張大松，姜洪朝，吳云峰

(中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京100083)

0 引言

電力工業(yè)是國(guó)家的重要基礎(chǔ)工業(yè)，電力系統(tǒng)作為國(guó)民生產(chǎn)生活的關(guān)鍵基礎(chǔ)設(shè)施具有舉足輕重的地位。隨著中國(guó)經(jīng)濟(jì)建設(shè)的蓬勃發(fā)展，能源供應(yīng)質(zhì)量成為直接關(guān)系工業(yè)生產(chǎn)穩(wěn)定的決定因素。電力作為一種優(yōu)質(zhì)能源具有極大的市場(chǎng)需求，并且需求量隨經(jīng)濟(jì)增長(zhǎng)而逐年增長(zhǎng)。

在高速經(jīng)濟(jì)增長(zhǎng)的推動(dòng)下，電力系統(tǒng)兩方面的矛盾十分突出。一方面，隨著中國(guó)工業(yè)的快速發(fā)展，特別是《中國(guó)制造2025》及工業(yè)化和信息化深度融合的推進(jìn)，電力安全生產(chǎn)的標(biāo)準(zhǔn)逐年提高，特別是安全保障方面的要求十分迫切。另一方面，隨著工業(yè)化和信息化以及能源互聯(lián)網(wǎng)的實(shí)際應(yīng)用，電力系統(tǒng)從相互相對(duì)獨(dú)立且完全與外網(wǎng)隔離發(fā)展為網(wǎng)絡(luò)化連接和信息化管理，并且逐步向互聯(lián)網(wǎng)開放。電力系統(tǒng)的信息化擴(kuò)大了傳統(tǒng)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)的發(fā)生范圍和傳遞通路，而開放化則引入了全面的無(wú)時(shí)不在的互聯(lián)網(wǎng)風(fēng)險(xiǎn)。

面對(duì)電力系統(tǒng)建設(shè)兩個(gè)方面的矛盾，提高系統(tǒng)的安全防護(hù)能力是同時(shí)解決兩方面矛盾的最佳選擇。當(dāng)前中國(guó)工業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)落后、安全系統(tǒng)脆弱、安全體系單薄，同時(shí)主觀上安全意識(shí)淡泊，因此加強(qiáng)網(wǎng)絡(luò)信息安全建設(shè)、提高工業(yè)的安全防護(hù)能力成為當(dāng)務(wù)之急。本文以電力行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全為例，提出多層次立體防護(hù)體系架構(gòu)，并應(yīng)用于實(shí)際的電力工控網(wǎng)絡(luò)系統(tǒng)中，保障電力生產(chǎn)安全。

1 火電工控系統(tǒng)

1.1 火電工控網(wǎng)絡(luò)架構(gòu)

大型火力發(fā)電廠一般都是全廠采用基于以太網(wǎng)的多層次大型網(wǎng)絡(luò)架構(gòu)，實(shí)際網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜。按照網(wǎng)絡(luò)層次一般分為以下幾層：

(1)現(xiàn)場(chǎng)控制層

控制層主要負(fù)責(zé)生產(chǎn)流程的過(guò)程控制，主要包括各種DCS分布式控制系統(tǒng)、工業(yè)控制器、數(shù)字量及模擬量數(shù)據(jù)采集模塊、動(dòng)力驅(qū)動(dòng)系統(tǒng)、現(xiàn)場(chǎng)總線設(shè)備、以及各種顯示操作儀器儀表等?？刂茖又饕瓿蓪?duì)系統(tǒng)設(shè)備的實(shí)時(shí)調(diào)節(jié)控制、順序控制、設(shè)備檢測(cè)、系統(tǒng)測(cè)試診斷、數(shù)據(jù)采集、狀態(tài)監(jiān)控、信號(hào)轉(zhuǎn)換等功能。

(2)現(xiàn)場(chǎng)監(jiān)控層

監(jiān)控層主要負(fù)責(zé)對(duì)生產(chǎn)操作控制過(guò)程的狀態(tài)監(jiān)控、系統(tǒng)組態(tài)維護(hù)、現(xiàn)場(chǎng)儀器設(shè)備管理等工作。監(jiān)控層一般布置負(fù)責(zé)各個(gè)分裝置的工程師站及操作員站，負(fù)責(zé)生產(chǎn)現(xiàn)場(chǎng)的管控。在小型電廠中，只需控制層和監(jiān)控層就可以滿足電力生產(chǎn)的控制需求。對(duì)于大型電廠，由于有更高的生產(chǎn)過(guò)程智能化和信息化要求，一般會(huì)布置更高層級(jí)的網(wǎng)絡(luò)層級(jí)。

(3)廠級(jí)SIS層

SIS層主要作用是對(duì)生產(chǎn)過(guò)程的廠級(jí)綜合管理和控制，向下連接全廠各種DCS、PLC等過(guò)程控制計(jì)算機(jī)系統(tǒng)，向上連接MIS管理信息系統(tǒng)，在整個(gè)網(wǎng)絡(luò)層級(jí)中起到承上啟下的作用。SIS系統(tǒng)能夠?qū)崿F(xiàn)整個(gè)電廠的資源共享、信息互通，提高資源和信息的使用效率，達(dá)到管控一體化的廠級(jí)綜合管控能力。

(4)MIS層

MIS層主要作用是對(duì)企業(yè)資源的綜合管理，能夠提供生產(chǎn)系統(tǒng)的宏觀信息、建立統(tǒng)一的管理平臺(tái)、整合各個(gè)系統(tǒng)資源、協(xié)調(diào)全廠信息資源的綜合調(diào)度。MIS層能夠提供一些高級(jí)功能，通過(guò)歷史數(shù)據(jù)，建立生產(chǎn)過(guò)程的優(yōu)化模型和故障診斷模型，對(duì)生產(chǎn)過(guò)程進(jìn)行優(yōu)化指導(dǎo)、參數(shù)調(diào)優(yōu)和智能故障診斷。

現(xiàn)有火電廠生產(chǎn)系統(tǒng)的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 火電廠工控網(wǎng)絡(luò)架構(gòu)

1.2 火電工控網(wǎng)絡(luò)層級(jí)安全挑戰(zhàn)

根據(jù)火電工控網(wǎng)絡(luò)架構(gòu)，火電工控網(wǎng)絡(luò)安全層級(jí)可以劃分為控制層、網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層等四個(gè)層級(jí)，每個(gè)層級(jí)都面臨不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。四個(gè)層級(jí)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)挑戰(zhàn)分析如下：

(1)控制層安全挑戰(zhàn)：PLC、DCS、SCADA等工業(yè)控制系統(tǒng)，在控制平臺(tái)、控制協(xié)議、控制軟件設(shè)計(jì)之初，主要考慮實(shí)時(shí)性和可靠性，一方面因?yàn)楹诵脑蠖嗍菄?guó)外廠家生產(chǎn)，存在后門、漏洞等風(fēng)險(xiǎn)；另一方面諸如完整性校驗(yàn)、身份認(rèn)證、授權(quán)、加密等信息安全功能都被忽略。隨著信息技術(shù)(IT)和操控技術(shù)(OT)的融合，打破了傳統(tǒng)的安全可信控制環(huán)境，網(wǎng)絡(luò)攻擊可從IT層滲透至OT層，但目前還缺乏有效應(yīng)對(duì)高級(jí)持續(xù)威脅(APT)攻擊檢測(cè)和防護(hù)的手段。

(2)網(wǎng)絡(luò)層安全挑戰(zhàn)：涵蓋工業(yè)網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、商業(yè)互聯(lián)網(wǎng)。網(wǎng)絡(luò)融合消除了原有的工業(yè)環(huán)境內(nèi)外部安全邊界，將互聯(lián)網(wǎng)、信息系統(tǒng)的安全風(fēng)險(xiǎn)引入工控網(wǎng)絡(luò)，包括網(wǎng)絡(luò)傳遞過(guò)程中常見的拒絕服務(wù)(DoS)、中間人攻擊等，以及傳輸鏈路上的軟硬件安全，無(wú)線網(wǎng)絡(luò)防護(hù)邊界模糊等安全風(fēng)險(xiǎn)。

(3)應(yīng)用層安全挑戰(zhàn)：企業(yè)信息化管理涉及的門戶網(wǎng)站、ERP、PDM、CRM以及云平臺(tái)等，除面臨傳統(tǒng)IT安全挑戰(zhàn)中的病毒、木馬、漏洞等威脅外，還面臨云平臺(tái)服務(wù)虛擬化中的違規(guī)接入、內(nèi)部入侵、多租戶風(fēng)險(xiǎn)、跳板入侵等威脅。

(4)數(shù)據(jù)層安全挑戰(zhàn)：指企業(yè)內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及企業(yè)外部數(shù)據(jù)，不管是大數(shù)據(jù)存儲(chǔ)還是分布式服務(wù)器存儲(chǔ)，都面臨數(shù)據(jù)丟失、竊取、篡改等安全風(fēng)險(xiǎn)。

2 火電工控網(wǎng)絡(luò)安全形勢(shì)

2.1 火電工控網(wǎng)絡(luò)安全現(xiàn)狀

當(dāng)前運(yùn)行中的火力發(fā)電廠工控系統(tǒng)普遍存在以下安全隱患：

(1)核心設(shè)備和系統(tǒng)嚴(yán)重依賴進(jìn)口：在火電廠的主控和輔控系統(tǒng)中，國(guó)外設(shè)備仍然處于主流地位，主要有艾默生、ABB、西門子、施耐德等國(guó)際品牌，國(guó)產(chǎn)品牌在一些機(jī)組上也有一定應(yīng)用，主要以國(guó)電智深、和利時(shí)、浙江中控為主。設(shè)備層和控制層的網(wǎng)絡(luò)風(fēng)險(xiǎn)從根本上一直存在。

(2)網(wǎng)絡(luò)安全軟件和設(shè)備功能不足：布置在各現(xiàn)場(chǎng)車間的網(wǎng)絡(luò)監(jiān)控層與廠級(jí)SIS層通訊多采用OPC協(xié)議，按照有關(guān)標(biāo)準(zhǔn)要求，需要添加工業(yè)防火墻用作邏輯隔離。然而，當(dāng)前很多電廠采用的防火墻并不支持OPC協(xié)議的動(dòng)態(tài)端口機(jī)制，也就無(wú)法配置安全策略，導(dǎo)致防火墻的隔離功能形同虛設(shè)。

(3)應(yīng)用軟件及操作系統(tǒng)維護(hù)不力：上層網(wǎng)絡(luò)的操作系統(tǒng)長(zhǎng)期不更新的情況大量存在，導(dǎo)致大量漏洞無(wú)法及時(shí)封堵，甚至長(zhǎng)期缺乏相關(guān)維護(hù)人員。一些網(wǎng)絡(luò)設(shè)備存在嚴(yán)重的系統(tǒng)漏洞，包括應(yīng)用軟件的漏洞，很容易被攻擊者發(fā)現(xiàn)和利用，在未授權(quán)的情況下訪問(wèn)或破壞設(shè)備系統(tǒng)。

(4)工控網(wǎng)絡(luò)各層互聯(lián)加深：當(dāng)前MIS與廠級(jí)SIS兩層網(wǎng)絡(luò)之間的互聯(lián)程度加深，上層信息網(wǎng)的安全威脅滲入下層控制網(wǎng)絡(luò)的機(jī)會(huì)大幅增加。

(5)安全管控不夠全面：電廠經(jīng)常發(fā)生外部電腦、存儲(chǔ)設(shè)備接入內(nèi)部網(wǎng)絡(luò)的造成危險(xiǎn)的事件，都是因?yàn)榕涮椎陌踩夹g(shù)措施和管理措施相對(duì)缺乏或者不夠完善，由此導(dǎo)致病毒進(jìn)入內(nèi)部系統(tǒng)中而造成破壞。

(6)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)不清晰：在系統(tǒng)出現(xiàn)故障后，無(wú)法及時(shí)了解實(shí)際網(wǎng)絡(luò)狀況，不能對(duì)故障的來(lái)源進(jìn)行追蹤定位，無(wú)法對(duì)網(wǎng)絡(luò)入侵行為、病毒、業(yè)務(wù)訪問(wèn)異常等問(wèn)題進(jìn)行細(xì)致分析處理。

2.2 火電工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)源

(1)工控設(shè)備通信防護(hù)脆弱

電廠工控系統(tǒng)中普遍采用的標(biāo)準(zhǔn)工控協(xié)議，如Modbus TCP、ProfiNet、Ethernet IP、ControlNet、OPC等協(xié)議，基本沒(méi)有加密措施，很容易被解析。工控系統(tǒng)在實(shí)時(shí)運(yùn)行時(shí)，系統(tǒng)維護(hù)、組態(tài)操作等功能缺乏認(rèn)證、完整性、審計(jì)方面的管理控制，DoS、IP-Spoofing等攻擊手段很容易侵入系統(tǒng)內(nèi)部。設(shè)備之間的網(wǎng)絡(luò)通信沒(méi)有加密認(rèn)證機(jī)制，通信數(shù)據(jù)中的重要數(shù)據(jù)、工藝過(guò)程、控制參數(shù)等信息很容易被攻擊者獲取，甚至關(guān)鍵代碼及數(shù)據(jù)被攻擊者修改。

(2)工控系統(tǒng)入口管理疏忽

電廠工控系統(tǒng)中存在各種口令：操作系統(tǒng)賬號(hào)、SCADA/HMI等應(yīng)用賬號(hào)、PLC讀寫口令、工業(yè)交換機(jī)/防火墻等網(wǎng)絡(luò)設(shè)備配置賬號(hào)、無(wú)線AP接入口令等，未設(shè)置口令、默認(rèn)口令、弱口令、共享口令等現(xiàn)象大量存在，很容易成為系統(tǒng)的安全脆弱點(diǎn)，成為攻擊的入口。最常見的弱口令問(wèn)題相當(dāng)于門戶大開，攻擊者很容易由此滲透至電廠內(nèi)部網(wǎng)絡(luò)，接管系統(tǒng)之后可操控執(zhí)行任何命令，獲取核心控制權(quán)之后可輕易使得整個(gè)工控系統(tǒng)崩潰。

(3)網(wǎng)絡(luò)邊界隔離措施不足

電廠不同的功能區(qū)域之間缺少必要的網(wǎng)絡(luò)邊界隔離措施，網(wǎng)絡(luò)邊界接入缺少嚴(yán)密的防護(hù)、認(rèn)證過(guò)程，為非法接入或錯(cuò)誤接入提供了可能。尤其是遠(yuǎn)程接入內(nèi)部網(wǎng)絡(luò)時(shí)，存在極大的遠(yuǎn)程控制和遠(yuǎn)程維護(hù)方面的安全風(fēng)險(xiǎn)。無(wú)線接入同樣存在IWLAN、GPRS方面的安全風(fēng)險(xiǎn)。由于邊界訪問(wèn)控制的缺乏，工控網(wǎng)絡(luò)極易受到來(lái)自外部網(wǎng)絡(luò)的攻擊，且受到攻擊后無(wú)法進(jìn)行追蹤。

(4)系統(tǒng)安全漏洞修復(fù)滯后

電廠工控系統(tǒng)中存在各種安全漏洞，操作系統(tǒng)、工業(yè)軟件、控制器、網(wǎng)絡(luò)設(shè)備等都會(huì)存在一些漏洞，以及不能及時(shí)修復(fù)的問(wèn)題，對(duì)電廠生產(chǎn)系統(tǒng)的安全帶來(lái)了極大隱患。漏洞不能及時(shí)修復(fù)的具體原因有：工控系統(tǒng)有嚴(yán)格的實(shí)時(shí)性、可用性要求，不能隨意停機(jī)進(jìn)行系統(tǒng)維護(hù)；漏洞修復(fù)之后可能導(dǎo)致系統(tǒng)兼容性問(wèn)題；漏洞修復(fù)可能帶來(lái)的不良影響無(wú)法預(yù)估；在修復(fù)漏洞時(shí)可能給系統(tǒng)帶來(lái)新的病毒、蠕蟲等惡意程序。

(5)安全事件監(jiān)控響應(yīng)欠缺

安全事件的監(jiān)控、管理與響應(yīng)機(jī)制不夠完善和全面，無(wú)法實(shí)現(xiàn)對(duì)整個(gè)電廠網(wǎng)絡(luò)的安全感知與管控。安全日志及其監(jiān)控、審計(jì)措施缺乏，在發(fā)生安全問(wèn)題后無(wú)法對(duì)整個(gè)電廠網(wǎng)絡(luò)的風(fēng)險(xiǎn)來(lái)源及發(fā)生過(guò)程進(jìn)行分析和追溯。安全事件的響應(yīng)及時(shí)性問(wèn)題也大量存在。

3 火電工控網(wǎng)絡(luò)多層次立體防護(hù)設(shè)計(jì)

3.1 需求分析

火電廠防護(hù)設(shè)計(jì)需求分析：

(1)滿足《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》(36號(hào)文)合規(guī)性要求。

(2)安全防護(hù)單元采用模塊化設(shè)計(jì)、分布式部署，能夠根據(jù)需要靈活布置在電廠網(wǎng)絡(luò)的各個(gè)層級(jí)。

(3)具備集中式監(jiān)測(cè)管控中心，能夠?qū)﹄姀S網(wǎng)絡(luò)整體安全態(tài)勢(shì)進(jìn)行展示、管理和監(jiān)測(cè)。

(4)安全防護(hù)單元具備電廠網(wǎng)絡(luò)各個(gè)層級(jí)的數(shù)據(jù)采集能力、協(xié)議深度解析能力、攻擊流量識(shí)別能力。

(5)安全防護(hù)單元具備對(duì)所在網(wǎng)絡(luò)的安全管理配置能力。

3.2 防護(hù)體系架構(gòu)

根據(jù)電廠的實(shí)際工控網(wǎng)絡(luò)架構(gòu)，該電廠網(wǎng)絡(luò)結(jié)構(gòu)可以劃分為：現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)監(jiān)控層、廠級(jí)SIS層、MIS層等四層。由于各個(gè)層面的網(wǎng)絡(luò)功能任務(wù)不同，各層的數(shù)據(jù)探針部署需要根據(jù)該層網(wǎng)絡(luò)數(shù)據(jù)流量的特點(diǎn)進(jìn)行方案設(shè)計(jì)，特別是該層網(wǎng)絡(luò)協(xié)議特點(diǎn)需要先進(jìn)行分析。

在現(xiàn)場(chǎng)控制層，協(xié)議類型主要是各種工業(yè)控制網(wǎng)絡(luò)的私有協(xié)議，通常為實(shí)時(shí)控制數(shù)據(jù)流，特點(diǎn)是周期性傳輸、傳輸周期短、傳輸幀長(zhǎng)簡(jiǎn)短。考慮到不影響該層網(wǎng)絡(luò)協(xié)議的實(shí)時(shí)性，采用旁路部署的方式，將數(shù)據(jù)采集探針部署在各網(wǎng)絡(luò)節(jié)點(diǎn)交換機(jī)的鏡像口。通過(guò)鏡像口將該網(wǎng)絡(luò)節(jié)點(diǎn)的所有流量數(shù)據(jù)復(fù)制出來(lái)，只接收網(wǎng)絡(luò)數(shù)據(jù)，不會(huì)向網(wǎng)絡(luò)節(jié)點(diǎn)注入任何流量，因此不會(huì)對(duì)控制層網(wǎng)絡(luò)產(chǎn)生任何影響，不會(huì)影響正常的生產(chǎn)工藝過(guò)程。

在現(xiàn)場(chǎng)監(jiān)控層，協(xié)議類型主要是向下的控制命令和向上的狀態(tài)反饋信息，有一定的實(shí)時(shí)性要求，控制命令數(shù)據(jù)簡(jiǎn)短、發(fā)送間隔不固定，狀態(tài)反饋信息一般發(fā)送周期固定、數(shù)據(jù)量適中。為了不影響該層的現(xiàn)有工作過(guò)程，將數(shù)據(jù)采集探針部署在環(huán)網(wǎng)核心交換機(jī)的鏡像口，通過(guò)鏡像口將該網(wǎng)絡(luò)節(jié)點(diǎn)的所有流量復(fù)制出來(lái)。

在SIS層，協(xié)議類型比較混雜，既有工控協(xié)議，也有TCP/IP協(xié)議，對(duì)協(xié)議數(shù)據(jù)的實(shí)時(shí)性要求進(jìn)一步降低，傳輸數(shù)據(jù)量較大，尤其在歷史累計(jì)數(shù)據(jù)需要傳輸?shù)臅r(shí)候。同樣，將數(shù)據(jù)采集探針部署在核心交換機(jī)的鏡像口復(fù)制所有網(wǎng)絡(luò)流量。

在MIS層，協(xié)議類型主要是以太網(wǎng)TCP/IP協(xié)議，數(shù)據(jù)傳輸量大，帶寬高，實(shí)時(shí)性要求低。同樣，將數(shù)據(jù)采集探針部署在核心交換機(jī)的鏡像口。

除了各層部署數(shù)據(jù)采集探針之外，在電廠工控網(wǎng)絡(luò)中心需要部署一臺(tái)數(shù)據(jù)服務(wù)器作為安全監(jiān)測(cè)中心，將分布式架構(gòu)部署的各個(gè)層級(jí)的數(shù)據(jù)采集探針進(jìn)行集中管理。同時(shí)，通過(guò)安全監(jiān)測(cè)中心能夠?qū)λ邪踩O(shè)備進(jìn)行統(tǒng)一管理和配置?；痣姀S安全態(tài)勢(shì)防護(hù)體系架構(gòu)如圖2所示。

3.3 數(shù)據(jù)探針

在電廠工控網(wǎng)絡(luò)的每個(gè)層級(jí)都會(huì)部署數(shù)據(jù)探針，數(shù)據(jù)探針負(fù)責(zé)本層級(jí)網(wǎng)絡(luò)的安全防護(hù)。數(shù)據(jù)探針主要由服務(wù)器硬件和功能軟件組成，功能軟件主要包括高速鏡像數(shù)據(jù)采集模塊、網(wǎng)絡(luò)協(xié)議深度分析及解析模塊、攻擊流量智能識(shí)別及分類模塊、網(wǎng)絡(luò)態(tài)勢(shì)可視化分析及展示模塊、管理配置模塊等。通過(guò)各個(gè)功能模塊的綜合處理分析，可以實(shí)現(xiàn)對(duì)本層網(wǎng)絡(luò)的網(wǎng)絡(luò)風(fēng)險(xiǎn)識(shí)別、分析和處理。

圖2 火電廠安全態(tài)勢(shì)防護(hù)體系架構(gòu)

3.3.1 數(shù)據(jù)采集

網(wǎng)絡(luò)流量數(shù)據(jù)采集模塊能夠采集數(shù)據(jù)鏈路層及以上的流量數(shù)據(jù)，對(duì)于常規(guī)網(wǎng)絡(luò)協(xié)議能夠直接進(jìn)行解析，主要包括Web相關(guān)協(xié)議(HTTP)、Mail相關(guān)協(xié)議(SMTP、POP3、IMAP)、文件相關(guān)協(xié)議(FTP、Samba)等。對(duì)于基于以太網(wǎng)的工控網(wǎng)絡(luò)協(xié)議及其他特殊協(xié)議則是借助于網(wǎng)絡(luò)協(xié)議深度分析及解析模塊進(jìn)行解析，比如POWERLINK、EtherNet/IP、OPC、S7、Modbus、Profinet、EtherCAT、SERCOS III、IEC等主流工控協(xié)議。

3.3.2 網(wǎng)絡(luò)協(xié)議深度分析及解析

網(wǎng)絡(luò)協(xié)議深度分析及解析模塊借助于數(shù)據(jù)包深度解析引擎，能夠識(shí)別和解析當(dāng)前主流工控協(xié)議，對(duì)于常用工控協(xié)議能夠?qū)崿F(xiàn)指令級(jí)檢測(cè)和審計(jì)。目前，數(shù)據(jù)包深度解析引擎能夠支持10多種主流工控協(xié)議。在保證電廠工控系統(tǒng)可用性與完整性的基礎(chǔ)上，對(duì)數(shù)據(jù)包的網(wǎng)絡(luò)標(biāo)識(shí)、時(shí)間歷程、有效數(shù)據(jù)特征、負(fù)荷數(shù)據(jù)類型等進(jìn)行進(jìn)一步檢測(cè)分析，并將分析結(jié)果處理成易于人類理解的內(nèi)容，便于人工輔助判斷。

對(duì)于常規(guī)協(xié)議也能夠進(jìn)行深度分析，對(duì)于HTTP、SMTP、POP3、RPC、TELNET、FTP、TFTP、SNMP、SNTP等傳統(tǒng)網(wǎng)絡(luò)通信協(xié)議進(jìn)行深度解析后，能夠深度還原網(wǎng)絡(luò)通信設(shè)備之間的通信內(nèi)容。

對(duì)于深度解析后的重要網(wǎng)絡(luò)通信事件能夠進(jìn)行記錄，并全流量保存原始數(shù)據(jù)，便于用戶對(duì)安全事件進(jìn)行各種有針對(duì)性的安全回溯查詢。

3.3.3 攻擊流量智能識(shí)別及分類

攻擊流量智能識(shí)別及分類模塊基于網(wǎng)絡(luò)協(xié)議深度解析的結(jié)果，進(jìn)行危險(xiǎn)流量的檢測(cè)判定及危險(xiǎn)類型和等級(jí)分類。該模塊采用單分類支持向量機(jī)建立針對(duì)探針?biāo)趯蛹?jí)網(wǎng)絡(luò)特點(diǎn)的攻擊識(shí)別及分類機(jī)器學(xué)習(xí)模型，實(shí)現(xiàn)主機(jī)、通信、會(huì)話、指令、內(nèi)容、工藝等各種環(huán)境的攻擊流量檢測(cè)，建立多層次、多維度的安全網(wǎng)絡(luò)環(huán)境，為網(wǎng)絡(luò)中的通信事件提供安全風(fēng)險(xiǎn)分析依據(jù)。

通過(guò)智能化的機(jī)器學(xué)習(xí)模型，能夠有效識(shí)別、告警已知危險(xiǎn)流量，對(duì)于未知危險(xiǎn)流量，能夠通過(guò)學(xué)習(xí)建立未知危險(xiǎn)流量的特征，同時(shí)進(jìn)行識(shí)別。通過(guò)智能化機(jī)器學(xué)習(xí)建立的危險(xiǎn)流量特征比較穩(wěn)定和顯著，能夠極大地降低誤報(bào)率，同時(shí)提高了系統(tǒng)運(yùn)行的有效性、穩(wěn)定性。基于多個(gè)層級(jí)的流量特征監(jiān)測(cè)和分析有利于掌控整個(gè)電廠生產(chǎn)控制網(wǎng)絡(luò)的安全態(tài)勢(shì)，及時(shí)調(diào)整和部署有效的安全策略，以達(dá)到消除網(wǎng)絡(luò)系統(tǒng)中安全隱患的目的，實(shí)現(xiàn)網(wǎng)絡(luò)全系統(tǒng)的持續(xù)安全運(yùn)營(yíng)和智能化的網(wǎng)絡(luò)安全管理。

3.3.4 網(wǎng)絡(luò)態(tài)勢(shì)可視化分析及展示

可視化分析及展示模塊能夠?qū)Ξ?dāng)前網(wǎng)絡(luò)態(tài)勢(shì)的監(jiān)測(cè)結(jié)果進(jìn)行宏觀分析和展示，根據(jù)內(nèi)置的數(shù)據(jù)模型能夠?qū)ο盗邪踩录M(jìn)行智能化分析，包括事件聚類分析、樣本聚類分析、時(shí)間序列歷程分析、時(shí)間序列相關(guān)分析等。展示內(nèi)容包括攻擊來(lái)源、攻擊目標(biāo)、攻擊類型、攻擊時(shí)間等詳細(xì)的事件記錄信息。

3.3.5 管理配置模塊

管理配置模塊能夠?qū)?shù)據(jù)探針的工業(yè)協(xié)議庫(kù)、協(xié)議解析參數(shù)、攻擊信息庫(kù)、行為模型庫(kù)、用戶權(quán)限和行為范圍等進(jìn)行管理和配置。該模塊能夠自動(dòng)監(jiān)控所在網(wǎng)絡(luò)的接入設(shè)備，根據(jù)設(shè)備的通信特征識(shí)別各種類型的控制器、服務(wù)器，自動(dòng)生成網(wǎng)絡(luò)拓?fù)洹?/p>

4 結(jié)論

本文通過(guò)對(duì)電力行業(yè)的工控網(wǎng)絡(luò)架構(gòu)、安全風(fēng)險(xiǎn)、防護(hù)現(xiàn)狀等網(wǎng)絡(luò)安全問(wèn)題進(jìn)行研究分析，按照電力系統(tǒng)的安全防護(hù)總體原則及相關(guān)標(biāo)準(zhǔn)規(guī)范，針對(duì)電力生產(chǎn)分區(qū)的特點(diǎn)及網(wǎng)絡(luò)要求，提出了以數(shù)據(jù)探針為組成單元的能夠覆蓋電廠工控網(wǎng)絡(luò)各個(gè)層級(jí)并配置監(jiān)測(cè)中心服務(wù)器的安全防護(hù)架構(gòu)，能夠解析多種工控協(xié)議，對(duì)已知和未知危險(xiǎn)流量進(jìn)行識(shí)別和學(xué)習(xí)，并將宏觀網(wǎng)絡(luò)態(tài)勢(shì)以可視化的方式展示出來(lái)。安全防護(hù)架構(gòu)具有多層次、立體化、智能化的顯著特點(diǎn)，能夠深度有效的保護(hù)電廠生產(chǎn)網(wǎng)絡(luò)系統(tǒng)。