金學(xué)奇，蘇 達(dá)，毛南平，王立建，梁 野，郭抒然

（1.國網(wǎng)浙江省電力有限公司，杭州 310007；2.北京科東電力控制系統(tǒng)有限責(zé)任公司，北京 100192；3.國網(wǎng)浙江省電力有限公司電力科學(xué)研究院，杭州 310014；4.國網(wǎng)浙江省電力有限公司杭州供電公司，杭州 310009）

0 引言

目前，國內(nèi)外電力系統(tǒng)的網(wǎng)絡(luò)安全形勢嚴(yán)峻，如：伊朗核設(shè)施遭受“震網(wǎng)”病毒攻擊，導(dǎo)致離心機(jī)報(bào)廢；烏克蘭電網(wǎng)遭受網(wǎng)絡(luò)攻擊導(dǎo)致大面積停電；2018 年3 月印度電力公司遭到黑客的攻擊，竊取用戶賬單數(shù)據(jù)從而向電力公司勒索；同樣是在2018 年3 月，國內(nèi)某省調(diào)控中心內(nèi)網(wǎng)安全監(jiān)控平臺(tái)出現(xiàn)了大量告警，經(jīng)分析確認(rèn)告警信息為某風(fēng)電場在通過省調(diào)接入網(wǎng)非實(shí)時(shí)縱向加密認(rèn)證裝置時(shí)，被攔截到不符合安全策略的非法訪問，導(dǎo)致電力監(jiān)控系統(tǒng)生產(chǎn)控制大區(qū)裸露于公網(wǎng)，給電網(wǎng)安全運(yùn)行帶來極大隱患。可見，針對(duì)電力領(lǐng)域的網(wǎng)絡(luò)安全事件，可能發(fā)生在任意一個(gè)環(huán)節(jié)，一個(gè)小的漏洞就可能導(dǎo)致局部甚至全網(wǎng)的崩潰。

文獻(xiàn)[1]對(duì)國內(nèi)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)的發(fā)展進(jìn)行了回顧，闡述了現(xiàn)有電力調(diào)控系統(tǒng)的總體架構(gòu)及重大技術(shù)突破和應(yīng)用。其中在對(duì)未來技術(shù)發(fā)展方向描述中，特別提到對(duì)電力二次系統(tǒng)的安全防護(hù)，應(yīng)當(dāng)構(gòu)建可信計(jì)算和安全免疫技術(shù)的安全閥防護(hù)體系，由結(jié)構(gòu)安全、本體安全、基因安全、物理安全和安全管理等5 個(gè)方面構(gòu)成?？尚庞?jì)算和安全免疫技術(shù)極大地提高了整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的可靠性，但“三分技術(shù)、七分管理”，針對(duì)一些設(shè)備的操作過程及人員安全行為，技術(shù)措施其實(shí)難以做到全覆蓋。針對(duì)上述情況，采用網(wǎng)絡(luò)安全監(jiān)視和預(yù)警技術(shù)是安全防護(hù)的重要手段之一，其中安全監(jiān)視可以幫助網(wǎng)絡(luò)和系統(tǒng)管理員在影響業(yè)務(wù)連續(xù)性之前識(shí)別可能的問題，并在出現(xiàn)問題前及時(shí)預(yù)警或及時(shí)采取安全防御措施，甚至對(duì)攻擊方進(jìn)行溯源。

文獻(xiàn)[2]設(shè)計(jì)了一種分布式網(wǎng)絡(luò)安全預(yù)警系統(tǒng)，將網(wǎng)絡(luò)劃分為若干個(gè)檢測域，每個(gè)檢測域包含的檢測對(duì)象有服務(wù)器、主機(jī)、交換機(jī)等，然后在每一個(gè)網(wǎng)絡(luò)段安裝一個(gè)完整的網(wǎng)絡(luò)監(jiān)控中心，負(fù)責(zé)對(duì)各個(gè)網(wǎng)段的數(shù)據(jù)信息采集，并及時(shí)分析入侵網(wǎng)絡(luò)的數(shù)據(jù)信息，將結(jié)果傳送給網(wǎng)絡(luò)預(yù)警中心，預(yù)警中心對(duì)數(shù)據(jù)包的檢測手段主要有誤用檢測和異常檢測等，最后根據(jù)綜合分析的結(jié)果，實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)時(shí)報(bào)警、安全態(tài)勢評(píng)估及攻擊識(shí)別。

文獻(xiàn)[3]則采用了一種“笨”方法，針對(duì)核電廠的實(shí)時(shí)信息監(jiān)控系統(tǒng)，主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備和通信通道都采用冗余備份措施，從而保證數(shù)據(jù)安全、業(yè)務(wù)安全、通信安全和電源安全等。

通過上述研究可以看出，目前網(wǎng)絡(luò)安全監(jiān)視和預(yù)警主要還是通過被動(dòng)防御措施來實(shí)現(xiàn)，單一的安全手段不能建立一個(gè)良好的循環(huán)，數(shù)據(jù)之間缺乏協(xié)作和共享。其次，一些預(yù)警技術(shù)也過于簡單，不能很好反映資產(chǎn)的重要性，也不能在安全策略改變時(shí)改變風(fēng)險(xiǎn)評(píng)估。本文基于現(xiàn)有安全研究基礎(chǔ)，提出了一種主動(dòng)網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，不但能主動(dòng)采集網(wǎng)絡(luò)數(shù)據(jù)，對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)狀態(tài)進(jìn)行監(jiān)視，還能對(duì)動(dòng)態(tài)安全事件（如：操作行為等）進(jìn)行感知、預(yù)警和處置。

1 新能源電站現(xiàn)狀

1.1 新能源電站網(wǎng)絡(luò)環(huán)境

新能源電站是電力系統(tǒng)的上游，其運(yùn)行穩(wěn)定性可能會(huì)影響局部或斷面地區(qū)電網(wǎng)的運(yùn)行穩(wěn)定性。以風(fēng)電為例，典型風(fēng)電場站控層如圖1 所示。

安全Ⅰ區(qū)業(yè)務(wù)主要包含風(fēng)機(jī)監(jiān)控系統(tǒng)、升壓站監(jiān)控系統(tǒng)、AGC/AVC（自動(dòng)發(fā)電控制/自動(dòng)電壓無功控制）及PMU（電源管理單元）等，安全Ⅱ區(qū)業(yè)務(wù)主要包含故障錄波、電能量采集、功率預(yù)測及狀態(tài)監(jiān)測系統(tǒng)等，管理信息大區(qū)主要包含天氣預(yù)報(bào)、氣象設(shè)備及辦公信息系統(tǒng)等。

圖1 風(fēng)電場站控層

1.2 新能源電站安全防護(hù)

新能源場站主機(jī)及網(wǎng)絡(luò)、安防等軟硬件設(shè)備，是站控層中重要的組成部分，數(shù)量眾多、資產(chǎn)價(jià)值較高，面臨的安全風(fēng)險(xiǎn)極大。一方面，這些設(shè)備是各類業(yè)務(wù)數(shù)據(jù)和信息的主要載體，數(shù)據(jù)和信息是電站信息資產(chǎn)的重要組成部分；另一方面，與常規(guī)電力監(jiān)控系統(tǒng)不同的是，新能源電站的發(fā)電終端數(shù)量較多（如：風(fēng)機(jī)控制器、光伏逆變器等），病毒及惡意代碼很容易通過發(fā)電終端滲透到站控層及各類業(yè)務(wù)應(yīng)用中，且多采用工控協(xié)議，標(biāo)準(zhǔn)化程度較低，所以可能還涉及到工控安全，給電力監(jiān)控系統(tǒng)的整體安全帶來了更多危害性[4]。如圖1 所示，現(xiàn)階段新能源場站電力監(jiān)控系統(tǒng)已經(jīng)采取了一定的安全保障措施，如：邊界防護(hù)、安全分區(qū)等。但這些傳統(tǒng)的安全手段只能對(duì)特定的安全事件進(jìn)行控制，隨著網(wǎng)絡(luò)攻擊手段的多樣化，來自內(nèi)網(wǎng)的安全攻擊逐漸增多，如何有效防止來自內(nèi)部的安全問題，如：管理或運(yùn)維人員的誤操作行為以及惡意攻擊等，是新的研究方向。內(nèi)部攻擊所造成的危害遠(yuǎn)比外部入侵大得多，且攻擊手段隱秘，如果不加以有效的遏制，將造成無法估量的損失。因此對(duì)網(wǎng)絡(luò)安全事件不能僅限于靜態(tài)的事后防御，更應(yīng)在事前即感應(yīng)，并采取一定規(guī)避措施，這樣不僅能夠使安全事件影響最小化，也間接提高了電力系統(tǒng)的運(yùn)行經(jīng)濟(jì)性和用戶滿意度。

2 安全監(jiān)視與預(yù)警關(guān)鍵技術(shù)

常規(guī)電力監(jiān)控系統(tǒng)安全防護(hù)措施，通常是使用各種設(shè)備來保護(hù)網(wǎng)絡(luò)的不同部分，例如：通過獲取防火墻日志來監(jiān)控未經(jīng)授權(quán)的訪問，入侵檢測系統(tǒng)通過監(jiān)測流量來發(fā)現(xiàn)DDoS（拒絕服務(wù)）攻擊等。但由于生產(chǎn)廠商的設(shè)計(jì)思路和安全理念差異，這些防護(hù)手段雖然具有一定效果，但其之間通常缺乏統(tǒng)一的協(xié)作和管理，產(chǎn)生的事件信息難以進(jìn)行有效的關(guān)聯(lián)和整合，當(dāng)發(fā)生安全事件時(shí)，需要在不同的設(shè)備上分別進(jìn)行操作，對(duì)安全事件進(jìn)行的處理和診斷比較遲緩，客觀上增加了安全防護(hù)的難度，也沒有使防護(hù)效果最大化。 基于此，可以通過采用主動(dòng)數(shù)據(jù)采集、流量監(jiān)視、集中預(yù)警及安全阻斷等技術(shù)，整合相關(guān)網(wǎng)絡(luò)資源，將網(wǎng)絡(luò)安全的可靠性最大化。

2.1 主動(dòng)數(shù)據(jù)采集（嗅探式）

主動(dòng)數(shù)據(jù)采集方式即嗅探式采集，與之前被動(dòng)采集不同的是，主動(dòng)采集agent 程序是部署在網(wǎng)絡(luò)安全保護(hù)裝置上的，整個(gè)采集過程分為2 個(gè)階段：第一階段，在網(wǎng)絡(luò)安全保護(hù)裝置中部署的agent 程序現(xiàn)向目標(biāo)設(shè)備發(fā)送請求獲取列表項(xiàng)，打開TCP 連接，目標(biāo)設(shè)備響應(yīng)并返回列表，包括數(shù)據(jù)的key，delay，lastlogsize 及time 等屬性，agent 收到后響應(yīng)成功，并關(guān)閉TCP 連接；第二階段，agent 再次發(fā)送請求，開始收集數(shù)據(jù)，包括目標(biāo)設(shè)備的hostname，version，value，clock 及number 等，收集完成后反饋成功或失敗條目，然后關(guān)閉TCP 連接[5]。這種方式可以提高數(shù)據(jù)采集的范圍和靈活性。

2.2 流量分析

通過流量分析可以針對(duì)新型的網(wǎng)絡(luò)攻擊手段和網(wǎng)絡(luò)病毒有很好的檢測效果，能大大降低由于對(duì)攻擊手段不了解而發(fā)生漏報(bào)的可能性，在產(chǎn)生嚴(yán)重破壞前找到攻擊源頭，將網(wǎng)絡(luò)損失降低到最小[6]。具體分析過程為：

（1）交換機(jī)數(shù)據(jù)通過SNMP 協(xié)議采用統(tǒng)計(jì)分析方法，從網(wǎng)絡(luò)安全保護(hù)裝置獲取的數(shù)據(jù)中提取樣本數(shù)據(jù)，根據(jù)樣本數(shù)據(jù)分布特征和正常時(shí)的特征進(jìn)行比較，判斷是否發(fā)生了流量變化，常用的網(wǎng)絡(luò)協(xié)議主要有SMTP，F(xiàn)TP 及ICMP 等，將正常流量值與異常數(shù)據(jù)量進(jìn)行對(duì)比，符合某異常行為出現(xiàn)初期時(shí)的流量特征，即可判斷發(fā)生了流量異常，但該過程尚不能確定攻擊的類型及源頭。

（2）在第二步過程中，通過篩選出不同IP 地址流量數(shù)，對(duì)流量較大的IP 地址源進(jìn)行排名，從而確定存在流量異常行為的設(shè)備。利用流量分析也可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)非法外聯(lián)及非法設(shè)備接入行為的識(shí)別，在常規(guī)電力系統(tǒng)內(nèi)網(wǎng)中，業(yè)務(wù)流量通常較為固定，對(duì)不同業(yè)務(wù)可以根據(jù)其流量特性設(shè)定一個(gè)閾值，如某一個(gè)時(shí)間段顯示某業(yè)務(wù)進(jìn)行活動(dòng)的連接數(shù)量、峰值流量和選定時(shí)間范圍內(nèi)的均值流量等數(shù)據(jù)，如果采集到的流量超出這個(gè)閾值，即可判斷可能產(chǎn)生了非法外聯(lián)。

2.3 安全預(yù)警

根據(jù)事件嚴(yán)重程度將預(yù)警機(jī)制設(shè)為3 種可能：一是無效預(yù)警，攻擊行為確實(shí)發(fā)生，但對(duì)設(shè)備沒有影響的告警；二是錯(cuò)誤預(yù)警，由于錯(cuò)誤判斷而產(chǎn)生的告警，將正常的網(wǎng)絡(luò)行為看成入侵行為；最后一個(gè)才是真正的安全威脅預(yù)警[7]。在保護(hù)系統(tǒng)的知識(shí)庫中收集歷史的告警信息，包括攻擊成功必須依賴的條件，漏洞、操作系統(tǒng)、端口、服務(wù)及應(yīng)用系統(tǒng)的狀態(tài)等[8]，將具體事件根據(jù)發(fā)生時(shí)間進(jìn)行切段，找出安全事件發(fā)生的高峰期，然后統(tǒng)計(jì)某一段時(shí)期內(nèi)不同安全事件發(fā)生頻率排名，通過對(duì)歷史數(shù)據(jù)不斷的迭代，當(dāng)安全行為構(gòu)成觸發(fā)條件，網(wǎng)絡(luò)安全保護(hù)系統(tǒng)立即響應(yīng)并給出風(fēng)險(xiǎn)預(yù)警。例如：針對(duì)某安全事件，將采集到的信息，如登錄信息（A）、端口狀態(tài)（B）、非法設(shè)備接入（C）及非法外聯(lián)（D）等事件，每個(gè)安全狀態(tài)都有一個(gè)安全系數(shù)：

式中：S 代表最終的安全估值系數(shù)；β 代表權(quán)重；W 代表嚴(yán)重程度；P 代表概率。對(duì)事件的嚴(yán)重程度可通過相關(guān)安全事件的累加判斷，系數(shù)越低代表安全性越差。

經(jīng)過較長時(shí)間積累，預(yù)測準(zhǔn)確度也會(huì)越來越高[9]，但該預(yù)警只作為發(fā)生概率的判斷，不作為最終決策的依據(jù)。

2.4 事件處置

另一方面，預(yù)警后人工可能無法快速對(duì)事件做出反應(yīng)，因此需要有一種手段對(duì)事件進(jìn)行預(yù)處置，對(duì)安全事件的及時(shí)處置可以避免事故的進(jìn)一步蔓延，最大程度減少對(duì)整個(gè)網(wǎng)絡(luò)的損害。

文獻(xiàn)[10]提出了一種基于PKI 技術(shù)的網(wǎng)絡(luò)邊界安全監(jiān)控方法，該方法通過建立基礎(chǔ)信任體系，先向訪問目標(biāo)用戶頒發(fā)強(qiáng)認(rèn)證數(shù)字證書，所有用戶必須通過數(shù)字證書進(jìn)行身份認(rèn)證才能進(jìn)入內(nèi)網(wǎng)，然后對(duì)網(wǎng)絡(luò)流量和認(rèn)證信息進(jìn)行監(jiān)控和關(guān)聯(lián)分析，判斷是否存在DoS，flood 等攻擊，同時(shí)還能準(zhǔn)確定位入侵來源，并向攻擊源發(fā)出fin 包中斷會(huì)話或通知認(rèn)證網(wǎng)關(guān)，拒絕來自攻擊源的終端或用戶接入。

本文在網(wǎng)絡(luò)安全保護(hù)系統(tǒng)中，嵌入了安全處置功能，可以實(shí)現(xiàn)對(duì)事故的鏈路阻斷、端口禁用等；其中鏈路阻斷以TCP 協(xié)議為例，在發(fā)現(xiàn)網(wǎng)絡(luò)中TCP 連接異常后，可以向目標(biāo)主機(jī)發(fā)送一個(gè)帶有RST 標(biāo)志位的數(shù)據(jù)包，包括設(shè)備的源、目的地址以及端口號(hào)等，目標(biāo)主機(jī)收到RST 包后，就會(huì)認(rèn)為通信對(duì)端發(fā)生了異常，從而馬上關(guān)閉自己的連接[11]。端口禁用則利用SNMP 協(xié)議，當(dāng)通過流量分析手段發(fā)現(xiàn)接入該端口的訪問異常時(shí)，SNMP 協(xié)議的nms 主動(dòng)向Agent 發(fā)出set request報(bào)文請求，Agent 接收到請求后，向交換機(jī)發(fā)出shutdown（關(guān)閉端口）命令，然后生成response 報(bào)文，并將報(bào)文返回給nms。在實(shí)際應(yīng)用過程中，Agent程序在發(fā)現(xiàn)設(shè)備重新啟動(dòng)等異常情況時(shí)，也會(huì)主動(dòng)向nms 發(fā)送Trap 報(bào)文，匯報(bào)所發(fā)生的事件。

3 應(yīng)用實(shí)例

基于上述關(guān)鍵技術(shù)基礎(chǔ)，設(shè)計(jì)了一套網(wǎng)絡(luò)安全保護(hù)系統(tǒng)，在浙江湖州地區(qū)某光伏電站部署該系統(tǒng)，依托保護(hù)系統(tǒng)自身對(duì)網(wǎng)絡(luò)安全事件的感知能力，不僅可以實(shí)現(xiàn)對(duì)站內(nèi)主機(jī)、網(wǎng)絡(luò)及安防等設(shè)備運(yùn)行狀況的監(jiān)視，還可以對(duì)人員及設(shè)備的操作行為進(jìn)行主動(dòng)分析和預(yù)警[12]，同時(shí)支持對(duì)安全事件的隔離和阻斷，最終由人機(jī)界面展示結(jié)果。

3.1 系統(tǒng)部署

監(jiān)視與預(yù)警系統(tǒng)采用旁路的形式部署在交換機(jī)上，設(shè)備按功能劃分為網(wǎng)絡(luò)安全保護(hù)裝置及網(wǎng)絡(luò)安全平臺(tái)。其中，網(wǎng)絡(luò)安全保護(hù)裝置分別部署在站控層安全Ⅰ區(qū)和Ⅱ區(qū)，實(shí)現(xiàn)對(duì)生產(chǎn)控制大區(qū)數(shù)據(jù)的主動(dòng)采集和保護(hù)動(dòng)作執(zhí)行功能，網(wǎng)絡(luò)安全平臺(tái)只部署在站控層安全Ⅱ區(qū),主要對(duì)采集到的數(shù)據(jù)進(jìn)行關(guān)聯(lián)、存儲(chǔ)、查詢和深度分析等，如圖2 所示。

圖2 系統(tǒng)拓?fù)?/p>

3.2 功能描述

系統(tǒng)處理流程如圖3 所示。

在網(wǎng)絡(luò)安全保護(hù)裝置上部署Agent 程序，實(shí)現(xiàn)對(duì)主機(jī)信息的數(shù)據(jù)采集，通過SNMP 協(xié)議實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備和通信數(shù)據(jù)的采集等，通過Syslog 日志實(shí)現(xiàn)對(duì)安防設(shè)備信息采集[13]，信息格式如表1所示。

圖3 處理流程

表1 采集信息類別

對(duì)于數(shù)據(jù)的分析與處理,關(guān)鍵在于對(duì)信息的識(shí)別，清洗不需要的垃圾和噪聲數(shù)據(jù)，然后從安全事件的數(shù)據(jù)中提取特征值，依據(jù)預(yù)先定義的字段或參數(shù)采集聚合數(shù)據(jù)，根據(jù)發(fā)生頻率和前后因果關(guān)系等相關(guān)性進(jìn)行聚類，最后根據(jù)事件的嚴(yán)重程度和發(fā)生概率進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別攻擊者真正的攻擊意圖，并預(yù)測下一步行動(dòng)[14]，最后根據(jù)分析結(jié)果，做出相應(yīng)安全處置。如圖4 所示。

圖4 分析預(yù)警流程

3.3 系統(tǒng)測試

為了驗(yàn)證上述網(wǎng)絡(luò)安全保護(hù)系統(tǒng)的實(shí)際效果，挑選一款國外的網(wǎng)絡(luò)安全監(jiān)測工具同時(shí)部署在該光伏電站，與網(wǎng)絡(luò)安全保護(hù)系統(tǒng)進(jìn)行比較。SSU（影子安全單元）的原理是以混雜工作模式捕獲所有網(wǎng)絡(luò)流量，并使用規(guī)則化過濾機(jī)制對(duì)其進(jìn)行預(yù)處理，對(duì)捕獲數(shù)據(jù)的協(xié)議流進(jìn)行解碼和分析，以查找TCP 和Modbus 協(xié)議等數(shù)據(jù)單元中的錯(cuò)誤或不一致。SSU 能夠解碼每個(gè)命令的語義并跟蹤主站和被保護(hù)設(shè)備之間交換的消息，從而可以執(zhí)行完整性檢查，檢測未經(jīng)授權(quán)的訪問或偵察嘗試。該模塊還能提取有關(guān)網(wǎng)絡(luò)流量的信息，例如數(shù)據(jù)包速率或消息到達(dá)時(shí)間，這可用于診斷和發(fā)現(xiàn)惡意軟件感染、分布式等問題DDoS、洪水或暴力攻擊、任意設(shè)備故障，甚至是零日威脅。

3.3.1 測試環(huán)境

為了保證測試的可比性，SSU 工具部署在與網(wǎng)絡(luò)安全保護(hù)系統(tǒng)相同節(jié)點(diǎn)，如圖5 所示，2 種系統(tǒng)分別對(duì)交換機(jī)的數(shù)據(jù)包進(jìn)行采集，在此過程中，人為制造一些安全事件，觀察2 種安全監(jiān)測工具對(duì)安全事件的響應(yīng)及處理方式，以驗(yàn)證其準(zhǔn)確性與可靠性。

圖5 測試拓?fù)?/p>

3.3.2 測試方法

（1）安全策略制定

依據(jù)36 號(hào)文《電力監(jiān)控系統(tǒng)安全防護(hù)評(píng)估規(guī)范》及《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，對(duì)2套網(wǎng)絡(luò)安全監(jiān)測工具設(shè)定相同安全策略，包括邊界安全策略、主機(jī)安全策略及通信安全策略等。例如：當(dāng)用戶訪問主機(jī)或服務(wù)器時(shí)，需要進(jìn)行不同級(jí)別的用戶認(rèn)證，并由此控制用戶的訪問權(quán)限；IP 及MAC 地址綁定，凡是IP 或MAC 地址不匹配的都不允許通過防火墻進(jìn)入[15]。

（2）安全事件預(yù)置

測試預(yù)置以下安全事件：非授權(quán)IP 或MAC地址訪問站內(nèi)業(yè)務(wù)；主機(jī)網(wǎng)卡流量超過最大限值；非電力業(yè)務(wù)常用網(wǎng)絡(luò)協(xié)議訪問；管理員賬戶修改普通賬戶權(quán)限。

（3）測試結(jié)果

根據(jù)上述測試辦法，對(duì)光伏電站站控層的整體進(jìn)行掃描，判斷是否滿足該測試場景下的安全策略要求，2 種工具的采集列情況如表2 和表3所示，表2 為SSU 工具掃描結(jié)果，表3 為網(wǎng)絡(luò)安全保護(hù)系統(tǒng)掃描結(jié)果。

表2 SSU 事件告警

3.3.3 測試結(jié)果分析

通過測試情況看，SSU 工具雖然也較為全面地監(jiān)控了組網(wǎng)部件的安全事件，但對(duì)每個(gè)事件的描述較為粗糙，僅說明了有事件發(fā)生，但未對(duì)事件源進(jìn)行定位，且沒有相關(guān)安全處置手段，后續(xù)還需要有人工進(jìn)行排查和分析，對(duì)使用者的參考并不直觀，時(shí)效性較差。另一方面，SSU 工具屬于單兵作戰(zhàn)，無安全處置功能，無事后的深度分析及復(fù)盤，因此其可用性一般。網(wǎng)絡(luò)保護(hù)系統(tǒng)則對(duì)事件的發(fā)生過程進(jìn)行了詳細(xì)記錄，包括時(shí)間、主機(jī)名稱、IP、地點(diǎn)、事件級(jí)別、告警次數(shù)及詳細(xì)內(nèi)容等，數(shù)據(jù)采集面較廣、監(jiān)視內(nèi)容集中，且具備事件處置能力及建議，相比原先的人工篩查，信息覆蓋面得到了較大提升，最大程度地保證了光伏電站站控層網(wǎng)絡(luò)的安全性。

表3 網(wǎng)絡(luò)安全保護(hù)系統(tǒng)告警

4 結(jié)語

上述研究成果有效地解決了浙江地區(qū)新能源廠站（包括集中式、分布式及微電網(wǎng)等形式）接入大電網(wǎng)后，對(duì)電力信息網(wǎng)絡(luò)攻擊的復(fù)雜性和多樣性問題，結(jié)合之前電力系統(tǒng)積累的大量攻擊案例，從漏洞分析、攻擊行為預(yù)警、攻擊趨勢預(yù)測建立了一套完整的安全監(jiān)控與預(yù)警體系，針對(duì)新能源廠站攻擊點(diǎn)多面廣特點(diǎn)，充分發(fā)揮其實(shí)時(shí)監(jiān)控及提前預(yù)判的技術(shù)優(yōu)勢。后續(xù)應(yīng)結(jié)合新興技術(shù)（大數(shù)據(jù)、人工智能、區(qū)塊鏈等）持續(xù)深入探索網(wǎng)絡(luò)安全態(tài)勢感知能力研究，科學(xué)結(jié)合電力行業(yè)安全防護(hù)標(biāo)準(zhǔn)的變化，優(yōu)化系統(tǒng)規(guī)范，適應(yīng)網(wǎng)絡(luò)安全的動(dòng)態(tài)發(fā)展趨勢。當(dāng)然，所謂“三分技術(shù)七分管理”，需要對(duì)網(wǎng)絡(luò)安全提出更多的戰(zhàn)略性指導(dǎo)意見，才能使電力監(jiān)控系統(tǒng)的安全邊際最大化。