⼀、⽬的和意义
近年来,随着电⼒调度通信⽹络与计算机信息技术的迅速发展、电⼒⼆次系统安全防护体系的建⽴、智能变电站的逐步推进实施,现场对于电⼒系统⼚站端系统的运维管理提出了更⾼的要求,调度中⼼⾃动化专业管理⼈员⾯临的挑战越来越⾼,⾯对的问题也更加复杂。
如何采⽤技术⼿段对站端系统运⾏状态进⾏采集并与调度中⼼主站交互的需求已⽇益迫切,针对电⽹⼆次系统的运维信息,应当建⽴⼀套具备“集中监管与告警分析”功能的电⼒⼆次运⾏维护监管中⼼,加强对站端系统设备的监管,及时发现设备运⾏的潜在风险,降低业务系统的故障率,提升站端设备运⾏的可靠率,从⽽提⾼电⼒系统站端运维的管理⽔平。 ⼆次系统运⾏维护信息安全监测装置是针对变电站或发电⼚等站端的系统设备状态监管⽽设计。装置采⽤适合站端运⾏环境的⾼可靠⼯业级硬件,结合⽹络监测、⽹络报⽂记录分析、电⼒⼆次安防以及⽹络安全管理等技术,对站端的交换机、防⽕墙、主机、⼆次安防设备以及变电站⾃动化系统等的运⾏状态、配置和告警信息进⾏采集,对站控层交换机和调度数据⽹交换机进⾏报⽂记录分析处理,建⽴站端⽹络拓扑模型,并采⽤电⼒系统标准通信规约与运维管理平台进⾏数据交互,为主站提供站端数据来源并执⾏主站下发的监测操作。 ⼆、远动运⾏维护的安全现状
当前电⼒远动系统的运⾏维护主要存在如下问题:
1、站端设备复杂
站端分布着如综合⾃动化系统、远动通信系统以及调度数据交换机、站控层交换机、防⽕墙、⼆次安防设备等运⾏信息复杂多样的系统或设备。管式反应器
绞车滚筒2、监测数据海量
采集的性能、运⾏及安全数据等信息数量⼤,当系统遭遇到⼊侵攻击、出现缺陷或故障的时候,难以在海量数据中发现潜在风险或故障原因。
3、不能深⼊分析协议
通⽤IT系统的运维信息安全监测系统提供的分析协议如HTTP、DNS、SMTP、POP3等在⼯控环境中很少应⽤,⽽应⽤较多的⼯控协议反⽽不能深⼊分析。
4、事件缺乏关联
U盘笔站端存在着不同业务系统的信息孤岛,单从⼀个系统去了解事件信息,缺乏对变电站多个系统进⾏统⼀关联分析,从⽽难以实现总体风险管理。
4、现场⽆法重现
站端遭受⼊侵或⼈为操作失误,导致⼆次装置故障、遥测跳变、遥控失败、遥信异常等情况后,由于远动采集涉及环节较多,站端现场缺乏⽹络数据的完整历史记录,通信状况⽆法重现,从⽽使事故原
因难以分析及查定位。
三、远动运⾏维护信息安全监测的必要性
当前电⼒远动系统的运⾏维护主要存在如下问题:
1、当前变电站安全防护的现状
当前站端电⼒⼆次系统实现了业务系统安全分区,在安全区I与调度数据⽹的边界部署纵向加密认证装置,实现对重要信息传输的机密性、完整性保护;在安全区I与安全区II之间设置防⽕墙实现逻辑隔离;在⽣产控制⼤区与管理信息⼤区之间设置横向隔离装置,实现⼤区之间的强隔离;部署如下图:
以上防护体系⼤⼤加强了站端电⼒⼆次系统的边界安全强度,为电⼒系统安全稳定运⾏建⽴了重要技术⽀撑。
2、部署站端运维信息安全监测系统的必要性
随着计算机与⽹络技术的⾼速发展,基于策略的⽹络边界静态安全防护仍然存在⼀定的不⾜,主要体现如下:
(1)系统以策略允许为条件判断是否放⾏数据报⽂,这种⼯作模式不能发现隐藏在正常数据报⽂中的⿊客攻击意图,例如边界防护设备仅对数据包头进⾏分析并依据策略进⾏判断,⽽不对数据包的数据通信规约进⾏深层次的分析,对规则中允许的端⼝和服务⼀直视为正常的⽤户,⼀旦⿊客程序潜⼊到调度中⼼主站,其完全可以通过授权策略通道发送遥控命令操作站端设备,带来重⼤的安全风险。
(2)对于不通过⽹络边界的数据包(内部的相互访问数据或者是通过其他⼿段绕过边界的数据),边界防护体系也不能对其进⾏检测。例如2010年9⽉伊朗核电站的“震⽹”病毒,就是采⽤U盘为载体来潜⼊已物理隔离的⽹络,并通过正常策略通道对西门⼦PLC进⾏程序升级⽽攻击⼯控系统。
(3)边界防护策略对于⼯控系统内部⽤户的误⽤⾏为难以检测,⼀旦不良员⼯从内部进⾏⽹络攻击将会带来巨⼤的损失。
(4)在站端遭到⿊客攻击后,因为没有保留攻击时刻的⽹络数据报⽂,所以事后⽆法把简单的⽇志作为监查⽇志,⽽运维信息安全监测系统把数据包内容完整的作为⽇志保留,有利于事后的审计。
因此,运维信息安全监测系统作为站端⽹络安全体系的第⼆道防线,对在边界防护设备阻断攻击失败时,最⼤限度地减少相应的损失。也可以与边界防护设备等安全产品进⾏联动,实现动态的安全防护。
四、项⽬研究内容和技术关键
1. 研究开发主要内容
站端运维信息安全监测系统其功能主要包含⽹络拓扑发现、设备状态监测与告警信息采集、⽹络数据采集、⽹络运维信息安全监测分析处理、数据转发通信、数据存储、时间同步及系统配置等模块,说明如下:
(1)⽹络报⽂数据捕获对站控层与数据⽹的交换机镜像端⼝的
⽹络数据进⾏完整记录。
(2)⽹络拓扑发现通过交换机获得物理联接关系、结合变电站
SCL⽂件及系统配置数据⽣成站端⽹络拓扑模型。
(3)设备状态监测与告警信息采集采集站端⼆次设备通信状态、
性能状态及告警事件数据。
健慰器具(4)运维信息安全监测分析处理对总体⽹络数据进⾏运维信息
安全监测分析,并根据设定策略向调度控制中⼼发出告警,或
与边界防护设备进⾏联动以抵制⼊侵攻击。
(5)转发通信与EMS主站采⽤IEC 61850-MMS服务接⼝进⾏数据
交互。
(6)数据存储对⽹络数据、⽇志与告警、运维信息安全监测分
析结果等分类保存。
(7)时间同步模块采⽤由硬件接收的变电站统⼀时钟信号作为
金属规整填料
装置⽹络数据与事件记录加盖时间戳。
(8)系统配置模块对装置本⾝参数配置以及虚拟IED模型进⾏
管理与维护。
系统功能架构⽰意图如下:
2. 项⽬的技术关键
运维信息安全监测系统IDS(Intrusion Detection System)部署在⽹络的安全关键点,实时收集各种信息,通过专家系统和⼊侵分析引擎进⾏分析、发现、报警或阻断潜在的攻击⾏为。系统分为基于⽹络的运维信息安全监测系统(NIDS)和基于主机的运维信息安全监测系统(HIDS),“HR IDS-5000”是⼀款基于⽹络的运维信息安全监测系统,它通过实时捕获、分析站端⽹络的关键数据报⽂,发现其中
的攻击企图,根据响应⽅式通知调度控制中⼼、记录事件过程或采取保护措施。⽬前运维信息安全监测分析主要有模式匹配、异常检测、协议分析、⽹络审计等技术。
(1)模式匹配
模式匹配就是将收集到的信息与已知的攻击特征和系统误⽤模式数据库进⾏⽐较,来发现违背安全策略的⼊侵⾏为。该⽅法只需收集相关的数据集合就能进⾏判断,能减少系统的数据采集占⽤,并且技术已相当成熟,检测准确率很⾼,不⾜之处是需要不断进⾏升级以对付新的攻击⼿段。
(2)异常检测
异常检测⾸先给通信对象创建⼀个统计模型,包括统计正常使⽤时的带宽流量、联接⽅向、访问次数
、操作失败次数和延时等,构造⼀个通信模型。当观察值在正常值范围之外时,就会判断有⼊侵发⽣。该技术的优点是可以检测到未知⼊侵,缺点存在误报、漏报等情况。
(3)协议分析
协议分析采⽤⾼速数据包捕捉、协议分析和命令解析等技术,来快速检测某个攻击特征是否存在。针对⼯业控制系统使⽤通信协议的特点,NIDS能够理解典型⼯控协议的原理,由此分析相关协议的数据包,来寻可疑的或违反授权的⾏为。协议分析具有寻任何偏离标准或期望值⾏为的能⼒,因此能够检测到已知和未知攻击⽅法。
(4)⽹络审计
⽹络审计即对⽹络中所有的连接事件进⾏记录,再结合已经记录完整的⽹络历史数据,可以让专业⼈员再现⽹络被攻击时的真正运⾏状况。这种⽅法不仅能发现孤⽴的攻击事件,还可以分析整个攻击过程,了解攻击确实发⽣与否以及攻击造成的危害,这种⽅法对发现内部⽤户的恶意⾏为也同样有效。
五、项⽬创新点(技术路线)与实施⽅案
1. 项⽬创新点(技术路线)
本项⽬采取理论分析、试验研究与产品开发相结合的⽅式,具体项⽬的创新点是:
(1)⾼效的⽹络数据采集
装置采⽤⾼性能⼯业级FPGA芯⽚,⽹络报⽂由FPGA硬件处理经
PCIE接⼝以DMA技术直接存放到内存数据空间,降低CPU的负荷
率,简化了数据处理流程,⼤⼤加快了⽹络报⽂的处理速度。
(2)深度的运维信息安全监测能⼒
针对⼯控系统常⽤的IEC-60870-5 104、IEC-61850、DNP3.0、
MODBUS-TCP等通信协议的⾏为进⾏细粒度检测,⽀持检测分析
数据报⽂中的遥控、遥调及修改配置等命名是否违反策略授权,具备对潜伏于正常通道的⼊侵攻击进⾏深度检测的能⼒。
(3)⽀持IEC 61850 数据转发
通过IED配置程序,采⽤MMS服务模型,使运维信息安全监测装置虚拟为⼀个完全遵循IEC 61850标准的IED;
遵循电⼒系统未来远动数据传输模式,采⽤IEC 61850-MMS通信标准,实现调度中⼼EMS主站与运维信息安全监测装置之间进⾏信息交互;
(4)⽀持智能变电站运⾏状态监视
⽀持对⼆次回路异常告警,对错误信号、信号丢失以及信号异常等进⾏告警,并能同时显⽰异常点等相关信息;
⽀持对MMS、GOOSE中协议映射⽹络报⽂与SCD全站配置⽂件不⼀致等关联分析与告警记录;
(5)⽀持变电站时间同步时钟接⼊
⽀持接收变电站统⼀时钟信号接⼊,对时信号类型包含IRIG-B (DC)(对时精度1µs);
装置采集的系统事件均包含上述时钟信号的精确时间戳,以便EMS主站对站端数据进⾏全⽹时标统⼀分析;
220v交流稳压器(6)⽀持站端⽹络管理信息采集
⽀持Unix、Linux、Windows等主机及常⽤的路由器、交换机、防⽕墙等⽹络设备的运⾏数据采集;
采集模式可⽀持SNMP、ICMP、SSH、TELNET、SYSLOG等协议及Agent 代理;
2. 项⽬技术实施⽅案
运维信息安全监测作为⼀种积极的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在⽹络系统受到危害之前检测并响应。运维信息安全监测系统是参照电⼒⼆次系统安全防护的相关要求与运维信息安全监测系统的技术规范,针对变电站或发电⼚等站端的系统设备安全防护⽽设计。装置采⽤适合⼯业控制运⾏环境的⾼可靠性硬件,结合⽹络监测、⽹络报⽂记录分析、电⼒⼆次安防以及⽹络运维信息安全监测等技术,对站端的交换机、防⽕墙、主机、⼆次安防设备以及变电站⾃动化系统等的运⾏状态、配置和告警信息进⾏采集,对站控层交换机和调度数据⽹交换机进⾏报⽂记录分析,建⽴站端⽹络拓扑模型,并形成运维信息安全监测分析结果之后采⽤IEC 61850规约与调度中⼼EMS系统进⾏数据交互,为主站提供准确可靠的运维信息安全监测告警与分析数据。
随着我国电⼒系统⾃动化与通信技术的⾼速发展,SCADA/EMS系统已建⽴了包括数据采集、远动通信、实时数据库、历史数据库、数据集成总线等⼀整套成熟完善的体系架构,同时专⽤的⼈机界⾯提供了图形⽀撑与应⽤展现。因此,运维信息安全监测系统的设计架构中要充分考虑主站EMS系统的经验,本系统设计建⽴为EMS主站数据采集的外延,运维信息安全监测系统部署在站端成为数据前级,采⽤电⼒系统标准接⼝与EMS主站进⾏数据交互,层次化通信结构如下所⽰:
运维信息安全监测系统由探测器与控制台合⼆为⼀组成,设备安装在站端⽹络安全区I之内,装置共8个⽹⼝,其中4个⽹⼝⽤于采集⽹络镜像数据,4个⽹⼝⽤于⽹络数据通信。
