車妍

摘 要：發(fā)電廠網(wǎng)絡信息態(tài)勢感知主要包含網(wǎng)絡資產(chǎn)分析、資產(chǎn)脆弱性感知、安全事件探討、網(wǎng)絡威脅分析、網(wǎng)絡攻擊查找以及網(wǎng)絡風險分析系統(tǒng)。在此基礎之上針對發(fā)電廠的實際運營情況，了解相關需求，提出微觀、中觀和宏觀的網(wǎng)絡安全態(tài)勢感知功能框架，以解決網(wǎng)絡信息的威脅，提升系統(tǒng)的安全性等級?；诖?，本文主要分析發(fā)電廠網(wǎng)絡與信息系統(tǒng)安全現(xiàn)狀及建立態(tài)勢感知系統(tǒng)的意義，分析建立策略，促進發(fā)電廠網(wǎng)絡信息安全的保護，建立有效的網(wǎng)絡安全態(tài)勢感知平臺，整合安全管理團隊、安全分析團隊、安全響應團隊，對于發(fā)電廠產(chǎn)生的危險事件進行全方面的匯總。

關鍵詞：發(fā)電廠;網(wǎng)絡信息;態(tài)勢感知;網(wǎng)絡安全

引 言

當前，隨著智慧城市和智能電網(wǎng)的建設，發(fā)電廠的信息安全系統(tǒng)不斷升級，通過局域網(wǎng)建設等方法以及數(shù)字控制的路徑，對于發(fā)電機組和各類設備進行全方面的數(shù)字化監(jiān)控。同時，發(fā)電廠還與外網(wǎng)進行連接，提高電力調(diào)度的效率。但在這個過程當中發(fā)電廠也會面臨顯著的安全威脅，尤其是信息被盜取以及網(wǎng)絡路徑被攻擊，只有提高網(wǎng)絡構(gòu)建的安全性，才能夠?qū)Πl(fā)電廠的運行網(wǎng)絡進行安全保護。

一、發(fā)電廠網(wǎng)絡信息態(tài)勢感知平臺建設的價值

首先，網(wǎng)絡信息安全態(tài)勢感知平臺的建設，可以提升發(fā)電廠的信息防御能力。針對發(fā)電廠個性發(fā)電機組、發(fā)電產(chǎn)品以及發(fā)電服務進行防御性的路徑攻擊，這個關鍵目標的實現(xiàn)可以提升發(fā)電場日常管理的安全性，迎接各方面的攻擊，通過事前的攔截作用，減少安全管理面臨的難度。其次，網(wǎng)絡信息安全態(tài)勢感知平臺的建設，可以提高發(fā)電廠信息管理的檢測能力，分析防御網(wǎng)絡當中存在的路徑威脅，尤其是可能會造成發(fā)電機組停擺的關鍵威脅，分析潛在的損失，測量自己目前所處的被攻擊狀態(tài)。再次，網(wǎng)絡安全態(tài)勢感知平臺的建設，可以提升發(fā)電廠的回溯能力，尤其是在發(fā)電機組故障出現(xiàn)以及故障查找的過程當中，通過內(nèi)部分析和外部功能性分析，高效開展全方面的調(diào)查，從而確定事故的原因和侵襲的來源。避免在安全防范的過程當中，對方產(chǎn)生新的攻擊手段而造成新型的事故。最后，安全態(tài)勢感知平臺的建設還可以提高發(fā)電廠的預測能力，尤其是從外部監(jiān)控下的黑客行動當中進行系統(tǒng)性的學習，針對發(fā)電廠面臨的威脅，找準安全管理系統(tǒng)的漏洞，確定安全管理的優(yōu)先級，從而做到全方面的預防和檢測。

二、發(fā)電廠安全態(tài)勢感知平臺工作原理

安全態(tài)勢感知平臺的建設主要是基于大數(shù)據(jù)技術、人工智能技術，增加機械的自我迭代與自我學習，發(fā)現(xiàn)安全事件進行準確的挖掘，通過全方面的戰(zhàn)略部署，將發(fā)電廠的各項機組人員團隊整合在一起，實現(xiàn)網(wǎng)絡信息安全的主動防御和全方面的數(shù)據(jù)分析。一方面，該信息平臺建立預警系統(tǒng)，監(jiān)控各項發(fā)電機組的運行數(shù)據(jù)，通過可視化的界面，了解各部分的發(fā)電狀態(tài)，尤其是發(fā)電機組的拓撲圖形、發(fā)電機組目前所處的數(shù)字化階段，通過監(jiān)控大屏對于相關的網(wǎng)絡安全信息進行統(tǒng)籌，還可以自動生成系統(tǒng)性的周報、月報。安全管理負責人可以基于這個平臺合理的部署內(nèi)容，制定安全管理策略，提高系統(tǒng)的執(zhí)行性。另一方面，態(tài)勢感知平臺可以對安全問題進行自動地處理和科學的判斷，例如發(fā)電廠面臨的蠕蟲病毒、網(wǎng)絡戰(zhàn)攻擊、SQL注入、JBOSS反序列化以及挖礦木馬等等，主動的進行代碼的查找，分析發(fā)電廠所面臨的具體病毒環(huán)境，確定病毒的感染終端傳播路徑，并通過IP查找的方式確定源地址、目的地址、用戶認證數(shù)據(jù)，發(fā)現(xiàn)病毒的潛伏期，通過漏洞上傳，執(zhí)行payload傳播程序，使得勒索病毒被全面的控制，從而改善整體的應用效果。從目前的應用成果來看，發(fā)電廠構(gòu)建安全態(tài)勢感知平臺以后，安全監(jiān)控的范圍持續(xù)擴大，危險發(fā)現(xiàn)的及時性不斷提升，安全管理效率改善，宏觀群理解成本也不斷降低，有利于發(fā)電廠的可持續(xù)建設與發(fā)展。

三、發(fā)電廠信息網(wǎng)絡安全態(tài)勢感知平臺建設路徑

（一）微觀層面態(tài)勢感知

微觀層面的態(tài)勢感知主要是分析：（1）發(fā)電廠目前的網(wǎng)絡資產(chǎn)，主要是發(fā)電廠的設備。（2）信息網(wǎng)絡系統(tǒng)管理的脆弱性，也就是人員組織的力度、數(shù)據(jù)管理的層次性。（3）告知警報事件，分析當前受到的網(wǎng)絡威脅，面臨的攻擊和具體面對的風險。（4）建立信息分析的閉環(huán)，具體包含采集發(fā)電廠相關設備的運行數(shù)據(jù)，機組運行安全性的數(shù)據(jù)，以及網(wǎng)絡設備的管理數(shù)據(jù)、主機設備的運行數(shù)據(jù)、數(shù)據(jù)庫的建立以及中間件數(shù)據(jù)的安全，探討哪些網(wǎng)絡路徑可能會威脅這些平臺存在的安全線。微觀層面的態(tài)勢感知平臺部署，主要是采用分布式部署方法，該種方法適用于發(fā)電廠等規(guī)模大的企業(yè)布置。例如廣州某發(fā)電廠就采取管理配置服務器、大數(shù)據(jù)服務器集群、集中部署采集器等方法，匯總數(shù)據(jù)上傳數(shù)據(jù)。該匯總系統(tǒng)下設三個采集區(qū)域，可以對全企業(yè)范圍內(nèi)的微觀信息層面進行全方面的感知，形成集中式的采集器集群。

首先，在微觀層面態(tài)勢感知平臺的建設當中，要通過安全運營人員，對整個系統(tǒng)進行構(gòu)造。主要包含安全管理團隊、安全分析團隊、安全響應團隊。其次，對各個團隊的主要負責內(nèi)容進行全方面的界定，從而發(fā)揮定崗定責的崗位責任優(yōu)勢：（1）安全管理團隊主要負責調(diào)查分析、工單管理、統(tǒng)計報表、資產(chǎn)管理、漏洞管理、事件管理、威脅預警管理，通過大數(shù)據(jù)的可視化技術，將業(yè)務應用系統(tǒng)上傳的數(shù)據(jù)資料進行全方面的可視化呈現(xiàn)。（2）安全分析團隊主要進行大數(shù)據(jù)搜索、大數(shù)據(jù)統(tǒng)計、關聯(lián)分析、人工智能分析、基于大數(shù)據(jù)存儲與計算平臺進行各項分析系統(tǒng)的匯總。（3）安全響應團隊主要是對內(nèi)部數(shù)據(jù)進行全方面的采集，這些內(nèi)部數(shù)據(jù)包含中間件日志數(shù)據(jù)、數(shù)據(jù)庫日志、應用系統(tǒng)日志、engines采集數(shù)據(jù)網(wǎng)絡、流量數(shù)據(jù)、主機日志、網(wǎng)絡設備日志、安全設備日志。從而發(fā)現(xiàn)發(fā)電機組面臨的各項風險和問題，及時進行數(shù)據(jù)結(jié)構(gòu)的調(diào)整。最后，在微觀層面上，各團隊配合在一起可以形成網(wǎng)絡威脅情報的匯總，建立不同網(wǎng)絡路徑的信譽庫，及時發(fā)現(xiàn)漏洞、DDoS攻擊事件和釣魚威脅。

（二）中觀層面態(tài)勢感知

中觀層面的態(tài)勢感知可方便發(fā)電廠的中層管理人員進行職能的部署，各層級的主管人員可以根據(jù)自己部門的職責，建立相映的網(wǎng)絡態(tài)勢安全保障系統(tǒng)，并發(fā)布相映的網(wǎng)絡安全管理指令，對其他管理部門進行有效的追責和監(jiān)管。中觀層面的態(tài)勢感知平臺是一項系統(tǒng)性網(wǎng)絡構(gòu)建體系，根據(jù)分級分域的架構(gòu)原則，獲得基本架構(gòu)屬性，在邏輯上和原理上，與微觀層面態(tài)勢感知平臺類似。但是可以通過集中部署的功能，彌補微觀層面態(tài)勢感知平臺的不足。中觀層面的感知平臺可以提升匯聚能力，并向上線下進行聯(lián)動，發(fā)出平臺預警警報，具體部署方式主要分為一級部署方式、二級部署方式和三級部署方式。發(fā)電廠采取的部署方式主要是三層部署方式，適應當前發(fā)電廠規(guī)模大、與其他部門聯(lián)動強的發(fā)展趨勢。該部署平臺可以根據(jù)重要安全事件、運行狀態(tài)和知識庫三個體系進行實時更新，向上發(fā)出預警，向下更新指令，實現(xiàn)發(fā)電廠的多區(qū)域聯(lián)動和多項協(xié)同響應。

例如，在關聯(lián)規(guī)則引擎層次，發(fā)電廠管理人員就可以根據(jù)態(tài)勢感知平臺上傳的大量日志信息，進行實時的數(shù)據(jù)流解析，發(fā)派各個部門工作的關聯(lián)性規(guī)則，對于生產(chǎn)設備和運營團隊產(chǎn)生的異常行為進行有效的關聯(lián)警告，提醒運營和維修團隊及時地住派人手進行設備狀態(tài)的檢查。在終端管理層面、態(tài)勢平臺的建設以網(wǎng)絡高級威脅發(fā)現(xiàn)，為最終目的對安全事件進行追溯，并且了解終端DNS的請求行為，改變自動響應功能，提升發(fā)電廠的威脅檢測效率，建設閉環(huán)響應系統(tǒng)。

（三）宏觀層面態(tài)勢感知

宏觀層面的態(tài)勢感知主要是對發(fā)電廠遇到的安全威脅事件進行全方面的態(tài)勢呈現(xiàn)，具體包含以下幾個路徑：第一，全面獲取數(shù)據(jù)，根據(jù)微觀層面的網(wǎng)絡安全態(tài)勢感知平臺上傳的態(tài)勢信息、事件信息、警報信息、應急管理信息，匯總成為威脅情報中心，該中心成員對于重大安全態(tài)勢事件進行全方面的探索。第二，在中觀層面的態(tài)勢感知平臺進行全方面的態(tài)勢情報分析、預警、響應、指揮，從而做出威脅判斷，根據(jù)統(tǒng)計反饋的結(jié)果建立關聯(lián)分析系統(tǒng)，形成全方面的安全預警警報。在該層次上，宏觀層面的態(tài)勢感知系統(tǒng)可以進行互聯(lián)網(wǎng)的大范圍監(jiān)測，了解DDOS態(tài)勢攻擊情況、Web攻擊態(tài)勢情況，從而確定網(wǎng)絡威脅情報中心的數(shù)據(jù)安全性等級?？偟膩砜矗暧^層面的態(tài)勢感知系統(tǒng)主要是針對重大、特別重大的網(wǎng)絡安全事件，進行應急指揮，涉及到發(fā)電廠的管理安全性問題，例如設備的應急警報問題、人員的信息泄露問題。宏觀層次的態(tài)勢感知平臺建設之后，可以形成全域聯(lián)動和協(xié)同響應效力，根據(jù)重大事件進行全方面的調(diào)動與協(xié)調(diào)。

結(jié) 論

綜上所述，發(fā)電廠網(wǎng)絡信息安全態(tài)勢感知可以針對實際需求進行功能架構(gòu)和戰(zhàn)略部署，從而保障發(fā)電廠具體信息網(wǎng)絡的安全。因而我們要加強系統(tǒng)架構(gòu)，重視微觀、中觀和宏觀之間的態(tài)勢感知聯(lián)系，提升安全監(jiān)管效力。

參考文獻

[1] 林益波.網(wǎng)絡安全態(tài)勢感知系統(tǒng)在火力發(fā)電廠的應用[J].機電信息，2020（15）：61-62.

[2] 邢加瑋.發(fā)電廠分散控制系統(tǒng)安全加固研究與實踐[J].中國新技術新產(chǎn)品，2019（23）：145-146.

[3] 李程雄.基于告警流的安全事件挖掘引擎設計[J].電力信息與通信技術，2019，17（11）：38-45.