[00118595]基于协议深度解析的电网工控安全威胁监测技术与应用

本项目涵盖电力系统及其自动化,电子、通信与自动化控制技术等学科技术领域。 随着信息技术的飞速发展、国际政治经济竞争的加剧,能源、电力、通信、水利等国家关键信息基础设施面临日益严峻的网络攻击风险,2010年发生的伊朗核电站“震网”攻击事件和2015年、2016年乌克兰电网连续两次遭受攻击导致的大面积停电事件,表明网络空间的恶意攻击已成为电网安全稳定运行的现实威胁。 随着电网系统采取分区分域和纵深防御策略,实施内外网安全隔离、电网生产大区与管理信息大区安全隔离等关键防护工程,电网工业控制系统的安全防护体系逐渐得到完善。但因电网与发电厂工业控制系统安全防护体系及其防护能力的不均衡、不对称,特别是近年来大量光伏、风电等新能源电站的接入,使电网工业控制系统面临越来越复杂的安全威胁。 本课题深入解析典型电网工控系统通信协议IEC60870、IEC61850安全机制及缺陷,梳理了发送非法控制命令、非授权修改系统程序及配置、旁路控制、协议栈攻击、雪崩攻击等11种电网工控系统典型安全威胁,研究提出安全威胁检测技术、现场运维作业审计和管控技术,设计开发了安全威胁监测平台,形成如下创新点： ①基于工控协议缺陷利用的威胁检测技术; ②建立多层安全边界的分布式监测体系; ③基于规则自学习、动态调优的安全威胁预警技术; ④实现协议级作业审计与管控。 课题申请发明专利3项,发表论文2篇。2016年1月7日,青海省科学技术厅组织,由国内信息安全领域著名专家组成的专家委员会对项目成果进行科技鉴定和评价,一致认为项目成果填补了国内电网工业控制系统安全威胁监测技术研究的空白,达到国际同行业先进水平。 通过在青海电网调控中心、青海华能共和、汉能共和、华电华顺等10座新能源电站和输变电在线监测中心部属监测平台,构建了青海电网工控系统安全威胁监测体系。应用期间,累计发现1459起告警,其中准入监测告警242起、非法使用告警246起、欺骗伪装告警52起、窃听监测告警46起、其他告警873起,告警总量中新能源电站告警占比达到90%;发现并阻断非法接入设备131起,防止了病毒入侵30起,实现了青海电网及新能源电站安全威胁实时监测和风险预警、运维作业协议级审计和管控,有效增强了青海电网工控系统的主动防御能力,发挥出显著的社会经济效益。