摘要:为降低电力调度中心运维工作的各项安全风险,设计了一种安全设备、运维设备专用的网络结构。该网络可与现有的调度自动化系统网络共同工作,并能对安全设备、运维设备的网络连接进行精细地访问控制,有效降低各项安全风险。此外,该网络还可方便地对上下级调度中心的安全防护系统进行统一管理,为安全态势感知等高级应用提供支持。应用效果表明,安全运维网络有效降低了恶意代码传播、IP地址冲突等风险,大大提升了系统安全性和运维效率。
关键词:电力调度自动化系统;监控系统;安全运维;网络结构设计
SCADA、DTS、OMS等电力调度自动化系统各自拥有属于自身的骨干网络或横向互联网络。当需要对某个系统进行维护、升级等操作时,传统的做法是将运维工作站、笔记本电脑、拨号装置等设备接入这些系统的骨干网络和横向互联网络;当需要建设IDS、漏扫系统、审计系统、威胁发现等安全防护系统时,往往也使用同样的方式,将安全防护系统接入这些网络。这种运维方式存在诸多弊端:(1)无法控制运维人员的访问权限。(2)传播恶意代码。(3)IP地址冲突。(4)施工过程影响网络稳定。为解决上述问题,本文设计了一种安全设备、运维设备专用的网络结构(以下简称“安全运维网络”),该网络的建立无需改变原有的电力监控系统网络,同时又能将安全设备、运维设备与业务网络在逻辑上进行隔离,实现细粒度的访问控制。此外,安全运维网络还可以支持上下级调度中心安全防护系统的统一管控。
1安全运维网络的设计与实现
1.1总体结构
安全运维网络的总体结构符合“安全分区、网络专用、横向隔离、纵向认证”的电力行业安全防护方针和国家相关部门要求,其总体结构如图1所示。图中上部分(生产控制大区、管理信息大区)为原有的电力调度自动化系统网络结构,下部分为安全运维网络的主要结构。从图中可见,建立安全运维网络不需要改变原有的电力监控系统网络。在生产控制大区和管理信息大区分别建设安全运维网络,这两个大区中都需要分别为安全设备、运维设备分配一个与原有业务网段互相独立的网段,并确保上述各网段之间均有防火墙做逻辑隔离。图中A、D分别为生产控制大区和管理信息大区的安全设备网段;B、C分别为生产控制大区和管理信息大区的运维设备网段。如果两个大区的安全运维网络之间需要交换数据,应通过电力专用横向隔离装置进行。
1.2安全运维网络的实现
1.2.1各网段之间的互联
在生产控制大区,安全运维网络可通过Ⅰ、Ⅱ区之间的横向防火墙接入Ⅰ、Ⅱ区各网段。系统原有的各个横向防火墙可实现安全设备网段(A)与业务网段的互联和访问控制。同时,使用1个额外的防火墙(G)将安全设备与运维设备隔离开。运维设备使用1个专用的网段(B)。在管理信息大区,安全运维网可通过1个安全运维专用的防火墙(H)接入Ⅲ区网络。该防火墙可实现业务网段、安全设备网段(D)、运维设备网段(C)三者之间的互联和访问控制。
图1 安全运维网络总体结构
1.2.2安全设备汇聚区的实现
在安全设备汇聚网段(图中A、D部分)宜部署防病毒中心、IDS、漏扫系统、日志审计系统、运维审计系统(堡垒机)、网管系统、电力专用拨号装置、自动化运行管控系统等安全防护系统或其它仅有辅助功能,与核心业务运行无直接关系的系统及设备。通过相应防火墙的访问控制功能,可以限制安全设备与核心业务网段之间仅能进行必要的通信。例如,只有堡垒机可以访问各业务主机的SSH服务,只有日志审计系统可以采集各主机的日志等。通过恰当的策略设置,可以确保所有的运维动作都被记录和审计。若安全设备汇聚区有正在施工的系统,因误操作等原因引起的网络环路等意外也不会越过防火墙波及业务网段。
1.2.3运维设备汇聚区的实现
运维设备汇聚区用于集中地接入工作站、笔记本电脑等运维设备或其它外来的、临时的设备。运维设备汇聚区可使用DHCP服务方便相关设备的接入,也可以建设网络准入功能,仅允许经过准入认证的设备接入网络。在防火墙G和H上,可以限制运维设备只能访问堡垒机的SSH或Remote Terminal服务,以及一些安全设备的管理页面,而不能访问敏感的后台或其他服务。这样可以确保运维设备无法越权访问主机和服务。在生产控制大区,运维设备与各业务网段之间有两道防火墙,以实现更严格的安全控制。
2安全应用
安全运维网络的设计与实现,有效降低恶意代码传播、IP地址冲突等风险,提升了系统安全性。
2.1更清晰的结构划分。安全运维网络为安全设备、运维设备分配了独立的网段,确保A、D部分的堡垒机、防病毒中心、管控系统等设备施工工作对网络产生的影响不会波及业务网段。
2.2更高的防护水平。安全运维网络使用防火墙将业务网段、安全设备网段、运维设备网段进行逻辑隔离并实现端口级别的访问控制。管理员可以通过白名单方式控制运维设备访问工作所需的主机和端口,避免了蠕虫等恶意代码利用某些不被注意的端口和服务传播。防火墙的作用并不限于上述所描述的互联和访问控制功能。如果内网业务区域有非常敏感的服务,但又必须被运维人员访问,安全运维网络还可以通过防火墙NAT功能将内网敏感服务的真实地址隐藏起来,以降低被恶意访问或被定制恶意代码攻击的风险。如果使用带有攻击特征识别功能的新一代防火墙,还可以实时地检测外来运维设备的访问流量,警告或切断一些向内网渗透的危险行为。
2.3更严格的访问控制。结合运维审计系统的权限控制功能,安全运维网可将权限控制到账户级别,即特定的人仅能访问特定主机特定服务的特定账户。同时可对所有的访问行为进行记录和审计,有效避免运维事故。
2.4统一的安全管理。在图1中,E、F分别指示了安全运维网络在生产控制大区和管理信息大区的上下级互联出口。在上下级出口之间,可以使用专线等方式互联。安全运维网络的上下级互联可以支持多种高级安全应用。例如,上级防病毒中心可以将病毒库和系统补丁统一地分发给所有下级中心,极大地减少全网的防病毒中心维护工作量,还可以实时地采集全网病毒查杀情况;上级安全管理中心可以实时采集各下级IDS的检测情况,结合病毒疫情展示全景的安全态势感知。对于堡垒机,上级管理中心可以统一地下发管控策略,例如在全网范围禁止执行某些高危命令。这些统计信息可以为其他更深入的安全形势分析提供基础数据支持。后续更多的统一安全管理形式也可以通过安全运维网络的上下级互联通道进行。
3实际应用
安全运维网络建立后,IDS、管控系统等各种安防系统可以在其中建设。施工、试验过程不必担心对核心业务系统的影响,减少了束缚,各项安防系统得以更快地推进建设。
在实际应用中,运维设备汇聚区通过DHCP方式为运维设备分配地址,不仅比以往的人工分配方式更安全,而且效率也显著提高。一个新来的工程师接入网络的平均时间由过去的15 min缩短为3 min。
4结语
安全运维网络的建立,可以显著降低电力调度控制中心各项运维工作的安全风险,提高系统安全性和运维效率,同时,还可支持诸如统一策略管理、特征库共享、全网安全态势感知等高级安全应用。
参考文献:
[1]李潇,刘俊奇,范明翔.WannaCry勒索病毒预防及应对策略研究[J].电脑知识与技术,2017,24(19):19-20.
[2]郭庆来,辛蜀骏,王剑辉,等.由乌克兰停电事件看信息能源系统综合安全评估[J].电力系统自动化,2016,40(5):145-147.
[3]孙强.美以“震网”行动浅析[J].军事历史,2015,33(3):53-56.
论文作者:张佳楠
论文发表刊物:《电力设备》2018年第25期
论文发表时间:2019/2/13
标签:网段论文; 网络论文; 设备论文; 系统论文; 大区论文; 防火墙论文; 安全设备论文; 《电力设备》2018年第25期论文;