“告警：35千伏制藥廠(chǎng)站監(jiān)測(cè)到網(wǎng)絡(luò)流量突變，遠(yuǎn)動(dòng)裝置開(kāi)放21端口，存在匿名訪(fǎng)問(wèn)。”2月17日，山東濟(jì)南供電公司基于流量分析的可視化網(wǎng)絡(luò)安全分析平臺(tái)(以下簡(jiǎn)稱(chēng)“可視化網(wǎng)絡(luò)安全分析平臺(tái)”)的監(jiān)控屏幕上，可視化網(wǎng)絡(luò)流量實(shí)時(shí)曲線(xiàn)出現(xiàn)異常波動(dòng)，同時(shí)推送出一則告警信息。根據(jù)漏洞掃描驗(yàn)證提示，該公司調(diào)度控制中心網(wǎng)絡(luò)安全運(yùn)維員張鈺瑩輕點(diǎn)鼠標(biāo)，遠(yuǎn)程關(guān)閉異常端口，完成對(duì)目標(biāo)場(chǎng)站網(wǎng)絡(luò)的一鍵加固。

　　可視化網(wǎng)絡(luò)安全分析平臺(tái)融合了人工智能、可視化與網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)，具備網(wǎng)絡(luò)流量分析、智能自主學(xué)習(xí)及網(wǎng)絡(luò)在線(xiàn)加固功能，能夠準(zhǔn)確識(shí)別正常調(diào)度業(yè)務(wù)數(shù)據(jù)傳輸?shù)亩丝谠L(fǎng)問(wèn)和流量走向，實(shí)現(xiàn)對(duì)非業(yè)務(wù)訪(fǎng)問(wèn)、異常入侵和違規(guī)外聯(lián)等情況的精準(zhǔn)定位和實(shí)時(shí)追蹤。2021年以來(lái)，濟(jì)南供電公司貫徹落實(shí)國(guó)家電網(wǎng)有限公司網(wǎng)絡(luò)安全方面部署要求，加快構(gòu)建新型電力系統(tǒng)安全防御體系，于1月14日建成該平臺(tái)。

　　網(wǎng)絡(luò)流量分析

　　從“靜態(tài)布防”到“動(dòng)態(tài)感知”

　　隨著新型電力系統(tǒng)建設(shè)的推進(jìn)，新一代主站系統(tǒng)、變電站二次系統(tǒng)、集控站系統(tǒng)等二次業(yè)務(wù)快速發(fā)展，系統(tǒng)網(wǎng)絡(luò)邊界不斷延伸，場(chǎng)站接入數(shù)量持續(xù)增加，網(wǎng)絡(luò)安全防護(hù)專(zhuān)業(yè)管轄范圍和管理壓力隨之增大，對(duì)網(wǎng)絡(luò)安全防護(hù)手段多樣化、策略精細(xì)化、技術(shù)智能化等方面提出更高要求。

　　“現(xiàn)有電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全監(jiān)測(cè)功能大多基于黑白名單策略，對(duì)電力監(jiān)控系統(tǒng)特有的高危端口訪(fǎng)問(wèn)風(fēng)險(xiǎn)應(yīng)對(duì)能力不足，無(wú)法全態(tài)勢(shì)感知網(wǎng)絡(luò)環(huán)境。”濟(jì)南供電公司調(diào)控中心員工林祺蓉說(shuō)。

　　針對(duì)目前網(wǎng)絡(luò)安全工作的實(shí)際，濟(jì)南供電公司以完善防御體系為目標(biāo)，依托新一代調(diào)控一體化系統(tǒng)，自主研發(fā)可視化網(wǎng)絡(luò)安全分析平臺(tái)，在主站與場(chǎng)站入網(wǎng)設(shè)備中安裝工控流量安全風(fēng)險(xiǎn)監(jiān)測(cè)裝置，并將監(jiān)測(cè)裝置數(shù)據(jù)接入該平臺(tái)。

　　同時(shí)，濟(jì)南供電公司在黑白名單策略基礎(chǔ)上，綜合利用流量解析、協(xié)議分析等技術(shù)，根據(jù)主站、變電站和電廠(chǎng)業(yè)務(wù)類(lèi)型特點(diǎn)打造電力監(jiān)控系統(tǒng)數(shù)據(jù)流量特征庫(kù)，開(kāi)發(fā)基于特征庫(kù)的流量識(shí)別技術(shù)，為系統(tǒng)背景流量識(shí)別提供智能匹配模板，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境的全方位實(shí)時(shí)監(jiān)測(cè)。

　　“電力監(jiān)控系統(tǒng)異常訪(fǎng)問(wèn)會(huì)引起網(wǎng)絡(luò)流量的異常波動(dòng)。基于流量分析及可視化展示功能，平臺(tái)能夠快速發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境中的細(xì)微異常，輔助網(wǎng)安監(jiān)控人員及時(shí)處置。”林祺蓉介紹。

　　智能自主學(xué)習(xí)

　　從“被動(dòng)防護(hù)”到“主動(dòng)免疫”

　　“可視化網(wǎng)絡(luò)安全分析平臺(tái)發(fā)出告警，110千伏齊川站遠(yuǎn)動(dòng)設(shè)備與未知主機(jī)產(chǎn)生2024端口網(wǎng)絡(luò)流量。”1月29日上午，張鈺瑩收到告警信息后，立即向濟(jì)南供電公司調(diào)度控制中心自動(dòng)化運(yùn)維班班長(zhǎng)賈玉健報(bào)告并組織排查。與站端核查后，張鈺瑩確認(rèn)告警是由場(chǎng)站人員使用未經(jīng)授權(quán)的調(diào)試筆記本對(duì)遠(yuǎn)動(dòng)設(shè)備進(jìn)行運(yùn)維操作引起的，立即遠(yuǎn)程關(guān)閉了該端口。

　　賈玉健介紹，對(duì)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)系統(tǒng)來(lái)說(shuō)，常用業(yè)務(wù)端口在白名單之列，正常情況下并不會(huì)產(chǎn)生告警。這種情況下，常用業(yè)務(wù)端口非授權(quán)訪(fǎng)問(wèn)等違規(guī)操作難以管控，電網(wǎng)監(jiān)控系統(tǒng)存在誤操作或被惡意攻擊破壞的風(fēng)險(xiǎn)。“可視化網(wǎng)絡(luò)安全分析平臺(tái)可以從電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)采集數(shù)據(jù)包，通過(guò)解析網(wǎng)絡(luò)流量，深度分析網(wǎng)絡(luò)協(xié)議，智能匹配系統(tǒng)內(nèi)置的協(xié)議特征庫(kù)和設(shè)備對(duì)象，及時(shí)監(jiān)測(cè)到常用業(yè)務(wù)端口的非授權(quán)訪(fǎng)問(wèn)，規(guī)避此類(lèi)風(fēng)險(xiǎn)。”賈玉健說(shuō)。

　　近年來(lái)，隨著新型攻擊手段不斷出現(xiàn)，網(wǎng)絡(luò)安全亟須與新技術(shù)保持同步發(fā)展，持續(xù)更新防護(hù)技術(shù)和裝備。

　　可視化網(wǎng)絡(luò)安全分析平臺(tái)可結(jié)合特定的安全策略，智能輔助網(wǎng)安運(yùn)維人員實(shí)時(shí)掌握網(wǎng)絡(luò)運(yùn)行狀況，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問(wèn)題，主動(dòng)感知系統(tǒng)安全態(tài)勢(shì)，提升網(wǎng)絡(luò)內(nèi)生免疫能力。同時(shí)，該平臺(tái)還擁有自主學(xué)習(xí)能力，能夠在網(wǎng)絡(luò)攻擊訓(xùn)練及網(wǎng)絡(luò)安防實(shí)戰(zhàn)中自動(dòng)更新黑白名單庫(kù)，改變以往網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的黑白名單庫(kù)需人工維護(hù)的傳統(tǒng)操作，大大提高網(wǎng)絡(luò)安全防護(hù)能力。“有了人工智能技術(shù)加持，平臺(tái)便具備了主動(dòng)適應(yīng)各類(lèi)新型網(wǎng)絡(luò)安全攻擊的能力，在瞬息萬(wàn)變的網(wǎng)絡(luò)安全防護(hù)戰(zhàn)場(chǎng)中不斷迭代成長(zhǎng)。”賈玉健說(shuō)。

　　網(wǎng)絡(luò)在線(xiàn)加固

　　從“事后應(yīng)對(duì)”到“事前防范”

　　1月14日下午，濟(jì)南供電公司自動(dòng)化運(yùn)維班班員施雨對(duì)可視化網(wǎng)絡(luò)安全分析平臺(tái)下達(dá)了漏洞掃描驗(yàn)證指令。2分鐘后，平臺(tái)給出詳細(xì)的漏洞掃描報(bào)告，其中包括漏洞修復(fù)建議。根據(jù)漏洞修復(fù)建議，施雨通過(guò)安全隧道技術(shù)對(duì)工控網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程在線(xiàn)加固。

　　“網(wǎng)絡(luò)安全工作是技術(shù)上的攻防對(duì)抗，有效的技術(shù)手段能夠快速遏制和阻斷網(wǎng)絡(luò)攻擊破壞，也能推動(dòng)管理手段升級(jí)，助力我們構(gòu)建完備的網(wǎng)絡(luò)安全管理體系。”施雨說(shuō)。

　　以往各類(lèi)漏洞的處置往往發(fā)生在異常告警后，且需要網(wǎng)安運(yùn)維人員到現(xiàn)場(chǎng)排查處理，速度慢、效率低。可視化網(wǎng)絡(luò)安全分析平臺(tái)具備漏洞掃描評(píng)估功能，能夠根據(jù)已有的安全漏洞知識(shí)庫(kù)，通過(guò)模擬黑客攻擊的方式遠(yuǎn)程檢測(cè)評(píng)估范圍內(nèi)的設(shè)備，掃描發(fā)現(xiàn)網(wǎng)絡(luò)協(xié)議、設(shè)備裝置、網(wǎng)絡(luò)設(shè)備等各種信息資產(chǎn)存在的安全隱患和漏洞，并給出漏洞修復(fù)建議。

　　從實(shí)時(shí)監(jiān)測(cè)、漏洞掃描到加固網(wǎng)絡(luò)，網(wǎng)安運(yùn)維人員運(yùn)用平臺(tái)即可“一條龍”解決問(wèn)題，無(wú)需再前往站端排查，實(shí)現(xiàn)網(wǎng)安管理模式從“事后應(yīng)對(duì)”轉(zhuǎn)變?yōu)?ldquo;事前防范”，顯著提升網(wǎng)絡(luò)安全管理工作效率。按照濟(jì)南供電公司的推廣計(jì)劃，該平臺(tái)將逐步覆蓋該公司調(diào)度大樓控制系統(tǒng)、濟(jì)南地區(qū)所有變電站及發(fā)電廠(chǎng)站，進(jìn)一步減輕電網(wǎng)監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全運(yùn)維壓力。（張治林、趙普）