2022 年（第十届）电力企业信息安全研讨会 - 302 - 基于电力监控系统的网络安全事件 应急处置体系 国网上海市电力公司市北供电公司，冯陈佳、朱江、裘青云、李雪研、袁倩倩、严威、张宇 摘 要：为解决现有电力监控系统对网络安全事件发现难、判断时间长、难以控制影响范围、无法精准定位执行操 作等问题，本文提出构建基于电力监控系统的网络安全应急处置体系。该体系通过策略优化管理与动态拓扑生成实现网 络攻击精准定位与阻断，并且全流程可视化，以控制威胁的影响范围，提高网络安全防御能力。体系构建应急处置平台 作为技术支撑，完成应急处置环节，同时利用策略配置镜像，构建有实战意义的应急处置演练体系。通过连续两年全上 海市的应急演练，验证了本体系和平台可有效阻断各种类型的网络攻击，实现 1 分钟发现-5 分钟阻断-30 分钟处置，大 大提升了应急处置的效率，该应急处置体系不仅能有效提升电力监控系统网络安全事件定位及处置效率，其设计思路和 实现框架可进一步应用于政务、运营商和金融等其他行业。 关键词：电力监控系统；应急处置；策略管理；动态拓扑；可视化；演练 随着信息化技术的不断发展，网络攻击方式不 断变化，对于及时有效的保障网络空间安全，防止 威胁扩大，构成了严峻的挑战。电力是国家重要的 基础性行业，电力监控系统是指用于监视和控制电 力生产及供应过程、基于计算机及网络技术的业务 系统及智能设备，以及作为基础支撑的通信及数据 网络 [3]。一方面，电力监控系统作为网络战的重要攻 击目标，长期处于网络打击破坏的前沿，其数据网 络安全不容小觑。另一方面，由于电力系统的特殊 性，构建应急处置体系时需将业务连续性作为重要 衡量指标；即当产生安全事件时，在保证大部分业 务不中断的情况下，进行应急响应，将网络威胁消 除；其与传统意义上的公共网络空间有所不同，需 要结合实际情况单独设计与运行维护。 电力监控系统多年以来在网络安全防护工作方 面进行了持续建设。文献[4]研究了电力监控系统安 全管理中心的建设思路。文献[5]从终端系统安全加 固、终端防护设备配置、人员安全意识提升三个方 面出发，提出了电力监控系统终端安全隐患的针对 性防护方案。文献[6]对目前使用的网络安全管理平 台的应用功能、典型设备接入和网络安全技术应用 进行了介绍与分析。 但是，面对日新月异的攻击手段，目前已有电 力监控系统应急处置体系无法保证及时发现问题并 作出响应，从而给攻击者留出大量时间将威胁进一 步扩大。 2015 年的乌克兰大停电和 2019 年的委内瑞 拉大停电等案例和教训都充分说明了完备高效的应 急处置体系的必要性。因此，亟需从准确性、时效 性出发，进一步优化网络安全应急处置能力，深入 探究网络安全应急处置工作的各个阶段，真正将网 络安全工作形成闭环，为构建完善的电力网络安全 防护体系提供技术支撑。 国外对于网络安全应急处置体系研究的代表是 SOAR(Security Orchestration,Automation and Response)，意即安全编排自动化与响应。该技术聚 焦安全运维领域，重点解决安全响应的问题，是安 全编排与自动化、安全事件响应平台和威胁情报平