摘 要：在智慧電力快速發(fā)展的背景下，電力行業(yè)數字化轉型進入跨越式的發(fā)展，新的應用不斷涌現(xiàn)，整體網絡規(guī)模逐漸擴大。物聯(lián)網、云平臺和數據中臺等新型數字基建平臺的建設，使網絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。為保障電力生產、經營管理和客戶服務等重要業(yè)務的正常開展，依據國網公司信息安全管理要求，國網上海市電力公司(SMEPC)構建了綜合防線，覆蓋互聯(lián)網大區(qū)、管理信息大區(qū)和生產控制大區(qū)。為確保中國國際進口博覽會等重大活動期間保電任務的萬無一失，力推“智慧保電”新模式，一批基于“互聯(lián)網 +”“物聯(lián)網 +”的高、新、尖技術將使保電工作更有把握?；?SMPEC 態(tài)勢感知系統(tǒng)的實踐，闡述智慧運維模型的創(chuàng)新點和應用，探討以數據驅動運維，聚焦從傳統(tǒng)運維向智慧運維轉型，對全國范圍內電力行業(yè)和關鍵信息基礎設施安全保護工作有很好的借鑒意義。

內容目錄

0引　言

1　研究背景

1.1 電力行業(yè)網絡安全保護政策要求

1.2 智慧電力轉型需求

2 電力智慧運維模型構建與創(chuàng)新點分析

2.1 整體綜合防線構建

2.2 構建安全態(tài)勢量化模型，科學評估運維管理成效

3 態(tài)勢感知技術在智慧電力中的應用

3.1 風險匯聚支撐

3.2 分析決策支撐

3.3 編排調度支撐

3.4 聯(lián)動處置支撐

4 智慧運維人員體系規(guī)劃

5 總結與建議

0 引言

隨著電網形態(tài)愈發(fā)復雜，保障供電系統(tǒng)穩(wěn)定性及可靠性的難度越來越高。如今，一方面，面對互聯(lián)網、數字經濟發(fā)展，使社會經濟形態(tài)產生的巨大變化，傳統(tǒng)電力行業(yè)迎來了多重挑戰(zhàn)，深化電力領域改革勢在必行。另一方面，隨著《中華人民共和國網絡安全法》《國家網絡安全戰(zhàn)略》等一系列法律法規(guī)和標準規(guī)范相繼出臺，態(tài)勢感知上升到戰(zhàn)略高度。國家有關網絡安全主管單位均在倡導、建設和積極應用網絡安全態(tài)勢感知技術以應對網絡空間安全的嚴峻挑戰(zhàn)。

安全是一個動態(tài)的過程，因為攻擊者手段、攻擊方法不斷改變，導致新漏洞不斷出現(xiàn)；同時電力行業(yè)的業(yè)務、軟件和人員也在不斷變化，因此安全管理人員試圖通過一個系統(tǒng)、一套方案解決所有的問題是不切實際的。在實際安全保障過程中，安全管理、安全開發(fā)、漏洞挖掘、應急響應、漏洞修復等環(huán)節(jié)，都需要對產品和服務的系統(tǒng)進行設計、運行、評價和改進。因此將單點的安全體系整合成一個有機整體并持續(xù)優(yōu)化，才能真正意義上達到智慧運維的目標。

去年，國家電網公司正式提出“三型兩網”戰(zhàn)略，聚焦建設世界一流能源互聯(lián)網企業(yè)，打造“樞紐型、平臺型、共享型”企業(yè)，為支撐公司業(yè)務智能化、數字化轉型，信息運維同樣需要數字化轉型來適配 IT 架構的演進。數字化轉型的本質，是以數據的自動流動化解復雜系統(tǒng)的不確定性，從而優(yōu)化資源配置效率。今后工作目標就是不斷推動信息運維工作規(guī)范化、標準化，通過自動化、可視化，將運維數字化貫穿于應用系統(tǒng)的全生命周期，向著智慧運維的方向邁進。

1 研究背景

隨著電力行業(yè)數字化轉型的跨越式發(fā)展和新應用的不斷涌現(xiàn)，電力網絡整體規(guī)模逐漸擴大，物聯(lián)網、云平臺、數據中臺等新型數字基建平臺的建設，使網絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。虛擬邊界和物理邊界的融合，使得信息安全管理的難度隨之不斷增加，電力信息安全管理面臨從被動支撐到主動服務的挑戰(zhàn)，電力行業(yè)亟需構建新的網絡安全智慧運維模式。

1.1 電力行業(yè)網絡安全保護政策要求

近年來，黨中央、國務院高度重視網絡安全工作，《國家網絡空間安全戰(zhàn)略》《網絡空間國際合作戰(zhàn)略》《中華人民共和國網絡安全法》等法律法規(guī)相繼出臺，為我國網絡安全的發(fā)展提出了戰(zhàn)略指引，為網絡治理提供了法律準繩。在電力行業(yè)中，2018 年國家能源局印發(fā)了《關于加強電力行業(yè)網絡安全工作的指導意見》(以下簡稱“意見”)，總結了電力行業(yè)網絡安全保護政策要求，從電力行業(yè)全局的角度指導、推進網絡安全工作開展。意見圍繞進一步落實電力企業(yè)網絡安全主體責任，完善網絡安全監(jiān)督管理體制機制，加強全方位網絡安全管理，強化關鍵信息基礎設施安全保護，加強行業(yè)網絡安全基礎設施建設，加強電力企業(yè)數據安全保護，提高網絡安全態(tài)勢感知、預警及應急處置能力，支持網絡安全自主創(chuàng)新與安全可控;積極推動電力行業(yè)網絡安全產業(yè)健康發(fā)展，推進網絡安全軍民融合深度發(fā)展，加強網絡安全人才隊伍建設，拓展網絡安全國際合作等方面提出要求。

1.2　智慧電力轉型需求

近年來，物聯(lián)網、云平臺和數據中臺等新型數字基建平臺的大規(guī)模建設以及大量云原生、IoT 的新應用上線導致原來的網絡環(huán)境發(fā)生了變化。從內部和外部環(huán)境來看，針對關鍵信息基礎設施的新型攻擊和破壞手段層出不窮，電力關鍵信息基礎設施面臨的安全威脅在急劇增加[1]。傳統(tǒng)的信息安全管理模式難以為繼，信息安全防護的難度越來越大，存在以下痛點。

定位慢、處置難?，F(xiàn)有的信息化和安全防護設備種類繁多，安全策略配置、運維管理難度較大，當面對眾多分散的信息時，安全人員無法快速、全面、直觀地了解系統(tǒng)安全脆弱點、整體攻擊狀況以及安全防護效果;日常產生的重復、無效的告警過多，加大了平臺運營和信息安全監(jiān)測處置的難度，不能快速定位真正的運行和網絡安全威脅，當前的安全手段只能在一定范圍內發(fā)揮特定的作用，且企業(yè)缺乏專業(yè)的智慧運維工具，重復性工作占用現(xiàn)有人員大量精力，缺乏有效的數據融合和協(xié)同管理機制。

安全管理人才匱乏。網絡安全產業(yè)發(fā)展面臨人才短缺的問題，2017 年人才數量缺口已經高達 70 萬人，缺口率 95%，預計到 2027 年這一數據將增長至 300 萬人，市場競爭激烈，當前培養(yǎng)的網絡安全人才數量遠遠不能滿足社會需求，特別是急缺信息安全專家、復合型人才。在日益規(guī)?；木W絡威脅下，網絡安全攻擊面不斷擴大，攻擊強度不斷升級，企業(yè)應對復雜攻擊的處理經驗不足，水平不夠，顯得捉襟見肘，壓力與難度與日俱增。

綜上所述，電力信息安全管理面臨從被動支撐到主動服務的挑戰(zhàn)，傳統(tǒng)的安全運維進入了需要依賴大數據分析、智能學習的人工智能模式[2]，這些復雜因素都指向同一個結果——電力行業(yè)亟需構建新的網絡安全智慧運維模式。

2 電力智慧運維模型構建與創(chuàng)新點分析

為應對挑戰(zhàn)，國網上海市電力公司(SMEPC)綜合運用多種技術手段，以運營安全可視和協(xié)同防御為核心，打造一套智能化、精準化、具備協(xié)同聯(lián)動的大數據安全分析平臺、數據中臺和統(tǒng)一運營中心，實現(xiàn)全方位態(tài)勢感知、全天候安全監(jiān)控和全覆蓋防御協(xié)同能力。

2.1　整體綜合防線構建

為應對網絡安全監(jiān)測與防護在數字化轉型中遇到的挑戰(zhàn)，利用大數據、態(tài)勢感知等新技術手段，融合公司平臺運行、安全防護、流程處置信息和海量情報信息，構建了上海電力的“智慧運營和安全大腦”，如圖 1 所示。

圖 1　電力信息系統(tǒng)智慧運維新模式

依靠大數據和人工智能技術，構建了網絡安全大數據平臺與數據中臺，對已建設的防火墻、攻擊溯源系統(tǒng)、入侵防御系統(tǒng)、主機防護軟件等安全防護產品的多源異構日志進行采集和治理，一次采集、多次消費，并結合關聯(lián)分析、統(tǒng)計分析、交叉分析、行為分析等多種分析技術，對網絡安全數據進行深度挖掘，有效發(fā)現(xiàn)網絡資產的風險隱患和被攻擊情況。通過匯聚、分析、研判相關數據，將人、技術和流程緊密結合起來，打造平臺化和全景視角，讓決策者能夠實時掌握運營安全動態(tài)，形成對業(yè)務的有效支撐。

在管理流程方面，對信息安全的管理流程進行調整，針對監(jiān)控、變更、指揮、處置等核心流程基于大數據分析和自動化工具進行配套調整，優(yōu)化審批環(huán)節(jié)，減少管理資源投入，提高效率。通過運營平臺適配應用系統(tǒng)全生命周期的各運維場景，匯總全維度運維數據，讓數據驅動運維，通過構建運維能力體系，為用戶提供運維支撐服務，最終實現(xiàn)公司全網網絡安全態(tài)勢可見、風險威脅可知、信息通報統(tǒng)一、應急處置高效的效果。

在監(jiān)控方面，對指標管理體系進行重構，提取關鍵指標，建立了應用系統(tǒng)的健康度量化模型，將不同監(jiān)控層面的數據，包括性能監(jiān)控、運行監(jiān)控、接口監(jiān)控、數據庫監(jiān)控、業(yè)務流量監(jiān)控等各層級相關指標，對其進行整合匯聚，實現(xiàn)監(jiān)控規(guī)范化、集中化、標準化和敏捷化，分析故障發(fā)生的原因，輔助定位可能的故障根源，讓應用系統(tǒng)的運行狀態(tài)一目了然。在運營方面，提供了云資源、存儲資源、數據庫資源等資源的容量剩余情況、使用變化曲線、分配情況，實時顯示當前檢修、搶修狀態(tài)的工單看板，通過應用系統(tǒng)訪問量、流量等多維度信息展示應用系統(tǒng)的活躍度。

在運營方面，提供了云資源、存儲資源、數據庫資源等資源的容量剩余情況、使用變化曲線、分配情況，實時顯示當前檢修、搶修狀態(tài)的工單看板 ，通過應用系統(tǒng)訪問量、流量等多維度信息展示應用系統(tǒng)的活躍度。

2.2　構建安全態(tài)勢量化模型，科學評估運維管理成效

安全數據中臺依據數據安全和數據標準的規(guī)范，對數據采集、數據處理、數據治理、數據資產、數據服務和數據運維幾個方面進行有機結合，實現(xiàn)安全數據匯聚、管理和統(tǒng)一的數據服務。采集的數據包括設備日志數據、流量數據、弱點漏洞數據、系統(tǒng)性能數據、威脅情報數據、資產人員數據等多種安全、泛安全類數據。安全數據經過數據處理、存儲、挖掘后，形成包括基礎庫、業(yè)務庫、原始庫、知識庫和分析庫等，為上層應用提供數據支撐。

安全能力中臺以安全數據中臺的海量安全數據為基礎，利用大數據關聯(lián)分析技術，結合人工智能建模方法，對海量安全數據進行深度分析，揭示安全威脅和攻擊事件，發(fā)現(xiàn)系統(tǒng)面臨的安全風險和感知系統(tǒng)安全態(tài)勢。安全能力中臺通過聚焦各維度的安全需求，將系統(tǒng)各種安全能力服務化，形成安全服務目錄，實現(xiàn)數據融合，進而挖掘數據價值，并通過安全數據場景化分析模塊，提供關聯(lián)規(guī)則、統(tǒng)計建模、場景關聯(lián)、分析建模、情報建模以及機器建模等安全分析能力，提供支撐上層應用的數據。

安全態(tài)勢量化的模型，如圖 2 所示。

圖 2　安全態(tài)勢量化

綜合態(tài)勢評分采用的是多層次模糊綜合評判模型，權重的確定采用層次分析法。綜合態(tài)勢評分考慮的影響因素較多，主要分為兩個方面：一方面，權重分配很難確定;另一方面，即使確定了權重分配，由于要滿足歸一性，每一因素分得的權重必然很小。所以需要采用分層的辦法來解決這一問題，主要采用了以下算法。

模糊綜合評價法(FCE)：是一種根據模糊數學隸屬度理論把定性評價轉化為定量評價的方法。它具有結果清晰、系統(tǒng)性強的特點，能較好地解決模糊的、難以量化的問題，適合解決各種非確定性的問題。

層次分析法(AHP)：是把復雜問題中的各種因素通過劃分為相互聯(lián)系的有序層次，使之條理化，根據對一定客觀現(xiàn)實的主觀判斷結構(主要是兩兩比較)把專家意見和分析者的客觀判斷結果直接而有效地結合起來，將每個層次元素兩兩比較的重要性進行定量描述。而后，利用數學方法計算反映每一層次元素的相對重要性次序的權值，通過所有層次之間的總排序計算所有元素的相對權重并進行排序。

FCE 計算的前提條件之一是確定各個評價指標的權重，也就是權向量，它一般由決策者直接指定。但對于復雜的問題，例如很多評價指標之間存在相互影響的關系，直接給出各個評價指標的權重比較困難，而這個問題正是 AHP所擅長的。綜合運用上述兩種算法，科學量化評估運維成效，起到良好的作用。

3 態(tài)勢感知技術在智慧電力中的應用

2020 年 11 月，在上海中國國際進口博覽會期間，SMEPC 集成 34 套信息系統(tǒng)，打造進口博覽會全景智慧供電保障系統(tǒng)，實現(xiàn)人員、物資、車輛等保電資源全景可視化監(jiān)控和主動指揮[3]，為全網保電資源的統(tǒng)一調配與指揮決策提供科技支撐。隨著感知終端、AI 機器人等智能技術的深化運用，進博會保電工作從“設備管理”進一步向“數據管理”轉型，觀測實時、反應及時，實現(xiàn)了“一屏觀網”“一鍵響應”的智慧升級。

智慧運維支撐服務平臺面向網絡安全能力集成、數據集成和編排響應等需求，為網絡安全人員提供風險匯聚、分析決策、編排調度和聯(lián)動處置 4 種共性服務支撐。

3.1 風險匯聚支撐

安全數據中臺提供了統(tǒng)一、開放、標準、完整的信息資源服務。全面開展內部和外部數據歸集、整合、重新組織、共享等工作，建立完整的信息共享資源目錄和信息資源服務能力;提供統(tǒng)一的大數據處理服務能力，提升信息資源服務能力，解決網絡智慧運維對海量數據的深度挖掘、分析、應用的迫切需求。

3.2 分析決策支撐

依賴安全大數據分析引擎，針對監(jiān)測數據中心內匯聚的數據，從情報碰撞、資產威脅分析、安全事件分析、風險隱患和網絡攻擊 5 個層面進行安全分析。

提供集中的安全規(guī)則、模型以及策略管理功能，制定統(tǒng)一的安全策略，并有效貫徹執(zhí)行這些安全策略，不僅有助于提高安全水平，而且將這些安全策略進行上網發(fā)布也有助于知識的共享，讓各級安全管理人員合理運用安全策略，有效地管理網絡，保障網絡的安全運行。

3.3 編排調度支撐

運營平臺提供安全服務和能力的管理及編排調度能力?；跇嫿ǖ哪芰w系，通過劇本編排，對分析、響應處置過程中各種復雜的分析流程和處理平臺進行整合，形成自動化的能力集成，實現(xiàn)從靜態(tài)事件響應到動態(tài)工作流跟蹤的轉變，提升整體的協(xié)調及決策能力。

3.4　聯(lián)動處置支撐

安全編排自動化與響應(Security Orchestration，Automation and Response，SOAR)框架編排劇本進行自動化任務執(zhí)行，利用自動化過程更有效地對告警進行分類，并更快速高效地響應關鍵事件，主要有以下 5 項核心技術能力。

(1)安全編排：可以實現(xiàn)將安全分析能力、安全處置流程以及人工干預動作進行無縫編排，保證安全流程真正高效地運行。

(2)自動化：是編排的一個子集，SOAR的編排會生成一個劇本(playbook)，劇本包含了一次安全事件的全部或部分運維流程，劇本可自動化執(zhí)行。

(3)響應：通過自動化執(zhí)行消除大量重復任務，釋放人工勞動力。利用自動化的誤報過濾可以在消除大量誤報的同時，更準確地識別真正的威脅，提高工作流程的效率，節(jié)省時間和資源。同時利用自動化更有效地進行告警分類，以更快地響應關鍵事件。

(4)案件管理：是對一個安全事件的全生命周期的統(tǒng)稱，利用 SOAR 可以對一次安全事件響應全生命周期和自動化管理。

(5)協(xié)同合作：可以實現(xiàn)人機交互的安全事件響應，也可以實現(xiàn)不同權限 / 職責的人員共同編寫劇本，共同完成安全事件的響應。

在進口博覽會期間，SMEPC 憑借網絡安全態(tài)勢感知及分析系統(tǒng)詳實全面的信息安全數據分析與處理能力，全面掌握進口博覽會保電期間關鍵系統(tǒng)與設施面臨的安全威脅、風險和隱患狀況，實時定位信息網絡中發(fā)生的各類安全事件，通過實時監(jiān)測、快速處置、威脅感知、情報信息、數據查詢等功能業(yè)務，形成 7×24小時全范圍覆蓋的網絡監(jiān)測與預警，為進口博覽會的順利召開起到了良好保障作用。

4 智慧運維人員體系規(guī)劃

管理組織架構是智慧運維成功建設的重要組成部分，必須加強機構建設和團隊建設，成立責任部門，做到分工明確、責任清晰、任務到人、考核到位，才能保障智慧運維中心順利建設并能夠讓這套運維體系不斷完善改進。

智慧運維中心設置了安全監(jiān)測團隊、分析處置團隊、風險管控團隊、架構管控團隊、設備管理團隊和技術支撐團隊，以聯(lián)動模式為用戶提供運營服務。

安全監(jiān)測團隊：主要負責所轄范圍的管理信息大區(qū)、生產控制大區(qū)、互聯(lián)網大區(qū)邊界網絡與信息安全 7×24 小時日常監(jiān)控預警及初步分析；負責內外網重點網站運行狀態(tài)監(jiān)控和上下級聯(lián)動；負責安全監(jiān)測值班規(guī)范的修訂與完善和安全監(jiān)測系統(tǒng)作業(yè)指導手冊的編制。

分析處置團隊：主要負責告警事件的分析判斷、調查取證、事件處置等工作；負責組織完成安全事件常態(tài)化溯源分析；負責為公司信息系統(tǒng)安全防護提供攻擊研判、態(tài)勢分析、技術咨詢等支撐工作;負責參與安全事件調查與事件處置，對確認的安全事件分析其危害程度、波及范圍等，確定是否啟動應急響應。

風險管控團隊：主要負責系統(tǒng)端口管控和治理；負責風險預警處置相關工作；負責系統(tǒng)建轉運審核工作和周期性進行安全風險評估工作；負責等級保護測評專項工作，根據等保合規(guī)要求、內控規(guī)范、審計要求制定相關的監(jiān)測機制；負責內部信息安全意識教育培訓和宣傳。

架構管控團隊：主要負責網絡安全方案和應急預案的編制；負責上線系統(tǒng)方案安全架構評審；負責網絡安全架構管控、優(yōu)化調整工作以及網絡安全防御體系和架構的設計與優(yōu)化。

設備管理團隊：主要負責根據安全策略的要求進行安全基礎設施的規(guī)劃、建設以及日常的運維工作；負責安全配置策略的統(tǒng)一管理、變更工作；負責安全設備的常態(tài)巡檢、維護、故障處理和檢修管理；負責安全平臺接入方案的審批與執(zhí)行；負責安全設備策略和權限的審批與維護，以及安全設備作業(yè)指導手冊的編制。

技術支撐團隊：主要負責安全新技術的研究、新型攻擊手法研究、對智慧運維中心所涉及的高危漏洞的研究分析、未知威脅的探索發(fā)現(xiàn)、組織進行內部的紅藍對抗演練以及時發(fā)現(xiàn)新的安全風險，并將這些成果轉化為知識庫和安全分析模型；負責威脅情報的收集和管理工作。

5 總結與建議

電力關系國計民生，智慧電網的建設可以極大地提升電網的穩(wěn)定性和持續(xù)性。將使我國能源緊張和環(huán)境污染問題得到緩解，極大地促進我國可持續(xù)發(fā)展。

網絡安全直接關系到智慧電網的正常穩(wěn)定運行，本文闡述了智慧運維模型的創(chuàng)新點和應用，探討以數據驅動運維，聚焦從傳統(tǒng)運維向智慧運維轉型，對全國范圍內電力行業(yè)和關鍵信息基礎設施安全保護工作具有很好的借鑒意義。

盧士達 , 金玲麗 , 姚亦凡 . 智慧電力網絡安全態(tài)勢感知能力建設與提升——數據驅動從傳統(tǒng)運維轉型智慧運維 [J]. 信息安全與通信保密 ,2021(8):60-67.

作者簡介>>>：

盧士達(1975—)，男，碩士，高級工程師，主要研究方向為信息化建設運營和信息安全;

金玲麗(1971—)，女，學士，高級工程師，主要研究方向為信息安全;

姚亦凡(1991—)，男，碩士，工程師，主要研究方向為網絡空間安全。

選自《信息安全與通信保密》2021年8期

(為便于排版，已省去原文參考文獻)

來源：信息安全與通信保密雜志社