導(dǎo)語：電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全智能分析一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：基于電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護原則與發(fā)展現(xiàn)狀，針對實際工作中暴露出的問題和缺陷，緊密結(jié)合電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運行監(jiān)控需求，從綜合數(shù)據(jù)分析、安全事件推理、決策支持以及應(yīng)急處置等層面進行智能分析管控研究，提出策略建議，提高整體安全防護水平。

關(guān)鍵詞：電力監(jiān)控系統(tǒng)；網(wǎng)絡(luò)安全；監(jiān)控技術(shù)；智能化

1電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護

1.1概述。電力監(jiān)控系統(tǒng)是指用于監(jiān)視和控制電力生產(chǎn)及供應(yīng)過程、基于計算機及網(wǎng)絡(luò)技術(shù)的業(yè)務(wù)系統(tǒng)及智能設(shè)備，以及作為基礎(chǔ)支擋的通信及數(shù)據(jù)網(wǎng)絡(luò)。木桶理論決定了整體安全防護水平是由系統(tǒng)中最薄弱環(huán)節(jié)的水準(zhǔn)決定的。對電力監(jiān)控進行體系化的安全保護十分必要，為了防止黑客利用噪聲系統(tǒng)漏洞和對企業(yè)系統(tǒng)后門的惡意入侵，并防止使用計算機病毒或惡意代碼實施的破壞和攻擊，從而導(dǎo)致電力監(jiān)控系統(tǒng)被劫持或淪陷，造成對電力系統(tǒng)生產(chǎn)安全運行的危害。我國電力監(jiān)控系統(tǒng)安全防護在十?dāng)?shù)載不斷地強化完善過程中，已經(jīng)實現(xiàn)了從靜態(tài)布防到動態(tài)管控的轉(zhuǎn)變。電力監(jiān)控系統(tǒng)從安全防護技術(shù)，應(yīng)急備用措施和全面安全管理三個方面構(gòu)建了三維立體的安全防護體系。1.2安全形勢與發(fā)展現(xiàn)狀。電力監(jiān)控系統(tǒng)是支撐電力系統(tǒng)安全穩(wěn)定運行和電力可靠供應(yīng)的重要手段，隨著網(wǎng)絡(luò)規(guī)模急劇擴大化和網(wǎng)絡(luò)空間的一體化的趨勢，針對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的管控愈加復(fù)雜。從國際形勢上看，世界范圍內(nèi)發(fā)生網(wǎng)絡(luò)戰(zhàn)的概率不斷增大，網(wǎng)絡(luò)安全對抗與攻擊愈加激烈，網(wǎng)絡(luò)攻擊具有手段隱蔽、攻擊成本低、取證困難等特點，能夠?qū)ζ髽I(yè)生產(chǎn)運營、企業(yè)名譽甚至對社會和國家層面造成重大影響。近年來發(fā)生的烏克蘭電網(wǎng)停電、伊朗核電站感染震網(wǎng)病毒導(dǎo)致癱瘓等事件表明，電力系統(tǒng)作為網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標(biāo)，始終處在網(wǎng)絡(luò)打擊破壞的前沿。國家電網(wǎng)公司按照“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的安全防護總體策略全面建立了電力監(jiān)控安全防護體系，覆蓋了五級電網(wǎng)調(diào)度機構(gòu)、各類變電站和發(fā)電廠，在安全管理、防護技術(shù)、應(yīng)急備用的角度形成了多維柵格狀動態(tài)安全防護體系，取得了良好的防護效果。國家電網(wǎng)公司自主研制了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺，并在地級以上調(diào)度機構(gòu)已全面部署完成，可實時監(jiān)測網(wǎng)絡(luò)空間內(nèi)的安全告警。國家電網(wǎng)公司自主研制并全面部署的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理平臺，按照設(shè)備自身感知、監(jiān)測裝置分布采集、管理平臺統(tǒng)一管控的原則，構(gòu)建網(wǎng)絡(luò)安全管理的感知、采集、管控三層邏輯結(jié)構(gòu)。（1）自身感知：實現(xiàn)服務(wù)器、工作站、交換機、縱向加密、正/反向隔離等設(shè)備作為監(jiān)測對象自身網(wǎng)絡(luò)安全數(shù)據(jù)的感知及上報，并具體執(zhí)行安全核查。（2）分布采集：利用監(jiān)測裝置實現(xiàn)對調(diào)控機構(gòu)、廠站、配電、負控等監(jiān)控系統(tǒng)相關(guān)設(shè)備網(wǎng)絡(luò)安全數(shù)據(jù)采集，以及與管理平臺的通信和交互。（3）統(tǒng)一管理：管理平臺實現(xiàn)網(wǎng)絡(luò)安全在線實時監(jiān)視、告警、分析、審計、核查等功能的集成。

2當(dāng)前存在的主要問題

2.1告警有效性堪憂、平臺功能割裂?，F(xiàn)有網(wǎng)絡(luò)安全管理平臺的各項功能處于割裂狀態(tài)，尤其是為安全監(jiān)視人員提供實時提醒的告警功能，不但判定邏輯簡單，而且告警信息多、有效/無效、有影響/無影響告警混雜在一起，無法快速定位有效告警，并且需要網(wǎng)絡(luò)安全管理人員從不同的監(jiān)視維度分別查看和統(tǒng)計各項功能指標(biāo)數(shù)據(jù)，不能形成有效的綜合分析，且對整體運行情況和安全態(tài)勢缺乏認知和判斷。2.2需要數(shù)據(jù)綜合分析和處理能力。網(wǎng)絡(luò)安全設(shè)備監(jiān)控日志數(shù)據(jù)量越來越大，目前平臺難以對這些海量異構(gòu)數(shù)據(jù)進行集中存儲和分析處理，無法有效整合各個設(shè)備產(chǎn)生獨立的事件告警，導(dǎo)致分析數(shù)據(jù)源單一、大規(guī)模數(shù)據(jù)關(guān)聯(lián)效能低，無法滿足對于網(wǎng)絡(luò)空間態(tài)勢分析的基本需求，而且告警智能分析過濾和輔助決策程度不高，從大量、孤立的單個事件中無法準(zhǔn)確發(fā)現(xiàn)全局、整體的安全威脅行為。2.3不具備智能化學(xué)習(xí)和輔助決策功能。針對網(wǎng)絡(luò)異常檢測缺少特征識別和自主學(xué)習(xí)能力，且缺乏有效的可視化手段有效直觀展示當(dāng)前安全態(tài)勢，無法及時檢測0day漏洞的威脅和APT攻擊等未知特征的威脅形式，難以給予當(dāng)前指揮人員有效的輔助決策。2.4自動化應(yīng)急手段缺失。當(dāng)發(fā)生重大網(wǎng)絡(luò)安全事件時，指揮人員難以依靠有效的技術(shù)管控手段，在指揮中心即可實現(xiàn)會話、主機設(shè)備乃至整個網(wǎng)絡(luò)區(qū)域的遠程多級精準(zhǔn)阻斷，還需要組織現(xiàn)場人員或?qū)I(yè)技術(shù)人員登錄設(shè)備進行相關(guān)操作，無法滿足快速隔離威脅、控制蔓延的應(yīng)急要求。

3智能分析管控策略建議

3.1資產(chǎn)安全性評估打分功能。利用現(xiàn)有國家電網(wǎng)網(wǎng)絡(luò)安全管理平臺感知和采集的多種數(shù)據(jù)資源，綜合分析運行狀態(tài)告警、漏洞掃描、基線核查信息、弱口令檢查、當(dāng)前威脅事件情況，以及資產(chǎn)的網(wǎng)絡(luò)異常行為，對資產(chǎn)進行安全評估打分。為網(wǎng)絡(luò)安全管理人員和安全運行管理人員提供重點關(guān)注信息，實現(xiàn)威脅事件精準(zhǔn)評估，網(wǎng)絡(luò)安全有效掌握的目標(biāo)。通過綜合靜態(tài)評估與動態(tài)評估兩個部分，對整個網(wǎng)絡(luò)空間中所有資產(chǎn)評價打分，結(jié)合整個網(wǎng)絡(luò)中的資產(chǎn)配備情況，資產(chǎn)受控情況，能夠?qū)φ麄€網(wǎng)絡(luò)進行總體安全評估。靜態(tài)評估是指通過添加對資產(chǎn)的漏洞、基線配置情況和弱口令掃描等靜態(tài)信息，按照不同因子不同權(quán)重進行打分評價。動態(tài)評估是對資產(chǎn)的動態(tài)信息，一方面對運行狀態(tài)告警進行一些規(guī)則處理，另一方面結(jié)合網(wǎng)絡(luò)安全威脅情報信息，從IP地址、告警時間以及告警類型3個角度判斷可疑資產(chǎn)（有被利用風(fēng)險）和受害資產(chǎn)（已有疑似被利用行為），對關(guān)鍵資產(chǎn)是否受到威脅的告警特征進行量化，最后根據(jù)危害程度添加威脅告警和事件告警的推理規(guī)則，對數(shù)量分別進行統(tǒng)計，對資產(chǎn)進行安全評估打分。之后計算靜態(tài)評估與動態(tài)評估權(quán)重各一半的總得分，將各項安全評估情況以及總提得分進行展示，為監(jiān)視人員提供全面的資產(chǎn)安全性綜合評估展示。3.2安全數(shù)據(jù)資源化及建模分析。在對內(nèi)外部數(shù)據(jù)源進行統(tǒng)一采集、初篩和存儲的基礎(chǔ)上，通過流式數(shù)據(jù)的實時分析和歷史數(shù)據(jù)的離線分析相結(jié)合的方式，將數(shù)量龐大、類型多樣、獨立價值低的數(shù)據(jù)（包括II型監(jiān)測裝置、Agent類信息、安防設(shè)備信息、網(wǎng)絡(luò)設(shè)備信息、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用類信息等）進行模型化、范式化處理，形成可被逐級分析利用的數(shù)據(jù)資源。將上述資源化數(shù)據(jù)進行整合，根據(jù)電力監(jiān)控系統(tǒng)實際安全防護需求，通過運用關(guān)聯(lián)分析、多階段組合關(guān)聯(lián)分析、攻擊場景關(guān)聯(lián)分析等，進行靜態(tài)設(shè)備模型、動態(tài)運行模型、風(fēng)險分析模型、網(wǎng)絡(luò)異常檢測模型、安全審計模型、自動化應(yīng)急處置等建模，形成全局式的網(wǎng)絡(luò)安全態(tài)勢分析。3.3安全態(tài)勢可視化技術(shù)研究。緊密結(jié)合電力監(jiān)控系統(tǒng)運行監(jiān)控需求，開展安全態(tài)勢可視化設(shè)計，圍繞“電力安全攻防”理念，依托對原始數(shù)據(jù)信息的建模、分析和處理，從網(wǎng)絡(luò)空間地理視圖、關(guān)鍵資產(chǎn)視圖、安全威脅溯源視圖等多個視角，快速、準(zhǔn)確、有效、直觀、形象地展示網(wǎng)絡(luò)空間內(nèi)的安全態(tài)勢。3.4智能安全決策與應(yīng)急處置技術(shù)研究。面向運行監(jiān)控值班工作的監(jiān)視重點，實現(xiàn)多尺度、多維度、細粒度的安全事件深入分析、檢測與跟蹤，并進一步應(yīng)用知識工程算法，形成經(jīng)驗式、可迭代的網(wǎng)絡(luò)安全事件推理優(yōu)化機制和智能知識庫，為運行監(jiān)控和指揮人員提供相關(guān)定制化專業(yè)知識手冊和智能化輔助決策。綜合事件范圍及業(yè)務(wù)影響，基于agent信任控制機制和網(wǎng)絡(luò)、安防設(shè)備遠程控制策略等技術(shù)，設(shè)計合理的分級網(wǎng)絡(luò)緊急隔離措施，實現(xiàn)遠程阻斷會話、主機至廠站區(qū)域的多層次分級隔離。

4結(jié)語

電力監(jiān)控系統(tǒng)智能分析管控技術(shù)基于現(xiàn)有的電力監(jiān)控系統(tǒng)安全防護體系，可接收處理來自多渠道采集的流量結(jié)構(gòu)化數(shù)據(jù)、檢測設(shè)備日志、各類告警信息等，并借助大數(shù)據(jù)技術(shù)對海量數(shù)據(jù)集中存儲和分析處理，結(jié)合對實時數(shù)據(jù)和歷史數(shù)據(jù)的綜合分析，實現(xiàn)安全威脅的快速發(fā)現(xiàn)、追溯定位和實時應(yīng)急處理，提高電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的監(jiān)視分析和防護水平。

參考文獻：

[1]辛耀中，盧長燕.電力系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)技術(shù)體制分析[J].電力系統(tǒng)自動化，2000，24（21）:1~6.

[2]高昆侖，辛耀中，李釗等.智能電網(wǎng)調(diào)度控制系統(tǒng)安全防護技術(shù)及發(fā)展[J].電力系統(tǒng)自動化，2015，39（10）:48-52.

[3]麥克納布（美）.網(wǎng)絡(luò)安全評估[M].王景新，譯.北京：中國電力出版社，2009.

[4]蔡皖東.網(wǎng)絡(luò)信息安全技術(shù)[M].北京：清華大學(xué)出版社，2015.

作者:李曉勐 曹耀夫 劉俊文 李成巍 閆珺路 趙景程 單位:國家電網(wǎng)有限公司信息通信分公司