電力物聯(lián)網(wǎng)全場景態(tài)勢感知解決方案根據(jù)電力物聯(lián)網(wǎng)典型的“云、網(wǎng)、邊、端”分層結構構建安全防護體系，提升電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知能力，解決電力物聯(lián)網(wǎng)安全態(tài)勢感知體系欠缺和應急響應能力不足的問題。

　　引用格式：金倩倩, 張付存. 電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知解決方案 [J]. 信息安全與通信保密 ,2020( 增刊1):49-55.

　　摘 要

　　電力物聯(lián)網(wǎng)全場景態(tài)勢感知解決方案根據(jù)電力物聯(lián)網(wǎng)典型的“云、網(wǎng)、邊、端”分層結構構建安全防護體系，提升電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知能力，解決電力物聯(lián)網(wǎng)安全態(tài)勢感知體系欠缺和應急響應能力不足的問題。對全業(yè)務電力物聯(lián)網(wǎng)的各環(huán)節(jié)進行安全保障，防止惡意滲透攻擊、防止數(shù)據(jù)丟失、防止惡意篡改，確保接入終端可信、傳輸通道可靠、業(yè)務應用可控，實現(xiàn)全景安全監(jiān)測，全面提高全業(yè)務電力物聯(lián)網(wǎng)安全綜合防御能力。

　　關鍵詞：電力物聯(lián)網(wǎng);全場景安全態(tài)勢感知體系;云邊協(xié)同;局部安全自治;聯(lián)防聯(lián)動機制

　　內容目錄：

　　0 引 言

　　1 目標及內涵

　　1.1 電力物聯(lián)網(wǎng)特點

　　1.2 總體目標

　　2 關鍵產(chǎn)品及防護能力

　　2.1 “云”態(tài)勢感知技術及產(chǎn)品

　　2.2 “網(wǎng)”態(tài)勢感知技術及產(chǎn)品

　　2.3 “邊”態(tài)勢監(jiān)測技術及產(chǎn)品

　　2.4 “端”態(tài)勢監(jiān)測技術及產(chǎn)品

　　3 應用案例

　　4 結 語

　　0引 言

　　電力物聯(lián)網(wǎng)是物聯(lián)網(wǎng)在電力行業(yè)的具體表現(xiàn)形式和應用落地，通過將電力用戶及其設備、電網(wǎng)企業(yè)及其設備、發(fā)電企業(yè)及其設備、供應商及其設備，以及人和物連接起來，產(chǎn)生共享數(shù)據(jù)，為用戶、電網(wǎng)、發(fā)電、供應商和政府社會服務，以電網(wǎng)為樞紐，發(fā)揮平臺和共享作用， 為全行業(yè)和更多市場主體發(fā)展創(chuàng)造更大機遇， 提供價值服務 。作為落實建設能源互聯(lián)網(wǎng)，加快新型數(shù)字基礎設施建設的核心任務，建設電力物聯(lián)網(wǎng)勢不可擋。

　　然而，電力物聯(lián)網(wǎng)的建設將極大改變現(xiàn)有 電力業(yè)務模式和專業(yè)體系 ，也不可避免的對電網(wǎng)現(xiàn)有網(wǎng)絡安全防護體系產(chǎn)生沖擊;同時，隨著國內外安全形勢的不斷變化，以及國家要求 的進一步明確，都對物聯(lián)網(wǎng)安全提出了新要求。為貫徹落實國家、行業(yè)及企業(yè)的相關要求，在 電力物聯(lián)網(wǎng)新業(yè)務形態(tài)、新部署組成等新形勢 下，需要加快建設電力物聯(lián)網(wǎng)全場景安全態(tài)勢 感知體系，形成整體解決方案，全面保障電力 系統(tǒng)安全可靠。

　　1 目標和內涵

　　1.1 電力物聯(lián)網(wǎng)特點

　　電力物聯(lián)網(wǎng)將“大云物移智”等現(xiàn)代信息通信技術，與新一代電力系統(tǒng)相互滲透和深度融合，作為應用于電網(wǎng)的工業(yè)級物聯(lián)網(wǎng)，其體系結構在沿襲物聯(lián)網(wǎng)典型三層架構基礎上，增加了邊緣計算層，形成了電力物聯(lián)網(wǎng)“云、網(wǎng)、邊、端”體系，具備終端泛在接入、平臺開放共享、計算云邊協(xié)同、數(shù)據(jù)驅動業(yè)務等特點 。針對新架構、新平臺、新業(yè)務形態(tài)的安全防護需求，電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知體系覆蓋電力系統(tǒng)的橫向管理信息大區(qū)和互聯(lián)網(wǎng)大區(qū)， 縱向覆蓋國(分)、省、地、縣、變電站和電廠， 形成大規(guī)模工控系統(tǒng)的網(wǎng)絡安全態(tài)勢統(tǒng)一感知和協(xié)同防御。

　　1.2 總體目標

　　電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知解決方案的總體目標是構建電力物聯(lián)網(wǎng)態(tài)勢全場景態(tài)勢感知平臺，打造電力物聯(lián)網(wǎng)“安全大腦”，如圖 1 所示。其內涵包括以下四個方面：

　　(1)作為安全態(tài)勢感知平臺，感知電力物聯(lián)網(wǎng)的全場景安全態(tài)勢;

　　(2)作為安全作業(yè)管理平臺，面向電力企業(yè)一線人員提供網(wǎng)絡安全監(jiān)測、分析、溯源、處置和各類安全技防設施規(guī)則統(tǒng)一配置、統(tǒng)一編排;

　　(3)作為安全業(yè)務中臺，對外提供安全數(shù)據(jù)服務和安全業(yè)務服務;

　　(4)作為作戰(zhàn)指揮平臺，支撐日常和特殊保障時期電力企業(yè)各單位安全事件上報、通報 預警、常態(tài)分析和聯(lián)動響應。

　　圖 1 電力物聯(lián)網(wǎng)“安全大腦”

　　2關鍵產(chǎn)品及防護能力

　　本方案圍繞電力物聯(lián)網(wǎng)“云、網(wǎng)、邊、端” 的體系架構，通過各層的態(tài)勢感知安全措施提供相應的安全防護能力，借助電力物聯(lián)網(wǎng)邊緣計算特性，實現(xiàn)局部自治、全局聯(lián)動有機結合的主動防御能力。針對電力物聯(lián)網(wǎng)各層形成了全場景態(tài)勢感知平臺 S6000、網(wǎng)絡流量威脅分析裝置、輕量級態(tài)勢監(jiān)測模塊、終端檢測及響應軟件 EDR 等多項關鍵軟硬件產(chǎn)品，實現(xiàn)了電力物聯(lián)網(wǎng)環(huán)境中的終端、網(wǎng)絡、服務器、業(yè)務系統(tǒng)等的統(tǒng)一監(jiān)測和全面感知。各層安全措施及安全能力如表 1 所示。

　　表 1 電力物聯(lián)網(wǎng)全場景態(tài)勢感知體系分層防護能力

　　2.1 “云”態(tài)勢感知技術及產(chǎn)品

　　采用“一平臺、微應用、多場景、全數(shù)據(jù)” 的體系架構，形成全場景態(tài)勢感知平臺 S6000。作為態(tài)勢感知體系中心平臺，以基于攻擊路徑的安全場景模型為監(jiān)測依據(jù)，采用情報收集、深度監(jiān)測、大數(shù)據(jù)分析等手段，形成完整的安全事件處置機制。通過聯(lián)動電力物聯(lián)網(wǎng)其他各層的態(tài)勢監(jiān)測和感知能力，實現(xiàn)電力物聯(lián)網(wǎng)業(yè)務全環(huán)節(jié)威脅監(jiān)測及態(tài)勢感知，系統(tǒng)架構如圖 2 所示。

　　圖 2 全場景態(tài)勢感知平臺 S6000

　　全場景態(tài)勢感知平臺技術特點包括：

　　(1)全數(shù)據(jù)，即實現(xiàn)全場景海量信息安全基礎數(shù)據(jù)全采集、監(jiān)測與集中分析。通過構建基于網(wǎng)絡安全風險全要素辨識的對象化網(wǎng)絡安全基礎數(shù)據(jù)模型。將業(yè)務、資產(chǎn)、日志、告警、威脅、行為、流量、情報等多維風險要素進行統(tǒng)一建模表達，突破了異構數(shù)據(jù)無法關聯(lián)的技術壁壘，真正實現(xiàn)安全防護設備告警信息、流量、資產(chǎn)、情報等數(shù)據(jù)間的時空多維關聯(lián)及融合。

　　(2)一平臺，即實現(xiàn)基于大數(shù)據(jù)分析預測的企業(yè)級安全數(shù)據(jù)分析平臺，包括數(shù)據(jù)采集、預處理、規(guī)則分析、深度挖掘、統(tǒng)計計算、數(shù)據(jù)存儲等數(shù)據(jù)處理全過程。一方面，以數(shù)據(jù)驅動思想，針對各階段數(shù)據(jù)進行多維封裝，在平臺側通過統(tǒng)一服務提供多形態(tài)數(shù)據(jù)共享。另一方面，結合處理邏輯構建計算組件，通過平臺提供實時分析、離線分析、交互式分析、不確定性分析等計算服務。

　　(3)多場景，即面向威脅場景構建實時和離線分析模型，提升對復雜網(wǎng)絡環(huán)境的態(tài)勢感知全面性、實時性、靈活性和精準度?；诠翩溸M行外部攻擊監(jiān)測模型構建，通過多級關聯(lián)進行定位、跟蹤，最終通過聯(lián)動聯(lián)防實現(xiàn)防御;基于統(tǒng)計分析構建內部狀態(tài)預警模型，及時發(fā)現(xiàn)異常趨勢變化，產(chǎn)生預警。場景模型支持定制化開發(fā)，可靈活擴展。

　　(4)微應用，即通過平臺的數(shù)據(jù)、計算開放能力，供業(yè)務定制符合實際需求的微應用。針對運行值班人員、安全人員、應用人員等不同用戶角色設計并實現(xiàn)預警監(jiān)控微應用;針對不同業(yè)務需求可定制場景展現(xiàn)、可視化展現(xiàn)的微應用方案;也可通過微應用實現(xiàn)集成外部安全廠商的檢測分析能力，加強平臺能力擴展。

　　2.2 “網(wǎng)”態(tài)勢感知技術及產(chǎn)品

　　針對電力物聯(lián)網(wǎng)網(wǎng)絡全流量分析，通過自主研發(fā)的電力物聯(lián)網(wǎng)流量威脅分析裝置，如圖3 所示，提供全量流量數(shù)據(jù)捕獲還原及存儲、分析檢測、回溯、查詢及取證，形成基于網(wǎng)絡流量的安全威脅看得見、看得準、看得深的感知能力。

　　圖 3 電力物聯(lián)網(wǎng)流量威脅分析裝置

　　電力物聯(lián)網(wǎng)流量威脅分析裝置基于網(wǎng)絡安全監(jiān)測和網(wǎng)絡流量采集框架，在網(wǎng)絡層面檢測攻擊，實現(xiàn)縱深防御的安全監(jiān)測應用群。其技術特點包括：

　　(1)網(wǎng)絡流數(shù)據(jù)全面處理。基于零拷貝的高性能網(wǎng)絡數(shù)據(jù)包處理技術，確保電力物聯(lián)網(wǎng)大流量環(huán)境下全流量處理。面向電力物聯(lián)網(wǎng)業(yè)務實現(xiàn)業(yè)務流量深度還原。

　　(2)網(wǎng)絡威脅全方位監(jiān)測?；诹髁繑?shù)據(jù)可視化，構建終端及業(yè)務流量基線(流量- 連接- 對象的關系)，發(fā)現(xiàn)異常行為，識別繞過傳統(tǒng)邊界防護設備的高級攻擊，提高威脅監(jiān)測能力。

　　(3)網(wǎng)絡流量深度分析。面向物聯(lián)網(wǎng)業(yè)務構建過濾規(guī)則，發(fā)現(xiàn)異常行為，串聯(lián)孤立安全事件，提升異常行為關聯(lián)及深度挖掘能力。支持多源異構海量數(shù)據(jù)的秒級彈性檢索，及基于網(wǎng)絡訪問路徑的全鏈路溯源分析。

　　2.3 “邊”態(tài)勢監(jiān)測技術及產(chǎn)品

　　面向電力物聯(lián)網(wǎng)邊設備，通過在邊緣物聯(lián)代理上部署自主研發(fā)的輕量級態(tài)勢監(jiān)測模塊， 如圖 4 所示，針對邊設備資源受限的特點，采用輕量級技術方案實現(xiàn)終端資產(chǎn)監(jiān)測、邊設備流量監(jiān)測、終端行為分析、邊設備應用安全監(jiān)測等，一方面，通過邊端聯(lián)動實現(xiàn)局部的安全防御自治;另一方面，接受云安全態(tài)勢感知平臺的全局聯(lián)動響應編排，實現(xiàn)全局防御。

　　圖 4 邊緣輕量級態(tài)勢監(jiān)測模塊

　　邊緣輕量級態(tài)勢監(jiān)測模塊技術特點包括：

　　(1)實時采集邊設備及下聯(lián)終端數(shù)據(jù)，涵蓋南北向流量、電力物聯(lián)終端數(shù)據(jù)、邊緣 APP 業(yè)務數(shù)據(jù)、運行狀態(tài)數(shù)據(jù)等，近場執(zhí)行數(shù)據(jù)融合及關聯(lián)分析處理，實現(xiàn)實時監(jiān)測及預警。

　　(2)采用規(guī)則引擎與分析引擎結合的技術方案，分別針對已知攻擊及未知威脅進行檢測。規(guī)則庫和分析模型與云上態(tài)勢感知平臺保持同步。

　　(3)采用運行態(tài)資源控制機制，充分利用邊設備空閑期執(zhí)行計算任務，實現(xiàn)輕量級安裝及運行。

　　2.4 “端”態(tài)勢監(jiān)測技術及產(chǎn)品

　　針對智能物聯(lián)終端進行安全監(jiān)測，通過自主研發(fā)終端安全檢測響應軟件EDR，如圖5 所示，實現(xiàn)電力物聯(lián)網(wǎng)末端感知層數(shù)據(jù)采集及狀態(tài)監(jiān)測。協(xié)同云、邊的深度分析及決策能力，實現(xiàn)基于云邊端聯(lián)動的主動防御，提供電力物聯(lián)終端安全“監(jiān)測、分析、響應”一體化的安全防護能力。

　　圖 5 終端安全檢測與響應 EDR

　　終端安全檢測與響應 EDR 圍繞終端資產(chǎn)安全生命周期，充分協(xié)同利用云、邊的深度安全分析檢測及決策能力，集成云端病毒查殺、沙箱檢測等專用引擎，共享威脅情報平臺，通過預防、防御、檢測、響應賦予終端更為細致的隔離策略，更為精準的查殺能力、更為持續(xù)的檢測能力、更為快速的處置能力。技術特點包括：

　　(1)通過自研 Agent 程序，無縫對接各類終端系統(tǒng)，針對外部攻擊嗅探行為、內部異常行為、自身安全防護配置短板等進行操作系統(tǒng)級監(jiān)測埋點，獲取全面的終端側威脅感知基礎數(shù)據(jù)。

　　(2)采用可信行為基線理念，行為分析引擎動態(tài)學習終端的文件、進程、網(wǎng)絡和用戶訪問行為，并基于可信基對服務器等工控及物聯(lián)終端的異常行為進行監(jiān)測及告警，實現(xiàn)終端級的“精確感知”和“貼身防護”。

　　(3)在應對高級威脅時，通過多級聯(lián)動協(xié)同，針對可編排的響應場景進行自動化響應處置，支持終端隔離、文件刪除 / 還原、端口封禁、進程終止等多種阻斷方式，提供不同級別的安全防御。

　　3、應用案例

　　某電力企業(yè)依托電力物聯(lián)網(wǎng)安全態(tài)勢感知解決方案，在 30 多家單位部署建設了全場景態(tài)勢感知平臺及配套各層安全措施，依托平臺建立了上下級聯(lián)防聯(lián)動的安全運營機制，及時感知態(tài)勢并預警安全風險，共享信息安全情報， 提升了企業(yè)整體的安全風險應對能力。平臺在G20 會議保障、國家安全專項演習、“一帶一路” 峰會保障中，及時發(fā)現(xiàn)應對來自互聯(lián)網(wǎng)的攻擊行為，處置了分布式拒絕服務攻擊、惡意病毒攻擊、電子郵件攻擊、網(wǎng)絡入侵等黑客攻擊， 在維護電力系統(tǒng)網(wǎng)絡安全運行中作用顯著。

　　感知范圍方面，累計實現(xiàn) 1236 臺網(wǎng)絡設備、12 個廠商、79 種型號的 634 臺安全設備數(shù)據(jù)接入，覆蓋 50000 余臺終端，邊設備 50 余臺，網(wǎng)絡安全監(jiān)測覆蓋面達到 80% 以上。

　　感知效果方面，近兩年共通過電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知平臺監(jiān)測到網(wǎng)絡攻擊嘗試累計達到 5115 萬次，經(jīng)平臺分析后確認網(wǎng)絡攻擊告警 431 萬次，確認互聯(lián)網(wǎng)攻擊源 14528 個， 通過高級分析發(fā)現(xiàn) C&C 惡意 IP 地址 345 個。

　　處置成效方面，在比特幣勒索軟件攻擊事件中，通過全場景安全態(tài)勢感知平臺發(fā)布專項監(jiān)測第一時間實現(xiàn)了預警通報，并對受控系統(tǒng)和終端進行全面掃描實時監(jiān)測感染情況，確保零感染?！癇ulehero”木馬攻擊事件中，通過態(tài) 勢感知平臺及時鎖定遠控域名及攻擊源ip 近 30 個，并下發(fā)聯(lián)動策略有效阻斷攻擊者的后續(xù)攻擊。

　　4、結 語

　　電力物聯(lián)網(wǎng)全場景態(tài)勢感知解決方案面向電力物聯(lián)網(wǎng)業(yè)務安全防護新需求，落實國家網(wǎng)絡安全法、等級保護 2.0 等要求，構建主動防御、動態(tài)防御的網(wǎng)絡安全分析能力、未知威脅的檢測能力、安全工作的執(zhí)行能力，使電力物聯(lián)網(wǎng)具備監(jiān)測、分析、預警和應急處置能力，有效保障電力物聯(lián)網(wǎng)安全穩(wěn)定運行。

　　作者簡介：

　　金倩倩，碩士， 高級工程師，主要研究方向為信息安全;

　　張付存，碩士，工程師，主要研究方向為信息安全。

　　選自《信息安全與通信保密》2020年增刊1期(為便于排版，已省去原文參考文獻)

　　聲明：本文來自信息安全與通信保密雜志社，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表本站(網(wǎng)絡安全等級保護資訊網(wǎng))立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。