文/于秋玲

近年来，全球范围内网络安全事件层出不穷，如乌克兰大面积停电事件、勒索病毒全球爆发事件等，表明了电力作为全球能源基础设施，已经面临严峻的网络安全攻击风险，电力监控系统的网络安全要求已经被提升到一个更高的层次。现阶段，电力监控系统网络安全防护管理，主要是通过采集主站网络边界上的通用安全防护设备及电力专用安全防护设备的日志信息，来实现对跨边界的网络安全事件的监测，但是对于系统内部的安全事件缺乏监管手段，系统内部每台设备的外部网络访问、外部设备接入、用户登录、人员操作等基本事件没有纳入统一管控，存在木马植入、病毒侵入、利用漏洞攻击、弱口令、访问权限获取、信息侦听、数据篡改和拒绝服务等攻击隐患。文献[10]阐述了智能电网背景下的基于电力系统应用软件（SCADA、AGC、AVC 等）的恶意攻击，通过修改数据库等方式实现；文献[11]则列举了电力二次系统的设备、信息系统和人为的安全风险因素，这些风险因素最终均可通过电力系统设备软、硬件进行防控，仅依靠网络和安全设备数据采集的设备选取方法显然是片面的，对安全数据的获取是存在缺失的，传统的依靠抓包、分析日志的常规网络安全信息采集方法已无法满足全面安全信息的要求。

随着网络准入控制系统、运维操作审计系统、日志审计系统、IDS 等网络安全系统的部署，电力监控系统网络安全系统范畴不断扩大，需要分析的数据包括网络信息、主机信息、数据库信息、用户信息等，亟需适合全局化、系统化的网络安全态势感知模式，及时发现各类广义的网络安全风险，实现电力监控系统网络安全的闭环管理，全面提高全局电力监控系统网络安全防护的整体水平。

1 电力监控系统安全防护需求

电力监控系统安全防护，具有设备安全数据采集与本地安全管理的职责，支持对安全防护设备、网络设备和主机设备等的安全数据采集，通过数据采集与数据分析，实现子站监控系统网络安全监控本地管理与全网基础集合上送。

图1：网络安全监管采集架构

图2：网络安全信息监管架构

1.1 安全防护需求分析

针对电力监控系统全网设备可能遭遇到的安全攻击，子站级监控系统安全防护的防护需求包括：

（1）网络安全——子站内网网络风暴的抑制，木马植入、病毒侵入、利用漏洞攻击等防护；

（2）协议安全——子站内网明文协议存在轻易截获、篡改、伪造与重放等风险；

（3）应用安全——子站内网SCADA、AVC、AGC、PMU、故障录波等各类应用的自身与协同安全风险；

表1：安全需求与安全事件映射表

表2：全面安全数据采集表

（4）数据库安全——子站内网所有数据库的溢出、恶意修改、不同步等风险；

（5）主机安全——子站内网服务器与工作站的硬件、系统、用户、联网等风险。

上述5 种子站级监控系统安全防护的防护需求涵盖了子站内可能发生的安全风险的防护要求。从全面安全防护管控的角度出发，将防护界面从网络边界前移至设备，覆盖站内所有设备的软、硬件，将站内安全事件划分为5 类：安全防护设备事件、网络安全事件、主机安全事件、数据库安全事件、电力监控系统安全事件。站内安全事件能够满足子站内所有安全风险的防护要求，需求与事件映射关系如表1所示。

2 安全数据采集与上送架构

基于上节安全需求与安全事件的映射分析，明确了对应的采集目标，采集目标从设备数据分类的角度，可以由以下4 类数据集合完成采集目标数据驱动支持：安全设备数据、网络设备数据、主机设备数据、数据库数据。

2.1 安全数据采集

安全设备数据、网络设备数据、主机设备数据、数据库数据4 类数据，结合需求分析结果5 类安全事件：安全防护设备事件、网络安全事件、主机安全事件、数据库安全事件、电力监控系统安全事件，具象到数据采集对象包括：防火墙、横向隔离装置、纵向加密装置、交换机、服务器和工作站、数据库感知程序、关键应用，如表2所示进行采集信息与方式分析。

硬件类具体采集内容采取集合方式描述

安全防护设备信息集合={用户登录、配置变更、运行状态、安全事件信息……}

网络设备采集信息集合={用户登录、操作信息、配置变更、流量信息、网口状态……}

服务器、工作站信息集合={用户登录、操作信息、运行状态、移动存储设备接入、网络外联……}

2.2 安全数据上送架构

系统数据方面，数据采集设备涵盖了子站的通用安全设备、专用安全设备、网络设备、服务器和工作站，采集架构如图1所示，将设备级的安全数据集中采集至网络安全监控设备，进行本地分析并且通过数据采集网关上送主站的网络安全监控系统。

主站功能定位：采集子系统，监视子系统，在线识别子系统，分析预测子系统。

子站功能定位：子站端态势感知采集装置部署，安全接入主站平台统一监控。

3 安全数据智能化分析

在设备级安全数据采集的基础上，进行数据集中分析，子站分析点位于子站内的网络安全监控设备，主站分析点位于主站的网络安全管理系统服务器。分析工作包括两个部分：依据智能规则库的安全数据分析和基于智能数据挖掘的安全数据分析。

将通用安全设备、专用安全设备、网络设备、服务器和工作站的设备级采集信息输入专家规则库，依据规则进行处理与分析，规则包括归并、多设备信息分析、形成新风险等方式：

（1）基于系统的统计周期，对重复出现的事件进行归并，简化信息库；

（2）对网络设备日志信息进行分析处理，包括安全日志、系统日志、管理日志，根据关联关系形成新事的上报事件（如用户非法操作事件、系统操作事件等）；

（3）将网络设备、安全防护设备的采集信息转换为格式化数据，满足本地数据分析格式要求和上传主站网络安全管理系统的需求；

（4）考虑设备运行信息与网络安全信息关联关系，基于采集到的子站设备的设备指标类、设备运行状态类、用户操作行为类、安全策略类4 大类信息，如下图所示，基于分类信息的数据基础，收集PB 级海量数据样本集，寻找数据间的关联关系，分析概率与跟随等特性，形成子站监控系统网络安全风险集S，如图2所示：

跨境电商师资培训还应该注重培训内容的层次性和递进性，做到投其所好而非一锅烩。对于没有跨境电商授课经验和培训经历的参训教师，培训单位和基地应该提供基础性的培训课程，通过讲练结合的方式教会教师如何操作和运用速卖通、阿里国际、敦煌网和Ebay等常用电商平台进行线上和线下交易。对于已经对跨境电商有初步了解并能够操作电商平台的受训教师，培训的重点应倾向于教学研究方面，比如重点讲授跨境电商的教材开发，课程设置，人才培养方案制定，微课和慕课的制作等。分层次的和递进性的培训既能够解决他们当下知识储备不够，实践技能缺乏的急迫问题又能满足他们对跨境电商开展深入研究，进一步提升教学科研能力和水平的未来需求。

S={①：外设接入事件；②：用户登陆事件；③：状态异常事件；④：危险操作事件……}

①={主机USB 状态，网络设备网口流量，关键文件操作，防火墙不符合安全策略行为}；

②={登陆成功，隔离装置离线，隔离装置不符合安全策略行为}；

③={防火墙CPU 利用率，防火墙离线，防火墙上线，防火墙不符合安全策略行为}；

④={网络设备网口流量，主机网口状态，操作命令，防火墙攻击告警}；

……

根据风险集S 中各类风风险，如：外设接入风险、用户登录风险、危险操作风险、状态异常风险等，进行风险评级，根据评级与解决方式归属性，定义本地风险与上报风险，构建风险分级监控体系。

4 结论或结束语

从子站监控系统的网络安全管理入手，收集全面安全数据，挖掘各类安全数据间关联关系，形成安全风险集，构建智能化安全风险分级监控体系，以全新的设备级数据范畴来管控电力系统安全，安全的全数据支持、全流程管控的智能化安全管理模式。

以子站监控系统网络安全管理为基础，将电力监控系统安全防护体系由边界防护向全面防御推进，实现外部入侵监视与阻断、外部威胁内网有效隔离、内部越权与恶意操作及时制止，将全网设备（包括安防设备、网络设备、主机设备）纳入实时监视与体系管理，安全管理从系统边界移至全网设备，安全管理方式从被动防护上升至主动识别，实现电力监控系统安全防护智能化。

文章创新点介绍：

创新地将电力网络安全管理的布点从系统边界前移至系统设备，提出全面安全数据的概念。通过挖掘全数据关联关系的方法形成安全风险集，以实现更加智能化的安全风险分级监控，有助于网络安全管理方式从被动防护上升至主动识别。