電力監(jiān)控網(wǎng)絡(luò)安全態(tài)勢(shì)感知架構(gòu)與智能化防護(hù)

文/于秋玲

近年來(lái)，全球范圍內(nèi)網(wǎng)絡(luò)安全事件層出不窮，如烏克蘭大面積停電事件、勒索病毒全球爆發(fā)事件等，表明了電力作為全球能源基礎(chǔ)設(shè)施，已經(jīng)面臨嚴(yán)峻的網(wǎng)絡(luò)安全攻擊風(fēng)險(xiǎn)，電力監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全要求已經(jīng)被提升到一個(gè)更高的層次?，F(xiàn)階段，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)管理，主要是通過(guò)采集主站網(wǎng)絡(luò)邊界上的通用安全防護(hù)設(shè)備及電力專用安全防護(hù)設(shè)備的日志信息，來(lái)實(shí)現(xiàn)對(duì)跨邊界的網(wǎng)絡(luò)安全事件的監(jiān)測(cè)，但是對(duì)于系統(tǒng)內(nèi)部的安全事件缺乏監(jiān)管手段，系統(tǒng)內(nèi)部每臺(tái)設(shè)備的外部網(wǎng)絡(luò)訪問(wèn)、外部設(shè)備接入、用戶登錄、人員操作等基本事件沒(méi)有納入統(tǒng)一管控，存在木馬植入、病毒侵入、利用漏洞攻擊、弱口令、訪問(wèn)權(quán)限獲取、信息偵聽(tīng)、數(shù)據(jù)篡改和拒絕服務(wù)等攻擊隱患。文獻(xiàn)[10]闡述了智能電網(wǎng)背景下的基于電力系統(tǒng)應(yīng)用軟件（SCADA、AGC、AVC 等）的惡意攻擊，通過(guò)修改數(shù)據(jù)庫(kù)等方式實(shí)現(xiàn)；文獻(xiàn)[11]則列舉了電力二次系統(tǒng)的設(shè)備、信息系統(tǒng)和人為的安全風(fēng)險(xiǎn)因素，這些風(fēng)險(xiǎn)因素最終均可通過(guò)電力系統(tǒng)設(shè)備軟、硬件進(jìn)行防控，僅依靠網(wǎng)絡(luò)和安全設(shè)備數(shù)據(jù)采集的設(shè)備選取方法顯然是片面的，對(duì)安全數(shù)據(jù)的獲取是存在缺失的，傳統(tǒng)的依靠抓包、分析日志的常規(guī)網(wǎng)絡(luò)安全信息采集方法已無(wú)法滿足全面安全信息的要求。

隨著網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、運(yùn)維操作審計(jì)系統(tǒng)、日志審計(jì)系統(tǒng)、IDS 等網(wǎng)絡(luò)安全系統(tǒng)的部署，電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)范疇不斷擴(kuò)大，需要分析的數(shù)據(jù)包括網(wǎng)絡(luò)信息、主機(jī)信息、數(shù)據(jù)庫(kù)信息、用戶信息等，亟需適合全局化、系統(tǒng)化的網(wǎng)絡(luò)安全態(tài)勢(shì)感知模式，及時(shí)發(fā)現(xiàn)各類廣義的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，實(shí)現(xiàn)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的閉環(huán)管理，全面提高全局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的整體水平。

1 電力監(jiān)控系統(tǒng)安全防護(hù)需求

電力監(jiān)控系統(tǒng)安全防護(hù)，具有設(shè)備安全數(shù)據(jù)采集與本地安全管理的職責(zé)，支持對(duì)安全防護(hù)設(shè)備、網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備等的安全數(shù)據(jù)采集，通過(guò)數(shù)據(jù)采集與數(shù)據(jù)分析，實(shí)現(xiàn)子站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)控本地管理與全網(wǎng)基礎(chǔ)集合上送。

圖1：網(wǎng)絡(luò)安全監(jiān)管采集架構(gòu)

圖2：網(wǎng)絡(luò)安全信息監(jiān)管架構(gòu)

1.1 安全防護(hù)需求分析

針對(duì)電力監(jiān)控系統(tǒng)全網(wǎng)設(shè)備可能遭遇到的安全攻擊，子站級(jí)監(jiān)控系統(tǒng)安全防護(hù)的防護(hù)需求包括：

（1）網(wǎng)絡(luò)安全——子站內(nèi)網(wǎng)網(wǎng)絡(luò)風(fēng)暴的抑制，木馬植入、病毒侵入、利用漏洞攻擊等防護(hù)；

（2）協(xié)議安全——子站內(nèi)網(wǎng)明文協(xié)議存在輕易截獲、篡改、偽造與重放等風(fēng)險(xiǎn)；

（3）應(yīng)用安全——子站內(nèi)網(wǎng)SCADA、AVC、AGC、PMU、故障錄波等各類應(yīng)用的自身與協(xié)同安全風(fēng)險(xiǎn)；

表1：安全需求與安全事件映射表

表2：全面安全數(shù)據(jù)采集表

（4）數(shù)據(jù)庫(kù)安全——子站內(nèi)網(wǎng)所有數(shù)據(jù)庫(kù)的溢出、惡意修改、不同步等風(fēng)險(xiǎn)；

（5）主機(jī)安全——子站內(nèi)網(wǎng)服務(wù)器與工作站的硬件、系統(tǒng)、用戶、聯(lián)網(wǎng)等風(fēng)險(xiǎn)。

上述5 種子站級(jí)監(jiān)控系統(tǒng)安全防護(hù)的防護(hù)需求涵蓋了子站內(nèi)可能發(fā)生的安全風(fēng)險(xiǎn)的防護(hù)要求。從全面安全防護(hù)管控的角度出發(fā)，將防護(hù)界面從網(wǎng)絡(luò)邊界前移至設(shè)備，覆蓋站內(nèi)所有設(shè)備的軟、硬件，將站內(nèi)安全事件劃分為5 類：安全防護(hù)設(shè)備事件、網(wǎng)絡(luò)安全事件、主機(jī)安全事件、數(shù)據(jù)庫(kù)安全事件、電力監(jiān)控系統(tǒng)安全事件。站內(nèi)安全事件能夠滿足子站內(nèi)所有安全風(fēng)險(xiǎn)的防護(hù)要求，需求與事件映射關(guān)系如表1所示。

2 安全數(shù)據(jù)采集與上送架構(gòu)

基于上節(jié)安全需求與安全事件的映射分析，明確了對(duì)應(yīng)的采集目標(biāo)，采集目標(biāo)從設(shè)備數(shù)據(jù)分類的角度，可以由以下4 類數(shù)據(jù)集合完成采集目標(biāo)數(shù)據(jù)驅(qū)動(dòng)支持：安全設(shè)備數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、主機(jī)設(shè)備數(shù)據(jù)、數(shù)據(jù)庫(kù)數(shù)據(jù)。

2.1 安全數(shù)據(jù)采集

安全設(shè)備數(shù)據(jù)、網(wǎng)絡(luò)設(shè)備數(shù)據(jù)、主機(jī)設(shè)備數(shù)據(jù)、數(shù)據(jù)庫(kù)數(shù)據(jù)4 類數(shù)據(jù)，結(jié)合需求分析結(jié)果5 類安全事件：安全防護(hù)設(shè)備事件、網(wǎng)絡(luò)安全事件、主機(jī)安全事件、數(shù)據(jù)庫(kù)安全事件、電力監(jiān)控系統(tǒng)安全事件，具象到數(shù)據(jù)采集對(duì)象包括：防火墻、橫向隔離裝置、縱向加密裝置、交換機(jī)、服務(wù)器和工作站、數(shù)據(jù)庫(kù)感知程序、關(guān)鍵應(yīng)用，如表2所示進(jìn)行采集信息與方式分析。

硬件類具體采集內(nèi)容采取集合方式描述

安全防護(hù)設(shè)備信息集合={用戶登錄、配置變更、運(yùn)行狀態(tài)、安全事件信息……}

網(wǎng)絡(luò)設(shè)備采集信息集合={用戶登錄、操作信息、配置變更、流量信息、網(wǎng)口狀態(tài)……}

服務(wù)器、工作站信息集合={用戶登錄、操作信息、運(yùn)行狀態(tài)、移動(dòng)存儲(chǔ)設(shè)備接入、網(wǎng)絡(luò)外聯(lián)……}

2.2 安全數(shù)據(jù)上送架構(gòu)

系統(tǒng)數(shù)據(jù)方面，數(shù)據(jù)采集設(shè)備涵蓋了子站的通用安全設(shè)備、專用安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器和工作站，采集架構(gòu)如圖1所示，將設(shè)備級(jí)的安全數(shù)據(jù)集中采集至網(wǎng)絡(luò)安全監(jiān)控設(shè)備，進(jìn)行本地分析并且通過(guò)數(shù)據(jù)采集網(wǎng)關(guān)上送主站的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)。

主站功能定位：采集子系統(tǒng)，監(jiān)視子系統(tǒng)，在線識(shí)別子系統(tǒng)，分析預(yù)測(cè)子系統(tǒng)。

子站功能定位：子站端態(tài)勢(shì)感知采集裝置部署，安全接入主站平臺(tái)統(tǒng)一監(jiān)控。

3 安全數(shù)據(jù)智能化分析

在設(shè)備級(jí)安全數(shù)據(jù)采集的基礎(chǔ)上，進(jìn)行數(shù)據(jù)集中分析，子站分析點(diǎn)位于子站內(nèi)的網(wǎng)絡(luò)安全監(jiān)控設(shè)備，主站分析點(diǎn)位于主站的網(wǎng)絡(luò)安全管理系統(tǒng)服務(wù)器。分析工作包括兩個(gè)部分：依據(jù)智能規(guī)則庫(kù)的安全數(shù)據(jù)分析和基于智能數(shù)據(jù)挖掘的安全數(shù)據(jù)分析。

將通用安全設(shè)備、專用安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器和工作站的設(shè)備級(jí)采集信息輸入專家規(guī)則庫(kù)，依據(jù)規(guī)則進(jìn)行處理與分析，規(guī)則包括歸并、多設(shè)備信息分析、形成新風(fēng)險(xiǎn)等方式：

（1）基于系統(tǒng)的統(tǒng)計(jì)周期，對(duì)重復(fù)出現(xiàn)的事件進(jìn)行歸并，簡(jiǎn)化信息庫(kù)；

（2）對(duì)網(wǎng)絡(luò)設(shè)備日志信息進(jìn)行分析處理，包括安全日志、系統(tǒng)日志、管理日志，根據(jù)關(guān)聯(lián)關(guān)系形成新事的上報(bào)事件（如用戶非法操作事件、系統(tǒng)操作事件等）；

（3）將網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備的采集信息轉(zhuǎn)換為格式化數(shù)據(jù)，滿足本地?cái)?shù)據(jù)分析格式要求和上傳主站網(wǎng)絡(luò)安全管理系統(tǒng)的需求；

（4）考慮設(shè)備運(yùn)行信息與網(wǎng)絡(luò)安全信息關(guān)聯(lián)關(guān)系，基于采集到的子站設(shè)備的設(shè)備指標(biāo)類、設(shè)備運(yùn)行狀態(tài)類、用戶操作行為類、安全策略類4 大類信息，如下圖所示，基于分類信息的數(shù)據(jù)基礎(chǔ)，收集PB 級(jí)海量數(shù)據(jù)樣本集，尋找數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，分析概率與跟隨等特性，形成子站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集S，如圖2所示：

跨境電商師資培訓(xùn)還應(yīng)該注重培訓(xùn)內(nèi)容的層次性和遞進(jìn)性，做到投其所好而非一鍋燴。對(duì)于沒(méi)有跨境電商授課經(jīng)驗(yàn)和培訓(xùn)經(jīng)歷的參訓(xùn)教師，培訓(xùn)單位和基地應(yīng)該提供基礎(chǔ)性的培訓(xùn)課程，通過(guò)講練結(jié)合的方式教會(huì)教師如何操作和運(yùn)用速賣通、阿里國(guó)際、敦煌網(wǎng)和Ebay等常用電商平臺(tái)進(jìn)行線上和線下交易。對(duì)于已經(jīng)對(duì)跨境電商有初步了解并能夠操作電商平臺(tái)的受訓(xùn)教師，培訓(xùn)的重點(diǎn)應(yīng)傾向于教學(xué)研究方面，比如重點(diǎn)講授跨境電商的教材開(kāi)發(fā)，課程設(shè)置，人才培養(yǎng)方案制定，微課和慕課的制作等。分層次的和遞進(jìn)性的培訓(xùn)既能夠解決他們當(dāng)下知識(shí)儲(chǔ)備不夠，實(shí)踐技能缺乏的急迫問(wèn)題又能滿足他們對(duì)跨境電商開(kāi)展深入研究，進(jìn)一步提升教學(xué)科研能力和水平的未來(lái)需求。

S={①：外設(shè)接入事件；②：用戶登陸事件；③：狀態(tài)異常事件；④：危險(xiǎn)操作事件……}

①={主機(jī)USB 狀態(tài)，網(wǎng)絡(luò)設(shè)備網(wǎng)口流量，關(guān)鍵文件操作，防火墻不符合安全策略行為}；

②={登陸成功，隔離裝置離線，隔離裝置不符合安全策略行為}；

③={防火墻CPU 利用率，防火墻離線，防火墻上線，防火墻不符合安全策略行為}；

④={網(wǎng)絡(luò)設(shè)備網(wǎng)口流量，主機(jī)網(wǎng)口狀態(tài)，操作命令，防火墻攻擊告警}；

……

根據(jù)風(fēng)險(xiǎn)集S 中各類風(fēng)風(fēng)險(xiǎn)，如：外設(shè)接入風(fēng)險(xiǎn)、用戶登錄風(fēng)險(xiǎn)、危險(xiǎn)操作風(fēng)險(xiǎn)、狀態(tài)異常風(fēng)險(xiǎn)等，進(jìn)行風(fēng)險(xiǎn)評(píng)級(jí)，根據(jù)評(píng)級(jí)與解決方式歸屬性，定義本地風(fēng)險(xiǎn)與上報(bào)風(fēng)險(xiǎn)，構(gòu)建風(fēng)險(xiǎn)分級(jí)監(jiān)控體系。

4 結(jié)論或結(jié)束語(yǔ)

從子站監(jiān)控系統(tǒng)的網(wǎng)絡(luò)安全管理入手，收集全面安全數(shù)據(jù)，挖掘各類安全數(shù)據(jù)間關(guān)聯(lián)關(guān)系，形成安全風(fēng)險(xiǎn)集，構(gòu)建智能化安全風(fēng)險(xiǎn)分級(jí)監(jiān)控體系，以全新的設(shè)備級(jí)數(shù)據(jù)范疇來(lái)管控電力系統(tǒng)安全，安全的全數(shù)據(jù)支持、全流程管控的智能化安全管理模式。

以子站監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理為基礎(chǔ)，將電力監(jiān)控系統(tǒng)安全防護(hù)體系由邊界防護(hù)向全面防御推進(jìn)，實(shí)現(xiàn)外部入侵監(jiān)視與阻斷、外部威脅內(nèi)網(wǎng)有效隔離、內(nèi)部越權(quán)與惡意操作及時(shí)制止，將全網(wǎng)設(shè)備（包括安防設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備）納入實(shí)時(shí)監(jiān)視與體系管理，安全管理從系統(tǒng)邊界移至全網(wǎng)設(shè)備，安全管理方式從被動(dòng)防護(hù)上升至主動(dòng)識(shí)別，實(shí)現(xiàn)電力監(jiān)控系統(tǒng)安全防護(hù)智能化。

文章創(chuàng)新點(diǎn)介紹：

創(chuàng)新地將電力網(wǎng)絡(luò)安全管理的布點(diǎn)從系統(tǒng)邊界前移至系統(tǒng)設(shè)備，提出全面安全數(shù)據(jù)的概念。通過(guò)挖掘全數(shù)據(jù)關(guān)聯(lián)關(guān)系的方法形成安全風(fēng)險(xiǎn)集，以實(shí)現(xiàn)更加智能化的安全風(fēng)險(xiǎn)分級(jí)監(jiān)控，有助于網(wǎng)絡(luò)安全管理方式從被動(dòng)防護(hù)上升至主動(dòng)識(shí)別。