調度數據網安全風險檢測技術研究及應用

付鵬

摘 要：從電力調度數據網的安全風險出發，深入剖析目前國網宣城市供電公司調度數據網的安全威脅，根據威脅數據源制定安全威脅指標，并提出相應的安全防護對策及解決方案。以調度數據網安全威脅指標為依據，對調度數據網邊界設備、網絡設備及遠動設備的基本信息、運行信息及安全審計信息進行實時搜集，形成調度數據網安全的全面監測，并支持可視化展示。

關鍵詞：調度數據網；風險分析；在線檢測；事件可視

中圖分類號：TN919.2 文獻標識碼：A 文章編號：1671-2064（2017）23-0130-02

調度數據網是電網調度自動化、管理現代化的基礎，是確保電網安全、穩定、經濟運行的重要手段，是電網系統的重要基礎設施。為了進一步深化調度數據網安全工作，需對調度數據網安全風險進一步分析、并形成完整的安全風險臺帳、設備臺帳。

隨著各種信息技術的應用，加大了網絡環境的復雜性，技術成分亦更加復雜，給入侵檢測、安全審計、流量檢測帶來諸多難題。目前，宣城電網調度數據網的信息安全系統還未完全進行整合，非整體的運作方式勢必會導致不完整的安全策略，在技術、架構和管理上留下多個漏洞，而這些漏洞只能靠投入昂貴的安全設備和不斷地增加運維人員來彌補。因此，需要展開調度數據網安全風險檢測技術研究及應用，結合傳統安全技術和主動防御技術的研究與應用，實現對宣城電網調度數據網的整體安全進行維護、監控和管理。

1 現有調度數據網安全隱患分析

調度數據網承擔電力調度工作數據傳輸任務，然而其建設周期長，新老設備共存、設備種類繁多，廠站建設、運行、改造、維護過程經常會發生設備變動、新增設備等情況，這些情況導致調度數據網工控設備臺帳準確度較低，設備所開放的網絡服務更是缺少臺賬，而且存在一些施工不規范等情況導致交換機當做透明設備使用。缺乏入侵檢測、行為審計、流量監測及鏈路管理等安全防護手段。調度數據網設備管理區是設備安全管理最重要的環節，也是目前比較薄弱的環節。因此，做好電力調度數據網的安全技術管理任重而道遠。

目前，國網宣城供電公司調度數據網主要存在以下安全隱患：

（1）廠站工控設備臺帳信息不完整，設備入網未實現100%登記在冊或發生變化時未能及時更新臺帳信息。（2）廠站內部因建設、技改等過程施工規范性不足，存在直接使用Hub和將交換機作為透明設備使用等現象；（3）廠站IP地址僅僅按照省調規劃分配地址使用，未能明確到設備與IP之間的具體映射關系，更未明確其設備所開放的網絡服務；（4）網絡設備運行臺賬和網絡地址資源通常獨立維護，沒有實現二者的聯動管理，導致設備臺賬與網絡地址資源對應信息難以維護，數據準確性較差，設備與網絡資源之間的對應關系混亂，直接造成維護的網絡數據可信度差；（5）缺少對調度數據網安全風險在線檢測和工控設備摸排、普查工具。

2 安全技術在調度數據網中的應用

調度數據網關注的網絡安全課題有：保障調度數據網每臺網絡設備運行穩定；監測核心鏈路流量傳輸情況；預防每臺網絡設備故障和網絡安全事件的發生；快速應對網絡設備故障或者網絡安全事件的發生；利用收集到的數據快速定位到導致網絡設備故障和網絡風險的源頭；加強調度數據網入侵防御體系等。

目前，調度數據網主要應用安全防護方案有物理隔離、數據加密和驗證、防火墻、訪問控制、信息過濾、數據備份、入侵檢測、查殺木馬和病毒等。在調度數據網中主要使用防火墻技術和縱向加密的技術來實現安全防護：一般在調度中心端和廠站端實行縱向加密認證措施，對網絡實現端對端的保護；在實時業務和路由器之間也進行縱向加密認證措施，在非實時業務和路由器之間可以選擇硬件防火墻或縱向加密認證措施。通過對傳輸數據進行加密認證，防止數據在網絡的傳輸過程中出現破壞和篡改的現象，保證數據的安全性。網絡安全的應用包括網絡設備安全、虛擬局域網的劃分、安全訪問控制、惡意代碼防范、加固審計策略、專用安全設備網絡服務整合，等等。

3 調度數據網安全風險檢測技術研究及應用

調度數據網安全風險檢測技術研究及應用，從電力二次系統安全防護角度出發，結合當前先進的安全理念與實用技術，針對電力調度數據網中存在的安全隱患進行分析，并制定相應的安全防護對策及解決方案，實現電力調度數據網安全技術的升級與優化。

3.1 解決方案

調度數據網安全風險檢測技術研究及應用，通過對電力調度數據網中存在的主要安全威脅和各種威脅的在線檢測技術的研究，以自動化專業拓撲為核心，實現全網段設備拓撲圖的集中管理，將涉及到調控業務的安全I/II/III區網絡設備按照不同分區、分層直觀繪制，使不同分區的自動化系統網絡拓撲在一個平臺集中展現和維護。并根據威脅數據源制定安全威脅指標，以調度數據網安全威脅指標為依據，對數據網邊界設備、網絡設備及遠動設備的基本信息、運行信息及安全審計信息進行實時搜集，形成調度數據網安全的全面監測，支持可視化展示。

3.1.1 調度數據網安全風險點分析

網絡威脅來源于設備安全隱患、環境威脅和人為威脅，項目主要研究網絡上可以檢測出來的設備安全隱患及環境威脅，如設備漏洞、鏈路故障等，這些威脅發生頻率較高，對網絡安全運行的危害大小不一。威脅事件發生的可能性受多種指標的影響，把威脅發生可能性的指標劃分為環境信息、人為信息和狀態信息三種，并研究各類威脅的各項具體指標。

3.1.2 調度數據網網絡拓撲、基礎臺賬管理

從全局的角度對電力調度數據網的網絡設備進行統一管理，實現調控自動化系統依賴的基礎數據實現集中管理功能，主要包括設備臺帳管理、網絡拓撲管理、IP資源管理及屏柜管理、系統管理等。

3.1.3 調度數據網安全風險在線檢測

通過調度數據網安全風險在線檢測，實現對調度數據網網絡設備狀態的監測，包括調度數據網邊界設備、網絡設備及終端設備的基本信息、運行信息及安全審計信息進行實時搜集、檢測，再通過關聯分析技術實現風險可視化展示，方便運維管理人員能夠迅速發現、定位和解決安全隱患，有效應對安全事件的發生。endprint

3.2 技術措施

調度數據網設備在運行過程中會產生大量的事件信息，事件信息包括豐富的運行狀態、用戶操作、潛在安全告警等數據。通過調度數據網安全風險檢測技術研究及應用，以實現日志的標準化采集、存儲為基礎目標，并實現基于關鍵字的網絡行為有效分析，進而實現調度數據網網絡安全事件在線監測，幫助網絡運維人員及時掌握整個網絡運行狀態、潛在的安全風險。

3.2.1 基于拓撲關系的臺帳管理

建立調度數據網網絡拓撲、基礎臺帳管理模型，按照多分區、多平面繪制基于拓撲結構的臺帳管理?？蓮腛MS、PMS等其它系統導入設備臺賬信息，維護整個調度數據網網絡環境運行的網絡設備日志采集方式。

3.2.2 采用Syslog協議作為日志采集的主要采集協議

Syslog是一種工業標準的協議，可用來記錄設備的日志。在路由器、交換機、服務器等網絡設備中，syslog記錄著系統的任何事件，管理者可以通過查看系統記錄，隨時掌握系統狀況。

Syslog使用UDP作為傳輸協議，通過目的端口514（也可以是其他定義的端口號），將所有安全設備的日志管理配置發送到安裝了Syslog軟件系統的日志服務器，Syslog日志服務器自動接收日志數據并寫到日志文件中。

3.2.3 采用syslogd作為日志后臺采集及存儲服務

基于標準的數據格式實現各類廠家不同類型設備日志的自動化采集，同時能夠以支撐關系查詢的日志存儲方式支持調度數據網網絡設備日志的集中存儲。

根據syslog協議，開發syslog后臺接收服務程序syslogd。syslogd日志采集服務在syslog協議指定的UDP端口514進行監聽。syslogd中采用MySQL數據庫存儲日志，便于后期的日志數據分析。

采用syslogd作為日志數據采集的方式，實現原始日志信息的采集，分別以日志文件和日志數據庫為中心進行的日志數據分析采集有用的日志信息。保證了采集工作各項事務能獨立完成：syslog服務器采集原始日志數據不受后面程序分析采集、數據庫讀寫等的影響，后面的分析采集部分不受syslog服務器采集工作影響而減慢分析采集的速度。

3.2.4 基于正則表達關鍵字的安全策略處理實現安全風險分析

針對調度數據網網絡設備集合定義不同的安全觸發策略集合，實現設備日志分析的等級管理；根據預先設定的分析策略和安全事件檢測規則庫自動進行日志分析。并支持根據時間段、設備、日志等級及關鍵字等日志進行過濾查詢及日志導出。

不同廠家、不同類型的交換機針對同一安全事件具有不同的表達，同時安全事件和時間、設備IP、端口等信息存在一定的關聯，是一個動態的數據，為了更好的匹配出存在風險的行日志，基于正則表達式對行日志進行過濾，避免基于單純的關鍵字匹配存在的局限性、同時安全策略可以有多個關鍵字形成的邏輯關系組成一套完整的過濾策略，邏輯關系支持包含、排斥兩種。

4 結語

調度數據網安全風險檢測技術研究及應用，運用多元化的技術手段（結合傳統安全技術和主動防御技術的研究與應用），對電力調度數據網的網絡設備及網絡服務進行整體安全進行維護、監控和管理，以減少調度數據網在復雜的網絡環境的各種安全隱患，保障電力調度數據網的平穩、安全運行，提高調離調度數據網的安全性。

參考文獻

[1]申芳，劉晴.貴州電力調度數據網應用特性測試技術研究[J].電力系統通信，2011.

[2]肖振華，鐘志萍，徐星.電力調度數據網安全技術分析[J].信息技術，2015.

[3]磨正坤.電網調度數據網信息安全分析[J].廣西電力，2012.endprint