国家电网有限公司2019年重点工作部署中明确指出要构建与“三型两网”建设相适应的网络安全防控体系。为了确保电力监控系统业务稳定、快速、安全、高效率地传输,防止其遭到黑客、病毒、恶意代码等各种形式的恶意破坏和攻击,国家电网必须要加强网络安全防护工作。
1电力监控系统网络安全监视体系的建设背景
2015年12月,乌克兰电力系统发生网络黑客攻击事件,导致伊万诺-弗兰科夫斯克地区发生大面积停电;2017年5月,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业;2019年3月,委内瑞拉电力系统遭遇网络攻击,造成包括委内瑞拉首都加拉斯加在内的23个州中约有22个州出现电力供应中断。种种教训告诉我们,电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,电力监控系统的网络安全形势异常严峻,建设网络安全防护体系,有效抵御网络黑客攻击,加强网络空间的安全监管已日趋紧迫。
2电力监控系统网络安全监视体系的建设
2018年以前,国网石嘴山供电公司全部变电站均为无人值守运行管理模式,原有的视频监控系统仅作为远方监视以及设备巡视的辅助手段,暂时实现了对变电站相关环节的远程监视,但是手段较为单一,对于网络行为监测、分析和审计设备接入、网络访问、用户登录、人员操作等事件仍无法更加精准地监视,无法达到“软硬监视”全覆盖,存在网络安全监视盲区,同时,网络安全监视在管理上并未形成专业联动机制,无相关制度支撑,故急需一套完整的管理手段来加强管控。综合种种,石嘴山供电公司专业管理人员认真思考、总结,拟从网络安全监测装置部署、专业联动机制建立、专业运维队伍建设3个方面建立网络安全监视体系,以全面实现电力监控系统的“软硬”监管。
2.1建立变电站电力监控系统网络安全监测体系
2.1.1变电站侧部署网络安全监测装置网络安全监测装置是指部署在变电站站控层或并网电厂的电力监控系统,用于采集变电站站控层或发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全事件,并转发至调度端网络安全管理平台的数据网关机。现阶段,变电站网络拓扑大体可以分为安全I、II区通过防火墙互联,安全I、II区无防火墙连接及无安全II区三大类。第一类仅需部署1台设备于安全II区,第二类则需在安全I区和安全II区各部署1台设备,第三类则需在安全I区布置1台设备。目前应用较为广泛的是第一类,即部署1台II型网络安全监测装置于II区,接入双路不间断电源、GPS对时信号,并将装置自身告警信息接入测控装置并通过远动装置上送调度端。2.1.2变电站网络安全监测设备的信息接入变电站网络安全监测装置需采集三类设备信息,分别为主机设备、网络设备和安全防护设备:(1)主机设备采集。主机设备采集原则上包含了变电站内所有类型的主机,如变电站后台监控系统主机、保护信息子站工作站、故障录波器主机等,考虑到业务的可靠运行,一般采用相应厂商开发的探针程序(agent),采集操作系统自身感知的安全信息,再通过TCP/IP协议,发送至网络安全监测装置,并由网络安全监测装置作为服务端,监听来自主机设备的连接请求。(2)网络设备采集。网络设备采集主要指站控层及间隔层交换机的信息采集,网络安全监测装置通过SNMP协议采集交换机的安全信息,交换机产生告警事件后,通过SNMPTRAP协议向网络安全监测装置发送事件信息,如网口的UP和DOWN、内存使用情况及告警信息等。(3)安全防护设备采集。安全防护设备采集主要指变电站内防火墙设备、正反向隔离装置等,安全防护设备通过SYSLOG日志格式将数据传送到网络安全监测装置,如果日志格式不符合规范要求,则需要对设备进行升级,提供标准日志或由厂家提供动态解析库,部署到网络安全监测装置上,对原始日志进行解析方可准确上送。针对应采集的设备,如无法通过软件升级方式支持或不具备硬件条件,则需要进行整体更换。2.1.3同调度端网络安全管理平台联调现场应采集的主机设备、网络设备和安全防护设备软硬件部署完毕后,则需要完成站内网络安全监测装置与调度端网络安全管理平台间的联调工作,验证本地安全事件的采集、监视告警以及安全核查等功能,确保本地重要告警事件能够被准确及时地上报到上级调度单位。调度端则需要对厂站侧接入的监测装置进行相应的验收测试,以保障现场设施功能竣工验收的完整性。验收内容应包括危险命令测试、装置自身告警信息上送等。2.1.4规范网络安全体系白名单以工业控制系统安全为视角,针对工控系统对可靠性、稳定性、业务连续性的严格要求,工控系统软件和设备更新的频率,以及通信和数据的特点,提出了建立工控系统安全生产与运行的“软件应用白名单”概念:(1)只有可信任的设备,才能综合研究ZongheYanjiu142DOI:10.19514/j.cnki.cn32-1628/tm.2020.32.076接入控制网络;(2)只有可信任的消息,才能在网络上传输;(3)只有可信任的软件,才允许被执行。变电站具有主机设备、网络设备及安全防护设备众多,服务及端口数量大,通信网络拓扑复杂等特点,为确保网络事件准确上报,需对网络安全监测装置白名单进行细化,按照在用设备地址及端口清单对所有配置进行核查和整改,严格落实“最小化”原则。
2.2延伸安全监测维度,拓展多部门联动机制
2.2.1源头精准监控,部门快速反应充分利用调度自动化网络安全管理平台对各站网络安全监测装置上送的网络安全事件及远动系统异常信息进行精准监控,由调度自动化班专业人员进行技术筛选,并通过网络安全值班及调度监控人员及时通知运维检修部相关负责人进行处置。变电运维室负责对站内设备外观及运行环境进行检查,为后续其他专业检查判断提供第一手资料,变电检修室、二次检修室负责对站内运行的一、二次设备内部配置及专业管理内容进行检查,信通分公司负责对站内传输通道运行情况进行检查。2.2.2视频监控系统联动,全面定位网络事件充分利用变电站视频监控系统的实时及历史浏览功能,结合网络安全事件信息,对全站运行环境进行全面判断。多角度、立体式检查事件发生前后人员进出情况。利用安装在变电站各个角度的摄像机对生产设备和环境安全进行监控,并将监视目标的动态图像传输到监控中心,监控中心可以对摄像机进行控制和录像。监控中心、变电站运行维护人员通过视频监控主机即可对变电站监控范围的目标区域中设备或现场进行监视,同时可以通过主机对镜头进行控制,包括左右、上下、聚焦、变焦、画面切换等动作。根据授权,监控人员可以调用历史录像进行查看,从而对发生的网络安全事件进行有效监视。
2.3建设网络安全运维队伍,提升人员技能等级
为了有效防范网络渗透攻击,国家电网需要进一步提升运维人员技术水平,抽调二次检修室、变电检修室、变电运维室、信通分公司骨干力量,组建网络安全运维队伍,通过开展安全防护培训和模拟网络渗透攻击,在充分发挥各专业优势、发现辖区内各站网络安全薄弱环节的同时,持续提升队伍人员技能等级。
3结语
电力监控系统安全防护是电力安全生产管理体系的有机组成部分,无论是变电站监控系统,还是新兴的泛在电力物联网,每一个环节都需要网络安全这道锁进行管控。石嘴山供电公司所建立的电力监控系统网络安全监视体系在近两年的工作中得到了充分实践。其具有较完整、严谨、清晰的管理实施思路、框架和过程,既能应用于国家电网有限公司内部,如各电压等级变电站、配网系统,又能广泛应用于其他企业或公司,具有普遍适用性和推广价值。
《电力监控系统网络安全监视体系探讨》来源:《机电信息》,作者:汤超