发明内容
为了解决现有技术中存在的问题,本发明提供了如下技术方案,对机组电量计费系统进行了网络安全改造,更换了支持端口镜像的交换机,新增网络审计、日志审计、IDS、防火墙等设备,对工程师站等主机实施了安全加固;在机组电量计费系统工作站、服务器等工业主机上部署主机安全防护和加固软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录;在机组电量计费系统建立安全管理中心,通过部署日志审计系统、安全管理平台,实现对所有网络设备及安全设备的管理运维和日志收集分析;同时通过自组网的方式,并在安装主机安全防护与加固软件的主机与安全管理中心的通信链路上部署防火墙,实现管理网与业务网的分离,进一步保证系统的网络安全。
本发明一方面提供了一种用于火电机组电量计费系统安全防护系统,包括:
通讯网络安全防护子系统,用于保证电量计费系统通信过程和通信数据的安全;
安全区域边界安全防护子系统,用于内部和外部网络行为进行检查或限制,对网络攻击行为进行检测、防止和限制,对网络行为进行分析,对攻击信息进行记录和报警,进行安全审计以及对边界设备进行可信验证;
安全计算环境安全防护子系统,用于对用户进行身份鉴别,定期备份审计记录,对重要节点的入侵行为以及病毒进行检测识别和报警,对应用程序的执行环节进行动态可信验证,对数据传输和存储完整性进行校验以及异地的实时备份;以及
安全管理中心,用于系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计,审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计;设置特定管理区域以及安全信息传输路径,从而对分布在网络中的安全设备或安全组件进行管控;对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测;对设备的审计数据进行汇总和分析,管理安全策略、恶意代码以及补丁升级,对网络中的安全事件进行检测识别和报警;
优选的,所述安全区域边界安全防护子系统包括:边界防护和访问控制模块以及入侵防范和恶意代码防范模块;所述安全计算环境安全防护子系统包括:身份鉴别和访问控制模块、安全审计和入侵防范模块。
优选的,所述边界防护和访问控制模块包括:
(1)主机安全防护子模块,以软件的形式安装在电量计费系统的工程师站、历史站、操作员站上,对电量计费系统用户非法外联进行检查和限制,对USB、光驱、串口进行限制;
(2)MAC-交换机端口绑定子模块,将MAC-交换机端口进行绑定,限制非授权设备私自连到电量计费网络的行为。
优选的,所述入侵防范和恶意代码防范模块包括:
(1)入侵检测设备或工控网络安全监测审计设备,部署在电量计费系统部署入侵检测设备上,用于检测电量计费系统网络中的各种网络行为及恶意代码,防止和限制从电量计费系统内部发起的网络攻击行为;
(2)入侵防范设备,部署在电量计费系统和SIS的边界,用于检测、防止和限制从外部发起的网络攻击行为。
优选的,所述身份鉴别和访问控制模块包括:
身份鉴别子模块,用于对电量计费系统的服务器站点有专人负责且重要性较高的主机采用口令、密码技术、生物技术中两种或以上组合的鉴别技术进行身份鉴定,所述身份鉴别子模块安装在主机安全防护软件中;
配备安全U盘的主机防护子模块,通过软件的形式部署在电量计费系统的服务器站点,所述安全U盘与主机防护软件配合杜绝恶意U盘引入病毒。
优选的,所述安全审计和入侵防范模块包括:
(1)漏洞扫描测试修补子模块,用于定期对电量计费系统开展漏洞扫描工作,及时发现系统可能存在的漏洞,在经过充分测试评估后进行修补;
(2)安全防护子模块,用于以软件的形式安装在电量计费系统的工程师站、历史站、操作员站主机上,用于及时检测入侵行为并报警;
(3)第一Agent探针,安装在汇聚层交换机上,对网络行为进行监测分析,对重要用户的行为和重要安全事件进行审计。
优选的,所述安全管理中心包括:
(1)日志审计设备,部署在不同位置的主机、网络设备、安全设备、应用系统,对不同位置的主机、网络设备、安全设备、应用系统产生的日志信息集中收集汇总和分析展示,使系统满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据;
(2)第二Agent探针,安装在平台、服务器和汇聚层交换机上,用于将日志数据传输到MIS侧态势感知平台,将日志审计和入侵检测设备日志传输到MIS侧态势感知平台,通过MIS侧态势感知平台对于所有安全产品的报警和数据进行统一处理。
本发明的第二方面,提供一种用于火电机组电量计费系统安全防护方法,包括:
通讯网络安全防护,实施电量计费系统通信过程和通信数据的安全保证;
安全区域边界安全防护,对内部和外部网络行为进行检查或限制,对网络攻击行为进行检测、防止和限制,对网络行为进行分析,对攻击信息进行记录和报警,进行安全审计以及对边界设备进行可信验证;
安全计算环境安全防护,对用户进行身份鉴别,定期备份审计记录,对重要节点的入侵行为以及病毒进行检测识别和报警,对应用程序的执行环节进行动态可信验证,对数据传输和存储完整性进行校验以及异地的实时备份;以及
增设安全管理中心,使得系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计,审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计;设置特定管理区域以及安全信息传输路径,从而对分布在网络中的安全设备或安全组件进行管控;对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测;对设备的审计数据进行汇总和分析,管理安全策略、恶意代码以及补丁升级,对网络中的安全事件进行检测识别和报警。
本发明的第三方面提供一种电子设备,包括处理器和存储器,所述存储器存储有多条指令,所述处理器用于读取所述指令并执行如第二方面所述的方法。
本发明的第四方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有多条指令,所述多条指令可被处理器读取并执行如第二方面所述的方法。
本发明具有如下有益效果:
通过对电量计费系统实施网络安全防护升级项目,使得电量计费系统自身防护能力大大增强。网络安全设施能及时检测发现可能的网络不安全事件,能阻断恶意程序的执行,在出现一些异常情况时能及时发出告警信息,提示运维人员进行进一步的检查处理。能够对不安全事件发生过程前后的日志信息进行记录,便于后续的事件处置及分析。总之,电量计费系统安全防护能力得到的提高。
对电量计费系统网络安全防护措施升级,使电量计费系统具备实时监测网络安全运行状态、抵御恶意攻击行为、记录系统网络行为等功能,提升电量计费系统的安全防护能力,保障电量计费系统的安全稳定运行。同时,各项安全防护措施满足国家及行业的各项政策法规要求,实现电量计费系统的合法合规的运行。
具体实施方式
为了更好的理解上述技术方案,下面将结合说明书附图以及具体的实施方式对上述技术方案做详细的说明。
本发明提供的方法可以在如下的终端环境中实施,该终端可以包括一个或多个如下部件:处理器、存储器和显示屏。其中,存储器中存储有至少一条指令,所述指令由处理器加载并执行以实现下述实施例所述的方法。
处理器可以包括一个或者多个处理核心。处理器利用各种接口和线路连接整个终端内的各个部分,通过运行或执行存储在存储器内的指令、程序、代码集或指令集,以及调用存储在存储器内的数据,执行终端的各种功能和处理数据。
存储器可以包括随机存储器(Random Access Memory,RAM),也可以包括只读存储器(Read-Only Memory,ROM)。存储器可用于存储指令、程序、代码、代码集或指令。
显示屏用于显示各个应用程序的用户界面。
除此之外,本领域技术人员可以理解,上述终端的结构并不构成对终端的限定,终端可以包括更多或更少的部件,或者组合某些部件,或者不同的部件布置。比如,终端中还包括射频电路、输入单元、传感器、音频电路、电源等部件,在此不再赘述。
本实施例对机组电量计费系统进行了网络安全改造,更换了支持端口镜像的交换机,新增网络审计、日志审计、IDS、防火墙等设备,对工程师站等主机实施了安全加固;在机组电量计费系统工作站、服务器等工业主机上部署主机安全防护和加固软件,实现身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等功能,同时启用操作系统自身的安全策略,实现操作系统自身安全性的提升和审计、记录;在机组电量计费系统建立安全管理中心,通过部署日志审计系统、安全管理平台,实现对所有网络设备及安全设备的管理运维和日志收集分析;同时通过自组网的方式,并在安装主机安全防护与加固软件的主机与安全管理中心的通信链路上部署防火墙,实现管理网与业务网的分离,进一步保证系统的网络安全。
通常电量计费系统包括电能计量装置、电量数据采集终端、通讯通道和电能计费系统主站四部分构成,其中各个部分之间依靠通信通道进行连接,其典型网络结构如图1所示,其中:
(1)电能计量装置:电能计量装置包括各种类型电能表、计昼用电压、电流互感器及其二次回路、电能计量柜等。
电厂的远方电能计量系统因其计量的电能量多,计量对象重要,属于1类电能计量装置。线路电能计量装置及主变、发电机、高厂变、启备变计量装置中,专用CT、PT计量绕组、二次回路电压降、表计等均按照DL/T448-2000《电能计量装置技术管理规程》中1类电能计量装置要求进行配置,经电流互感器接入的电能表其标定电流不超过电流互感器额定二次电流的30%,其额定最大电流为电流互感器额定二次电流的120%左右。这样保证了电能计昼装置的准确性。
(2)电量数据采集终端:电量数据采集终端使用标准的电能表处理器,该装置特点为采用模块化结构,每个模块设有保护机制。具有RS485数据输出接口,数据输出规约为国际标准IEC-60870-102, 能通过专线、电话拨号方式、网络方式实现和多个(至少两个)中心站的数据交换。同时具有自检和事故报警功能,故障发生和结束时均向中心站和子站系统发送告警信息等。
(3)通讯通道:在通讯过程中,通讯内容经过调制解调器将入网信号送至网调中心,另通过数据线直连方式将数据送至电厂内电量计费终端,为电厂运行提供准确的数据支持。
(4)电能计费系统:电能计费系统从电量数据采集系统终端直接获取采集数据,可读取远方电能表数据、负荷曲线,可进行数据分析、预统计,而且可以提交符合电厂生产需要的日、月报表。
本实施例中,电量计费系统位于生产控制大区的安全I区,其主要承载的业务是分散控制、集中操作和分级管理。它是一个由过程控制级和过程监控级组成的以通讯网络为纽带的多级计算机系统,系统中各台计算机采用局域网方式通讯,实时信息传输。一个火电厂内部具有多套电量计费系统,厂商均为艾默生,其中一些机组电量计费系统主机操作系统使用Unix,其余机组采用Windows操作系统。多套电量计费系统独自组网,各机组电量计费系统之间无网络联结。其安全防护现状及存在问题:
(一)安全物理环境
电量计费系统机房位于主厂房内电子间,电子间物理位置选择符合机房选址要求,电子间出入口设置了电子门禁系统,电子间入口及内部安装了视频监控摄像头。电子间内主要设备都固定在机柜中,通信线缆铺设在电缆沟中;电子间内机柜、设施和设备等进行了安全接地处理。电子间设置有火灾自动消防系统,能够实现自动检测火情、自动报警和自动灭火,机房采用专用空调对机房温度进行控制。电子间设备采用双路供电,在断电情况下UPS可以供电至少2个小时以上。因此不存在安全防护问题。
(二)安全通信网络
电量计费系统网络架构设计合理,网络设备性能及网络带宽满足业务高峰需求,关键设备和链路均由冗余。
存在问题:
(1)未采用校验技术或密码技术保证通信过程中数据的完整性;
(2)未采用密码技术保证通信过程中数据的保密性;
(3)未采用基于可信根对通信过程进行可信验证;
(三)安全区域边界
电量计费系统为每台机组单独组网,与SIS系统和振动采集系统具有横向边界,横向边界处部署了正向隔离装置,安全隔离装置设置了访问控制规则,除允许通信外拒绝所有通信。电量计费系统没有纵向连接。
存在问题:
(1)未对非授权设备私自联到内部网络的行为进行检查或限制;
(2)未对内部用户非授权联到外部网络的行为进行检查或限制;
(3)未在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;
(4)未在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;
(5)未采取技术措施对网络行为进行分析;
(6)无法检测到攻击行为,无法对攻击信息进行记录,无法提供报警;
(7)未在网络边界、重要网络节点进行安全审计;
(8)未对边界设备进行可信验证。
(四)安全计算环境
电量计费系统操作员站和工程师站对登陆用户的身份进行识别和鉴定,不同用户具有不同的操作权限,删除了多余的、过期的账户。各主机和电量计费系统均开启了日志功能,能对操作系统和电量计费系统的各项操作进行记录。主机关闭了不需要的系统服务和高危端口。定期对电量计费系统的数据进行备份,备份数据场外存储。
存在问题:
(1)未采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别;
(2)审计记录未定期备份;
(3)无法及时发现可能存在的已知漏洞,无法及时测试评估及修补;
(4)无法检测到对重要节点的入侵行为,在发生严重入侵事件时无法提供报警;
(5)未安装恶意代码防范软件,无法及时识别入侵和病毒行为;
(6)未在应用程序的关键执行环节进行动态可信验证;
(7)未采用校验技术保证重要数据在传输和存储过程中的完整性;
(8)未提供数据的异地实时备份功能。
(五)安全管理中心
电量计费系统未配置安全管理中心。
存在问题:
(1)未实现系统管理员通过特定的命令或操作界面进行系统管理操作,操作记录未进行审计;
(2)未实现审计管理员通过特定的命令或操作界面进行安全审计操作,操作记录未进行审计;
(3)未实现安全管理员通过特定的命令或操作界面进行安全管理操作,操作记录未进行审计;
(4)未划出特定管理区域,未建立安全的信息传输路径对分布在网络中的安全设备或安全组件进行管控;
(5)未对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测;
(6)未对分在在各个设备上的审计数据进行收集汇总和集中分析;
(7)未对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理;
(8)未对网络中发生的各类安全事件进行识别和报警。
如图3所示,本实施例提供了一种用于火电机组电量计费系统安全防护系统,包括:
通讯网络安全防护子系统,用于保证电量计费系统通信过程和通信数据的安全;
安全区域边界安全防护子系统,用于内部和外部网络行为进行检查或限制,对网络攻击行为进行检测、防止和限制,对网络行为进行分析,对攻击信息进行记录和报警,进行安全审计以及对边界设备进行可信验证;
安全计算环境安全防护子系统,用于对用户进行身份鉴别,定期备份审计记录,对重要节点的入侵行为以及病毒进行检测识别和报警,对应用程序的执行环节进行动态可信验证,对数据传输和存储完整性进行校验以及异地的实时备份;以及
安全管理中心,用于系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计,审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计;设置特定管理区域以及安全信息传输路径,从而对分布在网络中的安全设备或安全组件进行管控;对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测;对设备的审计数据进行汇总和分析,管理安全策略、恶意代码以及补丁升级,对网络中的安全事件进行检测识别和报警;
作为优选的实施方式,所述安全区域边界安全防护子系统包括:边界防护和访问控制模块以及入侵防范和恶意代码防范模块;所述安全计算环境安全防护子系统包括:身份鉴别和访问控制模块、安全审计和入侵防范模块。
作为优选的实施方式,所述边界防护和访问控制模块包括:
(1)主机安全防护子模块,以软件的形式安装在电量计费系统的工程师站、历史站、操作员站上,对电量计费系统用户非法外联进行检查和限制,对USB、光驱、串口进行限制;
(2)MAC-交换机端口绑定子模块,将MAC-交换机端口进行绑定,限制非授权设备私自连到电量计费网络的行为。
作为优选的实施方式,所述入侵防范和恶意代码防范模块包括:
(1)入侵检测设备或工控网络安全监测审计设备,部署在电量计费系统部署入侵检测设备上,用于检测电量计费系统网络中的各种网络行为及恶意代码,防止和限制从电量计费系统内部发起的网络攻击行为;
(2)入侵防范设备,部署在电量计费系统和SIS的边界,用于检测、防止和限制从外部发起的网络攻击行为。
作为优选的实施方式,所述身份鉴别和访问控制模块包括:
身份鉴别子模块,用于对电量计费系统的服务器站点有专人负责且重要性较高的主机采用口令、密码技术、生物技术中两种或以上组合的鉴别技术进行身份鉴定,所述身份鉴别子模块安装在主机安全防护软件中;
配备安全U盘的主机防护子模块,通过软件的形式部署在电量计费系统的服务器站点,所述安全U盘与主机防护软件配合杜绝恶意U盘引入病毒。
作为优选的实施方式,所述安全审计和入侵防范模块包括:
(1)漏洞扫描测试修补子模块,用于定期对电量计费系统开展漏洞扫描工作,及时发现系统可能存在的漏洞,在经过充分测试评估后进行修补;
(2)安全防护子模块,用于以软件的形式安装在电量计费系统的工程师站、历史站、操作员站主机上,用于及时检测入侵行为并报警;
(3)第一Agent探针,安装在汇聚层交换机上,对网络行为进行监测分析,对重要用户的行为和重要安全事件进行审计。
作为优选的实施方式,所述安全管理中心包括:
(1)日志审计设备,部署在不同位置的主机、网络设备、安全设备、应用系统,对不同位置的主机、网络设备、安全设备、应用系统产生的日志信息集中收集汇总和分析展示,使系统满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证提供依据;
(2)第二Agent探针,安装在平台、服务器和汇聚层交换机上,用于将日志数据传输到MIS侧态势感知平台,将日志审计和入侵检测设备日志传输到MIS侧态势感知平台,通过MIS侧态势感知平台对于所有安全产品的报警和数据进行统一处理。
安全管理中心的安全管理要求包括:
(1)建立健全安全管理制度,明确安全运营人员及相关职责,形成安全策略、安全制度和安全指导策略全面的安全管理制度。
(2)在电量计费系统中设置专业数据备份设备,定期对关键数据进行备份。对生产运行等重要数据双备份并保存12个月。
(3)建立紧急恢复机制,在遭受网络攻击后,快速对入侵源进行定位,利用双冗余配置和备份数据进行紧急恢复。
(4)定期检查和使用冗余设备,确保关键主机设备、网络设备或关键部件应进行相应的冗余配置能够随时发挥作用。
安全防护系统应用于如图2所示的基础电量计费系统以及典型网络拓扑,其中如图2所示基础电量计费系统典型网络拓扑包括:
电量计费系统过程监控层网络设置了根交换机和根备用交换机,根交换机和根备用交换机互联,为冗余配置;接入交换机两台一组,分别和根交换机和根备用交换机联结,提供了设备冗余和链路冗余;控制器、操作员站和工程师站分别和两台接入交换机连接,链路上实现了冗余。
DPU通过输入输出卡件和现场设备设备通信,实现对现场设备运行数据的采集及控制命令的传输。
系统的设置原则包括:
(1)安全性
安全防护升级的各项安全措施不应对电量计费系统的基本功能产生不利影响。在考虑各项安全防护升级方案时,一定要首先保证现场业务的连续性,不能因为安全防护升级增加电量计费系统延迟或者影响系统响应时间。在安全措施失效时不应中断电量计费系统的基本功能。对由于安全防护升级而产生的新的安全风险进行分析并采取防范措施。
(2)合规性
首先要保证满足国家法律法规,以及行业监管要求。要满足《网络安全法》的总体要求,满足《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、关键信息基础设施安全保护基本要求 (报批稿)、《电力监控系统安全防护总体方案等安全防护方案和评估规范》(国能安全〔2015〕36号)的要求。
(3)适度防护
作为发电企业内部专用网络的电力监控系统,电量计费系统安全防护重点与其他同互联网连通的信息系统有较大的不同。在信息安全防御体系建设过程中,需要详细分析面临的安全风险,主要针对电量计费内部的防护,重点是对边界的防护,突出适度防护的原则。在考虑可用性和建设成本的前提下,对现有安全防护措施进行改造升级。
(4)技管并重
在制定电量计费系统安全防护升级的技术措施时,还要考虑相关的管理措施,要把技术措施和管理措施结合起来。在一定情况下,要依靠管理措施来保障技术措施的有效性,也要依靠管理措施弥补技术措施的不足,从而提高电量计费系统的整体安全性。
(5)动态调整
网络安全问题不是静态的,它会随着管理相关的组织结构、组织策略、信息系统和操作流程的改变而改变,也会随着电量计费系统的设备调整及网络技术的发展而变化。因此,必须跟踪电量计费系统的各种变化情况,及时调整安全保护策略及措施,以适应电力监控系统的变化。
(6)自主可控
在有选择的情况下,电量计费系统及其安全防护设施应优先考虑使用高安全性产品,降低产品不可控的安全风险,构建满足高安全等级系统要求的电力监控系统。
(7)先进性
随着信息技术的飞速发展,针对信息系统的入侵和渗透技术也在逐步趋向于专业化,电量计费系统的安全防护必须要具备一定的先进性,才能抵御未来一定时期内针对电力监控系统的入侵和攻击行为,升级方案需要具备一定的前瞻性,才能应对当前日趋复杂的合规性建设需求。
本发明的第二方面,提供一种用于火电机组电量计费系统安全防护方法,包括:
通讯网络安全防护,实施电量计费系统通信过程和通信数据的安全保证;
安全区域边界安全防护,对内部和外部网络行为进行检查或限制,对网络攻击行为进行检测、防止和限制,对网络行为进行分析,对攻击信息进行记录和报警,进行安全审计以及对边界设备进行可信验证;
安全计算环境安全防护,对用户进行身份鉴别,定期备份审计记录,对重要节点的入侵行为以及病毒进行检测识别和报警,对应用程序的执行环节进行动态可信验证,对数据传输和存储完整性进行校验以及异地的实时备份;以及
增设安全管理中心,使得系统管理员通过命令或操作界面进行系统管理操作并对操作记录进行审计,审计管理员通过命令或操作界面进行安全审计操作并对操作记录进行审计;设置特定管理区域以及安全信息传输路径,从而对分布在网络中的安全设备或安全组件进行管控;对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测;对设备的审计数据进行汇总和分析,管理安全策略、恶意代码以及补丁升级,对网络中的安全事件进行检测识别和报警。
本发明还提供了一种存储器,存储有多条指令,指令用于实现如实施例的方法。
如图4所示,本发明还提供了一种电子设备,包括处理器301和与处理器301连接的存储器302,存储器302存储有多条指令,指令可被处理器加载并执行,以使处理器能够执行如实施例的方法。
本实施例选择主机为windows系统的机组组织实施,对方案的运行效果进行评估,对后续机组的实施方案进行进一步优化以达到最优的实施效果。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。