電網(wǎng)信息安全設備聯(lián)動技術

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電網(wǎng)信息安全設備聯(lián)動技術范文，希望能給你帶來靈感和參考，敬請閱讀。

1電網(wǎng)信息安全威脅

在電網(wǎng)信息系統(tǒng)運行過程中，存在違規(guī)外聯(lián)、計算機病毒、計算機木馬、口令攻擊、郵件攻擊、域名系統(tǒng)攻擊等多種安全威脅。同時其在對外網(wǎng)絡、辦公外設、網(wǎng)絡接入、移動儲存、無線設備等方面也存在較多風險，如2015年烏克蘭電力局遭受嚴重網(wǎng)絡接入攻擊，導致局部區(qū)域出現(xiàn)突發(fā)停電事故，對電網(wǎng)公司整體信息安全建設提出了較大的挑戰(zhàn)。

2電網(wǎng)信息安全設備應用現(xiàn)狀

現(xiàn)階段，我國電網(wǎng)公司已構建了外部互聯(lián)網(wǎng)與信息外網(wǎng)、信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)三個層次的安全信息防護體系。也設置了邏輯強隔離裝置、防火墻等多種類型信息安全防護設備。但是由于現(xiàn)階段電網(wǎng)企業(yè)中外部互聯(lián)網(wǎng)與信息外網(wǎng)、信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)三個層次的防護體系間缺乏信息共享機制，完全獨立運行。導致其只有在出現(xiàn)安全風險之后才會開啟防御機制，缺乏防御主動性。整體防御效果不佳，對電網(wǎng)信息安全帶來了較大的威脅。

3電網(wǎng)信息安全設備聯(lián)動關鍵技術的應用

3.1搭建電網(wǎng)信息安全防護設備聯(lián)動模型

從理論層面上進行分析，電網(wǎng)信息安全防護設備聯(lián)動模型主要是利用組合的方式，將防火墻技術與IDS（入侵檢測系統(tǒng)）等不同技術進行整合，其可以同步提高防火墻自身性能、功能、網(wǎng)絡安全防御性能。而由于實際電網(wǎng)安全防護體系運行過程中，除外部互聯(lián)網(wǎng)與信息外網(wǎng)防線采用通用防火墻以外，信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)均為電力企業(yè)專用安全防護設備。因此，為實現(xiàn)信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)、外部互聯(lián)網(wǎng)與信息外網(wǎng)間在線聯(lián)動，可以通用防火墻、電力專用安全防護設備在線聯(lián)動為要點，設置聯(lián)動系統(tǒng)模型。在電網(wǎng)信息安全防護設備聯(lián)動模型運行過程中，首先需要進行外網(wǎng)入侵、計算機病毒、計算機木馬等安全事件信息收集，并對事先收集的事件進行異常風險監(jiān)測。在發(fā)生入侵、或者安全異常事件后，在模型內(nèi)會自動生成“異常與告警”模型。隨后將異常與告警信息發(fā)送給聯(lián)動決策模塊。聯(lián)動決策模塊可以從電網(wǎng)信息安全合規(guī)庫內(nèi)搜集相關信息，判定是否需要聯(lián)動。若需要聯(lián)動，則可以結合連接映射表生成具體的聯(lián)動規(guī)則。最終輸出至系統(tǒng)終端，執(zhí)行聯(lián)動規(guī)則。同時為保證電網(wǎng)信息安全防護設備聯(lián)動系統(tǒng)在線運行穩(wěn)定性，可采用層次化設計的方式，進行適配層（OPSEC適配器、TOPSEC適配器、SNMP適配器）、邏輯處理層（關聯(lián)分析、規(guī)則生成、聯(lián)動決策、事件采集、安全通信）、管理展示層（告警展示、配置管理、設備管理、用戶管理）架構設置。通過OPSEC接口、TOPSEC接口、SNMP接口的合理設置，可以為主流防火墻聯(lián)動協(xié)議的運行提供支撐。

3.2設置電網(wǎng)信息安全防護設備聯(lián)動協(xié)議

現(xiàn)階段電網(wǎng)信息安全防護設備聯(lián)動主要是通過開放聯(lián)動接口的形式，在發(fā)現(xiàn)侵入或攻擊威脅時，經(jīng)過防火墻開放的聯(lián)動接口，將防火墻與基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫進行有效關聯(lián)。常用的防火墻聯(lián)動協(xié)議除SNMP以外，還包括OPSEC、TOPSEC。其中SNMP又可稱之為SimpleNetworkManagementProtocol，其主要通過標準網(wǎng)絡管理協(xié)議，利用MIB庫，對防火墻進行標準化處理；OPSEC又可稱之為OpenPlatformforSecurity，其主要以CheckPoint防火墻為核心，在防火墻上設置多個開放接口，為不同類型安全防護設備間信息交互提供充足支持；TOPSEC主要是以不同廠商提供的電網(wǎng)信息安全防護設備協(xié)同工作為目標。以網(wǎng)絡衛(wèi)士系列防護墻為中心，經(jīng)PKI/CA（公鑰基礎設施/認證中心）線路，實現(xiàn)防火墻與不同類型電網(wǎng)信息安全防護設備的集成。在上述聯(lián)動協(xié)議應用的基礎上，為了達到基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫與主流防火墻聯(lián)動，可利用適配層“注冊-回調(diào)”模塊。通過在注冊階段設置唯一的名稱，將不同類型防火墻聯(lián)動協(xié)議接口轉換為統(tǒng)一的接口。

3.3電網(wǎng)信息安全設備聯(lián)動關鍵技術應用要點

一方面，考慮到電網(wǎng)信息安全設備聯(lián)動將主要安全防護任務轉移到了信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)等專用電力安全防護設備上。因此，在電網(wǎng)信息安全設備聯(lián)動系統(tǒng)運行過程中，可以信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)為重點。利用安全事件處理技術，進行安全事件處理規(guī)則的合理設置。其中在信息外網(wǎng)與信息內(nèi)網(wǎng)間安全事件處理過程中，可以在信息外網(wǎng)、信息內(nèi)網(wǎng)間安裝的邏輯強隔離裝置運行的基礎上，僅允許信息外網(wǎng)經(jīng)過基線配置核查平臺對信息內(nèi)網(wǎng)數(shù)據(jù)庫進行操作。同時其需要對數(shù)據(jù)庫操作中SQL語句（結構化查詢語言），進行安全性核查，以避免不符合法律，或者安全風險較大的SQL語句，進入信息內(nèi)網(wǎng)；而管理信息大區(qū)與生產(chǎn)控制大區(qū)間安全事件處理主要采用橫向隔離裝置。利用自身安全事件檢測及異常告警模塊，嚴格限制管理信息大區(qū)與生產(chǎn)控制大區(qū)間信息交互。根據(jù)管理信息大區(qū)與生產(chǎn)控制大區(qū)、信息外網(wǎng)與信息內(nèi)網(wǎng)間信息安全設備特點，可以電力專用安全防護設備信息統(tǒng)一采集為目標，對兩道防線中信息進行關聯(lián)分析，以便將電網(wǎng)安全威脅阻擋在防線之外。同時考慮到信息外網(wǎng)與信息內(nèi)網(wǎng)、管理信息大區(qū)與生產(chǎn)控制大區(qū)防線中電力專用安全防護設備安全事件采集、分析處理的安全性，應以信息內(nèi)網(wǎng)為主要空間。采用數(shù)據(jù)庫方式，越過管理信息大區(qū)與生產(chǎn)控制大區(qū)防線間的邏輯強隔離裝置，并通知主流防火墻，實現(xiàn)在線聯(lián)動。另一方面，根據(jù)安全事件處理結果，對通用防火墻執(zhí)行動態(tài)添加阻斷規(guī)則，阻斷部分互聯(lián)網(wǎng)IP地址（互聯(lián)網(wǎng)協(xié)議地址）訪問或者限制對內(nèi)網(wǎng)部分IP地址訪問，是電網(wǎng)信息安全設備聯(lián)動響應的主要內(nèi)容。而考慮到外部基線配置核查網(wǎng)絡自身無法與信息內(nèi)網(wǎng)、生產(chǎn)控制大區(qū)進行信息交互，因此，為了保證某一安全事件與外部基線配置核查網(wǎng)絡IP地址的有效配合，應在安全事件、外部基線配置核查網(wǎng)絡連接信息間進行映射處理。本文主要通過連接會話ID（身份標識號）的方式，在出現(xiàn)外部基線配置核查網(wǎng)絡與信息外網(wǎng)連接請求時，應用外部基線配置核查網(wǎng)絡服務器，為每一個會話連接創(chuàng)建一個唯一的ID。同時以日志的形式，向聯(lián)動系統(tǒng)發(fā)送攜帶該會話ID的外部連接事件，執(zhí)行會話開啟或關閉功能；而在出現(xiàn)外部基線配置核查網(wǎng)絡與信息內(nèi)網(wǎng)數(shù)據(jù)庫連接請求時，需要在信息內(nèi)網(wǎng)數(shù)據(jù)庫表項中添加會話ID項。此時，外部基線配置核查網(wǎng)絡可攜帶具有對應會話ID的信息直接與信息內(nèi)網(wǎng)數(shù)據(jù)庫實現(xiàn)聯(lián)動。這種情況下，在信息外網(wǎng)與信息內(nèi)網(wǎng)間邏輯強隔離裝置檢測到非法連接等安全事件信息時，就可以在“異常與告警”模塊寫入會話ID。隨后從信息內(nèi)網(wǎng)數(shù)據(jù)庫卡表項中讀取該ID信息，發(fā)送給管理信息大區(qū)與生產(chǎn)控制大區(qū)間橫向隔離裝置。最后搜集全部外部基線配置核查網(wǎng)絡非法鏈接信息、邏輯強隔離裝置安全事件信息及橫向隔離裝置安全事件信息。以會話ID的方式，進行關聯(lián)分析，保證電網(wǎng)信息安全設備聯(lián)動運行的精準性。

4總結

綜上所述，電力網(wǎng)絡攻擊事件的不斷出現(xiàn)，表明了以往單一安全防護設備無法滿足現(xiàn)階段電網(wǎng)信息安全管控要求。因此，相關人員應以不同類型電網(wǎng)安全防護設備組合應用為入手點，設置電網(wǎng)信息安全三道防線在線聯(lián)動模型。利用電網(wǎng)信息安全三道防線在線聯(lián)動模型，實現(xiàn)基線配置核查平臺、電網(wǎng)信息安全合規(guī)庫、防火墻的精準在線聯(lián)動，最大限度提升電網(wǎng)信息安全防御主動性，保障電網(wǎng)信息安全。

參考文獻

[1]陳春霖,屠正偉,郭靚.國家電網(wǎng)公司網(wǎng)絡與信息安全態(tài)勢感知的實踐[J].電力信息與通信技術,2017(6):3-8.

[2]張民磊.基線配置核查平臺與電網(wǎng)信息安全合規(guī)庫的聯(lián)合應用研究[J].數(shù)字技術與應用,2017(2):213-214.

[3]李峰.淺談電網(wǎng)信息安全設備聯(lián)動關鍵技術的應用[J].通訊世界,2018,341(10):124-125.

[4]王紅凱,黃益彬,馬志程.電網(wǎng)信息安全設備聯(lián)動關鍵技術[J].計算機與現(xiàn)代化,2017(2):57-60.

作者：劉圣龍 單位：國網(wǎng)思極網(wǎng)安科技（北京）有限公司