縱向加密認證裝置安防基線自動檢測技術應用研究

◆楊顯睿 劉裕明 王杰鴻 姚朝 周艷平

行業與應用安全

縱向加密認證裝置安防基線自動檢測技術應用研究

◆楊顯睿 劉裕明 王杰鴻 姚朝 周艷平

（云南電網有限責任公司昆明供電局 云南 65000000）

縱向加密認證裝置是電力二次系統網絡安全的重要保證，針對縱向加密認證裝置配置的高頻檢測，能及時發現隱患，進一步保障電力調度數據網的密通率。本文圍繞地區電網縱向加密認證裝置安防基線的檢測與維護工作，匯集縱向加密認證裝置管理專家對縱向加密認證裝置安防基線防護的經驗，在縱向加密認證裝置安防基線檢查方面，通過使用計算機自動檢測技術滿足調度運行部門二次設備安全防護及提高工作效率的要求。

縱向加密認證裝置；自動化；檢測

1 引言

隨著國內外信息網絡安全形勢的日益嚴峻，電監會發布《電力二次系統安全防護方案》，提出了“安全分區、網絡專用、橫向隔離、縱向認證”十六字方針[1]，縱向加密認證裝置越來越多應用于調度數據網中，成為保障調度數據網安全運行不可或缺的重要設備。為此，各地電力部門將縱向加密裝置大量應用于調度數據網中，保證電力企業的安全平穩生產[2]。

2 背景

隨著電力信息化的發展，調度中心、發電廠、變電站、用戶等單位之間的業務數據傳輸變得更加頻繁，縱向加密認證裝置的應用為電網運行的安全性和穩定性提供了重要支撐[3]。近年來，縱向加密認證裝置數量和型號的增加，維護復雜度高，管理工作量日益增加。現有[i]的縱向加密認證裝置安防基線配置檢測管理方式主要有通過裝置管理中心管理和現場控制口命令管理兩種[4]。在縱向加密認證裝置運行過程中，如對基線配置進行更改，將會失去數據安全加密功能，業務數據將失去保護，因此，需要對裝置內系統軟件配置進行例行檢查和管理，保障基線配置滿足安防最基本要求[5]。對于調度自動化主站和廠站二次專業人員來說，通過現場計算機連接控制口或連接遠程管理機，輸入與接收命令方式查看配置與分析故障方式技術復雜、專業要求高，甚至需要聯系廠商人員到達現場處理，容易延誤故障處理工作，隱患較大[6]?？傮w來說，當前函待解決如下問題：

（1）縱向加密認證裝置操作命令復雜，專業要求高。不同廠商、型號的裝置操作命令不相同，不利于二次專業人員進行記憶和理解。

（2）巡檢頻率低、周期長，隱患與問題發現慢。基線配置檢查需要逐個人工操作、效率低。現場控制口接入操作方式需要監控人員在筆記本身手動輸入命令獲取回顯結果然后逐條比對，操作不方便，費時費力。

因此，根據當前縱向加密認證裝置數量和配置檢查項多，調試設備策略容易變更或遺忘恢復配置，發現隱患時間長等現象，需要人工時常逐一檢查核對，較為煩瑣問題，迫切需要實現自動化管理方案，能夠幫助運維人員自動獲取安防設備置配置和運行狀態信息進行分析，提供通用的友好易于記憶與理解的視窗操作反饋。

3 縱向加密認證裝置安防基線自動化檢測研究思路

3.1 研究思路

在主站通過網絡以多個線程并發運行，通過使用SSH協議對縱向加密裝置安防基線配置進行命令發送與收取，快速獲取設備內部通信策略并將命令回顯結果與預設的檢測配置規則進行校驗比對，替代人工進行問題分析判定，短時間將所有設備最新狀態與問題顯示在報表中。通過對網絡設備內部配置與通信策略的快速全面掃描、在線的網絡設備異常監視、掃描與監測數據的快速分析與可視化展示，分析結果的主動告知與異常告警，提供全面的檢測報告和問題修復建議，從而有效提高對調度數據網設備二次安防配置正確性、網絡設備運行穩定性，保障電力調度數據網穩定可靠運行。

3.2 關鍵技術及解決方案

（1）實現縱向加密認證裝置安防配置柔性自動化檢測

縱向加密認證裝置安防配置檢測策略需要支持的廠商、設備型號、設備類型較多且后期會不斷擴增，通常這些不同廠商、類型的設備指令存在差異，研究并得出這些指令的共通之處是個難點，即需要在應用中開展滿足絕大部分縱向加密認證裝置指令適配方法的研究。在此基礎上，對縱向加密認證裝置安防配置檢測內容的反饋信息增加邏輯研判及相關處置功能，即根據反饋信息中的相關內容，應用按照自定義的邏輯處置功能執行相應的操作。最終，將縱向加密認證裝置指令及邏輯處置相結合，形成完整的縱向加密認證裝置安防配置檢測策略，并滿足可編程可自定義的要求。

為此，建立8張數據表，分別為：CheckMenuNode（檢測項目表）用于存儲所需檢測項目信息。CheckRule（檢測規則表）用于存儲對所需檢測項目的具體規則描述。CheckCommand（檢測指令表）用于存儲檢測規則所對應的配置獲取命令。CheckMethod（檢測規則關鍵屬性表）用于存儲根據命令獲取到的回顯結果中需要校驗的關鍵屬性。CheckLogic（檢測規則關鍵屬性邏輯表）用于存儲根據命令獲取到的回顯結果中需要校驗的關鍵屬性的校驗邏輯。Manufactory（廠商信息表）用于存儲縱向加密裝置對應廠商的基礎信息。DeviceType（設備類型表）用于存儲縱向加密裝置各個廠商不同版本型號的基礎信息。DevTypeRule（設備型號檢測模板明細表）用于存儲縱向加密裝置各個設備型號與校驗規則之間的對應關系。

同時，針對每次檢測流程過程追溯需求，建立7張實例表，用于存儲實際檢測流程中各個階段的反饋情況，便于后期維護，分別為：CheckTaskInstance（檢測任務實例表）用于存儲每次檢測任務的基礎信息；CheckMenuNodeInstance（檢測項目實例表）；CheckRuleInstance（檢測規則實例表）；CheckCommandInstance（檢測指令實例表）；CheckMethodInstance（檢測規則關鍵屬性實例表）；CheckLogicInstance（檢測規則關鍵屬性邏輯實例表）；CheckResultInstance（檢測結果表）用于存儲檢測指令獲取到的回顯結果。

圖1 縱向加密裝置安防基線數據庫設計圖

根據用戶配置的每個檢測項目檢測流程，代碼會進行自動判斷，具體研判過程如下：

A：讀取checkcommand表中的command字段作為輸入指令。

B：讀取checkcommand表中的ifRoot（是否需要root權限）字段查看該指令是否需要root權限，成功轉入步驟C，失敗轉入步驟D。

C：切換至root賬戶。

D：執行checkcommand表中配置獲取請求指令。

E：判斷指令是否可行（因設備型號、版本不同的原因獲取相同的配置或者進行同一操作時所需命令不一定相同，如：在華為交換機中進入en模式的命令因型號版本不同分為sy、en、sys），成功轉入步驟H，失敗轉入步驟F。

F：讀取checkcommand表中的spare-scheme（備用指令）字段該指令的后備指令。

G：判斷后備指令是否執行成功，成功轉入步驟H，失敗轉入步驟J。

H：讀取checkResult表中的method字段來篩選需要顯示的回顯結果。

I：讀取checkRule表中的Application字段，確定回顯結果的應用范圍（在調度數據網中主要有實時（Ⅰ）區與非實時（Ⅱ）區，每個區又分別擁有兩個平面，每一個平面又分為主調和備調，在進行基線配置檢測時不同區的不同平面中需要校驗的規則各不相同，故需要對檢驗規則進行應用范圍限制）。

J：讀取checkcommand表中的Exception字段獲取異常處理方法。

K：與checkRule表中的rule字段進行該指令的規則檢驗，判斷是否擁有多個規則（rule字段），成功轉入步驟M，失敗轉入步驟L。

L：判斷回顯結果是否符合checkRule表中rule字段的規則要求，成功轉入步驟N，失敗轉入步驟P。

M：判斷回顯結果是否符合checkRule表中所有rule字段的規則要求，成功轉入步驟N，失敗轉入步驟P。

N：讀取checkResult表中的CheckContent字段作為正常顯示回顯內容。

O：將檢測結果進行標綠顯示。

P：將檢測結果進行標紅顯示。

圖2 縱向加密裝置安防基線檢測流程圖

（2）實現縱向加密認證裝置智能巡檢需求

縱向加密認證裝置智能巡檢依賴于安防配置自動檢測，在此基礎上，可以自定義巡檢頻率（按周巡檢，按天巡檢，按小時巡檢等）、巡檢范圍、巡檢內容等，同時在定義巡檢頻率是可以設置是否需要結合節假日與休息日對巡檢周期進行限制。為了滿足在一定時間內對網內所有設備進行多次巡檢的需求，需要將調度數據網設備分成若干個虛擬區域，以此提高對縱向加密認證裝置安防配置正確性的監視力度，保障電力調度數據網穩定可靠運行，同時在巡檢結束后根據巡檢結果的嚴重情況智能選擇通過電話聯系、發送告警短信或進行警鈴提醒的方式通知監控人員第一時間對設備進行維護。

4 縱向加密認證裝置安防基線柔性自動化檢測系統設計

在調度數據網Ⅰ、Ⅱ分區隔離防火墻下部署一臺管理機服務器，負責掃描檢測設備配置、獲取配置并存儲、分析與展示。管理機通過防火墻與調度數據網內縱向加密認證裝置通過SSH通信，由一臺核心路由器映射轉發數據實現。工作時，管理機根據設定的任務，自動對網絡內縱向加密認證裝置進行周期掃描，并形成報告。

Ⅱ區網絡PC客戶端，可以通過路由映射訪問管理機Web頁面，形成圖形化監視效果，當主動探測終端向管理機發送網絡探測結果后，管理機程序通過分析，進行網絡異常的圖形與聲音告警，推送在Web網絡拓撲圖頁面上。

系統包括如下主要功能模塊：

掃描范圍管理：可以通過輸入IP范圍、導入設備臺賬EXCEL等形式，定制掃描的范圍。

掃描任務管理：可以通過條件查詢和勾選，建立不同設備臺賬范圍、掃描周期形成自動執行的掃描任務。

掃描結果分析：可以快速對掃描結果進行分析，給出問題設備以及具體問題原因。

報表分析：給出管理和專業兩個視角的分析報表，管理視角可以對趨勢、問題分類、等級分類進行查看，專業視角可針對具體問題設備，查看問題以及該問題的修復處置方案。

檢測策略管理：可以在模塊通過編制掃描命令、研判過程，擴展不同設備或新的檢查項。

臺賬管理：可以查看縱向加密裝置的設備臺賬，可對設備臺賬進行添加、刪除、修改操作。

日志管理：可以查看縱向加密裝置安防基線配置檢測過程中的回顯結果，方便后期系統維護。

圖3 系統網絡結構圖

圖4 系統功能結構圖

5 應用情況分析

當前，昆明供電局調度中心自動化班組需要運維四百余臺縱向加密認證裝置，按照以往的檢測方式自動化運維人員對一臺縱向加密認證裝置進行安防基線檢測每次約需要0.5小時，所有縱向加密認證裝置的安防基線檢測需要200小時以上。本文提出的縱向加密認證裝置安防基線柔性自動化檢測系統，能將縱向加密認證裝置進行安防基線檢測時間控制在5分鐘一次，可以夠有效提高調度自動化人員對縱向加密認證裝置安防維護效率。

6 結束語

本文闡述了縱向加密認證裝置安防基線柔性自動化檢測的主要研究思路與關鍵技術，開發滿足縱向加密認證裝置安全防護要求的自動化檢測與主動分析系統，實現對電網調度數據網設備短周期掃描和設備運行主動分析，提高設備維護水平，減少調度自動化人員維護工作量，提高運維效率。

[1]王勝飛，胡華，趙文杰，陳文雄，李端歡，王興念.配電自動化安全防護設計與實踐[J].電工技術，2019.

[2]劉媛，李勁，殷曉蓓.調度數據網縱向安全防護系統的構建和應用[J].廣西電力，2011.

[3]任杰，王婷宇.電力通信網數據的安全防護系統及實現研究[J].科技風，2019.

[4]陸子成，張鐵龍，程夏.針對縱向加密認證裝置的網絡安全威脅分析[J].微型機與應用，2016.

[5]高健，劉萍.電力專用縱向加密認證網關的技術應用[J].湖州師范學院學報，2011.

[6]潘路. 電力二次系統網絡信息安全防護的設計與實現[D].華南理工大學，2014.

云南電網公司科技項目資助：調度數據網安防設備柔性自動化檢測與主動分析技術研究與應用（編號：YNKJXM20180364）