高峰 王治华 金明辉

摘   要：就终端的事前接入和事中配置行为进行在线管控。提出了准入认证、合规校验方法，以提升现有网络空间对行为安全的管控能力，并结合电力監控系统的特点介绍实际应用效果。

关键词：行为安全;接入认证;配置合规;在线管控

中图分类号：TM711                                        文献标识码：A

Application of Online Management and Control for  Terminal

Behavior Safety in Electric Power Supervisory Control System

GAO  Feng WANG  Zhi-hua，JIN Ming-hui

（State Grid Shanghai Municipal Electric Power Company，Shanghai 200122，China）

Abstract：As the online controlling of the terminals' pre-access and configuration behaviors，this paper proposes access authentication and compliance verification methods to improve the existing network space's ability to control behavioral security.Combined with the characteristics of electric power supervisory control system，the practical application results are introduced.

Key words：behavioral security;access authentication;configuration compliance;online management and control

随着国家电网公司的“S G l86”工程上线以来，各级电网企业的网络信息化建设稳步推进。作为承载电网业务的基石之一，网络对电力调度业务的重要性不断提升，随之而来的是企数据安全威胁也不断增加[1]。

网络带来巨大便利的同时，各环节中存在的潜在隐患和风险产生的危害不容小觑。当前的电力监控系统中，经过多年的建设，已在物理安全、边界安全、本体安全等方面取得了较为显著的成绩，但是在终端的行为安全管控方面还有待进一步完善。由于可能存在操作无审计、终端行为无审计、网络终端配置混乱等潜在安全隐患 ，所以电力系统终端行为安全问题目前已成为省市级电力公司普遍关注的问题 ，但由于电力设备终端种类繁多，数量巨大，如何针对电网调度设计安全的终端行为管控策略，提高整体电力调度网络的防护能力和可控水平也是当前电网企业在信息化建设时的研究重点。

本文将阐述适于电力监控系统需求的终端行为安全管控方法及其实践效果，实现终端以及与其相关的人员行为安全风险的预控在控，从而将网络空间的安全防线前移，构筑更加安全的电力监控系统网络空间。

1   电力监控系统终端安全管控现状与隐患

在电力监控系统网络中，常用的终端类型有两大类：实际业务终端和网络设备终端。实际业务终端指电力监控系统网络中业务承载的基本单元，包含用户的PC机、移动接入设备、小型机和服务器等;网络设备终端则指的是电力监控系统网络中业务的传输分发控制设备，如交换机、路由器、防火墙等。下面针对不同终端类型潜在的安全隐患进行详述。

1.1   实际业务终端管理现状

目前，在电力监控系统网络中实际业务接入终端存在以下不可控的人员行为和管理薄弱点：终端跨网访问互联网，存在非法网络混连风险;非法用户随意接入内部网络，终端不能及时更新系统补丁，用户私自安装软件、开启危险服务;内部合法用户滥用权限，空口令、弱口令泛滥等。针对上述问题，现有的管理手段匮乏，缺乏对合法终端滥用网络资源的安全管理，无法防止恶意终端的蓄意破坏，需要通过技术手段将管理的要求程序化。同时，终端数量大、分布广、管理困难、成本很高，无法及时掌握终端的更新和变化信息，缺乏行之有效的管理及紧急响应手段[2]。

1.2   网络设备终端管理现状

现有电力监控系统网络中，网络系统规模越来越大，资产分布愈加广泛，但网络设备配置合规检查手段简单，测评不够全面，缺乏统一配置规范。在电力行业的整体合规监管和全网规范核查要求下显得不尽人意[3]。

同时网络设备管理复杂，规则条目不够完善，通过手工核实耗费大量时间和人力，无法做到持续性合规。

2   终端行为安全管控系统

终端行为安全管控系统整体采用C/S架构设计模式，极大的简化网络系统的操作与维护，针对不同终端类型设计了不同的管控模块，每个管控模块由多个逻辑功能组件构成，各个模块间相互独立的同时也能产生联动。系统依据电力监控系统网络安全规范规定，采用分布式架构部署，降低了系统操作难度和维护成本。

逻辑架构组网图如图1所示[4]，其中实际业务终端、网络设备终端有各自的管理模块，各个模块之间彼此联动，主要在安全准入、配置合规校验两个维度进行整理管控。

针对终端安全准入控制，系统可以实现对不同接入业务终端赋予不同的角色和权限[5]，进而根据其对应的角色和权限进行行为管控和实时监控，保证业务终端有控制的入网，达到安全认证准入的目的。

针对配置合规在线校验，系统可根据电力监控系统网络的安全基线要求和国家相关发文规定，使用不同的合规规则，对网络设备终端进行安全合规检查，例如是否使用弱口令、空口令，是否使用不安全的登陆方式，是否开启危险功能等，进一步降低网络设备层面的潜在安全风险。

2.1   安全准入控制模块设计

安全准入控制模块的设计目的是为了进一步解决现有电力监控系统网络中终端接入安全控制力度不足的问题。目前多数电力企业使用的终端身份认证机制较为简易，易被破解，存在较大安全隐患[6]。因此，在使能本模块功能后，未认证终端及认证失败终端将会被拒绝接入网络，同时电力监控系统网络的管控人员可以对所有接入终端进行集中管控。用户在成功接入系统之前要经过身份认证、安全检查、动态授权三个阶段，并在接入系统后受到实时监控。

在身份认证阶段，当实际业务接入终端发起网络接入请求时，需要进行口令验证。业务终端输入用户名和口令，该口令使用高安全性加密算法进行加密后，通过电力监控系统网络传递至终端准入控制模块，由于管控模块与终端之间使用共享密钥认证交互消息[7]，用户口令在网络传输过程中均为密文形式，极大提高了网络传输的安全性[8]。终端准入控制模块收到终端网络接入请求后，将会查询用户信息数据库（该数据库内预置用户信息如用户名、密码、用户角色、用户权限、可访问资源池等[9]。根据用户名查询到对应终端信息，使用相同加密算法对预存口令加密后进行验证比对，验证失败则拒绝该终端接入，验证成功则返回成功信息并通知终端进入第二阶段即安全检查阶段[10]。

随后终端发起安全检查请求，服务端收到请求后，按照预设的终端安全规则下发给终端进行安全检查。终端进行安全检查后将检查结果上报给认证端。

对于安全检查不通过，即存在高风险项的终端，认证端会返回修复策略并拒绝下发资源权限;当安全检查通过后，认证端将预置的用户权限和角色下发给业务终端，并针对低风险项（不影响用户认证成功的警告项）的修复策略和在线监控任务下发给终端，至此完成整套准入流程，如图2所示。

简化后的逻辑组网图如图3所示，主要由认证客户端、安全联动设备、认证策略服务器、第三方服务器等组件组成。

2.2   配置合规模块设计

网络设备是电力监控系统网络业务运行的主要载体，对设备终端进行周期性配置合规检查是保障监控生产网络业务稳定运行的关键。在以往的网络设备配置合规管控中，存在大量人为手工变更核查工作，既费时费力，也容易埋下众多安全隐患，缺乏有效的风险预警[11]。

本配置合规模块设计为一个通过采集网络设备相关信息，使用配置合规算法分析的自动化系统[12]。

如图4所示，为配置合规检查模块的完整闭环逻辑：

（1）模块提前收集各个网络设备的SNMP协议团体字信息、TELNET或SSH登陆用户名密码信息、登陆服务端口、权限分级信息等，预存到模块对接的设备用户信息数据库中。

（2）通过上述收集信息，在安全合法的合规管控下，通过只读方式读取到设备相关的SNMP对应MIB节点信息、设备配置信息和相关命令回显等，通过网络协议报文回传给模块本身，并进行数据块解析，通过内部定义正则表达式。在收集的信息中提取出我们所需的参数。

例如，过滤某交换机12端口即interface 12 的端口信息时，要求提取满足interface 空格数字这样格式的字符串中的这个数字，则可以定义正则表达式：interface （＼d+）。

（3）根据提前预置的设备安全管理基线，对回传的信息进行配置合规检查，若符合規则的判断逻辑，则认为是合规;若不符合判断逻辑，则认为设备配置违规，并生成相应的违规记录告警。

（4）当设备终端运行配置变动时，触发二次合规检查，系统会自动采集设备变动后的配置信息进行合规检查，预防电力监控系统网络因配置变更产生不合规的潜在风险。

（5）配置合规模块的预置安全基线规则，支持使用JavaScript和Python语言进行编写。通过只读命令采集设备回显信息，使用相应的脚本语言构建逻辑判断条件和函数，得出最终的判断结果。配置合规模块也支持使用正则表达式对回显信息进行块状解析和定义类型参数，为后续的分支判断提供有效支持。

（6）同时具备多种的风险控制功能，对于不成功的设备配置变更支持快速追溯复原。

针对上述第（3）点，下面通过简单示例，着重描述数据块与判定参数在模块判定条件间的传递。

条件A：1）确定数据获取方式，当前命令display current-configuration，含义为收集当前运行全部配置信息;2）块解析打开;3）参数提取打开，添加判定参数p1、p2;4）满足判定执行配置，下一条件为条件B。

条件B：1）确定数据获取方式，使用条件A中的前一解析块，即条件B会将条件A的3个数据块作为输入并依次遍历，相当于条件B用不同的输入数据执行3次;2）块解析关闭，前一解析块不会再被分块，输入的块和输出的块保持一致;3）参数提取打开，设置参数p1、p3，此时p1将覆盖前一条件的p1，即同名参数覆盖;4）满足判定执行配置，下一条件为条件C。

条件C：1）确定数据获取方式，使用条件B中的前一解析块，即条件C会将条件A的3个数据块作为输入并依次遍历;2）块解析打开，前一解析块的每个块又会被继续分块;3）参数提取打开设置参数p1、p2、p4，p1、p2覆盖前一条件的p1、p2。

如图5所示，每个条件，根据不同的判定参数得到的最终判定值即判定结果，如条件A 中，数据块1中p1=1;条件B中数据块2中p3=e。系统根据不同的判定结果进一步进行逻辑判定，如继续执行/中断/报警等。

除上述之外，配置合规模块还具有良好的可扩展性，能根据电力监控系统的实际业务调整或最新规定来自定义安全合规的规则。自定义的规则应按照不同的设备厂商、型号和软件版本进行划分，规定自己的适配范围，只能对适配范围内的设备型号生效，达到合规检查范围控制的效果。配置合规模块设计了典型变更控制流程，当运维人员提交了一个设备变更服务请求之后，变更核实人应在模块系统上评估配置变更的风险，将可实施的变更任务指定分配给相关实施人员进行变更实施。运维人员在规定的变更窗口进行变更操作后，模块将启动应急回退准备措施，以防变更发生风险，变更完成后将再次进行配置合规检查，并在控制流程上完成最终闭环。

以服务配置为例，当用户使用网络设备终端远程管理服务进行设备管理时，应使用加密模式登录，推荐SSH（数据加密）登录，并关闭TELNET（数据非加密）协议登录功能。电力监控系统涉及设备数量较大，部署范围较广，如果纯粹靠人力进行逐次审核设备配置情况，工作量巨大，易产生疏漏。针对此场景部署终端行为管控后，配置合规模块可自动收集设备配置信息，检查是否开启了SSH服务及其账户，同时设备是否关闭了TELNET协议登录服务，当某些网络设备终端配置异常，会产生合规告警并形成配置违规报告以帮助用户审计设备配置情况，并可在线采取必要的控制措施，如：下线等。

3   应用效果实例

以某公司电力监控系统某网络为例，说明对用户调试终端管控的实际应用效果。从现有资源整合上，本方法考虑了整体资源的融合和利用，结合电力监控系统的基础软件环境要求进行操作系统和数据库的适配，并基于现有的网络安全管理平台进行模块嵌入，达到资源共享并有效利用。

在终端准入和管控方面，以某变电站现场工作调试为例，调试人员笔记本在未经授权接入到交换机中，会按照终端准入规则进行审计，该终端未经授权接入网络，将立即将终端踢下线，并产生非法接入告警，通知管理员该未经授权终端的相关信息：IP、MAC、主机名、接入设备IP、接入设备端口、接入设备的实际部署位置和涉及审计规则等。如果用户未经许可，个人使用未经授权终端多次尝试，会被拉近黑名单，从而杜绝非法接入，防止出现网络混连情况，实际应用效果显著。如图6（1）（2）为实际环境中测试演示图。

网络设备配置合规审计方面，如图7（1）（2）所示。在实际应用中通过现场实际网络情况梳理和具体规则分析，整理出的符合现场情况的合规规则，对合规检测存在违规的网络设备终端，进行记录、告警，并整理出具配置合规报告书（支持不同格式下载），从设备合规告警数量、严重等级、具体策略规则等多方面反馈现场合规情况，配合用户完善网络设备配置，规避潜在风险。

综上所述，电力终端安全行为管控方法从根本上解决了以前电力监控网内存在大量“不经认证仍联入网络的非法IP”的问题。通过流量审计获取所有联网IP，与各地址注册的终端准入账户IP进行比较，对比结果不一致IP作为不达标业务考核项，并设立黑白名单机制（白名单放通设备管理IP，非智能终端设备_打印机等），周期性自动列出不经认证联网的IP地址供考核参考。

在网络设备终端方面，根据电力监控系统网络的实际业务情况，梳理出业内几大主流厂商的统一适配规则，定制相关配置模板，实行自动化配置合规安全检查，解决了大量变电站设备由人工完成配置检查修改，工作效率低下的问题，响应了电力行业等保测试和总部文件合规的要求，实现合规管理，配置管理以及变更管理的自动化和智能化。同时，也可根据实际运维经验整理出合规规范以及最佳实践配置策略，并定期输出合规报表，帮助分析网络配置变更情況以及网络合规情况。

目前根据电力监控系统网络实际情况，共整理配置合规模块基线规则80条，当网络设备配置发生变更（即产生变更告警），立即启动配置合规任务进行合规检查，更提升了网络设备配置合规的安全性和风险预警能力。

综上所述，终端安全行为管控方法的实际应用效果显著，为电力监控各类终端管控提供了重要手段，提高了网络整体的主动抵抗能力。但该方法在整体上还存在可完善空间，例如在信息平台各级电力系统之间的联动，信息的核实与上报汇总，针对这些方面还需要后续进一步的开发与完善。

4   结   论

针对电力监控系统网络终端类型众多、数量较大，分布较广、管理困难的现状，为进一步解决电力监控系统网络所面临的安全威胁和稳定隐患，提出终端安全管控的整体设计方案。将终端行为安全管控系统部署在用户的电力监控系统网络安全管理平台，从终端安全准入、设备配置合规维度给出了电力监控系统网络信息化、系统化、科学化的解决方案。该系统能够实现智能电网大规模网络及终端不同硬件、不同操作系统的分级分区部署、安全准入、流量监控、行为审计等需求，杜绝了内网外联、仿冒终端等网络安全隐患，能够有效保障电力系统信息网络的内网、外网及终端的正常运行与安全防御。该方案为电力监控系统网络的终端安全管控加固提供了重要手段，提高了网络终端的主动抵抗能力，同时能为后续其他省市的电力监控系统网络安全建设提供宝贵经验，对未来电力系统自动化、智能化发展有着重要意义。

参考文献

[1]    陈树勇，宋书芳，李兰欣. 智能电网技术综述[J]. 电网技术，2009，33（8）：1—7.

[2]   JEAN-LUC B，YVES C，PATRICK P .Cybersecurity for modern distribution automation grids[J]. CIRED-Open Access Proceedings Journal，2017：1002—1005.

[3]   史简，郭山清，谢立.统一网络安全管理平台的研究与实现

[J]. 计算机应用研究，2006，23（9）：92—95.

[4]    王宁波，王先培.容侵技术在电力系统数据网络安全中的应用[J]. 电力自动化备，2004，24（10）：35—38.

[5]    李斌，薄志谦. 面向智能电网的保护控制系统[ J ] .电力系统自动，2019，33（20）：7—11.

[6]    吴光斌，郭向勇. 校园网多层次网络安全系统的设计和实现

[J]. 华中科技大学学报，2003，3l（10）：138—140.

[7]    孙中伟，张荣刚. 智能配电网通信系统访问控制研究[J]. 电力系统保护与控制，20l0，38（21）：118—12l.

[8]    LIM I H，HONG S，CHOI M S. Security protocols against cyber attacks in the distribution automation system[J].IEEE transactions，2009：448—455.

[9]    林世溪，林小迪. 电力企业网络信息安全防护体系的建立[J]. 华东电力，2010，38（5）：480—186.

[10]  范宝锋. 统一网络安全管理平台技术研究[D]. 成都：四川大学，2005.

[11]  风琦，王震宇，李向东. 基于802.1X 的可信网络连接技术[J]. 计算机工程，2009，35（5）：25—29.

[12]  季欣荣，陈飞，李珺，等. 终端准入控制系统在电力调度中的应用[J]. 动化技术与应用，2018，37—1.