态势感知系统在电力网络中的应用

于斌 刘曦

（内蒙古电力（集团）有限责任公司信息通信分公司 内蒙古自治区呼和浩特市 010020）

1 内蒙古电网电力网络现状、需求及目标

1.1 网络现状及需求

近年来，内蒙古电网在信息内网和互联网服务区建设了一系列信息系统优化改造工程，并配置了相关软硬件服务器设备，如内外网隔离工程、IPS&IDS 设备、内外网安全防病毒终端、上网行为审计系统、桌面管控系统、安全准入系统等。但随着多个系统的引入，安全管理员的工作量剧增，每天需要花费大量的时间逐一登陆相关安全设备管理后台进行数据的获取，并人工汇总及分析，形成安全报告。

由于现有诸多独立的安全软硬件系统及设备无法对公司范围内系统底数和安全情况进行全面掌握，不能够清晰、准确地判断存在的安全风险，并有效地事先发出预警，已经发生的安全事件也无法有效地进行溯源，对所属各部门及在用重要信息系统、网站的监管大多是被动接受上级主管部门通知通报，没有主动监测和事前发现漏洞的能力和手段。另外在开展重要信息系统和网站安全检查工作过程中，发现了许多信息系统存在着高风险的问题，也表明目前安全管理工作确实需要建立一套能够自动发现问题、及时处理问题的网络安全态势感知平台（以下简称“平台”）。

1.2 建设目标

1.2.1 提升网络安全态势感知能力

通过对设备运行日志、流量数据和漏洞扫描数据的采集和分析，再结合各安全厂商提供的安全资讯、云端威胁情报等信息提前感知业务系统被攻击、试探的可能性，并分析确定攻击的来源信息，以资产、威胁、攻击、事件等多个态势维度进行呈现，针对威胁及时进行预警和通报，使安全决策者能快速掌握全网的安全态势，为决策提供依据。

1.2.2 提升安全威胁事件调查分析能力

充分利用大数据技术的“5V”特点，通过可视化技术（UI）建立数据之间的关联并集中呈现，提高数据的可读性和可操作性，提高相关安全操作人员针对安全事件的实时效率；让相关分析人员将所有精力集中在安全威胁事件的细节和过程分析上，第一时间判断并处置安全威胁事件。

1.2.3 建设态势感知大数据分析系统

通过收集汇总并自动分析提供数据支撑，包括管辖范围内的网站或者业务系统基本信息（域名、网站标题、网站IP、等保备案情况、所属单位/部门、联系人等）、网络安全事件、网络设备资产情况与指纹信息（操作系统类型、开放端口、开放服务、平台中间件、技术架构等）、重要信息系统日志采集、流量检测与事件分析（安全事件、攻击事件、恶意代码执行、恶意扫描行为等）等，达到全网空间内的态势感知分析。结合平台提供的信息展示，从多个维度分析网络威胁事件，为网络威胁行为的研判、决策及某些重要和敏感时期的网络及信息安全保障工作提供有效的技术支持。

1.2.4 建设网站和WEB 应用系统监测预警能力

为响应国家对网站安全要求的政策，落实网站和WEB 应用系统安全监测工作，对网站和WEB 应用系统进行长效监测机制，建设统一的网站监测与预警平台，以实现全公司重要网站和WEB 应用系统安全的集中管理、大批量任务处理、自动化网站安全监测。采用主流安全检测技术，对重要网站和WEB 应用系统提供实时安全监测。通过对网站和WEB 应用系统的不间断监测服务，实现漏洞监测、网页木马监测、变更监测、敏感关键字、可用性监测等，从而全面掌握网站和WEB 应用系统的安全态势。

图1：总体架构

图2：技术架构

图3：应用架构

1.2.5 建设形成快速告警和应急响应机制

结合网站监测、流量监测、日志监测等进行网络安全通报，通报方法结合电话、邮件、短信等多种方式，实现监管部门到网站和业务系统建设部门的信息互通，可为安全管理员提供实时告警，提升管理员安全响应速度。

2 建设内容

2.1 建设范围及规模

平台主要是在信息内外网部署平台和监测引擎，对所有业务系统和资产建立长效监测机制，结合网络中的流量和日志数据进行关联系分析，实时发现网络中存在的威胁和风险，提前进行预防和加固，避免由于网络攻击对信息系统的破坏，保障业务安全可靠运行。

2.2 主要功能模块

本工程建设功能涵盖了内蒙古电网信息内外网的网络安全管理主要业务工作，共5 个功能模块，具体为大数据支撑模块、实时监测模块、威胁感知模块、通报预警模块、应急响应模块。

2.2.1 大数据支撑模块

通过已部署的安全设备和系统接口中获取数据；识别收集到的各类安全数据，将不同类型的数据都按照相同的格式进行存储；将海量数据中的无用信息去除，经过初步处理成为易于检索，查询和引用的形式。具体包括数据的采集、处理、存储、分析等功能。

2.2.2 实时监测模块

以地图形式式实时展示信息系统及网站的安全态势，按区域定位指定信息系统及网站所在的区域逻辑位置；使用可视化大屏自动投放和交互；动态展示安全风险最高的信息系统及网站安全情况，进行滚动展示；能够动态展示安全问题最严重的前十条信息；能够动态展示最新发现的漏洞情况；能够实时展示信息系统及网站的可用性情况；能够在地图上将发生的安全事件所属区域展现出来；支持与云安全中心联动，并将云安全中心推送信息安全事件展现；支持多方数据源多个产品接入并进行集中分析与展示。

对监测到的信息安全整体概况汇总形成报表，并支持各网站的分类统计；支持自定义对象（如部门、负责人、网站、任务等）的安全情况，并可按弱点等级或弱点类型分析；报表具备饼图、曲线图、柱状图等多种形式的分析并能提供监管、通告、整改要求、任务等各视角的报告。

2.2.3 威胁感知模块

统计采集到的信息系统及网站个数并可视化呈现，包括总体态势、资产态势、威胁态势、事件态势等；统计安全风险和安全事件类型分布和数量；统计系统存在漏洞、木马、敏感词、篡改四类安全隐患的站点个数；实时提醒最新发生的安全威胁；根据不同维度(区域、级别等)对列控站点进行统计、分析、汇总和展示；对信息系统及网站支持同比和对比分析漏洞、木马、篡改等趋势分析，以多种图形化方式（如折线图、柱状图等）展现；对网络安全态势进行分析及汇总，做到对网络安全系统发展态势整体的把握。

2.2.4 通报预警模块

根据维修感知、实时监测、追踪溯源、情报信息、侦查调查等模块获取到的态势、趋势、攻击、威胁、风险、隐患、问题等情况进行汇总和分析，并自动研判，使安全管理员可以及时将情况上报、通报、下达，并进行预警和快速处置工作。具体包括分析研判、预警展示、通报处置、安全通报等功能。

2.2.5 应急响应模块

根据监测发现到的网络攻击、重大安全隐患等异常事件情况以及相关部门通报的情况，实现安全隐患消除任务的下发、审核、处置和反馈等工作。相关负责部门及人员按照处置要求和规范进行实时处置，第一时间消除负面影响和隐藏危害。对安全事件处置情况、负责人现场勘察情况以及系统及人员证据收集等方面情况及时建档、归档并入库。在网络攻击事件发生后，对攻击事件做应急处置，将安全事件转为快速处置任务，包括新增任务、批量上传任务。

3 技术方案

3.1 总体架构

采用大数据架构采集企业内所有IT 基础设施数据，利用机器学习、规则引擎、场景建模、行为识别、关联分析等方法对网络内所有机器数据进行统一分析，实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。平台提供对网络内信息数据的集中存储、全文检索、态势场景、可视化展现功等功能（平台总体架构如图1所示）。

由于平台涉及数据的收集工作，需要由目前已部署的安全系统进行数据接入，方案如下：

3.1.1 IT 审计系统接入

IT 审计系统负责提供接口，使平台获取网络基础设备日志、安全设备日志、关系型和非关系型数据库日志、中间件日志、应用系统日志、操作系统日志、采集现有业务系统日志、终端安全功能日志等相关日志数据。

3.1.2 IT 资产一体化系统接入

IT 资产一体化系统负责提供接口，使平台获取主机系统、网络设备、安全设备、数据库、应用中间件、操作系统、归属单位等IT资产数据信息及IP 地址、MAC 地址、厂商、识别码、服务号等信息。

3.2 技术架构

平台以大数据分析技术为核心，通过采集网络内所有关键基础设施数据，利用机器学习、数据建模、行为识别、关联分析等方法，结合丰富的威胁情报，建立快速有效的威胁检测、分析、处置能力，使得的信息安全可知、可见、可控（逻辑架构如图2所示）。

3.3 应用架构

平台通过采集企业内所有网络安全数据信息，利用机器学习、规则引擎、场景建模、关联分析等方法对企业内所有安全数据进行统一处理分析，实现对网络攻击行为、安全威胁事件、脆弱性等网络安全问题的发现和告警。平台提供了对企业安全信息数据的集中存储、全文检索、态势场景、可视化展现功等能、同时搭载内部威胁情报中心模块。平台从应用架构上分为数据采集、数据处理、数据存储、数据挖掘和业务应用层组成（平台应用架构如图3所示）。

4 结语

随着大数据（BIG DATA）和人工智能技术（AI）的快速发展，“两化”（信息化和工业化）的快速融合背景的推进，智能设备的迅速普及，让常规网络攻击变得可提前分析及预防。同时，随着我国电力电网信息化和智能化的逐步推进，作为国家安全的重要基石，电力网络安全面临的网络安全风险亦日益凸显。内蒙古电网网络安全态势感知平台的顺利建成及投入使用，在我国即将进入“十四五”发展的重要阶段，将进一步保障内蒙古电网的网络和信息安全。