“告警:35千伏制藥廠站監(jiān)測到網(wǎng)絡流量突變,遠動裝置開放21端口,存在匿名訪問。”2月17日,山東濟南供電公司基于流量分析的可視化網(wǎng)絡安全分析平臺(以下簡稱“可視化網(wǎng)絡安全分析平臺”)的監(jiān)控屏幕上,可視化網(wǎng)絡流量實時曲線出現(xiàn)異常波動,同時推送出一則告警信息。根據(jù)漏洞掃描驗證提示,該公司調度控制中心網(wǎng)絡安全運維員張鈺瑩輕點鼠標,遠程關閉異常端口,完成對目標場站網(wǎng)絡的一鍵加固。
可視化網(wǎng)絡安全分析平臺融合了人工智能、可視化與網(wǎng)絡安全監(jiān)測技術,具備網(wǎng)絡流量分析、智能自主學習及網(wǎng)絡在線加固功能,能夠準確識別正常調度業(yè)務數(shù)據(jù)傳輸?shù)亩丝谠L問和流量走向,實現(xiàn)對非業(yè)務訪問、異常入侵和違規(guī)外聯(lián)等情況的精準定位和實時追蹤。2021年以來,濟南供電公司貫徹落實國家電網(wǎng)有限公司網(wǎng)絡安全方面部署要求,加快構建新型電力系統(tǒng)安全防御體系,于1月14日建成該平臺。
網(wǎng)絡流量分析
從“靜態(tài)布防”到“動態(tài)感知”
隨著新型電力系統(tǒng)建設的推進,新一代主站系統(tǒng)、變電站二次系統(tǒng)、集控站系統(tǒng)等二次業(yè)務快速發(fā)展,系統(tǒng)網(wǎng)絡邊界不斷延伸,場站接入數(shù)量持續(xù)增加,網(wǎng)絡安全防護專業(yè)管轄范圍和管理壓力隨之增大,對網(wǎng)絡安全防護手段多樣化、策略精細化、技術智能化等方面提出更高要求。
“現(xiàn)有電力監(jiān)控系統(tǒng)網(wǎng)絡安全監(jiān)測功能大多基于黑白名單策略,對電力監(jiān)控系統(tǒng)特有的高危端口訪問風險應對能力不足,無法全態(tài)勢感知網(wǎng)絡環(huán)境。”濟南供電公司調控中心員工林祺蓉說。
針對目前網(wǎng)絡安全工作的實際,濟南供電公司以完善防御體系為目標,依托新一代調控一體化系統(tǒng),自主研發(fā)可視化網(wǎng)絡安全分析平臺,在主站與場站入網(wǎng)設備中安裝工控流量安全風險監(jiān)測裝置,并將監(jiān)測裝置數(shù)據(jù)接入該平臺。
同時,濟南供電公司在黑白名單策略基礎上,綜合利用流量解析、協(xié)議分析等技術,根據(jù)主站、變電站和電廠業(yè)務類型特點打造電力監(jiān)控系統(tǒng)數(shù)據(jù)流量特征庫,開發(fā)基于特征庫的流量識別技術,為系統(tǒng)背景流量識別提供智能匹配模板,實現(xiàn)對網(wǎng)絡環(huán)境的全方位實時監(jiān)測。
“電力監(jiān)控系統(tǒng)異常訪問會引起網(wǎng)絡流量的異常波動?;诹髁糠治黾翱梢暬故竟δ?,平臺能夠快速發(fā)現(xiàn)網(wǎng)絡環(huán)境中的細微異常,輔助網(wǎng)安監(jiān)控人員及時處置。”林祺蓉介紹。
智能自主學習
從“被動防護”到“主動免疫”
“可視化網(wǎng)絡安全分析平臺發(fā)出告警,110千伏齊川站遠動設備與未知主機產(chǎn)生2024端口網(wǎng)絡流量。”1月29日上午,張鈺瑩收到告警信息后,立即向濟南供電公司調度控制中心自動化運維班班長賈玉健報告并組織排查。與站端核查后,張鈺瑩確認告警是由場站人員使用未經(jīng)授權的調試筆記本對遠動設備進行運維操作引起的,立即遠程關閉了該端口。
賈玉健介紹,對現(xiàn)有網(wǎng)絡安全防護系統(tǒng)來說,常用業(yè)務端口在白名單之列,正常情況下并不會產(chǎn)生告警。這種情況下,常用業(yè)務端口非授權訪問等違規(guī)操作難以管控,電網(wǎng)監(jiān)控系統(tǒng)存在誤操作或被惡意攻擊破壞的風險。“可視化網(wǎng)絡安全分析平臺可以從電力監(jiān)控系統(tǒng)網(wǎng)絡采集數(shù)據(jù)包,通過解析網(wǎng)絡流量,深度分析網(wǎng)絡協(xié)議,智能匹配系統(tǒng)內置的協(xié)議特征庫和設備對象,及時監(jiān)測到常用業(yè)務端口的非授權訪問,規(guī)避此類風險。”賈玉健說。
近年來,隨著新型攻擊手段不斷出現(xiàn),網(wǎng)絡安全亟須與新技術保持同步發(fā)展,持續(xù)更新防護技術和裝備。
可視化網(wǎng)絡安全分析平臺可結合特定的安全策略,智能輔助網(wǎng)安運維人員實時掌握網(wǎng)絡運行狀況,發(fā)現(xiàn)潛在的網(wǎng)絡安全問題,主動感知系統(tǒng)安全態(tài)勢,提升網(wǎng)絡內生免疫能力。同時,該平臺還擁有自主學習能力,能夠在網(wǎng)絡攻擊訓練及網(wǎng)絡安防實戰(zhàn)中自動更新黑白名單庫,改變以往網(wǎng)絡安全防護系統(tǒng)的黑白名單庫需人工維護的傳統(tǒng)操作,大大提高網(wǎng)絡安全防護能力。“有了人工智能技術加持,平臺便具備了主動適應各類新型網(wǎng)絡安全攻擊的能力,在瞬息萬變的網(wǎng)絡安全防護戰(zhàn)場中不斷迭代成長。”賈玉健說。
網(wǎng)絡在線加固
從“事后應對”到“事前防范”
1月14日下午,濟南供電公司自動化運維班班員施雨對可視化網(wǎng)絡安全分析平臺下達了漏洞掃描驗證指令。2分鐘后,平臺給出詳細的漏洞掃描報告,其中包括漏洞修復建議。根據(jù)漏洞修復建議,施雨通過安全隧道技術對工控網(wǎng)絡進行遠程在線加固。
“網(wǎng)絡安全工作是技術上的攻防對抗,有效的技術手段能夠快速遏制和阻斷網(wǎng)絡攻擊破壞,也能推動管理手段升級,助力我們構建完備的網(wǎng)絡安全管理體系。”施雨說。
以往各類漏洞的處置往往發(fā)生在異常告警后,且需要網(wǎng)安運維人員到現(xiàn)場排查處理,速度慢、效率低。可視化網(wǎng)絡安全分析平臺具備漏洞掃描評估功能,能夠根據(jù)已有的安全漏洞知識庫,通過模擬黑客攻擊的方式遠程檢測評估范圍內的設備,掃描發(fā)現(xiàn)網(wǎng)絡協(xié)議、設備裝置、網(wǎng)絡設備等各種信息資產(chǎn)存在的安全隱患和漏洞,并給出漏洞修復建議。
從實時監(jiān)測、漏洞掃描到加固網(wǎng)絡,網(wǎng)安運維人員運用平臺即可“一條龍”解決問題,無需再前往站端排查,實現(xiàn)網(wǎng)安管理模式從“事后應對”轉變?yōu)?ldquo;事前防范”,顯著提升網(wǎng)絡安全管理工作效率。按照濟南供電公司的推廣計劃,該平臺將逐步覆蓋該公司調度大樓控制系統(tǒng)、濟南地區(qū)所有變電站及發(fā)電廠站,進一步減輕電網(wǎng)監(jiān)控系統(tǒng)網(wǎng)絡安全運維壓力。(張治林、趙普)
評論