電力監控系統網絡安全智能分析管控研究

李曉勐，曹耀夫，劉俊文，李成巍，閆珺路，趙景程

(國家電網有限公司信息通信分公司，北京 100053)

1 電力監控系統網絡安全防護

1.1 概述

電力監控系統是指用于監視和控制電力生產及供應過程、基于計算機及網絡技術的業務系統及智能設備，以及作為基礎支擋的通信及數據網絡。木桶理論決定了整體安全防護水平是由系統中最薄弱環節的水準決定的。對電力監控進行體系化的安全保護十分必要，為了防止黑客利用噪聲系統漏洞和對企業系統后門的惡意入侵，并防止使用計算機病毒或惡意代碼實施的破壞和攻擊，從而導致電力監控系統被劫持或淪陷，造成對電力系統生產安全運行的危害。我國電力監控系統安全防護在十數載不斷地強化完善過程中，已經實現了從靜態布防到動態管控的轉變。電力監控系統從安全防護技術，應急備用措施和全面安全管理三個方面構建了三維立體的安全防護體系。

1.2 安全形勢與發展現狀

電力監控系統是支撐電力系統安全穩定運行和電力可靠供應的重要手段，隨著網絡規模急劇擴大化和網絡空間的一體化的趨勢，針對電力監控系統網絡安全的管控愈加復雜。從國際形勢上看，世界范圍內發生網絡戰的概率不斷增大，網絡安全對抗與攻擊愈加激烈，網絡攻擊具有手段隱蔽、攻擊成本低、取證困難等特點，能夠對企業生產運營、企業名譽甚至對社會和國家層面造成重大影響。近年來發生的烏克蘭電網停電、伊朗核電站感染震網病毒導致癱瘓等事件表明，電力系統作為網絡戰的重要攻擊目標，始終處在網絡打擊破壞的前沿。

國家電網公司按照 安全分區、網絡專用、橫向隔離、縱向認證 的安全防護總體策略全面建立了電力監控安全防護體系，覆蓋了五級電網調度機構、各類變電站和發電廠，在安全管理、防護技術、應急備用的角度形成了多維柵格狀動態安全防護體系，取得了良好的防護效果。

國家電網公司自主研制了電力監控系統網絡安全管理平臺，并在地級以上調度機構已全面部署完成，可實時監測網絡空間內的安全告警。

國家電網公司自主研制并全面部署的電力監控系統網絡安全管理平臺，按照設備自身感知、監測裝置分布采集、管理平臺統一管控的原則，構建網絡安全管理的感知、采集、管控三層邏輯結構。

（1）自身感知：實現服務器、工作站、交換機、縱向加密、正/反向隔離等設備作為監測對象自身網絡安全數據的感知及上報，并具體執行安全核查。

（2）分布采集：利用監測裝置實現對調控機構、廠站、配電、負控等監控系統相關設備網絡安全數據采集，以及與管理平臺的通信和交互。

（3）統一管理：管理平臺實現網絡安全在線實時監視、告警、分析、審計、核查等功能的集成。

2 當前存在的主要問題

2.1 告警有效性堪憂、平臺功能割裂

現有網絡安全管理平臺的各項功能處于割裂狀態，尤其是為安全監視人員提供實時提醒的告警功能，不但判定邏輯簡單，而且告警信息多、有效/無效、有影響/無影響告警混雜在一起，無法快速定位有效告警，并且需要網絡安全管理人員從不同的監視維度分別查看和統計各項功能指標數據，不能形成有效的綜合分析，且對整體運行情況和安全態勢缺乏認知和判斷。

2.2 需要數據綜合分析和處理能力

網絡安全設備監控日志數據量越來越大，目前平臺難以對這些海量異構數據進行集中存儲和分析處理，無法有效整合各個設備產生獨立的事件告警，導致分析數據源單一、大規模數據關聯效能低，無法滿足對于網絡空間態勢分析的基本需求，而且告警智能分析過濾和輔助決策程度不高，從大量、孤立的單個事件中無法準確發現全局、整體的安全威脅行為。

2.3 不具備智能化學習和輔助決策功能

針對網絡異常檢測缺少特征識別和自主學習能力，且缺乏有效的可視化手段有效直觀展示當前安全態勢，無法及時檢測0day 漏洞的威脅和APT 攻擊等未知特征的威脅形式，難以給予當前指揮人員有效的輔助決策。

2.4 自動化應急手段缺失

當發生重大網絡安全事件時，指揮人員難以依靠有效的技術管控手段，在指揮中心即可實現會話、主機設備乃至整個網絡區域的遠程多級精準阻斷，還需要組織現場人員或專業技術人員登錄設備進行相關操作，無法滿足快速隔離威脅、控制蔓延的應急要求。

3 智能分析管控策略建議

3.1 資產安全性評估打分功能

利用現有國家電網網絡安全管理平臺感知和采集的多種數據資源，綜合分析運行狀態告警、漏洞掃描、基線核查信息、弱口令檢查、當前威脅事件情況，以及資產的網絡異常行為，對資產進行安全評估打分。為網絡安全管理人員和安全運行管理人員提供重點關注信息，實現威脅事件精準評估，網絡安全有效掌握的目標。通過綜合靜態評估與動態評估兩個部分，對整個網絡空間中所有資產評價打分，結合整個網絡中的資產配備情況，資產受控情況，能夠對整個網絡進行總體安全評估。靜態評估是指通過添加對資產的漏洞、基線配置情況和弱口令掃描等靜態信息，按照不同因子不同權重進行打分評價。動態評估是對資產的動態信息，一方面對運行狀態告警進行一些規則處理，另一方面結合網絡安全威脅情報信息，從IP 地址、告警時間以及告警類型3 個角度判斷可疑資產（有被利用風險）和受害資產（已有疑似被利用行為），對關鍵資產是否受到威脅的告警特征進行量化，最后根據危害程度添加威脅告警和事件告警的推理規則，對數量分別進行統計，對資產進行安全評估打分。之后計算靜態評估與動態評估權重各一半的總得分，將各項安全評估情況以及總提得分進行展示，為監視人員提供全面的資產安全性綜合評估展示。

3.2 安全數據資源化及建模分析

在對內外部數據源進行統一采集、初篩和存儲的基礎上，通過流式數據的實時分析和歷史數據的離線分析相結合的方式，將數量龐大、類型多樣、獨立價值低的數據（包括II型監測裝置、Agent 類信息、安防設備信息、網絡設備信息、數據庫、業務應用類信息等）進行模型化、范式化處理，形成可被逐級分析利用的數據資源。

將上述資源化數據進行整合，根據電力監控系統實際安全防護需求，通過運用關聯分析、多階段組合關聯分析、攻擊場景關聯分析等，進行靜態設備模型、動態運行模型、風險分析模型、網絡異常檢測模型、安全審計模型、自動化應急處置等建模，形成全局式的網絡安全態勢分析。

3.3 安全態勢可視化技術研究

緊密結合電力監控系統運行監控需求，開展安全態勢可視化設計，圍繞 電力安全攻防 理念，依托對原始數據信息的建模、分析和處理，從網絡空間地理視圖、關鍵資產視圖、安全威脅溯源視圖等多個視角，快速、準確、有效、直觀、形象地展示網絡空間內的安全態勢。

3.4 智能安全決策與應急處置技術研究

面向運行監控值班工作的監視重點，實現多尺度、多維度、細粒度的安全事件深入分析、檢測與跟蹤，并進一步應用知識工程算法，形成經驗式、可迭代的網絡安全事件推理優化機制和智能知識庫，為運行監控和指揮人員提供相關定制化專業知識手冊和智能化輔助決策。

綜合事件范圍及業務影響，基于agent 信任控制機制和網絡、安防設備遠程控制策略等技術，設計合理的分級網絡緊急隔離措施，實現遠程阻斷會話、主機至廠站區域的多層次分級隔離。

4 結語

電力監控系統智能分析管控技術基于現有的電力監控系統安全防護體系，可接收處理來自多渠道采集的流量結構化數據、檢測設備日志、各類告警信息等，并借助大數據技術對海量數據集中存儲和分析處理，結合對實時數據和歷史數據的綜合分析，實現安全威脅的快速發現、追溯定位和實時應急處理，提高電力監控系統網絡安全的監視分析和防護水平。