【电力】优秀案例：某省输电变电站

输电变电站电力监控系统是国家关键基础设施，电力系统的安全运行与政治安全、经济安全、网络安全、社会安全等诸多领域密切关联，一旦发生大面积停电事件，可能引发跨领域连锁反应，导致重大经济财产损失，甚至引发社会恐慌，危及国家安全。

某省输电变电站已按照电力行业36号文规范，网络安全建设符合“安全分区、专网专用、横向隔离、纵向认证”要求，但在资产识别管理、流量解析与通信拓扑绘制、白名单基线与未知威胁0Day告警等方便比较欠缺，通过建设输电变电站流量监测预警与资产测绘，对电力监控系统网络流量采集、解析和分析，扩大现有安全监视的范围，对网络空间中异常资产及网络行为进行有效检测，提供回溯分析依据，从而提高电力监控系统网络安全防护水平，减少网络安全事件的发生。

在输电变电站厂站Ⅰ/Ⅱ区分别部署流量采集分析装置，实现生产控制区内网络流量的采集、分析和存储，然后通过调度数据网将流量采集分析装置的数据上送到位于某省主站Ⅱ区部署的流量安全分析平台，实现输电变电站生产控制区流量数据的汇总集中监测与分析展示，有效识别网络中的安全隐患、恶意攻击以及违规操作等安全风险。

（1）采集各类常见的通用网络协议和工控协议，包括：数据链路层、网络层、传输层、应用层。重点对电力协议进行采集并深度解析，如：IEC103、IEC104、MMS、GOOSE/SV等。各类协议流量按照流量特征格式或原始流量进行存储，对发生异常事件的流量片段进行标记存储。

（2）基于协议深度解析，对电力监控系统网络中的所有活动提供协议流量审计，生成完整记录并进行通讯行为识别。

（3）对网络流量实时分析，动态识别电力监控系统网络中的设备和属性，人工对资产的属性进行管理，包括名称、类型、厂商、IP/MAC、地理位置、联系人、资产登记等。

（4）内置流量负载规则库，对特征值进行分析匹配，及时发现流量的异常信息并进行告警，实现对组态变更，异常操控指令，程序下装等关键事件进行识别和告警，保证电力监控系统在正确配置下运行，如对IEC61850协议，IEC 104协议等进行深度解析后，分析对应特定场景下的关键操作行为（遥控操作、改定值操作）等。

（5）通过对流量数据的学习，建立通信协议行为基线，识别异常的协议状态请求、控制协议指令；建立通信流量基线，监测通信链路、通信协议、持续时间、源与目的等特征的通信行为；建立通信链路基线，检测协议范围的流量、链路中断等事件。

（6）通过流量分析识别系统中所有通信链路，提供通信链路中的源/目的IP、源/目的端口、通信协议、链路最早建立时间、链路最新通信时间、包吞吐量等信息，自动以拓扑图的形式直观展示网络中各个设备节点之间的通信连接情况，对于存在入侵等告警信息的通信链路，在拓扑图上提供可视化的异常展示与告警。 

（7）提供基于规则的关联分析引擎，支持通过关联分析，从低风险事件中发掘高风险威胁的能力。

输电变电站流量分析增强了二次安防流量检测方面的能力，规范了电力监控系统网络中的资产和行为，可以事前防御由病毒、入侵、异常接入、程序逻辑等导致的安全生产事故，杜绝重大灾难性事件，可以有效预警类似伊朗“震网”事件、乌克兰电网事件的恶意攻击。通过流量资产测绘提高了对省内分布数量众多的输电变电站的资产管理运维能力，网络行为分析实现了及时的安全事件预警，有利于保障输电调度的安全生产运行。

▲《中国数字安全产业年度报告2023》 售价1999元

▲若您有购买完整版报告需求，请长按识别进行购买