電力監控系統終端行為的安全在線管控應用

高峰 王治華 金明輝

摘? ?要：就終端的事前接入和事中配置行為進行在線管控。提出了準入認證、合規校驗方法，以提升現有網絡空間對行為安全的管控能力，并結合電力監控系統的特點介紹實際應用效果。

關鍵詞：行為安全;接入認證;配置合規;在線管控

中圖分類號：TM711? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A

Application of Online Management and Control for? Terminal

Behavior Safety in Electric Power Supervisory Control System

GAO? Feng WANG? Zhi-hua，JIN Ming-hui

（State Grid Shanghai Municipal Electric Power Company，Shanghai 200122，China）

Abstract：As the online controlling of the terminals' pre-access and configuration behaviors，this paper proposes access authentication and compliance verification methods to improve the existing network space's ability to control behavioral security.Combined with the characteristics of electric power supervisory control system，the practical application results are introduced.

Key words：behavioral security;access authentication;configuration compliance;online management and control

隨著國家電網公司的“S G l86”工程上線以來，各級電網企業的網絡信息化建設穩步推進。作為承載電網業務的基石之一，網絡對電力調度業務的重要性不斷提升，隨之而來的是企數據安全威脅也不斷增加[1]。

網絡帶來巨大便利的同時，各環節中存在的潛在隱患和風險產生的危害不容小覷。當前的電力監控系統中，經過多年的建設，已在物理安全、邊界安全、本體安全等方面取得了較為顯著的成績，但是在終端的行為安全管控方面還有待進一步完善。由于可能存在操作無審計、終端行為無審計、網絡終端配置混亂等潛在安全隱患 ，所以電力系統終端行為安全問題目前已成為省市級電力公司普遍關注的問題 ，但由于電力設備終端種類繁多，數量巨大，如何針對電網調度設計安全的終端行為管控策略，提高整體電力調度網絡的防護能力和可控水平也是當前電網企業在信息化建設時的研究重點。

本文將闡述適于電力監控系統需求的終端行為安全管控方法及其實踐效果，實現終端以及與其相關的人員行為安全風險的預控在控，從而將網絡空間的安全防線前移，構筑更加安全的電力監控系統網絡空間。

1? ?電力監控系統終端安全管控現狀與隱患

在電力監控系統網絡中，常用的終端類型有兩大類：實際業務終端和網絡設備終端。實際業務終端指電力監控系統網絡中業務承載的基本單元，包含用戶的PC機、移動接入設備、小型機和服務器等;網絡設備終端則指的是電力監控系統網絡中業務的傳輸分發控制設備，如交換機、路由器、防火墻等。下面針對不同終端類型潛在的安全隱患進行詳述。

1.1? ?實際業務終端管理現狀

目前，在電力監控系統網絡中實際業務接入終端存在以下不可控的人員行為和管理薄弱點：終端跨網訪問互聯網，存在非法網絡混連風險;非法用戶隨意接入內部網絡，終端不能及時更新系統補丁，用戶私自安裝軟件、開啟危險服務;內部合法用戶濫用權限，空口令、弱口令泛濫等。針對上述問題，現有的管理手段匱乏，缺乏對合法終端濫用網絡資源的安全管理，無法防止惡意終端的蓄意破壞，需要通過技術手段將管理的要求程序化。同時，終端數量大、分布廣、管理困難、成本很高，無法及時掌握終端的更新和變化信息，缺乏行之有效的管理及緊急響應手段[2]。

1.2? ?網絡設備終端管理現狀

現有電力監控系統網絡中，網絡系統規模越來越大，資產分布愈加廣泛，但網絡設備配置合規檢查手段簡單，測評不夠全面，缺乏統一配置規范。在電力行業的整體合規監管和全網規范核查要求下顯得不盡人意[3]。

同時網絡設備管理復雜，規則條目不夠完善，通過手工核實耗費大量時間和人力，無法做到持續性合規。

2? ?終端行為安全管控系統

終端行為安全管控系統整體采用C/S架構設計模式，極大的簡化網絡系統的操作與維護，針對不同終端類型設計了不同的管控模塊，每個管控模塊由多個邏輯功能組件構成，各個模塊間相互獨立的同時也能產生聯動。系統依據電力監控系統網絡安全規范規定，采用分布式架構部署，降低了系統操作難度和維護成本。

邏輯架構組網圖如圖1所示[4]，其中實際業務終端、網絡設備終端有各自的管理模塊，各個模塊之間彼此聯動，主要在安全準入、配置合規校驗兩個維度進行整理管控。

針對終端安全準入控制，系統可以實現對不同接入業務終端賦予不同的角色和權限[5]，進而根據其對應的角色和權限進行行為管控和實時監控，保證業務終端有控制的入網，達到安全認證準入的目的。

針對配置合規在線校驗，系統可根據電力監控系統網絡的安全基線要求和國家相關發文規定，使用不同的合規規則，對網絡設備終端進行安全合規檢查，例如是否使用弱口令、空口令，是否使用不安全的登陸方式，是否開啟危險功能等，進一步降低網絡設備層面的潛在安全風險。

2.1? ?安全準入控制模塊設計

安全準入控制模塊的設計目的是為了進一步解決現有電力監控系統網絡中終端接入安全控制力度不足的問題。目前多數電力企業使用的終端身份認證機制較為簡易，易被破解，存在較大安全隱患[6]。因此，在使能本模塊功能后，未認證終端及認證失敗終端將會被拒絕接入網絡，同時電力監控系統網絡的管控人員可以對所有接入終端進行集中管控。用戶在成功接入系統之前要經過身份認證、安全檢查、動態授權三個階段，并在接入系統后受到實時監控。

在身份認證階段，當實際業務接入終端發起網絡接入請求時，需要進行口令驗證。業務終端輸入用戶名和口令，該口令使用高安全性加密算法進行加密后，通過電力監控系統網絡傳遞至終端準入控制模塊，由于管控模塊與終端之間使用共享密鑰認證交互消息[7]，用戶口令在網絡傳輸過程中均為密文形式，極大提高了網絡傳輸的安全性[8]。終端準入控制模塊收到終端網絡接入請求后，將會查詢用戶信息數據庫（該數據庫內預置用戶信息如用戶名、密碼、用戶角色、用戶權限、可訪問資源池等[9]。根據用戶名查詢到對應終端信息，使用相同加密算法對預存口令加密后進行驗證比對，驗證失敗則拒絕該終端接入，驗證成功則返回成功信息并通知終端進入第二階段即安全檢查階段[10]。

隨后終端發起安全檢查請求，服務端收到請求后，按照預設的終端安全規則下發給終端進行安全檢查。終端進行安全檢查后將檢查結果上報給認證端。

對于安全檢查不通過，即存在高風險項的終端，認證端會返回修復策略并拒絕下發資源權限;當安全檢查通過后，認證端將預置的用戶權限和角色下發給業務終端，并針對低風險項（不影響用戶認證成功的警告項）的修復策略和在線監控任務下發給終端，至此完成整套準入流程，如圖2所示。

簡化后的邏輯組網圖如圖3所示，主要由認證客戶端、安全聯動設備、認證策略服務器、第三方服務器等組件組成。

2.2? ?配置合規模塊設計

網絡設備是電力監控系統網絡業務運行的主要載體，對設備終端進行周期性配置合規檢查是保障監控生產網絡業務穩定運行的關鍵。在以往的網絡設備配置合規管控中，存在大量人為手工變更核查工作，既費時費力，也容易埋下眾多安全隱患，缺乏有效的風險預警[11]。

本配置合規模塊設計為一個通過采集網絡設備相關信息，使用配置合規算法分析的自動化系統[12]。

如圖4所示，為配置合規檢查模塊的完整閉環邏輯：

（1）模塊提前收集各個網絡設備的SNMP協議團體字信息、TELNET或SSH登陸用戶名密碼信息、登陸服務端口、權限分級信息等，預存到模塊對接的設備用戶信息數據庫中。

（2）通過上述收集信息，在安全合法的合規管控下，通過只讀方式讀取到設備相關的SNMP對應MIB節點信息、設備配置信息和相關命令回顯等，通過網絡協議報文回傳給模塊本身，并進行數據塊解析，通過內部定義正則表達式。在收集的信息中提取出我們所需的參數。

例如，過濾某交換機12端口即interface 12 的端口信息時，要求提取滿足interface 空格數字這樣格式的字符串中的這個數字，則可以定義正則表達式：interface （＼d+）。

（3）根據提前預置的設備安全管理基線，對回傳的信息進行配置合規檢查，若符合規則的判斷邏輯，則認為是合規;若不符合判斷邏輯，則認為設備配置違規，并生成相應的違規記錄告警。

（4）當設備終端運行配置變動時，觸發二次合規檢查，系統會自動采集設備變動后的配置信息進行合規檢查，預防電力監控系統網絡因配置變更產生不合規的潛在風險。

（5）配置合規模塊的預置安全基線規則，支持使用JavaScript和Python語言進行編寫。通過只讀命令采集設備回顯信息，使用相應的腳本語言構建邏輯判斷條件和函數，得出最終的判斷結果。配置合規模塊也支持使用正則表達式對回顯信息進行塊狀解析和定義類型參數，為后續的分支判斷提供有效支持。

（6）同時具備多種的風險控制功能，對于不成功的設備配置變更支持快速追溯復原。

針對上述第（3）點，下面通過簡單示例，著重描述數據塊與判定參數在模塊判定條件間的傳遞。

條件A：1）確定數據獲取方式，當前命令display current-configuration，含義為收集當前運行全部配置信息;2）塊解析打開;3）參數提取打開，添加判定參數p1、p2;4）滿足判定執行配置，下一條件為條件B。

條件B：1）確定數據獲取方式，使用條件A中的前一解析塊，即條件B會將條件A的3個數據塊作為輸入并依次遍歷，相當于條件B用不同的輸入數據執行3次;2）塊解析關閉，前一解析塊不會再被分塊，輸入的塊和輸出的塊保持一致;3）參數提取打開，設置參數p1、p3，此時p1將覆蓋前一條件的p1，即同名參數覆蓋;4）滿足判定執行配置，下一條件為條件C。

條件C：1）確定數據獲取方式，使用條件B中的前一解析塊，即條件C會將條件A的3個數據塊作為輸入并依次遍歷;2）塊解析打開，前一解析塊的每個塊又會被繼續分塊;3）參數提取打開設置參數p1、p2、p4，p1、p2覆蓋前一條件的p1、p2。

如圖5所示，每個條件，根據不同的判定參數得到的最終判定值即判定結果，如條件A 中，數據塊1中p1=1;條件B中數據塊2中p3=e。系統根據不同的判定結果進一步進行邏輯判定，如繼續執行/中斷/報警等。

除上述之外，配置合規模塊還具有良好的可擴展性，能根據電力監控系統的實際業務調整或最新規定來自定義安全合規的規則。自定義的規則應按照不同的設備廠商、型號和軟件版本進行劃分，規定自己的適配范圍，只能對適配范圍內的設備型號生效，達到合規檢查范圍控制的效果。配置合規模塊設計了典型變更控制流程，當運維人員提交了一個設備變更服務請求之后，變更核實人應在模塊系統上評估配置變更的風險，將可實施的變更任務指定分配給相關實施人員進行變更實施。運維人員在規定的變更窗口進行變更操作后，模塊將啟動應急回退準備措施，以防變更發生風險，變更完成后將再次進行配置合規檢查，并在控制流程上完成最終閉環。

以服務配置為例，當用戶使用網絡設備終端遠程管理服務進行設備管理時，應使用加密模式登錄，推薦SSH（數據加密）登錄，并關閉TELNET（數據非加密）協議登錄功能。電力監控系統涉及設備數量較大，部署范圍較廣，如果純粹靠人力進行逐次審核設備配置情況，工作量巨大，易產生疏漏。針對此場景部署終端行為管控后，配置合規模塊可自動收集設備配置信息，檢查是否開啟了SSH服務及其賬戶，同時設備是否關閉了TELNET協議登錄服務，當某些網絡設備終端配置異常，會產生合規告警并形成配置違規報告以幫助用戶審計設備配置情況，并可在線采取必要的控制措施，如：下線等。

3? ?應用效果實例

以某公司電力監控系統某網絡為例，說明對用戶調試終端管控的實際應用效果。從現有資源整合上，本方法考慮了整體資源的融合和利用，結合電力監控系統的基礎軟件環境要求進行操作系統和數據庫的適配，并基于現有的網絡安全管理平臺進行模塊嵌入，達到資源共享并有效利用。

在終端準入和管控方面，以某變電站現場工作調試為例，調試人員筆記本在未經授權接入到交換機中，會按照終端準入規則進行審計，該終端未經授權接入網絡，將立即將終端踢下線，并產生非法接入告警，通知管理員該未經授權終端的相關信息：IP、MAC、主機名、接入設備IP、接入設備端口、接入設備的實際部署位置和涉及審計規則等。如果用戶未經許可，個人使用未經授權終端多次嘗試，會被拉近黑名單，從而杜絕非法接入，防止出現網絡混連情況，實際應用效果顯著。如圖6（1）（2）為實際環境中測試演示圖。

網絡設備配置合規審計方面，如圖7（1）（2）所示。在實際應用中通過現場實際網絡情況梳理和具體規則分析，整理出的符合現場情況的合規規則，對合規檢測存在違規的網絡設備終端，進行記錄、告警，并整理出具配置合規報告書（支持不同格式下載），從設備合規告警數量、嚴重等級、具體策略規則等多方面反饋現場合規情況，配合用戶完善網絡設備配置，規避潛在風險。

綜上所述，電力終端安全行為管控方法從根本上解決了以前電力監控網內存在大量“不經認證仍聯入網絡的非法IP”的問題。通過流量審計獲取所有聯網IP，與各地址注冊的終端準入賬戶IP進行比較，對比結果不一致IP作為不達標業務考核項，并設立黑白名單機制（白名單放通設備管理IP，非智能終端設備_打印機等），周期性自動列出不經認證聯網的IP地址供考核參考。

在網絡設備終端方面，根據電力監控系統網絡的實際業務情況，梳理出業內幾大主流廠商的統一適配規則，定制相關配置模板，實行自動化配置合規安全檢查，解決了大量變電站設備由人工完成配置檢查修改，工作效率低下的問題，響應了電力行業等保測試和總部文件合規的要求，實現合規管理，配置管理以及變更管理的自動化和智能化。同時，也可根據實際運維經驗整理出合規規范以及最佳實踐配置策略，并定期輸出合規報表，幫助分析網絡配置變更情況以及網絡合規情況。

目前根據電力監控系統網絡實際情況，共整理配置合規模塊基線規則80條，當網絡設備配置發生變更（即產生變更告警），立即啟動配置合規任務進行合規檢查，更提升了網絡設備配置合規的安全性和風險預警能力。

綜上所述，終端安全行為管控方法的實際應用效果顯著，為電力監控各類終端管控提供了重要手段，提高了網絡整體的主動抵抗能力。但該方法在整體上還存在可完善空間，例如在信息平臺各級電力系統之間的聯動，信息的核實與上報匯總，針對這些方面還需要后續進一步的開發與完善。

4? ?結? ?論

針對電力監控系統網絡終端類型眾多、數量較大，分布較廣、管理困難的現狀，為進一步解決電力監控系統網絡所面臨的安全威脅和穩定隱患，提出終端安全管控的整體設計方案。將終端行為安全管控系統部署在用戶的電力監控系統網絡安全管理平臺，從終端安全準入、設備配置合規維度給出了電力監控系統網絡信息化、系統化、科學化的解決方案。該系統能夠實現智能電網大規模網絡及終端不同硬件、不同操作系統的分級分區部署、安全準入、流量監控、行為審計等需求，杜絕了內網外聯、仿冒終端等網絡安全隱患，能夠有效保障電力系統信息網絡的內網、外網及終端的正常運行與安全防御。該方案為電力監控系統網絡的終端安全管控加固提供了重要手段，提高了網絡終端的主動抵抗能力，同時能為后續其他省市的電力監控系統網絡安全建設提供寶貴經驗，對未來電力系統自動化、智能化發展有著重要意義。

參考文獻

[1]? ? 陳樹勇，宋書芳，李蘭欣. 智能電網技術綜述[J]. 電網技術，2009，33（8）：1—7.

[2]? ?JEAN-LUC B，YVES C，PATRICK P .Cybersecurity for modern distribution automation grids[J]. CIRED-Open Access Proceedings Journal，2017：1002—1005.

[3]? ?史簡，郭山清，謝立.統一網絡安全管理平臺的研究與實現

[J]. 計算機應用研究，2006，23（9）：92—95.

[4]? ? 王寧波，王先培.容侵技術在電力系統數據網絡安全中的應用[J]. 電力自動化備，2004，24（10）：35—38.

[5]? ? 李斌，薄志謙. 面向智能電網的保護控制系統[ J ] .電力系統自動，2019，33（20）：7—11.

[6]? ? 吳光斌，郭向勇. 校園網多層次網絡安全系統的設計和實現

[J]. 華中科技大學學報，2003，3l（10）：138—140.

[7]? ? 孫中偉，張榮剛. 智能配電網通信系統訪問控制研究[J]. 電力系統保護與控制，20l0，38（21）：118—12l.

[8]? ? LIM I H，HONG S，CHOI M S. Security protocols against cyber attacks in the distribution automation system[J].IEEE transactions，2009：448—455.

[9]? ? 林世溪，林小迪. 電力企業網絡信息安全防護體系的建立[J]. 華東電力，2010，38（5）：480—186.

[10]? 范寶鋒. 統一網絡安全管理平臺技術研究[D]. 成都：四川大學，2005.

[11]? 風琦，王震宇，李向東. 基于802.1X 的可信網絡連接技術[J]. 計算機工程，2009，35（5）：25—29.

[12]? 季欣榮，陳飛，李珺，等. 終端準入控制系統在電力調度中的應用[J]. 動化技術與應用，2018，37—1.