诚信、务实、创新、共赢。仁大科技欢迎您!
5月28日,在国网设备部的统一组织下,全球能源互联网研究院有限公司信息通信研究所电力工控安全防护技术攻关团队与江苏无锡供电公司运检部员工,针对目前新形势下配电自动化系统整体安全防御工作展开讨论。
随着电力系统的智能化、互动化发展,网络攻击技术的演进,具有点多面广、分布广泛特点的配电自动化系统面临配电终端自身安全防御能力不足、配电业务安全感知不够、危险设备不能及时发现并切除等风险挑战。
联研院攻关团队针对配电终端安全集中监管技术难度大、业务安全监测手段缺失和网络安全告警闭环处置流程不畅等技术难题展开研发。在经过多轮严格试验验证后,2019年10月,团队研制的融合业务场景的智能安全态势感知技术装备在无锡供电公司正式投运。装备具备了面向配电终端、通信网络和主站应用的全景式安全监测技术能力,大幅提升了配电自动化网络安全风险主动发现及防御能力。
配电终端安全感知能力提升
国家电网公司自2017年起开展智能配电系统网络安全态势感知技术装备应用,实现了配电自动化系统网络攻击威胁实时监测、报告和闭环处置,进一步提升系统的网络安全管理能力。但在装备推广使用过程中,基层单位反馈了配电终端存在安全风险且不能监控的问题。
配电终端数量庞大,运行环境复杂,具有分布广泛、产品软件形态多样、操作系统种类不一的特点。外部攻击者容易利用配电终端的安全漏洞非法控制现场终端,进而以其为跳板攻击内网。2017年12月,联研院攻关团队通过梳理智能电表、集中器、柱上开关、新型智能融合终端等电力终端设备可能存在的安全运行风险,采用轻量化指标采集方法,针对有线和无线两种不同连接方式,研制了终端安全监测代理软件,实现了对各类配电终端在线状态、系统状态和安全状态的实时监测。
“我们于2019年10月安装了配电终端轻量级安全监测代理软件,配电终端的安全状态一目了然。软件具备主动探测、安全核查等功能,解决了配电终端安全脱管的难题,减少了终端的风险暴露点。配电终端自身安全和网络安全得到有效保证。”无锡供电公司运检部配电专责胡金峰说。
目前,终端轻量级安全监测代理软件已与江苏大烨、四方等多个厂家的终端完成适配,在新疆、江苏、河南等地现场推广实施。
配电业务全景监测
在配电系统网络安全态势感知技术装备推广应用过程中,无锡供电公司调控中心针对配电主站业务提出了新的安全需求:在配电自动化主站系统运维中,预防由于攻击或者程序错误导致配电主站对终端下发大量遥控指令,造成终端误动、错动的情况,还需要监视主网到主站的配电开关监控终端关键开关变位信号的状态变动,以防止指令错误带来开关误动。
针对新的安全业务需求,2019年10月,联研院攻关团队通过分析现场采集的大量流量数据,基于电力工控协议高速解析与语义还原、攻击时序与业务逻辑推理的攻击关联等关键技术,实现了主站下行遥控报文、主网到主站的遥信变位报文监测。
“通过对遥控和遥信报文的深度识别监测,主站下发终端的命令过程透明,业务操作流程清晰可见,解决了业务指令安全调用的难题,保证了配电业务整体安全。”无锡供电公司供电服务专责苏磊说。
目前,配电系统网络安全态势感知技术装备已在河南、新疆多地部署应用,通过终端上行业务畸形报文、主站内部应用访问、主站命令报文等业务分析,实现配电业务全景监测,及时发现安全问题并可协助研发单位整改。
通用安全监测技术融合业务场景
2019年12月,配电系统网络安全态势感知技术装备在新疆推广应用,运维单位提出新的安全需求:快速定位攻击源,还原攻击路径,并有效处置风险设备。
针对新的需求,联研院攻关团队结合配电自动化采集遥测和遥控业务场景下攻击仿真验证数据,在监测告警数据的基础上,从攻击发生时系统对象的不同空间层次、攻击持续时间以及破坏正常业务逻辑的行为表征等多个维度进行关联和推理,建立多种融合业务的攻击关联分析模型,有效监测出多步骤协同攻击等传统入侵检测无法正确识别的攻击行为。
借助服务代理、命令透传等关键技术,配电自动网络安全监测探针与交换机、数据隔离组件、安全接入网关和主机关键核心设备联动,对指定风险设备进行断网、离线等处置,提升配电自动化系统的攻击防护能力。
联合攻关团队负责人费稼轩介绍说:“与通用的网络入侵检测产品相比,融合业务场景的智能配电系统网络安全态势感知技术装备行业针对性强,业务融合紧密,在技术创新性、开放性和可行性方面具有明显的技术优势。”2018年年底,该成果入选中央企业网络安全与工业互联网“十佳解决方案”和工信部电力需求侧推荐产品。
截至今年5月,网络安全态势感知技术装备已经在电力系统的发电、变电、配电和用电等环节得到广泛应用,累计发现了2000余次高风险攻击威胁。
在电力工控系统网络攻击呈定制化、多元化发展趋势的背景下,联研院将持续挖掘电力工控系统数据的关联关系,构建攻击关联分析模型,做好电力工控系统安全支撑工作,为保障电力工控系统稳定运行贡献力量。