導(dǎo)語(yǔ)：電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全智能分析一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢(xún)客服老師，歡迎參考。

摘要：基于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)原則與發(fā)展現(xiàn)狀，針對(duì)實(shí)際工作中暴露出的問(wèn)題和缺陷，緊密結(jié)合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行監(jiān)控需求，從綜合數(shù)據(jù)分析、安全事件推理、決策支持以及應(yīng)急處置等層面進(jìn)行智能分析管控研究，提出策略建議，提高整體安全防護(hù)水平。

關(guān)鍵詞：電力監(jiān)控系統(tǒng)；網(wǎng)絡(luò)安全；監(jiān)控技術(shù)；智能化

1電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)

1.1概述。電力監(jiān)控系統(tǒng)是指用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過(guò)程、基于計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支擋的通信及數(shù)據(jù)網(wǎng)絡(luò)。木桶理論決定了整體安全防護(hù)水平是由系統(tǒng)中最薄弱環(huán)節(jié)的水準(zhǔn)決定的。對(duì)電力監(jiān)控進(jìn)行體系化的安全保護(hù)十分必要，為了防止黑客利用噪聲系統(tǒng)漏洞和對(duì)企業(yè)系統(tǒng)后門(mén)的惡意入侵，并防止使用計(jì)算機(jī)病毒或惡意代碼實(shí)施的破壞和攻擊，從而導(dǎo)致電力監(jiān)控系統(tǒng)被劫持或淪陷，造成對(duì)電力系統(tǒng)生產(chǎn)安全運(yùn)行的危害。我國(guó)電力監(jiān)控系統(tǒng)安全防護(hù)在十?dāng)?shù)載不斷地強(qiáng)化完善過(guò)程中，已經(jīng)實(shí)現(xiàn)了從靜態(tài)布防到動(dòng)態(tài)管控的轉(zhuǎn)變。電力監(jiān)控系統(tǒng)從安全防護(hù)技術(shù)，應(yīng)急備用措施和全面安全管理三個(gè)方面構(gòu)建了三維立體的安全防護(hù)體系。1.2安全形勢(shì)與發(fā)展現(xiàn)狀。電力監(jiān)控系統(tǒng)是支撐電力系統(tǒng)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)的重要手段，隨著網(wǎng)絡(luò)規(guī)模急劇擴(kuò)大化和網(wǎng)絡(luò)空間的一體化的趨勢(shì)，針對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的管控愈加復(fù)雜。從國(guó)際形勢(shì)上看，世界范圍內(nèi)發(fā)生網(wǎng)絡(luò)戰(zhàn)的概率不斷增大，網(wǎng)絡(luò)安全對(duì)抗與攻擊愈加激烈，網(wǎng)絡(luò)攻擊具有手段隱蔽、攻擊成本低、取證困難等特點(diǎn)，能夠?qū)ζ髽I(yè)生產(chǎn)運(yùn)營(yíng)、企業(yè)名譽(yù)甚至對(duì)社會(huì)和國(guó)家層面造成重大影響。近年來(lái)發(fā)生的烏克蘭電網(wǎng)停電、伊朗核電站感染震網(wǎng)病毒導(dǎo)致癱瘓等事件表明，電力系統(tǒng)作為網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標(biāo)，始終處在網(wǎng)絡(luò)打擊破壞的前沿。國(guó)家電網(wǎng)公司按照“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”的安全防護(hù)總體策略全面建立了電力監(jiān)控安全防護(hù)體系，覆蓋了五級(jí)電網(wǎng)調(diào)度機(jī)構(gòu)、各類(lèi)變電站和發(fā)電廠，在安全管理、防護(hù)技術(shù)、應(yīng)急備用的角度形成了多維柵格狀動(dòng)態(tài)安全防護(hù)體系，取得了良好的防護(hù)效果。國(guó)家電網(wǎng)公司自主研制了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)，并在地級(jí)以上調(diào)度機(jī)構(gòu)已全面部署完成，可實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)空間內(nèi)的安全告警。國(guó)家電網(wǎng)公司自主研制并全面部署的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺(tái)，按照設(shè)備自身感知、監(jiān)測(cè)裝置分布采集、管理平臺(tái)統(tǒng)一管控的原則，構(gòu)建網(wǎng)絡(luò)安全管理的感知、采集、管控三層邏輯結(jié)構(gòu)。（1）自身感知：實(shí)現(xiàn)服務(wù)器、工作站、交換機(jī)、縱向加密、正/反向隔離等設(shè)備作為監(jiān)測(cè)對(duì)象自身網(wǎng)絡(luò)安全數(shù)據(jù)的感知及上報(bào)，并具體執(zhí)行安全核查。（2）分布采集：利用監(jiān)測(cè)裝置實(shí)現(xiàn)對(duì)調(diào)控機(jī)構(gòu)、廠站、配電、負(fù)控等監(jiān)控系統(tǒng)相關(guān)設(shè)備網(wǎng)絡(luò)安全數(shù)據(jù)采集，以及與管理平臺(tái)的通信和交互。（3）統(tǒng)一管理：管理平臺(tái)實(shí)現(xiàn)網(wǎng)絡(luò)安全在線實(shí)時(shí)監(jiān)視、告警、分析、審計(jì)、核查等功能的集成。

2當(dāng)前存在的主要問(wèn)題

2.1告警有效性堪憂(yōu)、平臺(tái)功能割裂?，F(xiàn)有網(wǎng)絡(luò)安全管理平臺(tái)的各項(xiàng)功能處于割裂狀態(tài)，尤其是為安全監(jiān)視人員提供實(shí)時(shí)提醒的告警功能，不但判定邏輯簡(jiǎn)單，而且告警信息多、有效/無(wú)效、有影響/無(wú)影響告警混雜在一起，無(wú)法快速定位有效告警，并且需要網(wǎng)絡(luò)安全管理人員從不同的監(jiān)視維度分別查看和統(tǒng)計(jì)各項(xiàng)功能指標(biāo)數(shù)據(jù)，不能形成有效的綜合分析，且對(duì)整體運(yùn)行情況和安全態(tài)勢(shì)缺乏認(rèn)知和判斷。2.2需要數(shù)據(jù)綜合分析和處理能力。網(wǎng)絡(luò)安全設(shè)備監(jiān)控日志數(shù)據(jù)量越來(lái)越大，目前平臺(tái)難以對(duì)這些海量異構(gòu)數(shù)據(jù)進(jìn)行集中存儲(chǔ)和分析處理，無(wú)法有效整合各個(gè)設(shè)備產(chǎn)生獨(dú)立的事件告警，導(dǎo)致分析數(shù)據(jù)源單一、大規(guī)模數(shù)據(jù)關(guān)聯(lián)效能低，無(wú)法滿(mǎn)足對(duì)于網(wǎng)絡(luò)空間態(tài)勢(shì)分析的基本需求，而且告警智能分析過(guò)濾和輔助決策程度不高，從大量、孤立的單個(gè)事件中無(wú)法準(zhǔn)確發(fā)現(xiàn)全局、整體的安全威脅行為。2.3不具備智能化學(xué)習(xí)和輔助決策功能。針對(duì)網(wǎng)絡(luò)異常檢測(cè)缺少特征識(shí)別和自主學(xué)習(xí)能力，且缺乏有效的可視化手段有效直觀展示當(dāng)前安全態(tài)勢(shì)，無(wú)法及時(shí)檢測(cè)0day漏洞的威脅和APT攻擊等未知特征的威脅形式，難以給予當(dāng)前指揮人員有效的輔助決策。2.4自動(dòng)化應(yīng)急手段缺失。當(dāng)發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，指揮人員難以依靠有效的技術(shù)管控手段，在指揮中心即可實(shí)現(xiàn)會(huì)話(huà)、主機(jī)設(shè)備乃至整個(gè)網(wǎng)絡(luò)區(qū)域的遠(yuǎn)程多級(jí)精準(zhǔn)阻斷，還需要組織現(xiàn)場(chǎng)人員或?qū)I(yè)技術(shù)人員登錄設(shè)備進(jìn)行相關(guān)操作，無(wú)法滿(mǎn)足快速隔離威脅、控制蔓延的應(yīng)急要求。

3智能分析管控策略建議

3.1資產(chǎn)安全性評(píng)估打分功能。利用現(xiàn)有國(guó)家電網(wǎng)網(wǎng)絡(luò)安全管理平臺(tái)感知和采集的多種數(shù)據(jù)資源，綜合分析運(yùn)行狀態(tài)告警、漏洞掃描、基線核查信息、弱口令檢查、當(dāng)前威脅事件情況，以及資產(chǎn)的網(wǎng)絡(luò)異常行為，對(duì)資產(chǎn)進(jìn)行安全評(píng)估打分。為網(wǎng)絡(luò)安全管理人員和安全運(yùn)行管理人員提供重點(diǎn)關(guān)注信息，實(shí)現(xiàn)威脅事件精準(zhǔn)評(píng)估，網(wǎng)絡(luò)安全有效掌握的目標(biāo)。通過(guò)綜合靜態(tài)評(píng)估與動(dòng)態(tài)評(píng)估兩個(gè)部分，對(duì)整個(gè)網(wǎng)絡(luò)空間中所有資產(chǎn)評(píng)價(jià)打分，結(jié)合整個(gè)網(wǎng)絡(luò)中的資產(chǎn)配備情況，資產(chǎn)受控情況，能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行總體安全評(píng)估。靜態(tài)評(píng)估是指通過(guò)添加對(duì)資產(chǎn)的漏洞、基線配置情況和弱口令掃描等靜態(tài)信息，按照不同因子不同權(quán)重進(jìn)行打分評(píng)價(jià)。動(dòng)態(tài)評(píng)估是對(duì)資產(chǎn)的動(dòng)態(tài)信息，一方面對(duì)運(yùn)行狀態(tài)告警進(jìn)行一些規(guī)則處理，另一方面結(jié)合網(wǎng)絡(luò)安全威脅情報(bào)信息，從IP地址、告警時(shí)間以及告警類(lèi)型3個(gè)角度判斷可疑資產(chǎn)（有被利用風(fēng)險(xiǎn)）和受害資產(chǎn)（已有疑似被利用行為），對(duì)關(guān)鍵資產(chǎn)是否受到威脅的告警特征進(jìn)行量化，最后根據(jù)危害程度添加威脅告警和事件告警的推理規(guī)則，對(duì)數(shù)量分別進(jìn)行統(tǒng)計(jì)，對(duì)資產(chǎn)進(jìn)行安全評(píng)估打分。之后計(jì)算靜態(tài)評(píng)估與動(dòng)態(tài)評(píng)估權(quán)重各一半的總得分，將各項(xiàng)安全評(píng)估情況以及總提得分進(jìn)行展示，為監(jiān)視人員提供全面的資產(chǎn)安全性綜合評(píng)估展示。3.2安全數(shù)據(jù)資源化及建模分析。在對(duì)內(nèi)外部數(shù)據(jù)源進(jìn)行統(tǒng)一采集、初篩和存儲(chǔ)的基礎(chǔ)上，通過(guò)流式數(shù)據(jù)的實(shí)時(shí)分析和歷史數(shù)據(jù)的離線分析相結(jié)合的方式，將數(shù)量龐大、類(lèi)型多樣、獨(dú)立價(jià)值低的數(shù)據(jù)（包括II型監(jiān)測(cè)裝置、Agent類(lèi)信息、安防設(shè)備信息、網(wǎng)絡(luò)設(shè)備信息、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用類(lèi)信息等）進(jìn)行模型化、范式化處理，形成可被逐級(jí)分析利用的數(shù)據(jù)資源。將上述資源化數(shù)據(jù)進(jìn)行整合，根據(jù)電力監(jiān)控系統(tǒng)實(shí)際安全防護(hù)需求，通過(guò)運(yùn)用關(guān)聯(lián)分析、多階段組合關(guān)聯(lián)分析、攻擊場(chǎng)景關(guān)聯(lián)分析等，進(jìn)行靜態(tài)設(shè)備模型、動(dòng)態(tài)運(yùn)行模型、風(fēng)險(xiǎn)分析模型、網(wǎng)絡(luò)異常檢測(cè)模型、安全審計(jì)模型、自動(dòng)化應(yīng)急處置等建模，形成全局式的網(wǎng)絡(luò)安全態(tài)勢(shì)分析。3.3安全態(tài)勢(shì)可視化技術(shù)研究。緊密結(jié)合電力監(jiān)控系統(tǒng)運(yùn)行監(jiān)控需求，開(kāi)展安全態(tài)勢(shì)可視化設(shè)計(jì)，圍繞“電力安全攻防”理念，依托對(duì)原始數(shù)據(jù)信息的建模、分析和處理，從網(wǎng)絡(luò)空間地理視圖、關(guān)鍵資產(chǎn)視圖、安全威脅溯源視圖等多個(gè)視角，快速、準(zhǔn)確、有效、直觀、形象地展示網(wǎng)絡(luò)空間內(nèi)的安全態(tài)勢(shì)。3.4智能安全決策與應(yīng)急處置技術(shù)研究。面向運(yùn)行監(jiān)控值班工作的監(jiān)視重點(diǎn)，實(shí)現(xiàn)多尺度、多維度、細(xì)粒度的安全事件深入分析、檢測(cè)與跟蹤，并進(jìn)一步應(yīng)用知識(shí)工程算法，形成經(jīng)驗(yàn)式、可迭代的網(wǎng)絡(luò)安全事件推理優(yōu)化機(jī)制和智能知識(shí)庫(kù)，為運(yùn)行監(jiān)控和指揮人員提供相關(guān)定制化專(zhuān)業(yè)知識(shí)手冊(cè)和智能化輔助決策。綜合事件范圍及業(yè)務(wù)影響，基于agent信任控制機(jī)制和網(wǎng)絡(luò)、安防設(shè)備遠(yuǎn)程控制策略等技術(shù)，設(shè)計(jì)合理的分級(jí)網(wǎng)絡(luò)緊急隔離措施，實(shí)現(xiàn)遠(yuǎn)程阻斷會(huì)話(huà)、主機(jī)至廠站區(qū)域的多層次分級(jí)隔離。

4結(jié)語(yǔ)

電力監(jiān)控系統(tǒng)智能分析管控技術(shù)基于現(xiàn)有的電力監(jiān)控系統(tǒng)安全防護(hù)體系，可接收處理來(lái)自多渠道采集的流量結(jié)構(gòu)化數(shù)據(jù)、檢測(cè)設(shè)備日志、各類(lèi)告警信息等，并借助大數(shù)據(jù)技術(shù)對(duì)海量數(shù)據(jù)集中存儲(chǔ)和分析處理，結(jié)合對(duì)實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)的綜合分析，實(shí)現(xiàn)安全威脅的快速發(fā)現(xiàn)、追溯定位和實(shí)時(shí)應(yīng)急處理，提高電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的監(jiān)視分析和防護(hù)水平。

參考文獻(xiàn)：

[1]辛耀中，盧長(zhǎng)燕.電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析[J].電力系統(tǒng)自動(dòng)化，2000，24（21）:1~6.

[2]高昆侖，辛耀中，李釗等.智能電網(wǎng)調(diào)度控制系統(tǒng)安全防護(hù)技術(shù)及發(fā)展[J].電力系統(tǒng)自動(dòng)化，2015，39（10）:48-52.

[3]麥克納布（美）.網(wǎng)絡(luò)安全評(píng)估[M].王景新，譯.北京：中國(guó)電力出版社，2009.

[4]蔡皖東.網(wǎng)絡(luò)信息安全技術(shù)[M].北京：清華大學(xué)出版社，2015.

作者:李曉勐 曹耀夫 劉俊文 李成巍 閆珺路 趙景程 單位:國(guó)家電網(wǎng)有限公司信息通信分公司