1、2023年第45卷第4期第6 5页文章编号:1 0 0 5-7 2 7 7(2 0 2 3)0 4-0 0 6 0-0 4电气传动自动化ELECTRICDRIVE AUTOMATION电力监控系统网络安全主动防御研究Vol.45,No.42023,45(4):6568张浩,温永亮,孙长春,黄锦(国网黄山供电公司,安徽黄山2 450 0 0)摘要:电力监控系统网络信息安全控制和生产管理高度依赖于各级之间的网络通信。电网的安全问题一直威胁着电网的稳定运行。结合对电力自动化技术及监控系统网络信息安全防御需求的分析,提出了一种主动防御系统的框架设计,并从主机、安全和网络设备三个方面给出了一套完整的防御
2、方法。系统采用多层体系结构和功能模块化设计,集成了数据采集、分析和识别、主动防御策略和公共服务等模块,每个功能模块的结构是相互独立的,有利于独立部署或单元测试。关键词:电力监控系统;网络安全;防御中图分类号:TP393.08Research on Active Defense of Network Security in Power Monitoring System(State Grid Huangshan Power Supply Company,Huangshan 245000,Anhui,China)Abstract:The network information security c
3、ontrol and production management of the power monitoring systemhighly rely on network communication between all levels.The security of power grid has always threatened thestability of power grid operation.In conjunction with the analysis of network information security defenserequirements for power
4、automation and monitoring systems,a framework design for active defense systems wasproposed,and from the host,security and network equipment three aspects of a complete set of defense methods.The system uses a multi-tier architecture and functional Modular design.It integrates data collection,analys
5、is andidentification,active defense strategies,and public service modules.The structure of each functional module isindependent,which facilitates independent deployment or unit testing.Key words:Power monitoring system;Network security;Defense文献标志码:AZHANG Hao,WEN Yongliang,SUN Changchun,HUANG Jin随着计
6、算机、网络和通信技术在智能电网中的广泛应用,现代电力系统已发展成由物理电力系统和监控信息通信系统组成的复杂耦合网络系统。其中,电力自动化技术及监控系统以通信和数据网络为基础,监控电力生产供应过程的业务系统和智能设备。电力自动化技术及监控系统作为整个电力系统的神经网络和控制中心,对保证电力系统的安全稳定运行和供电的可靠性具有重要意义。许多学者从传统信息安全的角度,借鉴国内外成熟的安全防御理论,提出了许多网络安全防御模型、系统或主动防御机制 1-2 。然而,电力自动化技术及监控系统在安全保护方面与传统的信息系统有着明显的区别,一般的信息安全保护方法不能完全适用于电力监控系统。同时,现阶段电力自动化
7、技术及监控系统网络信息安全保护的研究成果大多集中在建立适合电力系统的深度保护体系,分析和应用防御技术,或在逻辑层次上阐述相对分散的保护对策。然而,以上结果都没有深人考虑到电网实际网络环境下网络安全主动防御系统的设计与开发实践。为此,本文提出了一套安全有效的网络安全主动防御系统基本框架设计,提高电力自动化技术及监控系统66电气传动自动化2023年第4期网络安全防御整体水平。1机制及算法分析1.1网络信息安全防御机制电力自动化技术及监控系统(EAMS)主要采用多层星型网络结构,其中核心层以上层为节点,采用主备配置,核心层和骨干层之间采用双星结构。本地、部分变电站或厂站双重归属于上双节点,接入层是指
8、每个变电站和厂站都可以单站或双站拥有到本地或上层点。当前,在新的威胁背景下,安全技术的静态叠加、安全装备的孤立部署、单一的固化防御方式已不能适应主动防御电网安全发展的需要,需要动态管理和深度防御 3-5。因此,结合电力监控系统的网络结构,与安全设备或技术合作,共同抵御各种威胁攻击,是提高系统安全主动防御能力的一个重要现实方向,有助于解决多级主动防御问题。针对各种异常网络攻击或安全事件,目前的电力监控系统是基于各个层次,通过应用各种安全设施和技术,尽可能多地使用先进手段进行安全防御。但是,当层次遇到安全设施失效、防御手段无效或无法抵抗的网络攻击时,多层次主动防御模式结合各种安全防御技术,可以对安
9、全攻击进行实时主动防御,必要时切断风险源,有效处理整体安全与局部安全的关系。1.2算法分析网络可信主体是白名单中的主体,主体本身没有被篡改。强制访问控制中的主题是存在于受信任进程的白名单中的主体,并具有相应的安全策略。所有科目、受信任科目及强制访问控制下的科目的定义如下:S=iSi,S2,.,S,Sr=ix|xe Trust,Hash(x)=PTrust(x)/(1)Sm=ix|xEMac,P(x)=PMacTrust表示受信任进程的白名单,Mac表示强制访问控制进程的白名单,PMac表示一组强制访问控制策略,P(x)表示进程策略查询功能。对象、受保护对象和访问属性定义如下:0=101,02,
10、0mOp=ixIxEO,xeDeny ProfileA=ir,w,e,al其中,受保护对象是指由对象相关强制访问控制策略定义的目标。除非主题相关的强制访问控制有相关权限的定义,否则所有与该对象相关的进程都会执行该策略。本文使用三个元组(B,M,f)来表示系统状态:b e(SxOxA)表示处于特定状态的主题、对象和安全属性。自由访问矩阵表示如下:M=IMi,M2,Mmfe F,代表访问函数,标识为f=(FS,FO,FC),其中FS指的是主安全级别函数;FC是指当前安全级别函数的主体;FO是指安全级别函数的对象。为了说明什么样的状态是安全状态,什么样的系统是安全系统,本文引人了一组安全公理。安全是
11、根据以下四条原则建立的:a.谨慎的安全措施状态u=(B,M,f)满足任意安全性,当且仅当(S;,Oj,x)eb=xE Mib.强制的安全措施状态u=(B,M,f)的简单安全性定义为S=(0=b(S:x,x)=(f(S)f(0)其中,表明后者以前者为主,函数b(S:x 1,x2,,)返回主体S可以访问x到6 的对象的集合。强制性安全定义了系统的行为必须符合TMAC模式下的强制访问控制政策的要求。也就是说,主体S对0 的访问授权。c.敏感数据安全状态u=(B,M,f)满足敏感数据安全性,当且仅当(0 eb(S:x)=(f(0)fc(s)(7)如果一个对象被定义为敏感数据,那么它将只服从受控对象的控
12、制策略,,其他对象将被拒绝。d.信任安全(2)(3)(4)(5)(6)2023年第4期状态u=(B,M,f)满足可信安全性当且仅当(OpE S,=Hash(Op)=PTrust(Op)OpTrust=(Op S,=Hash(Op)+PTrust(Op)它确保那些散列没有改变的可执行对象可以被执行,否则它们将被拒绝,从而消除外来的病毒和木马,实现自我免疫。这些定理约束系统的任何行为都不能违反EAMS模型下的这四个定理。2实施架构2.1防御策略分析电力监控系统的网络安全主动防御策略是从上到下发布的,分为访问控制、安全访问和入侵防御三大类。政策的优先级分为三个层次:低、中、高。对于高风险事件,应采取
13、高优先级的协同保护策略。如下所示表1 显示了一些安全协同防御策略。表1 安全防御策略样本策略类型优先级网络入侵事件紧急由安全设备或流量空间分析数据库空间不足重要2.2安全设备防御机制当安全威胁或安全事件在业务节点上触发时,有必要及时发布防御策略并控制安全问题的蔓延。大多数网络攻击的目标是从端点开始,而端点渗透通过长期延迟、数据收集、人工智能和其他手段发生变化。这些终端节点大多数指的是主机设备,如服务器、工作站、监控主机等。结合网络设备、安全设备、代理程序和其他安全保护设备,对具有安全风险的主机设备进行主动防御控制,需要综合使用防御措施,如服务禁用、逻辑阻塞和物理隔离,如下图1 所示。(1)服务
14、关闭。通过监测和发现主机设备存在未经授权的USB访问、串行、并行端口访问、光驱加载、可疑用户登录、用户危险操作、非法外部链接或登录会话等操作事件,需要向主机设备发出主动防御控制命令,代理程序代表主机设备执行该命令,从而及时限制安全威胁的进一步发展。禁用服务的防御机制应采用数字签名的方式,实现受控端张浩,温永亮,孙长春,黄锦电力监控系统网络安全主动防御研究设备主动防御(8)主机设备服务关闭外围接口网络服务外部连接用户帐号图1 主动防御机制安全框架的身份认证,防止伪造命令的发布。其防御措施包括USB外设禁用、串口禁用、并口禁用、光驱禁用、账户强制注销、限制外部连接和主机相关网络服务禁用等。防御行动
15、的实施效果需要通过返回结果的执行进行持续监测,例如,对于被网络服务禁用的防安全防御策略表述御策略控制,需要通过其他安全装置收集的额外检测或验证方法来确认防御行动是否成功。数据库磁盘不足(2)逻辑阻塞。对于非法的外部连接、危险的远程登录操作或服务失效的防御模式,需要通过外部安全设备来限制甚至阻止可疑的外部访问连接和远程登录连接。在逻辑阻塞控制过程中,通过向相应的安全设备发出逻辑阻塞策略的防御动作,协调风险主机的网络逻辑限制或阻塞,进一步连续监控命令执行的效果。例如,通过将指定IP地址、端口或协议消息过滤策略发送到垂直加密或防火墙设备,并根据安全设备发送不符合安全策略的后续访问报警信息能否被收集,
16、确定逻辑阻塞的防御和控制效果。(3)物理隔离。为了消除主动保护措施,如服务禁用、防御效果差的逻辑阻塞或分析显示某一区域的业务主机或节点具有潜在安全风险的情况,有必要在主机源甚至局域网隔离上实际执行该问题,切断其与整个网络的连接。在物理隔离防御控制过程中,采用网络设备策略对目标风险源或区域物理网络进行隔离控制。例如,第一步是找到所有直接连接到安全风险相关主机的交换机,并发出防御67防护设备网络设备物理逻辑块隔离自身安端口全策略断电处理安全威胁目标68电气传动自动化2023年第4期控制命令,通过SNMP(简单网络管理协议)v3协议断开指定端口。下一步是监视是否接收到网络设备返回的陷阱事件,确定控制
17、操作是否成功执行,或者通过SNMP协议查询端口状态,以确保风险源已成功隔离。3验证分析近年某月,Struts20day漏洞出现(编号S2-045),被评为高风险,如图2 所示。该漏洞具有广泛的影响,并且可以直接访问系统的根权限,因此危害是巨大的。通过SNMP访问管理系统和ROOT,SNMP是一个网站硬件卡信息,其中由S2-045执行的第一条指令“who返回RO0T权限,由S2-045执行的第二条指令“ifconfig返回硬件卡信息。Ltuwetubuntu:/Desktops sudo python poc_s2_045-whoamt.py http:/ sudopythonpoc_s2_o4
18、5.ifconfig.pyhttp:/support.huaweL.con/enterprtse/NewsReadacton.acttonbondeLinkencap:Ethernet HNaddr20:3D:B2:03:eE:ecinetaddr:10.0.39.48Bcast:10.0.39.255Mask:255.255.255.0UP BROADCAST RUNNINGMASTERMULTICASTMTU:1500 MetrIC:1Rx packets:1972631318 errors:0dropped:1536 overruns:8 frame:0Tx packets:161137
19、1184 errors:e dropped:e overruns:e carrier:0coliisions:0txqueuelen:oRx bytes:79725881842(742.5 G1B)TX bytes:22977979383218(20.8Tt)bond1Link encap:EthernetHHaddr20:30:B2:03:0E:0Dtnetaddr:10.5.214.45Bcast:10.5.214.255Mask:255.255.255.8UP BROADCAST RUNNING MASTER MULTICAST MTU:1500 MetrLC:1Rx packets:1
20、859826083 errors:e dropped:0overruns:8 frame:0Tx packets:2199091487 errors:0dropped:0overruns:0 carrier:0colilstons:etxqueuelen:eRx bytes:23319157287946(2 1.2 T i B)T Xb y t e s:2 1 90 2 1 53 3 2 6 6(2 0 3.9 G t B)eth2Ltnkencap:EthernetHHaddr20:30:B2:03:0E:0CUP BROADCAST RUNNING SLAVE MULTICAST MTU:
21、1580 MetrIC:1Rx packets:1972240657 errors:e dropped:1536 overruns:8 frame:0Tx packets:16113976801 errors:dropped:0overruns:0carrier:0colllstons:otxqueuelen:18oeRx bytes:797242029869(7 42.4G i B)T x b y t e s:2 2 97 8 3 51 49542 9(2 0.BT i B)S2-045是典型的命令执行漏洞。EAMS通过操作系统层的强制访问控制策略(通过自学习获得)控制WEB中间件对系统命令
22、的系统调用。我们可以在操作系统层面结束S2-045,它可以从根本上解决这类应用程序组件的安全问题。如下图3 所示,简单的EAMS安全策略有效地阻止了S2-045漏洞的实现。Ltuwetubuntu:-/Desktops sudo python poc_s2_45-w h o a mi.p y h t t p:/1 92.1 6 8.8.8 6:88/test/Login.actionsudo password for Liuwet:/bin/bash:/usr/btn/whoamt:Perntsston dentedLtuwetqubuntu:-/Desktops4结论主动安全防御是提高网络空
23、间信息安全保护的有效途径之一。本文从阐述电力自动化技术及监控系统的网络信息安全体系结构入手,分析了电力监控系统的安全防护需求,设计并实现了一个电力监控系统网络安全的主动防御原型系统。结果表明,该系统通过网络安全事件信息共享和主动防御策略数据库的快速决策,能够有效地处理各种场景下的网络安全事件,避免了安全风险的进一步蔓延。实现被动防御向主动防御的转变具有一定的理论研究和实践应用价值。在下一阶段,我们将继续验证适用于电力监控系统的主动防御系统现场试验工作。参考文献1唐佳乾,李惠.网络物理电力系统建模分析与控制研究框架 J.电力系统自动化,2 0 1 7,1 0(0 9):2 1-2 2.2陈俊.网
24、络空间安全协同防御体系结构研究 J.通信技术,2 0 1 7,1 0(0 9):2 1-2 2.3曹旭.基于协同的网络安全防御系统研究 J.电力系统保护与控制,2 0 1 7,0 7(1 9):3 4-3 7.4张宏,魏光.网络物理电力系统攻击与网络安全防御 J.电力系统自动化,2 0 1 9,1 1(1 8):3 3-3 5.5李辛毅,张国宾.智能电网调度网络安全防护体系结构J.智能电网,2 0 2 0,1 2(0 9):1 7-2 1.作者简介:张浩(1 97 2-),男,安徽和县人,高级工程师,主要从事电力图2 S2-045漏洞系统自动化以及网络信息安全管理工作。图3 网络漏洞阻塞收稿日期:2 0 2 3-0 2-1 7