电力监控系统信息安全管理系统的研究与分析

来源:用户上传      作者:朱昊

　　摘   要：基于网络安全的现状及严峻的形式，本文介绍了电力监控系统信息安全系统的研究背景和目前的研究与应用现状，明确了研究的内容和主要工作;从网络结构的脆弱点对电力监控系统常见安全措施进行了分析，针对当前现状进行了分析，基于分析结论从四个方面给出了优化方案;明确了系统功能和子功能项，给出了系统的总体功能架构和各功能模块的结构，包括预警、监测、审计、防护、采集、系统管理和展示等功能模块。
　　关键词：信息安全  电力监控系统  预警  白名单
　　随着现代计算机技术、通信技术、网络技术的迅猛发展及与工业控制系统（以下简称工控系统）的深度融合，在极大地提高了工业控制系统工作效率的同时，同时也带来了严峻的网络安全问题。
　　目前网络攻击不仅仅以获取经济利益为目的，还呈现出以破坏敌对国家基础设施和能源供给的趋势。通过不断渗透或潜伏到电力、铁路、煤炭、化工、冶金、智能制造等领域的工控系统，展开具有针对性的破坏攻击活动。因此，世界各国均正努力采取措施，加强工控系统的安全，强化其网络系统的防护能力，变被动防御为主动防御，构造有足够纵深的立体化网络防护体系，力争将网络攻击造成的损失降低到最低。
　　综述所述，电力监控系统信息安全管理系统的研究与分析工作，对电力监控系统的安全防护具有促进意义。
　　1 当前我国同系统研究与应用现状
　　目前已开展的研究和应用主要以传统网络流量旁路监测和边界串联隔离的方式完成监测和防护，主要实现以下功能：
　　在Ⅱ区和Ⅲ区边界处串联放置隔离设备，实现网络流量的单向传输，避免外部非法流量影响生产控制大区。
　　在网络交换设备旁路传统网络流量监测设备，镜像交换设备流量，对流量中的恶意行为进行告警。设备通常采用黑名单的特征库来维持恶意行为的检出率。
　　以上为目前主流研究和应用方向，存在如下几个问题：
　　（1）流量审计缺少对工控协议的解析能力，可能影响控制设备的非法控制指令无法检测。
　　（2）安全防护措施集中在边界处，缺少针对各维度层面威胁的纵深防御手段，即在网络通信和计算环境上缺少安全防护措施。
　　2  电力监控系统信息安全管理相关措施
　　2.1 生产控制大区和管理信息大区采用隔离装置
　　电力企业按照《电力监控系统安全防护规定》，原则上将电厂基于计算机网络技术的业务系统划分为生产控制大区和管理信息大区。生产控制区中的业务系统或功能模块（或子系统）是电力生产的重要环节，直接实现对电力一次系统的实时监控，管理息大区是指生产控制大区以外的电力企业管理业务系统的集合。
　　按照《电力监控系统安全防护规定》中的相关规定，发电厂生产控制大区与管理信息大区之间通信应当部署电力专用横向单向安全隔离装置。
　　2.2 安全I区与安全II区逻辑隔离
　　按照《电力监控系统安全防护规定》中的相关规定，安全区I与安全区II之间应当采用具有访问控制功能 的网络设备、安全可靠的硬件防火墙或者相当功能的设备， 实现逻辑隔离、报文过滤、访问控制等功能。所选设备的功能、性能、电磁兼容性必须经过国家相关部门的认证和测试。
　　2.3 电力调度数据网
　　发电厂生产控制大区系统与调度端系统通过电力调度数据网进行远程通信时，应当采用认证、加密、访问控制等 技术措施实现数据的远方安全传输以及纵向边界的安全防护。发电厂的纵向连接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，与调度端实现双向身份认证、数据加密和访问控制。
　　3  电力监控系统信息安全管理优化方案
　　3.1 安全防护
　　安全防护功能通过对工控协议进行解析，运用“白名单+智能学习”技术，建立工业网络通信“白环境”，阻止任何来自安全区域外的非授权访问，有效抑制病毒、木马在工控网络中的传播和扩散，防护针对SCADA、PLC、DCS 等重要控制系统的各类已知、未知的恶意攻击和破坏行为。
　　白名单管理，就是引入白名单形式的安全策略控制。由于工控网络通信固定化的特征，确定了使用白名单技术进行安全控制，是解决工业网络安全的一个重要且有效的方式。
　　3.2 流量监测
　　流量监测功能基于对工业控制协议的通信报文进行深度解析，能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。
　　监测模块通过发电企业接入层交换机端口镜像功能，镜像出完整控制系统流量信息，经由监测模块的异常流量监测、关键事件监测、工业协议解析、协议通信记录等功能处理，生成监测结果及日志信息，发送到预警模块进行展示。
　　异常流量监测功能主要实现对工控协议的通信报文进行采集与深度解析，利用人工智能算法自学习建立工控通信模型基线，对当前工控协议通信行为与工控通信基线进行对比分析，对不符合与工控通信基线的异常行为进行告警，例如异常指令操作、新出现的设备（IP地址）、异常连接行为、异常通信地址、异常通信端口等告警。
　　工业协议解析提供对多工业协议的深度报文解析功能，实现工控网异常监测、工控协议异常监测、工控协议规约监测、工控关键事件监测、工控攻击事件监测。
　　协议通信记录网络中的所有连接信息，支持对工控网络通信记录进行回溯，除记录5元组信息外，还包括详细的开始时间、结束时间、源MAC、目的MAC、报文数（上行、下行）、字节数（上行、下行），端口号，功能码完整记录网络中所有流量和行为。
　　3.3 日志审计
　　日志审计功能通过采集电力监控系统内主机设备、网络设备、安全设备、应用程序的系统日志进行标准化处理，通过日志审计策略及时发现各种异常事件、安全威胁等，为管理人员提供电力监控系统的实时运行状况。
　　日志審计模块通过发电企业接入层交换机端口镜像功能，镜像出完整控制系统流量信息，经由主机日志审计功能、网络设备日志审计功能、应用程序审计功能的日志收集、分析，并将日志审计结果发送到预警模块进行展示。
　　3.4 安全预警
　　安全预警模块通过监测模块、审计模块、防护模块、采集模块实施预警监测。
　　参考文献
　　[1] 刘勇.电力监控系统二次安全防护的解决方案初探[J].电子制作，2016（8）：154-157.
　　[2] 王益明，辛耀中，向力，等.调度自动化系统及数据网络的安全防护[J].电力系统自动化，2001，25（21）：5-8.
　　[3] 王凤彬.信息安全技术在电力信息系统中的应用分析[J].现代国企研究，2015（16）：83.
　　[4] 张豆豆.电力信息系统信息安全技术的研究[J].中国新技术新产品，2015（17）：161.
转载注明来源:https://www.xzbu.com/1/view-15189496.htm