電網信息安全設備聯動關鍵技術

文/劉圣龍 王秋明 李祉岐 楊陽 尹琴

在信息時代，傳統電力行業借助信息化紅利進行了轉型升級，在一定程度上提高了電網信息化水平。但是由于信息技術自身存在安全問題，再加上社會信息化帶來的安全風險，導致現階段電網信息安全形勢異常嚴峻。這種情況下，樹立敵情意識，加強電網信息安全設備聯動關鍵技術的應用，就成為電力行業人員面臨的重要任務。

1 電網信息安全威脅

在電網信息系統運行過程中，存在違規外聯、計算機病毒、計算機木馬、口令攻擊、郵件攻擊、域名系統攻擊等多種安全威脅。同時其在對外網絡、辦公外設、網絡接入、移動儲存、無線設備等方面也存在較多風險，如2015年烏克蘭電力局遭受嚴重網絡接入攻擊，導致局部區域出現突發停電事故，對電網公司整體信息安全建設提出了較大的挑戰。

2 電網信息安全設備應用現狀

現階段，我國電網公司已構建了外部互聯網與信息外網、信息外網與信息內網、管理信息大區與生產控制大區三個層次的安全信息防護體系。也設置了邏輯強隔離裝置、防火墻等多種類型信息安全防護設備。但是由于現階段電網企業中外部互聯網與信息外網、信息外網與信息內網、管理信息大區與生產控制大區三個層次的防護體系間缺乏信息共享機制，完全獨立運行。導致其只有在出現安全風險之后才會開啟防御機制，缺乏防御主動性。整體防御效果不佳，對電網信息安全帶來了較大的威脅。

3 電網信息安全設備聯動關鍵技術的應用

3.1 搭建電網信息安全防護設備聯動模型

從理論層面上進行分析，電網信息安全防護設備聯動模型主要是利用組合的方式，將防火墻技術與IDS（入侵檢測系統）等不同技術進行整合，其可以同步提高防火墻自身性能、功能、網絡安全防御性能。而由于實際電網安全防護體系運行過程中，除外部互聯網與信息外網防線采用通用防火墻以外，信息外網與信息內網、管理信息大區與生產控制大區均為電力企業專用安全防護設備。因此，為實現信息外網與信息內網、管理信息大區與生產控制大區、外部互聯網與信息外網間在線聯動，可以通用防火墻、電力專用安全防護設備在線聯動為要點，設置聯動系統模型。

如圖1所示，在電網信息安全防護設備聯動模型運行過程中，首先需要進行外網入侵、計算機病毒、計算機木馬等安全事件信息收集，并對事先收集的事件進行異常風險監測。在發生入侵、或者安全異常事件后，在模型內會自動生成“異常與告警”模型。隨后將異常與告警信息發送給聯動決策模塊。聯動決策模塊可以從電網信息安全合規庫內搜集相關信息，判定是否需要聯動。若需要聯動，則可以結合連接映射表生成具體的聯動規則。最終輸出至系統終端，執行聯動規則。同時為保證電網信息安全防護設備聯動系統在線運行穩定性，可采用層次化設計的方式，進行適配層（OPSEC適配器、TOPSEC適配器、SNMP適配器）、邏輯處理層（關聯分析、規則生成、聯動決策、事件采集、安全通信）、管理展示層（告警展示、配置管理、設備管理、用戶管理）架構設置。通過OPSEC接口、TOPSEC接口、SNMP接口的合理設置，可以為主流防火墻聯動協議的運行提供支撐。

3.2 設置電網信息安全防護設備聯動協議

現階段電網信息安全防護設備聯動主要是通過開放聯動接口的形式，在發現侵入或攻擊威脅時，經過防火墻開放的聯動接口，將防火墻與基線配置核查平臺、電網信息安全合規庫進行有效關聯。常用的防火墻聯動協議除SNMP以外，還包括OPSEC、TOPSEC。其中SNMP又可稱之為Simple Network Management Protocol，其主要通過標準網絡管理協議，利用MIB庫，對防火墻進行標準化處理；OPSEC又可稱之為Open Platform for Security，其主要以Check Point防火墻為核心，在防火墻上設置多個開放接口，為不同類型安全防護設備間信息交互提供充足支持；TOPSEC主要是以不同廠商提供的電網信息安全防護設備協同工作為目標。以網絡衛士系列防護墻為中心，經PKI/CA（公鑰基礎設施/認證中心）線路，實現防火墻與不同類型電網信息安全防護設備的集成。

在上述聯動協議應用的基礎上，為了達到基線配置核查平臺、電網信息安全合規庫與主流防火墻聯動，可利用適配層“注冊-回調”模塊。通過在注冊階段設置唯一的名稱，將不同類型防火墻聯動協議接口轉換為統一的接口。

3.3 電網信息安全設備聯動關鍵技術應用要點

圖1：電網信息安全防護設備聯動系統模型

一方面，考慮到電網信息安全設備聯動將主要安全防護任務轉移到了信息外網與信息內網、管理信息大區與生產控制大區等專用電力安全防護設備上。因此，在電網信息安全設備聯動系統運行過程中，可以信息外網與信息內網、管理信息大區與生產控制大區為重點。利用安全事件處理技術，進行安全事件處理規則的合理設置。其中在信息外網與信息內網間安全事件處理過程中，可以在信息外網、信息內網間安裝的邏輯強隔離裝置運行的基礎上，僅允許信息外網經過基線配置核查平臺對信息內網數據庫進行操作。同時其需要對數據庫操作中SQL語句（結構化查詢語言），進行安全性核查，以避免不符合法律，或者安全風險較大的SQL語句，進入信息內網；而管理信息大區與生產控制大區間安全事件處理主要采用橫向隔離裝置。利用自身安全事件檢測及異常告警模塊，嚴格限制管理信息大區與生產控制大區間信息交互。

根據管理信息大區與生產控制大區、信息外網與信息內網間信息安全設備特點，可以電力專用安全防護設備信息統一采集為目標，對兩道防線中信息進行關聯分析，以便將電網安全威脅阻擋在防線之外。同時考慮到信息外網與信息內網、管理信息大區與生產控制大區防線中電力專用安全防護設備安全事件采集、分析處理的安全性，應以信息內網為主要空間。采用數據庫方式，越過管理信息大區與生產控制大區防線間的邏輯強隔離裝置，并通知主流防火墻，實現在線聯動。

另一方面，根據安全事件處理結果，對通用防火墻執行動態添加阻斷規則，阻斷部分互聯網IP地址（互聯網協議地址）訪問或者限制對內網部分IP地址訪問，是電網信息安全設備聯動響應的主要內容。而考慮到外部基線配置核查網絡自身無法與信息內網、生產控制大區進行信息交互，因此，為了保證某一安全事件與外部基線配置核查網絡IP地址的有效配合，應在安全事件、外部基線配置核查網絡連接信息間進行映射處理。本文主要通過連接會話ID（身份標識號）的方式，在出現外部基線配置核查網絡與信息外網連接請求時，應用外部基線配置核查網絡服務器，為每一個會話連接創建一個唯一的ID。同時以日志的形式，向聯動系統發送攜帶該會話ID的外部連接事件，執行會話開啟或關閉功能；而在出現外部基線配置核查網絡與信息內網數據庫連接請求時，需要在信息內網數據庫表項中添加會話ID項。此時，外部基線配置核查網絡可攜帶具有對應會話ID的信息直接與信息內網數據庫實現聯動。這種情況下，在信息外網與信息內網間邏輯強隔離裝置檢測到非法連接等安全事件信息時，就可以在“異常與告警”模塊寫入會話ID。隨后從信息內網數據庫卡表項中讀取該ID信息，發送給管理信息大區與生產控制大區間橫向隔離裝置。最后搜集全部外部基線配置核查網絡非法鏈接信息、邏輯強隔離裝置安全事件信息及橫向隔離裝置安全事件信息。以會話ID的方式，進行關聯分析，保證電網信息安全設備聯動運行的精準性。

4 總結

綜上所述，電力網絡攻擊事件的不斷出現，表明了以往單一安全防護設備無法滿足現階段電網信息安全管控要求。因此，相關人員應以不同類型電網安全防護設備組合應用為入手點，設置電網信息安全三道防線在線聯動模型。利用電網信息安全三道防線在線聯動模型，實現基線配置核查平臺、電網信息安全合規庫、防火墻的精準在線聯動，最大限度提升電網信息安全防御主動性，保障電網信息安全。