电力监控系统信息安全管理优化方案

安全防护功能通过对工控协议进行解析，运用“白名单+智能学习”技术，建立工业网络通信“白环境”，阻止任何来自安全区域外的非授权访问，有效抑制病毒、木马在工控网络中的传播和扩散，防护针对SCADA、PLC、DCS 等重要控制系统的各类已知、未知的恶意攻击和破坏行为。

白名单管理，就是引入白名单形式的安全策略控制。由于工控网络通信固定化的特征，确定了使用白名单技术进行安全控制，是解决工业网络安全的一个重要且有效的方式。

流量监测

流量监测功能基于对工业控制协议的通信报文进行深度解析，能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

监测模块通过发电企业接入层交换机端口镜像功能，镜像出完整控制系统流量信息，经由监测模块的异常流量监测、关键事件监测、工业协议解析、协议通信记录等功能处理，生成监测结果及日志信息，发送到预警模块进行展示。

异常流量监测功能主要实现对工控协议的通信报文进行采集与深度解析，利用人工智能算法自学习建立工控通信模型基线，对当前工控协议通信行为与工控通信基线进行对比分析，对不符合与工控通信基线的异常行为进行告警，例如异常指令操作、新出现的设备（IP地址）、异常连接行为、异常通信地址、异常通信端口等告警。

工业协议解析提供对多工业协议的深度报文解析功能，实现工控网异常监测、工控协议异常监测、工控协议规约监测、工控关键事件监测、工控攻击事件监测。

协议通信记录网络中的所有连接信息，支持对工控网络通信记录进行回溯，除记录5元组信息外，还包括详细的开始时间、结束时间、源MAC、目的MAC、报文数（上行、下行）、字节数（上行、下行），端口号，功能码完整记录网络中所有流量和行为。

日志审计

日志审计功能通过采集电力监控系统内主机设备、网络设备、安全设备、应用程序的系统日志进行标准化处理，通过日志审计策略及时发现各种异常事件、安全威胁等，为管理人员提供电力监控系统的实时运行状况。

日志審计模块通过发电企业接入层交换机端口镜像功能，镜像出完整控制系统流量信息，经由主机日志审计功能、网络设备日志审计功能、应用程序审计功能的日志收集、分析，并将日志审计结果发送到预警模块进行展示。

安全预警

安全预警模块通过监测模块、审计模块、防护模块、采集模块实施预警监测。