孟慶東，李滿坡，安天瑜，李 丹，郝夢凝，包 鵬，陳志奎

（1. 國家電網公司東北分部，遼寧 沈陽 110180；2. 國家電網通遼供電公司，內蒙古 通遼 028000；3. 北京科東電力控制系統(tǒng)有限責任公司，北京 100192；4. 大連理工大學 軟件學院，遼寧 大連 116620）

信息時代是信息處理、通信傳輸、網絡安全與工業(yè)生產相結合的產物，其快速發(fā)展促進了傳統(tǒng)行業(yè)的變化與革新。作為傳統(tǒng)行業(yè)的代表，電力系統(tǒng)的建設是國家發(fā)展和人民生活的重要基礎，隨著經濟騰飛和電網建設的進一步發(fā)展，電力生產的信息化水平日益提高?；凇敖y(tǒng)一規(guī)劃設計、統(tǒng)一技術體制、統(tǒng)一路由策略、統(tǒng)一組織實施”原則的國家電力調度數據網，包括廠站遠動裝置的“遙信、遙測、遙控、遙調、遙視”、繼電保護測控單元、發(fā)電廠機組數據等各種生產信息的處理和傳輸，使得電力生產系統(tǒng)越來越精密與復雜。為了保障其中的網絡安全，維護國家、社會和企業(yè)的合法利益，國家與行業(yè)頒布執(zhí)行相關法律、法規(guī)，不斷完善網絡安全戰(zhàn)略，保障電力系統(tǒng)網絡安全的防護能力[1]。

近年來，電力監(jiān)控系統(tǒng)網絡安全事件屢發(fā)。例如，2015年，烏克蘭的電力部門遭受了惡意的網絡攻擊，攻擊者獲得了電力監(jiān)控系統(tǒng)控制能力后，遠程下達開關指令斷電，覆蓋 MBR和部分扇區(qū)，致使設備數據損失、重啟后不能自舉，拖延事故處理進程，導致大規(guī)模停電。同一時間，烏克蘭境內其他多家能源企業(yè)如煤炭、石油公司也遭到了有針對性的網絡攻擊。面對日益嚴峻的形勢，如何提高網絡安全防范能力是擺在電力監(jiān)控系統(tǒng)面前的一道難題[2-3]。

電力監(jiān)控系統(tǒng)是指利用計算機和網絡等信息技術，監(jiān)視和控制電力生產整個流程。具體實現包括電力數據采集系統(tǒng)，實時在線監(jiān)控系統(tǒng)，能量管理系統(tǒng)，配電、變電站等自動化系統(tǒng)，微機繼電保護和安全自動裝配系統(tǒng)，電能量計量系統(tǒng)，在線電力市場的輔助管控系統(tǒng)，以及電力調度系統(tǒng)等。加強電力監(jiān)控系統(tǒng)管理的安全性，防范互聯(lián)網惡意攻擊，國家發(fā)改委根據相關法律、法規(guī)，制定了電力監(jiān)控系統(tǒng)安全防護規(guī)定，確定了“安全劃分、網絡專用、橫向隔離、縱向認證”的總體原則，并將發(fā)電企業(yè)、電網企業(yè)內部網絡及業(yè)務系統(tǒng)劃分為生產控制和管理信息兩大區(qū)，從而逐漸形成電力監(jiān)控系統(tǒng)安全防護體系。本文基于此建立了一套電力監(jiān)控系統(tǒng)網絡安全管理平臺[4-6]。

1 相關工作

隨著電力監(jiān)控系統(tǒng)安全防護工作的逐漸推進，各發(fā)電企業(yè)、電網企業(yè)采用了大量的安全防護設施，在橫向傳輸中部署隔離裝置來隔離生產控制與管理信息，在縱向傳輸中部署縱向加密認證裝置來認證主站與廠站之間交互的信息。電力監(jiān)控系統(tǒng)內所有的安全防護裝置接入到內網安全監(jiān)視平臺中，同時在內網安全監(jiān)視平臺內增加了集中監(jiān)控、統(tǒng)計分析、安全審計等功能，確保實時監(jiān)視部署的安全設備的運行狀況以及網絡安全運行情況，達到對網絡安全事件的實時警報、集中可視化和綜合分析，同時為電力系統(tǒng)的安全評估提供有效的數據來源和分析方法，提升了電力系統(tǒng)的安全管理與防控能力[7-8]?，F有的內網安全監(jiān)視平臺的通用架構如圖1所示。

雖然現有電力監(jiān)控系統(tǒng)大多依托內網安全監(jiān)視平臺，來建立基于柵格狀網絡的安全防護體系，但目前的內網安全監(jiān)視平臺僅僅是針對網絡安全分區(qū)中的邊界設備，以及縱向加密認證中的部分裝備進行監(jiān)控，只能做到對防護裝備的在線及運行情況的監(jiān)測，無法探測和感知安全分區(qū)內部的設備及系統(tǒng)的運行情況，這樣就無法控制各個安全分區(qū)內部的病毒源與危險源，致使?jié)撛诘奈ｋU可能被遺漏從而導致安全事件的發(fā)生，所以需要進一步將網絡安全感知和監(jiān)測范圍從網絡邊界擴展到更深層次、更廣層面的服務器、工作站和網絡設備等，實現網絡安全防護體系從靜態(tài)布防到動態(tài)管控的提升[9-12]。

圖1 內網安全監(jiān)視平臺架構

綜上，構建有效的網絡安全主動防御體系能夠探知到安全分區(qū)所有接入網絡內部設備、系統(tǒng)的運行情況，從而更加精確地監(jiān)測并定位安全風險，因此，建設并部署新一代電力監(jiān)控系統(tǒng)網絡安全管理平臺成為解決現有問題的關鍵[13-14]。根據動態(tài)網絡安全體系P2DR模型，新一代網絡安全管理平臺比上一代內網安全監(jiān)視平臺有相應提升（見表1）。

表1 新一代網絡安全管理平臺性能提升

通用的安全監(jiān)測過程或產品一般依托于網絡的信息流量和數據包的分析技術，完成對互聯(lián)網中通用的數據協(xié)議和服務報文進行監(jiān)測和分析，對于網絡空間中信息交互的隔離、網絡用戶和設備間的相互關系、網絡應用的可控、正常運行的無人操控等的電力監(jiān)控系統(tǒng)而言，不是最好的解決方案，2種安全監(jiān)測技術對比如表2所示。

為此，需研發(fā)適合電力監(jiān)控系統(tǒng)、面向電力設備事件的專用網絡安全監(jiān)測技術。

表2 通用與專用網絡安全監(jiān)測技術對比

2 平臺設計

電力監(jiān)控系統(tǒng)具有網絡私有和相對封閉、設備和使用人員相對穩(wěn)定、使用內網或端口專有的內部服務、網絡報文處理使用自主程序等特點，因此，用戶或設備的使用方式超出規(guī)定的界限就可被確定為存在潛在的安全風險。電力監(jiān)控系統(tǒng)運行在專有業(yè)務網絡上，其業(yè)務種類專一、數據流量流向相對固定、業(yè)務系統(tǒng)架構同質、傳輸報文遵循電力系統(tǒng)規(guī)定的協(xié)議，電力監(jiān)控設備均由電網企業(yè)或者發(fā)電集團管理。在技術和管理上具備了相應的基礎，使得對網絡安全監(jiān)測實施可以從網絡邊界節(jié)點移動到網絡中的交換機、路由器、服務器、主機、工作節(jié)點等具體設備，并通過探針程序從每一臺網絡中連接的設備和人員產生的事件和行為入手，盡可能早地發(fā)現并處置可能存在的網絡中惡意攻擊、程序篡改等各類安全隱患。因此，需要構建集成感知識別、采集歸納和管理控制3層邏輯結構的網絡安全管理體系。

（1）網絡設備自我感知。實現工作節(jié)點、服務節(jié)點、路由節(jié)點、交換節(jié)點、加密認證裝置、正/反向隔離裝置等設備自我安全計算和網絡數據的安全感知及傳輸上報，并具體執(zhí)行整個流程的安全性校驗。

（2）監(jiān)測設備的分布管理與數據采集。實現對控制裝備、站點、配電設備和裝置、負控設備和裝置等整個監(jiān)控系統(tǒng)中的所有相關設備在網絡中的數據的采集和匯總，并且與監(jiān)管平臺進行交互和傳輸。

（3）管理平臺集成管控。實現網絡中數據和信息的在線實時監(jiān)測、安全報警、安全數據分析、審查、核對、控制等相關功能和部件的集成。

其中采用的關鍵技術包括：

（1）基于面向網絡裝置和設備的安全事件自我感知原理、方法和技術。通過網絡中各設備和裝置的安全感知，直接、精準地發(fā)現存在的風險事件。

（2）基于網絡中監(jiān)測裝置安全保障的采集、傳輸與匯總技術。通過在網絡中布置安全監(jiān)測設備或裝置，實現設備采集區(qū)域的網絡威脅數據的采集、分析與處理，同時把分析后的臨時結果轉送到上一層級網絡安全信息匯總和管理平臺。

（3）基于層級部署的管理平臺設計及管控體系協(xié)同。實現網絡安全在線監(jiān)控、實時預警、精準分析、核對、審查、控制等平臺功能的分布式管理。

基于上述技術特性，本文設計的電力系統(tǒng)網絡安全管理平臺的技術體系需要覆蓋全國、各省和地級調控機構及廠站等各級調控網絡安全管理平臺，其中全國和各省調控平臺主要包括安全信息采集、安全事件監(jiān)測與報警、安全事件分析和審查核實等核心功能，各地級網絡安全管理平臺主要包括低級別安全信息采集、安全事件監(jiān)測預報警和安全事件核實等基本功能。如圖2所示。

圖2 網絡安全管理體系總體設計

圖 2中變電站及電廠需要布置網絡安全監(jiān)測設備，主要實現對本地安全事件的采集獲取、監(jiān)聽報警和安全核實等功能，并將重要報警事件上報到上級調度平臺。各級管理平臺之間、變電站及電廠裝備管理平臺之間通信傳輸構建于國家電網電力調度數據網的基礎之上，并采用專用的電力調度 VPN進行數據交互，保證數據傳輸的可靠性與安全性。

在安全事件數據采集方面，本文平臺采用面向設備的采集方法，改變原有基于網絡中傳播報文的分析挖掘方法，實現網絡中安全事件監(jiān)聽的新方法。具體地，基于本地主機的操作系統(tǒng)及連接在網絡中的設備和部件，實現網絡設備的相關事件安全數據的在線實時采集；基于調控和轉換數據網絡的連接，構建各廠站監(jiān)控系統(tǒng)和裝置、電網整體調控系統(tǒng)、負載管控系統(tǒng)和配電服務系統(tǒng)等各平臺系統(tǒng)間的網絡安全事件的統(tǒng)一管控；在上述構建的基礎上，綜合實現網絡安全事件的集中核實、監(jiān)管、處理和審查的網絡安全實踐綜合管理和控制功能，實現面向電力服務的綜合體系架構和安全應用服務，保障整個平臺的安全監(jiān)管功能能夠在電網廣泛維度內的正確應用。綜上可知，本文構建的網絡安全管理平臺的整體功能需要融合4類安全支撐模塊和5類綜合應用功能。4類安全支撐模塊包括安全數據采集、模型設計管理、平臺功能管理和應用集成服務，實現平臺中基礎安全數據的通信與分析處理、服務接入與注冊請求等的基礎平臺功能；5類綜合應用功能具體包括網絡安全事件監(jiān)測、安全報警和處理、安全審查和核實等，滿足新型電力監(jiān)控系統(tǒng)整體網絡安全管控功能的要求，本文設計的平臺功能整體架構如圖3所示。

通過上述架構，實現以下功能要求：

圖3 網絡安全管理整體架構

（1）安全監(jiān)測，從網絡邊緣的專用防護裝置擴展到網絡區(qū)域內所有服務器、工作站點、網絡設備和其他基礎裝置等。

（2）對網絡中的安全事件進行監(jiān)測，從對邊緣事件監(jiān)測轉變?yōu)閷ν獠亢蛢炔康牟话踩袨榈娜婧驼w覆蓋。

（3）平臺功能從簡單的監(jiān)控報警，全面提升為網絡安全分析定位、溯源處理、審查核實和交互管理。

（4）網絡綜合安全管理模式，從“邊緣監(jiān)測、靜態(tài)管控”升級到“全面綜合監(jiān)測、動態(tài)實時管理”。

其中網絡中的整體安全服務響應是面向 SOA體系的一種功能模式，具體包括3種網絡角色，即提供服務的用戶、本地服務的使用用戶和注冊服務的用戶中心；2個服務過程包括服務的封裝過程和服務的代理過程，具體如圖4所示。通過廣域網上的服務交互及響應，可以實現不同級間的服務相互調用，同時能夠實現調控機構對所轄變電站點和發(fā)電廠站的安全監(jiān)控設備信息和警告的使用，滿足新型一體化安全監(jiān)管需求。

圖4 基于SOA的服務總線結構

平臺中的安全數據采集功能按照采集對象裝置不同類型劃分為4大類：主機設備信息采集、網絡設備信息采集、數據庫信息采集和安全設備信息采集。例如，主機設備采集由主機操作系統(tǒng)負責整體數據信息的收集，并通過消息總線進行數據發(fā)送和傳輸，網絡平臺通過消息總線得到主機采集信息并對其進行分析處理，采集的數據信息主要包括用戶登錄信息、設備運行信息、網絡中的安全事件信息等。具體信息采集流程如圖5所示。

圖5 主機設備數據采集流程

3 平臺實現與應用

本平臺的實現采用分級部署和協(xié)同管理的整體設計原則，在各級調控機構布置網絡安全分布式管理平臺，并在各廠站布置網絡安全監(jiān)聽裝置，形成覆蓋整個電力網的新型綜合網絡安全管理體系。

本文實現的新型網絡安全管理平臺自運行以來，在東北區(qū)域每月能夠有效處理電力監(jiān)控系統(tǒng)網絡安全警告1萬余條，并能對于主機和外部設備病毒入侵等緊急狀況進行實時報警和及時處理。經過近2年的運行管理，現在東北區(qū)域電力監(jiān)控系統(tǒng)的網絡安全管理已經從安全事件處置轉向主機加固、關閉無用網絡服務和端口、網絡設備參數嚴格配置、關閉應用程序無效行為、網絡行為有序管理等常態(tài)化模式。

網絡安全管理平臺建設運行以來，收到了以下應用成效：

（1）擴充了對電力監(jiān)控系統(tǒng)內業(yè)務主機、數據交換設備、網絡安全設備、數據庫運行、告警信息的監(jiān)視與采集，實現了對監(jiān)視對象安全事件的記錄與關聯(lián)分析，為全網協(xié)同防護提供數據基礎。

（2）通過在電廠與變電站部署廠站監(jiān)測裝置，采集和管理廠站內的安全事件，彌補了對廠站內設備及系統(tǒng)安全管理手段的缺失。

（3）為日常運維提供接口，集中化監(jiān)視與管理電力監(jiān)控系統(tǒng)軟、硬件運行狀態(tài)，同時提供操作信息、報警信息等記錄功能，為事后問題的解決與溯源提供了有效的數據追蹤支撐。

（4）核查主機的安全配置和評估安全風險，便于發(fā)現自身安全漏洞，實現安全防護工作由被動防御向主動監(jiān)管的轉變。

（5）提供了豐富的管理手段：實現安全事件從發(fā)生到處理的全生命周期管理；實時掌握資產的運行狀態(tài)；提供數據及拓撲調閱的功能，由被動接收變?yōu)橹鲃颖O(jiān)管；對威脅、脆弱性進行統(tǒng)一管理。

本文提出的網絡安全管理平臺自投運以來，月均處理網絡安全報警3 000次左右，通過以運行指標為考核依據的運行管理，做到緊急告警即時處理，基本消除了最高級別的網絡安全威脅，現已進入次級安全告警治理階段。監(jiān)視和管理縱向加密裝置運行，縱密在線率≥99.0%，加密通信率≥98.0%，東北區(qū)域內電力監(jiān)控系統(tǒng)網絡安全水平穩(wěn)步提高。

國家相關部門針對電網系統(tǒng)的大規(guī)模攻防演練，嘗試從全國各地的電廠、變電站等節(jié)點向國家電網計算機網絡發(fā)起滲透攻擊。東北區(qū)域網絡安全管理平臺對安全設備、關鍵網絡設備、重要服務器的運行日志進行集中數據采集和統(tǒng)一管理，實現了網絡安全狀態(tài)的實時告警與動態(tài)監(jiān)測，采取了有效方法阻止和解決了網絡中的惡意攻擊，經受住了攻防演練的考驗，未被滲透，實現了設計和使用功能。隨著網絡安全管理平臺的部署和使用，本區(qū)域內電力監(jiān)控系統(tǒng)還未發(fā)生任何一起因病毒和漏洞導致的電力監(jiān)控系統(tǒng)故障事件。

4 結語

建設網絡安全管理平臺并有效運行是提高網絡安全態(tài)勢感知、預警及應急處置能力的基礎技術手段，是電力監(jiān)控系統(tǒng)網絡安全體系的重中之重。相對于上一代的內網安全監(jiān)視管理平臺，本文構建了一套電力監(jiān)控系統(tǒng)網絡安全管理平臺，實現了以可信計算技術為基礎、安全可控為目標、安全免疫為特征的主動防御體系，并在實際應用中發(fā)揮了更有效的安全防護作用。