■ 大唐國際發(fā)電股份有限公司重慶分公司 高守

編者按：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)在帶來便利的同時，面臨著各種安全風險。本文通過態(tài)勢感知技術(shù)、大數(shù)據(jù)AI分析模型等提升電力工控的集中管控，實現(xiàn)電廠工控安全風險實時感知，用戶異常行為溯源，威脅精準研判，以提升發(fā)電企業(yè)網(wǎng)絡(luò)安全整體防護水平。

隨著各大電廠信息化、智慧化規(guī)模的不斷提高，越來越多的新建電廠（火電、水電、風電、新能源及核電等）以流行的商業(yè)系統(tǒng)軟件、應(yīng)用軟件為支撐，以標準協(xié)議為通訊基礎(chǔ)，在提升電廠安全經(jīng)濟運行、智慧化決策應(yīng)用帶來的優(yōu)勢的同時，也存在計算機信息系統(tǒng)、多系統(tǒng)互聯(lián)等所固有的安全威脅。國外屢次發(fā)生針對電廠的網(wǎng)絡(luò)入侵攻擊事件，使得電廠網(wǎng)安領(lǐng)域面臨新的挑戰(zhàn)。

本文從電廠網(wǎng)絡(luò)安全保護多角度入手，在構(gòu)建綜合網(wǎng)絡(luò)安全態(tài)勢感知標準體系，提升核電廠應(yīng)對信息安全風險的能力方面，有著重要意義。

政策導(dǎo)向

2019年正式發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》2.0版本，是網(wǎng)絡(luò)安全的一次重大升級，等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴展到云計算、移動互聯(lián)、物聯(lián)網(wǎng)以及大數(shù)據(jù)等，對等級保護制度提出了新的要求。

等級保護2.0的安全框架中提到態(tài)勢感知，而且提出要具備對新型攻擊分析的能力，要能夠檢測對重點節(jié)點及其入侵的行為，對各類安全事件進行識別報警和分析。

2020年4月，國家發(fā)改委首次明確新型基礎(chǔ)設(shè)施的范圍，其中一項是以智能交通基礎(chǔ)設(shè)施和智慧能源基礎(chǔ)設(shè)施為代表的融合基礎(chǔ)設(shè)施。工業(yè)信息安全作為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)和保障，是國家安全的重要組成部分，它關(guān)系到國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)和經(jīng)濟社會穩(wěn)定，并且輻射范圍廣泛。因此，世界各國比以往更加重視工業(yè)信息安全，工業(yè)信息安全已經(jīng)成為當前信息安全領(lǐng)域中最為重要的部分之一。

現(xiàn)狀分析

1.工控資產(chǎn)網(wǎng)絡(luò)遭受安全威脅，暴露面增加

隨著網(wǎng)絡(luò)經(jīng)濟的發(fā)展和智能社會的快速演進，由工業(yè)控制網(wǎng)絡(luò)形成的安全問題日益突現(xiàn)并迅速放大，甚至將成為改變整個世界安全形勢和格局的重要因素。

近年來世界各國網(wǎng)絡(luò)安全事件頻發(fā)，電力行業(yè)遭受針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊尤為嚴重，并造成系統(tǒng)崩潰，數(shù)據(jù)采集失敗，通信中斷甚至停工停產(chǎn)等后果。

2.缺乏電力工控網(wǎng)絡(luò)安全預(yù)警和應(yīng)急響應(yīng)流程體系

當前，我國電力工控網(wǎng)絡(luò)安全預(yù)警和應(yīng)急響應(yīng)問題長期得不到解決。過去幾十年我國建立的大量關(guān)鍵基礎(chǔ)設(shè)施，基本是依靠國外裝備和控制系統(tǒng)建立起來的。國外廠商設(shè)備普遍存在未知的漏洞，并可能存在后門，某些領(lǐng)域的安全漏洞已經(jīng)隱藏數(shù)年，成為國家安全的重大隱患。隨著智慧互聯(lián)的進程加快，等到建成設(shè)施和系統(tǒng)后再針對安全進行彌補和整改，代價將非常高昂。

3.工控設(shè)備本體安全缺失

目前，工控設(shè)備普遍存在以下安全風險：

存在弱口令、漏洞以及大量開放端口等安全風險，容易被惡意代碼感染，從而形成僵尸主機；存在違規(guī)接入的風險，同時缺失運維手段；設(shè)備在戶外分散安裝，容易受到接觸而又沒有納入管理，導(dǎo)致物理攻擊、篡改和仿冒；設(shè)備網(wǎng)絡(luò)協(xié)議多種多樣，并存在大量漏洞，增加了終端感染病毒、木馬或惡意代碼入侵的渠道，增加了網(wǎng)絡(luò)層的安全風險。

安全目標

工控安全態(tài)勢平臺是基于現(xiàn)場工控主機用戶操作行為和威脅事件關(guān)聯(lián)分析技術(shù)進行安全檢測的可視化預(yù)警檢測平臺，實現(xiàn)安全效果可評估、安全態(tài)勢可視化。平臺主要基于“看清業(yè)務(wù)邏輯，看見潛在威脅，看懂安全風險，輔助分析決策”的思路進行設(shè)計應(yīng)用。

1.看清工控業(yè)務(wù)邏輯

工控安全的核心目標是解決企業(yè)工業(yè)控制網(wǎng)絡(luò)的安全、穩(wěn)定運行。如果不了解工控系統(tǒng)的資產(chǎn)有哪些，控制網(wǎng)絡(luò)邏輯關(guān)系如何，而按照標準信息網(wǎng)絡(luò)安全管理的模式去創(chuàng)建，那么它提供的檢測能力顯然是脫離實際的。所以，安全感知平臺首要解決的就是看清業(yè)務(wù)邏輯。

2.看見工控潛在威脅

工控安全是一個涉及多個領(lǐng)域的復(fù)雜問題，攻擊者可能包括外部黑客、心懷不滿的員工，以及內(nèi)外勾結(jié)等各種情況，攻擊途徑重點是APT、漏洞利用等高級威脅手段。防御者需要全面監(jiān)控，但攻擊者只需要一點突破即可。如果沒有系統(tǒng)的感知能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。因此，提升工控網(wǎng)絡(luò)安全綜合感知能力勢在必行。

3.看懂工控安全風險

工控安全系統(tǒng)除了需要能夠及時發(fā)現(xiàn)問題外，還需要保障系統(tǒng)的易用性，確保客戶技術(shù)人員能夠方便快速地發(fā)現(xiàn)安全問題，了解影響范圍，定位問題源頭，提供響應(yīng)的展示告警和分析舉證服務(wù)。

4.輔助決策分析

除了專業(yè)的威脅檢測和風險分析效果之外，工控安全感知平臺還可提供可視化的形式為用戶呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅，并提供全網(wǎng)攻擊監(jiān)測、分支機構(gòu)監(jiān)管以及風險內(nèi)外聯(lián)監(jiān)測等多個不同視角的可視化展示，提供對風險主機的報告導(dǎo)出和分析服務(wù)，為安全主管提供駕駛艙式的輔助決策服務(wù)。

態(tài)勢感知平臺

1.整體架構(gòu)

平臺總體架構(gòu)遵循：中心建設(shè)、邊緣計算的架構(gòu)模式，實現(xiàn)數(shù)據(jù)上下聯(lián)動。如圖1所示。

統(tǒng)一平臺：建設(shè)集中的態(tài)勢感知平臺，平臺承接多級、多角色用戶訪問，比如集團級總部用戶、省市級用戶、場站級用戶，不同的層級提供不同的數(shù)據(jù)展示和分析維度。

數(shù)據(jù)上下聯(lián)動，以平臺為中心對上與上級監(jiān)管單位實現(xiàn)對接，上報企業(yè)安全運營情報數(shù)據(jù)，對下與廠站邊緣采集設(shè)備實現(xiàn)聯(lián)動，實現(xiàn)遠程管控。

2.技術(shù)架構(gòu)

整個系統(tǒng)分為日志采集、流量采集、平臺層三部分，采用大數(shù)據(jù)存儲分析架構(gòu)，支持云端快速部署。如圖2所示。

流量采集，內(nèi)置深度包解析技術(shù)（DPI），實現(xiàn)常用的工控協(xié)議深度包分析，通過特征匹配實現(xiàn)異常流量告警。同時內(nèi)置流統(tǒng)計，按不同的協(xié)議及規(guī)范實現(xiàn)流統(tǒng)計。

日志采集，內(nèi)置消息隊列，收集來自于各種傳感器，Agent，以及流量采集器產(chǎn)生的數(shù)據(jù)信息。經(jīng)過初級加工，不同日志格式的歸一化處理，將數(shù)據(jù)推送到平臺。

圖1 平臺總體架構(gòu)圖

圖2 系統(tǒng)技術(shù)架構(gòu)圖

圖3 日志采集功能

平臺展示，利用大數(shù)據(jù)可視化技術(shù)，結(jié)合GIS地理位置、威脅情報關(guān)聯(lián)等，實現(xiàn)集團、廠級網(wǎng)絡(luò)安全數(shù)據(jù)的多維度信息展示。

3.系統(tǒng)功能

（1）日志采集

圖4 流量采集功能

如圖3所示，主機日志采集，主要利用Agent代理模式，安裝于主機中，對主機自身的Windows或Linux操作系統(tǒng)的操作行為、報警日志、合規(guī)配置等進行采集。

網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志采集主要基于SYSLOG、SNMP/SNMP TRAP、ICMP、ARP、JDBC/ODBC、TELNET、SSH/HTTP、HTTP、JMX、SOAP等廠商設(shè)備提供的接口進行日志的采集。

（2）流量采集

如圖4所示，利用流量鏡像技術(shù)，在交換機或路由器上，將一個或多個源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個指定端口來實現(xiàn)對網(wǎng)絡(luò)的監(jiān)聽，全面獲得網(wǎng)絡(luò)中指定端口的上下行流量。

（3）威脅感知

全流量威脅特征分析采用網(wǎng)絡(luò)通信深度報文解析的方式，通過對網(wǎng)絡(luò)應(yīng)用流量的分析，提取出能夠唯一標志對應(yīng)網(wǎng)絡(luò)應(yīng)用的識別特征碼，即指紋，然后根據(jù)收集到的威脅特征碼構(gòu)建完備的識別特征庫，并保證特征庫中所有特征都是最新且唯一的。在進行具體流量識別任務(wù)時，對經(jīng)過網(wǎng)絡(luò)關(guān)口的每個或特定數(shù)據(jù)包進行模式匹配。對于一些規(guī)則簡單的特征，可以采用基本的字符串匹配。對于復(fù)雜或高級的特征，可以通過正則表達式進行匹配。當模式匹配成功時，就可以判斷該數(shù)據(jù)包所屬的數(shù)據(jù)流的類型為預(yù)定義字段所屬的威脅事件。

機器學習威脅分析基于應(yīng)用已知威脅，基于已知漏洞的特征，構(gòu)建語義化描述的漏洞庫，可以直接進行漏洞攻擊所導(dǎo)致的數(shù)據(jù)泄漏的檢測。針對漏洞的變種攻擊，采用自然語言處理技術(shù)（NLP），將語義化漏洞庫規(guī)則轉(zhuǎn)換成可以量化的特征向量。定位出了漏洞代碼序列之后，使用向量執(zhí)行來對變量進行取值范圍的構(gòu)建，然后再引入漏洞判斷的條件組合起來交由求解器來實現(xiàn)。由漏洞庫樣本擬合出一條回歸函數(shù)，讓回歸函數(shù)和算法來對漏洞條目數(shù)據(jù)進行分類計算，構(gòu)建已知威脅的變種的攻擊下數(shù)據(jù)泄漏檢測分析的問題。如圖5所示。

（4）態(tài)勢可視

數(shù)據(jù)可視化旨在借助于圖形化手段，清晰有效地傳達與溝通信息。在工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知應(yīng)用中可以刻畫以下維度。

工控資產(chǎn)業(yè)務(wù)可視：通過網(wǎng)絡(luò)拓撲形式，全網(wǎng)繪制工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)結(jié)構(gòu)，包括動態(tài)可視資產(chǎn)運行狀態(tài)、開放的端口、關(guān)聯(lián)的告警事件等。

工控威脅風險可視：基于工控威脅事件，對主機、風險業(yè)務(wù)、風險用戶進行詳細舉證，將目標資產(chǎn)發(fā)起的和遭受的攻擊/異常活動進行匯聚整理成安全事件，利用攻擊鏈的形式展示主機被入侵后發(fā)起的威脅活動情況，直觀顯示被入侵后主機是否被利用產(chǎn)生威脅，且威脅程度是否逐步升級的情況。

工控脆弱性可視：針對動態(tài)監(jiān)控主機弱口令、U盤插拔、無密碼維護期限、防護開關(guān)、關(guān)鍵目錄修改、遠程桌面登錄等潛在的危害行為進行分析，利用VCE漏洞庫信息，實時關(guān)聯(lián)資產(chǎn)固件、軟件存在的漏洞情況，為用戶判斷威脅入侵提供基礎(chǔ)依據(jù)。

結(jié)論

1.利用數(shù)據(jù)驅(qū)動精準化的安全運營

海量數(shù)據(jù)采集后，對于已知攻擊的實時分析，歷史數(shù)據(jù)的挖掘分析，以及對海量內(nèi)外網(wǎng)數(shù)據(jù)、事件、文件等的關(guān)聯(lián)分析檢索，及實時在線檢測、離線檢測，發(fā)現(xiàn)APT攻擊和信息泄漏行為，需要成為安全運營工作中具備的基本能力。

2.增強對新興的威脅防御以及資產(chǎn)維度上的威脅感知

圖5 威脅感知功能

傳統(tǒng)的IT管理系統(tǒng)強調(diào)對單個設(shè)備和性能的可用性管理，缺乏通過多設(shè)備聯(lián)動，對復(fù)雜網(wǎng)絡(luò)威脅(如APT攻擊)的檢測和防護。同時，從設(shè)備監(jiān)控視角出發(fā)，原始的監(jiān)控過度地強調(diào)設(shè)備故障的及時診斷，已經(jīng)無法從根本上保障核心業(yè)務(wù)系統(tǒng)的可用性。平臺可以對核心資產(chǎn)多維度進行監(jiān)控和分析，可提升運營效率。

3.增強安全業(yè)務(wù)協(xié)同管理

無論是在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境還是在云計算環(huán)境，不可避免地存在一個或者多個業(yè)務(wù)系統(tǒng)并存的情況。網(wǎng)絡(luò)安全運營從來不是獨立的事情，打破各自為戰(zhàn)的“信息孤島”，將安全運營團隊融入相關(guān)業(yè)務(wù)體系進行協(xié)同運維管理，將是發(fā)展的重中之重。