電力二次系統(tǒng)主動安全防御模型及體系結(jié)構(gòu)

賈鐵軍， 馮兆紅， 肖惜明， 張福杰

(上海電機(jī)學(xué)院 a. 電子信息學(xué)院， b. 電氣學(xué)院， 上海 201306)

電力二次系統(tǒng)是由各級電力監(jiān)控系統(tǒng)、電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)(State Power Dispatching network, SPDnet)、電力數(shù)據(jù)通信網(wǎng)絡(luò)(State Power Telecommunication Network, SPTnet)、電網(wǎng)管理信息系統(tǒng)(Management Information System, MIS)、電廠管理信息系統(tǒng)及電力通信系統(tǒng)等構(gòu)成的復(fù)雜系統(tǒng)[1]。國內(nèi)對電力二次系統(tǒng)主動安全防御模型和防御體系結(jié)構(gòu)的研究較少，文獻(xiàn)[1-2]中提出了電力二次系統(tǒng)安全防護(hù)的現(xiàn)狀、出現(xiàn)的問題、具體要求、管理和安全防護(hù)總體方案等；文獻(xiàn)[3]中研究了主動可控防御和電力信息系統(tǒng)安全防御體系的理論。雖然世界各國都非常重視對電力二次系統(tǒng)安全防護(hù)，然而，由于系統(tǒng)和業(yè)務(wù)更新、網(wǎng)絡(luò)安全技術(shù)提升和系統(tǒng)安全風(fēng)險的增加，且電力二次系統(tǒng)防護(hù)過程是個復(fù)雜的動態(tài)過程，故其在某些方面仍顯現(xiàn)出一定的缺陷和不足。我國對電力二次系統(tǒng)部署的防火墻和入侵檢測系統(tǒng)(Intrusion Detection System, IDS)等技術(shù)基本處于被動防護(hù)或只檢測、無阻斷狀態(tài)，且時常出現(xiàn)漏報、誤報問題，故我國的電力二次系統(tǒng)存在一定的安全風(fēng)險和隱患，迫切需要重新構(gòu)建主動、立體縱深、多層次的安全防御體系[1，3，4]。本文分析了電力二次系統(tǒng)的安全問題、安全分區(qū)及防護(hù)總體方案框架結(jié)構(gòu)的安全需求，提出了一種改進(jìn)的主動安全防御模型，構(gòu)建了新的電力二次系統(tǒng)主動安全防御體系結(jié)構(gòu)，并給出了具體的部署和實現(xiàn)方式。

1 電力二次系統(tǒng)安全需求分析

1.1 電力二次系統(tǒng)的安全問題

電力二次系統(tǒng)安全防護(hù)是個系統(tǒng)工程，根據(jù)“木桶原理”，其總體防護(hù)水平取決于系統(tǒng)中最薄弱的環(huán)節(jié)。筆者經(jīng)過對電力企業(yè)的電力二次系統(tǒng)深入地調(diào)研、分析后發(fā)現(xiàn)，目前，電力二次系統(tǒng)面臨的安全風(fēng)險主要包括信息泄漏、非法使用、攔截、旁路控制、竊聽、篡改、欺騙、拒絕服務(wù)、破壞完整性、管理或操作失誤等；主要由以下原因引起[4]： ① 電力系統(tǒng)采用的防火墻和入侵檢測技術(shù)等存在著一定缺陷或不足，被動防御或漏報誤報率高；② 系統(tǒng)之間信息交換缺乏加密及認(rèn)證機(jī)制、入侵檢測等預(yù)警機(jī)制、漏洞掃描和審計手段，接入存在安全隱患；③ 基本手動更新病毒庫，缺乏實時性，導(dǎo)致各廠、站端及工控機(jī)房管理困難；④ 安全防護(hù)目標(biāo)、策略和體系不健全，所采取的安全措施幾乎都基于被動防護(hù)；⑤ 管理區(qū)與生產(chǎn)區(qū)的數(shù)據(jù)雙向交互，各級調(diào)度系統(tǒng)結(jié)構(gòu)復(fù)雜，數(shù)據(jù)交互缺乏規(guī)則性，很難對系統(tǒng)及數(shù)據(jù)進(jìn)行統(tǒng)一的安全防護(hù)、動態(tài)管理和應(yīng)急處理。

電力二次系統(tǒng)安全防護(hù)主要針對網(wǎng)絡(luò)系統(tǒng)和基于網(wǎng)絡(luò)的電力生產(chǎn)控制系統(tǒng)，重點強(qiáng)化邊界防護(hù)，提高內(nèi)部安全防護(hù)能力，如圖1所示。其工作重點是確保電力實時監(jiān)控系統(tǒng)及SPDnet的安全[5]；抵御黑客和病毒等各種攻擊，保障系統(tǒng)的可用性和正常服務(wù)，保護(hù)重要信息在存儲及傳輸過程中的機(jī)密性和完整性，實現(xiàn)應(yīng)用系統(tǒng)和設(shè)備接入電力二次系統(tǒng)的身份認(rèn)證，防止非授權(quán)訪問，實現(xiàn)SPDnet和應(yīng)用系統(tǒng)的可審查性及安全管理等。

圖1 電力二次系統(tǒng)安全防護(hù)的重點Fig.1 Key of security protection in a secondary power system

1.2 安全分區(qū)及防護(hù)總體方案框架結(jié)構(gòu)

按照電力二次系統(tǒng)安全防護(hù)“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體原則[1]，根據(jù)其工作重點，將電力二次系統(tǒng)劃分為安全等級由高到低的Ⅰ～Ⅳ4個安全區(qū)，并有針對性地采取不同的安全措施[4，6]。其中，安全區(qū)Ⅰ為實時控制區(qū)，Ⅱ為非控制生產(chǎn)區(qū)，Ⅲ為生產(chǎn)管理區(qū)，Ⅳ為管理信息區(qū)。電力二次系統(tǒng)現(xiàn)有的安全分區(qū)及其系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)如圖 2所示。

2 主動安全防御模型

在網(wǎng)絡(luò)系統(tǒng)防護(hù)、檢測、響應(yīng)、恢復(fù)安全模型(Protection，Detection，Reaction，Recovery， PDRR)的基礎(chǔ)上，以“檢查準(zhǔn)備、防護(hù)加固、檢測發(fā)現(xiàn)、快速反映、應(yīng)急恢復(fù)、反省改進(jìn)”原則可改進(jìn)得到檢查、防護(hù)、檢測、響應(yīng)、恢復(fù)、反映(Inspection，Protection，Detection，Reaction，Recovery，Reflection， IPDRRR)模型[6-8]。經(jīng)過深入分析研究，并進(jìn)一步改進(jìn)和完善，本文提出了一種新的網(wǎng)絡(luò)系統(tǒng)主動安全防御模型, 如圖3所示。

在本文提出的主動安全防御模型中，根據(jù)網(wǎng)絡(luò)系統(tǒng)安全管理、策略、機(jī)制和標(biāo)準(zhǔn)，通過準(zhǔn)備預(yù)防、加固防護(hù)、檢測反饋、響應(yīng)阻斷、備份恢復(fù)、總結(jié)改進(jìn)(并審計追蹤、取證和偵破)的漸進(jìn)防御過程(6個環(huán)節(jié)相互作用、補(bǔ)充和完善)，來構(gòu)建主動安全縱深防御體系。

圖2 原電力二次系統(tǒng)安全防護(hù)總體框架結(jié)構(gòu)Fig.2 Original framework of security protection in a secondary power system

圖3 主動安全防御新模型Fig.3 New system model of active safety defense

3 主動安全防御體系的構(gòu)建與實現(xiàn)

3.1 主動安全防御體系結(jié)構(gòu)

通過對電力二次系統(tǒng)安全需求分析，以及對安全防護(hù)體系的探究，利用國家電網(wǎng)公司“電網(wǎng)信息安全等級保護(hù)縱深防御示范工程”項目成果，并參照ISO/IEC27001信息安全管理標(biāo)準(zhǔn)[9]，構(gòu)建新的電力二次系統(tǒng)主動安全防御體系結(jié)構(gòu)，其為一個三維立體防御體系，如圖4所示。

圖4 主動安全防御體系結(jié)構(gòu)Fig.4 Active defense system structure

該主動安全防御體系結(jié)構(gòu)如下： ① 水平方向的法律管理基礎(chǔ)層，分為網(wǎng)絡(luò)安全法律、政策、安全管理和道德規(guī)范教育；② 策略機(jī)制技術(shù)服務(wù)層，分為安全通信協(xié)議、網(wǎng)絡(luò)防御策略、防御機(jī)制、防御技術(shù)和安全服務(wù)；③ 多層(縱深)防御層，包括準(zhǔn)備預(yù)防、加固防御、檢測反饋、響應(yīng)阻斷、備份恢復(fù)和總結(jié)改進(jìn)(審計偵破)。其中，縱深的多層防御需要各層的安全防御策略、防御機(jī)制、技術(shù)和服務(wù)的支持，對各種系統(tǒng)資源進(jìn)行劃分，從邊界防御、網(wǎng)絡(luò)防御、管理平臺等層面構(gòu)建更有效的主動深層防御策略、機(jī)制和實現(xiàn)方案[10]。

3.2 主動安全防御體系部署與實現(xiàn)

國、內(nèi)外很多大型電力企業(yè)在電力二次系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全防御問題的事實已經(jīng)證明，電力二次系統(tǒng)的安全單獨依靠傳統(tǒng)的被動防護(hù)措施是無法實現(xiàn)的，只有通過主動安全防御進(jìn)行有效集成和部署，才能更好地發(fā)揮整體效能[11]。因此，電力二次系統(tǒng)主動安全防御體系的部署與實現(xiàn)方式，主要是采用縱深防御策略機(jī)制、統(tǒng)一威脅管理 (Unified Threat Management, UTM)平臺、智能入侵防御系統(tǒng)(Intrusion Prevention System, IPS)、認(rèn)證與加密和隔離技術(shù)等新技術(shù)、新方法和新應(yīng)用，取代一些安全管理效果欠佳和被動的安全檢測技術(shù)，利用本文提出的主動安全防御模型和主動防御安全防御體系，來完成實際的部署，如圖5所示。

圖5 電力二次系統(tǒng)主動安全防御體系部署Fig.5 Deployment of an active safety defense system in a secondary power system

根據(jù)電力二次系統(tǒng)主動安全防御體系部署，采用一體化方式(包括設(shè)計一體化、策略一體化和管理一體化)，通過各功能模塊的緊密配合、相互補(bǔ)充，安全策略的統(tǒng)一實施和管理[13]，來建立高效的立體防護(hù)體系。

按照圖5的部署，基于主機(jī)的IPS，實現(xiàn)對網(wǎng)絡(luò)和服務(wù)器異常行為的監(jiān)測、防御與響應(yīng)策略；主要監(jiān)控和防御調(diào)度管理信息系統(tǒng)(Dispatch Management Information System， DMIS)與SPInet之間、DMIS內(nèi)部訪問，以及外部對DMIS的訪問，以實現(xiàn)安全監(jiān)測中心對IPS的統(tǒng)一管理與控制。

借助本地服務(wù)器集群響應(yīng)、緩存支持和企業(yè)內(nèi)部云服務(wù)器同步實現(xiàn)技術(shù)[8]，通過功能集成，實現(xiàn)對客戶端/服務(wù)器端進(jìn)行分布式部署。采用基于可接受行為的訪問控制策略，對客戶端系統(tǒng)進(jìn)行全方位檢測、防御和維護(hù)；并采用基于CISCO路由器的IPsec-VPN，在專網(wǎng)上形成多個邏輯隔離的VPN[11,13]。

針對電力二次系統(tǒng)主動安全新防御體系，本文采用較通用的模擬測試方法，在網(wǎng)絡(luò)環(huán)境下入侵檢測數(shù)據(jù)集KDD Cup2012，采集5組數(shù)據(jù)，對系統(tǒng)進(jìn)行多種網(wǎng)絡(luò)攻擊和入侵檢測防御模擬實驗[14-15]，并與部署IDS及防火墻的原電力二次系統(tǒng)安全體系結(jié)構(gòu)進(jìn)行比較，比較結(jié)果如表1所示。

表1 原系統(tǒng)體系結(jié)構(gòu)與新體系結(jié)構(gòu)比較

由表可見，采用并部署IPS及UTM等電力二次系統(tǒng)主動安全防御體系結(jié)構(gòu)在各方面的性能都優(yōu)于原系統(tǒng)的安全體系結(jié)構(gòu)，特別是在整體檢測、誤報率及未知新攻擊防御方面效果更好。將電力二次系統(tǒng)主動安全防御新模型和主動安全防御體系用于某地區(qū)企業(yè)電網(wǎng)的電力二次系統(tǒng)安全防護(hù)工程的防護(hù)方案和實際業(yè)務(wù)的實施中，結(jié)果表明其安全防御能力有較大改善，提高了安全檢測與防御水平，而且降低了對異常行為的漏報率和誤報率。

4 結(jié) 語

電力二次系統(tǒng)的安全防御對整個電力系統(tǒng)的安全保障至關(guān)重要。本文集成網(wǎng)絡(luò)安全新技術(shù)、管理、策略和機(jī)制，針對系統(tǒng)不同層次結(jié)構(gòu)和需求，采取針對性有效措施構(gòu)建出一種新型多層次的主動安全防御體系。實驗結(jié)果表明，構(gòu)建的主動安全防御體系的安全檢測與防御能力較好。由于智能IPS和UTM新技術(shù)在國內(nèi)屬于新應(yīng)用，且將系統(tǒng)主動安全防御進(jìn)行統(tǒng)一配置，監(jiān)控、預(yù)警、評估、響應(yīng)、檢測、防御、響應(yīng)一體化及多重主動動態(tài)協(xié)同防御復(fù)雜程度高、難度大，故對其多個子系統(tǒng)和專項新技術(shù)的深入探究和改進(jìn)將成為后續(xù)工作的重點。

參考文獻(xiàn)：

[1] 國家電力監(jiān)管委員會.電力二次系統(tǒng)安全防護(hù)規(guī)定[EB/OL].http：∥www.gov.cn/gongbao/content/2005/content_75122.htm.

[2] 國家能源局.國家能源局關(guān)于印發(fā)《電力行業(yè)網(wǎng)絡(luò)與信息安全管理辦法》的通知[EB/OL].http：∥www.chinarein.com/file/hygf/201408/134519.html.

[3] 吳克河，劉吉臻，張彤，等.電力信息系統(tǒng)安全防御體系及關(guān)鍵技術(shù)[M]. 北京： 科學(xué)出版社,2011.

[4] 黃芬.電力二次系統(tǒng)安全防護(hù)方案的實施[J].電氣工程與自動化，2010(24)： 99.

[5] 梁智強(qiáng)，范穎.電力二次系統(tǒng)安全防護(hù)的DDoS攻擊原理及防御技術(shù)[J].計算機(jī)安全，2010(9)： 70-72.

[6] 賈鐵軍.網(wǎng)絡(luò)安全技術(shù)與實踐[M].北京： 高等教育出版社，2014： 128-158.

[7] 賈鐵軍.網(wǎng)絡(luò)安全技術(shù)及應(yīng)用[M].2版.北京： 機(jī)械工業(yè)出版社，2014： 167-186.

[8] Jia Tiejun,Feng Zhaohong,Wang Xiaogang.Construction and Implementation of Intelligent HIPS Based on Cloud[J].International Journal of Digital Content Technology and its Applications,2013,23(7)： 460-467.

[9] 劉兆霞，景國鋒，孫剛.電力二次系統(tǒng)安全防護(hù)體系探討[J].山西電力，2011(5)： 13-15.

[10] 白瑋,吳強(qiáng),張學(xué)平.適用多級安全網(wǎng)絡(luò)的BLP改進(jìn)模型[J].計算機(jī)應(yīng)用,2013,33(s1)： 134-136.

[11] 馮兆紅，賈鐵軍.電力二次系統(tǒng)主動安全防御策略及實現(xiàn)[J].電氣自動化，2014(16)： 34-35.

[12] 賈鐵軍,馮兆紅，連志剛.分布式電力企業(yè)信息NSMS的構(gòu)建與實現(xiàn)[J].上海電機(jī)學(xué)院學(xué)報，2013,16(1/2)： 34-38.

[13] 田嘉.電廠二次系統(tǒng)安全防護(hù)方案的設(shè)計與規(guī)劃[J].電力信息化,2011,19(4)： 60-64.

[14] 丁杰，高會生，愈曉雯.主動防御新技術(shù)及其在電力信息網(wǎng)絡(luò)安全中的應(yīng)用[J].電力系統(tǒng)通信，2004(8)： 42-45.

[15] 湯涌.電力系統(tǒng)安全穩(wěn)定綜合防御體系框架[J].電網(wǎng)技術(shù)，2012,36(8)： 1-5.