国网冀北电力有限公司营销部 北京 100054
摘要:电力用户用电信息采集系统(简称:采集系统)是对电力用户的用电信息进行采集、处理和实时监控的系统,实现用电信息的自动采集、计量在线监测、费控管理、有序用电管理、电能质量监测、采集数据发布、采集运维监测、用电分析等功能,是智能电网建设的重要内容,是加强精益化管理、提高优质服务水平的必要手段,是延伸电力市场、创新交易平台的重要依托,随着采集数据的应用需求越来越多,采集系统作为基础数据来源越发重要。
关键词:用电信息采集系统;安全防护;设计;分析
用电信息采集系统的重要性和安全性日益提升。2015年12月23日,乌克兰电力网络因黑客攻击发生大面积停电,为防范此类攻击,根据发改委14号令及能源局36号文的精神指引,在国家电网开展采集系统安全优化工程项目,以提高信息安全防护水平,增加横向及纵向防护能力,保障电力生产业务的稳定运行。
一、建设方案设计
1.建设目标
将电力用户用电信息采集系统部署在国家电网公司管理信息大区的信息内网,在信息内网中独立成域,按照等级保护三级防护要求进行安全防护设计,并在采集系统内部进行安全域划分,结合公司安全防护具体要求,从边界安全防护、网络环境安全防护、主机系统安全防护、应用安全防护、终端安全防护五个方面制定安全防护策略。
按照14号令和36号文的要求,对用电信息采集系统进行重新分区,将采集系统主站划分为四个区六个边界,原有三个区从外到内分别为通信信道区、安全接入区和应用区,新增营销生产控制大区(根据信通部信息安全防护要求,所有带控制功能业务系统均需划分至该区域,由于营销费控相关系统具有高实时性特点,无法整体迁移至该区域并通过正反向隔离装置与外部交互,因此需该业务主管部门明确该系统分区域部署方式);六个边界分别为无线公网接入边界□A(通信信道区与安全接入区边界),安全接入区与应用区边界□B,边界□A□B合称为信息内网与第三方边界。同时还有信息内网横向域间边界□C(统一接口平台)、信息内网纵向上下级单位边界□D(Web应用接口)、营销生产控制大区与管理信息大区纵向边界□E以及营销生产控制大区与管理信息大区横向边界□F,重新分区方式与设备部署如图:
2.信息内网与第三方边界
(1)基础网络优化
在安全接入区增加2台核心交换机,分别部署于安全接入区边界防火墙与通信前置服务器集群、通信服务前置服务器集群与应用区边界防火墙之间,形成两个独立VLAN,延长终端设备接入用电信息采集系统主站的路径,以便分段进行安全防护。
(2)通用设备扩展
增加前置集群,将通信前置功能由原有前置服务器中剥离,并设置专用通信前置设备实现通信转发功能,新增通信前置集群串行部署于原前置设备与安全接入区边界防火墙之间,部署2台负载均衡器实现通信前置集群的流量均摊与高可用保障。
(3)安全设备增容
在安全接入区与通信信道区边界防火墙连接的核心交换机上增加3A认证服务器(部分已部署),主要功能为对无线公网通信的SIM卡进行白名单方式的准入认证。同时增加2台IPS设备,完成安全接入区的边界入侵防御工作。同时为安全接入区与通信信道区边界添加防火墙对多种接入方式进行边界防护。
在安全接入区与应用区边界增加专用隔离网关,作为实现信息内网的与第三方网络的纵向网络隔离设备。
3.信息内网横向域间边界
(1)基础网络优化
通过VLAN划分等安全方式将应用区与信息内网外部系统进行网络隔离。
(2)通用设备扩展
在应用区中增加统一接口服务平台,将不同信息内网外部系统的多个接口服务器通过该平台进行统一管理。
(3)安全设备增容
在统一接口服务平台与管理信息大区其他业务系统(数据目标系统)之间部署IPSec VPN设备,通过建立专用隧道的方式保证数据交互通道安全可靠,并部署签名验签服务器对关键数据进行签名/验签,实现应用区与信息内网外部系统的网络逻辑隔离与数据机密性、真实性保障。
4.信息内网纵向上下级单位边界
在应用区与下级用户单位边界处增加安全认证网关,与用户终端处的安全浏览器联动,实现信息内网纵向上下级单位用户对用电信息采集系统应用区的安全接入与权限控制,完成应用区与信息内网纵向上下级单位边界的网络逻辑隔离。
5.营销生产控制大区与管理信息大区纵向边界
(1)新增安全区
在管理信息大区用电信息采集系统域中新划分出营销生产控制大区,将有序用电业务负控功能、营销远程实时费控系统以及营销业务应用费控审核模块从用电信息采集系统中剥离并部署于该区域之中,控制指令由营销生产控制大区经安全接入区纵向下发至各用电终端处。
(2)安全区边界隔离
新增营销生产控制大区与管理信息大区中的用电信息采集系统通过部署电力专用正反向隔离装置进行纵向边界隔离。
(3)控制指令下行应用层加密保护
重发采集前置服务器处的密码机,去除其中为控制业务服务的密钥,为营销生产控制大区新部署一类控制密码机,与终端(ESAM)之间专为控制数据建立应用层的加密保护通道。
6.营销生产控制大区与管理信息大区横向边界
(1)安全区边界隔离
在营销生产控制大区与管理信息大区中的用电信息采集系统以及其他业务系统边界处部署电力专用正反向隔离装置进行边界隔离。
(2)其他系统控制指令真实性保证
外部应用系统发出的控制指令,需经过本地的签名验签服务器签名后方可提交至营销生产控制大区,有序用电业务负控功能、营销远程实时费控系统以及营销业务应用费控审核模块需采用区内的签名验签服务器验签后方可执行。
7.网络环境安全防护实施
网络环境安全防护实施是对用电信息采集系统域中的网络设备及经网络传输的业务信息流进行安全控制措施的实现。
(1)网络设备安全防护实施
网络设备安全防护实施是对用电信息采集系统域中的网络基础互联设施进行安全配置,包括对路由器、交换机等网络基础互联设施及防火墙、入侵检测等网络安全设备的配置。
(2)网络信息流安全防护实施
网络业务信息流安全防护实施包括对各应用经由用电信息采集系统域网络传输的业务信息进行安全防护,业务数据流在经由网络传输时可能被截获、篡改、删除,在网络层面采取安全措施以保证经由网络传输信息的安全。
(3)主机系统安全防护实施
主机系统安全防护包括对服务器及桌面终端的安全防护。服务器包括业务应用服务器、数据库服务器、网络服务器、WEB服务器、文件与通信等;桌面终端包括作为终端用户工作站的台式机与笔记本计算机。
8.应用安全防护实施
业务应用安全防护从应用系统安全防护、用户接口安全防护、数据接口安全防护三个层面进行防护。
1、控制命令处理
(1)控制前置服务
主要完成控制命令的解析和转发,包括文件生成和处理。
(2)通信前置改造
通信前置服务器负责与终端之间的通信链路维持、数据报文协议格式检查,对符合协议格式的数据进行数据摆渡,实现不同VLAN间的数据传输;实现协议过滤和数据摆渡。
进行应用层加密认证,在采集前置(密码机)和终端(ESAM)之间建立的应用层的加密保护,主要用于权限控制,对控制命令、参数设置、电价调整等关键指令进行权限控制。
(3)控制应用服务
控制应用服务器主要负责专变费控、低压费控等任务接收、报文组装、加密、控制返回报文文件处理、解析,控制结果更新、反馈。
调整用电信息采集系统,使得通过将内网文件系统Web化,使用户直接通过浏览器就能在内网文件系统上创建和浏览目录,进行下载、上传、改名、删除等文件操作,就像对本机文件系统进行操作一样方便安全。通过支持SMB/CIFS协议和NFS协议,实现了用户对Windows文件系统和Linux文件系统的安全远程访问。
调整用电信息采集系统应用服务,采用SSL协议对TCP应用进行保护,并且对TCP应用进行访问控制。通过在客户端安装控件拦截待转发的TCP服务,并且将数据流经SSL协议加密传送给安全接入网关,由安全接入网关解密并解析后传送给相应的应用服务器,从而确保了应用的安全。通过控制应用服务端口,完成对应用的访问控制。
9.业务应用系统正反向隔离装置消息同步、模型同步
(1)消息同步
(2)跨正向隔离消息传输
通过正向隔离实现控制区与管理区消息转发直接使用TCP链接。消息转发服务实现了跨区转发功能,其包括消息发送常驻服务程序和消息接收常驻服务程序,这两个程序配置分别运行在管理大区和控制区节点上。通过消息代理服务进行消息同步。
(3)跨反向隔离消息传输
管理区到生产控制区只能通过E文件传输。消息可以接照主题进行接收,并转为E文件存入指定的传输目录,然后由反向隔离通信程序传输到生产控制区。
(4)跨区模型同步
用电采集系统在两个区同时安装部署模型数据库,模型维护功能部署在管理大区。在管理大区完成模型维护操作后需要将模型数据同步至生产控制区模型数据库,并在生产控制区发布模型更新消息。
跨区模型同步功能的主要流程包括:
管理区应用进行模型变更操作,如果成功完成模型变更操作,调用模型变更服务将模型操作对应的SQL发送给模型变更服务;如果模型变更操作失败,则完成模型变更流程;
模型变更服务接收到模型变更SQL后投递模型变更消息,如果消息投递成功,则模型变更消息发送至消息服务器;如果消息投递失败,则需要将模型变更消息持久化。模型变更服务定期检测模型变更消息,待消息发送功能正常后,继续投递模型变更消息;
在管理区消息服务器接收到模型变更消息后,跨区消息同步程序自动将模型变更消息同步至控制区消息服务器;
控制区的模型同步服务订阅模型变更消息,接收到消息后进行模型入库操作,如果正常完成模型入库操作,模型同步服务发布模型变更确认消息;如果无法完成模型入库操作,则将模型变更消息中的SQL持久化。模型不同服务定期检测模型变更SQL,待入库操作功能正常后完成模型变更入库;
控制区模型变更入库后,模型同步数据需要发布模型变更确认消息,如果确认消息成功发送,则模型同步流程结束;如果消息不能成功发送,则需要将确认消息持久化。模型同步服务定期检测模型变更确认消息,待消息发送功能正常后,继续投递模型变更确认消息。
10.WEB应用适应性改造
针对定制的安全浏览器,及安全浏览器对代码的解析,调整页面显示效果不统一的情况。用电信息采集系统WEB查询部分需要进行响应式设计,解决相关兼容性问题,如字体响应式设计、图像网格响应式设计、流体布局改造,基于安全浏览器功能兼容性改造。
完成用户操作权限控制和操作内容比对,具体如下:
(1)通过USBKey、指纹、用户名口令等方式,实现对不同类用户群体的身份鉴别;
(2)采用基于SSL传输层加密方式,在客户端与Web应用服务器之间的建立加密隧道,实现数据的加密传输;
(3)增加权限控制功能,对用户的操作请求(特别是控制指令和调电价等关键业务)进行比对控制。
(4)在Web用户操作时,应用程序应对操作对象、操作内容与营销工单内容进行比对认证,一致后执行工单命令。
论文作者:岳虎
论文发表刊物:《防护工程》2017年第31期
论文发表时间:2018/3/13
标签:模型论文; 边界论文; 消息论文; 信息论文; 大区论文; 安全防护论文; 采集系统论文; 《防护工程》2017年第31期论文;