電力系統(tǒng)重點場所網(wǎng)絡(luò)監(jiān)控實時報警研究

張明達(dá) 王思謹(jǐn)

國網(wǎng)寧波市奉化區(qū)供電公司 浙江 寧波 315500

引言

電力監(jiān)控系統(tǒng)是電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應(yīng)的關(guān)鍵支撐[1]。隨著網(wǎng)絡(luò)技術(shù)不斷發(fā)現(xiàn)，計算機網(wǎng)絡(luò)在電力系統(tǒng)的企業(yè)經(jīng)營管理中的重要性不斷凸顯，電力網(wǎng)絡(luò)的調(diào)度、管理等系統(tǒng)都通過網(wǎng)絡(luò)進行運行。為此，電力系統(tǒng)紛紛加大了網(wǎng)絡(luò)技術(shù)應(yīng)用力度。不過，信息網(wǎng)絡(luò)具有兩面性，它在給企業(yè)管理帶來便利的同時，自身也具有一定風(fēng)險，如非法惡意操作、外部網(wǎng)攻擊等，都有可能危及電力系統(tǒng)的正常運轉(zhuǎn)。這就要求電力企業(yè)在運用信息網(wǎng)絡(luò)的同時，還要做好信息網(wǎng)絡(luò)安全管理。網(wǎng)絡(luò)安全防護，管理手段和技術(shù)手段相互補充，缺一不可[2]，才能為電力網(wǎng)絡(luò)系統(tǒng)提供安全保障，提高電力系統(tǒng)的經(jīng)濟效益。

目前，國內(nèi)電力企業(yè)監(jiān)控系統(tǒng)按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的安全防護總體策略建立安全防護體系[3]，但電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，應(yīng)用場景豐富，安全問題仍然面臨各類威脅。供電局營業(yè)場所等地方運行的公共終端通常在無人值守的情況進行運營，由于業(yè)務(wù)數(shù)據(jù)的互通互聯(lián)要求，其網(wǎng)絡(luò)系統(tǒng)連接到供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)中，和供電系統(tǒng)核心業(yè)務(wù)系統(tǒng)處于同一個網(wǎng)絡(luò)。在供電局營業(yè)場所等地方公共終端進行非法惡意操作和外部網(wǎng)攻擊等情況，由于其網(wǎng)絡(luò)端口的安全性往往存在安全管理的漏洞，會給整個電力管理網(wǎng)絡(luò)帶來嚴(yán)重的問題。尤其是供電營業(yè)廳的用戶區(qū)放有公共查詢電腦，主要用于用戶用電數(shù)據(jù)查詢等。由于電腦在無人值守的情況進行運行，計算機運行狀態(tài)無法監(jiān)控，包括計算機是否運行正常，是否有非法進行侵入等。

本文針對營業(yè)場所公共電腦無人值守運行的情況，提出一種端口實時報警機制，自動監(jiān)控計算機和網(wǎng)絡(luò)端口運行情況，當(dāng)發(fā)現(xiàn)外部設(shè)備通過端口聯(lián)入網(wǎng)絡(luò)等情況，能夠主動向指定值班人員進行報警以便確認(rèn)。不僅保證了信息系統(tǒng)資產(chǎn)的安全，而且為電力業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全運行提供了保障。

1 系統(tǒng)設(shè)計

為了保障內(nèi)部網(wǎng)絡(luò)的安全，電力企業(yè)通常會安裝多種安全防護設(shè)備，如防火墻、防病毒軟件等，共同為單位內(nèi)部網(wǎng)絡(luò)構(gòu)建安全防護圈。這些設(shè)備在運行過程中都會產(chǎn)生大量日志來記錄自身行為，這些日志經(jīng)過分析，能夠有效地提供設(shè)備狀態(tài)和網(wǎng)絡(luò)運行狀況。但在國家電網(wǎng)存在大量的無人值守營業(yè)廳，具有結(jié)構(gòu)復(fù)雜和分散獨立的特點，嚴(yán)重制約了對整個網(wǎng)絡(luò)環(huán)境的運行狀態(tài)以及有害活動的檢測。為此，將系統(tǒng)設(shè)計為采用C/S架構(gòu)，將地理位置分散的營業(yè)廳公共終端建模為多個營業(yè)廳客戶端，并與監(jiān)控端分離。監(jiān)控端客戶端用于定期收集來自各公共終端的網(wǎng)絡(luò)安全日志，進行統(tǒng)計分析后提交給服務(wù)器端。

隨著網(wǎng)絡(luò)攻擊的手段越來越多樣化，攻擊方法越來越隱蔽，依靠傳統(tǒng)的單一節(jié)點分析技術(shù)已經(jīng)無法滿足對海量安全日志的實時性分析和多維度檢測，從而使網(wǎng)絡(luò)管理員人員難以從全局實時把握網(wǎng)絡(luò)安全態(tài)勢，無法制定出正確的安全決策和應(yīng)急響應(yīng)。各類網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志信息重復(fù)率高，網(wǎng)絡(luò)管理人員很難發(fā)現(xiàn)其中隱藏的關(guān)聯(lián)性，這不利于對網(wǎng)絡(luò)態(tài)勢進行全局分析。為此，本系統(tǒng)設(shè)置服務(wù)器端，并制定了客戶端的定期上報機制，用于實現(xiàn)網(wǎng)絡(luò)異常事件的快速采集、快速檢測，及時將預(yù)警信息提供給審核客戶端審核、研判，為網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng)提供支撐，以及為其他安全管理系統(tǒng)提供預(yù)警信息等。

通常使用的安全威脅機制是漏洞掃描器等掃描軟件，但這類掃描得出的威脅評價是靜態(tài)的，不能及時反映系統(tǒng)所面臨的動態(tài)網(wǎng)絡(luò)安全威脅。為此，本文利用各客戶端定期提交并匯總的報警日志，動態(tài)度量所面臨的網(wǎng)絡(luò)安全威脅，經(jīng)過分析后及時發(fā)出有針對性的實時報警，并定位發(fā)送給特定的監(jiān)控客戶端，幫助電網(wǎng)營業(yè)廳更有效地應(yīng)對各種網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)攻擊和端口密切相關(guān)。依據(jù)TCP/IP協(xié)議，端口對應(yīng)著軟件所提供的某種服務(wù)，因此，系統(tǒng)的脆弱性可以用端口的風(fēng)險值來表示。計算機系統(tǒng)中，邏輯意義上的端口則是指TCP/IP協(xié)議中的網(wǎng)絡(luò)端口，計算機之間的通信是通過端口進行的，每一個網(wǎng)絡(luò)用戶的數(shù)據(jù)包必須經(jīng)過網(wǎng)絡(luò)端口才能與外界實現(xiàn)交流。對計算機端口狀態(tài)的查詢是了解其運行情況的重要方式，通過對其狀態(tài)的查詢能及時發(fā)現(xiàn)計算機系統(tǒng)中的異常，以便及時做出防范與解決。常用的安全策略包括通過端口監(jiān)聽嗅探常規(guī)業(yè)務(wù)傳輸端口。為此，本系統(tǒng)根據(jù)業(yè)務(wù)端口情況進行具體黑白名單策略配置，判別異常流量發(fā)起端口，能夠自動監(jiān)控計算機操作系統(tǒng)和程序的運行情況、自動監(jiān)控網(wǎng)絡(luò)端口運行情況。

2 系統(tǒng)實現(xiàn)

本文實現(xiàn)了一種基于網(wǎng)絡(luò)日志的端口自動報警系統(tǒng)，能夠自動監(jiān)控計算機操作系統(tǒng)和程序的運行情況、自動監(jiān)控網(wǎng)絡(luò)端口運行情況，當(dāng)發(fā)現(xiàn)計算機上有可疑程序進程運行，或者有外部設(shè)備通過端口聯(lián)入網(wǎng)絡(luò)等情況，能夠主動向指定值班人員進行報警以便確認(rèn)。不僅保證了信息系統(tǒng)資產(chǎn)的安全，而且為電力業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)的安全運行提供了保障。

系統(tǒng)架構(gòu)如圖1所示，采用C/S架構(gòu)，包括服務(wù)器端和兩個客戶端。其中，客戶端包括營業(yè)廳客戶端和監(jiān)控客戶端，營業(yè)廳客戶端運行于供電所營業(yè)廳無人值守計算機上，主要用于和服務(wù)器端連接，檢測允許和禁止的程序清單；監(jiān)控客戶端運行于特定工作站上的服務(wù)程序，根據(jù)配置情況，檢測不同的工作站運行情況。服務(wù)器端用來接收營業(yè)廳計算機的報警信息，并同時根據(jù)信息的路由信息向客戶端程序進行轉(zhuǎn)發(fā)。

圖1 端口實時報警系統(tǒng)架構(gòu)圖

2.1 營業(yè)廳查詢客戶端

該客戶端位于供電所營業(yè)廳外面，主要用于用戶查詢供電系統(tǒng)，該查詢臺直接聯(lián)入供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)中。該客戶端的核心功能是運行時開通本地運行日志信息，記錄運行情況，并及時上報日志。

該系統(tǒng)啟動時，首先和服務(wù)器建立TCP連接，同時檢查本機的注冊信息。當(dāng)系統(tǒng)正常注冊以后，接收服務(wù)器端的黑名單和白名單運行程序，檢查本地程序，如果發(fā)現(xiàn)白名單上程序沒有運行或運行有黑名單程序，系統(tǒng)就向服務(wù)器發(fā)送報警信息。白名單和黑名單會定期檢查，如果發(fā)現(xiàn)當(dāng)前運行的程序不在白名單上，或者該程序在黑名單上，則向服務(wù)器報警，并記錄日志。

2.2 自動監(jiān)控客戶端

該客戶端運行于有營業(yè)員值班的計算機中，主要功能是接收服務(wù)器發(fā)過來的報警信息，并進行顯示和運行。系統(tǒng)啟動時，首先和服務(wù)器建立TCP連接，同時檢查本機的注冊信息。當(dāng)系統(tǒng)正常注冊后，開通本地運行日志信息，記錄運行情況。該客戶端能夠記錄客戶端進行查詢、統(tǒng)計和處理的結(jié)果，并且接收服務(wù)器端發(fā)過來的報警信息，在本地記錄報警日志和報警。

2.3 服務(wù)器端

安全監(jiān)控服務(wù)器是整個系統(tǒng)運行和控制的中心，并承擔(dān)了兩個客戶端的核心服務(wù)；服務(wù)器接收查詢客戶端發(fā)過來的消息，并根據(jù)消息轉(zhuǎn)發(fā)路由配置信息，將監(jiān)控客戶端的消息轉(zhuǎn)發(fā)到特定的查看和報警客戶端。另外，當(dāng)報警信息發(fā)過來的時候，確定應(yīng)該發(fā)送到哪一臺設(shè)備進行配置。監(jiān)控設(shè)備消息配置包括設(shè)備名稱、CPUID、主板ID，設(shè)備開關(guān)機時間，監(jiān)控周期，是否注冊和運行等。

該服務(wù)器端可進行多種配置，包括設(shè)備應(yīng)用程序黑名單和白名單配置、消息轉(zhuǎn)發(fā)路由配置、和系統(tǒng)功能配置。

3 系統(tǒng)評估

采用本系統(tǒng)后，通過對電力系統(tǒng)重點場所網(wǎng)絡(luò)監(jiān)控，實現(xiàn)了安全異常數(shù)據(jù)實時獲取，從而能夠?qū)崟r獲取檢測結(jié)果，有效地提高事件檢測速度，實現(xiàn)快速發(fā)現(xiàn)、快速告警，降低網(wǎng)絡(luò)安全風(fēng)險。由于端口的監(jiān)控和匯總是動態(tài)的，能夠得到一系列連續(xù)的分析結(jié)果，實現(xiàn)對分析結(jié)果的動態(tài)更新。由于采用了網(wǎng)絡(luò)日志進行分析，因此保證了報警事件的完整性，可以發(fā)現(xiàn)該網(wǎng)絡(luò)空間中發(fā)生的所有類型的安全事件。由于采用了基于客戶端和服務(wù)器的匯總機制，能夠發(fā)現(xiàn)網(wǎng)絡(luò)空間中各個節(jié)點發(fā)生的安全事件。結(jié)合以上機制，實現(xiàn)了網(wǎng)絡(luò)安全監(jiān)控的時域全程性，能夠?qū)υ撓到y(tǒng)應(yīng)用的全網(wǎng)段的網(wǎng)絡(luò)安全事件的全部步驟及其時序關(guān)系進行獲取和分析。

該系統(tǒng)采用分布式服務(wù)模式，可以在部署1臺或者多臺服務(wù)器，并可以實現(xiàn)多臺服務(wù)器的協(xié)同工作，從而為后續(xù)進行基于大數(shù)據(jù)和數(shù)據(jù)融合技術(shù)奠定了基礎(chǔ)。針對網(wǎng)絡(luò)多個節(jié)點中存在大量多源、異構(gòu)、冗余的報警信息問題，能夠進行報警規(guī)范化方法，和多源報警融合方法。從而為下一步對各個報警信息進行協(xié)同處理，減少報警數(shù)量提高檢測準(zhǔn)確性和效率。在服務(wù)器上匯聚了多個網(wǎng)絡(luò)節(jié)點客戶端的報警大數(shù)據(jù)后，可進一步搭建面向大規(guī)模攻擊的多步攻擊序列挖掘方法，通過數(shù)據(jù)挖掘方法實現(xiàn)對多角度、孤立的報警信息的融合，挖掘出網(wǎng)絡(luò)中存在的頻繁多步攻擊序列，發(fā)現(xiàn)單個攻擊事件之間的因果關(guān)系，為電力企業(yè)搭建高性能高智能的網(wǎng)絡(luò)安全機制提供基礎(chǔ)設(shè)施。

4 結(jié)束語

本文分析了電力系統(tǒng)營業(yè)場所的無人值守公共終端所面臨的安全問題，針對非法惡意操作和外部網(wǎng)攻擊等情況，往往存在安全管理的漏洞，提出基于網(wǎng)絡(luò)日志的端口監(jiān)控實時報警方案。該方案采用C/S架構(gòu)，采用了端口監(jiān)控、網(wǎng)絡(luò)日志、黑白程序名單等機制，并可以通過中心監(jiān)控服務(wù)器同時對一個或多個客戶端進行實時監(jiān)控。該系統(tǒng)可用于營業(yè)場所無人值守計算機的運行情況以及端口的監(jiān)控，也可以用于野外獨立運行計算機的安全監(jiān)控，能夠解決監(jiān)控計算機的安全運行問題。保障了供電系統(tǒng)內(nèi)部網(wǎng)絡(luò)的安全性和可靠性。