内网络拓扑信息,辅助用户获取厂站端资产及网络连接情况,并快速定位及分析厂站网 络安全事件。 安全防护
采用自主知识产权的 TMAC-3000 内核安全增强技术,通过公安部三级检测,防护强
度达到国家操作系统四级要求。
4. 监测装置原理说明及技术优势 南瑞 ISG-3000 网络安全监测装置是南瑞集团基于工控安全领域多年的研究积累和成 果,从强化工控终端设备自身免疫能力、增强通信网络协议安全性、提升工控设备自身 对安全威胁的感知能力等方面入手,通过采集汇聚系统内各类设备的安全信息,实现全 网内各局部节点信息的分布采集,并进行必要的分析处理,实现本地安全信息的就近处 理,减少不必要的远程网络通信消耗,同时,综合阻断、隔离等各种控制手段,实现对 问题设备、问题节点的协同控制。研究突破多项关键技术,实现工控系统网络安全的可 感、可知、可控、可防,从而确保工控系统安全稳定运行,可为电网、发电等生产控制 类业务提供切实可靠的网络安全防护支撑。
4.1. 主机 AGENT 监测
对于大量存量厂站,主机设备品牌、类型繁杂,操作系统版本众多,安装主机 agent 监测软件具有很大的开发和实施难度。为此,我们自主研制了操作系统安全监测工具, 支持 RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008 和 WindowsVista 等。
主机 agent 监测软件通过操作系统自身感知技术读取主机硬件配置、系统运行状态、 用户登录/退出、外网连接监视、硬件异常监视等信息,方式如下:
1) 通过系统日志捕获操作系统内核动态信息;
2) 调用系统提供的标准人机命令并读取相关信息;
3) 采用轮询方式,查询系统关键资源使用状态信息。 上述方式不改变操作系统源码,保证了操作系统源码的安全性和完整性。操作系统
通过内核层感知发生的所有事件,感知模块通过操作系统标准接口(包括但不限于 sysfs、 procfs、hotplug 等接口技术),捕获特定的安全事件如设备接入、用户操作、重要目录 变更、权限变更等信息,采用网络安全监测装置规范中定义的主机采集通信协议转发至 网络安全监测装置。具体采集信息如下所示:
1) 操作信息:包括用户的登录、退出、登录失败和操作行为等信息; 2) 运行信息:包括外设设备使用情况、CPU 使用率、内存使用率等信息; 3) 安全事件:包括文件权限变更、用户权限变更、外设设备接入、用户危险操作等 信息。
4.2. 网络设备监测
网络设备的安全事件感知功能,当前主要面向厂站站控层或涉网部分的交换机,依 托现有网络设备普遍支持简单网络管理协议(SNMP),在不改变现有固件的情况下实现对 于网络设备安全事件的感知。
整体上来说,对于网络设备主要通过设备的自身安防策略、配置信息及运行信息, 来实现事件感知:一方面对于设备自身的运行状态信息,以 SNMP 形式周期性上传相关信 息;另一方面,对于安全事件,如设备的配置变更或接入设备上线等信息,采用 SNMP trap 的形式以主动触发的形式,在保证实时性和准确性的基础上实现事件感知。
为了保证信息采集的安全性,均采用安全性较高的 SNMP v3 版,实现上述信息的采 集,形成相应的安全事件,并上报至网络安全监测装置。具体采集信息如下所示:
1) 操作信息:包括用户、口令安全管理、用户登录信息、用户操作等信息; 2) 运行信息:包括 CPU 利用率、内存利用率、网口状态等信息;
3) 安全事件:包括非法 MAC 接入、CPU 利用率超过阈值、内存使用率超过阈值等信 息
。
4.3. 安防设备监测
对于通用安全防护设备及电力专用安防设备,由设备实现对安全事件的自主感知, 通过设备的自身安防策略、配置信息及运行信息,来实现事件感知,形成相应的安全事 件,并以 syslog 报文格式(或提供对应的动态链接库)主动上报至网络安全监测装置。 具体采集信息如下所示:
1) 操作信息:包括用户、口令安全管理、用户登录信息、用户操作等信息; 2) 运行信息:包括 CPU 利用率、内存利用率等信息;
3) 安全事件:包括不符合安全策略的访问、攻击告警、CPU 利用率超过阈值、内存 使用率超过阈值等信息。
4.4. 流量分析
通过对捕获的镜像流量按照通用协议和电力通信协议进行深度解析,可以分析出通 信数据中的异常流量,同时提取出通信协议中的各个字段,包括报文特征字段、控制指 令、通信双方信息等。利用这些信息,可以进行一系列的检测,包括:
1) 对于常规 9 种 dos、ddos 攻击(Syn Flood、Land Attack、UDP Flood Attack 等)进行实时监测与预警;
2) 监测通用协议中用户登录、退出、非法设备接入、非法外联、开放非法端口等安 全事件;
3) 对报文格式、字段取值进行检查,查看是否存在格式错误,字段取值越界等; 4) 根据报文中的一些检验信息,如 CRC 等,对报文完整性进行检查,检测报文是否 被篡改;
5) 根据通信的业务类型,识别通信双方的资产类别,与已有资产信息进行比对,检 查是否为合法通信流;
6) 依据相互通信的历史数据,提取出通信关系,构建资产关系拓扑图; 7) 对信息交互进行安全审计,重点对连接的通断,控制指令的下发、参数的设置等
事件进行记录审计。 4.5. 技术特点
南瑞信通依据国调对网络安全管理系统的要求,并结合自身安全防护技术研究积累 及工程项目经验,开展系统开发工作。
(一) 在提高网络安全管理系统规范性方面
系统功能及告警处理方式严格按照《电力监控系统网络安全管理平台功能规范-基础 平台》、《电力监控系统网络安全管理平台功能规范-应用》以及《电力监控系统网络安全 监测装置技术规范》,并有多项独有功能。
(二) 在提高电力监控系统安全监测范围方面
优势一:具备各类主机安全监测工具,支撑用户实现主机监测接入要求。 针对大量存量厂站操作系统类型版本多、难以进行系统升级的情况,我们自主研制
了操作系统安全监测工具,支持 RedHat5、 RedHat6、Centos6、Centos5、Solaris 10、 HP-UNIX B11、Windows7、 WindowsXP、Windows2003、Windows2008 和 WindowsVista 等, 是目唯一能同时自主完成平台、装置、主机采集 agent 及核查漏扫研制的厂家。
优势二:集成流量分析模块,解决存量变电站及发电厂监测手段难以部署难题。 考虑到部分存量变电站及电厂存在的无法通过部署安全监测工具实现对主机监测的 问题,我们在网络安全监测装置研制中集成了网络流量分析功能,无需在监控主机上部 署 agent 即可实现对外来设备接入、远程登录、开启危险端口等的安全监测,支持实时 监测 Syn Flood、Land Attack、UDP Flood Attack 等网络攻击事件,同时还支持 101、 104 等电力工控协议解析,实时监测异常业务行为。其他厂商均无此功能。
(三) 在提升电力监控系统安全防护水平方面
优势三:集成防病毒功能,强化厂站安全防护能力。 我方的网络安全监测装置(Ⅱ型)集成了防病毒的管理功能并提供防病毒客户端引
擎,并能通过平台实现病毒库的远程管理,可进一步提高厂站安全防护水平。 优势四:
采用自主安全操作系统,满足变电站等级保护三级要求。
相关推荐:
loading