“告警:35千伏制药厂站监测到网络流量突变,远动装置开放21端口,存在匿名访问。”2月17日,山东济南供电公司基于流量分析的可视化网络安全分析平台(以下简称“可视化网络安全分析平台”)的监控屏幕上,可视化网络流量实时曲线出现异常波动,同时推送出一则告警信息。根据漏洞扫描验证提示,该公司调度控制中心网络安全运维员张钰莹轻点鼠标,远程关闭异常端口,完成对目标场站网络的一键加固。
可视化网络安全分析平台融合了人工智能、可视化与网络安全监测技术,具备网络流量分析、智能自主学习及网络在线加固功能,能够准确识别正常调度业务数据传输的端口访问和流量走向,实现对非业务访问、异常入侵和违规外联等情况的精准定位和实时追踪。2021年以来,济南供电公司贯彻落实国家电网有限公司网络安全方面部署要求,加快构建新型电力系统安全防御体系,于1月14日建成该平台。
网络流量分析
从“静态布防”到“动态感知”
随着新型电力系统建设的推进,新一代主站系统、变电站二次系统、集控站系统等二次业务快速发展,系统网络边界不断延伸,场站接入数量持续增加,网络安全防护专业管辖范围和管理压力随之增大,对网络安全防护手段多样化、策略精细化、技术智能化等方面提出更高要求。
“现有电力监控系统网络安全监测功能大多基于黑白名单策略,对电力监控系统特有的高危端口访问风险应对能力不足,无法全态势感知网络环境。”济南供电公司调控中心员工林祺蓉说。
针对目前网络安全工作的实际,济南供电公司以完善防御体系为目标,依托新一代调控一体化系统,自主研发可视化网络安全分析平台,在主站与场站入网设备中安装工控流量安全风险监测装置,并将监测装置数据接入该平台。
同时,济南供电公司在黑白名单策略基础上,综合利用流量解析、协议分析等技术,根据主站、变电站和电厂业务类型特点打造电力监控系统数据流量特征库,开发基于特征库的流量识别技术,为系统背景流量识别提供智能匹配模板,实现对网络环境的全方位实时监测。
“电力监控系统异常访问会引起网络流量的异常波动。基于流量分析及可视化展示功能,平台能够快速发现网络环境中的细微异常,辅助网安监控人员及时处置。”林祺蓉介绍。
智能自主学习
从“被动防护”到“主动免疫”
“可视化网络安全分析平台发出告警,110千伏齐川站远动设备与未知主机产生2024端口网络流量。”1月29日上午,张钰莹收到告警信息后,立即向济南供电公司调度控制中心自动化运维班班长贾玉健报告并组织排查。与站端核查后,张钰莹确认告警是由场站人员使用未经授权的调试笔记本对远动设备进行运维操作引起的,立即远程关闭了该端口。
贾玉健介绍,对现有网络安全防护系统来说,常用业务端口在白名单之列,正常情况下并不会产生告警。这种情况下,常用业务端口非授权访问等违规操作难以管控,电网监控系统存在误操作或被恶意攻击破坏的风险。“可视化网络安全分析平台可以从电力监控系统网络采集数据包,通过解析网络流量,深度分析网络协议,智能匹配系统内置的协议特征库和设备对象,及时监测到常用业务端口的非授权访问,规避此类风险。”贾玉健说。
近年来,随着新型攻击手段不断出现,网络安全亟须与新技术保持同步发展,持续更新防护技术和装备。
可视化网络安全分析平台可结合特定的安全策略,智能辅助网安运维人员实时掌握网络运行状况,发现潜在的网络安全问题,主动感知系统安全态势,提升网络内生免疫能力。同时,该平台还拥有自主学习能力,能够在网络攻击训练及网络安防实战中自动更新黑白名单库,改变以往网络安全防护系统的黑白名单库需人工维护的传统操作,大大提高网络安全防护能力。“有了人工智能技术加持,平台便具备了主动适应各类新型网络安全攻击的能力,在瞬息万变的网络安全防护战场中不断迭代成长。”贾玉健说。
网络在线加固
从“事后应对”到“事前防范”
1月14日下午,济南供电公司自动化运维班班员施雨对可视化网络安全分析平台下达了漏洞扫描验证指令。2分钟后,平台给出详细的漏洞扫描报告,其中包括漏洞修复建议。根据漏洞修复建议,施雨通过安全隧道技术对工控网络进行远程在线加固。
“网络安全工作是技术上的攻防对抗,有效的技术手段能够快速遏制和阻断网络攻击破坏,也能推动管理手段升级,助力我们构建完备的网络安全管理体系。”施雨说。
以往各类漏洞的处置往往发生在异常告警后,且需要网安运维人员到现场排查处理,速度慢、效率低。可视化网络安全分析平台具备漏洞扫描评估功能,能够根据已有的安全漏洞知识库,通过模拟黑客攻击的方式远程检测评估范围内的设备,扫描发现网络协议、设备装置、网络设备等各种信息资产存在的安全隐患和漏洞,并给出漏洞修复建议。
从实时监测、漏洞扫描到加固网络,网安运维人员运用平台即可“一条龙”解决问题,无需再前往站端排查,实现网安管理模式从“事后应对”转变为“事前防范”,显著提升网络安全管理工作效率。按照济南供电公司的推广计划,该平台将逐步覆盖该公司调度大楼控制系统、济南地区所有变电站及发电厂站,进一步减轻电网监控系统网络安全运维压力。(张治林、赵普)
评论