电力调度控制系统智能网络安全防护研究
一、引言
电力调度控制系统是指基于计算机和网络技术,依托通信和数据网络,对电力系统生产和供电过程进行监控的业务系统和智能设备[1]。木桶理论[2]决定了系统的整体安全防护水平由最弱环节的标准决定。为防止黑客利用噪声系统漏洞和企业系统后门进行恶意入侵,使用计算机病毒或恶意代码实施破坏和攻击,导致电力调度控制系统被劫持或崩溃,进而危害电力系统的安全运行和生产,建立电力调度控制系统的系统化安全防护十分必要。国家电网公司电力调度控制系统的网络安全防护经过十余年持续加强和完善,已实现从静态部署向动态控制的转变,构建了三维网络安全防护体系:安全防护技术、应急备用措施和综合安全管理[3]。
安全防护技术的维度主要包括基础设施安全、系统结构安全、本体安全和安全免疫。首先,从机房、供电、通信、屏蔽、密码和认证等方面保障基础安全;其次,基于安全分区、网络专用、横向隔离[4]和纵向加密的策略,保障系统结构安全;第三,进行确保监控系统无恶意软件,操作系统无恶意后门,整个主板无恶意芯片,主要芯片无恶意指令,体现了本体安全。最后引入可信计算[5]技术实现安全免疫。
应急备用措施主要从冗余备份和应急处置两方面采取。当生产控制区的电力调度控制系统出现异常或故障时,若发生非法外联或网络攻击,监控人员将逐级上报至上级调度机构和监管单位,并联合采取应急措施,从而由外到内、由上到下构建多道防线。
全面安全管理维度主要包括全员安全管理、全设备安全管理、全生命周期安全管理以及融入安全生产管理体系。通过安全防护技术与安全管理相结合,构建覆盖范围更广、管理系统、技术体系和应急响应体系协同运作的安全防护体系。
A. 安全形势与发展现状
电力调度控制系统是支撑电力系统安全稳定运行和可靠电力供应的重要手段。随着网络规模的迅速扩大和网络空间一体化的趋势,电力调度控制系统的网络安全管理与控制变得越来越复杂。从国际形势来看,全球范围内网络战发生的可能性不断增加,网络空间的对抗与攻击日益激烈。网络攻击具有手段隐蔽、攻击成本低、取证困难等特点,可能影响企业声誉、生产经营,甚至对社会和国家造成重大影响。近年来,乌克兰电网停电事件以及伊朗核电站感染震网病毒导致瘫痪的事件表明,电力系统作为网络战的重要目标,始终处于网络攻击与破坏的前沿。
国家电网有限公司按照“安全分区、网络专用、横向隔离、纵向认证加密”的总体策略,建立了覆盖五级电网调度机构、各类变电站和发电厂的完整电力调度控制安全防护体系。从安全防护技术、应急备用措施和综合安全管理等方面,构建了三维网络安全防护体系,取得了良好的防护效果。
国家电网公司自主开发了电力调度控制系统网络安全管理平台,并已在地市级及以上调度机构全面部署,可实时监控网络空间安全告警。该平台按照设备自感知、监测装置分布采集、平台统一管控的原则,构建了网络安全管理的感知、采集、管控三层逻辑结构:
1) 自知 :实现对服务器、工作站、交换机、纵向加密和正向/反向横向隔离装置等设备的网络安全数据的感知与上报,并执行特定安全检查。
2) 分布式采集 :利用监测装置实现对调度机构、电厂与变电站、配电、负控等相关设备的网络安全数据采集,以及与管理平台的通信与交互。
3) 统一管理 :管理平台实现网络安全的在线实时监控、警告、分析、审计和验证等功能的集成。
安全监控功能可实时监控主机、网络及其他设备的运行状态、用户登录、运维操作、设备接入等情况,统计并跟踪异常情况和预定义违规行为;安全告警功能通过声光等方式,向平台监控人员通知不符合安全策略的访问行为、外设接入、危险操作等事件所引发的网络安全威胁和网络安全事件告警,采用简单的逻辑判断;安全分析基于运行过程中积累的各类统计数据,利用对比、关联、回归和大数据等分析方法,对网络运行状态与趋势进行分析,重点分析告警状态、加密通信率、设备在线率等用于评估安全状况的指标;安全审计基于历史数据,在安全事件发生后,对所有采集到的行为和事件进行关联、追踪和回溯分析,并作出相应的安全评估,以发现未被实时监控到的安全漏洞和安全风险;安全核查基于漏洞库和配置基线,开展针对安全漏洞、弱口令及安全策略的扫描与核查,支持安全检查自动化并实现网络安全的主动防御。可按需定制,并支持手动、周期性或事件触发。
II. 当前主要问题
A. 告警有效性令人担忧,平台功能分散
现有网络安全管理平台的各项功能处于碎片化状态,尤其是为安全监控人员提供实时提醒的告警功能。不仅判断逻辑简单,且告警信息的有效/无效、有影响/无影响情况混杂,难以快速定位有价值告警。网络安全管理人员需从不同监控维度分别查看和统计各类功能指标数据,无法形成有效的综合分析,对整体运行和安全态势缺乏全面认知和判断。
B. 需要综合数据分析和处理能力
网络安全设备监控日志数据的数量不断增加。目前,平台难以集中存储和分析这些海量异构数据,无法有效整合各设备产生的状态信息,导致分析数据来源单一,大规模数据的关联效率低下。无法从大量孤立的单个事件中准确发现全局性和整体性安全威胁,因而难以满足网络空间态势感知的需求,智能告警分析、过滤及决策辅助的程度不高。
C. 不具备智能学习和决策辅助功能
针对网络异常检测,该平台缺乏具备特征识别和自主学习能力,以及可视化方法,以有效且直观地展示当前安全态势,但仍无法及时检测和防范零日漏洞及高级持续性威胁攻击带来的威胁,难以充分为指挥人员提供支持。
D. 缺乏自动化应急措施
当发生重大网络安全事件时,指挥人员依靠技术管控手段,在指挥中心难以实现对会话、主机设备乃至整个网络区域的远程、多级、精准阻断,必须组织现场人员和技术人员登录设备手动执行相关操作,无法满足对威胁快速隔离和遏制扩散的应急需求。
III. 智能分析管理与控制策略
A. 资产安全评估评分利用多数据资源
由现有的网络安全管理平台感知和收集,全面分析资产的运行状态告警、漏洞扫描、基线核查信息、弱口令检查、当前威胁事件以及异常网络行为,进行安全评估得分。为网络安全与运维管理人员提供关键信息,实现对威胁的精准评估和网络安全的有效管控。
通过综合静态评估和动态评估两部分,对全网空间内的所有资产进行评分,结合资产配置和资产管控情况,可开展全网整体安全评估。
静态评估 是指通过添加资产漏洞、基线配置和弱口令扫描等静态信息,根据不同因素和权重进行评分和评估。需要建立完整的采集库,并定期开展漏扫和配置核查,实施扣分机制,对资产的漏洞和健康状况赋予相应权重,解决单一化评估、问题规模难以区分的客观现实,从而灵活地开展有针对性的安全加固工作指导。在漏洞信息收集方面,外部威胁情报收集主要来源于互联网上各类开源组织和商业组织(天津优盟、微步在线、威努特、腾讯玄武等)以及国内外主管部门(CVE、CNVD、CNNVD)发布的信息;内部情报则主要来自国家调度机构发布的各类预警通知。基于知识库,可指出漏洞危害,并为管理人员提出通用解决方案。
表I. 静态评估评分规则
| 权重 | 因素 | 评分规则 | 评分规则 | 评分规则 |
|---|---|---|---|---|
| 45% | 漏洞 | 高危漏洞 ≤75% | (0, 1] | 0.7 |
| 45% | 漏洞 | 高危漏洞 ≤75% | [2, 9] | 0.9 |
| 45% | 漏洞 | 高危漏洞 ≤75% | [10, ∞) | 1 |
| 45% | 漏洞 | 一般漏洞 ≤20% | (0, 9] | 0.3 |
| 45% | 漏洞 | 一般漏洞 ≤20% | [10, 49] | 0.8 |
| 45% | 漏洞 | 一般漏洞 ≤20% | [50, ∞) | 1 |
| 45% | 漏洞 | 低风险漏洞 ≤5% | (0, 99] | 0.5 |
| 45% | 漏洞 | 低风险漏洞 ≤5% | [100, ∞) | 1 |
| 45% | 基线验证 | 验证项目完全合规 | — | 0 |
| 45% | 基线验证 | 合规程度大于85% | — | 0.2 |
| 45% | 基线验证 | 合规程度大于60% | — | 0.6 |
| 45% | 基线验证 | 其他合规程度 | — | 1 |
| 10% | 弱口令 | 存在 | — | 0 |
| 10% | 弱口令 | 不存在 | — | 1 |
动态评估 针对资产的动态信息。一方面,对运行状态告警进行规则处理;另一方面,结合网络安全威胁情报信息,从IP地址、告警时间、报警类型三个维度识别可疑资产(存在被利用风险)和受害资产(已被怀疑被利用),量化关键资产是否受到威胁的警告特征,并最终根据损害程度添加威胁告警和事件告警的推理规则,分别统计数量,评估资产安全评分。
表II. 动态评估评分规则
| 权重 | 因素 | 评分规则 | 评分规则 | 评分规则 |
|---|---|---|---|---|
| 10% | 运行中状态告警 | 异常进程(新进程,进程启停等) | — | 0.3 |
| 10% | 运行中状态告警 | CPU瞬时增长率 + 当前CPU占用率 | — | 0.3 |
| 10% | 运行中状态告警 | 内存瞬时增长率 + 当前内存占用率 | — | 0.3 |
| 30% | 关键资产 | 可疑资产(50%) | 不满足可疑资产特征 | 0 |
| 30% | 关键资产 | 可疑资产(50%) | 满足 [IP] 特征 | 0.3 |
| 30% | 关键资产 | 可疑资产(50%) | 满足 [IP+时间] 特征 | 0.6 |
| 30% | 关键资产 | 可疑资产(50%) | 满足 [IP+时间+报警类型] 特征 | 1 |
| 30% | 关键资产 | 受害者资产(50%) | 不满足受害者资产特征 | 0 |
| 30% | 关键资产 | 受害者资产(50%) | 满足 [IP] 特征 | 0.3 |
| 30% | 关键资产 | 受害者资产(50%) | 满足 [IP+时间] 特征 | 0.6 |
| 30% | 关键资产 | 受害者资产(50%) | 满足 [IP+时间+报警类型] 特征 | 1 |
| 60% | 威胁与事件警告 | 威脂数量(30%) | (0,2] | 0.1 |
| 60% | 威胁与事件警告 | 威脂数量(30%) | [3,9] | 0.4 |
| 60% | 威胁与事件警告 | 威脂数量(30%) | [10,∞] | 1 |
| 60% | 威胁与事件警告 | 事件数量(70%) | (0,1] | 0.7 |
| 60% | 威胁与事件警告 | 事件数量(70%) | [2,∞] | 1 |
最终,计算静态评估和动态评估权重两部分的总分,并将各项安全评估结果及总评估得分展示给监控人员,以提供对资产安全的全面评价。
B. 攻击分析模型集成各种安全
已部署的设备用于收集与攻击行为相关的信息,并通过规则关联分析、上下文关联分析、行为关联分析、动态方式处理攻击信息,通过基线分析等方法,获取攻击程度、攻击方法、攻击链及攻击范围。同时,基于知识库信息,处置人员可获得相应的攻击处理建议,如加固策略、升级软件补丁等。
数据源包括防火墙发送的命中日志,用于查找“谁在敲门”;入侵检测和Web应用防火墙发送的告警日志,用于发现“谁在传输攻击数据”;防病毒系统发送的告警日志,用于通知“谁在植入恶意代码”;安全管理平台提供的登录日志和操作日志,用于查找“谁在操作设备”;以及由流量日志发送的流量信息,用于实现“攻击流量去了哪里”。
在数据处理方面,首先利用拓扑分析识别应急预案的十种场景,即电厂攻击主站、地调攻击省调、变电站攻击主站、Ⅲ区攻击Ⅰ区和Ⅱ区、Ⅲ区内攻击、Ⅰ区和Ⅱ区内攻击、Ⅳ区攻击Ⅲ区、其他跨区攻击、内部恶意代码攻击以及内网对外网的攻击。其次,通过告警分析识别攻击进程,如扫描探测、渗透、权限提升、后门植入等。第三,利用时间维度分析识别告警关联性并识别高级持续性威胁攻击。然后通过策略分析判断攻击是否成功及影响范围,并通过流量溯源分析感知攻击路径。最后通过设备状态分析,如CPU、内存、在线或离线状态,判断边界安全设备是否正常运行。
网络安全作战图将作为结果输出方式显示在大监控屏上,包括网络拓扑连接关系、边界设备运行状态、加密隧道策略运行状态以及流量传输状态。将从攻防两个维度展示当前的攻防态势。在攻击侧,首先进行攻击源分析,展示当前的攻击源、攻击路径、攻击程度和攻击目的;然后通过与知识库的比对分析,为处置人员提供针对当前具体事件的处理建议,以便分析和应对;最后结合历史事件和网络拓扑,分析攻击变化的趋势及影响范围。在防御侧,结合当前安全分区,重点监测Ⅳ区与Ⅱ区、Ⅱ区与Ⅲ区、地调与市调、主站与电厂与变电站边界的边界安全设备可用性,确保所有安全控制均处于可用状态,并呈现边界安全设备策略配置的合理性,主要体现为空闲率,并为处置人员提供修复建议,以便及时实施策略加固。当前实时防御事件的数量将在安全设备上显示。此外,可跟踪趋势变化,以图形化方式展示可能的攻击路径和可能的攻击范围,追踪攻击动态,并指出应急预案的相应场景和解决方案。
IV. 总结与展望
工业控制系统的发展速度和特性带来了多种安全挑战。本文提出了一种针对电力调度控制系统的智能网络安全防护策略以及潜在的有前景的解决方案。通过引入资产安全评估评分和攻击分析模型方案,实现了对多源数据的智能分析与处理。监控平台能够实现对安全威胁的快速检测,并提供实时应急处理建议。最终可提升整个电力调度控制系统的安全防护水平。
下一步需要研究智能安全决策与应急响应技术。围绕运行监控这一关键点,实现对安全事件的多尺度、多维度、细粒度的深度分析、检测与追踪,进一步应用知识工程算法,构建可验证且可迭代的网络安全事件推理优化机制和智能知识库,为运行监控及指挥人员提供相关的定制化专业知识手册和智能辅助决策。综合事件范围及对业务的影响,基于代理信任控制机制以及网络、安全设备等远程控制策略,设计合理的分级网络应急隔离措施,实现对会话、主机及电厂与变电站的远程多级分层隔离阻断。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
