二次設(shè)備集中安防運(yùn)維及主動感知和診斷預(yù)警關(guān)鍵技術(shù)的研究

巫聰云，劉斌，沈梓正，顏麗，廖曉春

（1.廣西電網(wǎng)有限責(zé)任公司，南寧 530000；2.武漢華電順承科技有限公司，武漢 430071）

近年來，國際網(wǎng)絡(luò)安全形勢愈發(fā)嚴(yán)峻，烏克蘭、委內(nèi)瑞拉等國家級大規(guī)模停電事故時有發(fā)生，電網(wǎng)已成為網(wǎng)絡(luò)攻擊戰(zhàn)的主戰(zhàn)場。我國對電力系統(tǒng)網(wǎng)絡(luò)信息安全監(jiān)管引起了高度的重視，國家發(fā)展和改革委員會第14號令《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》、國能安全36號文《變電站監(jiān)控系統(tǒng)安全防護(hù)總體方案》和《中國南方電網(wǎng)電力監(jiān)控系統(tǒng)安全管理辦法》（Q/CSG 212001—2015）等陸續(xù)頒布，對保障電網(wǎng)穩(wěn)定運(yùn)行的監(jiān)控系統(tǒng)網(wǎng)絡(luò)信息安全加大了管控力度，對已經(jīng)投運(yùn)的變電站二次設(shè)備提出了嚴(yán)格的整改要求［1-3］。

變電站二次設(shè)備不僅分布廣泛、數(shù)量龐大、類型繁雜，而且投放時間各異、安全水平參差不齊，安防整改同步實施難以實現(xiàn)。相較于采用入網(wǎng)軟件直接并網(wǎng)的保護(hù)裝置等嵌入式設(shè)備，利用后臺管理機(jī)并網(wǎng)的錄波器安全問題最為突出［4-5］。南方電網(wǎng)已有超過50%的錄波器因無有效的安防整改手段，不得不大面積脫網(wǎng)運(yùn)行，數(shù)據(jù)無法正常上送；部分安防整改后達(dá)標(biāo)的錄波器，雖暫時符合電網(wǎng)安全等級的要求，但其安防體系長期處于靜態(tài)，仍存在安全隱患。目前采用分頭安防整改的現(xiàn)場運(yùn)維模式，已暴露出整改效率低下、效果不可控等問題，而且也無法從根本上解決安防要求持續(xù)更新的難題，變電站二次設(shè)備安防運(yùn)維模式優(yōu)化，成為電力系統(tǒng)網(wǎng)絡(luò)信息安全保障工作中亟待解決的問題。

1 變電站二次設(shè)備安防運(yùn)維現(xiàn)狀分析

國內(nèi)外對電力監(jiān)控系統(tǒng)安防運(yùn)維的探索多停留于智能終端安防體系的建立，對仍處于服役期但安防要求不達(dá)標(biāo)的脫網(wǎng)二次設(shè)備安防運(yùn)維方面的研究較少，安防運(yùn)維模式優(yōu)化及相關(guān)技術(shù)的研究更為鮮見，變電站二次設(shè)備安防運(yùn)維現(xiàn)狀如表1所列。本文考慮到現(xiàn)存部分二次設(shè)備安全整改不達(dá)標(biāo)脫網(wǎng)運(yùn)行后數(shù)據(jù)無法上送主站系統(tǒng)的現(xiàn)狀，并結(jié)合文獻(xiàn)［6］-［13］所提方法，通過在變電站內(nèi)部署安防體系完善的合規(guī)并網(wǎng)裝置，實現(xiàn)變電站二次設(shè)備集中管理和數(shù)據(jù)安全輸出，同時兼顧設(shè)備數(shù)據(jù)安全統(tǒng)一管理和裝置安防體系集中運(yùn)維，最終實現(xiàn)二次設(shè)備安防整改和維護(hù)管理效益的最大化。

表1 變電站二次設(shè)備安防運(yùn)維現(xiàn)狀分析Tab.1 Analysis on the current situation of security operation and maintenance for secondary equipment in substation

基于上述分析，本文提出二次設(shè)備集中安防運(yùn)維及主動感知和診斷預(yù)警關(guān)鍵技術(shù)的研究，在變電站內(nèi)統(tǒng)一部署合規(guī)并網(wǎng)裝置，就地解決錄波器并網(wǎng)和數(shù)據(jù)安全傳輸?shù)膯栴}，提供高可靠的錄波數(shù)據(jù)傳輸和訪問服務(wù)；利用錄波主站拓展運(yùn)維業(yè)務(wù)應(yīng)用，開發(fā)集中運(yùn)維管理平臺，將對數(shù)量多、分布廣和改造難度大的異構(gòu)錄波器進(jìn)行安防整改，轉(zhuǎn)換成對規(guī)格一致的合規(guī)并網(wǎng)裝置進(jìn)行安防策略升級和統(tǒng)一維護(hù)，形成變電站二次設(shè)備集中安防運(yùn)維的新模式。

2 變電站二次設(shè)備集中安防運(yùn)維架構(gòu)

在合規(guī)并網(wǎng)裝置接入變電站后，通過集中運(yùn)維的方法不斷升級和優(yōu)化裝置內(nèi)部的安防體系，保持裝置高安全防護(hù)標(biāo)準(zhǔn)。變電站二次設(shè)備集中安防運(yùn)維架構(gòu)主要包含合規(guī)并網(wǎng)裝置、錄波主站系統(tǒng)和運(yùn)維管理平臺三個部分，其中合規(guī)并網(wǎng)裝置的作用在于安全防護(hù)錄波數(shù)據(jù)和威脅追蹤處理，錄波主站系統(tǒng)和運(yùn)維管理平臺是利用調(diào)度側(cè)主站多源數(shù)據(jù)分析能力和運(yùn)維業(yè)務(wù)拓展功能，對分散的合規(guī)并網(wǎng)裝置安防體系進(jìn)行全盤統(tǒng)籌和維護(hù)管理，如圖1所示。

圖1 變電站二次設(shè)備集中安防運(yùn)維架構(gòu)Fig.1 Substation secondary equipment centralized security operation and maintenance architecture

1）合規(guī)并網(wǎng)裝置：裝置有多個物理通信接口與變電站錄波器進(jìn)行互連，具備健全的安防體系，包含設(shè)備安全管理、網(wǎng)絡(luò)狀態(tài)監(jiān)視、漏洞掃描、病毒查殺、權(quán)限管理、日志審計和服務(wù)優(yōu)化等，在錄波器和調(diào)度數(shù)據(jù)網(wǎng)之間起到安全隔離的作用。將接入的數(shù)據(jù)根據(jù)通信協(xié)議和特征屬性進(jìn)行數(shù)據(jù)分類、主動感知和威脅分離，確保上送的數(shù)據(jù)安全可靠。

2）錄波主站系統(tǒng)：利用現(xiàn)有的主站系統(tǒng)，進(jìn)行合規(guī)并網(wǎng)裝置安防體系集中運(yùn)維業(yè)務(wù)的延伸，通過錄波主站和裝置之間建立的通信連接，接收分布式合規(guī)并網(wǎng)裝置上送的錄波數(shù)據(jù)和預(yù)警的威脅信息整理結(jié)果，站在全局角度對風(fēng)險進(jìn)行綜合評估。

3）運(yùn)維管理平臺：錄波主站對所有連接的合規(guī)并網(wǎng)裝置觸發(fā)安防體系巡檢任務(wù)，生成記錄合規(guī)并網(wǎng)裝置安防體系版本信息的檢查報告，調(diào)度統(tǒng)一制定相應(yīng)的應(yīng)對策略，通過專用運(yùn)維接口，對合規(guī)并網(wǎng)裝置進(jìn)行規(guī)范化的策略部署，包括但不限于病毒庫升級、漏洞修復(fù)和系統(tǒng)升級，實現(xiàn)集中安防運(yùn)維管理。

3 變電站二次設(shè)備集中安防運(yùn)維方法

利用合規(guī)并網(wǎng)裝置解決變電站錄波器安全并網(wǎng)問題，對接收到的錄波數(shù)據(jù)進(jìn)行安全管控，通過入侵檢測和反向追蹤進(jìn)行威脅感知和追溯診斷，錄波主站根據(jù)威脅預(yù)警信息進(jìn)行風(fēng)險綜合評估，調(diào)度制定應(yīng)對策略，通過集中部署的方式進(jìn)行變電站側(cè)安防體系統(tǒng)一升級和維護(hù)。變電站二次設(shè)備集中安防運(yùn)維管理方法主要包含威脅入侵?jǐn)r截、風(fēng)險綜合評估和安全策略部署三個部分，如圖2所示。

圖2 變電站二次設(shè)備集中安防運(yùn)維方法Fig.2 Substation secondary equipment centralized security operation and maintenance method

1）威脅入侵?jǐn)r截：合規(guī)并網(wǎng)裝置實時接收站內(nèi)錄波器上送的數(shù)據(jù)，為防止錄波器數(shù)據(jù)被非法篡改或與錄波器連接的鏈路遭受網(wǎng)絡(luò)攻擊等問題的發(fā)生，對數(shù)據(jù)源IP、MAC地址、設(shè)備端口、數(shù)據(jù)格式、攜帶病毒等情況進(jìn)行檢查，利用入侵檢測技術(shù)篩選出符合預(yù)先通信設(shè)置和格式、內(nèi)容審計要求的錄波數(shù)據(jù)，過濾出符合入侵特征的威脅數(shù)據(jù)，利用反向追蹤技術(shù)，追溯到惡意代碼、非法行為的來源，進(jìn)行威脅攔截和阻斷。

2）風(fēng)險綜合評估：合規(guī)并網(wǎng)裝置利用威脅和對抗分析相結(jié)合的方式對感知到的威脅進(jìn)行評估和預(yù)警，錄波主站對裝置上報的風(fēng)險進(jìn)行綜合評估和等級評定，制定相應(yīng)的短期對策，如高危端口暫時屏蔽、數(shù)據(jù)傳輸鏈路轉(zhuǎn)移等應(yīng)對辦法，使得風(fēng)險可以暫時規(guī)避，爭取更多時間制定長期有效的安防策略。

3）安全策略部署：對風(fēng)險進(jìn)行策略的制定和驗證，進(jìn)行攻防演練，確認(rèn)策略的有效性、可行性和歸屬類別，在全網(wǎng)范圍內(nèi)實施有效防御措施。運(yùn)維管理平臺利用策略部署的方式進(jìn)行分布式合規(guī)并網(wǎng)裝置安防體系策略庫的版本升級，實現(xiàn)變電站內(nèi)合規(guī)并網(wǎng)裝置安全策略的統(tǒng)一部署和集中運(yùn)維的目標(biāo)，提高裝置自身的安全防護(hù)能力。

4 變電站二次設(shè)備集中安防運(yùn)維關(guān)鍵技術(shù)

4.1 基于入侵檢測和反向追蹤的威脅主動感知和追溯診斷

合規(guī)并網(wǎng)裝置處于錄波器和主站系統(tǒng)之間，其作用是安全傳遞錄波數(shù)據(jù)，該裝置接收與自身達(dá)成通信協(xié)議要求的錄波器數(shù)據(jù)，對監(jiān)測到的數(shù)據(jù)的來源、格式和內(nèi)容等信息做數(shù)據(jù)檢測和安全檢查，篩選出主站所需的錄波數(shù)據(jù)，以及感知和診斷二次設(shè)備入侵的威脅，提高錄波數(shù)據(jù)上送的安全可靠性［14-15］?；谌肭謾z測和反向追蹤的威脅主動感知和追溯診斷如圖3所示。

圖3 基于入侵檢測和反向追蹤的威脅主動感知和追溯診斷Fig.3 Threat active perception and traceback diagnosis based on intrusion detection and traceback

1）基于入侵檢測的威脅主動感知：建立錄波數(shù)據(jù)特征庫和入侵特征信息庫，對錄波數(shù)據(jù)的需求內(nèi)容進(jìn)行定義，對已出現(xiàn)過的非法入侵等風(fēng)險行為進(jìn)行特征提取，利用適合于海量數(shù)據(jù)環(huán)境的基于深度信念網(wǎng)絡(luò)的多類支持向量機(jī)（deep belief nets multi-class support vector machine，DBN-MSVM）入侵檢測技術(shù)進(jìn)行數(shù)據(jù)篩選［16］。

a）特征降維：對高維、非線性接收到的數(shù)據(jù)進(jìn)行DBN特征降維處理，去除冗余特征。

b）深度檢測：利用深度數(shù)據(jù)包檢測（deep packet inspection，DPI）對低維特征數(shù)據(jù)檢測其傳輸協(xié)議、頭部信息和有效載荷等，使用錄波數(shù)據(jù)特征庫和網(wǎng)絡(luò)攻擊入侵特征信息庫進(jìn)行快速匹配。

c）數(shù)據(jù)篩選：采用MSVN分類器分離出不同類別的數(shù)據(jù)，包含錄波數(shù)據(jù)、威脅數(shù)據(jù)和其他數(shù)據(jù)三類：

①錄波數(shù)據(jù)：將遵循協(xié)議要求且符合暫態(tài)數(shù)據(jù)交換通用格式（common format for transient data exchange，COMTRADE）標(biāo)準(zhǔn)的錄波數(shù)據(jù)，與其他數(shù)據(jù)初步分離開來，錄波數(shù)據(jù)需經(jīng)過合規(guī)并網(wǎng)裝置安全檢查，確認(rèn)安全后上送錄波主站。

②威脅數(shù)據(jù)：利用入侵特征信息庫，主動感知帶有攻擊性質(zhì)的入侵行為或企圖，發(fā)出威脅入侵告警信號，并對識別到的惡意代碼、病毒、漏洞等威脅進(jìn)行有效隔離。

③其他數(shù)據(jù)：非錄波數(shù)據(jù)和威脅數(shù)據(jù)，可以設(shè)定保留期限，將其進(jìn)行暫存處理，保留期間無主站主動召喚，不得上傳，減少網(wǎng)路開銷。

2）基于反向追蹤的威脅追溯診斷：網(wǎng)絡(luò)攻擊者在實施攻擊之時或之后，會留下登錄的記錄、文件權(quán)限更改等證據(jù)，利用基于自適應(yīng)概率標(biāo)記的IP反向追蹤（adaptive probabilistic marking scheme IP traceback，APMS-IT）技術(shù)對威脅數(shù)據(jù)進(jìn)行破譯，消除威脅者偽造IP標(biāo)記的影響，重構(gòu)攻擊的完整路徑阻斷威脅［17-18］，并根據(jù)收集的信息利用安防體系進(jìn)行威脅診斷和跟蹤處理。

a）啟動追蹤：根據(jù)威脅入侵告警信號，發(fā)起反向追蹤，并做相應(yīng)的追蹤任務(wù)編號，實現(xiàn)威脅追蹤任務(wù)的并行處理。

b）范圍確定：IP首部包含8位生存時間TTL（time-to-live）字段，設(shè)置了數(shù)據(jù)包可以經(jīng)過的最多路由器數(shù)。對接入網(wǎng)端口進(jìn)行統(tǒng)一TTL值配置，依據(jù)數(shù)據(jù)包每經(jīng)過一個路由器TTL值減1的特性，從TTL值的變化推斷數(shù)據(jù)包經(jīng)過的路由器跳數(shù)，自適應(yīng)調(diào)整標(biāo)記數(shù)據(jù)包的概率，從而確定IP標(biāo)記追蹤的路由器范圍。

c）反向標(biāo)記：利用開始時刻和路由器范圍，觸發(fā)該范圍內(nèi)路由器級數(shù)的標(biāo)記工作。

d）路徑重構(gòu)：進(jìn)行威脅攻擊路徑的反向重構(gòu)，追溯威脅發(fā)起者的實際物理地址。

e）威脅診斷：合規(guī)并網(wǎng)裝置根據(jù)攻擊路徑，可迅速采取限流、過濾等攔截手段，阻斷威脅并控制影響范圍，利用裝置部署的漏洞掃描、病毒查殺、設(shè)備安全檢查、權(quán)限檢查、日志審計、服務(wù)檢查等安防手段對控制的威脅進(jìn)行診斷定位，并持續(xù)跟蹤處理。

4.2 基于威脅和對抗分析相結(jié)合的風(fēng)險預(yù)警和綜合評估

根據(jù)過往經(jīng)驗、知識總結(jié)，不斷更新合規(guī)并網(wǎng)裝置的入侵特征信息庫，使其具備快速發(fā)現(xiàn)代碼或者環(huán)境安全問題的能力，并利用自身所建立的安防體系對抗威脅產(chǎn)生的攻擊，進(jìn)行威脅博弈狀態(tài)的動態(tài)分析和風(fēng)險評估，實現(xiàn)風(fēng)險快速預(yù)警的目標(biāo)。主站系統(tǒng)根據(jù)單臺裝置上報的風(fēng)險概率和嚴(yán)重程度，進(jìn)行風(fēng)險影響范圍的全面評估和等級評定，實現(xiàn)風(fēng)險信息全盤掌控和快速應(yīng)對的目標(biāo)，基于威脅和對抗分析相結(jié)合的風(fēng)險預(yù)警和綜合評估技術(shù)如圖4所示。

圖4 基于威脅和對抗分析相結(jié)合的風(fēng)險預(yù)警和綜合評估Fig.4 Risk early warning and comprehensive assessment based on the combination of threat and adversarialanalysis

1）裝置風(fēng)險預(yù)警：合規(guī)并網(wǎng)裝置利用威脅和對抗分析相結(jié)合的方式，對感知到的威脅進(jìn)行內(nèi)部評估和風(fēng)險預(yù)警，并整理追蹤過程中收集到的證據(jù)，按照主站協(xié)議要求和安全匯報形式進(jìn)行風(fēng)險信息報送。

a）對于合規(guī)并網(wǎng)裝置a安防體系的對抗能力，生成對抗性集合A=｛Ai|i=1，2，…，n｝，其中，n表示裝置對抗性種類的數(shù)量，Ai表示第i種對抗性。

b）合規(guī)并網(wǎng)裝置主動感知到的威脅集合為T=｛Tj|j=1，2，…，m｝，其中，m表示裝置識別出的威脅數(shù)量，Tj表示第j種威脅。

c）Pj=P（Tj，A）表示威脅Tj與合規(guī)并網(wǎng)裝置的安防體系A(chǔ)對抗后，威脅事件發(fā)生的可能性。

d）Ia表示合規(guī)并網(wǎng)裝置a的重要程度，Vj表示威脅事件Tj發(fā)生后裝置安防體系脆弱性，Sj=S（Ia，Vj）表示威脅事件Tj發(fā)生后裝置受損的嚴(yán)重程度。

e）Rj=Pj×Sj超過合規(guī)并網(wǎng)裝置設(shè)定的安全閾值RS，裝置即刻發(fā)出風(fēng)險預(yù)警［19］。

由于合規(guī)裝置安防體系對抗威脅產(chǎn)生的攻擊，屬于一個博弈的過程，可以參考文獻(xiàn)［19］進(jìn)行博弈模型的搭建、威脅攻擊成功的概率Pj=P（Tj，A）和裝置受損嚴(yán)重程度Sj=S（Ia，Vj）的計算，最后得到威脅風(fēng)險Rj，并和歷史安防經(jīng)驗選取的對抗性閾值RS比較，定性判斷出合規(guī)并網(wǎng)裝置對抗威脅能力的強(qiáng)或弱。

2）主站綜合評估：對合規(guī)并網(wǎng)裝置預(yù)警的威脅事件展開全網(wǎng)范圍內(nèi)的排查，經(jīng)過多源信息融合分析［20-21］，進(jìn)行影響范圍的綜合評估。對攻擊類型相同、源地址一致，以及攻擊時間相近的威脅統(tǒng)計合規(guī)并網(wǎng)裝置上報的總次數(shù)，計算該次數(shù)與全網(wǎng)該裝置總數(shù)的比值k，根據(jù)合規(guī)并網(wǎng)裝置a在威脅事件Tj發(fā)生后的風(fēng)險Rj，最終計算全網(wǎng)風(fēng)險Rj*=k×Rj，并歸一化到區(qū)間［0，1］，利用表2映射關(guān)系，將風(fēng)險劃分為高、中、低三個級別［22］。

表2 基于威脅和對抗分析相結(jié)合的風(fēng)險綜合評估映射關(guān)系Tab.2 Comprehensive risk assessment mapping relationship based on the combination of threat and confrontation analysis

5 變電站二次設(shè)備集中安防運(yùn)維運(yùn)作模式

變電站二次設(shè)備集中安防運(yùn)維遵循“最小授權(quán)和最少服務(wù)”的原則：

1）最小授權(quán)：以最小權(quán)限開放IP地址及端口，阻止裝置被安裝未授權(quán)、未許可的惡意軟件，防止不法分子對裝置的非法訪問和信息篡改等問題。

2）最少服務(wù)：禁用高危服務(wù)，合規(guī)并網(wǎng)裝置僅支持錄波數(shù)據(jù)的安全傳輸和主站系統(tǒng)的定制運(yùn)維業(yè)務(wù)需求。

變電站二次設(shè)備安防運(yùn)維采用就地安防管控和集中運(yùn)維管理相結(jié)合的運(yùn)作模式，如圖5所示。

圖5 變電站二次設(shè)備集中安防運(yùn)維運(yùn)作模式Fig.5 Substation secondary equipment centralized security operation and maintenance mode

1）就地安防管控：合規(guī)并網(wǎng)裝置實現(xiàn)變電站內(nèi)所有錄波器受控并網(wǎng)和錄波數(shù)據(jù)安全上送，對錄波數(shù)據(jù)外的威脅進(jìn)行主動感知和反向追蹤，攔截威脅將風(fēng)險控制在最小范圍，根據(jù)裝置安防體系對抗性分析確認(rèn)風(fēng)險嚴(yán)重程度，上報主站系統(tǒng)進(jìn)行風(fēng)險綜合評估［23-24］。裝置配備運(yùn)維專用接口，既支持運(yùn)維管理平臺遠(yuǎn)程統(tǒng)一升級，也支持運(yùn)維策略的現(xiàn)場落地。

2）集中運(yùn)維管理：運(yùn)維平臺基于合規(guī)并網(wǎng)裝置的設(shè)備序列號和安全版本信息，選擇需要升級的裝置，通過專用運(yùn)維接口和堡壘機(jī)進(jìn)行權(quán)限審核后，利用補(bǔ)丁或系統(tǒng)更新等方式，制定相應(yīng)的升級策略、升級包和升級情況管控表單進(jìn)行進(jìn)度跟蹤處理，確保合規(guī)并網(wǎng)裝置安全策略升級成功，并配套更新主站數(shù)據(jù)庫中的裝置安全版本信息。

集中安防運(yùn)維的新模式，全面替代以往錄波器長期脫網(wǎng)、分頭整改、重復(fù)下站的現(xiàn)場安防運(yùn)維模式，該模式集中修復(fù)合規(guī)并網(wǎng)裝置安防體系存在的風(fēng)險，提高裝置安防體系的安全級別和運(yùn)維效率［25-26］。

6 實例應(yīng)用

6.1 變電站二次設(shè)備數(shù)據(jù)威脅主動感知和追溯診斷

對電力監(jiān)控系統(tǒng)二次設(shè)備歷史數(shù)據(jù)網(wǎng)絡(luò)傳輸過程中發(fā)現(xiàn)的威脅按攻擊類型進(jìn)行分類，大致分為拒絕服務(wù)類、獲取權(quán)限類、信息收集類、網(wǎng)絡(luò)監(jiān)控類等，根據(jù)不同類型威脅的入侵特征及攻擊鏈建立入侵特征信息庫，一級特征提取信息展示如表3所列。

表3 威脅類型及特征信息Tab.3 Treat classification and character information

合規(guī)并網(wǎng)裝置利用DBN-MSVM入侵檢測技術(shù)，利用文獻(xiàn)［14］中目前較為權(quán)威的Lincoln實驗室KDD’99測試數(shù)據(jù)集入侵檢測模型搭建方法，從訓(xùn)練樣本集中選取2 000個數(shù)據(jù)作為候選，其中正常錄波數(shù)據(jù)1 796個，攜帶威脅數(shù)據(jù)204個，該裝置對實時接收到的錄波器數(shù)據(jù)進(jìn)行威脅特征識別，利用RBF核函數(shù)，調(diào)整核參數(shù)gamma=0.125，懲罰系數(shù)C=8，通過10折交叉驗證獲得平均超過95%的驗證準(zhǔn)確率，并從威脅標(biāo)注完成后的準(zhǔn)確率和誤報率兩個角度表征入侵檢測模型的精度，如表4所列，實現(xiàn)不同類別的威脅數(shù)據(jù)主動感知、快速檢測和分離。

表4 基于DBN-MSVM入侵檢測技術(shù)的主動感知結(jié)果Tab.4 Active perception result based on DBN-MSVM intrusion detection technology

合規(guī)并網(wǎng)裝置利用威脅類別特征更為細(xì)分的二級、三級特征子集進(jìn)行威脅數(shù)據(jù)入侵特征匹配，記錄每個數(shù)據(jù)入侵特征匹配的可信程度，按威脅入侵特征可信度進(jìn)行優(yōu)先級排序并診斷，利用APMS-IT技術(shù)查詢TTL值，自動探測威脅數(shù)據(jù)覆蓋范圍和傳播路徑，反向追蹤找到威脅入網(wǎng)端口并取證，攔截威脅，將風(fēng)險控制在當(dāng)前變電站最小范圍內(nèi)，從而為威脅數(shù)據(jù)診斷和風(fēng)險評估預(yù)警爭取有利時機(jī)。

6.2 變電站二次設(shè)備集中安防運(yùn)維管理模型

利用入侵檢測主動感知威脅數(shù)據(jù)，利用反向追蹤和安防手段進(jìn)行威脅溯源和診斷分析，采用威脅和對抗分析相結(jié)合的方法進(jìn)行風(fēng)險預(yù)警和綜合評估，使用補(bǔ)丁、腳本、操作規(guī)范和軟件升級等方式進(jìn)行集中的安全策略統(tǒng)一部署。

變電站二次設(shè)備集中運(yùn)維管理模型如表5所列，從表中可清晰呈現(xiàn)面對不同風(fēng)險，合規(guī)并網(wǎng)裝置的對抗性，以及主站評估的風(fēng)險影響范圍、等級和策略配置需求，安防運(yùn)維人員可根據(jù)運(yùn)維管理平臺匯總的安防管理信息有計劃、有策略地進(jìn)行合規(guī)并網(wǎng)裝置的安防升級和維護(hù)管理，實現(xiàn)變電站安全問題參差不齊的錄波器安防管理和集中運(yùn)維的目標(biāo)。

表5 變電站二次設(shè)備集中安防運(yùn)維管理模型Tab.5 Substation secondary equipment centralized security operation and maintenance management model

6.3 變電站二次設(shè)備集中運(yùn)維效率提升

對于最常發(fā)生的漏洞和病毒安全問題，運(yùn)維人員通過安防體系集中運(yùn)維管理平臺，即可全盤掌握變電站合規(guī)并網(wǎng)裝置規(guī)格信息和軟件版本，為安防體系的策略部署提供必要的信息支撐。原來需要協(xié)調(diào)不同廠商重復(fù)下站安防整改，現(xiàn)在只需要對變電站內(nèi)合規(guī)并網(wǎng)裝置版本信息調(diào)取和后臺部署升級即可，可大大減少溝通、管理成本和人力投入。

以合規(guī)并網(wǎng)裝置診斷預(yù)警的遠(yuǎn)程桌面漏洞為例，采用變電站二次設(shè)備現(xiàn)場和集中安防運(yùn)維模式，其效率比對結(jié)果如表6所列。從表中可以看出，CVE-2019-0708漏洞集中運(yùn)維的效率提升90%以上，利用運(yùn)維管理平臺跟蹤裝置后臺補(bǔ)丁安裝進(jìn)程，同步更新安全版本信息庫，即可實現(xiàn)裝置安防體系的集中升級和運(yùn)維管理，緩解運(yùn)維人員的工作壓力和勞動強(qiáng)度。

表6 遠(yuǎn)程桌面漏洞/兩種模式的變電站二次設(shè)備安防運(yùn)維效率比對Tab.6 Remote desktop vulnerability/comparison of security operation and maintenance efficiency of two modes for substation secondary equipment

7 結(jié) 論

本文所研究的二次設(shè)備集中安防運(yùn)維及主動感知和診斷預(yù)警關(guān)鍵技術(shù)，通過廠站側(cè)合規(guī)并網(wǎng)裝置對接入的數(shù)據(jù)進(jìn)行深度檢測，對威脅主動感知、追溯診斷和風(fēng)險預(yù)警，利用調(diào)度側(cè)錄波主站系統(tǒng)接收的多源信息和對裝置的安全版本管理，全盤考慮威脅的影響程度和范圍進(jìn)行綜合評估，制定相應(yīng)的安全策略，集中進(jìn)行策略部署和升級維護(hù)，通過動態(tài)的安防運(yùn)維，保障合規(guī)并網(wǎng)裝置安防體系持續(xù)地升級和完善。此方法基本解決了安防要求不斷更新的難題和現(xiàn)場安防效率低下、效果不可控的問題，大幅度提高了變電站二次設(shè)備的安防運(yùn)維效率。