貴州拓視實業(yè)有限公司 彭 松

1 新型電力系統(tǒng)網(wǎng)絡(luò)安全研究背景

隨著信息技術(shù)的快速發(fā)展和電力行業(yè)的數(shù)字化轉(zhuǎn)型，電力系統(tǒng)已經(jīng)從傳統(tǒng)的機(jī)電一體化系統(tǒng)轉(zhuǎn)向了基于計算機(jī)網(wǎng)絡(luò)和通信技術(shù)的智能化系統(tǒng)。然而，網(wǎng)絡(luò)化帶來了便利的同時，也給電力系統(tǒng)帶來了新的威脅和挑戰(zhàn)，電力系統(tǒng)網(wǎng)絡(luò)安全問題日益凸顯[1]。2021年上半年公開的高級可持續(xù)威脅報告涉及行業(yè)分布如圖1所示。

圖1 2021年上半年公開的高級可持續(xù)威脅報告涉及行業(yè)分布

本文主要探討了電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)的最新進(jìn)展和應(yīng)用實踐，包括安全加固技術(shù)、電力系統(tǒng)安全監(jiān)測與識別技術(shù)、異常行為檢測及自動應(yīng)急響應(yīng)技術(shù)，以及人工智能在電力系統(tǒng)安全中的應(yīng)用等方面。通過對典型案例的分析，可以更加深入地了解網(wǎng)絡(luò)安全風(fēng)險的來源和對策，從而更好地保障電力系統(tǒng)的安全。

2 電力系統(tǒng)網(wǎng)絡(luò)安全問題分析

2.1 電力系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

隨著數(shù)字化轉(zhuǎn)型與智能化升級的推進(jìn)，電力系統(tǒng)日益面臨各種網(wǎng)絡(luò)安全問題[2]。

2.1.1 設(shè)備和系統(tǒng)

電力系統(tǒng)中存在許多連接網(wǎng)絡(luò)的設(shè)備和系統(tǒng)，如變電站、智能電表、電網(wǎng)監(jiān)控系統(tǒng)等，這些設(shè)備和系統(tǒng)可能存在網(wǎng)絡(luò)接口缺陷或軟件漏洞，成為黑客入侵的渠道。同時設(shè)備和系統(tǒng)的配置和管理也會影響電力系統(tǒng)的網(wǎng)絡(luò)安全性[3]。

2.1.2 操作人員和管理員

電力系統(tǒng)的操作人員和管理員需要處理大量敏感信息，如地理信息、用戶數(shù)據(jù)等，被破壞或泄漏將對電力系統(tǒng)造成重大危害。此外，人為因素是電力系統(tǒng)中安全漏洞的主要來源之一。

2.1.3 數(shù)據(jù)傳輸和存儲方式

電力系統(tǒng)中涉及的數(shù)據(jù)類型復(fù)雜，包括運行狀態(tài)、用戶數(shù)據(jù)、市場交易數(shù)據(jù)等。其中一部分?jǐn)?shù)據(jù)需要在不同層級的系統(tǒng)之間傳輸，而另一部分?jǐn)?shù)據(jù)則需要長期存儲。如何保證這些數(shù)據(jù)的安全性成為重要問題。

2.2 網(wǎng)絡(luò)攻擊方式分析

2.2.1 電力系統(tǒng)的癱瘓

黑客通過利用設(shè)備和系統(tǒng)的網(wǎng)絡(luò)接口缺陷或軟件漏洞，發(fā)起攻擊并控制系統(tǒng)，造成設(shè)備故障或系統(tǒng)崩潰，甚至導(dǎo)致電力系統(tǒng)的癱瘓。

2.2.2 數(shù)據(jù)泄漏

黑客可以通過充當(dāng)內(nèi)鬼的員工、惡意軟件等方式竊取或泄漏電力系統(tǒng)中的數(shù)據(jù)，包括用戶信息、市場交易數(shù)據(jù)等敏感信息，從而對電力系統(tǒng)的穩(wěn)定運行造成威脅。

2.2.3 服務(wù)中斷

黑客可以利用分布式拒絕服務(wù)攻擊（Distributed Denial Of Service：DDOS）等方式阻塞電力系統(tǒng)的服務(wù)，從而導(dǎo)致用戶的停電。

2.3 安全威脅評估與應(yīng)對

一是加密通信。對于電力系統(tǒng)中的網(wǎng)絡(luò)通信，可以采用加密傳輸?shù)姆绞剑乐购诳透`取信息。

二是訪問控制。對于電力系統(tǒng)中的重要設(shè)備和系統(tǒng)，可以采用限制訪問的方式，只允許授權(quán)的人員進(jìn)行訪問。

三是數(shù)據(jù)備份和恢復(fù)。可以采用數(shù)據(jù)備份和恢復(fù)的方式，隨時準(zhǔn)備好備份數(shù)據(jù)以應(yīng)對系統(tǒng)崩潰或數(shù)據(jù)丟失等情況。

四是安全審計。可以進(jìn)行安全審計，監(jiān)控電力系統(tǒng)中各種活動和事件，發(fā)現(xiàn)異常情況時及時采取措施[4]。

此外，提高員工的安全意識也是保證電力系統(tǒng)安全的關(guān)鍵。可以通過培訓(xùn)和教育員工網(wǎng)絡(luò)安全知識，提高員工的自我保護(hù)意識，切實保障電力系統(tǒng)的安全性。

3 新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)

3.1 安全加固技術(shù)

安全加固技術(shù)是指通過對電力系統(tǒng)的硬件和軟件進(jìn)行加固，增強(qiáng)其安全性能，提高系統(tǒng)的抵御攻擊能力。硬件加固主要是通過采用安全芯片、特權(quán)分離、隔離互聯(lián)等方式來保證設(shè)備的安全性能。軟件加固則是指采用安全操作系統(tǒng)、安全虛擬機(jī)、漏洞掃描工具等軟件手段來提高電力系統(tǒng)的安全性能。使用防病毒軟件、防火墻、數(shù)據(jù)加密等措施來保護(hù)電力系統(tǒng)的安全。

3.2 人工智能在電力系統(tǒng)安全中的應(yīng)用

人工智能可以實現(xiàn)對設(shè)備、用戶、數(shù)據(jù)等多個方面的安全監(jiān)測和管理。基于大數(shù)據(jù)、模式識別、機(jī)器學(xué)習(xí)等技術(shù)，可以對電力系統(tǒng)中的所有數(shù)據(jù)進(jìn)行分析和挖掘，快速發(fā)現(xiàn)異常情況，及時提供安全建議和預(yù)警如圖2所示。可以采用深度學(xué)習(xí)算法、自然語言處理技術(shù)等先進(jìn)技術(shù)，對電力系統(tǒng)中的日志數(shù)據(jù)、網(wǎng)絡(luò)數(shù)據(jù)、安全事件等信息進(jìn)行分析，提高電力系統(tǒng)的安全性。人工智能的自主協(xié)同性也能夠配合電力系統(tǒng)安全團(tuán)隊，快速應(yīng)對各種安全調(diào)整和響應(yīng)策略。

圖2 電力系統(tǒng)網(wǎng)絡(luò)安全事件智能感知系統(tǒng)框架

3.3 電力系統(tǒng)安全監(jiān)測與識別技術(shù)

電力系統(tǒng)安全監(jiān)測與識別技術(shù)是指對電力系統(tǒng)的每個網(wǎng)絡(luò)進(jìn)行實時監(jiān)控和識別，及時發(fā)現(xiàn)并定位系統(tǒng)中的安全漏洞和風(fēng)險。監(jiān)測技術(shù)可以采用“三分層”或“四分層”結(jié)構(gòu)，包括網(wǎng)絡(luò)層、傳輸層、應(yīng)用層和用戶層，每個層次都設(shè)置相應(yīng)的安全監(jiān)控點，以便及時發(fā)現(xiàn)和解決安全問題。

3.3.1 入侵檢測系統(tǒng)（IDS）

IDS 系統(tǒng)能夠通過監(jiān)測電力系統(tǒng)中的網(wǎng)絡(luò)流量，自動檢測出異常流量，包括惡意流量、攻擊流量等，并向安全人員發(fā)送警報。IDS 系統(tǒng)分為兩種類型：基于主機(jī)的IDS 和基于網(wǎng)絡(luò)的IDS?；谥鳈C(jī)的IDS 通過在每臺主機(jī)上安裝軟件來監(jiān)測主機(jī)上的安全事件?；诰W(wǎng)絡(luò)的IDS 則通過在網(wǎng)絡(luò)上部署IDS 傳感器來監(jiān)測網(wǎng)絡(luò)流量。IDS 系統(tǒng)能夠識別出許多類型的攻擊，端口掃描、拒絕服務(wù)攻擊、惡意軟件等。

3.3.2 入侵防御系統(tǒng)（IPS）

IPS 系統(tǒng)能夠通過檢測到的攻擊流量，自動阻止攻擊進(jìn)一步擴(kuò)大，并隔離攻擊源，以保護(hù)電力系統(tǒng)的安全。IPS 系統(tǒng)可以通過多種方式來防御攻擊，阻止攻擊流量、禁止訪問指定IP 地址等。IPS 系統(tǒng)的檢測和防御能力比IDS 系統(tǒng)更加強(qiáng)大，不僅可以識別出攻擊，還可以采取措施來防御攻擊。

3.3.3 安全事件管理系統(tǒng)（SIEM）

SIEM 系統(tǒng)能夠?qū)Π踩录M(jìn)行實時監(jiān)測、管理和響應(yīng)，包括日志管理、事件分析和報告等功能。SIEM 系統(tǒng)能夠匯集來自各個系統(tǒng)的安全事件，并對這些事件進(jìn)行分析，以便安全人員快速發(fā)現(xiàn)和響應(yīng)安全事件。SIEM 系統(tǒng)還能夠生成各種類型的報告，安全威脅分析報告和安全事件響應(yīng)報告。

3.3.4 威脅情報系統(tǒng)（TIS）

TIS 系統(tǒng)能夠收集和分析網(wǎng)絡(luò)威脅情報，包括黑客攻擊、病毒、木馬、僵尸網(wǎng)絡(luò)等，以提供給安全團(tuán)隊采取相應(yīng)的防御措施。TIS 系統(tǒng)能夠自動收集來自多個來源的威脅情報，像公共情報源、安全廠商、黑客論壇等。TIS 系統(tǒng)還能夠?qū)@些威脅情報進(jìn)行分析，以便安全人員快速發(fā)現(xiàn)和響應(yīng)潛在的安全威脅。

3.4 異常行為檢測及自動應(yīng)急響應(yīng)技術(shù)

異常行為檢測及自動應(yīng)急響應(yīng)技術(shù)是指通過采用網(wǎng)絡(luò)流量分析、結(jié)構(gòu)分析等技術(shù)手段，實現(xiàn)對電力系統(tǒng)中異常行為的檢測。當(dāng)檢測到異常行為時，自動啟動應(yīng)急響應(yīng)程序，包括阻止攻擊源和目標(biāo)之間的數(shù)據(jù)傳輸、限制對特定系統(tǒng)和網(wǎng)絡(luò)資源的訪問等操作。

3.4.1 基于行為分析技術(shù)的威脅偵測系統(tǒng)（TDS）

基于行為分析技術(shù)的威脅偵測系統(tǒng)（TDS）是一種常用的異常行為檢測技術(shù)。該系統(tǒng)通過對電力系統(tǒng)中的用戶和設(shè)備行為進(jìn)行分析，識別出異常行為，從而及時發(fā)現(xiàn)和防范網(wǎng)絡(luò)安全威脅。TDS 系統(tǒng)能夠?qū)崿F(xiàn)對電力系統(tǒng)中所有的用戶和設(shè)備行為進(jìn)行實時監(jiān)測，并對異常行為進(jìn)行分類和識別，從而能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)威脅并預(yù)警。

3.4.2 自動化的應(yīng)急響應(yīng)系統(tǒng)（ARS）

自動化的應(yīng)急響應(yīng)系統(tǒng)（ARS）是一種自動化的網(wǎng)絡(luò)安全防護(hù)技術(shù)。該系統(tǒng)通過對電力系統(tǒng)中的異常行為進(jìn)行檢測和識別，自動采取相應(yīng)的應(yīng)急措施，以減輕攻擊的影響。ARS 系統(tǒng)可以實現(xiàn)對電力系統(tǒng)中所有的異常行為進(jìn)行實時監(jiān)測，并根據(jù)預(yù)設(shè)的策略，自動采取相應(yīng)的應(yīng)急措施，如斷開攻擊源IP 地址、禁止特定的網(wǎng)絡(luò)通信等，以減少攻擊對電力系統(tǒng)的影響。

4 典型案例分析

4.1 事發(fā)經(jīng)過

據(jù)現(xiàn)場工作人員和監(jiān)控視頻，事發(fā)日夜間00:30左右，某電力公司的電力系統(tǒng)出現(xiàn)了異常情況，導(dǎo)致多個變電站的供電出現(xiàn)故障。經(jīng)過調(diào)查，發(fā)現(xiàn)整個事件是由于網(wǎng)絡(luò)攻擊所致，攻擊者利用漏洞入侵了系統(tǒng)，并且進(jìn)行了破壞性的操作。

4.2 應(yīng)急響應(yīng)

一是立即停止服務(wù)。一旦發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件，第一時間需要采取行動，及時停止相關(guān)的服務(wù)，以避免繼續(xù)受到攻擊。因此，電力公司立即停止了電力系統(tǒng)的服務(wù)，以減少損失。

二是分析攻擊來源。為了更好地應(yīng)對網(wǎng)絡(luò)攻擊事件，需要對攻擊來源和攻擊方式進(jìn)行深入分析研究。電力公司的網(wǎng)絡(luò)安全團(tuán)隊對網(wǎng)絡(luò)流量、系統(tǒng)日志等信息進(jìn)行了分析，確定了攻擊者的IP 地址和攻擊方式。

三是防范擴(kuò)散。當(dāng)網(wǎng)絡(luò)攻擊被確認(rèn)后，需要立即采取措施，防范攻擊的進(jìn)一步擴(kuò)散。電力公司網(wǎng)絡(luò)安全團(tuán)隊通過控制流量和端口，限制攻擊者的入侵范圍，避免其進(jìn)一步擴(kuò)大作用。

四是恢復(fù)業(yè)務(wù)功能。在確定攻擊來源和方式的基礎(chǔ)上，需要利用相應(yīng)的技術(shù)手段進(jìn)行應(yīng)急響應(yīng)處理。電力公司的網(wǎng)絡(luò)安全團(tuán)隊采取了多種應(yīng)急響應(yīng)措施，包括修復(fù)系統(tǒng)漏洞、安裝防火墻、加強(qiáng)網(wǎng)絡(luò)訪問控制等方法，最終順利恢復(fù)了電力系統(tǒng)的正常運行和服務(wù)。

4.3 安全總結(jié)

一是加強(qiáng)安全管理。事件發(fā)生后，電力公司進(jìn)行了安全漏洞分析，深入剖析了網(wǎng)絡(luò)攻擊事件的原因，并總結(jié)出相關(guān)經(jīng)驗和教訓(xùn)。

二是提高員工安全意識。在應(yīng)急響應(yīng)過程中，發(fā)現(xiàn)有些員工缺乏對安全問題的認(rèn)識和理解，如網(wǎng)絡(luò)密碼管理不規(guī)范等。

三是安全技術(shù)升級。為了更好地抵御網(wǎng)絡(luò)攻擊，電力公司在事件發(fā)生后加強(qiáng)了技術(shù)研究和應(yīng)用，并加大了對網(wǎng)絡(luò)安全設(shè)備的投入。

5 結(jié)語

新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)技術(shù)包括多個方面，如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)優(yōu)化、物聯(lián)網(wǎng)技術(shù)應(yīng)用、安全認(rèn)證和加密技術(shù)、安全監(jiān)測和預(yù)警系統(tǒng)等。針對新型電力系統(tǒng)在網(wǎng)絡(luò)安全方面面臨的挑戰(zhàn)，需要建立起多層次、多維度安全保障機(jī)制，強(qiáng)化數(shù)據(jù)、終端和技術(shù)的安全保障，采用多元化、高級化、智能化、專業(yè)化和云化的安全防護(hù)技術(shù)。加強(qiáng)人員安全意識的培養(yǎng)，提升技術(shù)預(yù)防水平，以更好地保護(hù)電力系統(tǒng)的網(wǎng)絡(luò)安全，確保其穩(wěn)定、可靠、安全運行。