電力監(jiān)控系統(tǒng)網絡安全編排與響應（SOAR）技術應用探究

徐潤

（遵義供電局，貴州 遵義 563000）

公司數字化轉型帶來的業(yè)務多元化、電力監(jiān)控系統(tǒng)的“煙囪式”建設，使之形成相對獨立的安全保障模式，為打造高效、靈活和強大的電力監(jiān)控系統(tǒng)指揮作戰(zhàn)體系帶來了巨大挑戰(zhàn)。在深入遵義供電局電力監(jiān)控系統(tǒng)安全防護的建設工作中，提出現階段相關電力監(jiān)控系統(tǒng)網絡安全管理存在下述四個方面的問題[1]。

一是電力監(jiān)控系統(tǒng)主站網絡安全防御設備、檢測設備、分析設備品牌眾多，版本繁雜，功能不同，數據模型較為復雜，實時計算指標較多的難題。

二是電力監(jiān)控系統(tǒng)的安防設備網絡拓撲結構不一，不同設備的安全策略配置變化多樣。電網網絡安全專業(yè)起步較晚，網絡安全知識儲備低下，運維人員專業(yè)知識欠缺，跟不上網絡攻擊技術的發(fā)展。

三是《網絡安全法》頒布以前建設的業(yè)務支持系統(tǒng)基本沒有考慮網絡安全防護，防御設備具有防御功能不全、網絡威脅檢測手段單一、改造難度大的特點。

四是電力監(jiān)控系統(tǒng)網絡邊界安全設備配置及維護工作主要依靠“人工分析”“案例”“經驗分析”，缺少切實依據[2]。

為解決上述問題，針對現階段公司電力監(jiān)控系統(tǒng)網絡安全管理工作的難點、痛點，開展電力監(jiān)控系統(tǒng)網絡安全編排與響應（SOAR）技術應用研究，旨在減輕現場運維人員工作量，提高現場運維人員工作效率，節(jié)約人力、物力，降低運維成本。

1 電力監(jiān)控系統(tǒng)網絡態(tài)勢感知

為實現對網絡的安全編排與響應，根據電力系統(tǒng)網絡節(jié)點分布，建立如下圖1 所示的框架，實時感知系統(tǒng)網絡安全。

圖1 電力監(jiān)控系統(tǒng)網絡態(tài)勢感知框架

隨機選擇電力監(jiān)控系統(tǒng)網絡中兩個節(jié)點，將其表示為A與B，計算節(jié)點A與節(jié)點B的空間關聯性[3]。此過程如下計算公式所示：

公式（1）中：P(AB)表示節(jié)點A與節(jié)點B的空間關聯性；S表示網絡節(jié)點集合中共性數量；N表示網絡節(jié)點集合中特征點數量；F表示網絡節(jié)點集合中差異點數量；i表示統(tǒng)一度；Q表示網絡節(jié)點集合中對立點數量；j表示差異度?？紤]到節(jié)點之間的i與j存在相互轉化關系，因此，在分析電力監(jiān)控系統(tǒng)網絡安全態(tài)勢時，可以根據節(jié)點權重分析其態(tài)勢。其中節(jié)點權重的計算公式如下：

公式（2）中：W表示電力監(jiān)控系統(tǒng)網絡節(jié)點權重；表示隨機一致性指標；k表示權向量系數。在上述計算內容的基礎上，根據主觀權向量，評估節(jié)點在當前狀態(tài)下的態(tài)勢[4]。計算節(jié)點網絡態(tài)勢值，計算公式如下：

公式（3）中：H表示電力監(jiān)控系統(tǒng)網絡節(jié)點態(tài)勢值；c表示節(jié)點連接信息當前狀態(tài)；a表示節(jié)點日志信息當前狀態(tài)。按照上述方式，掌握電力監(jiān)控系統(tǒng)網絡態(tài)勢值，以此種方式，實現對節(jié)點安全狀態(tài)的感知。

2 網絡安全保障場景與等級劃分

在上述設計內容的基礎上，量化電力監(jiān)控系統(tǒng)網絡態(tài)勢感知數值，定義H的取值在0～1 之間，定義H在不同取值下的網絡安全狀態(tài)。當H取值＞0，且＜0.2時，定義其安全等級為五級，此時對應的網絡安全保障場景為基礎場景。按照此種方式，劃分其他網絡安全保障場景，劃分電力監(jiān)控系統(tǒng)網絡安全保障等級[5]。具體內容如表1 所示。

表1 網絡安全保障場景與等級劃分

按照表1 所述方式，劃分電力監(jiān)控系統(tǒng)網絡安全保障場景，在具體工作中，匹配電力企業(yè)的活動場景與安全保障等級，為網絡安全編排與響應打下基礎。

3 基于SOAR 技術的網絡異常響應與預警

完成上述設計后，引進SOAR 技術，設計電力監(jiān)控系統(tǒng)網絡異常響應與預警?？蓪OAR 技術的驅動響應過程作為網絡功能封裝過程，將SOAR 技術應用在網絡數據中臺上，根據網絡常態(tài)化運行條件，設計安全預警界限。當前端反饋的數據中攜帶隱患因子或異常信息超出預警界限后，SOAR 技術將立刻定位并訪問前端傳遞信息對應的IP 地址，確認信息存在危險性后，執(zhí)行并驅動全局響應程序，以此種方式封鎖賬號。此過程計算公式如下：

公式（4）中：K(o)表示對電力監(jiān)控系統(tǒng)網絡節(jié)點o的驅動響應；s表示安全指標客觀權向量；n表示危險因子。在此基礎上，集成在終端的威脅情報查詢器將主動掃描系統(tǒng)網絡漏洞，并將漏洞信息反饋給數據中臺，數據中臺將在接收到信息后，識別并判斷網絡標簽，根據標簽識別結果，評估網絡安全預警等級。

按照上述設計，在電力監(jiān)控系統(tǒng)網絡安全編排與響應時，技術人員需要根據當前狀態(tài)下電力系統(tǒng)的實際狀態(tài)，預先錄入多種類型的網絡安全策略數據，并對策略數據劃分等級。在此種條件下，終端將根據前端反饋程序與執(zhí)行邏輯，驅動并響應不同場景下的電力監(jiān)控系統(tǒng)網絡安全預警。以此種方式，實現對網絡異常的響應與預警，完成電力監(jiān)控系統(tǒng)網絡安全編排與響應（SOAR）技術的應用研究。

4 實例應用分析

完成上述設計后，為實現對電力監(jiān)控系統(tǒng)網絡安全編排與響應技術在實際應用中效果的檢驗，下述將以遵義供電局電力為試點單位，按照本文設計的技術應用流程，設計如下所示的實驗。

為滿足實驗需求，在開展相關研究前，在電力監(jiān)控系統(tǒng)網絡終端部署測試環(huán)境，環(huán)境參數如表2 所示。

表2 電力監(jiān)控系統(tǒng)網絡終端測試環(huán)境參數

完成對測試環(huán)境的配置后，使用本文設計的SOAR技術，對電力監(jiān)控系統(tǒng)網絡的安全編排與響應展開測試。測試前，設計網絡公開CIC 數據集合作為此次實驗的測試樣本數據，在對樣本的分析與評估中發(fā)現，現有數據樣本集合中存在4 個安全隱患。將數據隨機錄入電力監(jiān)控系統(tǒng)網絡節(jié)點，通過設計數據采樣時序、數據最大訓練次數、節(jié)點權重等方式，實時感知電力監(jiān)控系統(tǒng)網絡態(tài)勢。同時，根據電力監(jiān)控系統(tǒng)的應用場景，劃分網絡安全保障等級，并匹配安全保障場景與對應的安全等級。在此基礎上，引進安全編排與響應（SOAR）技術，結合前端實時反饋的網絡數據，響應并預警監(jiān)控系統(tǒng)網絡異常。

調用監(jiān)控系統(tǒng)網絡終端PC 機后臺數據，統(tǒng)計在1s～10s 時段內，終端對網絡異常的響應情況，其結果如表3 所示。

表3 電力監(jiān)控系統(tǒng)網絡安全預警響應效果

根據表3 所示的實驗結果可知，本文方法對電力監(jiān)控系統(tǒng)網絡安全的預警響應次數與期望預警次數完全一致。說明本文設計的方法在實際應用中的效果良好。綜合上述實驗，得到如下結論：此次設計的網絡安全編排與響應（SOAR）技術，可以實現對網絡安全態(tài)勢的精準感知與預警，通過此種方式，為遵義供電局電力監(jiān)控系統(tǒng)網絡安全、運營提供全面的保障。

5 結語

根據遵義供電局電力監(jiān)控系統(tǒng)網絡安全管理、運維特點及痛點，本文通過電力監(jiān)控系統(tǒng)網絡態(tài)勢感知、網絡安全保障場景與等級劃分、網絡異常響應與預警，完成了電力監(jiān)控系統(tǒng)網絡安全編排與響應（SOAR）技術應用研究。此次研究將業(yè)界優(yōu)秀的“安全中臺”管理模型在建設中進行了實踐和結合，形成具有地區(qū)調度機構鮮明特點的網絡安全“統(tǒng)一安全中臺”模型，該模型將“安全能力”“安全大腦”“安全數據”“業(yè)務場景”有效整合，實現遵義供電局電力監(jiān)控系統(tǒng)網絡安全管理效能提升、數據化運營服務提升、業(yè)務連續(xù)性保障能力提升、業(yè)務場景定制化能力提升，有效實現了遵義供電局電力監(jiān)控系統(tǒng)自身安全能力與業(yè)務需求的持續(xù)對接，是管好“發(fā)展和安全兩個關鍵問題”的最佳實踐。