導(dǎo)語：電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)探析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

在信息時代，傳統(tǒng)電力行業(yè)借助信息化紅利進行了轉(zhuǎn)型升級，在一定程度上提高了電網(wǎng)信息化水平。但是由于信息技術(shù)自身存在安全問題，再加上社會信息化帶來的安全風險，導(dǎo)致現(xiàn)階段電網(wǎng)信息安全形勢異常嚴峻。這種情況下，樹立敵情意識，加強電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的應(yīng)用，就成為電力行業(yè)人員面臨的重要任務(wù)。

1電網(wǎng)信息安全威脅

在電網(wǎng)信息系統(tǒng)運行過程中，存在違規(guī)外聯(lián)、計算機病毒、計算機木馬、口令攻擊、郵件攻擊、域名系統(tǒng)攻擊等多種安全威脅。同時其在對外網(wǎng)絡(luò)、辦公外設(shè)、網(wǎng)絡(luò)接入、移動儲存、無線設(shè)備等方面也存在較多風險，如2015年烏克蘭電力局遭受嚴重網(wǎng)絡(luò)接入攻擊，導(dǎo)致局部區(qū)域出現(xiàn)突發(fā)停電事故，對電網(wǎng)公司整體信息安全建設(shè)提出了較大的挑戰(zhàn)。

2電網(wǎng)信息安全設(shè)備應(yīng)用現(xiàn)狀

現(xiàn)階段，我國電網(wǎng)公司已構(gòu)建了外部互聯(lián)網(wǎng)與信息外網(wǎng)、信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)三個層次的安全信息防護體系。也設(shè)置了邏輯強隔離裝置、防火墻等多種類型信息安全防護設(shè)備。但是由于現(xiàn)階段電網(wǎng)企業(yè)中外部互聯(lián)網(wǎng)與信息外網(wǎng)、信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)三個層次的防護體系間缺乏信息共享機制，完全獨立運行。導(dǎo)致其只有在出現(xiàn)安全風險之后才會開啟防御機制，缺乏防御主動性。整體防御效果不佳，對電網(wǎng)信息安全帶來了較大的威脅。

3電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的應(yīng)用

3.1搭建電網(wǎng)信息安全防護設(shè)備聯(lián)動模型。從理論層面上進行分析，電網(wǎng)信息安全防護設(shè)備聯(lián)動模型主要是利用組合的方式，將防火墻技術(shù)與IDS（入侵檢測系統(tǒng)）等不同技術(shù)進行整合，其可以同步提高防火墻自身性能、功能、網(wǎng)絡(luò)安全防御性能。而由于實際電網(wǎng)安全防護體系運行過程中，除外部互聯(lián)網(wǎng)與信息外網(wǎng)防線采用通用防火墻以外，信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)均為電力企業(yè)專用安全防護設(shè)備。因此，為實現(xiàn)信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)、外部互聯(lián)網(wǎng)與信息外網(wǎng)間在線聯(lián)動，可以通用防火墻、電力專用安全防護設(shè)備在線聯(lián)動為要點，設(shè)置聯(lián)動系統(tǒng)模型。如圖1所示，在電網(wǎng)信息安全防護設(shè)備聯(lián)動模型運行過程中，首先需要進行外網(wǎng)入侵、計算機病毒、計算機木馬等安全事件信息收集，并對事先收集的事件進行異常風險監(jiān)測。在發(fā)生入侵、或者安全異常事件后，在模型內(nèi)會自動生成“異常與告警”模型。隨后將異常與告警信息發(fā)送給聯(lián)動決策模塊。聯(lián)動決策模塊可以從電網(wǎng)信息安全合規(guī)庫內(nèi)搜集相關(guān)信息，判定是否需要聯(lián)動。若需要聯(lián)動，則可以結(jié)合連接映射表生成具體的聯(lián)動規(guī)則。最終輸出至系統(tǒng)終端，執(zhí)行聯(lián)動規(guī)則。同時為保證電網(wǎng)信息安全防護設(shè)備聯(lián)動系統(tǒng)在線運行穩(wěn)定性，可采用層次化設(shè)計的方式，進行適配層（OPSEC適配器、TOPSEC適配器、SNMP適配器）、邏輯處理層（關(guān)聯(lián)分析、規(guī)則生成、聯(lián)動決策、事件采集、安全通信）、管理展示層（告警展示、配置管理、設(shè)備管理、用戶管理）架構(gòu)設(shè)置。通過OPSEC接口、TOPSEC接口、SNMP接口的合理設(shè)置，可以為主流防火墻聯(lián)動協(xié)議的運行提供支撐。3.2設(shè)置電網(wǎng)信息安全防護設(shè)備聯(lián)動協(xié)議?，F(xiàn)階段電網(wǎng)信息安全防護設(shè)備聯(lián)動主要是通過開放聯(lián)動接口的形式，在發(fā)現(xiàn)侵入或攻擊威脅時，經(jīng)過防火墻開放的聯(lián)動接口，將防火墻與基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫進行有效關(guān)聯(lián)。常用的防火墻聯(lián)動協(xié)議除SNMP以外，還包括OPSEC、TOPSEC。其中SNMP又可稱之為SimpleNetworkManagementProtocol，其主要通過標準網(wǎng)絡(luò)管理協(xié)議，利用MIB庫，對防火墻進行標準化處理；OPSEC又可稱之為OpenPlatformforSecurity，其主要以CheckPoint防火墻為核心，在防火墻上設(shè)置多個開放接口，為不同類型安全防護設(shè)備間信息交互提供充足支持；TOPSEC主要是以不同廠商提供的電網(wǎng)信息安全防護設(shè)備協(xié)同工作為目標。以網(wǎng)絡(luò)衛(wèi)士系列防護墻為中心，經(jīng)PKI/CA（公鑰基礎(chǔ)設(shè)施/認證中心）線路，實現(xiàn)防火墻與不同類型電網(wǎng)信息安全防護設(shè)備的集成。在上述聯(lián)動協(xié)議應(yīng)用的基礎(chǔ)上，為了達到基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫與主流防火墻聯(lián)動，可利用適配層“注冊-回調(diào)”模塊。通過在注冊階段設(shè)置唯一的名稱，將不同類型防火墻聯(lián)動協(xié)議接口轉(zhuǎn)換為統(tǒng)一的接口。3.3電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)應(yīng)用要點。一方面，考慮到電網(wǎng)信息安全設(shè)備聯(lián)動將主要安全防護任務(wù)轉(zhuǎn)移到了信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)等專用電力安全防護設(shè)備上。因此，在電網(wǎng)信息安全設(shè)備聯(lián)動系統(tǒng)運行過程中，可以信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)為重點。利用安全事件處理技術(shù)，進行安全事件處理規(guī)則的合理設(shè)置。其中在信息外網(wǎng)與信息內(nèi)網(wǎng)間安全事件處理過程中，可以在信息外網(wǎng)、信息內(nèi)網(wǎng)間安裝的邏輯強隔離裝置運行的基礎(chǔ)上，僅允許信息外網(wǎng)經(jīng)過基線配置核查平臺對信息內(nèi)網(wǎng)數(shù)據(jù)庫進行操作。同時其需要對數(shù)據(jù)庫操作中SQL語句（結(jié)構(gòu)化查詢語言），進行安全性核查，以避免不符合法律，或者安全風險較大的SQL語句，進入信息內(nèi)網(wǎng)；而管理信息大區(qū)與生產(chǎn)控制大區(qū)間安全事件處理主要采用橫向隔離裝置。利用自身安全事件檢測及異常告警模塊，嚴格限制管理信息大區(qū)與生產(chǎn)控制大區(qū)間信息交互。根據(jù)管理信息大區(qū)與生產(chǎn)控制大區(qū)、信息外網(wǎng)與信息內(nèi)網(wǎng)間信息安全設(shè)備特點，可以電力專用安全防護設(shè)備信息統(tǒng)一采集為目標，對兩道防線中信息進行關(guān)聯(lián)分析，以便將電網(wǎng)安全威脅阻擋在防線之外。同時考慮到信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)防線中電力專用安全防護設(shè)備安全事件采集、分析處理的安全性，應(yīng)以信息內(nèi)網(wǎng)為主要空間。采用數(shù)據(jù)庫方式，越過管理信息大區(qū)與生產(chǎn)控制大區(qū)防線間的邏輯強隔離裝置，并通知主流防火墻，實現(xiàn)在線聯(lián)動。另一方面，根據(jù)安全事件處理結(jié)果，對通用防火墻執(zhí)行動態(tài)添加阻斷規(guī)則，阻斷部分互聯(lián)網(wǎng)IP地址（互聯(lián)網(wǎng)協(xié)議地址）訪問或者限制對內(nèi)網(wǎng)部分IP地址訪問，是電網(wǎng)信息安全設(shè)備聯(lián)動響應(yīng)的主要內(nèi)容。而考慮到外部基線配置核查網(wǎng)絡(luò)自身無法與信息內(nèi)網(wǎng)、生產(chǎn)控制大區(qū)進行信息交互，因此，為了保證某一安全事件與外部基線配置核查網(wǎng)絡(luò)IP地址的有效配合，應(yīng)在安全事件、外部基線配置核查網(wǎng)絡(luò)連接信息間進行映射處理。本文主要通過連接會話ID（身份標識號）的方式，在出現(xiàn)外部基線配置核查網(wǎng)絡(luò)與信息外網(wǎng)連接請求時，應(yīng)用外部基線配置核查網(wǎng)絡(luò)服務(wù)器，為每一個會話連接創(chuàng)建一個唯一的ID。同時以日志的形式，向聯(lián)動系統(tǒng)發(fā)送攜帶該會話ID的外部連接事件，執(zhí)行會話開啟或關(guān)閉功能；而在出現(xiàn)外部基線配置核查網(wǎng)絡(luò)與信息內(nèi)網(wǎng)數(shù)據(jù)庫連接請求時，需要在信息內(nèi)網(wǎng)數(shù)據(jù)庫表項中添加會話ID項。此時，外部基線配置核查網(wǎng)絡(luò)可攜帶具有對應(yīng)會話ID的信息直接與信息內(nèi)網(wǎng)數(shù)據(jù)庫實現(xiàn)聯(lián)動。這種情況下，在信息外網(wǎng)與信息內(nèi)網(wǎng)間邏輯強隔離裝置檢測到非法連接等安全事件信息時，就可以在“異常與告警”模塊寫入會話ID。隨后從信息內(nèi)網(wǎng)數(shù)據(jù)庫卡表項中讀取該ID信息，發(fā)送給管理信息大區(qū)與生產(chǎn)控制大區(qū)間橫向隔離裝置。最后搜集全部外部基線配置核查網(wǎng)絡(luò)非法鏈接信息、邏輯強隔離裝置安全事件信息及橫向隔離裝置安全事件信息。以會話ID的方式，進行關(guān)聯(lián)分析，保證電網(wǎng)信息安全設(shè)備聯(lián)動運行的精準性。

4總結(jié)

綜上所述，電力網(wǎng)絡(luò)攻擊事件的不斷出現(xiàn)，表明了以往單一安全防護設(shè)備無法滿足現(xiàn)階段電網(wǎng)信息安全管控要求。因此，相關(guān)人員應(yīng)以不同類型電網(wǎng)安全防護設(shè)備組合應(yīng)用為入手點，設(shè)置電網(wǎng)信息安全三道防線在線聯(lián)動模型。利用電網(wǎng)信息安全三道防線在線聯(lián)動模型，實現(xiàn)基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫、防火墻的精準在線聯(lián)動，最大限度提升電網(wǎng)信息安全防御主動性，保障電網(wǎng)信息安全。

參考文獻

[1]陳春霖,屠正偉,郭靚.國家電網(wǎng)公司網(wǎng)絡(luò)與信息安全態(tài)勢感知的實踐[J].電力信息與通信技術(shù),2017(6):3-8.

[2]張民磊.基線配置核查平臺與電網(wǎng)信息安全合規(guī)庫的聯(lián)合應(yīng)用研究[J].數(shù)字技術(shù)與應(yīng)用,2017(2):213-214.

[3]李峰.淺談電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的應(yīng)用[J].通訊世界,2018,341(10):124-125.

[4]王紅凱,黃益彬,馬志程.電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)[J].計算機與現(xiàn)代化,2017(2):57-60.

作者:劉圣龍 王秋明 李祉岐 楊陽 尹琴 單位:國網(wǎng)思極網(wǎng)安科技（北京）有限公司