【摘要】:电力行业按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。文章概括介绍了电力监控系统网络安全管理平台,着重介绍华电众信LEC-6180的产品规格和特点,以及该设备作为网络安全监测装置在电力监控系统网络安全管理平台中的应用。
1. 背景:
近年来国际上网络安全事件频发,相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施领域,已被不少国家视为“网络战”首选攻击目标,电力监控系统的网络安全形势异常严峻。国家对网路安全的要求日益提高,《网络安全法》设置专门章节对电力等关键信息基础设施的网络安全提出:“应采取监测和记录网络运行状态及网络安全事件的技术措施”的要求,对网络安全监测提出明确要求。同时,国家发改委2014第 14号令《电力监控系统安全防护规定》和国家能源局2015第36号文等文件也对网络安全防护做了明确的规定。
2002年来,电力行业按照“安全分区、网络专用、横向隔离、纵向认证”的边界防护策略和监控系统安全可控的基本原则,建立了栅格状的电力监控系统安全防护体系,将电力监控系统安全防护体系由静态布防提升为动态管控。按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
2. 电力监控系统网络安全管理平台:
电力监控系统网络安全管理平台架构如下:
图1 电力监控系统网络安全管理平台
电力监控系统网络安全管理平台包含主站端的安全管理平台和厂站端的网络安全监测装置两部分。按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建感知、采集、管控三层架构的网络安全监管系统技术体系。
LEC-6180网络安全监测装置用以采集变电站站控层和发电厂涉网区域的服务器、工 作站、网络设备和安全防护设备的安全事件,转发至调度端网络安全管理平台的数据网关机,并提供来自网络安全管理平台相关服务调用,同时,支持网络安全事件的本地监视管理。
LEC-6180作为网络安全监测装置在网络安全管理平台中的应用:
LEC-6180作为网络安全监测装置,具有以下优点:
1) 支持国产化凝思安全操作系统和各种版本Linux发行版系统
国产凝思安全操作系统旨在从操作系统核心及应用程序等各个方面增强装置的安全性,在保证系统提供正确、有效服务的前提下,充分抵御网络和本机攻击,提高安全监测在复杂用户的网络和本机环境中的安全性和可生存性。可根据客户需求,定制底层驱动,包括网卡、SATA、芯片组等;提供丰富的API接口和应用服务,包括GPIO/DO/B码/温度监测/Watchdog/唯一标识号/掉电检测/自检状态信息和JAVA/Python,MariaDB,QT等;并加密Uboot,提供管理员口令进入,防止误操作。
国产凝思安全操作系统基于自主研发的安全内核,提供底层软件系统的安全支持,能够充分防范缓冲器溢出、代码注入、病毒、木马和非授权访问等安全威胁,满足用户的各类高安全要求,是符合信息系统安全等级保护4级标准并经公安部信息安全检测中心检验合格的安全操作系统,适用于等级保护四级及以下各级别的应用系统。
2) 非X86架构
产品采用非X86的ARM架构低功耗工业级处理器设计,减少受攻击的概率,同时保障装置在恶劣环境中的安全可靠运行。
3) 无风扇设计
采用内部铜管导热、侧面鳍片散热技术,把CPU散发的热量直接导到机箱外部的大面积铝制鳍片上,形成高效的散热方式。无风扇设计带来的好处是静音和防尘,有风扇设备随着使用时间的增加,内部会累积很多灰尘,同时风扇轴承长时间运作会产生偏移、损伤等问题,而将内部温度通过整个机箱进行散热,这样做的好处不仅解决了散热问题,封闭式的机箱也可起到防尘防潮的作用,同时也良好的保护了内部的组成部件。
4) 双路冗余电源独立供电
采用双路电源独立供电,同时支持双路直流电源和双路交流电源,实现了双电源的在线无缝切换,任一回路电源中断不会造成装置故障或重启,有效地提高整个电源工作的可靠性,延长整个系统的平均无故障工作时间。
5) 故障告警信号
具备装置故障告警信号输出接点,装置运行灯亮时,设备运行正常;装置运行灯灭时,导通装置故障接点,以随时监测设备运行状态。
6) 高精度B码对时
具备高精度B码对时接口,对时精度<50us,24h内的守时误差为<200ms;支持IRIG-B 码和SNTP两种对时方式,保障装置业务运行过程中的时间准确性。
7) 安全事件告警机制
具备完备的安全事件告警机制,当发生非法入侵、装置异常、通信中断、对时异常或关键进程异常时,可通过告警指示灯输出告警信息
LEC-6180产品介绍:
LEC-6180 是一款无风扇ARM 架构嵌入式安全网关平台,CPU 选用工业级 NXP Cortex A72 4核处理器,主频 1.8 G Hz,支持8路千兆以太网口。 LEC -6180板载8MB Nor Flash,支持2个SATA2.0 接口的存储扩展,内置Linux操作系统,兼容国产凝思、麒麟安全操作系统及各种标准Linux系统,支持110/220VAC DC的交直流自适应双路供电方式, 整机 EMC4级设计, 特别适用于变电站网络安全监测装置平台、通信网关、安全网关等应用。
图2 LEC-6180产品实物图
LEC-6180产品特点:
1) 适用于电力系统网络安全监测II型装置和态势感知平台的应用
2) NXP QorlQ LS1046A,Arm Cortex A72 4核1.8GHz,低功耗、无风扇、嵌入式
3) 8×10/100/1000Mbps LAN,RJ-45接口,高精度B码对时,在没有外部时钟源校正时,24 小时守时误差不超过 200ms
4) 内置嵌入式Linux操作系统,支持国产凝思安全操作系统及各种标准Linux发行版系统
5) 宽温工作范围-20℃~55℃,支持-20℃和55℃边界温度下冷启动和重启
6) 110/220V交直流自适应输入,双电源供电,EMC 4级设计验证
7) 采集信息吞吐量≥600条/s,支持监测对象数量≥200
8) 支持采集信息的本地存储,保存至少半年的采集信息;支持上传事件信息的本地存储,保存至少一年的上传事件信息
9) 平均故障间隔时间(MTBF)≥30000h
10) 流量分析功能对小包解析速率≥18000pps
小结:
LEC-6180产品适合于工业现场1U机架式安装方式,EMC电力4级标准,符合IEC-61850-3和IEEE-1613的设计标准,是工业网络安全监测装置的理想解决方案,特别适用于变电站网络安全监测装置平台、通信网关、安全网关等应用。该产品现场运行已超万台,广泛应用于全国各个省市的电力监控系统网络安全管理平台中,通过长时间运行,LEC-6180网络安全监测装置具有很高的可靠性、稳定性,为电力监控系统业务的安全稳定运行提供了有效保障,受到客户的一致好评。