莫育军，吴 辉，谌斐鸣，李靖沙

（五凌电力有限公司，湖南 长沙 410000）

随着云计算、物联网等新技术的快速发展，使企业面临新的安全挑战，特别是关键信息基础设施面临敌对势力和黑客组织的严重威胁，网络攻击造成的生产安全事件频发，传统的安全防护策略已经无法完全应对最新的安全威胁。电力监控系统作为发电厂生产控制系统中最为核心的系统之一，其信息安全可靠与否直接关乎电力生产的安全稳定运行。随着黑客攻击手段和技术的日益复杂、先进，以工控系统作为目标的攻击层出不穷，导致包括集控中心和发电厂在内的电力监控系统受到的安全威胁与日俱增。

目前五凌集控及直管电厂已经部署多种独立运行的安全防护设备，安全数据没有进行采集汇总分析，无法做到出现安全攻击事件时提前预警、统一管控及应急处置，当前五凌集控中心及直管厂站电力监控系统缺少网络安全统一集中可视化措施与检测预警机制，厂站运维人员无法及时获取本厂站的网络安全现状，五凌集控中心也无法有效掌握各厂站的网络安全情况，因此，如何有效利用已部署的安全防护设备，为集控中心及各电厂设计一个安全、有效的工控网络安全预警平台，已成为一个日益突出的问题。

1 五凌集控中心及直管电厂电力监控系统安全防护现状

五凌集控中心及直管电厂根据“安全分区、网络专用、横向隔离、纵向认证、综合防护”的基本原则，将电力监控系统分为生产控制大区（控制区、非控制区）和管理信息大区，控制区主要包括计算机监控系统、PMU等实时生产控制系统，非控制区包括水情、电能计量等非实时业务系统，管理信息大区包括生产管理系统、视频监控、协同办公等生产办公业务系统，控制区的业务通过2M电力、电信专线接入调度数据网，控制区与非控制区通过防火墙实现横向逻辑隔离，生产控制大区与管理信息大区通过电力专用单向隔离装置实现横向隔离，隔离强度接近或达到物理隔离，与调度机构、上级单位通过纵向加密装置进行纵向认证，并在监控系统核心交换机、调度数据网交换机处部署了安全监测审计、入侵检测装置、运维操作审计装置及网络安全监测装置，在监控系统上位机部署了主机加固软件，实现综合防护，电力二次系统安全防护整体水平显著提高。

尽管五凌集控中心及直管电厂部署了安全检测审计、入侵检测装置、网络安全监测装置等安全防护设备，但是各个系统之间均是分散部署，缺乏统一管理、统一预警，数据无法进行汇总分析，在五凌集控中心及各下属电厂现有的人员配置下，各安全防护设备发挥的作用未能有效的体现，无法实现实时网络安全监视、分析、审计，全面监测外部网络访问、外部设备接入、用户登录、人员操作等各种事件，无法及时掌握电力监控系统存在的安全隐患，同时也无法对电力监控系统的运行进行安全预警功能，在出现安全告警事件时，集控中心及各厂站运维人员无法第一时间知晓，错失紧急处置的良机，给电力监控系统的安全稳定运行带来极大安全隐患。

2 工控网络安全预警平台设计的总目标与原则

2.1 工控网络安全预警平台设计的总目标

通过采集已部署安全防护设备的安全事件日志，统一进行关联分析、集中展示和预警，实现厂站安全信息归一治理，利用系统的安全监测预警功能，建立生产控制大区威胁可知、管控可视、应急可控的安全运维机制，全天候、全方位监测网络安全状态，全面分析展示网络及信息资产安全情况，实现集控中心及直管电厂的统一监测、预警及管理等功能，提高集控中心及直管水电厂的网络安全防护水平，提升应急处置效率，支撑各级单位开展日常工控网络安全管理工作，同时也为智慧集控的发展提供安全保障。工控网络安全预警平台的总目标具体如下：

（1）将集控中心及直管电厂生产控制大区安全防护设备的数据、网络安全监测装置的数据、态势感知平台的数据接入工控网络安全预警平台，实现各电厂安全状态数据的采集。

（2）实现集控中心及直管电厂网络安全的统一实时监测、预警、分析定位、追踪处置、审计溯源、风险核查、统一管理等功能，实现对集控中心及直管厂站的安全威胁、安全事件、异常行为的感知和预警，准确把握整体安全态势，实现厂站安全信息归一治理。

（3）形成一套与安全运维管理工作相适应的运维体系。各级单位运维人员，根据自身的权限，在工作台进行全网统一的事件处置工作，实现多级用户的安全事件流转管理，包括创建、上报、下发、核查、审核和办结等一系列操作，系统按照安全事件的所属单位将发现的安全事件自动推送到对应负责人，搭配高效的信息化运维考核机制，实现对安全事件的精准感知和快速行动。

（4）建立专家知识库，针对平台发现的各项安全事件，平台能够通过脚本实现各种重复性的安全威胁的自动化分析、研判及响应，减少分析响应时长，提升响应效率。同时平台预设安全事件的处置建议，针对常见的安全事件，能够将处置建议随工单一同下发给各级运维人员，提高事件响应处置能力和效率。

2.2 工控网络安全预警平台设计的原则

（1）零修改、无扰动：在工控网络安全预警平台建设过程中，不会对电力监控系统的运行环境、配置、参数等进行修改，保证电力监控系统运行的可靠性、稳定性、实时性。

（2）安全性：工控网络安全预警平台要能够为集控中心及直管水电厂的网络安全建设和维护管理工作提供指导作用，保证其敏感信息资源受控、合法、安全地使用。

（3）可靠性：工控网络安全预警平台在不影响水电站电力监控系统功能和效率的前提下，做到稳定、可靠地不间断运行。

（4）可扩展性：工控网络安全预警平台允许集控中心根据业务发展的网络安全需求，具备增加新的安全组件与安全功能。

（5）经济适用性：工控网络安全预警平台的建设要在安全需求、安全风险和安全成本之间进行科学的平衡、比较和折中，使集控中心及直管电厂电力监控系统的安全防护措施既安全、可靠，又经济、适用，具有合理的性价比。

3 工控网络安全预警平台的设计

工控网络安全预警平台可以对网络中各种活动的行为进行辨识，从宏观的角度进行意图理解和影响评估，进而提供合理的决策支持。该平台不再是独立的安全设备，而是覆盖网络空间，能够监测、分析甚至改变网络空间内安全状态的综合型网络安全防护系统，主要由监测网络状态的安全设备和对安全数据进行集中监测、统一分析的安全监管预警平台共同构成。

3.1 工控网络安全预警平台的技术架构

工控网络安全预警平台主要由数据采集层、数据处理层、数据展示层共三层架构组成，其中：

（1）数据采集层：实现对网络空间状态信息的集中采集，为系统安全感知、分析、预警功能提供必需的数据源，主要由各类安全设备或数据采集探针构成。数据采集层是整个系统的运转基础，数据源的完备性直接决定了系统的安全分析成效。

（2）数据处理层：数据处理层利用内置的安全逻辑关系、对象化资产信息、事件特征库和知识库等基础资源，实时监测，反映系统的整体信息化环境和运行状态，能够实现对数据采集层收集到网络状态数据的统一存储、处理分析，并将处理结果接入数据展现层进行展示。数据处理层是网络安全态势感知产品的核心功能模块，该层级的数据分析、处理能力决定了系统分析的效率及准确性。

（3）数据展现层：直接作用在用户的感观感受上，通过多样式的展示界面，实时向用户反馈系统宏观和微观层面的安全运行情况。数据展现层能够从用户的管理视角出发，帮助用户组织需要观测的数据信息，使用户工作更加便捷。

3.2 工控网络安全预警平台的部署架构

根据五凌电力生产控制系统的实际特点（实时性需求、可用性保障等），规划构建“集控中心/厂站”两层部署的安全预警系统，实现厂站网络安全数据的采集并依托平台实现数据集中展示和预警。

集控中心侧：在管理信息大区部署工控网络安全预警平台，集中汇总各水电厂的安全数据，实现对直管电厂的安全威胁、安全事件、异常行为的感知和预警，通过提供各电厂资产对象的量化风险赋值，使公司能够准确感知整体的安全风险态势。

厂站侧：在水电厂生产控制大区内部署数据汇总节点服务器，实现对现场已有安全设备日志信息的采集，在管理信息大区部署数据上传服务器，通过安全可控的方式，将这些安全数据上传到集控中心级平台。

平台建成后能够实现安全告警的集中管理、关联分析以及安全态势分析。通过采集网络区域边界、网络通信、计算环境的安全告警和日志，通过大数据分析和人工智能等技术，对采集的告警和日志进行智能关联分析，快速、精准的定位安全威胁事件，并对特定威胁事件进行溯源分析，实时分析厂区的安全态势，通过工控安全健康指数计算方法，实时计算厂区的工控安全健康指数，将厂区的安全态势量化分析，通过将安全告警和网络拓扑中的设备资产相结合，实现厂区的安全态势可视化。

工控网络安全预警平台部署完成后网络拓扑结构将如图1所示。

图1 五凌电力工控网络安全预警平台部署图

4 工控网络安全预警平台的主要功能

工控网络安全预警平台按照“设备自身感知、监测就地采集、平台统一监视分析”的原则，充分利用大数据、基于机器学习和分析模型插装等技术，实现网络空间安全态势的综合分析，同时辅以外部威胁情报输入增强系统分析能力的准确性和时效性，构建感知、采集、管控三层架构的网络安全管理系统技术体系，具备以下功能。

（1）资产测绘

平台具备网络空间资产测绘的功能，网络空间上资产的探测既可以技术手段进行主动测绘，也能通过主动采集录入等方式进行资产识别，通过全方位资产测绘手段，可有效覆盖管理和时间上的盲区，拓宽纳管的资产范围，完善资产属性管理等。

（2）脆弱性检测

平台具备检测资产脆弱性的功能。为了了解网络中主机和网络设备的安全脆弱性状况，在平台的脆弱性管理模块，实现对重要主机、网络设备、安全设备等全资产漏洞信息的收集和管理。支持主动整合市场主流的漏扫系统，可直接添加漏扫引擎，调度扫描任务并反馈资产漏洞扫描结果，提前获悉网络中资产和业务中存在的安全漏洞，提前采取补救措施。平台通过漏扫系统内置的配置核查引擎，驱动资产配置项的检查，可配置等保合规检查基线，实现资产配置合规的摸底和统计分析，从而将资产的脆弱性从漏洞和配置两方面进行了全面检测，实现资产脆弱性的管理和追踪。

（3）流量监测

平台具备实时监测网络数据流量的功能，通过搭载大数据高性能流量采集技术，采用主被动方式采集或接收流数据，进行数据处理、分析与存储，支持端口镜像与被动接收两种采集方式，通过流量访问行为数据的解析，更加全面的安全分析，抓取威胁访问行为，实现网络中各个资产之间数据流的审计分析。平台同时支持流量基线自学习、检测群组的设置、检测阈值自学习，当访问流量与学习到的基线模型存在偏差，则对偏离基线的资产进行预警等。

（4）外部威胁情报

平台具备接入外部威胁情报的功能，能够采集互联网开源情报及第三方商业情报，同时内部威胁可转为情报，综合为情报库。利用开源以及威胁情报提供商的威胁情报库，当事件流与情报库进行关联交互碰撞时，事件能和全网及系统内部的所有威胁情报进行比对，实现更准确的分析以及预警安全事件。同时平台能对资产进行重要性赋值，为不同重要级别的资产提供对应的情报收集策略和关注度。

（5）可视化展示

平台具备大屏态势展示功能，具体可以分为整体态势呈现、各电厂态势呈现、专题态势呈现（如外联态势、入侵态势、运维安全态势、主机安全态势等维度），并且针对护网、重大会议等重保时期，可以设计专门的模块进行监测，对重点关注对象进行集中监控。

同时平台应配备视频图像的输出接口，能够将态势展示大屏界面接入位于集控中心四楼的综合展示大屏系统进行展示。展示效果如图2、图3所示。

图2 整体态势呈现

图3 资产运行状态呈现

（6）运维管理

平台具备日常设备运维工作的自动化管理功能。平台既可以制定周期性任务工单，也能够根据安全事件或告警生成临时工单，通过下发工单的方式实现对日常运维任务的指派。各级单位运维人员，根据自身的权限，在工作台进行全网统一的事件处置工作。实现多级用户的安全事件流转管理，包括创建、上报、下发、核查、审核和办结等一系列操作。系统按照安全事件的所属单位将发现的安全事件自动推送到对应负责人，搭配高效的信息化运维考核机制，实现对安全事件的精准感知和敏捷行动。

（7）报表功能

平台具备自动生成报表功能，通过内置丰富的报表模板，包括统计报表、明细报表、综合审计报告，运维人员可以根据需要生成不同的报表。系统能够定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel、Word等格式导出，支持打印，能对公司各电厂间，及电厂内部不同系统之间的安全运行状况实现大数据对比统计。同时平台还具备报表编辑功能，可以根据业务需求自行设计报表，包括报表的页面版式、统计内容、显示风格等。

（8）专家知识库

平台具备提供专家知识库管理功能，既包含常规运维信息，如安全知识库、培训和人员考核等；也提供专业安全数据，如强大的漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库等。并且知识库内资源能够与平台的告警功能联动，当触发告警信息后，能够根据发生的安全事件自动提取知识库中的风险分析、解决方案等知识，在告警界面同步提供，实现必要的辅助分析功能，方便运维人员进行风险分析和管控。

5 结语

本文针对五凌集控中心及下属电厂电力监控系统安全存在的问题，设计一套工控网络安全预警平台，通过采集汇总各安全防护设备的数据，辅以大数据分析，建立生产控制大区威胁可知、管控可视、应急可控的安全运维机制，全天候、全方位监测网络安全状态，全面分析展示网络及信息资产安全情况，实现电力监控系统网络安全的闭环管理，全面提高五凌集控中心及直管电厂电力系统电力监控系统网络安全防护的整体水平。