智能變電站業務信息流安全動態感知裝置
添加時間:2019-03-23 13:50:21
來源:
在智能變電站中采用了三層兩網的網絡架構,且網絡中的協議及業務流信息與常規的網絡不同,并且智能變電站二次設備研發過程主要考慮的是功能實現、高效處理等問題,自身安全性問題往往被忽略。在智能變電站的網絡中使用SV、Goose、IEC104及MMS等相關工業控制協議,這些協議的主要特點如下:
? 通信基于TCP/IP;
? 明文傳輸,無加密;
? 缺乏身份認證、訪問控制等安全措施。
在無任何安全防護措施的工業控制環境中,攻擊者可利用自己編寫的攻擊程序與二次設備進行通信,輕則致使二次設備宕機,重則導致變電站配電線路跳閘、引發電網異常等。
但智能變電站網絡的安全防護一直以來都是使用傳統安全防護措施,以“橫向隔離、縱向認證”的邊界防護技術為主,缺乏對站內的安全防護的建設。根據智能變電站網絡的業務需求、工作特點,建立動態的、主動的智能變電站安全防護新體系,構建一套具有資產架構嗅探、安全準入、異常行為預警和入侵檢測功能的智能變電站業務信息流安全動態感知系統,是保障智能變電站安全運行的必要手段。
如上圖所示,本裝置實現了一套跨“三層兩網”的智能變電站業務信息流安全動態感知裝置,具有對內開展業務信息流安全度量,對外部接入人員和設備開展身份智能鑒別及安全準入的功能。
本裝置數據采集單元、管理單元(可采用通用工作站或者工控機)和外置外設(鍵盤鼠標、顯示器)組成,組屏安裝。
裝置主要功能如下:
? 站內裝置漏洞和端口掃描,支持TCP和UDP端口的掃描,以及工控系統漏洞的掃描分析,并給出報告;
? 業務協議健壯性分析,包括但不限于IEC61850-8-1(MMS)報文,104報文;
? 站內網絡入侵檢測,包括資產架構嗅探、安全準入、異常行為預警;
? 基于業務信息流的安全檢測,通過對站內業務信息流進行建模,以及對站內報文特征的學習,分級進行站內信息交互的安全性預警,包括GOOSE攻擊,MMS攻擊等。
Copyright ?武漢映瑞電力科技有限公司,Inc.All rights reserved. 網站地圖
鄂ICP備19016947號-1 Powered by CmsEasy Rss