本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

搜索

电力光传输网络安全防护关键技术研究及实践

2023-10-27
4891
14

电力通信网是电网的神经系统,是电力系统的核心基础设施。在建设新型电力系统、数字电网的大背景下,电网越来越复杂,电网生产控制、管理经营高度依赖电力通信网提供高可靠、广覆盖、大带宽、灵活接入的通信通道。

SDH和OTN(OSU)光传输网是电力通信网的物理层基础,直接承载电网生产实时控制业务专线,同时也是调度数据网、综合数据网、视频会议、电话交换等其它电力通信子系统的基础承载网。如果光传输网中断,对业务的影响范围很大,直接威胁电网安全。所以,光传输网是电网安全稳定运行的基础,安全防护至关重要。光传输网在保障业务网络安全方面有三点优势:

1. SDH和OTN(OSU)光传输网使用基于固定时隙的电路时分复用,电路之间是物理硬隔离,不同电路之间的业务不会相互连通,网络攻击不能利用光传输网在业务系统中进行横向扩散;如应用系统1被攻击,网络攻击不会通过光传输网横向扩散到应用系统2中;

2. 管理平面和传送平面之间是物理硬隔离,业务侧被攻破不会导致光传输网被非法控制;设备上的业务端口和管理端口之间完全隔断,业务数据不会进入管理平面,网管系统故障或者设备的管理平面故障只会导致设备脱管,不会导致业务中断,如应用系统被攻击,网络攻击不会通过光传输网扩散到网管系统;

3. 光传输网承载业务的数据流向仅由网管对设备的交叉配置决定,业务数据内容被篡改不会改变其流向。光传输专线建立后,只要网管不修改路由,业务数据始终沿着专线传送;应用系统的两个站之间通过光传输专线点到点通信,数据流向是固定的,不会在光传输网中改变数据流向从而被窃取或篡改信息。

光传输网管与互联网是物理硬隔离,来自互联网的数据不会进入网管。光传输网承载的一部分业务系统与互联网联通,来自互联网的数据只会在传送平面内,因为管理平面和传送平面之间是物理硬隔离,所以来自互联网的数据不会通过业务通道进入网管。光传输网面临的最大网络安全威胁是通过单点物理接入从而控制整个传输网管。

传统的光传输网在面对这类威胁的时候主要存在下列薄弱环节:

一是对单点物理接入管理平面的管控弱,对设备的访问控制和身份鉴别强度有待提高;而且光传输网广泛覆盖各电压等级变电站和电厂,每个站、每台设备都是管理平面的边界,边界很多,任意一个点被突破都会导致整张网遭到威胁;

二是身份识别及操作鉴权手段单一。仅靠用户名密码,容易被社工获取,如果被获取的用户权限较高,破坏性较大;

三是缺乏对网络攻击威胁的态势感知能力。网管告警仅针对设备故障、光缆故障等物理故障,对异常登录设备及网管、文件访问和修改、擅自启动进程等威胁网络安全的事件没有进行有效的监管;

四是可能导致业务中断的高危操作仅依赖人防,缺乏技防手段。电网通过工作票、操作票对网管操作有整套管控流程,重点防范的是误操作而不是蓄意攻击。如果没有基于认证鉴权的技术防御手段,只要控制传输网管,就可能中断业务。

依据国家相关法规政策、国标、行标、国际标准等建立安全威胁分析框架和安全防护体系架构。 通过STRIDE方法论进行分析建模。STRIDE是6类主要网络安全威胁的首字母缩写,分别是:Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosure(信息泄露) 、Denial of Service(拒绝服务) 、Elevation of Privilege(权限提升)。

第一步分析是绘制逻辑架构图,理清系统连接、关键资产和安全边界;第二步是威胁分析,针对STRIDE的6类威胁,在关键资产和安全边界上,使用攻击树分析工具,分析具体攻击方法。STRIDE方法论推荐了每类关键资产和安全边界可能遭受的威胁种类,使分析更规范、更便利。攻击树分析工具提高了分析的系统性、全面性,有助于无遗漏地分析已知的各类攻击方法;第三步是设计风险处置/消减策略。针对具体的威胁和攻击方法,可以针对性地选择安全防护常用的6大策略进行防护,即态势感知、访问控制列表、多因子身份鉴别、完整性检测、加密、缩减暴露面。

南方电网和华为等国内厂家合作,基于五点核心防护目标,即进不来、拿不走、看不懂、改不了和跑不掉,针对设备及网管的功能方面提出改进要求并设计研发实现了配套的检测方案。采用多道防线、层层设防的思路实现目标:一是设备管理口默认关闭,不能物理接入并控制设备;二是设备管理口禁止三层转发,不能以一台设备做跳板攻击其他设备;三是网管访问控制列表、双因子登陆、登陆状态实时管控,网管不会被控制;四是危险网管操作必须双人授权(金库模式),即使控制网管以后,进行破坏性操作仍然需要电网通信调度值班员鉴权并许可;设备自身不接受本地命令行控制,即使控制单台设备,也不能通过敲命令行中断这台设备的业务或者登陆到相邻的其他设备上,所以不能实施破坏;五是网管多机热备,可靠备份恢复,即使被控制并破坏其中一套网管,也能通过其他热备的网管或备份恢复,将破坏后果限制在较小程度。

通过具体落实如下的六类典型防护措施,来确保网络安全:一是态势感知,加装入侵检测系统,对端口、进程、文件等进行实时的全方位监管,特别是网管及设备登录事件形成告警;二是多因子身份鉴别,采用网管UKEY+生物信息识别,未授权人员不能登录网管;新入网设备数字证书校验,被篡改的设备不能通过校验、无法接入光传输网。 三是启用网管和设备的访问控制列表,高危操作双人许可(银行金库模式);四是完整性检测,硬件内置可信根,启动时逐级进行硬件可信根和软件完整性的校验,软件版本包完整性检测避免被植入病毒、木马;五是加密,身份鉴别等敏感数据加密存储,设备与网管之间使用安全版通信协议,通信数据加密,防止通过数据库、通信抓包获取关键信息;六是缩减暴露面。设备上的网管口默认关闭并禁止三层转发,设备关闭远程登录,禁止设备存在命令行。即使物理接触到单点,也不能控制单点。

南方电网牵头华为等国内厂家获批国家标准化管理委员会《电力光传输系统安全防护技术规范》国标立项并挂网征求意见。该国标规范了电力光传输系统 (SDH、SDH-MSTP、SDH-ASON、WDM、OTN以及OSU)安全防护的技术要求和测试方法,适用于电力光传输系统的安全防护,覆盖其规划设计、研究开发、施工建设、安装调试、系统改造和运行管理等环节,填补了现有国标体系的空白,下一步推动国际标准制定,供全球电力企业借鉴。接下来,我们将研究国家网络安全法、密码法等法律法规,完善相关的安全防护措施,完成国标《电力光传输系统安全防护技术规范》编制、发布,推动国际标准制定,牵引带动各厂家和测试机构发展深入代码级的安全漏洞分析识别能力,加强光传输网络针对安全威胁的实时态势感知能力,落实存量光传输设备及网管的安全加固工作。

免责声明:文章内容和观点仅代表作者本人观点,供读者思想碰撞与技术交流参考,不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情,请访问产品与技术介绍页面或咨询华为公司人员。

TOP