基于網絡安全管理平臺的電力監控系統網絡安全應用實踐

吳程楠，田 茜，李 曼

(國網上海市電力公司松江供電公司，上海 201600)

1 網絡安全管理平臺建設及功能

1.1 網絡安全管理平臺建設

電力監控系統網絡安全管理平臺[1-3]主要實現對調度機構電力監控系統、變電站站控層和電廠涉網部分的專用安防設備、通用安全設備、主機操作系統、數據庫、網絡設備等的設備狀態、安全狀態、安全事件和操作行為進行實時監測與告警，實現對電力監控系統進行安全核查及掃描，以發現薄弱環節，甚至主動隔離風險主機。

網絡安全管理平臺使用C/S架構運行于安全Ⅱ區，并在主站安全Ⅰ區、Ⅱ區的采集裝置中部署采集模塊，主要采集來自電力監控系統中的安全設備、主機設備和網絡設備的運行信息、操作信息以及告警信息，并將采集到的數據統一匯總至安全Ⅱ區的平臺服務器，由人機工作站進行集中展現。

NS 5000網絡安全管理平臺具備安全檢查、監視、告警、分析以及事后審計等應用功能，并提供管理平臺自身及相關應用的配置管理功能，用來維護系統的完整性和可用性，提高系統的運行效率。

1.2 安全檢查功能

安全檢查可核查對象配置安全并評估存在的安全風險，需預先將核查腳本分發到設備主機上，由平臺發起安全配置核查任務，并在操作系統層執行核查腳本，之后將核查結果返回給安全配置核查服務程序。

安全檢查基于漏洞庫和安全配置基線，對安全漏洞、弱口令、安全配置進行掃描和核查，實現網絡安全的主動防御。安全風險評估服務連接安全Ⅰ/Ⅱ區采集裝置的探針程序，向對應安全區的設備進行安全風險評估。考慮到對電力監控系統的影響，平臺提供基礎風險評估及深度風險評估功能模塊。

1.3 安全監視功能

安全監視功能可全方位實時監視電力監控系統的安全運行情況，可宏觀展示電力監控系統運行概況，將采集的網絡安全數據通過采集消息總線發送給分析服務模塊；分析服務模塊處理收集到的數據，將必要的數據存入實時庫，生成具體的監視、告警信息推送給人機；人機的監聽模塊獲取相關信息后展示給用戶，并根據用戶的操作向分析服務模塊發送請求，分析服務模塊收到請求后再從實時庫中提取相關數據，發送給人機進行數據展示。支持以拓撲圖形式展現內網的安全主機及各類安全設備，實時展示設備告警和在離線狀態。

1.4 安全告警功能

安全告警功能提供實時告警和歷史告警兩種告警展示，根據告警產生的類型采取多種監視方式，實時監控告警情況。針對監管平臺的詳細告警情況，采用多種監視方式，諸如告警提示窗、告警懸浮窗、告警輪播等，多手段實時監視告警情況。

1.5 安全分析功能

安全分析功能使用各種綜合分析手段，并提供報表工具生成用戶所需的安全運行報表，通過對設備監視與告警數據進行多維度的分析與挖掘。

當告警處理模塊分析出告警信息后，通知數據分析模塊，在接收到告警通知后查詢歷史數據庫對告警數量、告警曲線等信息進行統計分析并將分析結果寫入歷史數據庫和實時數據庫，人機界面通過查詢歷史庫和實時庫來獲取統計數據并展示電力監控系統安全運行情況。

1.6 安全審計功能

安全審計功能基于歷史記錄數據，在事后對所有安全事件、操作行為進行關聯、跟蹤和追溯的分析，并作出相應安全評價，以發掘未被實時管理的安全漏洞與安全風險。

數據采集模塊將采集的信息通過采集消息總線發送給數據處理模塊，數據處理模塊進行分析處理后存入歷史庫；數據分析服務通過服務總線注冊并對外提供審計數據服務，人機界面通過服務總線發現數據服務并建立連接，數據分析服務通過查詢歷史數據庫，分析統計人機界面請求審計信息，并反饋給平臺界面進行展示。

2 典型主機設備接入

2.1 廠站網絡安全監測裝置接入

廠站端部署網絡安全監測裝置(Ⅱ型)，當站端安全Ⅰ區、Ⅱ區網絡可達時，僅在安全Ⅱ區部署一臺；否則安全Ⅰ區、Ⅱ區需各部署一臺。ISG 3000網絡安全監測裝置(Ⅱ型)需同時接入站控層A、B網內，保證與A、B網內所有設備互聯互通。

典型變電站部署拓撲圖如圖1所示。

圖1 典型變電站部署拓撲圖

本文選取110 kV變電站作為典型案例，分析探討110 kV變電站網絡安全監測裝置接入及調試相關事項，其他類型廠站可參考接入，其拓撲圖如圖2所示。

圖2 廠站網絡安全監測裝置接入參考圖

調度主站網絡安全管理平臺和廠站網絡安全監測裝置是通過電力調度數據網互聯互通，調度主站網絡安全管理平臺數據網關機與廠站網絡安全監測裝置之間設置通信所需靜態路由，確保雙方通信正常。110 kV變電站調試網絡安全監測裝置常碰到“資產不在線”等問題，建議排故方法如下。

首先確保調度主站網絡安全管理平臺與廠站網絡安全監測裝置網絡可達，并查看網絡地址，確保地址生效。

(1) 查看模塊運行是否正常。

(2) 主機日志采集測試。

對照《電力監控系統網絡安全監測裝置技術規范》附錄E.3.2廠站服務器、工作站等設備采集信息，逐條觸發主機事件抓包驗證報文格式正確性。

2.2 設備主機資產接入

主機信息采集方式為，由安全操作系統 (凝思、麒麟)主動進行信息采集，通過消息總線上報到監管平臺。信息采集分為周期上報(運行信息)和觸發上報兩種方式，以達到對主機運行狀態進行全面監視的目的。

SSH每次以鏈路為基本單元進行跳轉訪問，由操作系統主動將采集項通過消息總線發送至Ⅰ區和Ⅱ區采集服務器，并在平臺側進行匯總展現。對于非法的鏈路阻斷或當人員通過本機或X11(Xmanager)登錄后打開console操作時，操作系統主動采集登錄及操作信息，通過消息總線發送至Ⅰ區和Ⅱ區采集服務器，可由網絡安全管理平臺通過Ⅰ區和Ⅱ區采集服務器向該業務主機發送非法鏈路，在該主機上產生的進程號(通過消息總線)，由操作系統進行實時鏈路阻斷。對于危險操作命令例如(reboot)，可由平臺直接識別，并產生告警內容。

以廠站側監控主機為例，安全操作系統 (凝思、麒麟)主動進行信息采集，通過消息總線上報到安全網關。針對不同類型操作系統，需部署探針程序agent，采集用戶登錄、操作并監控系統運行情況等信息，并通過Ⅱ區調度數據網交換機發送到網絡安全管理平臺的二區數據網關機進行處理，然后在平臺應用界面上顯示出來。

3 網絡安全技術應用實踐

3.1 NAT技術應用

NAT技術是將內部網絡的私有IP地址翻譯成唯一的公網IP地址，使內部網絡可以連接到外部網絡上過程[3]。

本文主要探討靜態地址映射技術實現前置服務器訪問RTU時暴露內部網絡地址功能。在前置網關服務器配置相應的私網地址，因此私網地址需要與各廠站RTU配置的前置網關通信。當調度主站前置通信服務器主動發起業務訪問時，數據包的源地址及目的地址在NAT網關機進行轉換，完成轉換成公網地址后，廠站側電力監控系統收到數據包進行解析處理并反應至調度主站，完成最終的業務交互過程。由于IP包的源IP已經被NAT轉換成的調度數據網IP，響應的IP包(Des=32.1.2.2，Src=32.1.2.1)將被發送到NAT網關機。當前置服務器(172.16.1.1)訪問RTU終端(32.1.2.1)時，私有網中的主機172.16.1.1向公共網中的主機32.1.2.1發送了1個IP包(Des=32.1.2.1，Src=172.16.1.1)。當IP包經過NAT網關時，NAT會將IP包的源IP轉換為NAT的調度數據網IP并轉發到調度數據網，此時IP包(Des=32.1.2.1，Src=32.1.2.2)中已經不含任何私有網絡IP的信息。NAT網關在地址映射轉換過程對前置服務器來說是透明的；對廠站側電力監控系統而言，調度主站前置通信服務器是32.1.2.1，調度主站端則隱藏了172.16.1.1的私有地址。因此，NAT技術“隱藏”了調度主站和廠站RTU通信雙方的私有網絡地址，有效保證了電力監控系統的安全運行及穩定性。

3.2 ACL技術應用

電力監控系統中采取業務訪問白名單方式，控制并規范網絡訪問行為，ACL訪問控制列表技術[1]正可實現在網絡出口處精準識別和控制業務訪問，做到流量控制及訪問授權等功能。如果數據包與ACL中某條語句匹配，則列表中其他語句會被忽略;若不匹配，則繼續檢查ACL下一個命令語句，在到達ACL的最后一條命令仍舊不匹配時，該數據包將被丟棄。當出現匹配并且該規則允許報文轉發時，才會將該條報文轉發;如果無法匹配全部規則，或匹配既定規則后禁止報文轉發，則丟棄該報文。

ACL針對符合規則的入站數據包，由路由器處理器調入內存，讀取數據包的包頭信息，如目標IP地址，并搜索路由器的路由表，查看是否在路由表項中，如果有，則從路由表的選擇接口轉發(如果無，則丟棄該數據包)，數據包進入該接口的訪問控制列表(如果無訪問控制規則，直接轉發)，然后按條件進行篩選。訪問控制列表流程如圖3所示。

圖3 訪問控制列表流程

結合地區調度工作實際情況，調度數據網接入規范及業務IP地址訪問需要，ACL規則需要實現如下功能需求。

(1)允許廠站側電力監控系統安全Ⅰ區的業務主機通過2404端口與主站側安全Ⅰ區業務主機通信。

(2)允許主站側安全Ⅰ區業務主機通過SSH安全協議遠程登錄廠站側電力系統安全Ⅰ區的業務主機。

(3)阻止其他任何報文訪問。根據實際業務需求，需在廠站側網絡出口處對業務訪問流量進行限制，設置ACL并綁定網關設備MAC端口。

廠站RTU如在網絡出口有不符合安全策略的訪問，則丟棄該數據包。假設某個IP地址以TCP協議試圖掃描廠站縱向加密裝置以訪問其他通信端業務主機，那惡意代碼則可通過TCP的某端口進行惡意傳播的風險大大增加，存在極大安全隱患。

提前在廠站側網絡出口側設定必需的ACL訪問控制策略后，所有與業務端口無關的數據包都將被丟棄，最后一條隱含的語句適用于不滿足之前任何條件的所有數據包。這條最后的測試條件與這些數據包匹配，通常會隱含拒絕一切數據包的指令。

4 結語

電力監控系統網絡安全管理平臺的建設與應用為電力監控系統網絡安全監控提供了技術手段，實現電力監控系統安全告警信息的實時采集以及網絡安全事件的快速隔離與處理。同時，采用網絡NAT技術和ACL技術可限定網絡流量隨意性訪問，規范日常業務訪問行為。電力監控系統網絡安全是一個系統性、整體性的問題，系統中任何一個漏洞或威脅都有可能造成全網安全問題。

結合近幾年的電力監控系統網絡安全管理平臺實踐經驗，本文提出若干網絡安全技術的應用，并結合實際工作提出了保證電力監控系統安全高效運行的一些措施和建議，以期為提高電網整體監控系統安全、建設數字化孿生電網和加快推進調度信息資源夯實技術基礎。