徐潤

（遵義供電局，貴州 遵義 563000）

公司數(shù)字化轉(zhuǎn)型帶來的業(yè)務(wù)多元化、電力監(jiān)控系統(tǒng)的“煙囪式”建設(shè)，使之形成相對獨立的安全保障模式，為打造高效、靈活和強(qiáng)大的電力監(jiān)控系統(tǒng)指揮作戰(zhàn)體系帶來了巨大挑戰(zhàn)。在深入遵義供電局電力監(jiān)控系統(tǒng)安全防護(hù)的建設(shè)工作中，提出現(xiàn)階段相關(guān)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理存在下述四個方面的問題[1]。

一是電力監(jiān)控系統(tǒng)主站網(wǎng)絡(luò)安全防御設(shè)備、檢測設(shè)備、分析設(shè)備品牌眾多，版本繁雜，功能不同，數(shù)據(jù)模型較為復(fù)雜，實時計算指標(biāo)較多的難題。

二是電力監(jiān)控系統(tǒng)的安防設(shè)備網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不一，不同設(shè)備的安全策略配置變化多樣。電網(wǎng)網(wǎng)絡(luò)安全專業(yè)起步較晚，網(wǎng)絡(luò)安全知識儲備低下，運維人員專業(yè)知識欠缺，跟不上網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展。

三是《網(wǎng)絡(luò)安全法》頒布以前建設(shè)的業(yè)務(wù)支持系統(tǒng)基本沒有考慮網(wǎng)絡(luò)安全防護(hù)，防御設(shè)備具有防御功能不全、網(wǎng)絡(luò)威脅檢測手段單一、改造難度大的特點。

四是電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)邊界安全設(shè)備配置及維護(hù)工作主要依靠“人工分析”“案例”“經(jīng)驗分析”，缺少切實依據(jù)[2]。

為解決上述問題，針對現(xiàn)階段公司電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理工作的難點、痛點，開展電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)應(yīng)用研究，旨在減輕現(xiàn)場運維人員工作量，提高現(xiàn)場運維人員工作效率，節(jié)約人力、物力，降低運維成本。

1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢感知

為實現(xiàn)對網(wǎng)絡(luò)的安全編排與響應(yīng)，根據(jù)電力系統(tǒng)網(wǎng)絡(luò)節(jié)點分布，建立如下圖1 所示的框架，實時感知系統(tǒng)網(wǎng)絡(luò)安全。

圖1 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢感知框架

隨機(jī)選擇電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)中兩個節(jié)點，將其表示為A與B，計算節(jié)點A與節(jié)點B的空間關(guān)聯(lián)性[3]。此過程如下計算公式所示：

公式（1）中：P(AB)表示節(jié)點A與節(jié)點B的空間關(guān)聯(lián)性；S表示網(wǎng)絡(luò)節(jié)點集合中共性數(shù)量；N表示網(wǎng)絡(luò)節(jié)點集合中特征點數(shù)量；F表示網(wǎng)絡(luò)節(jié)點集合中差異點數(shù)量；i表示統(tǒng)一度；Q表示網(wǎng)絡(luò)節(jié)點集合中對立點數(shù)量；j表示差異度?？紤]到節(jié)點之間的i與j存在相互轉(zhuǎn)化關(guān)系，因此，在分析電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢時，可以根據(jù)節(jié)點權(quán)重分析其態(tài)勢。其中節(jié)點權(quán)重的計算公式如下：

公式（2）中：W表示電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點權(quán)重；表示隨機(jī)一致性指標(biāo)；k表示權(quán)向量系數(shù)。在上述計算內(nèi)容的基礎(chǔ)上，根據(jù)主觀權(quán)向量，評估節(jié)點在當(dāng)前狀態(tài)下的態(tài)勢[4]。計算節(jié)點網(wǎng)絡(luò)態(tài)勢值，計算公式如下：

公式（3）中：H表示電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點態(tài)勢值；c表示節(jié)點連接信息當(dāng)前狀態(tài)；a表示節(jié)點日志信息當(dāng)前狀態(tài)。按照上述方式，掌握電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢值，以此種方式，實現(xiàn)對節(jié)點安全狀態(tài)的感知。

2 網(wǎng)絡(luò)安全保障場景與等級劃分

在上述設(shè)計內(nèi)容的基礎(chǔ)上，量化電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢感知數(shù)值，定義H的取值在0～1 之間，定義H在不同取值下的網(wǎng)絡(luò)安全狀態(tài)。當(dāng)H取值＞0，且＜0.2時，定義其安全等級為五級，此時對應(yīng)的網(wǎng)絡(luò)安全保障場景為基礎(chǔ)場景。按照此種方式，劃分其他網(wǎng)絡(luò)安全保障場景，劃分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全保障等級[5]。具體內(nèi)容如表1 所示。

表1 網(wǎng)絡(luò)安全保障場景與等級劃分

按照表1 所述方式，劃分電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全保障場景，在具體工作中，匹配電力企業(yè)的活動場景與安全保障等級，為網(wǎng)絡(luò)安全編排與響應(yīng)打下基礎(chǔ)。

3 基于SOAR 技術(shù)的網(wǎng)絡(luò)異常響應(yīng)與預(yù)警

完成上述設(shè)計后，引進(jìn)SOAR 技術(shù)，設(shè)計電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)異常響應(yīng)與預(yù)警?？蓪OAR 技術(shù)的驅(qū)動響應(yīng)過程作為網(wǎng)絡(luò)功能封裝過程，將SOAR 技術(shù)應(yīng)用在網(wǎng)絡(luò)數(shù)據(jù)中臺上，根據(jù)網(wǎng)絡(luò)常態(tài)化運行條件，設(shè)計安全預(yù)警界限。當(dāng)前端反饋的數(shù)據(jù)中攜帶隱患因子或異常信息超出預(yù)警界限后，SOAR 技術(shù)將立刻定位并訪問前端傳遞信息對應(yīng)的IP 地址，確認(rèn)信息存在危險性后，執(zhí)行并驅(qū)動全局響應(yīng)程序，以此種方式封鎖賬號。此過程計算公式如下：

公式（4）中：K(o)表示對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點o的驅(qū)動響應(yīng)；s表示安全指標(biāo)客觀權(quán)向量；n表示危險因子。在此基礎(chǔ)上，集成在終端的威脅情報查詢器將主動掃描系統(tǒng)網(wǎng)絡(luò)漏洞，并將漏洞信息反饋給數(shù)據(jù)中臺，數(shù)據(jù)中臺將在接收到信息后，識別并判斷網(wǎng)絡(luò)標(biāo)簽，根據(jù)標(biāo)簽識別結(jié)果，評估網(wǎng)絡(luò)安全預(yù)警等級。

按照上述設(shè)計，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)時，技術(shù)人員需要根據(jù)當(dāng)前狀態(tài)下電力系統(tǒng)的實際狀態(tài)，預(yù)先錄入多種類型的網(wǎng)絡(luò)安全策略數(shù)據(jù)，并對策略數(shù)據(jù)劃分等級。在此種條件下，終端將根據(jù)前端反饋程序與執(zhí)行邏輯，驅(qū)動并響應(yīng)不同場景下的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全預(yù)警。以此種方式，實現(xiàn)對網(wǎng)絡(luò)異常的響應(yīng)與預(yù)警，完成電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)的應(yīng)用研究。

4 實例應(yīng)用分析

完成上述設(shè)計后，為實現(xiàn)對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)技術(shù)在實際應(yīng)用中效果的檢驗，下述將以遵義供電局電力為試點單位，按照本文設(shè)計的技術(shù)應(yīng)用流程，設(shè)計如下所示的實驗。

為滿足實驗需求，在開展相關(guān)研究前，在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端部署測試環(huán)境，環(huán)境參數(shù)如表2 所示。

表2 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端測試環(huán)境參數(shù)

完成對測試環(huán)境的配置后，使用本文設(shè)計的SOAR技術(shù)，對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)的安全編排與響應(yīng)展開測試。測試前，設(shè)計網(wǎng)絡(luò)公開CIC 數(shù)據(jù)集合作為此次實驗的測試樣本數(shù)據(jù)，在對樣本的分析與評估中發(fā)現(xiàn)，現(xiàn)有數(shù)據(jù)樣本集合中存在4 個安全隱患。將數(shù)據(jù)隨機(jī)錄入電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)節(jié)點，通過設(shè)計數(shù)據(jù)采樣時序、數(shù)據(jù)最大訓(xùn)練次數(shù)、節(jié)點權(quán)重等方式，實時感知電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢。同時，根據(jù)電力監(jiān)控系統(tǒng)的應(yīng)用場景，劃分網(wǎng)絡(luò)安全保障等級，并匹配安全保障場景與對應(yīng)的安全等級。在此基礎(chǔ)上，引進(jìn)安全編排與響應(yīng)（SOAR）技術(shù)，結(jié)合前端實時反饋的網(wǎng)絡(luò)數(shù)據(jù)，響應(yīng)并預(yù)警監(jiān)控系統(tǒng)網(wǎng)絡(luò)異常。

調(diào)用監(jiān)控系統(tǒng)網(wǎng)絡(luò)終端PC 機(jī)后臺數(shù)據(jù)，統(tǒng)計在1s～10s 時段內(nèi)，終端對網(wǎng)絡(luò)異常的響應(yīng)情況，其結(jié)果如表3 所示。

表3 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全預(yù)警響應(yīng)效果

根據(jù)表3 所示的實驗結(jié)果可知，本文方法對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的預(yù)警響應(yīng)次數(shù)與期望預(yù)警次數(shù)完全一致。說明本文設(shè)計的方法在實際應(yīng)用中的效果良好。綜合上述實驗，得到如下結(jié)論：此次設(shè)計的網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)，可以實現(xiàn)對網(wǎng)絡(luò)安全態(tài)勢的精準(zhǔn)感知與預(yù)警，通過此種方式，為遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全、運營提供全面的保障。

5 結(jié)語

根據(jù)遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理、運維特點及痛點，本文通過電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)態(tài)勢感知、網(wǎng)絡(luò)安全保障場景與等級劃分、網(wǎng)絡(luò)異常響應(yīng)與預(yù)警，完成了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全編排與響應(yīng)（SOAR）技術(shù)應(yīng)用研究。此次研究將業(yè)界優(yōu)秀的“安全中臺”管理模型在建設(shè)中進(jìn)行了實踐和結(jié)合，形成具有地區(qū)調(diào)度機(jī)構(gòu)鮮明特點的網(wǎng)絡(luò)安全“統(tǒng)一安全中臺”模型，該模型將“安全能力”“安全大腦”“安全數(shù)據(jù)”“業(yè)務(wù)場景”有效整合，實現(xiàn)遵義供電局電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理效能提升、數(shù)據(jù)化運營服務(wù)提升、業(yè)務(wù)連續(xù)性保障能力提升、業(yè)務(wù)場景定制化能力提升，有效實現(xiàn)了遵義供電局電力監(jiān)控系統(tǒng)自身安全能力與業(yè)務(wù)需求的持續(xù)對接，是管好“發(fā)展和安全兩個關(guān)鍵問題”的最佳實踐。