全球能源互聯網研究院持續(xù)開展電力工控安全防護技術攻關

國電中星近日了解到：在國網設備部的統(tǒng)一組織下，全球能源互聯網研究院有限公司信息通信研究所電力工控安全防護技術攻關團隊與江蘇無錫供電公司運檢部員工，針對目前新形勢下配電自動化系統(tǒng)整體安全防御工作展開討論。

隨著電力系統(tǒng)的智能化、互動化發(fā)展，網絡攻擊技術的演進，具有點多面廣、分布廣泛特點的配電自動化系統(tǒng)面臨配電終端自身安全防御能力不足、配電業(yè)務安全感知不夠、危險設備不能及時發(fā)現并切除等風險挑戰(zhàn)。

　　聯研院攻關團隊針對配電終端安全集中監(jiān)管技術難度大、業(yè)務安全監(jiān)測手段缺失和網絡安全告警閉環(huán)處置流程不暢等技術難題展開研發(fā)。在經過多輪嚴格試驗驗證后，2019年10月，團隊研制的融合業(yè)務場景的智能安全態(tài)勢感知技術裝備在無錫供電公司正式投運。裝備具備了面向配電終端、通信網絡和主站應用的全景式安全監(jiān)測技術能力，大幅提升了配電自動化網絡安全風險主動發(fā)現及防御能力。

　　配電終端安全感知能力提升

　　國家電網公司自2017年起開展智能配電系統(tǒng)網絡安全態(tài)勢感知技術裝備應用，實現了配電自動化系統(tǒng)網絡攻擊威脅實時監(jiān)測、報告和閉環(huán)處置，進一步提升系統(tǒng)的網絡安全管理能力。但在裝備推廣使用過程中，基層單位反饋了配電終端存在安全風險且不能監(jiān)控的問題。

　　配電終端數量龐大，運行環(huán)境復雜，具有分布廣泛、產品軟件形態(tài)多樣、操作系統(tǒng)種類不一的特點。外部攻擊者容易利用配電終端的安全漏洞非法控制現場終端，進而以其為跳板攻擊內網。2017年12月，聯研院攻關團隊通過梳理智能電表、集中器、柱上開關、新型智能融合終端等電力終端設備可能存在的安全運行風險，采用輕量化指標采集方法，針對有線和無線兩種不同連接方式，研制了終端安全監(jiān)測代理軟件，實現了對各類配電終端在線狀態(tài)、系統(tǒng)狀態(tài)和安全狀態(tài)的實時監(jiān)測。

　　“我們于2019年10月安裝了配電終端輕量級安全監(jiān)測代理軟件，配電終端的安全狀態(tài)一目了然。軟件具備主動探測、安全核查等功能，解決了配電終端安全脫管的難題，減少了終端的風險暴露點。配電終端自身安全和網絡安全得到有效保證。”無錫供電公司運檢部配電專責胡金峰說。

　　目前，終端輕量級安全監(jiān)測代理軟件已與江蘇大燁、四方等多個廠家的終端完成適配，在新疆、江蘇、河南等地現場推廣實施。

　　配電業(yè)務全景監(jiān)測

　　在配電系統(tǒng)網絡安全態(tài)勢感知技術裝備推廣應用過程中，無錫供電公司調控中心針對配電主站業(yè)務提出了新的安全需求：在配電自動化主站系統(tǒng)運維中，預防由于攻擊或者程序錯誤導致配電主站對終端下發(fā)大量遙控指令，造成終端誤動、錯動的情況，還需要監(jiān)視主網到主站的配電開關監(jiān)控終端關鍵開關變位信號的狀態(tài)變動，以防止指令錯誤帶來開關誤動。

　　針對新的安全業(yè)務需求，2019年10月，聯研院攻關團隊通過分析現場采集的大量流量數據，基于電力工控協議高速解析與語義還原、攻擊時序與業(yè)務邏輯推理的攻擊關聯等關鍵技術，實現了主站下行遙控報文、主網到主站的遙信變位報文監(jiān)測。

　　“通過對遙控和遙信報文的深度識別監(jiān)測，主站下發(fā)終端的命令過程透明，業(yè)務操作流程清晰可見，解決了業(yè)務指令安全調用的難題，保證了配電業(yè)務整體安全。”無錫供電公司供電服務專責蘇磊說。

　　目前，配電系統(tǒng)網絡安全態(tài)勢感知技術裝備已在河南、新疆多地部署應用，通過終端上行業(yè)務畸形報文、主站內部應用訪問、主站命令報文等業(yè)務分析，實現配電業(yè)務全景監(jiān)測，及時發(fā)現安全問題并可協助研發(fā)單位整改。

　　通用安全監(jiān)測技術融合業(yè)務場景

　　2019年12月，配電系統(tǒng)網絡安全態(tài)勢感知技術裝備在新疆推廣應用，運維單位提出新的安全需求：快速定位攻擊源，還原攻擊路徑，并有效處置風險設備。

　　針對新的需求，聯研院攻關團隊結合配電自動化采集遙測和遙控業(yè)務場景下攻擊仿真驗證數據，在監(jiān)測告警數據的基礎上，從攻擊發(fā)生時系統(tǒng)對象的不同空間層次、攻擊持續(xù)時間以及破壞正常業(yè)務邏輯的行為表征等多個維度進行關聯和推理，建立多種融合業(yè)務的攻擊關聯分析模型，有效監(jiān)測出多步驟協同攻擊等傳統(tǒng)入侵檢測無法正確識別的攻擊行為。

　　借助服務代理、命令透傳等關鍵技術，配電自動網絡安全監(jiān)測探針與交換機、數據隔離組件、安全接入網關和主機關鍵核心設備聯動，對指定風險設備進行斷網、離線等處置，提升配電自動化系統(tǒng)的攻擊防護能力。

　　聯合攻關團隊負責人費稼軒介紹說：“與通用的網絡入侵檢測產品相比，融合業(yè)務場景的智能配電系統(tǒng)網絡安全態(tài)勢感知技術裝備行業(yè)針對性強，業(yè)務融合緊密，在技術創(chuàng)新性、開放性和可行性方面具有明顯的技術優(yōu)勢。”2018年年底，該成果入選中央企業(yè)網絡安全與工業(yè)互聯網“十佳解決方案”和工信部電力需求側推薦產品。

　　截至今年5月，網絡安全態(tài)勢感知技術裝備已經在電力系統(tǒng)的發(fā)電、變電、配電和用電等環(huán)節(jié)得到廣泛應用，累計發(fā)現了2000余次高風險攻擊威脅。

　　在電力工控系統(tǒng)網絡攻擊呈定制化、多元化發(fā)展趨勢的背景下，聯研院將持續(xù)挖掘電力工控系統(tǒng)數據的關聯關系，構建攻擊關聯分析模型，做好電力工控系統(tǒng)安全支撐工作，為保障電力工控系統(tǒng)穩(wěn)定運行貢獻力量。

國電中星是專業(yè)的電力測試設備廠家，密切關注電力及電力工控安全行業(yè)的發(fā)展與動態(tài)，了解更多訪問國電中星官網：www.afc-holcroft.com.cn。