李曉勐，曹耀夫，劉俊文，李成巍，閆珺路，趙景程

(國家電網(wǎng)有限公司信息通信分公司，北京 100053)

1 電力監(jiān)控系統(tǒng)網(wǎng)絡安全防護

1.1 概述

電力監(jiān)控系統(tǒng)是指用于監(jiān)視和控制電力生產(chǎn)及供應過程、基于計算機及網(wǎng)絡技術的業(yè)務系統(tǒng)及智能設備，以及作為基礎支擋的通信及數(shù)據(jù)網(wǎng)絡。木桶理論決定了整體安全防護水平是由系統(tǒng)中最薄弱環(huán)節(jié)的水準決定的。對電力監(jiān)控進行體系化的安全保護十分必要，為了防止黑客利用噪聲系統(tǒng)漏洞和對企業(yè)系統(tǒng)后門的惡意入侵，并防止使用計算機病毒或惡意代碼實施的破壞和攻擊，從而導致電力監(jiān)控系統(tǒng)被劫持或淪陷，造成對電力系統(tǒng)生產(chǎn)安全運行的危害。我國電力監(jiān)控系統(tǒng)安全防護在十數(shù)載不斷地強化完善過程中，已經(jīng)實現(xiàn)了從靜態(tài)布防到動態(tài)管控的轉(zhuǎn)變。電力監(jiān)控系統(tǒng)從安全防護技術，應急備用措施和全面安全管理三個方面構建了三維立體的安全防護體系。

1.2 安全形勢與發(fā)展現(xiàn)狀

電力監(jiān)控系統(tǒng)是支撐電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應的重要手段，隨著網(wǎng)絡規(guī)模急劇擴大化和網(wǎng)絡空間的一體化的趨勢，針對電力監(jiān)控系統(tǒng)網(wǎng)絡安全的管控愈加復雜。從國際形勢上看，世界范圍內(nèi)發(fā)生網(wǎng)絡戰(zhàn)的概率不斷增大，網(wǎng)絡安全對抗與攻擊愈加激烈，網(wǎng)絡攻擊具有手段隱蔽、攻擊成本低、取證困難等特點，能夠?qū)ζ髽I(yè)生產(chǎn)運營、企業(yè)名譽甚至對社會和國家層面造成重大影響。近年來發(fā)生的烏克蘭電網(wǎng)停電、伊朗核電站感染震網(wǎng)病毒導致癱瘓等事件表明，電力系統(tǒng)作為網(wǎng)絡戰(zhàn)的重要攻擊目標，始終處在網(wǎng)絡打擊破壞的前沿。

國家電網(wǎng)公司按照 安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證 的安全防護總體策略全面建立了電力監(jiān)控安全防護體系，覆蓋了五級電網(wǎng)調(diào)度機構、各類變電站和發(fā)電廠，在安全管理、防護技術、應急備用的角度形成了多維柵格狀動態(tài)安全防護體系，取得了良好的防護效果。

國家電網(wǎng)公司自主研制了電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺，并在地級以上調(diào)度機構已全面部署完成，可實時監(jiān)測網(wǎng)絡空間內(nèi)的安全告警。

國家電網(wǎng)公司自主研制并全面部署的電力監(jiān)控系統(tǒng)網(wǎng)絡安全管理平臺，按照設備自身感知、監(jiān)測裝置分布采集、管理平臺統(tǒng)一管控的原則，構建網(wǎng)絡安全管理的感知、采集、管控三層邏輯結構。

（1）自身感知：實現(xiàn)服務器、工作站、交換機、縱向加密、正/反向隔離等設備作為監(jiān)測對象自身網(wǎng)絡安全數(shù)據(jù)的感知及上報，并具體執(zhí)行安全核查。

（2）分布采集：利用監(jiān)測裝置實現(xiàn)對調(diào)控機構、廠站、配電、負控等監(jiān)控系統(tǒng)相關設備網(wǎng)絡安全數(shù)據(jù)采集，以及與管理平臺的通信和交互。

（3）統(tǒng)一管理：管理平臺實現(xiàn)網(wǎng)絡安全在線實時監(jiān)視、告警、分析、審計、核查等功能的集成。

2 當前存在的主要問題

2.1 告警有效性堪憂、平臺功能割裂

現(xiàn)有網(wǎng)絡安全管理平臺的各項功能處于割裂狀態(tài)，尤其是為安全監(jiān)視人員提供實時提醒的告警功能，不但判定邏輯簡單，而且告警信息多、有效/無效、有影響/無影響告警混雜在一起，無法快速定位有效告警，并且需要網(wǎng)絡安全管理人員從不同的監(jiān)視維度分別查看和統(tǒng)計各項功能指標數(shù)據(jù)，不能形成有效的綜合分析，且對整體運行情況和安全態(tài)勢缺乏認知和判斷。

2.2 需要數(shù)據(jù)綜合分析和處理能力

網(wǎng)絡安全設備監(jiān)控日志數(shù)據(jù)量越來越大，目前平臺難以對這些海量異構數(shù)據(jù)進行集中存儲和分析處理，無法有效整合各個設備產(chǎn)生獨立的事件告警，導致分析數(shù)據(jù)源單一、大規(guī)模數(shù)據(jù)關聯(lián)效能低，無法滿足對于網(wǎng)絡空間態(tài)勢分析的基本需求，而且告警智能分析過濾和輔助決策程度不高，從大量、孤立的單個事件中無法準確發(fā)現(xiàn)全局、整體的安全威脅行為。

2.3 不具備智能化學習和輔助決策功能

針對網(wǎng)絡異常檢測缺少特征識別和自主學習能力，且缺乏有效的可視化手段有效直觀展示當前安全態(tài)勢，無法及時檢測0day 漏洞的威脅和APT 攻擊等未知特征的威脅形式，難以給予當前指揮人員有效的輔助決策。

2.4 自動化應急手段缺失

當發(fā)生重大網(wǎng)絡安全事件時，指揮人員難以依靠有效的技術管控手段，在指揮中心即可實現(xiàn)會話、主機設備乃至整個網(wǎng)絡區(qū)域的遠程多級精準阻斷，還需要組織現(xiàn)場人員或?qū)I(yè)技術人員登錄設備進行相關操作，無法滿足快速隔離威脅、控制蔓延的應急要求。

3 智能分析管控策略建議

3.1 資產(chǎn)安全性評估打分功能

利用現(xiàn)有國家電網(wǎng)網(wǎng)絡安全管理平臺感知和采集的多種數(shù)據(jù)資源，綜合分析運行狀態(tài)告警、漏洞掃描、基線核查信息、弱口令檢查、當前威脅事件情況，以及資產(chǎn)的網(wǎng)絡異常行為，對資產(chǎn)進行安全評估打分。為網(wǎng)絡安全管理人員和安全運行管理人員提供重點關注信息，實現(xiàn)威脅事件精準評估，網(wǎng)絡安全有效掌握的目標。通過綜合靜態(tài)評估與動態(tài)評估兩個部分，對整個網(wǎng)絡空間中所有資產(chǎn)評價打分，結合整個網(wǎng)絡中的資產(chǎn)配備情況，資產(chǎn)受控情況，能夠?qū)φ麄€網(wǎng)絡進行總體安全評估。靜態(tài)評估是指通過添加對資產(chǎn)的漏洞、基線配置情況和弱口令掃描等靜態(tài)信息，按照不同因子不同權重進行打分評價。動態(tài)評估是對資產(chǎn)的動態(tài)信息，一方面對運行狀態(tài)告警進行一些規(guī)則處理，另一方面結合網(wǎng)絡安全威脅情報信息，從IP 地址、告警時間以及告警類型3 個角度判斷可疑資產(chǎn)（有被利用風險）和受害資產(chǎn)（已有疑似被利用行為），對關鍵資產(chǎn)是否受到威脅的告警特征進行量化，最后根據(jù)危害程度添加威脅告警和事件告警的推理規(guī)則，對數(shù)量分別進行統(tǒng)計，對資產(chǎn)進行安全評估打分。之后計算靜態(tài)評估與動態(tài)評估權重各一半的總得分，將各項安全評估情況以及總提得分進行展示，為監(jiān)視人員提供全面的資產(chǎn)安全性綜合評估展示。

3.2 安全數(shù)據(jù)資源化及建模分析

在對內(nèi)外部數(shù)據(jù)源進行統(tǒng)一采集、初篩和存儲的基礎上，通過流式數(shù)據(jù)的實時分析和歷史數(shù)據(jù)的離線分析相結合的方式，將數(shù)量龐大、類型多樣、獨立價值低的數(shù)據(jù)（包括II型監(jiān)測裝置、Agent 類信息、安防設備信息、網(wǎng)絡設備信息、數(shù)據(jù)庫、業(yè)務應用類信息等）進行模型化、范式化處理，形成可被逐級分析利用的數(shù)據(jù)資源。

將上述資源化數(shù)據(jù)進行整合，根據(jù)電力監(jiān)控系統(tǒng)實際安全防護需求，通過運用關聯(lián)分析、多階段組合關聯(lián)分析、攻擊場景關聯(lián)分析等，進行靜態(tài)設備模型、動態(tài)運行模型、風險分析模型、網(wǎng)絡異常檢測模型、安全審計模型、自動化應急處置等建模，形成全局式的網(wǎng)絡安全態(tài)勢分析。

3.3 安全態(tài)勢可視化技術研究

緊密結合電力監(jiān)控系統(tǒng)運行監(jiān)控需求，開展安全態(tài)勢可視化設計，圍繞 電力安全攻防 理念，依托對原始數(shù)據(jù)信息的建模、分析和處理，從網(wǎng)絡空間地理視圖、關鍵資產(chǎn)視圖、安全威脅溯源視圖等多個視角，快速、準確、有效、直觀、形象地展示網(wǎng)絡空間內(nèi)的安全態(tài)勢。

3.4 智能安全決策與應急處置技術研究

面向運行監(jiān)控值班工作的監(jiān)視重點，實現(xiàn)多尺度、多維度、細粒度的安全事件深入分析、檢測與跟蹤，并進一步應用知識工程算法，形成經(jīng)驗式、可迭代的網(wǎng)絡安全事件推理優(yōu)化機制和智能知識庫，為運行監(jiān)控和指揮人員提供相關定制化專業(yè)知識手冊和智能化輔助決策。

綜合事件范圍及業(yè)務影響，基于agent 信任控制機制和網(wǎng)絡、安防設備遠程控制策略等技術，設計合理的分級網(wǎng)絡緊急隔離措施，實現(xiàn)遠程阻斷會話、主機至廠站區(qū)域的多層次分級隔離。

4 結語

電力監(jiān)控系統(tǒng)智能分析管控技術基于現(xiàn)有的電力監(jiān)控系統(tǒng)安全防護體系，可接收處理來自多渠道采集的流量結構化數(shù)據(jù)、檢測設備日志、各類告警信息等，并借助大數(shù)據(jù)技術對海量數(shù)據(jù)集中存儲和分析處理，結合對實時數(shù)據(jù)和歷史數(shù)據(jù)的綜合分析，實現(xiàn)安全威脅的快速發(fā)現(xiàn)、追溯定位和實時應急處理，提高電力監(jiān)控系統(tǒng)網(wǎng)絡安全的監(jiān)視分析和防護水平。