金学奇，苏 达，毛南平，王立建，梁 野，郭抒然

（1.国网浙江省电力有限公司，杭州 310007；2.北京科东电力控制系统有限责任公司，北京 100192；3.国网浙江省电力有限公司电力科学研究院，杭州 310014；4.国网浙江省电力有限公司杭州供电公司，杭州 310009）

0 引言

目前，国内外电力系统的网络安全形势严峻，如：伊朗核设施遭受“震网”病毒攻击，导致离心机报废；乌克兰电网遭受网络攻击导致大面积停电；2018 年3 月印度电力公司遭到黑客的攻击，窃取用户账单数据从而向电力公司勒索；同样是在2018 年3 月，国内某省调控中心内网安全监控平台出现了大量告警，经分析确认告警信息为某风电场在通过省调接入网非实时纵向加密认证装置时，被拦截到不符合安全策略的非法访问，导致电力监控系统生产控制大区裸露于公网，给电网安全运行带来极大隐患。可见，针对电力领域的网络安全事件，可能发生在任意一个环节，一个小的漏洞就可能导致局部甚至全网的崩溃。

文献[1]对国内电网调度自动化系统的发展进行了回顾，阐述了现有电力调控系统的总体架构及重大技术突破和应用。其中在对未来技术发展方向描述中，特别提到对电力二次系统的安全防护，应当构建可信计算和安全免疫技术的安全阀防护体系，由结构安全、本体安全、基因安全、物理安全和安全管理等5 个方面构成。可信计算和安全免疫技术极大地提高了整个计算机网络的可靠性，但“三分技术、七分管理”，针对一些设备的操作过程及人员安全行为，技术措施其实难以做到全覆盖。针对上述情况，采用网络安全监视和预警技术是安全防护的重要手段之一，其中安全监视可以帮助网络和系统管理员在影响业务连续性之前识别可能的问题，并在出现问题前及时预警或及时采取安全防御措施，甚至对攻击方进行溯源。

文献[2]设计了一种分布式网络安全预警系统，将网络划分为若干个检测域，每个检测域包含的检测对象有服务器、主机、交换机等，然后在每一个网络段安装一个完整的网络监控中心，负责对各个网段的数据信息采集，并及时分析入侵网络的数据信息，将结果传送给网络预警中心，预警中心对数据包的检测手段主要有误用检测和异常检测等，最后根据综合分析的结果，实现网络安全的实时报警、安全态势评估及攻击识别。

文献[3]则采用了一种“笨”方法，针对核电厂的实时信息监控系统，主机设备、网络设备和通信通道都采用冗余备份措施，从而保证数据安全、业务安全、通信安全和电源安全等。

通过上述研究可以看出，目前网络安全监视和预警主要还是通过被动防御措施来实现，单一的安全手段不能建立一个良好的循环，数据之间缺乏协作和共享。其次，一些预警技术也过于简单，不能很好反映资产的重要性，也不能在安全策略改变时改变风险评估。本文基于现有安全研究基础，提出了一种主动网络安全保护系统，不但能主动采集网络数据，对网络结构、网络状态进行监视，还能对动态安全事件（如：操作行为等）进行感知、预警和处置。

1 新能源电站现状

1.1 新能源电站网络环境

新能源电站是电力系统的上游，其运行稳定性可能会影响局部或断面地区电网的运行稳定性。以风电为例，典型风电场站控层如图1 所示。

安全Ⅰ区业务主要包含风机监控系统、升压站监控系统、AGC/AVC（自动发电控制/自动电压无功控制）及PMU（电源管理单元）等，安全Ⅱ区业务主要包含故障录波、电能量采集、功率预测及状态监测系统等，管理信息大区主要包含天气预报、气象设备及办公信息系统等。

图1 风电场站控层

1.2 新能源电站安全防护

新能源场站主机及网络、安防等软硬件设备，是站控层中重要的组成部分，数量众多、资产价值较高，面临的安全风险极大。一方面，这些设备是各类业务数据和信息的主要载体，数据和信息是电站信息资产的重要组成部分；另一方面，与常规电力监控系统不同的是，新能源电站的发电终端数量较多（如：风机控制器、光伏逆变器等），病毒及恶意代码很容易通过发电终端渗透到站控层及各类业务应用中，且多采用工控协议，标准化程度较低，所以可能还涉及到工控安全，给电力监控系统的整体安全带来了更多危害性[4]。如图1 所示，现阶段新能源场站电力监控系统已经采取了一定的安全保障措施，如：边界防护、安全分区等。但这些传统的安全手段只能对特定的安全事件进行控制，随着网络攻击手段的多样化，来自内网的安全攻击逐渐增多，如何有效防止来自内部的安全问题，如：管理或运维人员的误操作行为以及恶意攻击等，是新的研究方向。内部攻击所造成的危害远比外部入侵大得多，且攻击手段隐秘，如果不加以有效的遏制，将造成无法估量的损失。因此对网络安全事件不能仅限于静态的事后防御，更应在事前即感应，并采取一定规避措施，这样不仅能够使安全事件影响最小化，也间接提高了电力系统的运行经济性和用户满意度。

2 安全监视与预警关键技术

常规电力监控系统安全防护措施，通常是使用各种设备来保护网络的不同部分，例如：通过获取防火墙日志来监控未经授权的访问，入侵检测系统通过监测流量来发现DDoS（拒绝服务）攻击等。但由于生产厂商的设计思路和安全理念差异，这些防护手段虽然具有一定效果，但其之间通常缺乏统一的协作和管理，产生的事件信息难以进行有效的关联和整合，当发生安全事件时，需要在不同的设备上分别进行操作，对安全事件进行的处理和诊断比较迟缓，客观上增加了安全防护的难度，也没有使防护效果最大化。 基于此，可以通过采用主动数据采集、流量监视、集中预警及安全阻断等技术，整合相关网络资源，将网络安全的可靠性最大化。

2.1 主动数据采集（嗅探式）

主动数据采集方式即嗅探式采集，与之前被动采集不同的是，主动采集agent 程序是部署在网络安全保护装置上的，整个采集过程分为2 个阶段：第一阶段，在网络安全保护装置中部署的agent 程序现向目标设备发送请求获取列表项，打开TCP 连接，目标设备响应并返回列表，包括数据的key，delay，lastlogsize 及time 等属性，agent 收到后响应成功，并关闭TCP 连接；第二阶段，agent 再次发送请求，开始收集数据，包括目标设备的hostname，version，value，clock 及number 等，收集完成后反馈成功或失败条目，然后关闭TCP 连接[5]。这种方式可以提高数据采集的范围和灵活性。

2.2 流量分析

通过流量分析可以针对新型的网络攻击手段和网络病毒有很好的检测效果，能大大降低由于对攻击手段不了解而发生漏报的可能性，在产生严重破坏前找到攻击源头，将网络损失降低到最小[6]。具体分析过程为：

（1）交换机数据通过SNMP 协议采用统计分析方法，从网络安全保护装置获取的数据中提取样本数据，根据样本数据分布特征和正常时的特征进行比较，判断是否发生了流量变化，常用的网络协议主要有SMTP，FTP 及ICMP 等，将正常流量值与异常数据量进行对比，符合某异常行为出现初期时的流量特征，即可判断发生了流量异常，但该过程尚不能确定攻击的类型及源头。

（2）在第二步过程中，通过筛选出不同IP 地址流量数，对流量较大的IP 地址源进行排名，从而确定存在流量异常行为的设备。利用流量分析也可以实现对网络非法外联及非法设备接入行为的识别，在常规电力系统内网中，业务流量通常较为固定，对不同业务可以根据其流量特性设定一个阈值，如某一个时间段显示某业务进行活动的连接数量、峰值流量和选定时间范围内的均值流量等数据，如果采集到的流量超出这个阈值，即可判断可能产生了非法外联。

2.3 安全预警

根据事件严重程度将预警机制设为3 种可能：一是无效预警，攻击行为确实发生，但对设备没有影响的告警；二是错误预警，由于错误判断而产生的告警，将正常的网络行为看成入侵行为；最后一个才是真正的安全威胁预警[7]。在保护系统的知识库中收集历史的告警信息，包括攻击成功必须依赖的条件，漏洞、操作系统、端口、服务及应用系统的状态等[8]，将具体事件根据发生时间进行切段，找出安全事件发生的高峰期，然后统计某一段时期内不同安全事件发生频率排名，通过对历史数据不断的迭代，当安全行为构成触发条件，网络安全保护系统立即响应并给出风险预警。例如：针对某安全事件，将采集到的信息，如登录信息（A）、端口状态（B）、非法设备接入（C）及非法外联（D）等事件，每个安全状态都有一个安全系数：

式中：S 代表最终的安全估值系数；β 代表权重；W 代表严重程度；P 代表概率。对事件的严重程度可通过相关安全事件的累加判断，系数越低代表安全性越差。

经过较长时间积累，预测准确度也会越来越高[9]，但该预警只作为发生概率的判断，不作为最终决策的依据。

2.4 事件处置

另一方面，预警后人工可能无法快速对事件做出反应，因此需要有一种手段对事件进行预处置，对安全事件的及时处置可以避免事故的进一步蔓延，最大程度减少对整个网络的损害。

文献[10]提出了一种基于PKI 技术的网络边界安全监控方法，该方法通过建立基础信任体系，先向访问目标用户颁发强认证数字证书，所有用户必须通过数字证书进行身份认证才能进入内网，然后对网络流量和认证信息进行监控和关联分析，判断是否存在DoS，flood 等攻击，同时还能准确定位入侵来源，并向攻击源发出fin 包中断会话或通知认证网关，拒绝来自攻击源的终端或用户接入。

本文在网络安全保护系统中，嵌入了安全处置功能，可以实现对事故的链路阻断、端口禁用等；其中链路阻断以TCP 协议为例，在发现网络中TCP 连接异常后，可以向目标主机发送一个带有RST 标志位的数据包，包括设备的源、目的地址以及端口号等，目标主机收到RST 包后，就会认为通信对端发生了异常，从而马上关闭自己的连接[11]。端口禁用则利用SNMP 协议，当通过流量分析手段发现接入该端口的访问异常时，SNMP 协议的nms 主动向Agent 发出set request报文请求，Agent 接收到请求后，向交换机发出shutdown（关闭端口）命令，然后生成response 报文，并将报文返回给nms。在实际应用过程中，Agent程序在发现设备重新启动等异常情况时，也会主动向nms 发送Trap 报文，汇报所发生的事件。

3 应用实例

基于上述关键技术基础，设计了一套网络安全保护系统，在浙江湖州地区某光伏电站部署该系统，依托保护系统自身对网络安全事件的感知能力，不仅可以实现对站内主机、网络及安防等设备运行状况的监视，还可以对人员及设备的操作行为进行主动分析和预警[12]，同时支持对安全事件的隔离和阻断，最终由人机界面展示结果。

3.1 系统部署

监视与预警系统采用旁路的形式部署在交换机上，设备按功能划分为网络安全保护装置及网络安全平台。其中，网络安全保护装置分别部署在站控层安全Ⅰ区和Ⅱ区，实现对生产控制大区数据的主动采集和保护动作执行功能，网络安全平台只部署在站控层安全Ⅱ区,主要对采集到的数据进行关联、存储、查询和深度分析等，如图2 所示。

图2 系统拓扑

3.2 功能描述

系统处理流程如图3 所示。

在网络安全保护装置上部署Agent 程序，实现对主机信息的数据采集，通过SNMP 协议实现对网络设备和通信数据的采集等，通过Syslog 日志实现对安防设备信息采集[13]，信息格式如表1所示。

图3 处理流程

表1 采集信息类别

对于数据的分析与处理,关键在于对信息的识别，清洗不需要的垃圾和噪声数据，然后从安全事件的数据中提取特征值，依据预先定义的字段或参数采集聚合数据，根据发生频率和前后因果关系等相关性进行聚类，最后根据事件的严重程度和发生概率进行风险评估，识别攻击者真正的攻击意图，并预测下一步行动[14]，最后根据分析结果，做出相应安全处置。如图4 所示。

图4 分析预警流程

3.3 系统测试

为了验证上述网络安全保护系统的实际效果，挑选一款国外的网络安全监测工具同时部署在该光伏电站，与网络安全保护系统进行比较。SSU（影子安全单元）的原理是以混杂工作模式捕获所有网络流量，并使用规则化过滤机制对其进行预处理，对捕获数据的协议流进行解码和分析，以查找TCP 和Modbus 协议等数据单元中的错误或不一致。SSU 能够解码每个命令的语义并跟踪主站和被保护设备之间交换的消息，从而可以执行完整性检查，检测未经授权的访问或侦察尝试。该模块还能提取有关网络流量的信息，例如数据包速率或消息到达时间，这可用于诊断和发现恶意软件感染、分布式等问题DDoS、洪水或暴力攻击、任意设备故障，甚至是零日威胁。

3.3.1 测试环境

为了保证测试的可比性，SSU 工具部署在与网络安全保护系统相同节点，如图5 所示，2 种系统分别对交换机的数据包进行采集，在此过程中，人为制造一些安全事件，观察2 种安全监测工具对安全事件的响应及处理方式，以验证其准确性与可靠性。

图5 测试拓扑

3.3.2 测试方法

（1）安全策略制定

依据36 号文《电力监控系统安全防护评估规范》及《信息系统安全等级保护基本要求》，对2套网络安全监测工具设定相同安全策略，包括边界安全策略、主机安全策略及通信安全策略等。例如：当用户访问主机或服务器时，需要进行不同级别的用户认证，并由此控制用户的访问权限；IP 及MAC 地址绑定，凡是IP 或MAC 地址不匹配的都不允许通过防火墙进入[15]。

（2）安全事件预置

测试预置以下安全事件：非授权IP 或MAC地址访问站内业务；主机网卡流量超过最大限值；非电力业务常用网络协议访问；管理员账户修改普通账户权限。

（3）测试结果

根据上述测试办法，对光伏电站站控层的整体进行扫描，判断是否满足该测试场景下的安全策略要求，2 种工具的采集列情况如表2 和表3所示，表2 为SSU 工具扫描结果，表3 为网络安全保护系统扫描结果。

表2 SSU 事件告警

3.3.3 测试结果分析

通过测试情况看，SSU 工具虽然也较为全面地监控了组网部件的安全事件，但对每个事件的描述较为粗糙，仅说明了有事件发生，但未对事件源进行定位，且没有相关安全处置手段，后续还需要有人工进行排查和分析，对使用者的参考并不直观，时效性较差。另一方面，SSU 工具属于单兵作战，无安全处置功能，无事后的深度分析及复盘，因此其可用性一般。网络保护系统则对事件的发生过程进行了详细记录，包括时间、主机名称、IP、地点、事件级别、告警次数及详细内容等，数据采集面较广、监视内容集中，且具备事件处置能力及建议，相比原先的人工筛查，信息覆盖面得到了较大提升，最大程度地保证了光伏电站站控层网络的安全性。

表3 网络安全保护系统告警

4 结语

上述研究成果有效地解决了浙江地区新能源厂站（包括集中式、分布式及微电网等形式）接入大电网后，对电力信息网络攻击的复杂性和多样性问题，结合之前电力系统积累的大量攻击案例，从漏洞分析、攻击行为预警、攻击趋势预测建立了一套完整的安全监控与预警体系，针对新能源厂站攻击点多面广特点，充分发挥其实时监控及提前预判的技术优势。后续应结合新兴技术（大数据、人工智能、区块链等）持续深入探索网络安全态势感知能力研究，科学结合电力行业安全防护标准的变化，优化系统规范，适应网络安全的动态发展趋势。当然，所谓“三分技术七分管理”，需要对网络安全提出更多的战略性指导意见，才能使电力监控系统的安全边际最大化。