《装备维修技术》2021年第2期
包装箱制作
—243—
李晓菲
(国网河南省电力公司许昌供电公司,河南 许昌 461000)
引言
电力监控系统是控制与管理电能生产、传输与消费等环节的信息系统,作为关键信息基础设施,其网络安全意义重大。本文将从电力监控系统网络安全现状、网络安全加固技术出发,结合软硬件国产化改造,探讨针对电力监控系统的网络安全加固实践。 1电力监控系统网络安全管理平台应用价值分析
通过在内网安全监视平台中接入电力监控系统安全防护装置,并增加安全审计、统计分析、集中监控等功能于内网安全监视平台内,网络安全运行情况及部署的安全设备运行状况即可得到实时监视,网络安全事件的综合分析、集中可视化、实时警报也可实现,并满足电力系统安全评估的数据需要,电力系统的安全防控与管理能力随之提升。内网安全监视平台属于现阶段多数电力监控系统的核心,由此建立的安全防护体系以栅格状网络为基础,但结合实际调研可以发现,现阶段很多内网安全监视平台仅能够监测防护装备的在线及运行情况,安全分区内部系统及设备的运行情况无法探测和感知,安全分区内部的危险源与病毒源在这种情况下无法有效控制,安全事件很容易因被遗漏的潜在危险引发,因此必须设法向网络设备、工作站、服务器扩展网络安全监测和感知范围,动态管控的网络安全防护体系可由此建成。为实现电力监控系统网络安全风险的精确定位和监测,必须建设新一代网络安全管理平台,以此实现实时响应、全面安全管理并增加自主可控防护,辅以专用网络安全监测技术,这一网络安全管理平台即可更好保障电力监控系统的网络安全。 2电力监控系统网络安全监视体系的建设背景
2015年12月,乌克兰电力系统发生网络黑客攻击事件,导致伊万诺-弗兰科夫斯克地区发生大面积停电;2017年5月,一种名为“想哭”的病毒袭击全球150多个国家和地区,影响领域包括政府部门、医疗服务、公共交通、邮政、通信和汽车制造业;2019年3月,委内瑞拉电力系统遭遇网络攻击,造成包括委内瑞拉首都加拉斯加在内的23个州中约有22个州出现电力供应中断。种种教训告诉我们,电
力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,电力监控系统的网络安全形势异常严峻,建设网络安全防护体系,有效抵御网络黑客攻击,加强网络空间的安全监管已日趋紧迫。 3电力监控系统网络安全加固方法
3.1网络及电力二次安防设备加固 电力监控系统所处的网络结构被强制划分为生产控制和管理信息两个大区,区域内由交换机、路由器、防火墙、入侵防御设备、防病毒管理中心、电力专用纵向加密认证装置、电力专用横向隔离装置等构成,彼此之间相互协助,共同构建了电力监控系统基础的网络安全环境。这一部分的加固工作涉及网络的物理环境与逻辑环境两个层面,包括策略修改、补丁安装及软件升级、硬件设备的增改、系统所处安全区再评估及迁移等。(1)策略修改、补丁安装及软件升级是常规的网络安全加固方式,针对存量网络及电力二次安防设备具有成本低、效率高的特点,具体内容包括:以最小权限开放IP 地址及端口,置顶黑名单与封堵高危端口,部分业务通道开启加密方式传输、安装设备补丁、升级设备软件及网络安全设备特征库等。(2)硬件设备的增改,网络安全技术日新月异,适度的增加或改变网络与安防设备,对抵御新的网络安全风险有立竿见影的效果,具体内容有:网络边界增加入侵防御系统,在生产控制和管理信息大区部署网络安全态势感知装置、移动介质管控平台及防病毒管理中心,将生产控制II 区纵向互联防火墙更换为电力专用纵向加密认证装置等。(3)系统所处安全区再评估及迁移,电力监控系统是不断完善与发展的,其所面对的网络安全威胁也是变化的。比如某个电力监控系统升级改造后,其监测与控制功能的增强,其所承载数据的性
质改变,将导致其网络安全形势产生改变,这就需要对系统所处安全区进行再评估,给出系统是否迁移的建议,这种迁移主要表现为部分
段远程
系统功能模块从低安全区向高安全区部署,由于各自所属安全区的改变,迁移后系统模块的数据交互必须通过防火墙或电力专用横向隔离装置进行。举宫
3.2主机操作系统加固
操作系统位于硬件与应用软件之间,是最为重要的系统软件,当前电力监控系统使用的操作系统主要是Windows 和Linux,多种版本并存,大量老旧主机的操作系统已经停止了技术支持,特殊的网络环境让系统无法及时更新安全补丁导致漏洞不能修复,杀毒软件陈旧与缺失问题严重,不合理的配置也使得网络安全风险极高。针对操作系统存在的隐患,安全加固将从身份鉴别、安全审计、资源控制、访问控制、入侵防御五个方面进行[4]。(1)身份鉴别是对账户与口令的加固,主要包括禁用默认账号、删除多余账户、强化口令复杂度和时效性、启用登录失败处理功能等。(2)安全审计则是启用操作系统的日志审计功能,对登录、访问、策略修改等系统事件进行记录。(3)资源控制是对登录终端的操作超时进行锁定。(4)访问控制是对系统服务、端口、共享功能、远程访问、系统注册表等方面进行加固,具体内容为禁用Web、telnet、Email、FTP、rlogin 等不必要的高危服务,关闭135、137、
138、139、445、3389等高危端口,禁用匿名远程连接与远程访问注册表路径和子路径,关闭默认共享功能。
商旅系统
3.3数据库及中间件加固
数据库与中间件作为两大支撑软件,是信息系统的基础。中间件运行在操作系统与应用软件之间,它以底层操作系统的基础服务为支点,实现资源与服务的共享,为上层应用提供数据管理、消息传递、应用服务等支撑功能,常见的中间件软件有WebLogic、IIS、Tomcat 等。数据库管理系统也是一种重要的系统软件,它通过管理与操纵数据库,为用户提供数据的定义、存储、维护等服务,常见数据库主要以关系数据库为主,主要有Oracle、SQLSever、MySQL 等。电力监控系统运行于中间件之上,与数据库进行实时
交互,没有此二者的安全,就没有系统的网络安全。针对数据库与中间件的加固,主要是从账号、口令、服务、权限、系统补丁等方面着手,具体内容为修改或禁用默认账号、删除或禁用不必要的用户、设置密码策略符合复杂度要求、登录失败处理设置、禁用多余服务以提升系统安全性与效率、账号授权采用最小化权限原则、保持系统补丁及时更新。
红薯清洗机结语:
泡沫模具
电力监控系统安全防护是复杂的系统工程,其总体安全防护水平取决于系统中最薄弱点的安全水平。电力监控系统安全防护过程是长期的动态过程,合规是基础,策略很关键,落地良运行,保障成体系。随着电力泛在物联网建设、5G 技术发展与应用,只有通过技术上提升电力监控系统安全防护水平,管理上持续重视电力监控系统网络安全防护管理,技术与管理齐抓共管,方可维护好网络强国的战略目标。
参考文献:
[1]陈正.电力监控系统网络安全防护体系建设[J].电工技术,2019(03).
[2]饶巨为.电力监控系统二次安全防护探讨[J].通信电源技术,2019,36(6).
