志收集、分析，并將日志審計結果發送到預警模塊進行展示。

3.4 安全預警

安全預警模塊通過監測模塊、審計模塊、防護模塊、采集模塊實施預警監測。

參考文獻

[1] 劉勇.電力監控系統二次安全防護的解決方案初探[J].電子制作，2016（8）：154-157.

[2] 王益明，辛耀中，向力，等.調度自動化系統及數據網絡的安全防護[J].電力系統自動化，2001，25（21）：5-8.

[3] 王鳳彬.信息安全技術在電力信息系統中的應用分析[J].現代國企研究，2015（16）：83.

[4] 張豆豆.電力信息系統信息安全技術的研究[J].中國新技術新產品，2015（17）：161.