5月28日����,在國網(wǎng)設備部的統一組織下�����,全球能源互聯(lián)網(wǎng)研究院有限公司信息通信研究所電力工控安全防護技術(shù)攻關(guān)團隊與江蘇無(wú)錫供電公司運檢部員工����,針對目前新形勢下配電自動(dòng)化系統整體安全防御工作展開(kāi)討論��。
隨著(zhù)電力系統的智能化�、互動(dòng)化發(fā)展����,網(wǎng)絡(luò )攻擊技術(shù)的演進(jìn)�,具有點(diǎn)多面廣����、分布廣泛特點(diǎn)的配電自動(dòng)化系統面臨配電終端自身安全防御能力不足����、配電業(yè)務(wù)安全感知不夠����、危險設備不能及時(shí)發(fā)現并切除等風(fēng)險挑戰�。
聯(lián)研院攻關(guān)團隊針對配電終端安全集中監管技術(shù)難度大����、業(yè)務(wù)安全監測手段缺失和網(wǎng)絡(luò )安全告警閉環(huán)處置流程不暢等技術(shù)難題展開(kāi)研發(fā)���。在經(jīng)過(guò)多輪嚴格試驗驗證后��,2019年10月�����,團隊研制的融合業(yè)務(wù)場(chǎng)景的智能安全態(tài)勢感知技術(shù)裝備在無(wú)錫供電公司正式投運�����。裝備具備了面向配電終端��、通信網(wǎng)絡(luò )和主站應用的全景式安全監測技術(shù)能力�����,大幅提升了配電自動(dòng)化網(wǎng)絡(luò )安全風(fēng)險主動(dòng)發(fā)現及防御能力����。
配電終端安全感知能力提升
國家電網(wǎng)公司自2017年起開(kāi)展智能配電系統網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備應用����,實(shí)現了配電自動(dòng)化系統網(wǎng)絡(luò )攻擊威脅實(shí)時(shí)監測����、報告和閉環(huán)處置��,進(jìn)一步提升系統的網(wǎng)絡(luò )安全管理能力���。但在裝備推廣使用過(guò)程中��,基層單位反饋了配電終端存在安全風(fēng)險且不能監控的問(wèn)題�����。
配電終端數量龐大�,運行環(huán)境復雜�����,具有分布廣泛�、產(chǎn)品軟件形態(tài)多樣��、操作系統種類(lèi)不一的特點(diǎn)�����。外部攻擊者容易利用配電終端的安全漏洞非法控制現場(chǎng)終端��,進(jìn)而以其為跳板攻擊內網(wǎng)���。2017年12月���,聯(lián)研院攻關(guān)團隊通過(guò)梳理智能電表�、集中器�、柱上開(kāi)關(guān)���、新型智能融合終端等電力終端設備可能存在的安全運行風(fēng)險�����,采用輕量化指標采集方法�����,針對有線(xiàn)和無(wú)線(xiàn)兩種不同連接方式�,研制了終端安全監測代理軟件�,實(shí)現了對各類(lèi)配電終端在線(xiàn)狀態(tài)���、系統狀態(tài)和安全狀態(tài)的實(shí)時(shí)監測��。
“我們于2019年10月安裝了配電終端輕量級安全監測代理軟件��,配電終端的安全狀態(tài)一目了然��。軟件具備主動(dòng)探測����、安全核查等功能��,解決了配電終端安全脫管的難題���,減少了終端的風(fēng)險暴露點(diǎn)��。配電終端自身安全和網(wǎng)絡(luò )安全得到有效保證�。”無(wú)錫供電公司運檢部配電專(zhuān)責胡金峰說(shuō)���。
目前���,終端輕量級安全監測代理軟件已與江蘇大燁���、四方等多個(gè)廠(chǎng)家的終端完成適配��,在新疆��、江蘇�、河南等地現場(chǎng)推廣實(shí)施��。
配電業(yè)務(wù)全景監測
在配電系統網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備推廣應用過(guò)程中��,無(wú)錫供電公司調控中心針對配電主站業(yè)務(wù)提出了新的安全需求:在配電自動(dòng)化主站系統運維中���,預防由于攻擊或者程序錯誤導致配電主站對終端下發(fā)大量遙控指令�����,造成終端誤動(dòng)�����、錯動(dòng)的情況��,還需要監視主網(wǎng)到主站的配電開(kāi)關(guān)監控終端關(guān)鍵開(kāi)關(guān)變位信號的狀態(tài)變動(dòng)�,以防止指令錯誤帶來(lái)開(kāi)關(guān)誤動(dòng)����。
針對新的安全業(yè)務(wù)需求�,2019年10月�,聯(lián)研院攻關(guān)團隊通過(guò)分析現場(chǎng)采集的大量流量數據��,基于電力工控協(xié)議高速解析與語(yǔ)義還原�、攻擊時(shí)序與業(yè)務(wù)邏輯推理的攻擊關(guān)聯(lián)等關(guān)鍵技術(shù)�,實(shí)現了主站下行遙控報文�����、主網(wǎng)到主站的遙信變位報文監測��。
“通過(guò)對遙控和遙信報文的深度識別監測����,主站下發(fā)終端的命令過(guò)程透明���,業(yè)務(wù)操作流程清晰可見(jiàn)����,解決了業(yè)務(wù)指令安全調用的難題����,保證了配電業(yè)務(wù)整體安全�����。”無(wú)錫供電公司供電服務(wù)專(zhuān)責蘇磊說(shuō)����。
目前�,配電系統網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備已在河南����、新疆多地部署應用�,通過(guò)終端上行業(yè)務(wù)畸形報文�����、主站內部應用訪(fǎng)問(wèn)����、主站命令報文等業(yè)務(wù)分析�����,實(shí)現配電業(yè)務(wù)全景監測�����,及時(shí)發(fā)現安全問(wèn)題并可協(xié)助研發(fā)單位整改�����。
通用安全監測技術(shù)融合業(yè)務(wù)場(chǎng)景
2019年12月����,配電系統網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備在新疆推廣應用����,運維單位提出新的安全需求:快速定位攻擊源��,還原攻擊路徑�����,并有效處置風(fēng)險設備�。
針對新的需求����,聯(lián)研院攻關(guān)團隊結合配電自動(dòng)化采集遙測和遙控業(yè)務(wù)場(chǎng)景下攻擊仿真驗證數據����,在監測告警數據的基礎上����,從攻擊發(fā)生時(shí)系統對象的不同空間層次���、攻擊持續時(shí)間以及破壞正常業(yè)務(wù)邏輯的行為表征等多個(gè)維度進(jìn)行關(guān)聯(lián)和推理��,建立多種融合業(yè)務(wù)的攻擊關(guān)聯(lián)分析模型���,有效監測出多步驟協(xié)同攻擊等傳統入侵檢測無(wú)法正確識別的攻擊行為�����。
借助服務(wù)代理���、命令透傳等關(guān)鍵技術(shù)�,配電自動(dòng)網(wǎng)絡(luò )安全監測探針與交換機����、數據隔離組件���、安全接入網(wǎng)關(guān)和主機關(guān)鍵核心設備聯(lián)動(dòng)����,對指定風(fēng)險設備進(jìn)行斷網(wǎng)�����、離線(xiàn)等處置����,提升配電自動(dòng)化系統的攻擊防護能力����。
聯(lián)合攻關(guān)團隊負責人費稼軒介紹說(shuō):“與通用的網(wǎng)絡(luò )入侵檢測產(chǎn)品相比��,融合業(yè)務(wù)場(chǎng)景的智能配電系統網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備行業(yè)針對性強�����,業(yè)務(wù)融合緊密�,在技術(shù)創(chuàng )新性�����、開(kāi)放性和可行性方面具有明顯的技術(shù)優(yōu)勢�����。”2018年年底����,該成果入選中央企業(yè)網(wǎng)絡(luò )安全與工業(yè)互聯(lián)網(wǎng)“十佳解決方案”和工信部電力需求側推薦產(chǎn)品��。
截至今年5月�,網(wǎng)絡(luò )安全態(tài)勢感知技術(shù)裝備已經(jīng)在電力系統的發(fā)電�����、變電���、配電和用電等環(huán)節得到廣泛應用�,累計發(fā)現了2000余次高風(fēng)險攻擊威脅���。
在電力工控系統網(wǎng)絡(luò )攻擊呈定制化�、多元化發(fā)展趨勢的背景下����,聯(lián)研院將持續挖掘電力工控系統數據的關(guān)聯(lián)關(guān)系�,構建攻擊關(guān)聯(lián)分析模型���,做好電力工控系統安全支撐工作�����,為保障電力工控系統穩定運行貢獻力量����。
