一、背景介绍
随着社会经济快速发展,带动电力需求逐步增长,对配电网供电可靠性要求不断提升,其中新一代配电自动化系统在保障配电网安全稳定运行方面起着不可或缺的作用。近年来,随着网络攻击不断增加,如何进一步提升配电自动化系统安全防护能力,成为配电网发展面临的迫切问题。目前,新一代配电自动化系统恶意代码防范工作处于起步阶段,一区主站系统仍以防护网络通道和系统边界为主,缺少恶意代码防护。根据《电力监控系统安全防护总体方案》(国能安全[2015]36号文)要求,电力监控系统生产控制大区应全面具备恶意代码防护功能,实现恶意代码防护、病毒实时监控、非法外联的阻断。因此,金华公司探索建设新一代配电自动化系统恶意代码防范统一管控平台。
二、为什么要部署
恶意代码防御监测系统
恶意代码,也被称为恶意软件或计算机病毒,是一种设计用来破坏、损害或者窃取用户数据和系统资源的计算机程序。虽然配电自动化系统不与外部网络连接,恶意代码仍能通过USB等外部设备轻易进入系统,并快速感染其他主机,破坏、窃取重要信息和数据,甚至导致系统崩溃,给系统和电网安全带来巨大风险。同时一旦在局域网传播扩散,系统管理员需要花费大量时间精力清除病毒病修复系统,大大增加了系统管理运维的成本。
在全国范围内,恶意代码防御体系已经全面铺开,华东地区浙江、安徽、上海、江苏等地目前已实现所有省级和绝大部分市级的建设,范围涉及调度网、配电自动化等多个业务部门,明后两年将逐步实现所有电厂和35KV及以上变电站的恶意代码体系建设。
目前,金华新一代配电自动化系统部署有大量的Linux操作系统服务器和工作站,共计78台。系统内主机未部署恶意代码防护终端,没有恶意代码的防护措施,虽然主机不连接互联网,但恶意代码仍能通过USB等外部设备入侵并在局域网内传播,一旦风险爆发,将影响系统正常运行,带来灾难性后果。此外,配电自动化系统中针对工控操作系统的本体安全防护技术手段不足,恶意代码防护无法完美适配电力监控系统中的多类型操作系统。基于上述风险,金华新一代配电自动化系统搭建恶意代码管理系统,实现系统整体安全可视化管理,安全态势掌控。
三、平台技术简介
金华新一代配电自动化系统恶意代码管理系统平台,主要是由恶意代码管理中心、防恶意代码客户端、分析平台、流量监测采集等装置组成,构建完整的防恶意代码防御监测体系。如图1:
图1 技术原理与结构总览图
作为整个系统的核心,实现防恶意代码客户端的集中管理、监测数据采集、策略下发以及版本升级,接收主机防恶意代码客户端的检测结果,并迅速识别和阻止潜在的网络攻击,确保配电自动化系统的安全稳定运行。
安装在配电自动化系统中的各个设备上,对主机中的程序、文件等进行恶意代码检测,并具有实时防护功能,主动阻止恶意代码的访问、传输和运行,并支持Windows和凝思、麒麟及其他主流操作系统。通过定期更新和升级,客户端能够及时应对新出现的恶意代码威胁。
由恶意代码监视、告警、分析和审计等功能构成,能够对恶意代码事件进行实时监视和在线分析,并接收主机防恶意代码客户端及恶意代码流量监测采集装置的监测结果。
通过在主干网交换机开设镜像流量方式,将配电自动化系统内的所有进出网络数据同步至该装置,通过传统内置恶意代码库静态特诊匹配和智能微型沙箱AI模拟(将文档、可执行文件等在微型沙箱中模拟实际Windows或Linux系统下的运行状态)结合方式对原始数据进行安全研判,最终将风险结果统一上报至恶意代码分析平台进行汇总展示。该装置能够检测出当前绝大多数的安全风险,包括端口扫描、网络挖矿、远程控制、隐蔽通讯等电力用户关心的终端和服务器异常行为。为恶意代码的检测和防范提供重要线索。
目前恶意代码防御体系已实现整体多级级联和统一管控、升级功能,从最底层的厂站开始,数据逐级上报到市级、省级和最上级的国网平台,并通过对接网络安全管理平台实现统一安全策略下发;升级方面通过国网国分云系统,在正常级联下,可实现省、市、厂站逐级统一下发自动升级。如图2:
图2 恶意代码防御监测系统整体架构图
从横向看,该系统可以与网络安全管理平台、隔离装置等安全能力体系实现联动,共同应对网络安全威胁;从纵向看,通过建立统一管控体系,实现对恶意代码的整体感知防护、管控处置和分析预警。同时该系统能够兼容凝思、中标麒麟、深度、普华、新支点、红旗等多个Linux操作系统版本,有效解决系统适配不完善的问题。同时通过每月在瑞星官网下载升级包,对流量分析平台以及恶意代码分析平台中病毒库、规则库进行更新包括(病毒库、IDS/IPS、VPatch等),提升恶意代码查杀能力,以保障系统安全。这一技术方案将全面提升配电自动化生产控制大区的恶意代码防护能力,为配电自动化系统安全可靠的运行稳定性提供有力保障。
四、部署及推广应用
目前金华公司一区配电主站已初步完成部署一整套恶意代码防御监测系统,义乌、永康、东阳、武义、磐安、兰溪、浦江七个配电子站服务器、工作站均安装部署防恶意代码客户端,统一由主站集中防御监控。
五、应用成效
应用本套系统,管理员可以通过自身需求设置安全报警类型、规则进行报警内容设置,包括安全警报及系统警报两种,安全警报包括:病毒安全警报、入侵防御安全警报、WEB信誉安全警报、出站攻击安全警报;系统报警包括:锁定警报、产品授权不足警报、CPU资源使用过高警报、系统磁盘空间不足警报等。当系统感知到安全风险时,管理员可以通过查看安全中心警报内容及时发现风险所在位置及报警原因,快速解除系统网络威胁,使用场景更加贴合现场工作实际,大大提升了报警准确度及处理效率。如图3:
图3 安全中心定制化报警界面
通过系统内的信息管理及配置界面,管理员可以实时监测系统内所有防护终端的信息包括设备产品信息、防病毒及网络安全防护状态等,及时对终端进行病毒库下发升级、病毒查杀、漏洞扫描、解除安全隔离等操作,并按需对终端安全防护设置及策略修改,使信息管理能力大幅提升,终端安全防护策略更为灵活有效。如图4:
图4 终端信息管理界面
通过策略任务界面,管理员可以根据规则模板或自定义规则配置,将配置文件下发至相关分组或单个终端,对各类病毒入侵进行拦截,防范隔离恶意代码入侵主站系统,提升配电自动化系统网络安全防护能力。如图5:
图5 入侵防护策略任务界面
通过U盘防护界面,管理员可以对接入终端的USB存储设备进行禁用或内容安全自定义设置实现对移动介质的恶意代码检测。内容安全设置包括U盘接入时自动进行安全扫描、阻止U盘上的程序自动运行、阻止U盘上的可执行程序执行以及记录日志,实现移动介质防护能力补强。如图6:
图6 恶意代码U盘防护界面展示图
管理员通过开启文件监控,可以对Linux终端系统中文件实现实时监测、保护及查杀功能。实时杀毒保证在恶意代码入侵到系统内第一时间发现并处理恶意代码,文件监测可以监测记录用户的核心文件是否被非法访问,文件保护功能可以将用户指定的文件保护起来,阻止恶意代码对文件的非法篡改。如图7:
图7 恶意代码管理系统文件监控界面展示图
并且,恶意代码Linux全功能防护终端针对Linux终端系统还提供网络监控功能,包括网络控制、网络监测、钓鱼防护、IP黑名单、IDS/IPS及vPatch等功能,监测和防控Linux终端服务器的网络安全。如图8:
图8 恶意代码管理系统网络监控界面展示图
丨供稿丨
王培波、徐海江、余仪姮 金华供电公司
丨审核丨
吴栋萁 浙江电力科学研究院
丨编辑丨
蔡婉琪 浙江电力培训中心
点击关注我们~
