电力工控系统网络安全监测预警解决方案

发表时间:2020/4/24   来源:《中国电业》2020年第1期   作者: 王斌 刘璐 马林
[导读] 随着电力自动化生产技术的迅猛发展,
        摘要:随着电力自动化生产技术的迅猛发展,工控系统产品越来越多地采用通用协议/规约,通用硬/软件和网络设备,工控系统在物理环境上的封闭性以及软/硬件的专用性逐渐被打破,工控系统的智能化提高了生产效率和管理效率,同时也为恶意攻击者创造了可乘之机。工控系统作为电力行业生产的最重要控制系统,在高度对抗的安全环境下受到了前所未有的威胁,成为了众多对象打击和渗透的目标,各种针对电力生产控制系统网络的病毒、木马等威胁事件层出不穷。面对攻击技术与手段日益先进、复杂、成熟的针对电力工控系统进行攻击的行为,电力工控系统所面临的安全威胁也日益严峻。因此,如何保障电厂工控系统安全,保障电厂的安全生产,为电厂设计安全、有效的工控系统安全防护方案,已成为一个日益突出的问题。
        关键词:电力工控系统;网络安全;监测预警
        引言
        当前,越来越多的信息技术被应用到工业领域,电力工控系统面临着网络攻击威胁。因此,必须针对电网工控系统的威胁进行有效的监测,才能及时发现可能存在的安全问题。通过对电力工控系统攻击威胁的分析,提出一种基于攻击树的电力工控安全的威胁模型。威胁值越大,威胁风险等级越高,并且通过电力工控系统验证了该方法的实用性。在威胁模型的基础上,设计了电力工控协议威胁识别与监测平台,以用来监测电力工控系统。
        1电力工控系统网络信息安全漏洞检测
        电力工控系统网络信息安全漏洞检测主要包含以下几个方面:首先是建立数据包特征集协议Fuzzing漏洞检测方法。由于数据包特征集的建立并不完善,存在误报率较高的问题,因此,在电力工控系统网络信息安全漏洞检测方法中引入免疫方法建立数据包特征集,降低漏洞检测的误报率。在数据包特征集的建立中,把数据包的特征与对应的漏洞类型属性值进行关联结合。通过对已知的攻击方法与网络信息安全漏洞进行分析,寻找各种网络信息安全漏洞所对应的免疫抗体数据包特征与免疫记忆数据包特征,利用这些数据包特征建立数据包特征集。在数据包特征集中,每一种漏洞类型属性值对应免疫抗体数据包特征集与免疫记忆数据包特征集这两种数据包特征集。其次是建立漏洞特征库。首先通过生成的检查码对漏洞特征成分进行分析。将网络信息安全漏洞分解成若干部分,利用分解后的部分构成,并结合抗原决定基来表现漏洞相应方面的独立特征,称其为漏洞特征基,一个漏洞特征基可能会出现在多种漏洞中,当修改注册表项成为一个漏洞特征基后,它会出现在红色代码、硬盘杀手、木马攻击等漏洞中。一个漏洞特征由多个漏洞特征基组成,因此,通过对漏洞特征基进行组合,形成了不同网络信息安全漏洞的特征。利用这些网络信息安全漏洞特征创建特征库,特征库的表现形式包括特征元素、特征因子、特征基,实现了对漏洞特征多层次、多特征的表述。其中特征元素是特征因子与特征基的基本数据,包括CPU使用率、端口号、源IP等,利用漏洞特征分别对特征元素、特征因子、特征基进行表述,实现了特征库的创建。
        2电力工控系统网络安全监测预警解决方案关键应用技术
        首先是电力工控系统网络安全监测预警解决方案研制并推广了集网络安全事件实时监控、异构离散告警深度融合、安全威胁审计溯源、网络拓扑自动分析于一体的实时监测分析应用技术,满足网络空间可管理、可控制、可追溯的实时监控运行需求。

首先是提出并研制了电力工控系统安全保护策略、软件版本的自动核查及预警技术,解决了传统的安全核查方法不支持电力工控软件和专用安防设备、软件版本缺乏在线管控手段等问题;其次是提出了适用于工控终端的异常行为动态感知与威胁处置协同控制方法,研制了适用于工控终端监控的网络安全监测装置,解决了异构工控终端的实时安全监控难题,实现了工控终端安全监控的全覆盖;最后是提出了一种动态扩展的工控通信协议解析和行为异常检测方法,研制了适用于工控网络流量监测的工控网络安全监测装置,解决了现场个性化、差异化工控通信协议解析难题,实现了工控业务行为状态机的实时跟踪预警。
        3电力工控系统网络安全监测预警解决的功能分析
        网络安全监测装置具备本地管理功能,包括资产管理、安全运行状态展示、支持告警内容进行本地存储,并支持调阅查询,对安全监测装置的运行情况进行监视,包括电源、CPU利用率、内存利用率、硬盘存储空间、通信链路状态、用户登录、异常操作等;支持对告警生成策略的管理,策略可由远方进行修改。网络安全监测装置以服务代理的形式提供服务给网络安全管理平台调用。同时,具备时钟同步功能,安全监测装置的时间应和厂站内站控层监控系统严格同步,以保证数据采集、安全分析和告警等处理顺利进行;具备网络流量分析功能,通过捕获交换机镜像口流量进行协议分析,对异常流量和行为进行实时监视与预警;具备防病毒管理功能,提供防病毒客户端引擎,并能通过网络安全管理平台实现病毒库的远程管理,进一步提高厂站端安全防护水平。
        4电力工控协议威胁识别与监测
        当前,电力工控系统系统面临的威胁越来越严重。安全威胁监测主要针对用电采集系统智能终端和配电自动化终端的安全问题进行威胁的监测与分析,系统地分析其所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,并且安全威胁监测需要结合实际的攻击手段来验证安全威胁监测与分析能力。系统主要面向工业控制系统的控制设备、网络通信流量、I/O状态、DCS工程师站、DCS操作站、网络设备和安全设备等进行数据采集、解析、分析、安全监测及告警。系统基于模块化分层设计原则包括数据采集层、大数据存储层、大数据分析层、监测业务层和数据展现层等层面。大数据存储主要针对采集的数据进行解析并格式化,以便于进一步地存储与分析。大数据分析层通过数据预分析构建分类数据库,并基于云数据进行存储,利用大数据分析技术对数据进行抽取、预处理和数据整合提供集散控制系统的控制指令、组态程序等的完整性分析、系统和网络流量的异常分析、攻击的关联分析及系统状态的时序分析等能力。监测业务层提供针对集散控制系统的安全监测核心功能,包括异常流量监测、病毒攻击监测、通信行为监测、总线访问监测、系统负载监测、状态参数监测、控制信号监测、DCS组态监测和DCS数据与操控指令监测等多种安全功能。数据展现层提供统一的可视化的安全态势展现、实时监控、监测告警、溯源分析和统计报表等功能。工业网络现场监测装置用于对工业以太网流量的采集与分析,总线现场监测装置用于对典型现场总线上的流量进行采集与分析,控制信号现场监测装置用于对I/O信号线上的信号进行直接地采集与分析,所有采集到的实时数据会被存储到MongoDB数据库集群,供异常监测中央平台分析。
        结语
        综上,工业控制网络的运维和安全同时需要从管理上加强,比如通过应急演练,应对突发问题,如程序文件丢失、硬件故障、与总部人员联动、演练临时维修线路的使用等问题;通过加强物理层面的防护,加强出入管理,防止外部人员带未知设备进人工控室等.未来工业控制网络的安全形式只会更加严峻,需要深度优化工控网的防护标准,提高应对信息安全风险的能力,从根本上弥补安全生产中的短板,
        参考文献:
        [1]朱梦影,徐蕾.基于攻击图与报警相似性的混合报警关联模型[J].计算机应用,2014,34(1):108-112.
        [2]刘威歆,郑康锋,武斌,等.基于攻击图的多源告警关联分析方法[J].通信学报,2015,36(9):135-144.
投稿 打印文章 转寄朋友 留言编辑 收藏文章
  期刊推荐
1/1
转寄给朋友
朋友的昵称:
朋友的邮件地址:
您的昵称:
您的邮件地址:
邮件主题:
推荐理由:

写信给编辑
标题:
内容:
您的昵称:
您的邮件地址: