日前,经过形式审查、网络初审、专业组评审、评审委员会评审、公示、奖励委员会批准等流程的严格评审,国网山东电科院的科技成果“电力工控网络空间全域监测、高效诊断与协同防御关键技术及应用”高票通过,荣获2024年度中国电力科学技术进步一等奖,首次摘得全国电力行业领域网络安全专业最高奖项。
这一成果是该院工控安全技术实力的代表作,也是电力监控系统网络纵深安全防护的标志性成果。它解决了电力网络空间全域动态监测、威胁智能诊断、主动协同防御的难题,实现了由“静态布防、区域监视”向“全域监测、协同防御”的全面升级,大幅提升新型电力系统工控安全风险协同防御能力。
提出全新算法实现行为可知
电力系统缺失工业网络安全防护产品,就好比黑客们练就了“透视眼”,而我们的工业网络暴露在大庭广众之下,却毫无反抗之力。这样的缺陷一旦被黑客利用,将造成不可估量的经济损失和人员伤亡。该院“智能卫士”团队针对网络行为监测分析存在盲区的难题,提出了全新的全流量电力协议解析算法,研制了网络行为动态感知装置,实现了对网络空间内资产及行为的关键节点、关键路径监测。
2016年5月-7月,为建立一套从发电、输电、变电、配电到用电全方位电力系统工业网络环境,该院“智能卫士”团队奔赴济南、威海、烟台、潍坊等地,调研火电厂、智能变电站、配网、调度等工业网络环境。经过3个月调研,他们意外发现电力系统缺失工业网络安全防护产品。顺着这条线钻下去,他们寻找到了研究方向,当工业网络中有非法操作指令或非法源头操作指令出现时,十分有必要设计一款平台可自动定位、报警并将报警信息通过工业网络上传。
自“守望者”——网络安全监测融合装置试点建设以来,该院“智能卫士”团队先后完成2座500千伏变电站,15座220千伏变电站试点部署,并在省级调控中心部署主站服务器1套、地级调控中心部署主站3套,至今已覆盖胶东、鲁中、鲁南、鲁西等多地域,实现变电站网络通信数据和异常信息采集,完成关联分析与智能研判后实时上送告警信息至网络安全监测平台主站。2021年11月25日,在青岛开城站应用过程中,借助流量分析功能,“守望者”从站控层A网流量中监测解析出B网资产异常流量,成功分析并定位威胁告警源为某公用测控装置,迅速确认并解决该装置异常通信的问题,避免了重大网络安全事故的发生。
发明评估方法实现状态可评
电力网络业务错综复杂,漏洞点多分散且攻击目的不明,电力网络状态自评难,该院“智能卫士”团队从实际业务出发,提出了关联基于漏洞价值、资产价值和利用影响业务范围的工控漏洞定级方法,建立了工控安全状态脆弱性评价模型,研制了电力监控系统专用漏洞定级及脆弱性评价电力网络空间装备,系统实现电力系统安全状态评价。
2020年,该团队成员无意打开了电脑的杀毒软件,弹窗提醒电脑已经1756天未曾体检了,一边感叹电脑体检这项业务居然已经伴随了我们如此之久,另一边一个灵感也随即迸发——“为什么我们的电力网络空间不能够像电脑一样自我体检呢,也给自己的状态做个评价,打一打分!”
顺着电力工控安全状态自评这一思路,该院“智能卫士”团队开始了研究,从电力工控网络漏洞危险程度定级,再到联系实际电网业务,构造CPSS模型,发明脆弱性评估方法,终于项目组开发了一套全新的工控安全状态评价体系,填补了该项技术的空白。
截止目前,该团队研发的网络威胁智能诊断组件,能够全要素精准量化分析威胁特征、攻击轨迹及危害范围,全方位检测电力网络系统存在的脆弱性,发现扫描目标中存在的安全漏洞、安全配置等问题,并将脆弱性分析结果以仪表盘方式展示,使用用户可以全局掌握安全风险,关注重点区域、重点资产,精准快速修复问题,率先将60000余座变电站、新能源场站的网络空间纳入威胁评估范围,累计消除冗余告警1000余万条,涉及变电站后台监控系统、输电通道远程巡视系统、一体化系统、业务管理平台、物联融合终端等重要资产,威胁诊断准确率达99.7%,极大程度降低了因存在漏洞设备入网带来的安全隐患,为电网业务安全稳定运行提供了重要保障。
创新挂图作战实现威胁可制
作为《亮剑》第一批观众,该院“智能卫士”团队亲眼见证该剧走红十几年的历程,其中有许多沙盘模拟、挂图插旗的作战镜头,给了他们无限的遐想——“为什么电力网络的安全对抗不能够向实际作战这样,有一个指挥部挂图作战指挥呢?”2021年12月,恰逢国调下发“三图两单两案”重点工作,他们便依托此项工作,将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,实现测绘出动态、实时、可靠、有效的网络攻击动态图谱,实现挂图作战。
电力工控安全监测告警和处置响应耦合度低,监测威胁至阻断响应周期长,网络作战指挥控制难,该院“智能卫士”团队首创基于攻击路径图的挂图作战体系,攻克了EDR与NDR工控安全设备组件数据贯通、网络安全资源灵活调度机制等技术,拓展开发了网络安全管理平台,实现了网络威胁事件的梯级阻断与隔离。
2022年6月,自网络威胁协同防御平台试点应用以来,已基本实现将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,成功构建静态的网络拓扑图和安全布防图,达到了一张图精确展现物理布防的效果。包括恶意代码客户端、可信客户端等监测类软件的实时部署情况,并且实现了网安值班大屏的可视化展现。同时基本实现了拓扑图点击完成主机会话阻断、主机网卡阻断等功能,圆满支撑了2022年度电力监控系统网络安全应急综合演练,充分展现并验证了“挂图作战”功能的实用性。实现了由人工处置向在线处置的转变,率先具备了对核心系统控制指令的会话级、设备级、区域级秒级阻断能力,真正做到威胁阻断“零失误”,并且助力国家电网在护网演习中成为首家成功溯源反制境外黑客组织入侵行动的中央企业。
(大众新闻·齐鲁壹点通讯员刘京张劲)
