南京国电南自电网自动化有限公司 江苏南京 211100
摘要随着业务需求的不断增长,当前变电站主机设备种类复杂,每增加一些新的功能往往都需要增加相应的主机设备,而新设备的接入缺乏智能化的资产管理手段且设备本身也存在不符合安全要求的漏洞,本文设计了资产自发现及基线核查技术,极大提高了设备管理及设备网络安全状态检测水平。
关键词:自发现;基线核查;网络安全;
Research on Self Discovery and Security Verification Technology of Substation Host
Tang Chengjun Li Hongchi Liu Zhiming Xu Xiaojun
(Nanjing SAC Power Grid Automation Co. Ltd., Nanjing 211100)
AbstractWith the continuous growth of business requirements, the current types of host devices in substations are complex. Every time some new functions are added, corresponding host devices need to be added. The access of new devices lacks intelligent asset management means and the devices themselves also have vulnerabilities that do not meet security requirements. This paper designs asset self discovery and baseline verification technologies, which greatly improves the level of equipment management and equipment network security status detection.
Keywords:self discovery; baseline verification; network security;
0 引言
当前变电站运行技术快速发展,新的业务需求不断涌现,为满足日益增长的定制化需求需要接入大量的主机设备,对于新设备的资产维护基本以手动录入为主,费时费力且容易出错,同时对于新接入设备的网络安全状态没有有效的检测手段。
本文根据实际变电站的运行维护要求,设计了主机设备的自发现技术,同时提出了针对自发现设备的网络安全状态检测方法,在提高了设备资产维护效率的同时实现了对设备的网络安全基线核查。
1 原理简介
电力监控系统主机自发现及安全扫描软件模块部署在变电站工作站上,该模块主要基于ping命令发现变电站内的未知接入资产,并周期更新到数据库。另一方面周期对设备的信息安全状态进行基线核查,并将检测结果存入数据库。基线核查主要通过核查脚本通过远程ssh命令在主机上执行,扫描主机的安全配置如:用户口令复杂度、账号权限、身份鉴别、访问控制策略、安全审计等。
2 设计方案
本方案设计的软件模块属于二次设备功能的一部分,对于带显示器的设备可以直接部署在本机上,对于不带显示器的装置类设备部署于设备之外的工作站,支持linux或windows操作系统,一般为变电站运行的工作站或者用户的笔记本电脑或台式机。
2.1 资产自发现方案
首先通过配置工具在数据库中配置需要扫描的网段地址及子网掩码,资产自发现模块根据配置的网段逐个进行ping操作,如果能ping通则认为该资产真实存在且接入了网络。
为了能快速发现网络扫描配置地址段内的资产,本文设计了同时启动5个ping线程,ping操作之前候会将字符串ip地址转化为整数,每个线程负责两个尾号的ip进行ping操作,即线程1负责扫描尾号为1和2的ip地址,线程2负责扫描尾号为3和4的ip地址,线程3负责扫描尾号为5和6的ip地址,线程4负责扫描尾号为7和8的ip地址,线程5负责扫描尾号为9和0的ip地址,整体设计结构如下图1所示。
图1 ping线程设计
每个线程通过全局获取的网络地址段(会转换成整数格式ip,并逐个加入到队列中)。每个线程根据自身负责的2个尾数进行ping操作,并将发现的资产写入数据库,如下图2所示。
图2 ping命令扫描流程
资产表的设计如下表2所示:
表2 设备资产表
名称 | 类型 | 说明 |
ID | BIG INT | 自增字段 |
guid | var_char(255) | 资产guid |
asset_type | tinyint | 资产类型 |
dev_ip | var_char(128) | 资产ip地址 |
dev_name | var_char(255) | 资产名称 |
voltage_level | var_char(255) | 所属电压等级 |
substation | var_char(255) | 所属变电站 |
version | var_char(128) | 版本 |
integrity | var_char(64) | 校验字段 |
2.2基线核查设计
周期轮询基线核查配置表中的flag字段,如果该字段为0则直接执行老的核查脚本,如果为1则获取新的脚本文件,再按新的脚本执行,2表示文件正在下载中。
表3 基线核查配置表
名称 | 类型 | 说明 |
ID | BIG INT | 自增字段 |
guid | var_char(255) | 资产guid |
period | int | 扫描周期 |
flag | int | 脚本配置 |
integrity | var_char(64) | 校验字段 |
基线核查的流程如下图3所示:
图3 基线核查流程
执行脚本的格式为:sh baseline_check <<<<
客服QQ:30444492琼网文【2021】1550-113号
增值电信业务经营许可证:琼B2-20210322
出版物经营许可证:新出发龙华出字第(2021)009号
广播电视节目制作经营许可证:(琼)字第00779号
版权所有 ©2002-2024 期刊网(www.qikanchina.com) 琼ICP备2021005105号
