摘要:网络安全甚至被当作不正当竞争的手段,同时亦成为一些黑客蓄意破坏、扰乱社会正常秩序的入口。2017年,《中华人民共和国网络安全法》颁布,运用法律手段对影响网络安全的行为进行约束,由此可见,网络安全亟需治理。全球网络安全的攻击与防护经历着此消彼长、此起彼伏的严峻形势。
关键词:电力数据;通信网;特点;安全分析;解决方案
引言
随着电力信息网络日益发达和完善,但电力信息网络安全问题也引起了社会的广泛关注,电力信息网络安全直接关系到电力企业生产、经营与管理所取得的经济效益。因此,《电力数据通信网安全分析及解决方案》这一课题具有其重要的研究意义。
1电力网络安全形势
电力的安全生产运行关系着国计民生,电力信息化推广普及、智能电网不断发展,业务呈现多样化、安全保障要求更高、安全管控挑战更大。乌克兰电网遭遇黑客攻击造成大面积停电事件,给电网的安全运营敲响警钟,从乌克兰停电事件看出,计算机终端管理不严、网络隔离措施不严、人员安全防护意识不严等多项管理和技术上的漏洞,都是系统遭到恶意破坏的主要原因。2019年,爆发了震惊世界的委内瑞拉停电事件,据报道可能因遭受了“电磁与网络攻击”,持续一周的全国大停电把国家带到了崩溃的边缘。从他国停电事件看出,攻击者熟悉网络结构和系统,攻击势力对于电力生产控制系统量身定制病毒,病毒扩散和破坏途径隐蔽,采用的攻击技术先进。
2当前电力数据通信网的主要特点
2.1结构庞大而且复杂
一般而言,我们可以把电力数据通信网分为“骨干网”和“本地网”两个部分,而我们又可以把“骨干网”再次细化为“一级骨干网”和“省级骨干网”。一级骨干网遍布全国所有主要城市和直辖市,所以其重要性显而易见;而省级骨干网则主要覆盖的区域是省内的调度机构、变电站、电厂、基层单位等。而本地网遍布的区域要小的多,主要是针对某个单位,甚至是某个办公室。虽然本地网涉及到的范围小,但是却可以接到骨干网,从而对整个电力系统内的数据资源进行访问。
2.2业务量多而且重要
电力数据通信网承载的业务量非常多,遍布全国各地。可以说,如果我们的生活离开电力,那么我们的生活将会变得异常混乱。电力数据通信网是保证电力节点相互之间进行交流的保证。尤其是随着各种家用电器的横空出世,我国电力企业需要完成的业务量也越来越多,同时需要建立的发电设备、电力传输设备、电力数据通信网等基础设施也越来越多。就以电力企业常见的电视电话会议系统为例,如果电力数据通信网出现问题,那么电力企业各单位间将不能正常交流,影响工作的进度和调度生产,给企业造成经济损失。
2.3管理工作难度大
应用电力数据通信网的环节非常多,而任何一个环节出现问题都会给电力企业正常生产带来不利影响,所以管理好电力数据通信网非常重要。但是实际上,在开展相关的管理工作过程中我们可以发现,管理工作难度非常大。因为每个本地网的运维单位不同,那么不同的人在处理工作的过程中就可能会给电力数据网带来一些不稳定的因素。例如,某个员工将一根网线二端同时接到一台本地网数据交换机,就可能产生严重的二层环路问题使得网络系统瘫痪;而将网络设备数据配置错误也会使网络系统出现大面积的中断等。这些人为因素都难以避免,因为很难从细节上对这些问题做出规定,所以电力数据通信网管理难度非常大。
3电力数据通信网边界防护技术方案
3.1电厂边界防护
电厂需要部署基础网络安全防护设备,以最快速有效的形式抵御绝大部分安全风险,如防火墙、入侵检测、入侵防御设备。随着对安全需求的日益提高,在路由器、交换机等网络设备中也开始集成安全功能模块,对网络安全攻击进行直接防范。
3.1.1防火墙+入侵检测系统(IDS)
传统防火墙的工作原理之一是基于包过滤技术,通过访问控制策略(ACL),使得数据流只有经过ACL的过滤才能通过,从而禁止未经允许的IP、端口的流量通过。但传统防火墙不具备应用层识别能力,对于病毒、木马等攻击类型无能为力。对于这些层面的安全防护,需增加入侵检测系统(IDS)等安全防护设备实现。IDS在不影响网络性能的前提下对网络进行监听,快速检测网络攻击行为。IDS的部署模式一般基于旁路部署,通过将所监测设备的其他二层端口的数据镜像到IDS设备,为IDS提供检测数据源,及时发现网络攻击行为。IDS只具备攻击的发现能力,不具备主动防护能力,单纯使用IDS设备,发生攻击事件时,需人工干预进行防护。因此一般情况下,IDS与防火墙联动部署,当IDS检测到网络攻击时,快速报告入侵行为,并通过指令形式通知防火墙迅速启用防护策略,阻止攻击行为的进一步发生。
3.1.2入侵防御系统
传统防火墙不具备应用层攻击防护能力,IDS不具备攻击的主动防护能力,对于攻击的发生,需要另外的手段进行干涉,进而出现了入侵防御系统(IPS),IPS可以达到既能发现攻击,又能主动防护,能对常规流量中的恶意流量进行检测,预先对具有攻击性的流量自动拦截,及时中断网络中不正常行为数据。IPS一般采用串接的部署方式,因此对于设备的性能要求较高,如果设备性能不高,将造成网络链路的瓶颈,降低数据传送效率;同时,对于设备发现攻击的准确性要求高,需实现精确阻断,如发生误报,将造成正常业务被阻断的情况。IPS主要串入电厂侧的路由器与交换机之间,业务终端接入交换机,该部署方式能够及时阻断有害业务流。下一代防火墙还集成了入侵检测、入侵防御、URL过滤、流量探针等功能;对于可疑未知威胁及APT等攻击,将可疑特征数据送至态势感知系统进行分析,进而承担更多的防护功能。
3.2主站部署大数据态势感知应对未知威胁
随着网络安全攻击手段的不断发展,给传统的网络安全防护体系带来挑战,网络安全防护对未知威胁的防御需求紧迫,对整体防御能力提出了更高要求。随着网络的互相融合,可攻击面迅速扩大、攻击链条变长、网络边界变得模糊。大数据高级分析技术、网络态势感知技术的出现,满足了新的网络安全防护需求。大数据态势感知的基础是大数据的采集,数据采集的重要来源之一是通过流量探针,比较典型的是在骨干层、汇聚层、接入层固网的各层部署流量探针。1)部署专门流量探针硬件设备。可以采用串入到关键链路进行分光链路流量或旁路部署全镜像流量探针,进行数据的高速稳定捕获,数据解析后,元数据上传至大数据平台进行分析,实现威胁分析、流量监控、挖掘检索等,并保存全量数据用于后续取证。2)在网络安全设备(如防火墙)中集成流量探针,实现检测与防护的联动。该技术方案可以利用安全设备中集成的流量探针,通过镜像或分光链路流量形式,提取网络流量中的元数据,传送给态势感知系统进行安全分析。
结语
电力数据通信网承载着电力企业管理、办公、会议系统等多类业务,一旦发生异常,将影响公司经营甚至社会用户的正常生活。因此,探究电力数据通信网安全分析及解决方案具有其十分重要的价值意义。
参考文献
[1]杨国泰,王宇飞,罗剑波,等.电力CPS信息网络脆弱性及其评估方法[J].中国电力,2018,51(1):83-89.
[2]谷良,孟亚宁.电力数据通信网网络侧边缘设备故障分析与处理[J].山西电力,2017(4):57-59.
[3]应欢,刘松华,韩丽芳,等.电力工业控制系统安全技术综述[J].电力信息与通信技术,2018,16(3):56-63.