網絡邊界健壯性可視化管控平臺在電力系統中研究與應用

◆鐘掖 龍玉江 趙威揚

網絡邊界健壯性可視化管控平臺在電力系統中研究與應用

◆鐘掖 龍玉江 趙威揚

（貴州電網有限責任公司信息中心 貴州 550002）

電力系統不同于其他的系統，電力系統需要與很多其他的系統進行對接，比如：需要與第三方電費的支付平臺進行對接，不僅如此，還需要與很多其他的電力設備等進行關聯。然而，電力系統的這種網絡邊界的健壯性在很大程度上決定了電力系統的安全性和穩定性。本文主要就是來從網絡邊界的健壯性方面來進行分析，研發可視化的管控平臺，實現電力系統中網絡邊界的可視化管理。本文從兩個方面展開研究：第一，從網絡流量分析、告警分析和綜合展現三個角度來實現可視化管控平臺的設計；第二，結合內網安全域實時流量，實現對邊界防火墻安全策略的命中頻次分析和統計，為調整內網安全防護列表提供數據支撐。從內網安全管理角度出發，提出了無紙化網絡權限管理工單模式，有效提高內網安全管理效益。

網絡邊界健壯性；內網安全；電力系統

電力系統的安全影響著民生信息的安全，電力系統是我國的基礎設施之一，其安全性是影響國家經濟社會發展的全局性、戰略性問題之一，電網信息安全成為國家安全的重要組成部分。近年來，國際上發生了烏克蘭電網遭受網絡攻擊導致大面積停電、伊朗核電站遭受震網病毒攻擊、針對美國電網的“網絡風暴”演習等信息安全事件，我國也先后發生了多起因網絡攻擊造成電網安全生產事故，帶來了嚴重經濟損失和社會影響。因此，深入研究內網信息安全問題、制定和實施信息安全戰略、建立全方位動態、縱深防御的內網安全保障體系，嚴守網絡安全紅線、底線和網絡安全責任，已成為當前信息安全的重要內容。本文從網絡邊界的健壯性角度出發，研發可視化管控平臺，并將其應用到電力系統中。首先解決防火墻品牌策略的建模，可以通過收集各防火墻安全策略配置模型進行建模。第二步，針對自動獲取可以通過后臺SSH方式，執行相關命令獲取配置文件，一鍵下發問題同樣需要對各防火墻配置命令進行建模，針對不同型號和品牌應單獨測試，確保一鍵下發功能安全可控。

1 可視化管控平臺需求分析

在電力系統中，需要采集的電力數據信息比較多，接入電力系統的硬件設備的類型和型號比較復雜，為了實現對這些設備的接入管理，在電力系統中部署了不同品牌的防火墻。通過可視化管控平臺，要實現對這些不同品牌的防火墻的接入管理，要從根本上解決設備種類所帶來的差異化的問題，通過不同防火墻的接入接口，實現對相關參數信息的采集。不僅如此，需要將采集到的各品牌的防火墻的運行數據信息之后，對數據進行統一規范的管理，實現統一化的管理，并將其進行可視化的展示，為電力系統的安全防護管理決策的制定提供重要的參考依據。通過可視化管控平臺，不僅要實現數據信息的可視化展示，還可以實現防火墻策略的遠程下發等，實現真正意義上的網絡邊界自動化的管理。通過分析可知，可視化管控平臺的需求總體來說有以下四點：

（1）實現內網安全域邊界策略健壯性可視化管理

對所有接入電力系統的網絡設備的運行狀態以及與其他網絡設備的關系進行梳理，得出電力系統的網絡部署架構，對內網內的每一個安全域進行狀態的實時監控個，將人類不可進入的網絡世界進行可視化的展示，直觀的描述不同的設備之間的關聯關系，并實時的顯示狀態變化情況。對內網安全域內的所有的防火墻所采用的安全策略進行信息采集，實現這些策略的可視化展示。在系統中可以將所有設備之間的關聯關系進行設置，這樣在進行設備查看的時候，就可以以關聯圖的形式直觀查看和管理。因為可以實時的采集設備的運行狀態等信息，所以，在可視化的管控平臺可以對設備的運行狀態進行實時監控，以不同顏色標識的形式顯示設備的狀態，一旦發生狀態異常的時候，可以動態的提醒，可以短信形式提醒等，讓管理員能夠在第一時間獲取異常信息，并及時響應。

（2）實現內網安全域邊界策略自動化分析

獲取了內網的網絡部署以及關系圖之后，就可以對不同的防火墻所采用的安全策略進行自動學習，進而能夠對存在的一些潛在的問題進行挖掘，分析網絡邊界的健壯性，一旦發現了問題就可以可視化的顯示，進而為網絡管理員的決策制定提供重要的參考依據。在電力系統中，常用的安全策略主要有：冗余策略、重復策略、寬松策略、沖突策略，在對其進行自動化學習的時候，可以采用歸類、聚類等算法，通過循環學習和更新網絡部署，逐步的提高網絡邊界的健壯性。

（3）實現防火墻策略的遠程下發

因為電力系統中使用到的防火墻品牌和類型比較多，所以對該功能的實現造成了一定的阻力。本文目前主要就是選取幾個典型品牌的防火墻進行測試和研究，探索不同品牌防火墻安全策略的自動獲取方式，并探索遠程控制操作的可行性，逐步的形式統一的管理方案，最終實現防火墻安全策略的遠程控制，真正意義上實現網絡運維的自動化管理。

（4）提升內網網絡權限集中管控工作

在電力系統中，服務的用戶類型比較多，比如：售電人員、信息采集人員、網絡運維人員以及各銷售點的用戶等，每一個用戶的不當操作都可能給網絡安全帶來一定的威脅。為此，網絡權限的靈活分配和集中管控是非常關鍵的。在該平臺中，要實現網絡權限的靈活配置和集中的管控功能。

2 可視化管控平臺總體設計

（1）系統的總體架構

在對網絡邊界健壯性可視化管控平臺進行研發之前，需要根據需求情況，來對系統的總體架構進行設計。在該平臺中，需要對各防火墻的運行狀態等信息進行采集，主要就是通過數據流鏡像、私有協議解析等方式進行采集的，采集到的數據通過處理之后，存儲在專有數據庫中。數據采集完成之后，就需要對這些信息進行分析，可以根據業務需要從不同的角度展開分析，將分析結果也存儲到相應的數據庫表中。分析完成之后，就需要采用可視化的方式來對分析結果進行展示，針對不同的用戶，展示的信息和方式都是不相同的，需要根據實際業務需要進行權限的控制。當然，在對防火墻的相關信息進行采集之前，需要將私有協議進行輸入，獲取了協議的格式和解析方法之后，才能夠對其進行解析處理。其中，網絡邊界健壯性可視化管控平臺的總體架構設計如圖1所示。

圖1 可視化管控平臺總體架構圖

（2）業務架構

在對可視化管控平臺進行研發的時候，需要確保該平臺符合電力行業總體的原則，該平臺將作為第一道防線在電力系統中部署應用，所以在對該平臺進行研發的時候，要確保平臺的穩定性、安全性、可靠性和擴展性。通過該平臺，可以為電力系統的網絡安全管理提供重要的輔助作用，能夠為安全事件的監控和追蹤管理提供強有力的證據。隨著電力服務的不斷升級和創新，電力系統中的業務功能需要進行升級和改造，所以系統要具有一定的擴展性和維護性，不能因為一些功能的改變就全盤否定重新研發系統。可以將系統進行模塊化處理，模塊內部進行封裝，提高模塊內聚性，而通過接口實現不同模塊間的交互，確保系統的完整性。這樣，當系統需要進行升級和功能改進的時候，只需要對相關的模塊進行升級改造即可，而其他的模塊無須改動。

（3）系統部署方案

在電力系統中，防火墻等邊界設備屬于第一道防線，如果要想對這些設備的信息進行采集，就需要對內外網邊界的部署日志文件中獲取到基本的數據信息，然而這些設備一般都是通過私有協議進行通信交互的，所以就需要將通訊協議輸入到系統中，通過解析協議，獲取到這些交互信息，進而保存到數據庫中。通過對這些交互信息進行分析，可以建立相應的規則模型，對網絡的健壯性和安全性進行分析，并根據分析結果發出告警和問題節點的追溯。通過這種方式，可以很快對具有安全隱患的節點進行鎖定，管理人員可以通過遠程控制的方式將命令下發給這些網絡邊界的設備。

3 可視化管控平臺關鍵技術

在對該平臺進行研發的時候，會涉及以下三個關鍵技術。

（1）網絡邊界策略健壯性圖形化技術研究

防火墻是每一個網絡部署中都會使用到的安全測試，在網絡中屬于第一道防線，通過防火墻可以將業務區域進行安全級別的劃分。在電力系統中，為了滿足用電用戶的需要，需要不斷加入網絡設備以滿足日益增長的服務需要，這就需要該平臺具有一定的擴展性。在防火墻的安全策略中，包含有上千條的訪問控制策略，但是就管理人員而言，是需要不斷進行調整的，這些調整的過程可能產生很多的垃圾策略、冗余策略或者是一些沖突的策略，嚴重的影響安全策略的匹配效率。在該平臺中，通過可視化的方式，可以將這些復雜的關系進行展示，這樣就可以在確保網絡環境安全的基礎上，對一些冗余策略進行刪除，提高匹配的效率。

（2）網絡邊界策略健壯性自動化分析方法研究。

電力系統的網絡環境是持續穩定運行的，經過長時間的運行之后，將產生很多的業務數據信息，這也就對防火墻的安全策略產生很大的影響，然而目前還采用人工管理模式進行管理，不能對安全策略進行有效的優化升級，致使效率低下，網絡邊界健壯性非常的低。

雖然電力系統中使用到的防火墻的品牌和類型是不相同的，但是這些防火墻的通訊協議大同小異，可以對一些共同的特征進行提取，進而建議相應的規則，實現對防火墻安全策略的自動收集。收集了這些信息之后，就可以對安全策略的頻次、隱患問題節點等進行統計和分析，可以對網絡設備之間的關聯關系進行可視化的展示，這樣人工在進行運維管理的時候就有了依據可循。不僅如此，還可以通過協議或者是接口實現操作命令的遠程下發。

（3）網絡邊界策略健壯性可視化管控平臺研究。

電力系統的運維管理必須嚴格按照國家電網的流程要求來進行處理，所以在很多的業務處理過程中，需要各級領導的審批處理，傳統的管理模式下，效率低下，有時候為了等待某一個領導的簽字審批可能花費好幾天的時間。而該平臺研發完成之后，可以將工作流自定義到系統中，這樣在工作流節點中所涉及的相關的業務就會通過平臺自動的下發到審批人員，審批人員只需要通過系統就可以完成業務的審批處理，可以大大提高業務處理效率，并且還可以很好的實現無紙化的辦公，不僅實現了自動化辦公，而且還節約了資源，節省了辦公成本。當國家電網需要改進業務處理流程的時候，管理人員只需要在該平臺中將工作流進行優化改進處理即可，相應的節點人員就會自動的發生變化，系統會按照改進后的工作流進行業務的周轉處理。通過這種可視化的方案，可以將整個電力系統中的所有的網絡邊界設備以架構圖的形式顯示，能夠實時的顯示每一個設備的運行狀態，當某一個設備發生安全問題的時候，可能會給哪些設備帶來安全隱患，都能夠通過直觀的關聯圖進行顯示，這樣就方便了管理人員快速定位問題，并采取科學合理的措施進行解決。

4 應用實施和效果分析

該平臺研發完成之后，需要在試點單位進行投入使用，使用的過程中要注意新舊系統的對接，確保業務數據信息不丟失。通過該系統的部署應用之后可以發現，不僅能夠對各品牌的防火墻數據信息進行采集，能夠對這些異構的數據進行規范標準化處理，將其存儲到專用數據庫中，并能夠通過多種可視化的方式對這些數據進行展示，可以為網絡管理人員提供強有力的依據，這對于電力系統的安全防護和管理而言具有非常重要的意義。該系統不僅提高了網絡邊界的健壯性，提高了電力系統的安全，而且能夠降低網絡運維成本，實現無紙化辦公，對國家的經濟發展而言也具有非常重要的意義。

5 結語

通過研發網絡邊界健壯性可視化管控平臺，建設公司信息網絡第一道防線攻擊行為監測能力，實現網絡邊界的在線監控，專有應用協議分析過濾及安全事件上報，起到對信息內外網邊界安全事件的監控、采集和一定的分析作用，能有效地提高第一道防線的安全性和可控性。通過對全網信息安全邊界設備的統一管理，杜絕了對網絡邊界物理信息、版本信息、運行狀態缺乏管理和監控的問題，使網絡邊界在有效的監控下運行，便于各種安全事件和運行指標的統一報送和集中采集，為數據庫交互審計、安全事件監視和安全態勢評估提供良好的基礎。

[1]張光益，鐘掖，等.大型企業資源池網絡設備邊界防護關鍵技術及設計方法淺談[J].電子世界，2020，23（01）：63-64.

[2]耿新，茹東武.泛在電力物聯網下電力系統數據安全防護體系建設[J].電工技術，2020，24（01）：147-149.

[3]楊民.電力系統信息通信的網絡安全及防護[J].科技創新與應用，2019，78（36）：137-138.

[4]王桂彬.電力系統信息通信網絡安全及防護安全探究[J].信息通信，2019，12（12）：168-169.

貴州電網有限責任公司2019年網絡邊界健壯性可視化管控平臺研究與應用項目