山東濟南供電公司建成基于流量分析的可視化網絡安全分析平臺

　　“告警：35千伏制藥廠站監測到網絡流量突變，遠動裝置開放21端口，存在匿名訪問。”2月17日，山東濟南供電公司基于流量分析的可視化網絡安全分析平臺(以下簡稱“可視化網絡安全分析平臺”)的監控屏幕上，可視化網絡流量實時曲線出現異常波動，同時推送出一則告警信息。根據漏洞掃描驗證提示，該公司調度控制中心網絡安全運維員張鈺瑩輕點鼠標，遠程關閉異常端口，完成對目標場站網絡的一鍵加固。

　　可視化網絡安全分析平臺融合了人工智能、可視化與網絡安全監測技術，具備網絡流量分析、智能自主學習及網絡在線加固功能，能夠準確識別正常調度業務數據傳輸的端口訪問和流量走向，實現對非業務訪問、異常入侵和違規外聯等情況的精準定位和實時追蹤。2021年以來，濟南供電公司貫徹落實國家電網有限公司網絡安全方面部署要求，加快構建新型電力系統安全防御體系，于1月14日建成該平臺。

　　網絡流量分析

　　從“靜態布防”到“動態感知”

　　隨著新型電力系統建設的推進，新一代主站系統、變電站二次系統、集控站系統等二次業務快速發展，系統網絡邊界不斷延伸，場站接入數量持續增加，網絡安全防護專業管轄范圍和管理壓力隨之增大，對網絡安全防護手段多樣化、策略精細化、技術智能化等方面提出更高要求。

　　“現有電力監控系統網絡安全監測功能大多基于黑白名單策略，對電力監控系統特有的高危端口訪問風險應對能力不足，無法全態勢感知網絡環境。”濟南供電公司調控中心員工林祺蓉說。

　　針對目前網絡安全工作的實際，濟南供電公司以完善防御體系為目標，依托新一代調控一體化系統，自主研發可視化網絡安全分析平臺，在主站與場站入網設備中安裝工控流量安全風險監測裝置，并將監測裝置數據接入該平臺。

　　同時，濟南供電公司在黑白名單策略基礎上，綜合利用流量解析、協議分析等技術，根據主站、變電站和電廠業務類型特點打造電力監控系統數據流量特征庫，開發基于特征庫的流量識別技術，為系統背景流量識別提供智能匹配模板，實現對網絡環境的全方位實時監測。

　　“電力監控系統異常訪問會引起網絡流量的異常波動。基于流量分析及可視化展示功能，平臺能夠快速發現網絡環境中的細微異常，輔助網安監控人員及時處置。”林祺蓉介紹。

　　智能自主學習

　　從“被動防護”到“主動免疫”

　　“可視化網絡安全分析平臺發出告警，110千伏齊川站遠動設備與未知主機產生2024端口網絡流量。”1月29日上午，張鈺瑩收到告警信息后，立即向濟南供電公司調度控制中心自動化運維班班長賈玉健報告并組織排查。與站端核查后，張鈺瑩確認告警是由場站人員使用未經授權的調試筆記本對遠動設備進行運維操作引起的，立即遠程關閉了該端口。

　　賈玉健介紹，對現有網絡安全防護系統來說，常用業務端口在白名單之列，正常情況下并不會產生告警。這種情況下，常用業務端口非授權訪問等違規操作難以管控，電網監控系統存在誤操作或被惡意攻擊破壞的風險。“可視化網絡安全分析平臺可以從電力監控系統網絡采集數據包，通過解析網絡流量，深度分析網絡協議，智能匹配系統內置的協議特征庫和設備對象，及時監測到常用業務端口的非授權訪問，規避此類風險。”賈玉健說。

　　近年來，隨著新型攻擊手段不斷出現，網絡安全亟須與新技術保持同步發展，持續更新防護技術和裝備。

　　可視化網絡安全分析平臺可結合特定的安全策略，智能輔助網安運維人員實時掌握網絡運行狀況，發現潛在的網絡安全問題，主動感知系統安全態勢，提升網絡內生免疫能力。同時，該平臺還擁有自主學習能力，能夠在網絡攻擊訓練及網絡安防實戰中自動更新黑白名單庫，改變以往網絡安全防護系統的黑白名單庫需人工維護的傳統操作，大大提高網絡安全防護能力。“有了人工智能技術加持，平臺便具備了主動適應各類新型網絡安全攻擊的能力，在瞬息萬變的網絡安全防護戰場中不斷迭代成長。”賈玉健說。

　　網絡在線加固

　　從“事后應對”到“事前防范”

　　1月14日下午，濟南供電公司自動化運維班班員施雨對可視化網絡安全分析平臺下達了漏洞掃描驗證指令。2分鐘后，平臺給出詳細的漏洞掃描報告，其中包括漏洞修復建議。根據漏洞修復建議，施雨通過安全隧道技術對工控網絡進行遠程在線加固。

　　“網絡安全工作是技術上的攻防對抗，有效的技術手段能夠快速遏制和阻斷網絡攻擊破壞，也能推動管理手段升級，助力我們構建完備的網絡安全管理體系。”施雨說。

　　以往各類漏洞的處置往往發生在異常告警后，且需要網安運維人員到現場排查處理，速度慢、效率低。可視化網絡安全分析平臺具備漏洞掃描評估功能，能夠根據已有的安全漏洞知識庫，通過模擬黑客攻擊的方式遠程檢測評估范圍內的設備，掃描發現網絡協議、設備裝置、網絡設備等各種信息資產存在的安全隱患和漏洞，并給出漏洞修復建議。

　　從實時監測、漏洞掃描到加固網絡，網安運維人員運用平臺即可“一條龍”解決問題，無需再前往站端排查，實現網安管理模式從“事后應對”轉變為“事前防范”，顯著提升網絡安全管理工作效率。按照濟南供電公司的推廣計劃，該平臺將逐步覆蓋該公司調度大樓控制系統、濟南地區所有變電站及發電廠站，進一步減輕電網監控系統網絡安全運維壓力。（張治林、趙普）