車妍

摘 要：發(fā)電廠網(wǎng)絡(luò)信息態(tài)勢(shì)感知主要包含網(wǎng)絡(luò)資產(chǎn)分析、資產(chǎn)脆弱性感知、安全事件探討、網(wǎng)絡(luò)威脅分析、網(wǎng)絡(luò)攻擊查找以及網(wǎng)絡(luò)風(fēng)險(xiǎn)分析系統(tǒng)。在此基礎(chǔ)之上針對(duì)發(fā)電廠的實(shí)際運(yùn)營(yíng)情況，了解相關(guān)需求，提出微觀、中觀和宏觀的網(wǎng)絡(luò)安全態(tài)勢(shì)感知功能框架，以解決網(wǎng)絡(luò)信息的威脅，提升系統(tǒng)的安全性等級(jí)?；诖耍疚闹饕治霭l(fā)電廠網(wǎng)絡(luò)與信息系統(tǒng)安全現(xiàn)狀及建立態(tài)勢(shì)感知系統(tǒng)的意義，分析建立策略，促進(jìn)發(fā)電廠網(wǎng)絡(luò)信息安全的保護(hù)，建立有效的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，整合安全管理團(tuán)隊(duì)、安全分析團(tuán)隊(duì)、安全響應(yīng)團(tuán)隊(duì)，對(duì)于發(fā)電廠產(chǎn)生的危險(xiǎn)事件進(jìn)行全方面的匯總。

關(guān)鍵詞：發(fā)電廠;網(wǎng)絡(luò)信息;態(tài)勢(shì)感知;網(wǎng)絡(luò)安全

引 言

當(dāng)前，隨著智慧城市和智能電網(wǎng)的建設(shè)，發(fā)電廠的信息安全系統(tǒng)不斷升級(jí)，通過局域網(wǎng)建設(shè)等方法以及數(shù)字控制的路徑，對(duì)于發(fā)電機(jī)組和各類設(shè)備進(jìn)行全方面的數(shù)字化監(jiān)控。同時(shí)，發(fā)電廠還與外網(wǎng)進(jìn)行連接，提高電力調(diào)度的效率。但在這個(gè)過程當(dāng)中發(fā)電廠也會(huì)面臨顯著的安全威脅，尤其是信息被盜取以及網(wǎng)絡(luò)路徑被攻擊，只有提高網(wǎng)絡(luò)構(gòu)建的安全性，才能夠?qū)Πl(fā)電廠的運(yùn)行網(wǎng)絡(luò)進(jìn)行安全保護(hù)。

一、發(fā)電廠網(wǎng)絡(luò)信息態(tài)勢(shì)感知平臺(tái)建設(shè)的價(jià)值

首先，網(wǎng)絡(luò)信息安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，可以提升發(fā)電廠的信息防御能力。針對(duì)發(fā)電廠個(gè)性發(fā)電機(jī)組、發(fā)電產(chǎn)品以及發(fā)電服務(wù)進(jìn)行防御性的路徑攻擊，這個(gè)關(guān)鍵目標(biāo)的實(shí)現(xiàn)可以提升發(fā)電場(chǎng)日常管理的安全性，迎接各方面的攻擊，通過事前的攔截作用，減少安全管理面臨的難度。其次，網(wǎng)絡(luò)信息安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，可以提高發(fā)電廠信息管理的檢測(cè)能力，分析防御網(wǎng)絡(luò)當(dāng)中存在的路徑威脅，尤其是可能會(huì)造成發(fā)電機(jī)組停擺的關(guān)鍵威脅，分析潛在的損失，測(cè)量自己目前所處的被攻擊狀態(tài)。再次，網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，可以提升發(fā)電廠的回溯能力，尤其是在發(fā)電機(jī)組故障出現(xiàn)以及故障查找的過程當(dāng)中，通過內(nèi)部分析和外部功能性分析，高效開展全方面的調(diào)查，從而確定事故的原因和侵襲的來源。避免在安全防范的過程當(dāng)中，對(duì)方產(chǎn)生新的攻擊手段而造成新型的事故。最后，安全態(tài)勢(shì)感知平臺(tái)的建設(shè)還可以提高發(fā)電廠的預(yù)測(cè)能力，尤其是從外部監(jiān)控下的黑客行動(dòng)當(dāng)中進(jìn)行系統(tǒng)性的學(xué)習(xí)，針對(duì)發(fā)電廠面臨的威脅，找準(zhǔn)安全管理系統(tǒng)的漏洞，確定安全管理的優(yōu)先級(jí)，從而做到全方面的預(yù)防和檢測(cè)。

二、發(fā)電廠安全態(tài)勢(shì)感知平臺(tái)工作原理

安全態(tài)勢(shì)感知平臺(tái)的建設(shè)主要是基于大數(shù)據(jù)技術(shù)、人工智能技術(shù)，增加機(jī)械的自我迭代與自我學(xué)習(xí)，發(fā)現(xiàn)安全事件進(jìn)行準(zhǔn)確的挖掘，通過全方面的戰(zhàn)略部署，將發(fā)電廠的各項(xiàng)機(jī)組人員團(tuán)隊(duì)整合在一起，實(shí)現(xiàn)網(wǎng)絡(luò)信息安全的主動(dòng)防御和全方面的數(shù)據(jù)分析。一方面，該信息平臺(tái)建立預(yù)警系統(tǒng)，監(jiān)控各項(xiàng)發(fā)電機(jī)組的運(yùn)行數(shù)據(jù)，通過可視化的界面，了解各部分的發(fā)電狀態(tài)，尤其是發(fā)電機(jī)組的拓?fù)鋱D形、發(fā)電機(jī)組目前所處的數(shù)字化階段，通過監(jiān)控大屏對(duì)于相關(guān)的網(wǎng)絡(luò)安全信息進(jìn)行統(tǒng)籌，還可以自動(dòng)生成系統(tǒng)性的周報(bào)、月報(bào)。安全管理負(fù)責(zé)人可以基于這個(gè)平臺(tái)合理的部署內(nèi)容，制定安全管理策略，提高系統(tǒng)的執(zhí)行性。另一方面，態(tài)勢(shì)感知平臺(tái)可以對(duì)安全問題進(jìn)行自動(dòng)地處理和科學(xué)的判斷，例如發(fā)電廠面臨的蠕蟲病毒、網(wǎng)絡(luò)戰(zhàn)攻擊、SQL注入、JBOSS反序列化以及挖礦木馬等等，主動(dòng)的進(jìn)行代碼的查找，分析發(fā)電廠所面臨的具體病毒環(huán)境，確定病毒的感染終端傳播路徑，并通過IP查找的方式確定源地址、目的地址、用戶認(rèn)證數(shù)據(jù)，發(fā)現(xiàn)病毒的潛伏期，通過漏洞上傳，執(zhí)行payload傳播程序，使得勒索病毒被全面的控制，從而改善整體的應(yīng)用效果。從目前的應(yīng)用成果來看，發(fā)電廠構(gòu)建安全態(tài)勢(shì)感知平臺(tái)以后，安全監(jiān)控的范圍持續(xù)擴(kuò)大，危險(xiǎn)發(fā)現(xiàn)的及時(shí)性不斷提升，安全管理效率改善，宏觀群理解成本也不斷降低，有利于發(fā)電廠的可持續(xù)建設(shè)與發(fā)展。

三、發(fā)電廠信息網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)建設(shè)路徑

（一）微觀層面態(tài)勢(shì)感知

微觀層面的態(tài)勢(shì)感知主要是分析：（1）發(fā)電廠目前的網(wǎng)絡(luò)資產(chǎn)，主要是發(fā)電廠的設(shè)備。（2）信息網(wǎng)絡(luò)系統(tǒng)管理的脆弱性，也就是人員組織的力度、數(shù)據(jù)管理的層次性。（3）告知警報(bào)事件，分析當(dāng)前受到的網(wǎng)絡(luò)威脅，面臨的攻擊和具體面對(duì)的風(fēng)險(xiǎn)。（4）建立信息分析的閉環(huán)，具體包含采集發(fā)電廠相關(guān)設(shè)備的運(yùn)行數(shù)據(jù)，機(jī)組運(yùn)行安全性的數(shù)據(jù)，以及網(wǎng)絡(luò)設(shè)備的管理數(shù)據(jù)、主機(jī)設(shè)備的運(yùn)行數(shù)據(jù)、數(shù)據(jù)庫(kù)的建立以及中間件數(shù)據(jù)的安全，探討哪些網(wǎng)絡(luò)路徑可能會(huì)威脅這些平臺(tái)存在的安全線。微觀層面的態(tài)勢(shì)感知平臺(tái)部署，主要是采用分布式部署方法，該種方法適用于發(fā)電廠等規(guī)模大的企業(yè)布置。例如廣州某發(fā)電廠就采取管理配置服務(wù)器、大數(shù)據(jù)服務(wù)器集群、集中部署采集器等方法，匯總數(shù)據(jù)上傳數(shù)據(jù)。該匯總系統(tǒng)下設(shè)三個(gè)采集區(qū)域，可以對(duì)全企業(yè)范圍內(nèi)的微觀信息層面進(jìn)行全方面的感知，形成集中式的采集器集群。

首先，在微觀層面態(tài)勢(shì)感知平臺(tái)的建設(shè)當(dāng)中，要通過安全運(yùn)營(yíng)人員，對(duì)整個(gè)系統(tǒng)進(jìn)行構(gòu)造。主要包含安全管理團(tuán)隊(duì)、安全分析團(tuán)隊(duì)、安全響應(yīng)團(tuán)隊(duì)。其次，對(duì)各個(gè)團(tuán)隊(duì)的主要負(fù)責(zé)內(nèi)容進(jìn)行全方面的界定，從而發(fā)揮定崗定責(zé)的崗位責(zé)任優(yōu)勢(shì)：（1）安全管理團(tuán)隊(duì)主要負(fù)責(zé)調(diào)查分析、工單管理、統(tǒng)計(jì)報(bào)表、資產(chǎn)管理、漏洞管理、事件管理、威脅預(yù)警管理，通過大數(shù)據(jù)的可視化技術(shù)，將業(yè)務(wù)應(yīng)用系統(tǒng)上傳的數(shù)據(jù)資料進(jìn)行全方面的可視化呈現(xiàn)。（2）安全分析團(tuán)隊(duì)主要進(jìn)行大數(shù)據(jù)搜索、大數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)分析、人工智能分析、基于大數(shù)據(jù)存儲(chǔ)與計(jì)算平臺(tái)進(jìn)行各項(xiàng)分析系統(tǒng)的匯總。（3）安全響應(yīng)團(tuán)隊(duì)主要是對(duì)內(nèi)部數(shù)據(jù)進(jìn)行全方面的采集，這些內(nèi)部數(shù)據(jù)包含中間件日志數(shù)據(jù)、數(shù)據(jù)庫(kù)日志、應(yīng)用系統(tǒng)日志、engines采集數(shù)據(jù)網(wǎng)絡(luò)、流量數(shù)據(jù)、主機(jī)日志、網(wǎng)絡(luò)設(shè)備日志、安全設(shè)備日志。從而發(fā)現(xiàn)發(fā)電機(jī)組面臨的各項(xiàng)風(fēng)險(xiǎn)和問題，及時(shí)進(jìn)行數(shù)據(jù)結(jié)構(gòu)的調(diào)整。最后，在微觀層面上，各團(tuán)隊(duì)配合在一起可以形成網(wǎng)絡(luò)威脅情報(bào)的匯總，建立不同網(wǎng)絡(luò)路徑的信譽(yù)庫(kù)，及時(shí)發(fā)現(xiàn)漏洞、DDoS攻擊事件和釣魚威脅。

（二）中觀層面態(tài)勢(shì)感知

中觀層面的態(tài)勢(shì)感知可方便發(fā)電廠的中層管理人員進(jìn)行職能的部署，各層級(jí)的主管人員可以根據(jù)自己部門的職責(zé)，建立相映的網(wǎng)絡(luò)態(tài)勢(shì)安全保障系統(tǒng)，并發(fā)布相映的網(wǎng)絡(luò)安全管理指令，對(duì)其他管理部門進(jìn)行有效的追責(zé)和監(jiān)管。中觀層面的態(tài)勢(shì)感知平臺(tái)是一項(xiàng)系統(tǒng)性網(wǎng)絡(luò)構(gòu)建體系，根據(jù)分級(jí)分域的架構(gòu)原則，獲得基本架構(gòu)屬性，在邏輯上和原理上，與微觀層面態(tài)勢(shì)感知平臺(tái)類似。但是可以通過集中部署的功能，彌補(bǔ)微觀層面態(tài)勢(shì)感知平臺(tái)的不足。中觀層面的感知平臺(tái)可以提升匯聚能力，并向上線下進(jìn)行聯(lián)動(dòng)，發(fā)出平臺(tái)預(yù)警警報(bào)，具體部署方式主要分為一級(jí)部署方式、二級(jí)部署方式和三級(jí)部署方式。發(fā)電廠采取的部署方式主要是三層部署方式，適應(yīng)當(dāng)前發(fā)電廠規(guī)模大、與其他部門聯(lián)動(dòng)強(qiáng)的發(fā)展趨勢(shì)。該部署平臺(tái)可以根據(jù)重要安全事件、運(yùn)行狀態(tài)和知識(shí)庫(kù)三個(gè)體系進(jìn)行實(shí)時(shí)更新，向上發(fā)出預(yù)警，向下更新指令，實(shí)現(xiàn)發(fā)電廠的多區(qū)域聯(lián)動(dòng)和多項(xiàng)協(xié)同響應(yīng)。

例如，在關(guān)聯(lián)規(guī)則引擎層次，發(fā)電廠管理人員就可以根據(jù)態(tài)勢(shì)感知平臺(tái)上傳的大量日志信息，進(jìn)行實(shí)時(shí)的數(shù)據(jù)流解析，發(fā)派各個(gè)部門工作的關(guān)聯(lián)性規(guī)則，對(duì)于生產(chǎn)設(shè)備和運(yùn)營(yíng)團(tuán)隊(duì)產(chǎn)生的異常行為進(jìn)行有效的關(guān)聯(lián)警告，提醒運(yùn)營(yíng)和維修團(tuán)隊(duì)及時(shí)地住派人手進(jìn)行設(shè)備狀態(tài)的檢查。在終端管理層面、態(tài)勢(shì)平臺(tái)的建設(shè)以網(wǎng)絡(luò)高級(jí)威脅發(fā)現(xiàn)，為最終目的對(duì)安全事件進(jìn)行追溯，并且了解終端DNS的請(qǐng)求行為，改變自動(dòng)響應(yīng)功能，提升發(fā)電廠的威脅檢測(cè)效率，建設(shè)閉環(huán)響應(yīng)系統(tǒng)。

（三）宏觀層面態(tài)勢(shì)感知

宏觀層面的態(tài)勢(shì)感知主要是對(duì)發(fā)電廠遇到的安全威脅事件進(jìn)行全方面的態(tài)勢(shì)呈現(xiàn)，具體包含以下幾個(gè)路徑：第一，全面獲取數(shù)據(jù)，根據(jù)微觀層面的網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)上傳的態(tài)勢(shì)信息、事件信息、警報(bào)信息、應(yīng)急管理信息，匯總成為威脅情報(bào)中心，該中心成員對(duì)于重大安全態(tài)勢(shì)事件進(jìn)行全方面的探索。第二，在中觀層面的態(tài)勢(shì)感知平臺(tái)進(jìn)行全方面的態(tài)勢(shì)情報(bào)分析、預(yù)警、響應(yīng)、指揮，從而做出威脅判斷，根據(jù)統(tǒng)計(jì)反饋的結(jié)果建立關(guān)聯(lián)分析系統(tǒng)，形成全方面的安全預(yù)警警報(bào)。在該層次上，宏觀層面的態(tài)勢(shì)感知系統(tǒng)可以進(jìn)行互聯(lián)網(wǎng)的大范圍監(jiān)測(cè)，了解DDOS態(tài)勢(shì)攻擊情況、Web攻擊態(tài)勢(shì)情況，從而確定網(wǎng)絡(luò)威脅情報(bào)中心的數(shù)據(jù)安全性等級(jí)?？偟膩砜?，宏觀層面的態(tài)勢(shì)感知系統(tǒng)主要是針對(duì)重大、特別重大的網(wǎng)絡(luò)安全事件，進(jìn)行應(yīng)急指揮，涉及到發(fā)電廠的管理安全性問題，例如設(shè)備的應(yīng)急警報(bào)問題、人員的信息泄露問題。宏觀層次的態(tài)勢(shì)感知平臺(tái)建設(shè)之后，可以形成全域聯(lián)動(dòng)和協(xié)同響應(yīng)效力，根據(jù)重大事件進(jìn)行全方面的調(diào)動(dòng)與協(xié)調(diào)。

結(jié) 論

綜上所述，發(fā)電廠網(wǎng)絡(luò)信息安全態(tài)勢(shì)感知可以針對(duì)實(shí)際需求進(jìn)行功能架構(gòu)和戰(zhàn)略部署，從而保障發(fā)電廠具體信息網(wǎng)絡(luò)的安全。因而我們要加強(qiáng)系統(tǒng)架構(gòu)，重視微觀、中觀和宏觀之間的態(tài)勢(shì)感知聯(lián)系，提升安全監(jiān)管效力。

參考文獻(xiàn)

[1] 林益波.網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)在火力發(fā)電廠的應(yīng)用[J].機(jī)電信息，2020（15）：61-62.

[2] 邢加瑋.發(fā)電廠分散控制系統(tǒng)安全加固研究與實(shí)踐[J].中國(guó)新技術(shù)新產(chǎn)品，2019（23）：145-146.

[3] 李程雄.基于告警流的安全事件挖掘引擎設(shè)計(jì)[J].電力信息與通信技術(shù)，2019，17（11）：38-45.