電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)應(yīng)用探究

徐潤(rùn)

（遵義供電局，貴州 遵義 563000）

公司數(shù)字化轉(zhuǎn)型帶來的業(yè)務(wù)多元化、電力監(jiān)控系統(tǒng)的“煙囪式”建設(shè)，使之形成相對(duì)獨(dú)立的安全保障模式，為打造高效、靈活和強(qiáng)大的電力監(jiān)控系統(tǒng)指揮作戰(zhàn)體系帶來了巨大挑戰(zhàn)。在深入遵義供電局電力監(jiān)控系統(tǒng)安全防護(hù)的建設(shè)工作中，提出現(xiàn)階段相關(guān)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理存在下述四個(gè)方面的問題[1]。

一是電力監(jiān)控系統(tǒng)主站網(wǎng)絡(luò)安全防御設(shè)備、檢測(cè)設(shè)備、分析設(shè)備品牌眾多，版本繁雜，功能不同，數(shù)據(jù)模型較為復(fù)雜，實(shí)時(shí)計(jì)算指標(biāo)較多的難題。

二是電力監(jiān)控系統(tǒng)的安防設(shè)備網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不一，不同設(shè)備的安全策略配置變化多樣。電網(wǎng)網(wǎng)絡(luò)安全專業(yè)起步較晚，網(wǎng)絡(luò)安全知識(shí)儲(chǔ)備低下，運(yùn)維人員專業(yè)知識(shí)欠缺，跟不上網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展。

三是《網(wǎng)絡(luò)安全法》頒布以前建設(shè)的業(yè)務(wù)支持系統(tǒng)基本沒有考慮網(wǎng)絡(luò)安全防護(hù)，防御設(shè)備具有防御功能不全、網(wǎng)絡(luò)威脅檢測(cè)手段單一、改造難度大的特點(diǎn)。

四是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)邊界安全設(shè)備配置及維護(hù)工作主要依靠“人工分析”“案例”“經(jīng)驗(yàn)分析”，缺少切實(shí)依據(jù)[2]。

為解決上述問題，針對(duì)現(xiàn)階段公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理工作的難點(diǎn)、痛點(diǎn)，開展電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)應(yīng)用研究，旨在減輕現(xiàn)場(chǎng)運(yùn)維人員工作量，提高現(xiàn)場(chǎng)運(yùn)維人員工作效率，節(jié)約人力、物力，降低運(yùn)維成本。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)感知

為實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全編排與響應(yīng)，根據(jù)電力系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)分布，建立如下圖1 所示的框架，實(shí)時(shí)感知系統(tǒng)網(wǎng)絡(luò)安全。

圖1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)感知框架

隨機(jī)選擇電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)中兩個(gè)節(jié)點(diǎn)，將其表示為A與B，計(jì)算節(jié)點(diǎn)A與節(jié)點(diǎn)B的空間關(guān)聯(lián)性[3]。此過程如下計(jì)算公式所示：

公式（1）中：P(AB)表示節(jié)點(diǎn)A與節(jié)點(diǎn)B的空間關(guān)聯(lián)性；S表示網(wǎng)絡(luò)節(jié)點(diǎn)集合中共性數(shù)量；N表示網(wǎng)絡(luò)節(jié)點(diǎn)集合中特征點(diǎn)數(shù)量；F表示網(wǎng)絡(luò)節(jié)點(diǎn)集合中差異點(diǎn)數(shù)量；i表示統(tǒng)一度；Q表示網(wǎng)絡(luò)節(jié)點(diǎn)集合中對(duì)立點(diǎn)數(shù)量；j表示差異度。考慮到節(jié)點(diǎn)之間的i與j存在相互轉(zhuǎn)化關(guān)系，因此，在分析電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)時(shí)，可以根據(jù)節(jié)點(diǎn)權(quán)重分析其態(tài)勢(shì)。其中節(jié)點(diǎn)權(quán)重的計(jì)算公式如下：

公式（2）中：W表示電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)權(quán)重；表示隨機(jī)一致性指標(biāo)；k表示權(quán)向量系數(shù)。在上述計(jì)算內(nèi)容的基礎(chǔ)上，根據(jù)主觀權(quán)向量，評(píng)估節(jié)點(diǎn)在當(dāng)前狀態(tài)下的態(tài)勢(shì)[4]。計(jì)算節(jié)點(diǎn)網(wǎng)絡(luò)態(tài)勢(shì)值，計(jì)算公式如下：

公式（3）中：H表示電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)態(tài)勢(shì)值；c表示節(jié)點(diǎn)連接信息當(dāng)前狀態(tài)；a表示節(jié)點(diǎn)日志信息當(dāng)前狀態(tài)。按照上述方式，掌握電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)值，以此種方式，實(shí)現(xiàn)對(duì)節(jié)點(diǎn)安全狀態(tài)的感知。

2 網(wǎng)絡(luò)安全保障場(chǎng)景與等級(jí)劃分

在上述設(shè)計(jì)內(nèi)容的基礎(chǔ)上，量化電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)感知數(shù)值，定義H的取值在0～1 之間，定義H在不同取值下的網(wǎng)絡(luò)安全狀態(tài)。當(dāng)H取值＞0，且＜0.2時(shí)，定義其安全等級(jí)為五級(jí)，此時(shí)對(duì)應(yīng)的網(wǎng)絡(luò)安全保障場(chǎng)景為基礎(chǔ)場(chǎng)景。按照此種方式，劃分其他網(wǎng)絡(luò)安全保障場(chǎng)景，劃分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全保障等級(jí)[5]。具體內(nèi)容如表1 所示。

表1 網(wǎng)絡(luò)安全保障場(chǎng)景與等級(jí)劃分

按照表1 所述方式，劃分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全保障場(chǎng)景，在具體工作中，匹配電力企業(yè)的活動(dòng)場(chǎng)景與安全保障等級(jí)，為網(wǎng)絡(luò)安全編排與響應(yīng)打下基礎(chǔ)。

3 基于SOAR 技術(shù)的網(wǎng)絡(luò)異常響應(yīng)與預(yù)警

完成上述設(shè)計(jì)后，引進(jìn)SOAR 技術(shù)，設(shè)計(jì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)異常響應(yīng)與預(yù)警。可將SOAR 技術(shù)的驅(qū)動(dòng)響應(yīng)過程作為網(wǎng)絡(luò)功能封裝過程，將SOAR 技術(shù)應(yīng)用在網(wǎng)絡(luò)數(shù)據(jù)中臺(tái)上，根據(jù)網(wǎng)絡(luò)常態(tài)化運(yùn)行條件，設(shè)計(jì)安全預(yù)警界限。當(dāng)前端反饋的數(shù)據(jù)中攜帶隱患因子或異常信息超出預(yù)警界限后，SOAR 技術(shù)將立刻定位并訪問前端傳遞信息對(duì)應(yīng)的IP 地址，確認(rèn)信息存在危險(xiǎn)性后，執(zhí)行并驅(qū)動(dòng)全局響應(yīng)程序，以此種方式封鎖賬號(hào)。此過程計(jì)算公式如下：

公式（4）中：K(o)表示對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)o的驅(qū)動(dòng)響應(yīng)；s表示安全指標(biāo)客觀權(quán)向量；n表示危險(xiǎn)因子。在此基礎(chǔ)上，集成在終端的威脅情報(bào)查詢器將主動(dòng)掃描系統(tǒng)網(wǎng)絡(luò)漏洞，并將漏洞信息反饋給數(shù)據(jù)中臺(tái)，數(shù)據(jù)中臺(tái)將在接收到信息后，識(shí)別并判斷網(wǎng)絡(luò)標(biāo)簽，根據(jù)標(biāo)簽識(shí)別結(jié)果，評(píng)估網(wǎng)絡(luò)安全預(yù)警等級(jí)。

按照上述設(shè)計(jì)，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)時(shí)，技術(shù)人員需要根據(jù)當(dāng)前狀態(tài)下電力系統(tǒng)的實(shí)際狀態(tài)，預(yù)先錄入多種類型的網(wǎng)絡(luò)安全策略數(shù)據(jù)，并對(duì)策略數(shù)據(jù)劃分等級(jí)。在此種條件下，終端將根據(jù)前端反饋程序與執(zhí)行邏輯，驅(qū)動(dòng)并響應(yīng)不同場(chǎng)景下的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全預(yù)警。以此種方式，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)異常的響應(yīng)與預(yù)警，完成電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)的應(yīng)用研究。

4 實(shí)例應(yīng)用分析

完成上述設(shè)計(jì)后，為實(shí)現(xiàn)對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)技術(shù)在實(shí)際應(yīng)用中效果的檢驗(yàn)，下述將以遵義供電局電力為試點(diǎn)單位，按照本文設(shè)計(jì)的技術(shù)應(yīng)用流程，設(shè)計(jì)如下所示的實(shí)驗(yàn)。

為滿足實(shí)驗(yàn)需求，在開展相關(guān)研究前，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端部署測(cè)試環(huán)境，環(huán)境參數(shù)如表2 所示。

表2 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端測(cè)試環(huán)境參數(shù)

完成對(duì)測(cè)試環(huán)境的配置后，使用本文設(shè)計(jì)的SOAR技術(shù)，對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全編排與響應(yīng)展開測(cè)試。測(cè)試前，設(shè)計(jì)網(wǎng)絡(luò)公開CIC 數(shù)據(jù)集合作為此次實(shí)驗(yàn)的測(cè)試樣本數(shù)據(jù)，在對(duì)樣本的分析與評(píng)估中發(fā)現(xiàn)，現(xiàn)有數(shù)據(jù)樣本集合中存在4 個(gè)安全隱患。將數(shù)據(jù)隨機(jī)錄入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點(diǎn)，通過設(shè)計(jì)數(shù)據(jù)采樣時(shí)序、數(shù)據(jù)最大訓(xùn)練次數(shù)、節(jié)點(diǎn)權(quán)重等方式，實(shí)時(shí)感知電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)。同時(shí)，根據(jù)電力監(jiān)控系統(tǒng)的應(yīng)用場(chǎng)景，劃分網(wǎng)絡(luò)安全保障等級(jí)，并匹配安全保障場(chǎng)景與對(duì)應(yīng)的安全等級(jí)。在此基礎(chǔ)上，引進(jìn)安全編排與響應(yīng)（SOAR）技術(shù)，結(jié)合前端實(shí)時(shí)反饋的網(wǎng)絡(luò)數(shù)據(jù)，響應(yīng)并預(yù)警監(jiān)控系統(tǒng)網(wǎng)絡(luò)異常。

調(diào)用監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端PC 機(jī)后臺(tái)數(shù)據(jù)，統(tǒng)計(jì)在1s～10s 時(shí)段內(nèi)，終端對(duì)網(wǎng)絡(luò)異常的響應(yīng)情況，其結(jié)果如表3 所示。

表3 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全預(yù)警響應(yīng)效果

根據(jù)表3 所示的實(shí)驗(yàn)結(jié)果可知，本文方法對(duì)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的預(yù)警響應(yīng)次數(shù)與期望預(yù)警次數(shù)完全一致。說明本文設(shè)計(jì)的方法在實(shí)際應(yīng)用中的效果良好。綜合上述實(shí)驗(yàn)，得到如下結(jié)論：此次設(shè)計(jì)的網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)，可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的精準(zhǔn)感知與預(yù)警，通過此種方式，為遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全、運(yùn)營(yíng)提供全面的保障。

5 結(jié)語

根據(jù)遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理、運(yùn)維特點(diǎn)及痛點(diǎn)，本文通過電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢(shì)感知、網(wǎng)絡(luò)安全保障場(chǎng)景與等級(jí)劃分、網(wǎng)絡(luò)異常響應(yīng)與預(yù)警，完成了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)應(yīng)用研究。此次研究將業(yè)界優(yōu)秀的“安全中臺(tái)”管理模型在建設(shè)中進(jìn)行了實(shí)踐和結(jié)合，形成具有地區(qū)調(diào)度機(jī)構(gòu)鮮明特點(diǎn)的網(wǎng)絡(luò)安全“統(tǒng)一安全中臺(tái)”模型，該模型將“安全能力”“安全大腦”“安全數(shù)據(jù)”“業(yè)務(wù)場(chǎng)景”有效整合，實(shí)現(xiàn)遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理效能提升、數(shù)據(jù)化運(yùn)營(yíng)服務(wù)提升、業(yè)務(wù)連續(xù)性保障能力提升、業(yè)務(wù)場(chǎng)景定制化能力提升，有效實(shí)現(xiàn)了遵義供電局電力監(jiān)控系統(tǒng)自身安全能力與業(yè)務(wù)需求的持續(xù)對(duì)接，是管好“發(fā)展和安全兩個(gè)關(guān)鍵問題”的最佳實(shí)踐。