摘要:基于电力监控系统网络安全防护原则与发展现状,针对实际工作中暴露出的问题和缺陷,紧密结合电力监控系统网络安全运行监控需求,从综合数据分析、安全事件推理、决策支持以及应急处置等层面进行智能分析管控研究,提出策略建议,提高整体安全防护水平。
关键词:电力监控系统;网络安全;监控技术;智能化
1电力监控系统网络安全防护
1.1概述。电力监控系统是指用于监视和控制电力生产及供应过程、基于计算机及网络技术的业务系统及智能设备,以及作为基础支擋的通信及数据网络。木桶理论决定了整体安全防护水平是由系统中最薄弱环节的水准决定的。对电力监控进行体系化的安全保护十分必要,为了防止黑客利用噪声系统漏洞和对企业系统后门的恶意入侵,并防止使用计算机病毒或恶意代码实施的破坏和攻击,从而导致电力监控系统被劫持或沦陷,造成对电力系统生产安全运行的危害。我国电力监控系统安全防护在十数载不断地强化完善过程中,已经实现了从静态布防到动态管控的转变。电力监控系统从安全防护技术,应急备用措施和全面安全管理三个方面构建了三维立体的安全防护体系。1.2安全形势与发展现状。电力监控系统是支撑电力系统安全稳定运行和电力可靠供应的重要手段,随着网络规模急剧扩大化和网络空间的一体化的趋势,针对电力监控系统网络安全的管控愈加复杂。从国际形势上看,世界范围内发生网络战的概率不断增大,网络安全对抗与攻击愈加激烈,网络攻击具有手段隐蔽、攻击成本低、取证困难等特点,能够对企业生产运营、企业名誉甚至对社会和国家层面造成重大影响。近年来发生的乌克兰电网停电、伊朗核电站感染震网病毒导致瘫痪等事件表明,电力系统作为网络战的重要攻击目标,始终处在网络打击破坏的前沿。国家电网公司按照“安全分区、网络专用、横向隔离、纵向认证”的安全防护总体策略全面建立了电力监控安全防护体系,覆盖了五级电网调度机构、各类变电站和发电厂,在安全管理、防护技术、应急备用的角度形成了多维栅格状动态安全防护体系,取得了良好的防护效果。国家电网公司自主研制了电力监控系统网络安全管理平台,并在地级以上调度机构已全面部署完成,可实时监测网络空间内的安全告警。国家电网公司自主研制并全面部署的电力监控系统网络安全管理平台,按照设备自身感知、监测装置分布采集、管理平台统一管控的原则,构建网络安全管理的感知、采集、管控三层逻辑结构。(1)自身感知:实现服务器、工作站、交换机、纵向加密、正/反向隔离等设备作为监测对象自身网络安全数据的感知及上报,并具体执行安全核查。(2)分布采集:利用监测装置实现对调控机构、厂站、配电、负控等监控系统相关设备网络安全数据采集,以及与管理平台的通信和交互。(3)统一管理:管理平台实现网络安全在线实时监视、告警、分析、审计、核查等功能的集成。
2当前存在的主要问题
2.1告警有效性堪忧、平台功能割裂。现有网络安全管理平台的各项功能处于割裂状态,尤其是为安全监视人员提供实时提醒的告警功能,不但判定逻辑简单,而且告警信息多、有效/无效、有影响/无影响告警混杂在一起,无法快速定位有效告警,并且需要网络安全管理人员从不同的监视维度分别查看和统计各项功能指标数据,不能形成有效的综合分析,且对整体运行情况和安全态势缺乏认知和判断。2.2需要数据综合分析和处理能力。网络安全设备监控日志数据量越来越大,目前平台难以对这些海量异构数据进行集中存储和分析处理,无法有效整合各个设备产生独立的事件告警,导致分析数据源单一、大规模数据关联效能低,无法满足对于网络空间态势分析的基本需求,而且告警智能分析过滤和辅助决策程度不高,从大量、孤立的单个事件中无法准确发现全局、整体的安全威胁行为。2.3不具备智能化学习和辅助决策功能。针对网络异常检测缺少特征识别和自主学习能力,且缺乏有效的可视化手段有效直观展示当前安全态势,无法及时检测0day漏洞的威胁和APT攻击等未知特征的威胁形式,难以给予当前指挥人员有效的辅助决策。2.4自动化应急手段缺失。当发生重大网络安全事件时,指挥人员难以依靠有效的技术管控手段,在指挥中心即可实现会话、主机设备乃至整个网络区域的远程多级精准阻断,还需要组织现场人员或专业技术人员登录设备进行相关操作,无法满足快速隔离威胁、控制蔓延的应急要求。
3智能分析管控策略建议
3.1资产安全性评估打分功能。利用现有国家电网网络安全管理平台感知和采集的多种数据资源,综合分析运行状态告警、漏洞扫描、基线核查信息、弱口令检查、当前威胁事件情况,以及资产的网络异常行为,对资产进行安全评估打分。为网络安全管理人员和安全运行管理人员提供重点关注信息,实现威胁事件精准评估,网络安全有效掌握的目标。通过综合静态评估与动态评估两个部分,对整个网络空间中所有资产评价打分,结合整个网络中的资产配备情况,资产受控情况,能够对整个网络进行总体安全评估。静态评估是指通过添加对资产的漏洞、基线配置情况和弱口令扫描等静态信息,按照不同因子不同权重进行打分评价。动态评估是对资产的动态信息,一方面对运行状态告警进行一些规则处理,另一方面结合网络安全威胁情报信息,从IP地址、告警时间以及告警类型3个角度判断可疑资产(有被利用风险)和受害资产(已有疑似被利用行为),对关键资产是否受到威胁的告警特征进行量化,最后根据危害程度添加威胁告警和事件告警的推理规则,对数量分别进行统计,对资产进行安全评估打分。之后计算静态评估与动态评估权重各一半的总得分,将各项安全评估情况以及总提得分进行展示,为监视人员提供全面的资产安全性综合评估展示。3.2安全数据资源化及建模分析。在对内外部数据源进行统一采集、初筛和存储的基础上,通过流式数据的实时分析和历史数据的离线分析相结合的方式,将数量庞大、类型多样、独立价值低的数据(包括II型监测装置、Agent类信息、安防设备信息、网络设备信息、数据库、业务应用类信息等)进行模型化、范式化处理,形成可被逐级分析利用的数据资源。将上述资源化数据进行整合,根据电力监控系统实际安全防护需求,通过运用关联分析、多阶段组合关联分析、攻击场景关联分析等,进行静态设备模型、动态运行模型、风险分析模型、网络异常检测模型、安全审计模型、自动化应急处置等建模,形成全局式的网络安全态势分析。3.3安全态势可视化技术研究。紧密结合电力监控系统运行监控需求,开展安全态势可视化设计,围绕“电力安全攻防”理念,依托对原始数据信息的建模、分析和处理,从网络空间地理视图、关键资产视图、安全威胁溯源视图等多个视角,快速、准确、有效、直观、形象地展示网络空间内的安全态势。3.4智能安全决策与应急处置技术研究。面向运行监控值班工作的监视重点,实现多尺度、多维度、细粒度的安全事件深入分析、检测与跟踪,并进一步应用知识工程算法,形成经验式、可迭代的网络安全事件推理优化机制和智能知识库,为运行监控和指挥人员提供相关定制化专业知识手册和智能化辅助决策。综合事件范围及业务影响,基于agent信任控制机制和网络、安防设备远程控制策略等技术,设计合理的分级网络紧急隔离措施,实现远程阻断会话、主机至厂站区域的多层次分级隔离。
4结语
电力监控系统智能分析管控技术基于现有的电力监控系统安全防护体系,可接收处理来自多渠道采集的流量结构化数据、检测设备日志、各类告警信息等,并借助大数据技术对海量数据集中存储和分析处理,结合对实时数据和历史数据的综合分析,实现安全威胁的快速发现、追溯定位和实时应急处理,提高电力监控系统网络安全的监视分析和防护水平。
参考文献:
[1]辛耀中,卢长燕.电力系统数据网络技术体制分析[J].电力系统自动化,2000,24(21):1~6.
[2]高昆仑,辛耀中,李钊等.智能电网调度控制系统安全防护技术及发展[J].电力系统自动化,2015,39(10):48-52.
[3]麦克纳布(美).网络安全评估[M].王景新,译.北京:中国电力出版社,2009.
[4]蔡皖东.网络信息安全技术[M].北京:清华大学出版社,2015.
作者:李晓勐 曹耀夫 刘俊文 李成巍 闫珺路 赵景程 单位:国家电网有限公司信息通信分公司