陳澤文,陳泉騰,程世濤,寧志言

（1.國(guó)網(wǎng)福建省電力公司，福建福州 350001；2.北京科東電力控制系統(tǒng)有限責(zé)任公司，北京 100192）

1 引言

隨著能源互聯(lián)網(wǎng)迅速發(fā)展和不斷演進(jìn)，互聯(lián)網(wǎng)技術(shù)被廣泛應(yīng)用到電力行業(yè)各個(gè)領(lǐng)域，傳統(tǒng)電力生產(chǎn)控制系統(tǒng)越來(lái)越具有互動(dòng)性、交互性，使得傳統(tǒng)相對(duì)封閉地生產(chǎn)控制大區(qū)面臨新的網(wǎng)絡(luò)安全威脅。從20l0年的“震網(wǎng)病毒”、2014年的Havex 病毒、2015 和2016年的烏克蘭停電等幾起重大安全攻擊事件可以看出，目前針對(duì)控制大區(qū)的攻擊不再需要復(fù)雜攻擊手段、完整還原業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)，就能直接影響控制系統(tǒng)正常運(yùn)行，攻擊成本在降低，而隨著特高壓電網(wǎng)推進(jìn)深入，對(duì)互聯(lián)大電網(wǎng)攻擊所帶來(lái)的影響卻進(jìn)一步加重[1]。

生產(chǎn)控制大區(qū)網(wǎng)絡(luò)安全不僅僅是設(shè)備安全，更重要的是控制業(yè)務(wù)系統(tǒng)安全，調(diào)度系統(tǒng)安全運(yùn)維管理應(yīng)該從整體出發(fā)，以保障用戶業(yè)務(wù)的絕對(duì)安全[2]。傳統(tǒng)網(wǎng)絡(luò)安全管理工作形式、功能單一[3]，往往缺乏保護(hù)整個(gè)網(wǎng)絡(luò)的能力[4]，且存在不了解安全域間、域內(nèi)真實(shí)流量，難以判斷違規(guī)的網(wǎng)絡(luò)結(jié)構(gòu)，難以監(jiān)測(cè)到非必要連接，難以察覺(jué)防火墻策略開(kāi)放過(guò)大等問(wèn)題，同時(shí)無(wú)法快速發(fā)現(xiàn)和精準(zhǔn)定位安全事件，無(wú)法做到安全審計(jì)。因此，需要將單一的安全管理模式轉(zhuǎn)變?yōu)榻y(tǒng)一的、直觀的安全管理模式，便于管理人員判斷互連合規(guī)性，對(duì)各流量進(jìn)行實(shí)時(shí)監(jiān)控，防火墻策略梳理與審計(jì)等多重作用[5-8]，這些需求，催生了如今的安全運(yùn)維平臺(tái)[9-10]。

本文針對(duì)電力生產(chǎn)控制大區(qū)內(nèi)網(wǎng)中網(wǎng)絡(luò)流量監(jiān)測(cè)、隱蔽通道檢測(cè)、安全域主動(dòng)運(yùn)維、設(shè)備連接可視化、防火墻策略梳理審計(jì)等五大場(chǎng)景，開(kāi)展安全域狀態(tài)感知和分析研究，解決現(xiàn)有電力控制大區(qū)存在的安全域劃分混亂、安全策略大量堆積、網(wǎng)絡(luò)威脅狀態(tài)感知不足等問(wèn)題，提升了控制大區(qū)網(wǎng)絡(luò)安全系統(tǒng)保障和主動(dòng)運(yùn)維能力。

2 安全域狀態(tài)感知系統(tǒng)架構(gòu)

安全域狀態(tài)感知系統(tǒng)基于旁路鏡像方式、接收NetFlow方式獲取網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為，幫助生產(chǎn)控制大區(qū)構(gòu)建控制級(jí)感知環(huán)境，化被動(dòng)式安全管理為主動(dòng)式安全管理，化模糊化安全管理為矢量化安全管理，實(shí)現(xiàn)異常網(wǎng)絡(luò)行為監(jiān)控與分析，來(lái)應(yīng)對(duì)外部的定向攻擊和內(nèi)部的違規(guī)威脅。系統(tǒng)從功能結(jié)構(gòu)上可以分為4層，自下而上依次為采集層、功能層、數(shù)據(jù)庫(kù)層、展示層和應(yīng)用接口層。如圖1所示。

圖1 功能結(jié)構(gòu)示意圖

采集層：數(shù)據(jù)采集是所有分析業(yè)務(wù)的基礎(chǔ)，是整個(gè)系統(tǒng)數(shù)據(jù)流的入口。系統(tǒng)支持三種種數(shù)據(jù)采集方式：一種方式為接收Flow 流量，另一種方式為鏡像方式采集數(shù)據(jù)包以及防火墻配置采集，采集方式的靈活性使得設(shè)備可以部署在不同的網(wǎng)絡(luò)環(huán)境下，而數(shù)據(jù)采集過(guò)程中采用智能采樣和定制化數(shù)據(jù)包過(guò)濾的手段保證數(shù)據(jù)采集的效率、性能和穩(wěn)定性。實(shí)現(xiàn)了對(duì)vflow 數(shù)據(jù)、元數(shù)據(jù)的抽取及存儲(chǔ)，可疑流數(shù)據(jù)的全包存儲(chǔ)。

功能層：包括流量分析，策略梳理，內(nèi)置行為基線、連接分析、黑白名單的異常檢測(cè)；基于內(nèi)置規(guī)則的合規(guī)審計(jì)；歷史數(shù)據(jù)關(guān)聯(lián)分析等。

展示層：系統(tǒng)為不同層級(jí)、不同角色的用戶提供了層次化的用戶視圖，包括流量監(jiān)測(cè)展示、業(yè)務(wù)訪問(wèn)展示、策略梳理展示等。

應(yīng)用接口層：包括報(bào)表管理、系統(tǒng)自身管理、權(quán)限管理，運(yùn)行配置、接口管理等。

系統(tǒng)部署分為兩級(jí)，包含旁路鏡像方式獲取交換機(jī)流量和集中管理與數(shù)據(jù)分析，抓包點(diǎn)的選擇依據(jù)監(jiān)控范圍，通常選擇核心交換機(jī)或接入交換機(jī)。部署方式如圖2所示。

圖2 部署方式

3 安全域狀態(tài)感知場(chǎng)景設(shè)計(jì)

3.1 內(nèi)網(wǎng)網(wǎng)絡(luò)流量監(jiān)測(cè)

伴隨著生產(chǎn)控制任務(wù)的增加，電力二次系統(tǒng)網(wǎng)絡(luò)上的應(yīng)用和業(yè)務(wù)也不斷的豐富，如控制業(yè)務(wù)流量，監(jiān)控業(yè)務(wù)流量和其它誤操作流量等等。與此同時(shí)，網(wǎng)絡(luò)攻擊的成本和技術(shù)門檻大幅下降，網(wǎng)絡(luò)上會(huì)現(xiàn)各種攻擊和異常流量。在這種流量成分日益復(fù)雜，異常流量海量涌現(xiàn)的情況下，對(duì)業(yè)務(wù)行為交互模式的深入分析從而全面了解業(yè)務(wù)流量的各種分布以及變化趨勢(shì)就顯得十分必要了。

業(yè)務(wù)流量行為分析主要應(yīng)用DFI 技術(shù)（Deep/Dynamic Flow Inspection，深度流檢測(cè)技術(shù)），采用基于流量行為的應(yīng)用識(shí)別技術(shù)，即不同應(yīng)用類型體現(xiàn)在會(huì)話連接或數(shù)據(jù)流上的狀態(tài)各有不同。業(yè)務(wù)流量行為分析系統(tǒng)實(shí)現(xiàn)在電力控制網(wǎng)絡(luò)流量環(huán)境中實(shí)現(xiàn)業(yè)務(wù)流量行為分析與檢測(cè)。通過(guò)整網(wǎng)流量帶寬以及子網(wǎng)流量分析（路由器，路由器接口）分析，可詳細(xì)了解網(wǎng)絡(luò)整體帶寬與流量分布情況。安全域狀態(tài)感知系統(tǒng)可通過(guò)自定義應(yīng)用手段，實(shí)時(shí)監(jiān)控重點(diǎn)應(yīng)用流量趨勢(shì)、大小、占比和排名，查詢歷史流量；實(shí)現(xiàn)基于自定義協(xié)議、端口、IP、引擎、業(yè)務(wù)口的多種視角監(jiān)控和查詢，能夠?qū)θW(wǎng)的流量行為進(jìn)行多維度透視分析，并可視化展示，自動(dòng)化感知控制大區(qū)網(wǎng)絡(luò)層安全態(tài)勢(shì)。以時(shí)間（分鐘、小時(shí)、天、月、實(shí)時(shí)、歷史等）、空間（全網(wǎng)、IP段、IP組、自定義空間等）和特征（總流量、進(jìn)流量、出流量、數(shù)據(jù)包分布、協(xié)議分布、端口分布等）為基礎(chǔ)，對(duì)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)行為進(jìn)行多維度、細(xì)粒度的分析，并通過(guò)形象地的圖表曲線幫助客戶實(shí)現(xiàn)流量和行為的可視化，直觀了解網(wǎng)絡(luò)運(yùn)行狀況。

圖3 流量監(jiān)控多維度場(chǎng)景

3.2 隱蔽通道檢測(cè)

傳統(tǒng)依賴已知攻擊特征實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主體的防御方式面對(duì)APT攻擊難以發(fā)揮作用。攻擊者滲透進(jìn)入目標(biāo)網(wǎng)絡(luò)后，實(shí)施遠(yuǎn)程控制的主要手段難以檢測(cè)。如何更準(zhǔn)確更迅速的發(fā)現(xiàn)和告警可能滲透進(jìn)生產(chǎn)控制大區(qū)中可疑和異常連接是安全運(yùn)維重中之重。

安全域狀態(tài)感知通過(guò)網(wǎng)絡(luò)流量深度解析技術(shù)，定義網(wǎng)絡(luò)流特征屬性，對(duì)異常屬性的流量數(shù)據(jù)進(jìn)行標(biāo)注，通過(guò)智能算法動(dòng)態(tài)調(diào)整異常流量特征基線；采用聚類及異常點(diǎn)檢測(cè)算法對(duì)未標(biāo)注的流量數(shù)據(jù)進(jìn)行分析，實(shí)時(shí)監(jiān)控預(yù)警已知或者未知的木馬，與外部宿主機(jī)或者內(nèi)部橫向擴(kuò)散時(shí)的隱蔽通道，分析木馬的特征主要包括反向連接、加密行為、上下行流量比異常，檢測(cè)出所有非法訪問(wèn)，從而發(fā)現(xiàn)和鎖定侵入控制大區(qū)攻擊源。

某次木馬C&C隱蔽通道檢測(cè)案例如圖4所示。

圖4 木馬C&C隱蔽通道檢測(cè)

3.3 安全域主動(dòng)運(yùn)維

安全域是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域。同一安全域的系統(tǒng)共享相同的安全策略，電力生產(chǎn)控制大區(qū)一般劃分為控制區(qū)和非控制區(qū)，隨著能源互聯(lián)網(wǎng)快速發(fā)展，封閉的電力控制網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，控制區(qū)和非控制區(qū)一二級(jí)部署應(yīng)用系統(tǒng)不斷增加，各信息系統(tǒng)之間在安全等級(jí)、信任體系和運(yùn)行模式等方面各不相同，隨著應(yīng)用系統(tǒng)的上線以及下線，存在者如：控制內(nèi)網(wǎng)中是否存在誤接入可直接訪問(wèn)控制大區(qū)核心域的線路；兩個(gè)不同安全域系統(tǒng)之間是否有可疑流量；是否出現(xiàn)新的未備案、直接部署到安全域的設(shè)備；是否存在超出接入審批的其它設(shè)備；現(xiàn)有電力生產(chǎn)控制大區(qū)的安全域劃分要求，是否滿足安全生產(chǎn)對(duì)具體設(shè)備部署要求等等一系列安全域隱患問(wèn)題，迫切需要采取對(duì)資產(chǎn)和應(yīng)用主動(dòng)運(yùn)維方式，開(kāi)展電力生產(chǎn)控制大區(qū)安全運(yùn)維。

安全域狀態(tài)感知系統(tǒng)可對(duì)資產(chǎn)進(jìn)行標(biāo)識(shí)與識(shí)別，有助于對(duì)新IP 的安全性進(jìn)行分析和判斷；并對(duì)非法入網(wǎng)IP 資產(chǎn)進(jìn)行監(jiān)控，可以有效彌補(bǔ)資產(chǎn)管理系統(tǒng)的管理缺失。幫助運(yùn)維人員迅速判斷資產(chǎn)的價(jià)值和重要性，并在眾多威脅告警中迅速找到應(yīng)優(yōu)先處理的告警事件。

生產(chǎn)控制大區(qū)應(yīng)用所使用的協(xié)議類型和端口號(hào)噪聲較少，能夠清晰地標(biāo)識(shí)出控制大區(qū)應(yīng)用的種類和實(shí)現(xiàn)方式，是運(yùn)維過(guò)程中檢查控制大區(qū)訪問(wèn)行為是否合規(guī)的依據(jù)和技術(shù)基礎(chǔ)。主動(dòng)業(yè)務(wù)系統(tǒng)端口梳理可以幫助運(yùn)維人員快速判斷應(yīng)用脆弱性的危害程度，迅速確定安全控制的策略，縮短告警事件響應(yīng)時(shí)間。

3.4 設(shè)備連接可視化

融合控制大區(qū)內(nèi)部實(shí)時(shí)控制區(qū)和非實(shí)時(shí)控制區(qū)、安全域與控制大區(qū)邊界多源數(shù)據(jù)(地址熵、熱點(diǎn)事件等)，定義控制大區(qū)安全域指標(biāo)與度量標(biāo)準(zhǔn)，采集安全域內(nèi)異構(gòu)安全事件并歸一化數(shù)據(jù)格式，按照指標(biāo)參數(shù)提取安全域運(yùn)行指標(biāo)參數(shù)，融合歷史數(shù)據(jù)與實(shí)時(shí)流量數(shù)據(jù)的擬合動(dòng)態(tài)更新安全域狀態(tài)，形成可視化的各業(yè)務(wù)網(wǎng)和系統(tǒng)安全域內(nèi)部、安全域之間業(yè)務(wù)互連關(guān)系；安全域狀態(tài)感知系統(tǒng)使安全域結(jié)構(gòu)可視化，可解決安全域結(jié)構(gòu)和邊界劃分等問(wèn)題，且系統(tǒng)還提供了樹(shù)形的數(shù)據(jù)信息，可實(shí)現(xiàn)圖與數(shù)據(jù)相結(jié)合的方式。通過(guò)明確控制大區(qū)系統(tǒng)業(yè)務(wù)的互聯(lián)訪問(wèn)邏輯流程，融合不同安全域的資產(chǎn)、網(wǎng)絡(luò)、應(yīng)用等業(yè)務(wù)屬性信息。結(jié)合等級(jí)保護(hù)定級(jí)標(biāo)準(zhǔn)與要求和現(xiàn)狀安全域劃分情況，圍繞業(yè)務(wù)IP間互聯(lián)關(guān)系，感知內(nèi)網(wǎng)安全域狀態(tài)。

圖5 跨區(qū)非法互聯(lián)監(jiān)控圖

可以通過(guò)秩序或者黑白灰名單的機(jī)制實(shí)時(shí)動(dòng)態(tài)監(jiān)控非法業(yè)務(wù)流；實(shí)時(shí)動(dòng)態(tài)展現(xiàn)境內(nèi)外非法業(yè)務(wù)流。關(guān)聯(lián)根據(jù)業(yè)務(wù)生產(chǎn)邏輯需要和業(yè)務(wù)生產(chǎn)維護(hù)需要對(duì)檢測(cè)到的已知合法互連關(guān)系創(chuàng)建白名單和異?；颐麊?，作為后續(xù)進(jìn)行持續(xù)監(jiān)測(cè)的整改基礎(chǔ)。如圖6所示，其過(guò)程為將網(wǎng)絡(luò)上的業(yè)務(wù)流量進(jìn)行抓取，形成訪問(wèn)關(guān)系，流量記錄，包解析，將Flow、包的元素進(jìn)行拆分詳解，并且可進(jìn)行基于黑白行為基線的異常行為檢測(cè)，即通過(guò)機(jī)器自學(xué)習(xí)秩序基線和人工梳理黑白基線梳理得到黑名單事件、白名單事件和灰名單事件。

圖6 異常行為檢測(cè)

3.5 防火墻策略梳理審計(jì)

生產(chǎn)大區(qū)控制策略是依據(jù)生產(chǎn)管理需要，按照最小化原則制定的。運(yùn)維中要主動(dòng)根據(jù)業(yè)務(wù)定義、驗(yàn)證和維護(hù)核心應(yīng)用的訪問(wèn)策略，逐個(gè)判別控制大區(qū)網(wǎng)絡(luò)中的訪問(wèn)行為確認(rèn)和梳理核心應(yīng)用的訪問(wèn)策略。當(dāng)訪問(wèn)策略發(fā)生變化時(shí)，不僅能提供自定義策略編輯指導(dǎo)運(yùn)維工作進(jìn)行策略修改，還可以根據(jù)生產(chǎn)業(yè)務(wù)流程對(duì)可疑流量的判別結(jié)果實(shí)現(xiàn)對(duì)訪問(wèn)策略修改的可管可控。

圖7 防火墻策略審計(jì)結(jié)果

防火墻策略是否合理有效，關(guān)系到防火墻的自身性能是否能夠全面的發(fā)揮，更關(guān)系到電力生產(chǎn)控制大區(qū)是否達(dá)到預(yù)期的訪問(wèn)控制效果。審計(jì)功能是基于用戶網(wǎng)絡(luò)的現(xiàn)網(wǎng)流量，對(duì)用戶網(wǎng)絡(luò)中防火墻的策略進(jìn)行審計(jì)。包含兩類功能，一類是基本分析審計(jì)，另一類是深度分析審計(jì)?；痉治鍪腔谟脩舻姆阑饓Σ呗赃M(jìn)行的審計(jì)分析，也就是策略與策略之間的比對(duì)分析；深度分析是基于用戶的防火墻策略進(jìn)行的分析以及防火墻策略結(jié)合實(shí)際流量進(jìn)行的分析，包含基本分析，同時(shí)把防火墻策略與采集到的用戶的實(shí)際流量進(jìn)行匹配比對(duì)分析。基本分析產(chǎn)生的分析結(jié)果：交叉策略、冗余策略、鏡子策略、可合并策略。深度分析產(chǎn)生的分析結(jié)果：交叉策略、冗余策略、鏡子策略、可合并策略、頻次非0策略、頻次為0策略、寬松策略、未命中策略的流量。

4 應(yīng)用實(shí)例研究

在眾多價(jià)值布局中安全域狀態(tài)感知系統(tǒng)都體現(xiàn)出了其獨(dú)特的作用和優(yōu)勢(shì)，以防火墻策略梳理與審計(jì)這一功能為例進(jìn)行實(shí)例研究，生產(chǎn)控制大區(qū)網(wǎng)絡(luò)中主機(jī)數(shù)量眾多，訪問(wèn)關(guān)系錯(cuò)綜復(fù)雜，通過(guò)安全服務(wù)人員和運(yùn)維人員的人工調(diào)研方式梳理清楚合法訪問(wèn)控制關(guān)系，存在工作量非常大，并且實(shí)際操作過(guò)程中發(fā)現(xiàn)所獲取的信息不完整、不準(zhǔn)確，嚴(yán)重影響到安全檢查工作進(jìn)展，需要解決的主要問(wèn)題有：

(1)細(xì)化any to any、服務(wù)類型為any的這類粒度太粗的防火墻策略；

(2)無(wú)效策略過(guò)多，需要清除；

(3)策略次序調(diào)優(yōu)：以命中次數(shù)為依據(jù)，將命中次數(shù)高的策略調(diào)整到靠前的位置，從而提升防火墻的處理性能；

(4)消除次序敏感策略：保證調(diào)整防火墻策略的次序不改變防火墻的訪問(wèn)控制效果，使管理員可輕松刪除舊策略。

4.1 解決方案

針對(duì)上述需求，基于一定周期內(nèi)流經(jīng)防火墻的真實(shí)流量，對(duì)防火墻策略進(jìn)行命中次數(shù)、策略覆蓋的真實(shí)連接范圍、策略五元組的重疊情況等進(jìn)行多維度分析，從而發(fā)現(xiàn)寬松策略、冗余策略、次序可調(diào)優(yōu)策略及次序敏感策略。其策略分析流程圖如圖8所示。

圖8 策略分析流程

4.2 寬松策略分析

所謂寬松策略，指的是一條策略覆蓋的范圍明顯超過(guò)了實(shí)際命中該策略的真實(shí)流量的范圍，策略或是源IP 范圍過(guò)大，或是目的IP、服務(wù)、時(shí)間范圍過(guò)大。

通過(guò)對(duì)用戶處采集到的一周的流量進(jìn)行驗(yàn)證，證明該算法行之有效，特別是不但準(zhǔn)確分析出了用戶處兩臺(tái)防火墻上存在的any to any 策略，而且還分析出了其他不明顯的寬松策略，證實(shí)了用戶策略存在問(wèn)題。為了對(duì)寬松策略進(jìn)行細(xì)化，對(duì)命中寬松策略的真實(shí)流量，按照便于細(xì)化策略的形式進(jìn)行歸并：且不考慮源端口進(jìn)行歸并，這樣非常有利于快速細(xì)化策略。

實(shí)際效果是，人工進(jìn)行細(xì)化花費(fèi)了2個(gè)月左右的時(shí)間沒(méi)有完成細(xì)化，使用安全域狀態(tài)感知系統(tǒng)后，僅僅一周不到時(shí)間即完成了細(xì)化，效率大大提高，且結(jié)果更加準(zhǔn)確。

圖9 寬松策略分析結(jié)果

4.3 冗余策略和次序可調(diào)優(yōu)策略分析

冗余策略和次序可調(diào)優(yōu)策略對(duì)用戶而言是兩個(gè)方面，但本質(zhì)上是一個(gè)問(wèn)題。冗余策略是指一條策略的源地址對(duì)象、目的地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象完全包含或等于另外一條策略的地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象，并且動(dòng)作相同，被包含的策略屬于多余的策略，即命中次數(shù)為0的策略。次序可調(diào)優(yōu)策略是深度分析產(chǎn)生的結(jié)果之一，是指能命中采集到的流量的防火墻策略，系統(tǒng)會(huì)顯示命中策略的頻次，可以根據(jù)策略的命中頻次調(diào)整策略的先后關(guān)系，把命中頻次高的策略放在前面，以達(dá)到優(yōu)化防火墻性能的作用，即按照命中次數(shù)來(lái)排序策略。

傳統(tǒng)防火墻雖然有策略命中次數(shù)，但防火墻策略的命中次數(shù)反映的是歷史，不是現(xiàn)在。如某條策略在防火墻運(yùn)行初期確實(shí)會(huì)被命中，命中次數(shù)會(huì)隨之變化，但過(guò)了很久以后，這條策略不被命中，用戶看到的命中次數(shù)反映的是這條策略最后生效那一刻的情況，而不是現(xiàn)在。因此，面對(duì)大量的策略，通過(guò)人的觀察是很難知道哪些策略是冗余無(wú)效的。

采集一定周期內(nèi)的流量，并且在系統(tǒng)中留有防火墻策略的“副本”，經(jīng)過(guò)分析，得到經(jīng)用戶證實(shí)的無(wú)效策略和次序可調(diào)優(yōu)策略，證明冗余策略和次序可調(diào)優(yōu)策略分析的可行性。

5 結(jié)束語(yǔ)

本文針對(duì)傳統(tǒng)電力生產(chǎn)控制大區(qū)安全管理工作不了解安全域間、域內(nèi)真實(shí)流量，難以判斷違規(guī)的網(wǎng)絡(luò)結(jié)構(gòu)，難以監(jiān)測(cè)到跨域連接，難以通過(guò)細(xì)粒度管控增強(qiáng)防火墻魯棒性等問(wèn)題，研究并實(shí)現(xiàn)了電力生產(chǎn)控制大區(qū)安全域狀態(tài)感知系統(tǒng)，實(shí)現(xiàn)了可視化直觀展現(xiàn)控制業(yè)務(wù)訪問(wèn)互連關(guān)系，為安全域?qū)嶋H劃分情況提供基礎(chǔ)數(shù)據(jù)支撐，實(shí)時(shí)監(jiān)控是否存在違規(guī)流量，促進(jìn)核查方式從人工方式到自動(dòng)化運(yùn)維管控轉(zhuǎn)變，改善了控制大區(qū)安全風(fēng)險(xiǎn)管理的能力，構(gòu)建了電力生產(chǎn)控制大區(qū)網(wǎng)絡(luò)空間清朗、安全和有序。