电力调度数据网安全技术理念及前景展望梁蕖

电力调度数据网安全技术理念及前景展望梁蕖

梁蕖贾倍黄金霞

国网伊犁供电公司，新疆835000

摘要：近年来，随着智能电网建设全面提升电网调度自动化覆盖率，调度数据网作为变电厂站与调度中心进行数据业务交换的专用网络，正加速应用到电力网络的各环节。网络系统虽然给电力调度带来了更加自动化的服务，但实际运行中存在的安全隐患和缺陷也不断暴露出来。电网运行中遭遇黑客攻击，除了会造成大面积停电、内部信息外泄等风险外，也伴随着巨大经济损失。本文基于电力调度自动化系统网络安全的发展现状，对调度数据网中使用的网络设备和运行中的安全风险进行分析，并结合新一代企业安全防护技术，探讨如何进一步加固二次安全防护系统，以及时有效地降低潜在威胁。

关键词：调度数据网；网络安全；SIEM；人工智能

1电力调度数据网现状及安全风险

电力调度数据网是电力监控系统的专用网络。为了保障电力监控系统的信息安全，国家相关部门明确要求：“电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其它数据网及部公共信息网的安全隔离。电力调度数据网划分为逻辑隔离的实时子网和非实时子网，分别连接控制区和非控制区”。二次安全防护是保障电网稳定运行的生命线，不能仅考虑边界防护，也应延伸到监控系统内部。调度数据网的大规模开发和使用，使得传统防护结构和体系面临以下考验。（1）安防机制被动。目前的电网调度数据网建设中，变电站内部及调度间的二次安全防护仅依靠隔离装置、加密装置，缺乏积极主动的安全防护工具。隔离和加密装置只是网络信息系统的一道防线，已不能完全满足现代智能电网中调度自动化系统的安全防御需要。（2）系统本身安全性。电力调度数据网本身的规模和复杂性，导致了以下安全威胁：一是维护人员需深入了解网络结构、配置参数和软件，以免在维护过程中出现操作不当，配置错误可能不易在短时间内被发现，但仍是不可小视的安全隐患；二是未详细研究使用的网络设备的本身缺陷和漏洞，网络设备在设计中会不可避免地因技术更新问题而存在薄弱环节或运行bug。（3）内外部攻击。电力调度数据网是一个相对独立的网络，大部分攻击来自内部非法访问，如外部人员非法访问造成对网络设备及资源的非正常使用，或擅自扩大自身权限，越权访问信息。电力调度数据网也利用国际通用的网络协议进行通信，随着信息化的高速发展，终端的交互不断提升，病毒和木马会严重影响网络速度和数据安全。

2基于SIEM理念的平台架构

2.1SIEM简介

SIEM即安全信息事件管理平台，是企业安全的核心中枢，可实时监控系统、网络、数据库及应用程序中的所有活动，并通过持续监控威胁、风险和切实可行的分析，对分类和速度调查及安全补救协调进行指导。本文提出的调度数据网SIEM系统以日志／事件分析为核心，以国家各项安全标准为线索，综合考虑威胁、弱点与设备的关系，为使用者提供坚实、详细的基础平台。

2.2基于SIEM理念的架构

SIEM安全管理系统主要完成事件关联和日志管理功能，对调度数据网络中的所有设备及应用所产生的行为、日志进行事件信息集中统一收集、历史查询和统计分析，预测下次威胁发生时刻等，威胁发生后还可根据以往的记录快速找出原因所在，降低了日志分散存储的管理成本，有效防止了本地日志丢失、抹掉的危险。当遇到安全事件时，该系统首先产出安全相关事件的报告，如成功／失败登陆或其它可能的恶意活动，再分析该行为活动是否违反了预定义的规则集，是否需要发出警报。完整的SIEM包括漏洞管理、资产发现、入侵检测行为分析、日志存储及检索、报警管理、报表系统等功能，总体由核心的四层架构构成。（1）数据采集层：即系统数据入口。SIEM支持多种数据输入，从来源划分，包括终端用户设备、网络设备、存储设备等；从OSI协议模型划分，包括数据链路层、网络层、传输层、应用层的网络流量；从系统角色划分，包括不同的业务系统、负载均衡系统等。这些数据通过标准化、过滤和压缩归并后供分析计算。（2）存储层：在这个层面除了将信息安全的各种数据供给后面的计算分析外，还会进行存储。存储层有原始采集数据和计算分析完成的结果数据。（3）计算层：SIEM平台的核心处理层面，实现对数据的深入加工处理，并运行用户相关功能的业务逻辑，包括运行监测、安全分析、风险管理、事件管理等。计算平台的核心部分是算法部分的计算逻辑，它对流量、用户请求、系统交互信息等不同类型的数据进行计算。SIEM平台的实现一般基于规则引擎，需依赖使用者制定大量的规则，一旦使用者制定的规则出现错误或遗漏，就可能造成错判漏判。（４）输出层：计算层分析的结果最终传导至输出层集中展示，负责完成与用户间的交互，实现安全预警和综合分析的功能。SIEM的输出方式包括展现层面、报表层面、报警通知层面、实时阻断层面等，电力公司可根据不同业务部门的不同需求选择合适的输出方式。根据电力系统的自身情况，外设情报中心层为SIEM计算层提供额外的数据支撑，从而提高威胁和异常行为的识别准确率。情报中心的数据分为三类：第一类是来自公开输出的威胁情报数据；第二类是自身搜集的威胁情报数据；第三类是与电力行业本身业务自身相关的辅助数据，如用户站信息、电网运行信息等，当多种数据联合分析时可为最终的结果输出提供有效参考。

3前景展望

（1）降低人工参与。无需大量安全技术人员介入来标注数据，利用无监督学习将正常运行事件聚集在一起，同时也将安全异常事件聚在一起，有利于算法识别出异常威胁，大大降低了人工参与的程度和安全工程师的人力成本。但是，这并不代表可完全脱离人工。在目前可预见的未来，有经验的安全专家对威胁风险的识别、对算法的修正及对整个系统可靠性和鲁棒性的维护都是非常重要的。因此，可考虑引入主动学习算法的同时，由安全领域专家对部分自动识别出的结果进行人工复核，对原有算法进行持续微调直至收敛。（2）识别隐形威胁。某些安全信息事件的威胁本身不够直观，如加密流量甚至不能以向量化、离散化等方式人为地直观表述，而表现为只是二进制输入流。对于这些问题，因为平台在运行过程中收集了大量安全事件样本，所以都可尝试依靠非线性能力显著的深度学习算法来分析，自动为各复杂事件建立内在关联，提高识别的准确率和预警成功率。

4结语

SIEM软件能给电力企业安全人员提供网络环境中发生活动的洞见和轨迹记录，通过平台对电网调度数据网的网络安全做到持续安全监管，从网络设备、安防设备、监控系统等方面进行实时和历史数据收集、监管，实现对信息安全事件的深入挖掘和分析，统一监控管理和预警。本文结合近几年的安全防护现状，提出了加强电力调度数据网安全高效运行的理念和展望，希望能为提高电网整体调度自动化水平、建设智能化电网和信息化企业、加快整合调度信息安全资源打下坚实的技术基础。

参考文献

［1］徐东兵．论电力调度数据网的建设［J］．电力信息与通信技术，2010，8（6）：25－26．

［2］童晓阳，王晓茹．乌克兰停电事件引起的网络攻击与电网信息安全防范思考［J］．电力系统自动化，2016，40（7）：144－148．

［3］胡鑫，陈信，江海敏．电力调度数据网网络安全防护技术研究［J］．自动化技术与应用，2018，37（5）：20－23．