巫聰云，劉斌，沈梓正，顏麗，廖曉春

（1.廣西電網(wǎng)有限責(zé)任公司，南寧 530000；2.武漢華電順承科技有限公司，武漢 430071）

近年來，國際網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻，烏克蘭、委內(nèi)瑞拉等國家級(jí)大規(guī)模停電事故時(shí)有發(fā)生，電網(wǎng)已成為網(wǎng)絡(luò)攻擊戰(zhàn)的主戰(zhàn)場。我國對(duì)電力系統(tǒng)網(wǎng)絡(luò)信息安全監(jiān)管引起了高度的重視，國家發(fā)展和改革委員會(huì)第14號(hào)令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、國能安全36號(hào)文《變電站監(jiān)控系統(tǒng)安全防護(hù)總體方案》和《中國南方電網(wǎng)電力監(jiān)控系統(tǒng)安全管理辦法》（Q/CSG 212001—2015）等陸續(xù)頒布，對(duì)保障電網(wǎng)穩(wěn)定運(yùn)行的監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全加大了管控力度，對(duì)已經(jīng)投運(yùn)的變電站二次設(shè)備提出了嚴(yán)格的整改要求［1-3］。

變電站二次設(shè)備不僅分布廣泛、數(shù)量龐大、類型繁雜，而且投放時(shí)間各異、安全水平參差不齊，安防整改同步實(shí)施難以實(shí)現(xiàn)。相較于采用入網(wǎng)軟件直接并網(wǎng)的保護(hù)裝置等嵌入式設(shè)備，利用后臺(tái)管理機(jī)并網(wǎng)的錄波器安全問題最為突出［4-5］。南方電網(wǎng)已有超過50%的錄波器因無有效的安防整改手段，不得不大面積脫網(wǎng)運(yùn)行，數(shù)據(jù)無法正常上送；部分安防整改后達(dá)標(biāo)的錄波器，雖暫時(shí)符合電網(wǎng)安全等級(jí)的要求，但其安防體系長期處于靜態(tài)，仍存在安全隱患。目前采用分頭安防整改的現(xiàn)場運(yùn)維模式，已暴露出整改效率低下、效果不可控等問題，而且也無法從根本上解決安防要求持續(xù)更新的難題，變電站二次設(shè)備安防運(yùn)維模式優(yōu)化，成為電力系統(tǒng)網(wǎng)絡(luò)信息安全保障工作中亟待解決的問題。

1 變電站二次設(shè)備安防運(yùn)維現(xiàn)狀分析

國內(nèi)外對(duì)電力監(jiān)控系統(tǒng)安防運(yùn)維的探索多停留于智能終端安防體系的建立，對(duì)仍處于服役期但安防要求不達(dá)標(biāo)的脫網(wǎng)二次設(shè)備安防運(yùn)維方面的研究較少，安防運(yùn)維模式優(yōu)化及相關(guān)技術(shù)的研究更為鮮見，變電站二次設(shè)備安防運(yùn)維現(xiàn)狀如表1所列。本文考慮到現(xiàn)存部分二次設(shè)備安全整改不達(dá)標(biāo)脫網(wǎng)運(yùn)行后數(shù)據(jù)無法上送主站系統(tǒng)的現(xiàn)狀，并結(jié)合文獻(xiàn)［6］-［13］所提方法，通過在變電站內(nèi)部署安防體系完善的合規(guī)并網(wǎng)裝置，實(shí)現(xiàn)變電站二次設(shè)備集中管理和數(shù)據(jù)安全輸出，同時(shí)兼顧設(shè)備數(shù)據(jù)安全統(tǒng)一管理和裝置安防體系集中運(yùn)維，最終實(shí)現(xiàn)二次設(shè)備安防整改和維護(hù)管理效益的最大化。

表1 變電站二次設(shè)備安防運(yùn)維現(xiàn)狀分析Tab.1 Analysis on the current situation of security operation and maintenance for secondary equipment in substation

基于上述分析，本文提出二次設(shè)備集中安防運(yùn)維及主動(dòng)感知和診斷預(yù)警關(guān)鍵技術(shù)的研究，在變電站內(nèi)統(tǒng)一部署合規(guī)并網(wǎng)裝置，就地解決錄波器并網(wǎng)和數(shù)據(jù)安全傳輸?shù)膯栴}，提供高可靠的錄波數(shù)據(jù)傳輸和訪問服務(wù)；利用錄波主站拓展運(yùn)維業(yè)務(wù)應(yīng)用，開發(fā)集中運(yùn)維管理平臺(tái)，將對(duì)數(shù)量多、分布廣和改造難度大的異構(gòu)錄波器進(jìn)行安防整改，轉(zhuǎn)換成對(duì)規(guī)格一致的合規(guī)并網(wǎng)裝置進(jìn)行安防策略升級(jí)和統(tǒng)一維護(hù)，形成變電站二次設(shè)備集中安防運(yùn)維的新模式。

2 變電站二次設(shè)備集中安防運(yùn)維架構(gòu)

在合規(guī)并網(wǎng)裝置接入變電站后，通過集中運(yùn)維的方法不斷升級(jí)和優(yōu)化裝置內(nèi)部的安防體系，保持裝置高安全防護(hù)標(biāo)準(zhǔn)。變電站二次設(shè)備集中安防運(yùn)維架構(gòu)主要包含合規(guī)并網(wǎng)裝置、錄波主站系統(tǒng)和運(yùn)維管理平臺(tái)三個(gè)部分，其中合規(guī)并網(wǎng)裝置的作用在于安全防護(hù)錄波數(shù)據(jù)和威脅追蹤處理，錄波主站系統(tǒng)和運(yùn)維管理平臺(tái)是利用調(diào)度側(cè)主站多源數(shù)據(jù)分析能力和運(yùn)維業(yè)務(wù)拓展功能，對(duì)分散的合規(guī)并網(wǎng)裝置安防體系進(jìn)行全盤統(tǒng)籌和維護(hù)管理，如圖1所示。

圖1 變電站二次設(shè)備集中安防運(yùn)維架構(gòu)Fig.1 Substation secondary equipment centralized security operation and maintenance architecture

1）合規(guī)并網(wǎng)裝置：裝置有多個(gè)物理通信接口與變電站錄波器進(jìn)行互連，具備健全的安防體系，包含設(shè)備安全管理、網(wǎng)絡(luò)狀態(tài)監(jiān)視、漏洞掃描、病毒查殺、權(quán)限管理、日志審計(jì)和服務(wù)優(yōu)化等，在錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間起到安全隔離的作用。將接入的數(shù)據(jù)根據(jù)通信協(xié)議和特征屬性進(jìn)行數(shù)據(jù)分類、主動(dòng)感知和威脅分離，確保上送的數(shù)據(jù)安全可靠。

2）錄波主站系統(tǒng)：利用現(xiàn)有的主站系統(tǒng)，進(jìn)行合規(guī)并網(wǎng)裝置安防體系集中運(yùn)維業(yè)務(wù)的延伸，通過錄波主站和裝置之間建立的通信連接，接收分布式合規(guī)并網(wǎng)裝置上送的錄波數(shù)據(jù)和預(yù)警的威脅信息整理結(jié)果，站在全局角度對(duì)風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估。

3）運(yùn)維管理平臺(tái)：錄波主站對(duì)所有連接的合規(guī)并網(wǎng)裝置觸發(fā)安防體系巡檢任務(wù)，生成記錄合規(guī)并網(wǎng)裝置安防體系版本信息的檢查報(bào)告，調(diào)度統(tǒng)一制定相應(yīng)的應(yīng)對(duì)策略，通過專用運(yùn)維接口，對(duì)合規(guī)并網(wǎng)裝置進(jìn)行規(guī)范化的策略部署，包括但不限于病毒庫升級(jí)、漏洞修復(fù)和系統(tǒng)升級(jí)，實(shí)現(xiàn)集中安防運(yùn)維管理。

3 變電站二次設(shè)備集中安防運(yùn)維方法

利用合規(guī)并網(wǎng)裝置解決變電站錄波器安全并網(wǎng)問題，對(duì)接收到的錄波數(shù)據(jù)進(jìn)行安全管控，通過入侵檢測和反向追蹤進(jìn)行威脅感知和追溯診斷，錄波主站根據(jù)威脅預(yù)警信息進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估，調(diào)度制定應(yīng)對(duì)策略，通過集中部署的方式進(jìn)行變電站側(cè)安防體系統(tǒng)一升級(jí)和維護(hù)。變電站二次設(shè)備集中安防運(yùn)維管理方法主要包含威脅入侵?jǐn)r截、風(fēng)險(xiǎn)綜合評(píng)估和安全策略部署三個(gè)部分，如圖2所示。

圖2 變電站二次設(shè)備集中安防運(yùn)維方法Fig.2 Substation secondary equipment centralized security operation and maintenance method

1）威脅入侵?jǐn)r截：合規(guī)并網(wǎng)裝置實(shí)時(shí)接收站內(nèi)錄波器上送的數(shù)據(jù)，為防止錄波器數(shù)據(jù)被非法篡改或與錄波器連接的鏈路遭受網(wǎng)絡(luò)攻擊等問題的發(fā)生，對(duì)數(shù)據(jù)源IP、MAC地址、設(shè)備端口、數(shù)據(jù)格式、攜帶病毒等情況進(jìn)行檢查，利用入侵檢測技術(shù)篩選出符合預(yù)先通信設(shè)置和格式、內(nèi)容審計(jì)要求的錄波數(shù)據(jù)，過濾出符合入侵特征的威脅數(shù)據(jù)，利用反向追蹤技術(shù)，追溯到惡意代碼、非法行為的來源，進(jìn)行威脅攔截和阻斷。

2）風(fēng)險(xiǎn)綜合評(píng)估：合規(guī)并網(wǎng)裝置利用威脅和對(duì)抗分析相結(jié)合的方式對(duì)感知到的威脅進(jìn)行評(píng)估和預(yù)警，錄波主站對(duì)裝置上報(bào)的風(fēng)險(xiǎn)進(jìn)行綜合評(píng)估和等級(jí)評(píng)定，制定相應(yīng)的短期對(duì)策，如高危端口暫時(shí)屏蔽、數(shù)據(jù)傳輸鏈路轉(zhuǎn)移等應(yīng)對(duì)辦法，使得風(fēng)險(xiǎn)可以暫時(shí)規(guī)避，爭取更多時(shí)間制定長期有效的安防策略。

3）安全策略部署：對(duì)風(fēng)險(xiǎn)進(jìn)行策略的制定和驗(yàn)證，進(jìn)行攻防演練，確認(rèn)策略的有效性、可行性和歸屬類別，在全網(wǎng)范圍內(nèi)實(shí)施有效防御措施。運(yùn)維管理平臺(tái)利用策略部署的方式進(jìn)行分布式合規(guī)并網(wǎng)裝置安防體系策略庫的版本升級(jí)，實(shí)現(xiàn)變電站內(nèi)合規(guī)并網(wǎng)裝置安全策略的統(tǒng)一部署和集中運(yùn)維的目標(biāo)，提高裝置自身的安全防護(hù)能力。

4 變電站二次設(shè)備集中安防運(yùn)維關(guān)鍵技術(shù)

4.1 基于入侵檢測和反向追蹤的威脅主動(dòng)感知和追溯診斷

合規(guī)并網(wǎng)裝置處于錄波器和主站系統(tǒng)之間，其作用是安全傳遞錄波數(shù)據(jù)，該裝置接收與自身達(dá)成通信協(xié)議要求的錄波器數(shù)據(jù)，對(duì)監(jiān)測到的數(shù)據(jù)的來源、格式和內(nèi)容等信息做數(shù)據(jù)檢測和安全檢查，篩選出主站所需的錄波數(shù)據(jù)，以及感知和診斷二次設(shè)備入侵的威脅，提高錄波數(shù)據(jù)上送的安全可靠性［14-15］。基于入侵檢測和反向追蹤的威脅主動(dòng)感知和追溯診斷如圖3所示。

圖3 基于入侵檢測和反向追蹤的威脅主動(dòng)感知和追溯診斷Fig.3 Threat active perception and traceback diagnosis based on intrusion detection and traceback

1）基于入侵檢測的威脅主動(dòng)感知：建立錄波數(shù)據(jù)特征庫和入侵特征信息庫，對(duì)錄波數(shù)據(jù)的需求內(nèi)容進(jìn)行定義，對(duì)已出現(xiàn)過的非法入侵等風(fēng)險(xiǎn)行為進(jìn)行特征提取，利用適合于海量數(shù)據(jù)環(huán)境的基于深度信念網(wǎng)絡(luò)的多類支持向量機(jī)（deep belief nets multi-class support vector machine，DBN-MSVM）入侵檢測技術(shù)進(jìn)行數(shù)據(jù)篩選［16］。

a）特征降維：對(duì)高維、非線性接收到的數(shù)據(jù)進(jìn)行DBN特征降維處理，去除冗余特征。

b）深度檢測：利用深度數(shù)據(jù)包檢測（deep packet inspection，DPI）對(duì)低維特征數(shù)據(jù)檢測其傳輸協(xié)議、頭部信息和有效載荷等，使用錄波數(shù)據(jù)特征庫和網(wǎng)絡(luò)攻擊入侵特征信息庫進(jìn)行快速匹配。

c）數(shù)據(jù)篩選：采用MSVN分類器分離出不同類別的數(shù)據(jù)，包含錄波數(shù)據(jù)、威脅數(shù)據(jù)和其他數(shù)據(jù)三類：

①錄波數(shù)據(jù)：將遵循協(xié)議要求且符合暫態(tài)數(shù)據(jù)交換通用格式（common format for transient data exchange，COMTRADE）標(biāo)準(zhǔn)的錄波數(shù)據(jù)，與其他數(shù)據(jù)初步分離開來，錄波數(shù)據(jù)需經(jīng)過合規(guī)并網(wǎng)裝置安全檢查，確認(rèn)安全后上送錄波主站。

②威脅數(shù)據(jù)：利用入侵特征信息庫，主動(dòng)感知帶有攻擊性質(zhì)的入侵行為或企圖，發(fā)出威脅入侵告警信號(hào)，并對(duì)識(shí)別到的惡意代碼、病毒、漏洞等威脅進(jìn)行有效隔離。

③其他數(shù)據(jù)：非錄波數(shù)據(jù)和威脅數(shù)據(jù)，可以設(shè)定保留期限，將其進(jìn)行暫存處理，保留期間無主站主動(dòng)召喚，不得上傳，減少網(wǎng)路開銷。

2）基于反向追蹤的威脅追溯診斷：網(wǎng)絡(luò)攻擊者在實(shí)施攻擊之時(shí)或之后，會(huì)留下登錄的記錄、文件權(quán)限更改等證據(jù)，利用基于自適應(yīng)概率標(biāo)記的IP反向追蹤（adaptive probabilistic marking scheme IP traceback，APMS-IT）技術(shù)對(duì)威脅數(shù)據(jù)進(jìn)行破譯，消除威脅者偽造IP標(biāo)記的影響，重構(gòu)攻擊的完整路徑阻斷威脅［17-18］，并根據(jù)收集的信息利用安防體系進(jìn)行威脅診斷和跟蹤處理。

a）啟動(dòng)追蹤：根據(jù)威脅入侵告警信號(hào)，發(fā)起反向追蹤，并做相應(yīng)的追蹤任務(wù)編號(hào)，實(shí)現(xiàn)威脅追蹤任務(wù)的并行處理。

b）范圍確定：IP首部包含8位生存時(shí)間TTL（time-to-live）字段，設(shè)置了數(shù)據(jù)包可以經(jīng)過的最多路由器數(shù)。對(duì)接入網(wǎng)端口進(jìn)行統(tǒng)一TTL值配置，依據(jù)數(shù)據(jù)包每經(jīng)過一個(gè)路由器TTL值減1的特性，從TTL值的變化推斷數(shù)據(jù)包經(jīng)過的路由器跳數(shù)，自適應(yīng)調(diào)整標(biāo)記數(shù)據(jù)包的概率，從而確定IP標(biāo)記追蹤的路由器范圍。

c）反向標(biāo)記：利用開始時(shí)刻和路由器范圍，觸發(fā)該范圍內(nèi)路由器級(jí)數(shù)的標(biāo)記工作。

d）路徑重構(gòu)：進(jìn)行威脅攻擊路徑的反向重構(gòu)，追溯威脅發(fā)起者的實(shí)際物理地址。

e）威脅診斷：合規(guī)并網(wǎng)裝置根據(jù)攻擊路徑，可迅速采取限流、過濾等攔截手段，阻斷威脅并控制影響范圍，利用裝置部署的漏洞掃描、病毒查殺、設(shè)備安全檢查、權(quán)限檢查、日志審計(jì)、服務(wù)檢查等安防手段對(duì)控制的威脅進(jìn)行診斷定位，并持續(xù)跟蹤處理。

4.2 基于威脅和對(duì)抗分析相結(jié)合的風(fēng)險(xiǎn)預(yù)警和綜合評(píng)估

根據(jù)過往經(jīng)驗(yàn)、知識(shí)總結(jié)，不斷更新合規(guī)并網(wǎng)裝置的入侵特征信息庫，使其具備快速發(fā)現(xiàn)代碼或者環(huán)境安全問題的能力，并利用自身所建立的安防體系對(duì)抗威脅產(chǎn)生的攻擊，進(jìn)行威脅博弈狀態(tài)的動(dòng)態(tài)分析和風(fēng)險(xiǎn)評(píng)估，實(shí)現(xiàn)風(fēng)險(xiǎn)快速預(yù)警的目標(biāo)。主站系統(tǒng)根據(jù)單臺(tái)裝置上報(bào)的風(fēng)險(xiǎn)概率和嚴(yán)重程度，進(jìn)行風(fēng)險(xiǎn)影響范圍的全面評(píng)估和等級(jí)評(píng)定，實(shí)現(xiàn)風(fēng)險(xiǎn)信息全盤掌控和快速應(yīng)對(duì)的目標(biāo)，基于威脅和對(duì)抗分析相結(jié)合的風(fēng)險(xiǎn)預(yù)警和綜合評(píng)估技術(shù)如圖4所示。

圖4 基于威脅和對(duì)抗分析相結(jié)合的風(fēng)險(xiǎn)預(yù)警和綜合評(píng)估Fig.4 Risk early warning and comprehensive assessment based on the combination of threat and adversarialanalysis

1）裝置風(fēng)險(xiǎn)預(yù)警：合規(guī)并網(wǎng)裝置利用威脅和對(duì)抗分析相結(jié)合的方式，對(duì)感知到的威脅進(jìn)行內(nèi)部評(píng)估和風(fēng)險(xiǎn)預(yù)警，并整理追蹤過程中收集到的證據(jù)，按照主站協(xié)議要求和安全匯報(bào)形式進(jìn)行風(fēng)險(xiǎn)信息報(bào)送。

a）對(duì)于合規(guī)并網(wǎng)裝置a安防體系的對(duì)抗能力，生成對(duì)抗性集合A=｛Ai|i=1，2，…，n｝，其中，n表示裝置對(duì)抗性種類的數(shù)量，Ai表示第i種對(duì)抗性。

b）合規(guī)并網(wǎng)裝置主動(dòng)感知到的威脅集合為T=｛Tj|j=1，2，…，m｝，其中，m表示裝置識(shí)別出的威脅數(shù)量，Tj表示第j種威脅。

c）Pj=P（Tj，A）表示威脅Tj與合規(guī)并網(wǎng)裝置的安防體系A(chǔ)對(duì)抗后，威脅事件發(fā)生的可能性。

d）Ia表示合規(guī)并網(wǎng)裝置a的重要程度，Vj表示威脅事件Tj發(fā)生后裝置安防體系脆弱性，Sj=S（Ia，Vj）表示威脅事件Tj發(fā)生后裝置受損的嚴(yán)重程度。

e）Rj=Pj×Sj超過合規(guī)并網(wǎng)裝置設(shè)定的安全閾值RS，裝置即刻發(fā)出風(fēng)險(xiǎn)預(yù)警［19］。

由于合規(guī)裝置安防體系對(duì)抗威脅產(chǎn)生的攻擊，屬于一個(gè)博弈的過程，可以參考文獻(xiàn)［19］進(jìn)行博弈模型的搭建、威脅攻擊成功的概率Pj=P（Tj，A）和裝置受損嚴(yán)重程度Sj=S（Ia，Vj）的計(jì)算，最后得到威脅風(fēng)險(xiǎn)Rj，并和歷史安防經(jīng)驗(yàn)選取的對(duì)抗性閾值RS比較，定性判斷出合規(guī)并網(wǎng)裝置對(duì)抗威脅能力的強(qiáng)或弱。

2）主站綜合評(píng)估：對(duì)合規(guī)并網(wǎng)裝置預(yù)警的威脅事件展開全網(wǎng)范圍內(nèi)的排查，經(jīng)過多源信息融合分析［20-21］，進(jìn)行影響范圍的綜合評(píng)估。對(duì)攻擊類型相同、源地址一致，以及攻擊時(shí)間相近的威脅統(tǒng)計(jì)合規(guī)并網(wǎng)裝置上報(bào)的總次數(shù)，計(jì)算該次數(shù)與全網(wǎng)該裝置總數(shù)的比值k，根據(jù)合規(guī)并網(wǎng)裝置a在威脅事件Tj發(fā)生后的風(fēng)險(xiǎn)Rj，最終計(jì)算全網(wǎng)風(fēng)險(xiǎn)Rj*=k×Rj，并歸一化到區(qū)間［0，1］，利用表2映射關(guān)系，將風(fēng)險(xiǎn)劃分為高、中、低三個(gè)級(jí)別［22］。

表2 基于威脅和對(duì)抗分析相結(jié)合的風(fēng)險(xiǎn)綜合評(píng)估映射關(guān)系Tab.2 Comprehensive risk assessment mapping relationship based on the combination of threat and confrontation analysis

5 變電站二次設(shè)備集中安防運(yùn)維運(yùn)作模式

變電站二次設(shè)備集中安防運(yùn)維遵循“最小授權(quán)和最少服務(wù)”的原則：

1）最小授權(quán)：以最小權(quán)限開放IP地址及端口，阻止裝置被安裝未授權(quán)、未許可的惡意軟件，防止不法分子對(duì)裝置的非法訪問和信息篡改等問題。

2）最少服務(wù)：禁用高危服務(wù)，合規(guī)并網(wǎng)裝置僅支持錄波數(shù)據(jù)的安全傳輸和主站系統(tǒng)的定制運(yùn)維業(yè)務(wù)需求。

變電站二次設(shè)備安防運(yùn)維采用就地安防管控和集中運(yùn)維管理相結(jié)合的運(yùn)作模式，如圖5所示。

圖5 變電站二次設(shè)備集中安防運(yùn)維運(yùn)作模式Fig.5 Substation secondary equipment centralized security operation and maintenance mode

1）就地安防管控：合規(guī)并網(wǎng)裝置實(shí)現(xiàn)變電站內(nèi)所有錄波器受控并網(wǎng)和錄波數(shù)據(jù)安全上送，對(duì)錄波數(shù)據(jù)外的威脅進(jìn)行主動(dòng)感知和反向追蹤，攔截威脅將風(fēng)險(xiǎn)控制在最小范圍，根據(jù)裝置安防體系對(duì)抗性分析確認(rèn)風(fēng)險(xiǎn)嚴(yán)重程度，上報(bào)主站系統(tǒng)進(jìn)行風(fēng)險(xiǎn)綜合評(píng)估［23-24］。裝置配備運(yùn)維專用接口，既支持運(yùn)維管理平臺(tái)遠(yuǎn)程統(tǒng)一升級(jí)，也支持運(yùn)維策略的現(xiàn)場落地。

2）集中運(yùn)維管理：運(yùn)維平臺(tái)基于合規(guī)并網(wǎng)裝置的設(shè)備序列號(hào)和安全版本信息，選擇需要升級(jí)的裝置，通過專用運(yùn)維接口和堡壘機(jī)進(jìn)行權(quán)限審核后，利用補(bǔ)丁或系統(tǒng)更新等方式，制定相應(yīng)的升級(jí)策略、升級(jí)包和升級(jí)情況管控表單進(jìn)行進(jìn)度跟蹤處理，確保合規(guī)并網(wǎng)裝置安全策略升級(jí)成功，并配套更新主站數(shù)據(jù)庫中的裝置安全版本信息。

集中安防運(yùn)維的新模式，全面替代以往錄波器長期脫網(wǎng)、分頭整改、重復(fù)下站的現(xiàn)場安防運(yùn)維模式，該模式集中修復(fù)合規(guī)并網(wǎng)裝置安防體系存在的風(fēng)險(xiǎn)，提高裝置安防體系的安全級(jí)別和運(yùn)維效率［25-26］。

6 實(shí)例應(yīng)用

6.1 變電站二次設(shè)備數(shù)據(jù)威脅主動(dòng)感知和追溯診斷

對(duì)電力監(jiān)控系統(tǒng)二次設(shè)備歷史數(shù)據(jù)網(wǎng)絡(luò)傳輸過程中發(fā)現(xiàn)的威脅按攻擊類型進(jìn)行分類，大致分為拒絕服務(wù)類、獲取權(quán)限類、信息收集類、網(wǎng)絡(luò)監(jiān)控類等，根據(jù)不同類型威脅的入侵特征及攻擊鏈建立入侵特征信息庫，一級(jí)特征提取信息展示如表3所列。

表3 威脅類型及特征信息Tab.3 Treat classification and character information

合規(guī)并網(wǎng)裝置利用DBN-MSVM入侵檢測技術(shù)，利用文獻(xiàn)［14］中目前較為權(quán)威的Lincoln實(shí)驗(yàn)室KDD’99測試數(shù)據(jù)集入侵檢測模型搭建方法，從訓(xùn)練樣本集中選取2 000個(gè)數(shù)據(jù)作為候選，其中正常錄波數(shù)據(jù)1 796個(gè)，攜帶威脅數(shù)據(jù)204個(gè)，該裝置對(duì)實(shí)時(shí)接收到的錄波器數(shù)據(jù)進(jìn)行威脅特征識(shí)別，利用RBF核函數(shù)，調(diào)整核參數(shù)gamma=0.125，懲罰系數(shù)C=8，通過10折交叉驗(yàn)證獲得平均超過95%的驗(yàn)證準(zhǔn)確率，并從威脅標(biāo)注完成后的準(zhǔn)確率和誤報(bào)率兩個(gè)角度表征入侵檢測模型的精度，如表4所列，實(shí)現(xiàn)不同類別的威脅數(shù)據(jù)主動(dòng)感知、快速檢測和分離。

表4 基于DBN-MSVM入侵檢測技術(shù)的主動(dòng)感知結(jié)果Tab.4 Active perception result based on DBN-MSVM intrusion detection technology

合規(guī)并網(wǎng)裝置利用威脅類別特征更為細(xì)分的二級(jí)、三級(jí)特征子集進(jìn)行威脅數(shù)據(jù)入侵特征匹配，記錄每個(gè)數(shù)據(jù)入侵特征匹配的可信程度，按威脅入侵特征可信度進(jìn)行優(yōu)先級(jí)排序并診斷，利用APMS-IT技術(shù)查詢TTL值，自動(dòng)探測威脅數(shù)據(jù)覆蓋范圍和傳播路徑，反向追蹤找到威脅入網(wǎng)端口并取證，攔截威脅，將風(fēng)險(xiǎn)控制在當(dāng)前變電站最小范圍內(nèi)，從而為威脅數(shù)據(jù)診斷和風(fēng)險(xiǎn)評(píng)估預(yù)警爭取有利時(shí)機(jī)。

6.2 變電站二次設(shè)備集中安防運(yùn)維管理模型

利用入侵檢測主動(dòng)感知威脅數(shù)據(jù)，利用反向追蹤和安防手段進(jìn)行威脅溯源和診斷分析，采用威脅和對(duì)抗分析相結(jié)合的方法進(jìn)行風(fēng)險(xiǎn)預(yù)警和綜合評(píng)估，使用補(bǔ)丁、腳本、操作規(guī)范和軟件升級(jí)等方式進(jìn)行集中的安全策略統(tǒng)一部署。

變電站二次設(shè)備集中運(yùn)維管理模型如表5所列，從表中可清晰呈現(xiàn)面對(duì)不同風(fēng)險(xiǎn)，合規(guī)并網(wǎng)裝置的對(duì)抗性，以及主站評(píng)估的風(fēng)險(xiǎn)影響范圍、等級(jí)和策略配置需求，安防運(yùn)維人員可根據(jù)運(yùn)維管理平臺(tái)匯總的安防管理信息有計(jì)劃、有策略地進(jìn)行合規(guī)并網(wǎng)裝置的安防升級(jí)和維護(hù)管理，實(shí)現(xiàn)變電站安全問題參差不齊的錄波器安防管理和集中運(yùn)維的目標(biāo)。

表5 變電站二次設(shè)備集中安防運(yùn)維管理模型Tab.5 Substation secondary equipment centralized security operation and maintenance management model

6.3 變電站二次設(shè)備集中運(yùn)維效率提升

對(duì)于最常發(fā)生的漏洞和病毒安全問題，運(yùn)維人員通過安防體系集中運(yùn)維管理平臺(tái)，即可全盤掌握變電站合規(guī)并網(wǎng)裝置規(guī)格信息和軟件版本，為安防體系的策略部署提供必要的信息支撐。原來需要協(xié)調(diào)不同廠商重復(fù)下站安防整改，現(xiàn)在只需要對(duì)變電站內(nèi)合規(guī)并網(wǎng)裝置版本信息調(diào)取和后臺(tái)部署升級(jí)即可，可大大減少溝通、管理成本和人力投入。

以合規(guī)并網(wǎng)裝置診斷預(yù)警的遠(yuǎn)程桌面漏洞為例，采用變電站二次設(shè)備現(xiàn)場和集中安防運(yùn)維模式，其效率比對(duì)結(jié)果如表6所列。從表中可以看出，CVE-2019-0708漏洞集中運(yùn)維的效率提升90%以上，利用運(yùn)維管理平臺(tái)跟蹤裝置后臺(tái)補(bǔ)丁安裝進(jìn)程，同步更新安全版本信息庫，即可實(shí)現(xiàn)裝置安防體系的集中升級(jí)和運(yùn)維管理，緩解運(yùn)維人員的工作壓力和勞動(dòng)強(qiáng)度。

表6 遠(yuǎn)程桌面漏洞/兩種模式的變電站二次設(shè)備安防運(yùn)維效率比對(duì)Tab.6 Remote desktop vulnerability/comparison of security operation and maintenance efficiency of two modes for substation secondary equipment

7 結(jié) 論

本文所研究的二次設(shè)備集中安防運(yùn)維及主動(dòng)感知和診斷預(yù)警關(guān)鍵技術(shù)，通過廠站側(cè)合規(guī)并網(wǎng)裝置對(duì)接入的數(shù)據(jù)進(jìn)行深度檢測，對(duì)威脅主動(dòng)感知、追溯診斷和風(fēng)險(xiǎn)預(yù)警，利用調(diào)度側(cè)錄波主站系統(tǒng)接收的多源信息和對(duì)裝置的安全版本管理，全盤考慮威脅的影響程度和范圍進(jìn)行綜合評(píng)估，制定相應(yīng)的安全策略，集中進(jìn)行策略部署和升級(jí)維護(hù)，通過動(dòng)態(tài)的安防運(yùn)維，保障合規(guī)并網(wǎng)裝置安防體系持續(xù)地升級(jí)和完善。此方法基本解決了安防要求不斷更新的難題和現(xiàn)場安防效率低下、效果不可控的問題，大幅度提高了變電站二次設(shè)備的安防運(yùn)維效率。