登录 | 注册

电力工控网络安全预警平台研究与应用

181

成果主要完成人

谭文胜、沙永兵、肖丰明、刘 杰、吴 辉、王靖元、汪 涛、陈永智、闵陈鹏、苏文辉、谌斐鸣、陈曙东

项目概况

五凌电力有限公司发电集控中心、14个直管电厂在生产控制大区部署了入侵检测系统、工控安全监测与审计系统、运维操作安全审计系统、主机加固系统、网络安全监测装置等网络安全防护设备。为加强电力工控网络安全管理,最大程度发挥网络安全防护设备的防护能力,有效提升网络安全运维管理水平,缩短发现攻击、抑制攻击行为的时间,减少因网络攻击带来的损失,五凌电力有限公司设计开发了一套工控网络安全预警平台(以下简称“平台”),实现了工控网络安全设备运行状态的在线监测、威胁溯源等过程管理,大幅提升了网络安全管理工作效率,加强了公司工控网络安全的管理能力。 平台已在发电集控中心、14个直管电厂投入运行,在网络安全事件监测、分析以及处理等方面提供了强有力的支持。凭借更加贴近工业控制系统环境分析模型,使得安全监测更加精准,在保证稳定性要求的同时,效率更高,具有很强的推广价值,适合在其它电力系统中进行推广应用,有助于提高电力行业整体的信息安全水平。 平台归纳、总结的三个创新点,经教育部科技查新工作站检索相关文献分析和对比,均通过了查新评定: (1)设计面向工业控制场景的全攻击链威胁模型:从威胁的生命周期、攻击技术、战术等维度对攻击模式解析,形成工控场景的全攻击链分析模型,解决威胁刻画的业务针对性、技术多样性和复杂性问题,为威胁特征分析与提取提供支撑。(国际先进) (2)基于多模型异常检测和多源数据融合分析,实现入侵行为的深度分析:提取不同安全设备的安全事件、业务流量日志、资产数据、威胁情报数据等多元数据并进行融合分析,提出基于多模型异常检测(机器学习模型、语义分析模型、AI分析模型、自适应模型)实现全局威胁发现,解决传统工控平台所用关联分析模型全局性不足、业务关联性不强、威胁发现精度不高等问题,实现入侵行为的深度分析。(国际先进) (3)设计工控专用网络安全风险评价模型,实现安全威胁的精准告警:通过多种数据关联,制定合理的关联算法,同时基于FAIR模型,结合工控环境下资产的属性、威胁的可信度、威胁的等级、直接危害以及间接危害等数据指标,设计了一套工控网络安全风险评价模型,避免过多告警导致运维人员麻木而错过了最关键的告警信息,实现了网络安全威胁的精准告警。(国际先进) 截止目前,平台上报电厂各类安全事件38条,事件平均处置时间均在2小时内,较之前7天的平均处置时间有了大幅提升,公司工控网络安全管理成效显著。 社会效益:平台为电力工控系统网络安全防护体系建设开创了行之有效的安全建设模式,大大降低了因攻击行为造成事件扩大甚至网络瘫痪的可能,为国家关键基础设施的信息安全防护提供了有力支撑,形成了电力行业工控网络安全领域典型示范,为电力行业工控系统网络安全防护机制积累了宝贵经验,促进国家信息安全产业发展,引领科技创新。 间接经济效益:借助平台可以实现集控和电厂网络安全设备以及网络安全事件的远程监测分析,原本需要在集控和电厂安排专业人员现场值班监测,平台建成后,只需要在集控中心安排人员做集中监测和管理,极大程度的降低了人员成本,按照每电厂每人一年15万维护成本考虑,14个电厂预计每年可以节省成本约210万。