電力監控網絡安全態勢感知架構與智能化防護

文/于秋玲

近年來，全球范圍內網絡安全事件層出不窮，如烏克蘭大面積停電事件、勒索病毒全球爆發事件等，表明了電力作為全球能源基礎設施，已經面臨嚴峻的網絡安全攻擊風險，電力監控系統的網絡安全要求已經被提升到一個更高的層次。現階段，電力監控系統網絡安全防護管理，主要是通過采集主站網絡邊界上的通用安全防護設備及電力專用安全防護設備的日志信息，來實現對跨邊界的網絡安全事件的監測，但是對于系統內部的安全事件缺乏監管手段，系統內部每臺設備的外部網絡訪問、外部設備接入、用戶登錄、人員操作等基本事件沒有納入統一管控，存在木馬植入、病毒侵入、利用漏洞攻擊、弱口令、訪問權限獲取、信息偵聽、數據篡改和拒絕服務等攻擊隱患。文獻[10]闡述了智能電網背景下的基于電力系統應用軟件（SCADA、AGC、AVC 等）的惡意攻擊，通過修改數據庫等方式實現；文獻[11]則列舉了電力二次系統的設備、信息系統和人為的安全風險因素，這些風險因素最終均可通過電力系統設備軟、硬件進行防控，僅依靠網絡和安全設備數據采集的設備選取方法顯然是片面的，對安全數據的獲取是存在缺失的，傳統的依靠抓包、分析日志的常規網絡安全信息采集方法已無法滿足全面安全信息的要求。

隨著網絡準入控制系統、運維操作審計系統、日志審計系統、IDS 等網絡安全系統的部署，電力監控系統網絡安全系統范疇不斷擴大，需要分析的數據包括網絡信息、主機信息、數據庫信息、用戶信息等，亟需適合全局化、系統化的網絡安全態勢感知模式，及時發現各類廣義的網絡安全風險，實現電力監控系統網絡安全的閉環管理，全面提高全局電力監控系統網絡安全防護的整體水平。

1 電力監控系統安全防護需求

電力監控系統安全防護，具有設備安全數據采集與本地安全管理的職責，支持對安全防護設備、網絡設備和主機設備等的安全數據采集，通過數據采集與數據分析，實現子站監控系統網絡安全監控本地管理與全網基礎集合上送。

圖1：網絡安全監管采集架構

圖2：網絡安全信息監管架構

1.1 安全防護需求分析

針對電力監控系統全網設備可能遭遇到的安全攻擊，子站級監控系統安全防護的防護需求包括：

（1）網絡安全——子站內網網絡風暴的抑制，木馬植入、病毒侵入、利用漏洞攻擊等防護；

（2）協議安全——子站內網明文協議存在輕易截獲、篡改、偽造與重放等風險；

（3）應用安全——子站內網SCADA、AVC、AGC、PMU、故障錄波等各類應用的自身與協同安全風險；

表1：安全需求與安全事件映射表

表2：全面安全數據采集表

（4）數據庫安全——子站內網所有數據庫的溢出、惡意修改、不同步等風險；

（5）主機安全——子站內網服務器與工作站的硬件、系統、用戶、聯網等風險。

上述5 種子站級監控系統安全防護的防護需求涵蓋了子站內可能發生的安全風險的防護要求。從全面安全防護管控的角度出發，將防護界面從網絡邊界前移至設備，覆蓋站內所有設備的軟、硬件，將站內安全事件劃分為5 類：安全防護設備事件、網絡安全事件、主機安全事件、數據庫安全事件、電力監控系統安全事件。站內安全事件能夠滿足子站內所有安全風險的防護要求，需求與事件映射關系如表1所示。

2 安全數據采集與上送架構

基于上節安全需求與安全事件的映射分析，明確了對應的采集目標，采集目標從設備數據分類的角度，可以由以下4 類數據集合完成采集目標數據驅動支持：安全設備數據、網絡設備數據、主機設備數據、數據庫數據。

2.1 安全數據采集

安全設備數據、網絡設備數據、主機設備數據、數據庫數據4 類數據，結合需求分析結果5 類安全事件：安全防護設備事件、網絡安全事件、主機安全事件、數據庫安全事件、電力監控系統安全事件，具象到數據采集對象包括：防火墻、橫向隔離裝置、縱向加密裝置、交換機、服務器和工作站、數據庫感知程序、關鍵應用，如表2所示進行采集信息與方式分析。

硬件類具體采集內容采取集合方式描述

安全防護設備信息集合={用戶登錄、配置變更、運行狀態、安全事件信息……}

網絡設備采集信息集合={用戶登錄、操作信息、配置變更、流量信息、網口狀態……}

服務器、工作站信息集合={用戶登錄、操作信息、運行狀態、移動存儲設備接入、網絡外聯……}

2.2 安全數據上送架構

系統數據方面，數據采集設備涵蓋了子站的通用安全設備、專用安全設備、網絡設備、服務器和工作站，采集架構如圖1所示，將設備級的安全數據集中采集至網絡安全監控設備，進行本地分析并且通過數據采集網關上送主站的網絡安全監控系統。

主站功能定位：采集子系統，監視子系統，在線識別子系統，分析預測子系統。

子站功能定位：子站端態勢感知采集裝置部署，安全接入主站平臺統一監控。

3 安全數據智能化分析

在設備級安全數據采集的基礎上，進行數據集中分析，子站分析點位于子站內的網絡安全監控設備，主站分析點位于主站的網絡安全管理系統服務器。分析工作包括兩個部分：依據智能規則庫的安全數據分析和基于智能數據挖掘的安全數據分析。

將通用安全設備、專用安全設備、網絡設備、服務器和工作站的設備級采集信息輸入專家規則庫，依據規則進行處理與分析，規則包括歸并、多設備信息分析、形成新風險等方式：

（1）基于系統的統計周期，對重復出現的事件進行歸并，簡化信息庫；

（2）對網絡設備日志信息進行分析處理，包括安全日志、系統日志、管理日志，根據關聯關系形成新事的上報事件（如用戶非法操作事件、系統操作事件等）；

（3）將網絡設備、安全防護設備的采集信息轉換為格式化數據，滿足本地數據分析格式要求和上傳主站網絡安全管理系統的需求；

（4）考慮設備運行信息與網絡安全信息關聯關系，基于采集到的子站設備的設備指標類、設備運行狀態類、用戶操作行為類、安全策略類4 大類信息，如下圖所示，基于分類信息的數據基礎，收集PB 級海量數據樣本集，尋找數據間的關聯關系，分析概率與跟隨等特性，形成子站監控系統網絡安全風險集S，如圖2所示：

跨境電商師資培訓還應該注重培訓內容的層次性和遞進性，做到投其所好而非一鍋燴。對于沒有跨境電商授課經驗和培訓經歷的參訓教師，培訓單位和基地應該提供基礎性的培訓課程，通過講練結合的方式教會教師如何操作和運用速賣通、阿里國際、敦煌網和Ebay等常用電商平臺進行線上和線下交易。對于已經對跨境電商有初步了解并能夠操作電商平臺的受訓教師，培訓的重點應傾向于教學研究方面，比如重點講授跨境電商的教材開發，課程設置，人才培養方案制定，微課和慕課的制作等。分層次的和遞進性的培訓既能夠解決他們當下知識儲備不夠，實踐技能缺乏的急迫問題又能滿足他們對跨境電商開展深入研究，進一步提升教學科研能力和水平的未來需求。

S={①：外設接入事件；②：用戶登陸事件；③：狀態異常事件；④：危險操作事件……}

①={主機USB 狀態，網絡設備網口流量，關鍵文件操作，防火墻不符合安全策略行為}；

②={登陸成功，隔離裝置離線，隔離裝置不符合安全策略行為}；

③={防火墻CPU 利用率，防火墻離線，防火墻上線，防火墻不符合安全策略行為}；

④={網絡設備網口流量，主機網口狀態，操作命令，防火墻攻擊告警}；

……

根據風險集S 中各類風風險，如：外設接入風險、用戶登錄風險、危險操作風險、狀態異常風險等，進行風險評級，根據評級與解決方式歸屬性，定義本地風險與上報風險，構建風險分級監控體系。

4 結論或結束語

從子站監控系統的網絡安全管理入手，收集全面安全數據，挖掘各類安全數據間關聯關系，形成安全風險集，構建智能化安全風險分級監控體系，以全新的設備級數據范疇來管控電力系統安全，安全的全數據支持、全流程管控的智能化安全管理模式。

以子站監控系統網絡安全管理為基礎，將電力監控系統安全防護體系由邊界防護向全面防御推進，實現外部入侵監視與阻斷、外部威脅內網有效隔離、內部越權與惡意操作及時制止，將全網設備（包括安防設備、網絡設備、主機設備）納入實時監視與體系管理，安全管理從系統邊界移至全網設備，安全管理方式從被動防護上升至主動識別，實現電力監控系統安全防護智能化。

文章創新點介紹：

創新地將電力網絡安全管理的布點從系統邊界前移至系統設備，提出全面安全數據的概念。通過挖掘全數據關聯關系的方法形成安全風險集，以實現更加智能化的安全風險分級監控，有助于網絡安全管理方式從被動防護上升至主動識別。