边海文
国网青海省电力公司信息通信公司海西运维分部 青海省 格尔木市 816000
摘要:随着电力行业及信息技术的不断发展,电力企业逐渐加大了信息化建设,建立了电力信息系统。在整个电力信息系统中,数据安全问题是十分重要的,提高电力系统信息的安全性有利于保证整个电力系统运行的安全性和稳定性。
关键词:信息技术;数据安全
1电力数据通信网的特点
(1)网络规模大而复杂。电力数据通信网可分为骨干网和本地网,骨干网又分为一级骨干网和省级骨干网。其中,一级骨干网覆盖全国所有省会城市及直辖市,省级骨干网覆盖省内各调度机构、变电站、电厂、基层单位以及独立通信站。本地网覆盖某个單位或某个数据中心或某个办公室。本地网接入到骨干网中实现整个电力系统内数据共享及业务访问。电力数据网的设备类型多种多样,既有国外的CISCO、Juniper等设备,又有国内的华为、华三和中兴等设备,且同厂家的设备类型也各不相同。电力数据网使用的路由协议不但包括OSPF、ISIS、BGP和静态路由等,还运用MPLSVPN、隧道技术和IPSEC等。每个省级骨干网的设备多达数百台,全国二十多个省/直辖市的设备总数多达数千台。
(2)承载业务多而重要。按照电力二次系统安全防护规定中业务系统划分原则,电力数据通信网承载除I、II区以外的管理信息大区业务,还与调度数据网物理隔离,承载企业信息网、通信专网(视频、语音)等数据业务。其中,企业信息网包含企业办公OA及各个业务部门使用的应用系统,涉及到日常工作的方方面面,一旦出现问题,将会影响企业的正常生产和经营;电视电话会议系统作为公司提高工作效率的重要手段,如果网络不能正常运行,将会影响各单位之间的沟通交流,影响工作进度;软交换电话系统的网络发生故障,电话无法与外界联系,极大地影响调度生产和日常办公。
(3)管理难度大而烦琐。电力数据通信网中一级骨干网以及每个省级骨干网的运维单位均不同,每个本地网的运维单位也不同,每一个人的日常行为都有可能对电力数据网带来不安全的因素。如办公人员误将一根网线2端同时接入1台本地网交换机导致形成二层环路引发网络瘫痪,网络设备数据配置错误导致网络大面积中断等。变电站及部分基层单位的本地网络规模较小,运维人员少,运维能力较差,存在较大的安全隐患。
2电力通信网安全现状
(1)针对电力通信网运行过程中暴露出来的具体技术问题,主要采用相应的技术手段和管理手段进行规避,以保障通信网的安全可靠运行。[1]这种打补丁式的方式是目前应对各类新问题的无奈之举,处理过程相对被动,而且成本较高。 (2)采用通信技术中较为成熟有效的冗余保护技术手段提高电力通信网的安全防护性能。通过预留信息承载裕量,以应对各类突发极端情况。这种方式虽然会增大设备的初投资成本,但可以有效降低运行过程中的安全风险。(3)随着电力通信网开放度的逐渐增大,相关安全隐患已日益突出。但目前电网企业在通信系统的构建中,针对这部分的安全防护架构并不明确,重视程度也有待提升。(4)相对于电网运行过程发生的各类具体设备故障,电力通信网络故障相对模糊。部分管理者在处理电力通信网络安全故障时,仍以打补丁式的方式为主,而缺乏系统的安全防护设计,使得电力通信网整体的安全防护能力偏弱。
3电力数据通信网边界防护技术方案
3.1电厂边界防护
电厂需要部署基础网络安全防护设备,以最快速有效的形式抵御绝大部分安全风险,如防火墙、入侵检测、入侵防御设备。
随着对安全需求的日益提高,在路由器、交换机等网络设备中也开始集成安全功能模块,对网络安全攻击进行直接防范。
3.1.1防火墙+入侵检测系统(IDS)
传统防火墙的工作原理之一是基于包过滤技术,通过访问控制策略(ACL),使得数据流只有经过ACL的过滤才能通过,从而禁止未经允许的IP、端口的流量通过。但传统防火墙不具备应用层识别能力,对于病毒、木马等攻击类型无能为力。对于这些层面的安全防护,需增加入侵检测系统(IDS)等安全防护设备实现。IDS在不影响网络性能的前提下对网络进行监听,快速检测网络攻击行为。IDS的部署模式一般基于旁路部署,通过将所监测设备的其他二层端口的数据镜像到IDS设备,为IDS提供检测数据源,及时发现网络攻击行为。IDS只具备攻击的发现能力,不具备主动防护能力,单纯使用IDS设备,发生攻击事件时,需人工干预进行防护。因此一般情况下,IDS与防火墙联动部署,当IDS检测到网络攻击时,快速报告入侵行为,并通过指令形式通知防火墙迅速启用防护策略,阻止攻击行为的进一步发生。
3.1.2入侵防御系统
传统防火墙不具备应用层攻击防护能力,IDS不具备攻击的主动防护能力,对于攻击的发生,需要另外的手段进行干涉,进而出现了入侵防御系统(IPS),IPS可以达到既能发现攻击,又能主动防护,能对常规流量中的恶意流量进行检测,预先对具有攻击性的流量自动拦截,及时中断网络中不正常行为数据。IPS一般采用串接的部署方式,因此对于设备的性能要求较高,如果设备性能不高,将造成网络链路的瓶颈,降低数据传送效率;同时,对于设备发现攻击的准确性要求高,需实现精确阻断,如发生误报,将造成正常业务被阻断的情况。IPS主要串入电厂侧的路由器与交换机之间,业务终端接入交换机,该部署方式能够及时阻断有害业务流。下一代防火墙还集成了入侵检测、入侵防御、URL过滤、流量探针等功能;对于可疑未知威胁及APT等攻击,将可疑特征数据送至态势感知系统进行分析,进而承担更多的防护功能。
3.2主站部署大数据态势感知应对未知威胁
随着网络安全攻击手段的不断发展,给传统的网络安全防护体系带来挑战,网络安全防护对未知威胁的防御需求紧迫,对整体防御能力提出了更高要求。随着网络的互相融合,可攻击面迅速扩大、攻击链条变长、网络边界变得模糊。大数据高级分析技术、网络态势感知技术的出现,满足了新的网络安全防护需求。大数据态势感知的基础是大数据的采集,数据采集的重要来源之一是通过流量探针,比较典型的是在骨干层、汇聚层、接入层固网的各层部署流量探针。1)部署专门流量探针硬件设备。可以采用串入到关键链路进行分光链路流量或旁路部署全镜像流量探针,进行数据的高速稳定捕获,数据解析后,元数据上传至大数据平台进行分析,实现威胁分析、流量监控、挖掘检索等,并保存全量数据用于后续取证。2)在网络安全设备(如防火墙)中集成流量探针,实现检测与防护的联动。该技术方案可以利用安全设备中集成的流量探针,通过镜像或分光链路流量形式,提取网络流量中的元数据,传送给态势感知系统进行安全分析。
结束语:
随着能源互联网的快速发展和深入推进,通信系统在能源系统,尤其是电力系统中发挥着越来越重要的作用。通信系统的运行性能,尤其是其安全性能,对电力系统存在重大影响。对于电网企业,通信系统的安全保障是企业安全生产工作的核心内容之一。由于通信系统的特殊性,相关安全问题往往会对电网产生较大范围的影响,因此,电网企业每年在通信网络的安全防护方面投入了大量人力、资金和设备等。而且,随着电网通信技术的不断发展和更新,新的安全问题也不断凸显;能源互联网的深入推进,电网通信系统的开放性也逐渐增大。
参考文献
[1]杨国泰,王宇飞,罗剑波,等.电力CPS信息网络脆弱性及其评估方法[J].中国电力,2018,51(1):83-89.
[2]谷良,孟亚宁.电力数据通信网网络侧边缘设备故障分析与处理[J].山西电力,2017(4):57-59.
[3]应欢,刘松华,韩丽芳,等.电力工业控制系统安全技术综述[J].电力信息与通信技术,2018,16(3):56-63.
[4]郭威.电力系统信息网络安全防护及措施分析[J].数码设计,2018,7(01):136-137.