付鵬

摘 要：從電力調(diào)度數(shù)據(jù)網(wǎng)的安全風險出發(fā)，深入剖析目前國網(wǎng)宣城市供電公司調(diào)度數(shù)據(jù)網(wǎng)的安全威脅，根據(jù)威脅數(shù)據(jù)源制定安全威脅指標，并提出相應的安全防護對策及解決方案。以調(diào)度數(shù)據(jù)網(wǎng)安全威脅指標為依據(jù)，對調(diào)度數(shù)據(jù)網(wǎng)邊界設(shè)備、網(wǎng)絡(luò)設(shè)備及遠動設(shè)備的基本信息、運行信息及安全審計信息進行實時搜集，形成調(diào)度數(shù)據(jù)網(wǎng)安全的全面監(jiān)測，并支持可視化展示。

關(guān)鍵詞：調(diào)度數(shù)據(jù)網(wǎng)；風險分析；在線檢測；事件可視

中圖分類號：TN919.2 文獻標識碼：A 文章編號：1671-2064（2017）23-0130-02

調(diào)度數(shù)據(jù)網(wǎng)是電網(wǎng)調(diào)度自動化、管理現(xiàn)代化的基礎(chǔ)，是確保電網(wǎng)安全、穩(wěn)定、經(jīng)濟運行的重要手段，是電網(wǎng)系統(tǒng)的重要基礎(chǔ)設(shè)施。為了進一步深化調(diào)度數(shù)據(jù)網(wǎng)安全工作，需對調(diào)度數(shù)據(jù)網(wǎng)安全風險進一步分析、并形成完整的安全風險臺帳、設(shè)備臺帳。

隨著各種信息技術(shù)的應用，加大了網(wǎng)絡(luò)環(huán)境的復雜性，技術(shù)成分亦更加復雜，給入侵檢測、安全審計、流量檢測帶來諸多難題。目前，宣城電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的信息安全系統(tǒng)還未完全進行整合，非整體的運作方式勢必會導致不完整的安全策略，在技術(shù)、架構(gòu)和管理上留下多個漏洞，而這些漏洞只能靠投入昂貴的安全設(shè)備和不斷地增加運維人員來彌補。因此，需要展開調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用，結(jié)合傳統(tǒng)安全技術(shù)和主動防御技術(shù)的研究與應用，實現(xiàn)對宣城電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)的整體安全進行維護、監(jiān)控和管理。

1 現(xiàn)有調(diào)度數(shù)據(jù)網(wǎng)安全隱患分析

調(diào)度數(shù)據(jù)網(wǎng)承擔電力調(diào)度工作數(shù)據(jù)傳輸任務，然而其建設(shè)周期長，新老設(shè)備共存、設(shè)備種類繁多，廠站建設(shè)、運行、改造、維護過程經(jīng)常會發(fā)生設(shè)備變動、新增設(shè)備等情況，這些情況導致調(diào)度數(shù)據(jù)網(wǎng)工控設(shè)備臺帳準確度較低，設(shè)備所開放的網(wǎng)絡(luò)服務更是缺少臺賬，而且存在一些施工不規(guī)范等情況導致交換機當做透明設(shè)備使用。缺乏入侵檢測、行為審計、流量監(jiān)測及鏈路管理等安全防護手段。調(diào)度數(shù)據(jù)網(wǎng)設(shè)備管理區(qū)是設(shè)備安全管理最重要的環(huán)節(jié)，也是目前比較薄弱的環(huán)節(jié)。因此，做好電力調(diào)度數(shù)據(jù)網(wǎng)的安全技術(shù)管理任重而道遠。

目前，國網(wǎng)宣城供電公司調(diào)度數(shù)據(jù)網(wǎng)主要存在以下安全隱患：

（1）廠站工控設(shè)備臺帳信息不完整，設(shè)備入網(wǎng)未實現(xiàn)100%登記在冊或發(fā)生變化時未能及時更新臺帳信息。（2）廠站內(nèi)部因建設(shè)、技改等過程施工規(guī)范性不足，存在直接使用Hub和將交換機作為透明設(shè)備使用等現(xiàn)象；（3）廠站IP地址僅僅按照省調(diào)規(guī)劃分配地址使用，未能明確到設(shè)備與IP之間的具體映射關(guān)系，更未明確其設(shè)備所開放的網(wǎng)絡(luò)服務；（4）網(wǎng)絡(luò)設(shè)備運行臺賬和網(wǎng)絡(luò)地址資源通常獨立維護，沒有實現(xiàn)二者的聯(lián)動管理，導致設(shè)備臺賬與網(wǎng)絡(luò)地址資源對應信息難以維護，數(shù)據(jù)準確性較差，設(shè)備與網(wǎng)絡(luò)資源之間的對應關(guān)系混亂，直接造成維護的網(wǎng)絡(luò)數(shù)據(jù)可信度差；（5）缺少對調(diào)度數(shù)據(jù)網(wǎng)安全風險在線檢測和工控設(shè)備摸排、普查工具。

2 安全技術(shù)在調(diào)度數(shù)據(jù)網(wǎng)中的應用

調(diào)度數(shù)據(jù)網(wǎng)關(guān)注的網(wǎng)絡(luò)安全課題有：保障調(diào)度數(shù)據(jù)網(wǎng)每臺網(wǎng)絡(luò)設(shè)備運行穩(wěn)定；監(jiān)測核心鏈路流量傳輸情況；預防每臺網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)安全事件的發(fā)生；快速應對網(wǎng)絡(luò)設(shè)備故障或者網(wǎng)絡(luò)安全事件的發(fā)生；利用收集到的數(shù)據(jù)快速定位到導致網(wǎng)絡(luò)設(shè)備故障和網(wǎng)絡(luò)風險的源頭；加強調(diào)度數(shù)據(jù)網(wǎng)入侵防御體系等。

目前，調(diào)度數(shù)據(jù)網(wǎng)主要應用安全防護方案有物理隔離、數(shù)據(jù)加密和驗證、防火墻、訪問控制、信息過濾、數(shù)據(jù)備份、入侵檢測、查殺木馬和病毒等。在調(diào)度數(shù)據(jù)網(wǎng)中主要使用防火墻技術(shù)和縱向加密的技術(shù)來實現(xiàn)安全防護：一般在調(diào)度中心端和廠站端實行縱向加密認證措施，對網(wǎng)絡(luò)實現(xiàn)端對端的保護；在實時業(yè)務和路由器之間也進行縱向加密認證措施，在非實時業(yè)務和路由器之間可以選擇硬件防火墻或縱向加密認證措施。通過對傳輸數(shù)據(jù)進行加密認證，防止數(shù)據(jù)在網(wǎng)絡(luò)的傳輸過程中出現(xiàn)破壞和篡改的現(xiàn)象，保證數(shù)據(jù)的安全性。網(wǎng)絡(luò)安全的應用包括網(wǎng)絡(luò)設(shè)備安全、虛擬局域網(wǎng)的劃分、安全訪問控制、惡意代碼防范、加固審計策略、專用安全設(shè)備網(wǎng)絡(luò)服務整合，等等。

3 調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用

調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用，從電力二次系統(tǒng)安全防護角度出發(fā)，結(jié)合當前先進的安全理念與實用技術(shù)，針對電力調(diào)度數(shù)據(jù)網(wǎng)中存在的安全隱患進行分析，并制定相應的安全防護對策及解決方案，實現(xiàn)電力調(diào)度數(shù)據(jù)網(wǎng)安全技術(shù)的升級與優(yōu)化。

3.1 解決方案

調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用，通過對電力調(diào)度數(shù)據(jù)網(wǎng)中存在的主要安全威脅和各種威脅的在線檢測技術(shù)的研究，以自動化專業(yè)拓撲為核心，實現(xiàn)全網(wǎng)段設(shè)備拓撲圖的集中管理，將涉及到調(diào)控業(yè)務的安全I/II/III區(qū)網(wǎng)絡(luò)設(shè)備按照不同分區(qū)、分層直觀繪制，使不同分區(qū)的自動化系統(tǒng)網(wǎng)絡(luò)拓撲在一個平臺集中展現(xiàn)和維護。并根據(jù)威脅數(shù)據(jù)源制定安全威脅指標，以調(diào)度數(shù)據(jù)網(wǎng)安全威脅指標為依據(jù)，對數(shù)據(jù)網(wǎng)邊界設(shè)備、網(wǎng)絡(luò)設(shè)備及遠動設(shè)備的基本信息、運行信息及安全審計信息進行實時搜集，形成調(diào)度數(shù)據(jù)網(wǎng)安全的全面監(jiān)測，支持可視化展示。

3.1.1 調(diào)度數(shù)據(jù)網(wǎng)安全風險點分析

網(wǎng)絡(luò)威脅來源于設(shè)備安全隱患、環(huán)境威脅和人為威脅，項目主要研究網(wǎng)絡(luò)上可以檢測出來的設(shè)備安全隱患及環(huán)境威脅，如設(shè)備漏洞、鏈路故障等，這些威脅發(fā)生頻率較高，對網(wǎng)絡(luò)安全運行的危害大小不一。威脅事件發(fā)生的可能性受多種指標的影響，把威脅發(fā)生可能性的指標劃分為環(huán)境信息、人為信息和狀態(tài)信息三種，并研究各類威脅的各項具體指標。

3.1.2 調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)拓撲、基礎(chǔ)臺賬管理

從全局的角度對電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理，實現(xiàn)調(diào)控自動化系統(tǒng)依賴的基礎(chǔ)數(shù)據(jù)實現(xiàn)集中管理功能，主要包括設(shè)備臺帳管理、網(wǎng)絡(luò)拓撲管理、IP資源管理及屏柜管理、系統(tǒng)管理等。

3.1.3 調(diào)度數(shù)據(jù)網(wǎng)安全風險在線檢測

通過調(diào)度數(shù)據(jù)網(wǎng)安全風險在線檢測，實現(xiàn)對調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備狀態(tài)的監(jiān)測，包括調(diào)度數(shù)據(jù)網(wǎng)邊界設(shè)備、網(wǎng)絡(luò)設(shè)備及終端設(shè)備的基本信息、運行信息及安全審計信息進行實時搜集、檢測，再通過關(guān)聯(lián)分析技術(shù)實現(xiàn)風險可視化展示，方便運維管理人員能夠迅速發(fā)現(xiàn)、定位和解決安全隱患，有效應對安全事件的發(fā)生。endprint

3.2 技術(shù)措施

調(diào)度數(shù)據(jù)網(wǎng)設(shè)備在運行過程中會產(chǎn)生大量的事件信息，事件信息包括豐富的運行狀態(tài)、用戶操作、潛在安全告警等數(shù)據(jù)。通過調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用，以實現(xiàn)日志的標準化采集、存儲為基礎(chǔ)目標，并實現(xiàn)基于關(guān)鍵字的網(wǎng)絡(luò)行為有效分析，進而實現(xiàn)調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)安全事件在線監(jiān)測，幫助網(wǎng)絡(luò)運維人員及時掌握整個網(wǎng)絡(luò)運行狀態(tài)、潛在的安全風險。

3.2.1 基于拓撲關(guān)系的臺帳管理

建立調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)拓撲、基礎(chǔ)臺帳管理模型，按照多分區(qū)、多平面繪制基于拓撲結(jié)構(gòu)的臺帳管理。可從OMS、PMS等其它系統(tǒng)導入設(shè)備臺賬信息，維護整個調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)環(huán)境運行的網(wǎng)絡(luò)設(shè)備日志采集方式。

3.2.2 采用Syslog協(xié)議作為日志采集的主要采集協(xié)議

Syslog是一種工業(yè)標準的協(xié)議，可用來記錄設(shè)備的日志。在路由器、交換機、服務器等網(wǎng)絡(luò)設(shè)備中，syslog記錄著系統(tǒng)的任何事件，管理者可以通過查看系統(tǒng)記錄，隨時掌握系統(tǒng)狀況。

Syslog使用UDP作為傳輸協(xié)議，通過目的端口514（也可以是其他定義的端口號），將所有安全設(shè)備的日志管理配置發(fā)送到安裝了Syslog軟件系統(tǒng)的日志服務器，Syslog日志服務器自動接收日志數(shù)據(jù)并寫到日志文件中。

3.2.3 采用syslogd作為日志后臺采集及存儲服務

基于標準的數(shù)據(jù)格式實現(xiàn)各類廠家不同類型設(shè)備日志的自動化采集，同時能夠以支撐關(guān)系查詢的日志存儲方式支持調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備日志的集中存儲。

根據(jù)syslog協(xié)議，開發(fā)syslog后臺接收服務程序syslogd。syslogd日志采集服務在syslog協(xié)議指定的UDP端口514進行監(jiān)聽。syslogd中采用MySQL數(shù)據(jù)庫存儲日志，便于后期的日志數(shù)據(jù)分析。

采用syslogd作為日志數(shù)據(jù)采集的方式，實現(xiàn)原始日志信息的采集，分別以日志文件和日志數(shù)據(jù)庫為中心進行的日志數(shù)據(jù)分析采集有用的日志信息。保證了采集工作各項事務能獨立完成：syslog服務器采集原始日志數(shù)據(jù)不受后面程序分析采集、數(shù)據(jù)庫讀寫等的影響，后面的分析采集部分不受syslog服務器采集工作影響而減慢分析采集的速度。

3.2.4 基于正則表達關(guān)鍵字的安全策略處理實現(xiàn)安全風險分析

針對調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)絡(luò)設(shè)備集合定義不同的安全觸發(fā)策略集合，實現(xiàn)設(shè)備日志分析的等級管理；根據(jù)預先設(shè)定的分析策略和安全事件檢測規(guī)則庫自動進行日志分析。并支持根據(jù)時間段、設(shè)備、日志等級及關(guān)鍵字等日志進行過濾查詢及日志導出。

不同廠家、不同類型的交換機針對同一安全事件具有不同的表達，同時安全事件和時間、設(shè)備IP、端口等信息存在一定的關(guān)聯(lián)，是一個動態(tài)的數(shù)據(jù)，為了更好的匹配出存在風險的行日志，基于正則表達式對行日志進行過濾，避免基于單純的關(guān)鍵字匹配存在的局限性、同時安全策略可以有多個關(guān)鍵字形成的邏輯關(guān)系組成一套完整的過濾策略，邏輯關(guān)系支持包含、排斥兩種。

4 結(jié)語

調(diào)度數(shù)據(jù)網(wǎng)安全風險檢測技術(shù)研究及應用，運用多元化的技術(shù)手段（結(jié)合傳統(tǒng)安全技術(shù)和主動防御技術(shù)的研究與應用），對電力調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)絡(luò)設(shè)備及網(wǎng)絡(luò)服務進行整體安全進行維護、監(jiān)控和管理，以減少調(diào)度數(shù)據(jù)網(wǎng)在復雜的網(wǎng)絡(luò)環(huán)境的各種安全隱患，保障電力調(diào)度數(shù)據(jù)網(wǎng)的平穩(wěn)、安全運行，提高調(diào)離調(diào)度數(shù)據(jù)網(wǎng)的安全性。

參考文獻

[1]申芳，劉晴.貴州電力調(diào)度數(shù)據(jù)網(wǎng)應用特性測試技術(shù)研究[J].電力系統(tǒng)通信，2011.

[2]肖振華，鐘志萍，徐星.電力調(diào)度數(shù)據(jù)網(wǎng)安全技術(shù)分析[J].信息技術(shù)，2015.

[3]磨正坤.電網(wǎng)調(diào)度數(shù)據(jù)網(wǎng)信息安全分析[J].廣西電力，2012.endprint