江萍
国网江西省电力有限公司南昌供电分公司 江西 南昌 330000
摘要:目前,能源行业的网络攻击事件日趋严峻,电力基础设施已成为“黑客”攻击的重点。同时,随着信息技术的发展与电力行业的信息化需求,信息技术已应用在电力系统的各个角落,电力系统的信息网络不断扩大且由封闭慢慢转向半封闭,由此导致网络安全风险增加。国家已出台相关政策并提出了一些技术要求,指出“应采取监测和记录网络运行状态及网络安全事件的技术措施”。为了实现对电力监控系统网络安全的实时监控,以及时发现、控制网络安全风险,同时及时找到风险的源头,本文对电力监控系统网络安全态势感知进行了探讨。
关键词:电力信息;安全技术;防护
电力信息网络中存在病毒。网络信息系统一旦出现病毒,就会使网络系统遭到恶意的访问,不仅能够引起重要信息的泄露,同时还会对整体电力系统安全造成影响。比如说变异式的木马病毒,能够对电力通信网络造成感染,进而阻止用户对系统的访问。当前变异的木马病毒,一旦入侵电力通信网络,一方面引发资金的浪费,另一方面还会由于恶意访问影响到信息资源的安全性。
恶意攻击现象出现。伴随电力通信网络的不断扩大,网络系统中就会存在较多的软件信息数据和用户个人信息保存在其中。当网络安全遭受到来自外界的攻击,不但能够对用户隐私信息造成泄露,同时还会造成合法用户不能够登陆和访问的问题。如此一来,就会进一步引发路由器的下线,同时影响到电力信息数据的安全共享功能。
窃取电力信息系统中的数据。当电力信息系统网络遭受到外力环境中的恶意访问,就会被恶意访问者窃取到用户隐私信息。网络数据的泄露,这其中大部分信息均属于机密信息,一旦发生大的泄露,就会对电力信息行业产生很大的影响。当泄露的信息数据不能够被恢复,就容易造成很大的负面效应,甚至是直接威胁到用户的安全。
1 电力监控系统现状分析
目前,变电站的网络安全风险主要通过等级保护测评和安全风险评估方式来辨识,系统的网络安全风险监视及管理主要依靠人工日常运维。由于非法网络、移动外设接入、人为非法操作、木马等病毒感染可导致电力监控系统网络出现关键文件变更等方面的问题,因此本文提出了电力监控系统网络安全态势感知装置,以对监控系统的多种行为进行监视,具体见表1。
表1 电力监控系统网络安全态势感知装置监视
.png)
2 电力监控系统网络安全态势感知装置的应用
通常,电力监控系统网络安全态势感知装置能采集厂站内流量类、日志类及状态类的各种数据,经综合处理分析及系统建模后,将系统的网络安全事件数据上传至主站平台,实现对现有电力监控系统4大网络安全威胁及6大系统脆弱性信息的综合分析、处置,达到全天候、全方位网络安全态势感知的目的。电力监控系统网络安全态势感知装置部署在各级调控中心及各级厂站电力监控系统局域网内,本文以某110kV变电站为例,分别在变电站站控层A/B网、控制区(安全区I)和生产管理区(安全区III)部署厂站安全监控终端,实现对该区域的网络安全数据采集及风险在线识别。
通过部署变电站电力监控系统网络安全监测终端,最终实现对变电站各电力监控系统网络安全的数据采集、范式化处理、数据建模和关联分析,及时发现各类网络风险及非法访问事件,如非法网络行为、人为非法操作、非法移动介质(如U盘、手机、无线上网卡等移动外设)接入电力监控服务器或工作站等。
(1)网络安全态势感知采集装置通过Agent、SNMP、SNMP trap、Syslog等技术,在I区获取纵向加密装置、横向防火墙、互联交换机、站控层、工作站交换机的信息采集。
(2)在横向防火墙使用NAT技术将I区采集装置IP映射成II区IP,然后通过Agent、SNMP、SNMP trap、Syslog等技术,实现II区的纵向加密装置、工作站的信息采集。
(3)网络安全态势感知采集装置具备日志分析及流量监测与分析功能,分别在站控层A/B网交换机(核心)、二次安防互联交换机进行日志信息、网络流量镜像配置,实现日志信息及设备流量信息的获取。
(4)在III区,网络安全监测厂站终端通过Agent、SNMP、SNMP trap、Syslog等技术获取III区交换机、服务器等设备的信息采集。
(5)在纵向防火墙装置使用NAT技术将I区采集装置IP映射成II区IP,网络安全态势感知采集装置采集到的数据将通过纵向防火墙上送II区主站平台服务器。
(6)网络安全态势感知采集装置在III区对综合数据网交换机、视频监控工作站、生产办公电脑等设备进行信息采集,并通过综合数据网上送III区主站平台服务器。
(7)采集装置通过ICMP、SNMP、镜像三种来源自动获取站内的资产信息,包括资产的IP地址、软件版本、内核信息等数据并形成拓扑结构,还可通过手工录入、主站录入来手动添加资产。
3 电力信息网络安全入侵反击技术
在电力信息网络受到外来攻击时,能够被监测系统及时监测到,因而我们就应当采取积极措施对外来攻击进行有力响应,将监测到的攻击行为进行及时处理,并将结果反馈给监测系统,以提高电力信息系统的防御能力。而在主动防御系统应用过程中,主要是通过几种技术的综合运用,协调发挥作用的。主动防御新技术在信息网络安全管理中,与传统的网络防御技术对比,主动防御技术呈现出一定的主动性。下面分析如下。
(1)入侵追踪技术。我们能够采用例如路由器日志技术、链路测试技术以及入口过滤技术等入侵追踪技术,进而确定攻击源的位置或附近位置。
(2)攻击吸收和转移技术。从传统的电路网络防御系统中分析发现,人们基本是利用切断电路连接,来达到阻止外来入侵行为的。这样一来虽然能够对入侵当时危害进行阻止,但是无法对攻击者的行为进行后续追踪,较难收集到有用信息,建立较为完善的数据库管理。基于此,攻击吸收以及转移技术,能够在极短的时间对攻击行为进行有效吸收,然后转移到诱骗系统当中。此种技术的应用不但可以不切断连接系统,同时还能够对主机起到有效的保护作用。
(3)取证技术。只要侵害发生就容易留下痕迹,法律就是保护公民合法权益的最有利的武器。同样道理,在网络系统当中,当发生不法入侵行为,我们就需要通过科学的技术手段,使入侵者留下攻击的证据。通常情况下对网络攻击行为进行完整记录和还原,通过法律武器保护自己,同时也给外来侵入者以震慑力。
(4)主动反击技术。当发生战争,有主动进攻,相应就会有反击行为产生,尤其对于那些曾经进攻过的,我们应实施主动反击战术。在计算机网络中,反击行为库主要是针对进攻行为制定出的反击行为。因为它是一种主动行为,因此有较大的风险性,这主要是建立在入侵者的位置较为准确的基础上。而位置准确,又依赖于上面的所谈到的反击行为库系统,由此可以看出,主动防御新技术的实际应用是环环相扣的。
4结语
网络安全态势感知装置是基于工控安全领域多年的研究积累和成果,从强化工控终端设备自身免疫能力、增强通信网络协议安全性、提升工控设备自身对安全威胁的感知能力等方面入手,通过采集系统内各类设备的安全信息,对整个系统内各节点的数据信息进行分步骤采集和综合分析处理,通过处理结果对风险进行防控。该装置还能实现对非法网络行为、人为非法操作、非法移动介质等接入的行为进行及时阻断并隔离,确保电力监控系统的安全稳定运行。
参考文献
[1]郭杰华.大型水电站电力监控系统网络安全态势感知系统应用与研究用[J].科技创新与应用,2019(35):169-170.