以堡垒机和安全配置管理技术为基础的变电站远程运维安全的研究与设计分析

(整期优先)网络出版时间:2023-01-07
/ 3

以堡垒机和安全配置管理技术为基础的变电站远程运维安全的研究与设计分析

黄亮浩

广东电网有限责任公司江门供电局,广东 江门 529000

摘 要:电力监控系统是公司重要控制系统,承载了南方电网电力生产控制、调度、运行、监视等系列重要任务。研究设计目标旨在建设电力监控系统网络安全设备集中远程运维体系,在保证安全性的前提下,通过智慧运维、安全管控、高效响应三大核心能力对电力二次安防系统各型专用设备,如纵向加密装置、防火墙和交换机等进行统一集中模式的远程运维;对网络安全设备进行策略分析、审计和优化,对违规和无效策略、入侵风险事件进行有效管控,对安全隐患进行高效处置;充分整合运维审批流程,实现从实施方案到站点评估的全过程集中管理,以低成本高效率的方式,提升网络安全设备运维能力和全域安全响应能力。

关键词:应用代理运维堡垒机设计研究

引言

对二次安防系统内的网络设备和安全设备的有效管控非常重要。公司需要有一套系统对各变电站二次安防系统的设备进行集中式的远程管理,常态化的事件和状态持续监控,正规化的配置管理和审计流程,以提高系统运维效率和规范运维行为,同时抵御未来各种网络安全攻击,降低系统运维安全风险,保障电力监控系统正常运行。

一、项目背景

网级,省级,地市级中的调度中心通过二次安防系统网络调度控制现场二次系统。变电站二次安防系统使用核心交换机,加密装置,防火墙为二次系统提供网络调度的网络入口,同时需要提供关键的网络安全防护。二次安防系统防御目标在于抵御黑客、病毒、恶意代码等通过各种形式对变电站二次系统发起的恶意破坏和攻击,以及其它非法操作,防止变电站二次系统瘫痪和失控,并由此导致的变电站一次系统事故[1]。变电站二次安防系统由站内的核心交换机,加密装置,防火墙等网络设备和安全设备组成。变电站数量众多,二次安防系统内的网络设备和安全设备数量达上千台。运维过程中存在设备分散配置,配置内容没有有效监控及追踪记录,配置效果没有持续监控,配置变更没有正规审计流程,配置行为没有集中记录并支持日后审计等问题。现场容易出现加密机加密隧道失效后未能及时发现,防火墙策略配置过宽或重复,没有连接网线的设备端口配置启用,为新业务修改路由配置或网段配置后影响原业务等现象,极大影响运维工作效率和系统运行的稳定性,引入了未知的安全风险[2]

二、设计原理

在物理层次上,根据“安全分区、网络专用、横向隔离、纵向认证”基本原则,在不改变组网架构的情况下,主站平台服务器、平台边界防火墙与调度数据网实时区与非实时区交换机进行串联,远程运维变电站侧实时区与非实时区二次安防系统设备实现通讯,进行运维和配置采集,具体部署如下图1所示:

生产控制大区

图1整体部署规划图

远程运维平台作为运维核心系统以及安全管控两大系统的综合体,借助防火墙隔离独立组网。在运行逻辑上,通过远程运维平台的协议代理、网络代理等访问核心IT资产[3]。,辅以安全配置管理要求的四个核心功能:资产管理,资产基准配置管理,配置检查及问题发现补救实现对变电站端资产设备的集中管控。系统支持录入各站点内二次安防系统的各设备,实现资产管理;系统支持为每个资产建立定值配置,并使用内部基线核查标准库建立资产基准;根据评估后配置系统配置检查周期,系统自动登录资产实现基准比对。设备配置和基准出现偏差时候系统及时告警;用户发现告警或其他升级提出配置变更请求时,系统提供工单管理流程严格执行配置变更,以解决现场运维问题。

三、项目实现目标

项目建设一套网络安全设备集中运维平台,针对二次安防屏面及组网自动化网络内的交换机,加密装置,防火墙进行管控,具体实现以下目标:

1)支持集中远程运维变电站二次安防系统上的网络设备和安全设备(以下简称设备);支持通过主站平台远程运维变电站二次安防系统上的设备,实现网络路由,端口,策略,隧道等配置。

2)支持远程运维过程操作命令记录。

3)支持远程运维过程操作审计,包括追踪日志,风险分析,异常分析,行为分析,可根据分析结果设置告警。

4)支持变电站二次安防系统上设备的配置的采集和监视;支持变电站二次安防系统上设备的远程配置结果进行记录;支持变电站二次安防系统上设备的配置的综合审计,包括配置行为审计,配置结果综合审计,基线核查,策略审计,高危端口服务审计,配置合规性审计;支持变电站二次安防系统上设备的配置变更管理;支持变电站二次安防系统上设备针对不同运维人员的授权访问管理;支持持续监控变电站二次安防系统上设备配置,进行配置变化监测;支持持续监控变电站二次安防系统上设备运行状态并根据状态异常产生告警;支持变电站二次安防系统上设备的配置变更任务的工单管理。

5)支持平台相关管理,包括权限管理,人员管理,授权管理。

四、主要功能

主要功能包含以下几点:

1)安全远程运维

平台采取集中远程安全运维模式实现大量变电站网络安全设备的远程运维,极大减少运维人员下站次数,提效降本并保证运维安全。平台提供远程安全运维驾驶舱,集中提供厂站I、II、III安全分区各型网络安全设备的运维入口。平台同时提供各种运维安全保障措施:

权限管理:特权账户管理、运维对象授权管理;

安全通信:SSH/HTTPS安全协议、国产加密通信;

过程管控:操作日志捕获、解析和存储,非法/高危/违规命令告警;

审计溯源:运维会话完整记录操作和配置。

2)资产安全配置管理

平台提供全面完整的资产安全配置管理体系SCM(Security Configuration Management),实现四个核心功能:资产管理、基线设置、基线核查和变更管理。

资产管理:多种方式录入所有厂站各型设备,实现全面资产管理;

基线设置:根据基线标准库为每个资产建立资产配置定值和基线;

基线核查:周期性自动比对配置基线,严查资产合规并及时告警;

变更管理:严格执行工单管理流程,实现配置变更管理。

3)运维过程管控

平台周期性自动采集网络安全设备核心配置和基线配置,并根据等保2.0安全规定与设备定值进行自动差异对比,及时输出配置偏差告警。

平台实时监视远程运维过程中的高危/非法/违规操作命令,自动捕获和分析匹配,及时输出危险操作告警。

4)资产链路策略管理

平台具有完善的链路策略风险管控机制,可通过自定义和样本学习方式预设通用完整的全局规则库。根据规则库在设备网络策略变更安全审查中实现自动过滤,自动核查配置有效性和策略漏洞。

平台可智能分析相应黑白名单,生成访问细则数据报表,并以Excel格式导出。当出现策略违规告警,平台自动生成工单,经人工审核后自动下发。工单配置可在不同设备之间迁移复用,并可对已下发策略进行回滚操作。

5)操作命令审计

平台能精准溯源每一条操作命令进行审计,解析通信会话分析操作命令,内容包括原始命令、执行时间、回显内容、命令解析、结果解析、主客体信息、关联告警和危险命令等。平台对远程会话、操作命令、配置和告警进行关联,使审计员可快速定位操作命令及告警,达到快速精准溯源效果。

6)资产审计评估

平台提供多元的资产审计快速评估资产风险状况,包括资产在线率、成功访问率、长期离线资产、高危服务开放资产、基线违规资产和告警资产统计等,并且导出资产及关联告警信息至Excel格式文件以备二次分析。审计员可从统计结果中分析关联告警,锁定高风险资产。

7)兼容性

平台可自动适配和采集电力监控系统二次安防专用设备和各种类型、品牌、版本的网络安全设备的配置信息,包括不限于电力专用纵向加密装置、各种国产品牌和版本的防火墙、交换机等。平台提供随时可适配添加的命令规则库,匹配解析各种类型设备配置命令和回显结果。

五、技术实现方法

电力监控系统网络安全设备集中远程运维平台构建于多层技术架构,采用分层服务的设计思想,为各层服务之间定义明确的功能逻辑和数据接口,为各层内部服务组件之间定义接口。分层模块化的设计方式使系统具备应对业务需求变更快速响应的灵活度和扩展性。其中前端提供服务器选择视图,后端则可以通过服务器使用自带的控制软件镶入程序中,即可完成支持。如待填密码等应用代理系统,由前端界面以及后端服务组成。前端运行在运维终端上,而后端则运行在远程运维平台上,保障自身的安全系数。同时设计支持B/S架构与C/S架构运维,信息前端以及后端服务通信采用PKI机制加密通信,以避免安全性受到影响[5]。

综上,平台架构由四大服务层和三大核心模块组成,其中服务层分为数据采集层、数据传输层、服务逻辑层和应用服务层,分别负责设备配置采集、配置数据传输、服务逻辑支撑和应用服务接口的功能。

其中,服务逻辑层是平台架构的主体,由三大核心模块组成:

智慧运维:该核心模块支撑尽可能通过自动化的方式完成集中远程运维。模块实时监视资产和链路状态信息,周期进行业务链路定检轮询,保障链路安全;通过预设模板自动分配设备配置信息,生成配置安全基线标准方案,实现厂站各类业务配置的智能审计和评估。

安全管控:该核心模块对运维过程和对象进行全面有效的安全管控。模块通过自动化手段开展全面安全基线核查,实现全网运维对象安全基线核查常态化;通过业务规则库和安全策略库比对,评估和快速发现厂站设备配置违规情况和安全漏洞;通过实时分析远程运维会话,对操作行为进行精准管控,及时阻断违规操作。

高效响应:该核心模块针对异常状况及时告警并快速响应。模块自动开展资产拓扑测绘,实时监控资产状态,及时发现安全异常并快速定位告警。其中违规配置响应支持一键加固模式弥补漏洞。

六、数据比对

考虑综合数据,比对传统堡垒机的运行数据一次性投入为15~30万,有价格优势。后续升级维护费用每年可达1~2万,在安全审计支出中,仅需要0.5个日志审计人员。所有的文字日志,保持结构化。按相应按钮,即可查询到某些操作是否存在不安全因素。运维终端365×24小时工作,如审计人员可以考虑以6倍速回放录像,以查询其中是否出现安全问题。在安全系数比对上,在传统堡垒机基础上再提高一个量级,授权至服务器等级应用。

七、系统试点案例应用

    江门供电局网络安全设备集中运维平台试运行项目按计划顺利完成,该系统于2022年10月完成开发并投入试运行,目前系统各项功能运行稳定,设备可靠性较高,完善了对使用二次安防系统设备的监控,降低远程运维配置错误带来的风险,平台记录资产核心配置、资源利用率、基线核查相关配置、告警、日志、资产拓扑及对应配置变更工单等情况,方便用户及时管控二次安防系统设备配置,达到可发现、可控制、可溯源的目的。

图2 平台首页

图3资产配置审计记录

结束语:

综上所述,传统堡垒机的运维模式和技术手段无法满足电力监控系统网络安全设备运维的安全高效需求,亟需采用新技术手段建设具备安全防护能力、统一管理模式的网络安全设备集中运维平台。运维模式和技术手段的升级,能对网络安全设备进行策略分析、审计和优化,对违规和无效策略、入侵风险事件进行有效管控,对安全隐患进行高效处置;以低成本高效率的方式,提升网络安全设备运维能力和全域安全响应能力,对构筑电力系统网络安全防线,保障国家能源安全具有重要意义。

【参考文献】

[1]匡石磊. 基于堡垒机的屏幕录像系统的运维操作审计研究与实践[J]. 网络安全技术与应用,2021(6):7-10.

[2]陶文伟,陈刚,郑伟文,等. 一种可实时审计与阻断运维指令的变电站移动堡垒机的设计[J]. 网络安全技术与应用,2021(2):112-115.

[3]梁浩伟. 基于堡垒机的运维安全管理[J]. 中国信息化,2021(4):80-81.

[4]赵伟. 基于JumpServer的IT系统安全运维审计的研究与实现[J]. 电子元器件与信息技术,2021,5(10):1-3.

[5]刘小云. 浅谈高校关于数据中心安全运维的方法[J]. 电脑知识与技术,2021,17(22):44-45,52.