面向電力系統網絡安全的多層協同防御模型研究

王 梓，王治華，韓 勇，金建龍，黃天明，朱 江

（1.南瑞集團有限公司（國網電力科學研究院有限公司），南京 211106；2.南京南瑞信息通信科技有限公司，南京 211106；3.國網上海市電力公司，上海 200122）

0 概述

隨著計算機、網絡及通信技術在建設堅強智能電網中的廣泛應用，現代電力系統已發展成為由物理電力系統和信息通信系統構成的復雜耦合網絡系統［1-3］。其中，電力監控系統是基于計算機及網絡技術的業務系統及智能設備，作為基礎支撐的通信及數據網絡，被用于監視和控制電力生產及供應過程。作為整個電力系統的神經網絡和控制中樞，電力監控系統對保障電力系統的安全穩定運行和電力可靠供應具有重要的意義［4］。近年來，針對電力監控系統的網絡攻擊頻繁爆發，呈現出專業化、高危害、國際化、高持續威脅等特點［5-7］，電力監控系統安全防護的迫切性已被提到國家安全層面［8］，相關部門明確了“多道縱向防線”聯合防御的要求［9］。

研究人員基于傳統信息安全角度，通過借鑒國內外成熟的安全防護模型引入協同的概念，從理論上提出網絡安全協同防御模型［10］、體系［11］或機制［12］，此外還針對特定場景［13-14］下的模型實現或方案設計，為協同防護模型的實現提供了一定的指導及參考價值。然而，電力監控系統與傳統信息系統在安全防護上存在明顯差異［15］，通用信息安全防護方法并不能完全適用于電力監控系統。現階段針對電力監控系統網絡安全防護研究成果大多聚焦在建立適用于電力系統的縱深防護架構［16］、防御技術剖析應用［17］或極端事件的風險評估與防范［18］方面。但以上成果均未考慮在電網實際組網環境下結合多層級協同防御思想的網絡安全防護框架及實踐研究，且缺乏全面、細致、有效的協同機制和實現方法的描述。鑒于此，本文設計并提出一整套安全、有效的網絡安全協同防御模型及實現機制，以提升電力監控系統網絡安全事件的應急管控能力。

1 研究背景

1.1 現有電力監控系統網絡安全防護

電力監控系統網絡主要由電力調度數據網承載，拓撲一般以雙星型為主。其組網節點具有數量多、連接復雜的特點，通常按照IP 網絡的層次化進行設計［19］。為保障電力系統安全穩定運行，建立和完善電網、電廠計算機監控系統及調度數據網絡的安全防護體系，國家和行業相關部門先后提出并發布了電力監控系統安全防護的相關要求［20-21］。其中，電力監控系統網絡安全以《電力監控系統安全防護總體方案》作為行業最新的電力系統安全規范文件，以“安全分區、網絡專用、橫向隔離、縱向認證”為原則，通過綜合采用防火墻、入侵檢測、主機加固、病毒防護、日志審計、統一管理等多種手段，建立了以省級以上調度中心、發電廠、變電站、配電等組成的電力監控系統安全防護架構。

以重點防護的生產控制大區為例，目前在省調、地調、變電站及電廠選擇性部署了縱向加密認證、物理隔離裝置、硬件防火墻、防病毒/防惡意代碼、入侵檢測防御系統以及漏洞掃描、網管、安全審計等一系列圍繞業務安全、通信安全、邊界安全的安全防護設備和系統，其所涉及的安防技術主要包括加密、身份認證/數字簽名、可信接入、入侵檢測、基于角色訪問控制、防火墻、安全隔離、虛擬專用網絡、安全隧道、報文過濾/攔截等，其邏輯關系如圖1 所示。

圖1 電力監控系統網絡安全總體防護架構Fig.1 Network security protection structure of existing power monitoring system

1.2 電力監控系統網絡安全防護需求

通過各類安防設備的部署和安全技術的應用，在一定程度上提升了網絡安全防護能力。但網絡系統的整體安全并不能通過安全設施或技術的簡單堆疊實現，而應取決于安全防御能力最薄弱的環節或組成部分［22］。目前安全技術的靜態疊加、安防設備孤立的部署方式、單一固化的防御手段已不能滿足新威脅背景下動態管控、縱深防御的主動式電網安全發展需求［23］。因此，結合電力監控系統組網結構特點，通過協調安防設備或技術以共同抵御各種威脅攻擊是提升網絡安全防御能力的重要實踐方向。

1）協同各安類安防能力互補

目前部署的各類安防設施主要依靠設備自身固化策略或針對不同的安全目標作業，相互間協同性較低。通過協同各類具備不同安防能力的安全實施進行通力合作，可有效提升全網的安全防御能力，實現1+1>2 的安全防護效果。比如通過入侵檢測設備實時監測，并通知防火墻設備立即阻斷風險源的非法訪問可實現安全協同防御能力的提升。

2）安全信息的共享

及時、正確、有效的安全數據是安防設施提供安全保障能力的前提。通過對各類安全操作信息、設備運行信息、數據日志信息數據的采集、融合、處理及下發，實現安全威脅信息的快速分發與共享，可有效地提升安防設施相互協作的效率。按照安全數據信息由下級向上級逐層傳遞，由上級篩選、過濾和整合，再將威脅信息從上級往所需的下級傳送的原則，可最大程度上發揮安防設施的效能并減少威脅告警信息的漏報和誤報的情況。

3）多層級的協同防御

針對各類異常網絡攻擊或安全事件，目前電力監控系統以各層級為核心，通過應用各類安防設施及技術并盡可能多地采用禁止手段來進行安全防御。但當本級遇到安防設施失靈、防御手段失效或無法抵御的網絡攻擊時，通過多層級的協同防御模式及上級結合多層次的安全防御技術對安全攻擊進行實時、主動的協同防御，并在必要時將風險源切除可有效處理整體安全與局部安全的關系。

2 模型設計

2.1 模型框架

本模型將各層級中每一節點為中心劃分為本地自治域，按照本級節點域內自防御及層級間跨域協防以實現核心層、匯聚層、接入層對電力監控系統網絡安全事件進行多層協同防御的目的。同時，通過各層級間安全信息的快速傳遞及共享，有效地協同節點內或層級間的各類安全防護設備、域內設備級協同防御、級間策略級協同防御等工作。如圖2 所示，多層協同防御模型主要包括核心層中的主站自治域及協同防御控制模塊、匯聚層中的區控自治域及區控協防模塊、接入層中的自治域及自治域模塊。

圖2 多層協同防御模型總體框架Fig.2 Overall framework of multi-layer cooperative defense model

模型框架包括以下3 個方面：

1）主站自治域

核心層節點以省級或以上級別單位劃分為主站自治域，域內包含本地安全防護設備，并下轄若干區控自治域及自治域。主站自治域內部署協同防御控制模塊不僅具備自治域模塊的監測及域內自防御能力，而且支持通過協同防御機制下發安全防御策略至所轄各區控自治域，并和自治域的安全協同設備完成協同防御。如單主站自治域以省級調度為單位，支持對所轄若干的地級調度及各地級所轄的若干變電站或電廠間進行協同防御的能力。

2）區控自治域

匯聚層節點以地市級為單位劃分為區控自治域、域內包含本地安全防護設備及其下所轄若干自治域。區控自治域內部署區控協防模塊不僅具備自治域模塊的監測及域內自防御能力，而且支持接受、執行來自上層主站自治域分發的消息和協同防御策略，并對所轄各自治域完成防御響應動作。如單區控自治域節點以地級調度為單位，可實現對所轄若干的變電站或電廠協同防御。

3）自治域

接入層以本地為單位劃分為本地自治域、域內包含各類本地安全防護設備。自治域內部署自治域模塊通過監測本地網絡安全信息，可協同本地安全防護設備對域內網絡安全事件進行本地自防御。

2.2 模型分析

模型分析包括以下3 個方面：

1）域內自防御

域內自防御通過相對獨立的自治域模塊可實現本地域內安全事件的快速響應及處置。域內自防御主要面向局部的網絡安全問題，能使各域內擁有獨自防御的能力。例如，當域內模塊本地監測到網絡威脅信息后，通過控制本地安全防護設備的安全策略進行本地化防御。各層級的自治域、區控自治域和主站自治域都具備域內自防御能力并優先采取該能力抵御本地安全威脅。

2）跨域協防

跨域協防是由區控協防模塊或協同防御控制模塊通過獲取各所轄域內監測上傳的相關安全信息，能生成并下發安全協同防御策略以完成域間的協同防御。跨域協防主要面向域內自防御無效、需多層級協同共同抵御或未有對應策略處置的網絡安全威脅。例如，當域內安全協同設備未具備網絡安全事件的響應策略、防御能力或域內自防御措施失效時，主站自治域、區控自治域可實現精準防御策略的下發及跨域協同防御。當區控自治域未具備域間協同防御能力時，可支持請求所屬上層主站自治域替代區控自治域下發策略至自治域以完成跨域協防。

3）協同模式

各層級域間的協同防護是基于域內實時監測的本地相關安全信息，通過消息的方式將監測到的威脅信息由下層域向上層域上報。區控協防模塊和協同防御控制模塊控制所轄各域安全防護設備間的協作，能實現以分布式自治為基礎的全局性安全多層協同防御模式。上級自治域模塊能保障對本域的安全防護，同時可與所轄域模塊通信以實現對下層域安全事件的監控與處置。

3 模型機制

通過設計數據采集、分發與共享、協同防御及聯動、防御策略下發等機制的共同協作，以實現網絡安全多層協同防御模型。

3.1 數據采集

電力監控系統覆蓋發、輸、變、配、用、調6 大電力環節，涉及的與安全相關的數據種類多、體量大、結構復雜，且大多均基于多元異構數據［24］，因此很難用一種方式獲取所需的信息。所以，針對不同的應用場景應綜合利用以下5 種方式進行數據采集：

1）Syslog 協議

Syslog 協議以日志方式實現網絡設備操作和安防設備防護等觸發式安全日志信息的標準化采集［25］。如交換機設備的登錄操作、設備間地址沖突、縱向加密設備的隧道錯誤、不符合安全訪問、防火墻設備的攻擊事件、入侵檢測設備的入侵保護事件、防病毒設備的病毒事件等。

2）SNMP 協議

對于網絡設備自身運行狀態信息，以SNMP（Simple Network Management Protocol）形式可周期性地采集交換機及連接于每臺交換機上活躍設備的相關信息，如在線時長、處理器/內存利用率、網絡丟包率、誤碼率網口狀態等。同時，可采用SNMP trap方式以主動的形式采集網絡設備配置變更或設備接入、上線等觸發式信息，如用戶登錄口令管理、具體操作等。為保證采集的安全性，SNMP 協議應采用安全性較高的v3 版本。

3）Agent 程序

針對業務服務器、工作站類主機，通過Agent 方式實現主機硬件配置、系統運行狀態、用戶登錄/退出、外設/外聯操作、硬件異常監視等信息的采集。

4）Web Service 方式

Web Service是SOA（Service-Oriented Architecture）的核心基礎之一，具備服務架構理念及松耦合特性［26］。目前，電力系統中已廣泛采用了Web Service 方式并封裝了系統的接口［27］。通過對接口進行集成，可實現對第三方應用的定制化數據采集。

5）流量方式

流量方式可彌補通用安防設備無法采集的缺憾，對符合電力系統特點的或對實時性要求更高的網絡安全信息可進行實時監測和異常解析，及時發現網絡中存在的常見網絡攻擊、工控協議規約異常、網絡流量異常等信息。

3.2 分發與共享

經各層級采集到的威脅信息及安全事件數據通過分發與共享模塊統一標準化后向各層級進行快速的轉換和分發，以實現從更高層級或甚至全局的角度對威脅信息及安全事件的協同處置提供信息支持。

1）總線模式

為實現網絡安全威脅事件的快速分發與共享的目標，本模型采用采集上報與決策下發的實時總線機制。通過對各類異構數據采集數據量大、實時性高的需求，采用上報和下發的消息總線，以實現基于網絡安全威脅事件的實時消息發布、訂閱功能。例如各域內的“生產者”通過采集機制發布威脅事件的消息到總線，消息總線通過主題標簽的方式對事件信息進行合理分組。同一個消息主題支持各層級多“生產者”發布及“消費者”訂閱。當“消費者”訂閱此類威脅事件的消息后，消息總線會將此類消息高速、實時地進行推送。

2）自下至上的威脅上報

通過將監測發現并逐層上報的威脅安全事件進行標準化分類，以實現更快速的信息分發及共享，以便上層控制中心安全風險的快速決策或處置。威脅安全事件的部分分類如表1 所示，包括安全事件類、運行異常類、設備故障類、人員操作類。威脅信息等級從低到高分為一般、重要和緊急3 種。

表1 監測上報的威脅信息樣例Table 1 Sample of monitoring threat information reported

3）自上至下的策略下發

多層協同防御模型中的區控協防模塊和協同防御控制模塊通過策略下發總線實現策略下發的功能。面向電力監控系統的安全協同防御策略按主站自治域向區控自治域或自治域、區控自治域向自治域以自上至下的方向分為訪問控制、安全接入、入侵防護3 類，策略的優先級從低到高分為低、中、高3 級。對于出現的威脅事件采用優先級高的的協同防護策略，當自治域收到的由主站自治域和區控自治域區同時段對同目標對象下發的同類型協同策略時，經過策略的優化和合并應優先響應高層級下發的策略。部分安全協同防御策略如表2 所示。

表2 下發的安全協同防御策略樣例Table 2 Sample of secure collaborative defense strategy

3.3 協同防御

當業務節點出現安全威脅或觸發網絡安全事件時，需及時下發防御指令并控制安全問題的擴散。這些業務節點大多是指服務器、工作站、監控主機等主機類設備，當對存在安全風險的主機設備進行協同控制時，需要綜合利用服務禁用、邏輯阻斷、物理隔離等防御措施，結合網絡設備、安防設備、Agent 程序代理等安全防護設備進行逐級協同防御控制，如圖3 所示。

圖3 安全防護設備協同防御機制Fig.3 Cooperative defense mechanism of safety protection equipment

協同防御主要包括以下3 種方式：

1）服務禁用

通過采集分析發現節點主機設備有未授權的USB接入、串口/并口接入、光驅加載、可疑的用戶登錄、用戶危險操作、違規的外部鏈接或登錄會話等操作事件發生時，需要對主機設備下發防御控制指令，由Agent程序執行，及時控制安全威脅的進一步蔓延。服務禁用的防御機制采用數字簽名的方式以實現被控制端的身份認證，防止偽造命令的下發。其防御動作包括USB外設禁用、串口禁用、并口禁用、光驅禁用、用戶強制登出、限制外部連接、主機相關的網絡服務禁用等，并通過返回結果持續監測防御動作的執行效果。

2）邏輯阻斷

針對違規的外部連接、危險的遠程登錄操作等安全威脅、以服務禁用的防御方式作用失效等場景，使用邏輯阻斷的方法。邏輯阻斷通過對相應安防設備下發邏輯阻斷策略的方式進行連接限制甚至阻斷。例如，通過對縱向或防火墻設備下發指定IP 地址、端口或協議報文過濾策略進行協同，以及持續監測不符合安全策略的訪問告警信息，以驗證邏輯阻斷的防御控制效果。

3）物理隔離

為消除當服務禁用、邏輯阻斷等協同防護措施防御效果不佳、經分析判定業務主機或整個域節點存在多起安全隱患等情況發生，通過采取隔離手段實現對主機源甚至局部的網絡阻隔，切斷其與整個網絡的聯系。在物理隔離防御控制過程中，主要通過對網絡設備的策略協同完成對目標風險源或區域物理網絡隔離。例如，基于網絡拓撲確認所有與安全風險相關節點主機直接相連的交換機端口或路由器時隙端口后，通過SNMP 協議下發指定端口關閉的防御控制指令，斷開風險節點與網絡的連接。同時，持續監測后續網絡設備防御指令返回或主動查詢端口狀態以確認物理隔離措施的效能。

3.4 協同聯動

協同聯動包括以下3 種方式：

1）協同聯動判定

通過將不同監測手段發現的安全事件信息互為印證、相輔相成，從而實現對網絡安全事件的協同判定。例如當某主機向本地網絡發動DDoS 網絡流量攻擊時，主機所在域模塊會同時監測到主機安全監測軟件發出的主機異常操作行為信息、網絡設備發出的主機流量異常信息及安全設備發出的網絡攻擊信息。通過對以上威脅信息的源主機網絡IP 地址、網絡連接目的地址、端口號、異常流量等信息的相互匹配和驗證，可對此類網絡安全問題進行協同聯動判定。此外，如出現本域無法判斷的情形時，該消息會同時向其上層域進行上報，由上層域模塊通過比對其他可能相關的監測信息進行協同判斷并聯動下發經決策后的協同策略。

2）協同聯動控制

通過給多種協同安全設備下發聯動的協同防御策略實現對所發現網絡安全威脅信息的協同控制，限制危險源在一定的規則條件下運行。例如當已判定域內某主機發生DDoS 網絡流量攻擊時，域內安全協同設備會聯動進行安全控制防護，包括利用防火墻執行相應報文過濾、網絡設備執行流量和并發數限制、主機監控軟件執行指定IP 地址、端口號的訪問控制等策略。此外，當本域出現策略無效或無可執行策略的安全協同設備時，該信息將同時向其上層域進行上報，由上層域模塊下發協同防御策略或在該域相鄰的域，即更大范圍內的安全協同設備間采取聯動的協同防御策略控制。

3）協同聯動阻斷

根據監測到的并完成協同判定確認的，或基于安全協同控制服務無效的威脅信息，通過下發協同防御策略協同各安全協同設備聯動執行阻斷操作，以杜絕危險源可能造成的進一步危害。例如在已判定域內某主機發生DDoS 網絡流量攻擊并對其進行域內自防御或協同控制無效的場景下，可通過聯動多種安全防護設備的協同阻斷措施切除危險源。具體來說，針對出現的威脅事件對應所屬域按上層級向下層級從高優先級向低優先級的順序執行聯動的協同安全防御策略，直到監測的威脅信息不再上報為止。此外，當本域出現策略無效或無可執行策略的安全協同設備時，該信息將同時向其上層域上報，由上層域或與該域相鄰域模塊下發協同防御策略，即在更大范圍內的安全協同設備間實現聯動的協同防御策略阻斷。

3.5 關聯決策下發

借鑒灰色系統理論［26］，結合網絡安全事件的業務影響度、威脅程度、防御動作可靠性及時效性、頻次或持續時間以及與其他安全事件的關聯度等影響因子，通過構造決策集合、賦值確定參考序列、計算關聯系數及加權關聯度等步驟對網絡安全事件各因子與防御策略進行關聯度分析，對特定并滿足條件的網絡安全事件，選取關聯度最高（即決策優先級最高）的防御措施下發執行。

1）決策集合

針對特定網絡安全事件，分析及制定各影響因子與防御策略的關聯性，并設n個影響因子數據序列形成如下矩陣，其中m為可行的安全防御動作的個數。

2）對決策集合賦值并確定參考序列

根據該網絡安全事件各影響因子的具體描述，對式（1）中n個影響因子對應的m種可行防御措施進行初始化指數賦值，數值越高，該關聯系數越大。同時，以構造決策集合中各影響因子指標的最優值（即安全風險的關聯系數最小值）為標準構建對應各類影響因子的參考序列，如式（2）所示：

3）關聯系數

通過式（3）分別計算決策集合與參考序列對應元素的關聯系數，并形成關聯系數矩陣，計算公式如式（4）所示：

其中：i=1，2，…，n；k=1，2，…，m；及分別為決策集合及參考序列第i個影響因子下第k中安全防御措施的安全指數值。在逐個計算決策集合每個安全指數與參考序列對應元素的絕對差值后確定最小最大標準化參數，最終得到關聯系數矩陣。其中，ρ為分辨系數，0<ρ<1，若ρ越小，則關聯系數間差距越大，結果差異也越大。在本次防御決策關聯度計算中，ρ取中間值0.5，使關聯系數的偏差保持一致。

4）加權關聯度

通過綜合評估每類影響因子在本次網絡安全事件中所占權重，根據式（5）對關聯系統矩陣計算各影響因子每種防御措施的安全指數，及參考序列對應元素的關聯系數均值，以反映各種防御手段與參考序列的關聯關系，最終列出本次網絡安全事件與各安全防御策略間的相應關聯度。

其中：i=1，2，…，n；k=1，2，…，n；Wk為各影響因子的在影響權重占比；為本次安全事件第i個防御策略的加權平均關聯度。

以廠站側發生某業務主機USB 無線網卡接入的單點網絡安全事件為例。表3 通過最高關聯度決策算法驗證該算例，計算結果表明，“網卡禁用”處置措施的關聯度最高。

表3 網絡安全事件防御決策關聯度決策算例Table 3 Example of decision-making on the degree of relevance in the defense of network security events %

3.6 協同防御模型比對

以目前國內外信息安全應用較為廣泛的一種經典動態安全P2DR 模型［27］，包括Policy、Protection、Detection、Response 等多個主要構成要素為基準，對部分文獻中提及的關于協同防御模型的實現方式進行對比，如表4 所示。

表4 各安全協同防御模型的實現對比Table 4 Implementation comparison of security collaborative defense models

對比文獻中所提模型的實現大多是在靜態安全策略控制的指導下，綜合運用傳統網絡安防或固有設備的監測及防御能力，通過中心節點管控或各域內自治的方式驅動整個系統的安全協同防御，但都未涉及多級間協同的防御方式。本模型以最高關聯度策略的動態決策作為防御核心，通過各類協議及流量鏡像等底層信息采集方式，支持協同多層級主機Agent、網絡設備、通用或專用安防設備實時的威脅響應及風險處置。通過對比可知，本模型數據采集方式豐富、協同防護手段全面、防御措施支持動態決策，可快速適應電力調度數據網多層級網絡拓撲架構，在實現網絡安全協同防御的全覆蓋的同時，可滿足電力監控系統網絡安全協同防護及管控要求。

4 實驗驗證

4.1 總體設計

根據面向電力監控系統網絡安全多層的協同防御模型及其實現機制，從電力系統網絡安全防護需求出發，并采用如圖4 所示的多層架構和模塊化設計。該設計包括數據采集、威脅分析與識別、協同防御、防御策略庫、公共服務等模塊。各模塊間結構相互獨立，便于獨立部署或單元測試。基于上述模型功能框架結構上，遵從高內聚、低耦合的原則實現模塊化設計，選擇成熟的Web 技術路線，使用Java、JavaScript、Flex 等語言開發，采用分層技術和面向接口和服務的技術架構，通過支持主流中間件，融合主流、成熟的開源軟件，實現基于面向電力監控系統的多層協同防御原型系統。

圖4 協同防御模型模塊化設計Fig.4 Modular design of collaborative defense model

此系統目前已在調度主站及所轄數個廠站完成試點應用，并對所設計的框架模型及軟件功能進行了應用測試。通過對本級調控機構全網網絡安全事件的梳理，在已知明確的單點網絡安全事件、復雜情景下的網絡安全事件及以上情形防御失效的3 個典型場景進行了功能驗證。

4.2 已知明確安全事件場景

針對觸發原因明確、業務影響度較低且由單臺設備引起的緊急網絡安全事件，本地自治域模塊通過阻斷ssh 鏈路、禁用主機物理網卡服務及其上聯交換機端口下電方式有效地對風險源進行處置。

驗證場景1通過阻斷ssh 鏈路的方式，以實現站內現場運維人員在登錄會話中操作涉敏違規操作命令或非法外聯鏈接場景下的安全處置。

驗證場景2通過禁用主機物理網卡服務及斷開其上聯交換機端口的方式應對無線網卡接入、惡意代碼感染、網絡攻擊或入侵、違規設備接入、主機或端口掃描、DDoS 攻擊、SMB 服務訪問異常、不符合策略的安全訪問或異常服務訪問等緊急安全事件。如圖5 所示，×表示成功的防御動作。

圖5 明確網絡安全事件下的防御模型驗證場景Fig.5 Defense model verification in clear network security event scenario

4.3 復雜安全事件場景

針對一段時間內爆發的數起復合型非緊急類安全事件或不能直接定位攻擊或風險源的事件，區控協防模塊通過匹配協同防御策略庫中預制規則，按安全事件的情節輕重程度觸發主動防御動作。

驗證場景3通過模擬同時段內相同主機爆發USB 外設接入、非法登錄嘗試、用戶權限變更、關鍵文件或目錄變更、違規操作、設備開發非法端口等組合型安全事件時，成功執行網卡禁用及上聯交換機端口阻斷的防御動作。

驗證場景4通過模擬同廠站內不同業務設備在同時間段內觸發緊急復合型安全事件，執行該廠站縱向設備隧道阻斷動作，以成功切斷單站網絡，從而實現局部隔離。如圖6 所示為復雜網絡安全事件下的防御模型驗證場景。

圖6 復雜網絡安全事件下的防御模型驗證場景Fig.6 Defense model verification in complex network security event scenario

4.4 安全防護失效場景

通過人工干預，在模擬以上場景安全防御失效的場景下，協同防御控制模塊通過各類影響因子的關聯計算，執行防御決策優先級最高的防御動作。如圖7 所示，隨著灰色域逐步加深，防御動作逐層啟動，網絡空間安全防御的處置范圍也正逐級擴大，直至切除局部或整個域為止，以保障電網的整體安全。

圖7 失效場景下的多級防御模型驗證Fig.7 Verification of multi-level defense model in failure scenario

驗證場景5模擬主機物理網卡禁用執行失敗情形下，成功下發并執行其上聯交換機端口阻斷動作。

驗證場景6模擬上聯交換機端口阻斷失敗條件下，成功下發并執行了對應區域縱向設備的斷隧道動作。

驗證場景7模擬廠站區域縱向設備的斷隧道動作失敗的情形下，主站成功下發并執行了主站側路由器對應端口的關閉動作，實現廠站側區域隔離，防止安全威脅向主站的傳播可能。

現場典型場景驗證結果表明，該系統能夠通過網絡安全事件信息共享、協同防御策略庫的快速決策，有效協同并處置了各類場景下的網絡安全事件，從而避免了安全風險進一步擴散。下一步協同防御策略庫在試運行期間所積累的網絡安全事件成功處置策略集將部署于省級以上調度主站，并協同開展省-地-廠站3 級協同防御機制的應用測試及功能驗證。

5 結束語

多層協同防御是提升網絡空間安全防護的一種有效途徑，在電力監控系統網絡攻擊專業化、國際化、攻擊頻繁爆發及高持續威脅的背景下，多層協同防御模型可動態處置電力監控系統網絡安全在防御廣度和深度方面存在的不足。本文結合電力監控系統多層級星型組網特點及安全防護需求，提出基于自治域面向電力監控系統的多層協同防御模型及實現機制。該模型通過各層級域內自防御、跨域協同防御的特性，從主機層、安防設設備層和網絡層對安全威脅及風險進行分級、多層次的主動防御。實驗結果表明，該模型能較好地滿足目前電力監控系統安全防護要求，提高網絡安全防護能力，實現由被動式防御向主動式防御的轉變，具有較高的理論研究和實踐推廣應用價值。下一步將繼續驗證適應省級以上調度機構協同防御模型的現場測試工作，同時開展“國-分-省-地-廠站”5 級網絡安全協同防御模式的探索。