日前,国网山东电科院的科技成果“电力工控网络空间全域监测、高效诊断与协同防御关键技术及应用”荣获2024年度中国电力科学技术进步一等奖,首次摘得全国电力行业网络安全专业最高奖项。
这一成果是该院工控安全技术实力的代表作,也是电力监控系统网络纵深安全防护的标志性成果。它解决了电力网络空间全域动态监测、威胁智能诊断、主动协同防御的难题,实现了由“静态布防、区域监视”向“全域监测、协同防御”的全面升级,大幅提升新型电力系统工控安全风险协同防御能力。
提出全新算法 实现行为可知
电力系统缺失工业网络安全防护产品就好比黑客们练就了“透视眼”,而工业网络暴露在大庭广众之下却毫无反抗之力。该院“智能卫士”团队针对网络行为监测分析存在盲区的难题,提出了全新的全流量电力协议解析算法,研制了网络行为动态感知装置,实现了对网络空间内资产及行为的关键节点、关键路径监测。
为建立一套从发电、输电、变电、配电到用电全方位电力系统工业网络,该院“智能卫士”团队奔赴全省各地调研火电厂、智能变电站、配网、调度等工业网络环境。调研中,该团队意外发现电力系统缺失工业网络安全防护产品,决定设计一款在工业网络中有非法操作指令或非法源头操作指令出现时,可自动定位、报警并将报警信息通过工业网络上传的防护产品。
自“守望者”—网络安全监测融合装置试点建设以来,该院“智能卫士”团队先后完成2座500千伏变电站、15座220千伏变电站试点部署,并在省级调控中心部署主站服务器1套、地级调控中心部署主站3套,已覆盖胶东、鲁中、鲁南、鲁西等多地,实现变电站网络通信数据和异常信息采集,完成关联分析与智能研判后实时上送告警信息至网络安全监测平台主站。2021年11月25日,在青岛开城站应用过程中,借助流量分析功能,“守望者”从站控层A网流量中监测解析出B网资产异常流量,成功分析并定位威胁告警源为某公用测控装置,迅速确认并解决该装置异常通信的问题,避免了重大网络安全事故的发生。
发明评估方法 实现状态可评
电力网络业务错综复杂,漏洞点多分散且攻击目的不明,电力网络状态自评难,该院“智能卫士”团队提出了关联基于漏洞价值、资产价值和利用影响业务范围的工控漏洞定级方法,建立了工控安全状态脆弱性评价模型,研制了电力监控系统专用漏洞定级及脆弱性评价电力网络空间装备,系统实现电力系统安全状态评价。
顺着电力工控安全状态自评这一思路,该院“智能卫士”团队从电力工控网络漏洞危险程度定级,再到联系实际电网业务,构造CPSS模型,发明脆弱性评估方法,开发了一套全新的工控安全状态评价体系,填补了该项技术的空白。
截至目前,“智能卫士”团队研发的网络威胁智能诊断组件能够全要素精准量化分析威胁特征、攻击轨迹及危害范围,全方位检测电力网络系统存在的脆弱性,发现扫描目标中存在的安全漏洞、安全配置等问题,并将脆弱性分析结果以仪表盘方式展示,使用户可以全局掌握安全风险,关注重点区域、重点资产以及精准快速修复问题。率先将60000余座变电站、新能源场站的网络空间纳入威胁评估范围,累计消除冗余告警1000余万条,涉及变电站后台监控系统、输电通道远程巡视系统、一体化系统、业务管理平台、物联融合终端等重要资产,威胁诊断准确率达99.7%,降低了存在漏洞设备入网带来的安全隐患,为电网业务安全稳定运行提供了重要保障。
创新挂图作战 实现威胁可制
受电视剧《亮剑》中沙盘模拟、挂图插旗镜头的启发,“智能卫士”团队产生了电力网络指挥部挂图作战指挥的想法。 “智能卫士”团队将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,实现测绘动态、实时、可靠、有效的网络攻击动态图谱,实现挂图作战。
电力工控安全监测告警和处置响应耦合度低,监测威胁至阻断响应周期长,网络作战指挥控制难,该院“智能卫士”团队首创基于攻击路径图的挂图作战体系,攻克了EDR与NDR工控安全设备组件数据贯通、网络安全资源灵活调度机制等技术,拓展开发了网络安全管理平台,实现了网络威胁事件的梯级阻断与隔离。
自网络威胁协同防御平台试点应用以来,已基本实现将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,成功构建静态的网络拓扑图和安全布防图,达到了一张图精确展现物理布防的效果;基本实现了拓扑图点击完成主机会话阻断、主机网卡阻断等功能,充分展现并验证了“挂图作战”功能的实用性;率先具备了对核心系统控制指令的会话级、设备级、区域级秒级阻断能力,真正做到威胁阻断“零失误”,助力国家电网在护网演习中成为首家成功溯源反制境外黑客组织入侵行动的央企。(刘京 张劲)
这一成果是该院工控安全技术实力的代表作,也是电力监控系统网络纵深安全防护的标志性成果。它解决了电力网络空间全域动态监测、威胁智能诊断、主动协同防御的难题,实现了由“静态布防、区域监视”向“全域监测、协同防御”的全面升级,大幅提升新型电力系统工控安全风险协同防御能力。
提出全新算法 实现行为可知
电力系统缺失工业网络安全防护产品就好比黑客们练就了“透视眼”,而工业网络暴露在大庭广众之下却毫无反抗之力。该院“智能卫士”团队针对网络行为监测分析存在盲区的难题,提出了全新的全流量电力协议解析算法,研制了网络行为动态感知装置,实现了对网络空间内资产及行为的关键节点、关键路径监测。
为建立一套从发电、输电、变电、配电到用电全方位电力系统工业网络,该院“智能卫士”团队奔赴全省各地调研火电厂、智能变电站、配网、调度等工业网络环境。调研中,该团队意外发现电力系统缺失工业网络安全防护产品,决定设计一款在工业网络中有非法操作指令或非法源头操作指令出现时,可自动定位、报警并将报警信息通过工业网络上传的防护产品。
自“守望者”—网络安全监测融合装置试点建设以来,该院“智能卫士”团队先后完成2座500千伏变电站、15座220千伏变电站试点部署,并在省级调控中心部署主站服务器1套、地级调控中心部署主站3套,已覆盖胶东、鲁中、鲁南、鲁西等多地,实现变电站网络通信数据和异常信息采集,完成关联分析与智能研判后实时上送告警信息至网络安全监测平台主站。2021年11月25日,在青岛开城站应用过程中,借助流量分析功能,“守望者”从站控层A网流量中监测解析出B网资产异常流量,成功分析并定位威胁告警源为某公用测控装置,迅速确认并解决该装置异常通信的问题,避免了重大网络安全事故的发生。
发明评估方法 实现状态可评
电力网络业务错综复杂,漏洞点多分散且攻击目的不明,电力网络状态自评难,该院“智能卫士”团队提出了关联基于漏洞价值、资产价值和利用影响业务范围的工控漏洞定级方法,建立了工控安全状态脆弱性评价模型,研制了电力监控系统专用漏洞定级及脆弱性评价电力网络空间装备,系统实现电力系统安全状态评价。
顺着电力工控安全状态自评这一思路,该院“智能卫士”团队从电力工控网络漏洞危险程度定级,再到联系实际电网业务,构造CPSS模型,发明脆弱性评估方法,开发了一套全新的工控安全状态评价体系,填补了该项技术的空白。
截至目前,“智能卫士”团队研发的网络威胁智能诊断组件能够全要素精准量化分析威胁特征、攻击轨迹及危害范围,全方位检测电力网络系统存在的脆弱性,发现扫描目标中存在的安全漏洞、安全配置等问题,并将脆弱性分析结果以仪表盘方式展示,使用户可以全局掌握安全风险,关注重点区域、重点资产以及精准快速修复问题。率先将60000余座变电站、新能源场站的网络空间纳入威胁评估范围,累计消除冗余告警1000余万条,涉及变电站后台监控系统、输电通道远程巡视系统、一体化系统、业务管理平台、物联融合终端等重要资产,威胁诊断准确率达99.7%,降低了存在漏洞设备入网带来的安全隐患,为电网业务安全稳定运行提供了重要保障。
创新挂图作战 实现威胁可制
受电视剧《亮剑》中沙盘模拟、挂图插旗镜头的启发,“智能卫士”团队产生了电力网络指挥部挂图作战指挥的想法。 “智能卫士”团队将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,实现测绘动态、实时、可靠、有效的网络攻击动态图谱,实现挂图作战。
电力工控安全监测告警和处置响应耦合度低,监测威胁至阻断响应周期长,网络作战指挥控制难,该院“智能卫士”团队首创基于攻击路径图的挂图作战体系,攻克了EDR与NDR工控安全设备组件数据贯通、网络安全资源灵活调度机制等技术,拓展开发了网络安全管理平台,实现了网络威胁事件的梯级阻断与隔离。
自网络威胁协同防御平台试点应用以来,已基本实现将安全防护、威胁信息、监测预警、应急指挥、事件处置等业务上图,成功构建静态的网络拓扑图和安全布防图,达到了一张图精确展现物理布防的效果;基本实现了拓扑图点击完成主机会话阻断、主机网卡阻断等功能,充分展现并验证了“挂图作战”功能的实用性;率先具备了对核心系统控制指令的会话级、设备级、区域级秒级阻断能力,真正做到威胁阻断“零失误”,助力国家电网在护网演习中成为首家成功溯源反制境外黑客组织入侵行动的央企。(刘京 张劲)