地區(qū)調度網絡安全管理平臺配置分析

張 東，李 健，孫 蒙

(呼和浩特供電公司，內蒙古 呼和浩特 010050)

當前，網絡安全形勢日益嚴峻，計算機病毒、木馬、黑客攻擊等惡意網絡攻擊行為日益猖獗，網絡信息戰(zhàn)和網絡恐怖行動等國家、集團性網絡攻擊行為對全社會的生產和生活都造成了嚴重影響。針對電力監(jiān)控網絡，無論從國家層面還是各電網企業(yè)，都高度重視網絡安全工作，將網絡安全視為大電網安全的重要組成部分，尤其是電力監(jiān)控系統網絡，在突發(fā)網絡安全事件的時候，調度主站能夠快速反應并切除網絡攻擊行為，逐步形成預防預控機制。

隨著地區(qū)電網調度業(yè)務的大量增加，如遙控和遙調等遠方控制功能也被大量采用。這將嚴重挑戰(zhàn)電力控制系統和數據網絡的安全可靠運行；同時內部IT基礎設施，如服務器、網絡設備、工作站等硬件設備，存在被外部威脅和攻擊的風險；操作系統、數據庫等各業(yè)務應用軟件，普遍存在后門或漏洞等安全風險。電力監(jiān)控系統面臨的主要安全風險見表1。

表1 電力監(jiān)控系統面臨的主要風險

呼和浩特供電公司現有的內網安全監(jiān)視功能實現了電力監(jiān)控系統安全防護設備的集中管理和在線監(jiān)視，能夠監(jiān)視安防設備的運行狀態(tài)及異常網絡訪問。但生產現場存在的非法外聯行為、移動介質和設備接入管理不嚴格、運維的安全管理不到位等問題時有發(fā)生，亟待解決。針對以上問題，結合地區(qū)調度內網系統生產實際，筆者提出了呼和浩特地區(qū)調度網絡安全管理平臺配置方案并進行分析。

1 地區(qū)調度網絡安全管理平臺的總體架構

地區(qū)調度網絡安全管理平臺采用獨立組網的形式進行網絡部署，平臺運行硬件按功能劃分為安全監(jiān)測裝置、數據網關機、應用服務器、人機工作站4類。網絡安全監(jiān)測裝置包括Ⅰ型和Ⅱ型網絡安全監(jiān)測裝置，分別部署在主站和廠站。作為業(yè)務系統網絡內部及外部網絡的邊界，主要實現對調度自動化系統及直調廠站監(jiān)控系統的數據采集；數據網關機置于網絡安全管理平臺內外網邊界，主要作用是匯集內部數據以及平臺間信息交互；各種應用服務器置于平臺內網中，用來為網絡安全數據存儲、監(jiān)測、分析、審計等功能提供支撐；人機工作站也置于網絡安全管理平臺內網，主要為人機界面展示、人機交互提供支撐。系統總體架構圖如圖1所示。

圖1 地區(qū)調度網絡安全管理系統配置示意

平臺側：網絡安全管理平臺采用在調度端安全Ⅱ區(qū)內部獨立組網的部署方式，組網使用1臺交換機，平臺內部采用1臺監(jiān)視與告警服務器，1臺分析審計與核查服務器；負責對主站側、變電站站控層及發(fā)電廠涉網生產控制大區(qū)Ⅰ型、Ⅱ型網絡安全監(jiān)測裝置收集到的相關設備的運行信息、操作信息、告警信息進行分析處理，并將分析后的結果發(fā)送至平臺Ⅱ的UI工作站，實現UI圖形化界面展現各相關信息。另外，平臺內還包括2臺數據網關機，1臺數據庫服務器，2臺分析與審計服務器和1臺服務網關機。平臺內的數據網關機連接調度數據網管理VPN實現平臺間的數據通信，服務網關機與平臺內網交換機相連實現數據交互，實現調閱下級平臺關鍵運行指標、告警信息、拓撲結構以及對外提供接口等服務。

Ⅰ、Ⅱ區(qū)數據網關機：部署在安全Ⅰ區(qū)的數據網關機負責收集來自廠站側實時Ⅱ型網絡安全監(jiān)測裝置上傳的相關告警信息。安全Ⅰ區(qū)上的網關機收到數據后，從Ⅰ區(qū)通過防火墻將數據轉發(fā)至網絡安全監(jiān)管平臺；安全Ⅱ區(qū)上的網關機收到數據后，從Ⅱ區(qū)地址將數據發(fā)送至網絡安全監(jiān)管平臺。廠站側安全Ⅱ區(qū)的相關告警信息通過調度數據網非實時VPN上傳至主站Ⅱ區(qū)網關機；廠站側在安全Ⅰ區(qū)如果存在Ⅱ型網絡安全監(jiān)測裝置，其相關告警信息通過調度數據網實時VPN上傳至主站Ⅰ區(qū)網關機。主站建設時Ⅰ、Ⅱ區(qū)的數據網關機應分別接收廠站Ⅱ型網絡安全監(jiān)測裝置發(fā)送上來的雙平面數據。

網絡安全監(jiān)測裝置：在調度自動化主站側安全Ⅰ、Ⅱ、Ⅲ區(qū)各部署1臺Ⅰ型網絡安全監(jiān)測裝置，分別負責收集各自內網區(qū)域的主機設備、網絡設備(交換機)、安防設備以及數據庫的相關運行信息、操作信息、告警信息等并轉發(fā)給監(jiān)管平臺。其中在安全Ⅰ、Ⅱ區(qū)部署的Ⅰ型網絡安全監(jiān)測裝置收到數據后，通過內網地址發(fā)給安全Ⅱ區(qū)的管理平臺；在安全Ⅲ區(qū)部署的Ⅰ型網絡安全監(jiān)測裝置，將收到的數據形成符合反向隔離傳輸的文件，通過反向隔離裝置將采集到的告警信息轉發(fā)給Ⅱ區(qū)平臺服務器。廠站建設時,廠站Ⅱ型網絡安全監(jiān)測裝置應向上級平臺的Ⅱ區(qū)的數據網關機Ⅰ、Ⅱ平面地址分別發(fā)送數據。廠站內如果Ⅰ區(qū)也有Ⅱ型網絡安全監(jiān)測裝置，也應向上級平臺的Ⅰ區(qū)的數據網關機Ⅰ、Ⅱ平面地址分別發(fā)送數據。

2 地區(qū)調度網絡安全管理平臺的數據采集功能研究

電力監(jiān)控系統中主站側及廠站側主機操作系統的安全事件感知，由運行于操作系統內核層的可信計算安全模塊和操作系統廠商負責研發(fā)的主機感知程序兩部分組成，從事件產生的根源實現安全感知，并通過可信計算安全模塊的可信審計功能和消息總線分別將主機違反可信策略的操作和登錄信息、運行信息和安全事件傳輸至網絡安全管理平臺。由操作系統進行自身安全事件的感知能夠在第一時間發(fā)現安全事件的產生，并且操作系統對自身運行狀態(tài)及安全事件的監(jiān)視信息的獲取更加直接和準確，同時操作系統能夠更好地在自身安全體系框架內完成對自身安全事件的感知。

基于可信免疫和操作系統自身感知的主機設備感知架構如圖2所示。

圖2 基于可信免疫和操作系統自身感和主機設備感知架構

基于可信免疫的操作系統感知通過部署可信計算安全模塊主動監(jiān)控主機本地未知惡意代碼的執(zhí)行、策略的強制執(zhí)行控制、業(yè)務應用軟件版本的管理等狀態(tài)，方式如下：①通過惡意代碼免疫機制主動監(jiān)控未知代碼的執(zhí)行并生成審計；②通過軟件版本管理功能識別軟件版本來源的可信性并生成審計；③通過強制執(zhí)行控制功能捕獲違反可信策略執(zhí)行操作并生成審計。

上述方式不改變操作系統和業(yè)務程序的源碼，不影響業(yè)務程序的正常運行。監(jiān)測程序運行在內核態(tài)，如若程序異常則功能失效不影響系統正常運行。可信計算安全模塊CPU和內存占用率低于1%，對程序加載時間影響在2 ms～30 ms級別，對程序訪問時間無影響。

操作系統自身感知通過部署安全服務代理程序讀取主機硬件配置、系統運行狀態(tài)、用戶登錄/退出、外網連接監(jiān)視、硬件異常監(jiān)視等信息，方式如下：①通過系統日志捕獲操作系統內核動態(tài)信息；②調用系統提供的標準人機命令并讀取相關信息；③采用輪詢方式，查詢系統關鍵資源使用狀態(tài)信息。

上述方式不改變操作系統源碼，保證了操作系統源碼的安全性和完整性。操作系統通過內核層感知發(fā)生的所有事件，感知模塊通過操作系統標準接口(包括但不限于sysfs、procfs、hotplug等接口技術)，捕獲特定的安全事件如設備接入、用戶操作、重要目錄變更、權限變更等信息，按照《GB/T 31992-2015 電力系統通用告警格式》轉發(fā)到網絡安全管理平臺。

操作系統內核和感知模塊均受到可信計算的保護，感知模塊以審計管理員的身份運行。感知模塊利用Linux現有內核運行機制獲取相關信息準確、安全，且不會影響系統原有功能及原有應用的運行，對系統性能負載影響較小。

3 結論

筆者針對呼和浩特地區(qū)調度自動化系統提出了網絡安全管理平臺的配置方案并對數據采集功能進行簡單分析，通過測試表明該平臺具備對主機操作系統和業(yè)務程序違反可信策略的操作和運行的主動監(jiān)控和審計功能，并能夠通過可信計算安全模塊的可信審計接口向網絡安全管理平臺推送審計信息。平臺數據采集完整、分析結果準確，達到地區(qū)調度網絡安全管理平臺對數據采集的基本要求。