態(tài)勢感知技術在智慧電廠工控安全方面的應用

■ 大唐國際發(fā)電股份有限公司重慶分公司 高守

編者按：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)在帶來便利的同時，面臨著各種安全風險。本文通過態(tài)勢感知技術、大數(shù)據(jù)AI分析模型等提升電力工控的集中管控，實現(xiàn)電廠工控安全風險實時感知，用戶異常行為溯源，威脅精準研判，以提升發(fā)電企業(yè)網(wǎng)絡安全整體防護水平。

隨著各大電廠信息化、智慧化規(guī)模的不斷提高，越來越多的新建電廠（火電、水電、風電、新能源及核電等）以流行的商業(yè)系統(tǒng)軟件、應用軟件為支撐，以標準協(xié)議為通訊基礎，在提升電廠安全經(jīng)濟運行、智慧化決策應用帶來的優(yōu)勢的同時，也存在計算機信息系統(tǒng)、多系統(tǒng)互聯(lián)等所固有的安全威脅。國外屢次發(fā)生針對電廠的網(wǎng)絡入侵攻擊事件，使得電廠網(wǎng)安領域面臨新的挑戰(zhàn)。

本文從電廠網(wǎng)絡安全保護多角度入手，在構(gòu)建綜合網(wǎng)絡安全態(tài)勢感知標準體系，提升核電廠應對信息安全風險的能力方面，有著重要意義。

政策導向

2019年正式發(fā)布的《信息安全技術網(wǎng)絡安全等級保護基本要求》2.0版本，是網(wǎng)絡安全的一次重大升級，等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎上擴展到云計算、移動互聯(lián)、物聯(lián)網(wǎng)以及大數(shù)據(jù)等，對等級保護制度提出了新的要求。

等級保護2.0的安全框架中提到態(tài)勢感知，而且提出要具備對新型攻擊分析的能力，要能夠檢測對重點節(jié)點及其入侵的行為，對各類安全事件進行識別報警和分析。

2020年4月，國家發(fā)改委首次明確新型基礎設施的范圍，其中一項是以智能交通基礎設施和智慧能源基礎設施為代表的融合基礎設施。工業(yè)信息安全作為工業(yè)互聯(lián)網(wǎng)的基礎和保障，是國家安全的重要組成部分，它關系到國家關鍵基礎設施建設和經(jīng)濟社會穩(wěn)定，并且輻射范圍廣泛。因此，世界各國比以往更加重視工業(yè)信息安全，工業(yè)信息安全已經(jīng)成為當前信息安全領域中最為重要的部分之一。

現(xiàn)狀分析

1.工控資產(chǎn)網(wǎng)絡遭受安全威脅，暴露面增加

隨著網(wǎng)絡經(jīng)濟的發(fā)展和智能社會的快速演進，由工業(yè)控制網(wǎng)絡形成的安全問題日益突現(xiàn)并迅速放大，甚至將成為改變整個世界安全形勢和格局的重要因素。

近年來世界各國網(wǎng)絡安全事件頻發(fā)，電力行業(yè)遭受針對工業(yè)控制系統(tǒng)的網(wǎng)絡攻擊尤為嚴重，并造成系統(tǒng)崩潰，數(shù)據(jù)采集失敗，通信中斷甚至停工停產(chǎn)等后果。

2.缺乏電力工控網(wǎng)絡安全預警和應急響應流程體系

當前，我國電力工控網(wǎng)絡安全預警和應急響應問題長期得不到解決。過去幾十年我國建立的大量關鍵基礎設施，基本是依靠國外裝備和控制系統(tǒng)建立起來的。國外廠商設備普遍存在未知的漏洞，并可能存在后門，某些領域的安全漏洞已經(jīng)隱藏數(shù)年，成為國家安全的重大隱患。隨著智慧互聯(lián)的進程加快，等到建成設施和系統(tǒng)后再針對安全進行彌補和整改，代價將非常高昂。

3.工控設備本體安全缺失

目前，工控設備普遍存在以下安全風險：

存在弱口令、漏洞以及大量開放端口等安全風險，容易被惡意代碼感染，從而形成僵尸主機；存在違規(guī)接入的風險，同時缺失運維手段；設備在戶外分散安裝，容易受到接觸而又沒有納入管理，導致物理攻擊、篡改和仿冒；設備網(wǎng)絡協(xié)議多種多樣，并存在大量漏洞，增加了終端感染病毒、木馬或惡意代碼入侵的渠道，增加了網(wǎng)絡層的安全風險。

安全目標

工控安全態(tài)勢平臺是基于現(xiàn)場工控主機用戶操作行為和威脅事件關聯(lián)分析技術進行安全檢測的可視化預警檢測平臺，實現(xiàn)安全效果可評估、安全態(tài)勢可視化。平臺主要基于“看清業(yè)務邏輯，看見潛在威脅，看懂安全風險，輔助分析決策”的思路進行設計應用。

1.看清工控業(yè)務邏輯

工控安全的核心目標是解決企業(yè)工業(yè)控制網(wǎng)絡的安全、穩(wěn)定運行。如果不了解工控系統(tǒng)的資產(chǎn)有哪些，控制網(wǎng)絡邏輯關系如何，而按照標準信息網(wǎng)絡安全管理的模式去創(chuàng)建，那么它提供的檢測能力顯然是脫離實際的。所以，安全感知平臺首要解決的就是看清業(yè)務邏輯。

2.看見工控潛在威脅

工控安全是一個涉及多個領域的復雜問題，攻擊者可能包括外部黑客、心懷不滿的員工，以及內(nèi)外勾結(jié)等各種情況，攻擊途徑重點是APT、漏洞利用等高級威脅手段。防御者需要全面監(jiān)控，但攻擊者只需要一點突破即可。如果沒有系統(tǒng)的感知能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。因此，提升工控網(wǎng)絡安全綜合感知能力勢在必行。

3.看懂工控安全風險

工控安全系統(tǒng)除了需要能夠及時發(fā)現(xiàn)問題外，還需要保障系統(tǒng)的易用性，確保客戶技術人員能夠方便快速地發(fā)現(xiàn)安全問題，了解影響范圍，定位問題源頭，提供響應的展示告警和分析舉證服務。

4.輔助決策分析

除了專業(yè)的威脅檢測和風險分析效果之外，工控安全感知平臺還可提供可視化的形式為用戶呈現(xiàn)關鍵業(yè)務資產(chǎn)及針對關鍵業(yè)務資產(chǎn)的攻擊與潛在威脅，并提供全網(wǎng)攻擊監(jiān)測、分支機構(gòu)監(jiān)管以及風險內(nèi)外聯(lián)監(jiān)測等多個不同視角的可視化展示，提供對風險主機的報告導出和分析服務，為安全主管提供駕駛艙式的輔助決策服務。

態(tài)勢感知平臺

1.整體架構(gòu)

平臺總體架構(gòu)遵循：中心建設、邊緣計算的架構(gòu)模式，實現(xiàn)數(shù)據(jù)上下聯(lián)動。如圖1所示。

統(tǒng)一平臺：建設集中的態(tài)勢感知平臺，平臺承接多級、多角色用戶訪問，比如集團級總部用戶、省市級用戶、場站級用戶，不同的層級提供不同的數(shù)據(jù)展示和分析維度。

數(shù)據(jù)上下聯(lián)動，以平臺為中心對上與上級監(jiān)管單位實現(xiàn)對接，上報企業(yè)安全運營情報數(shù)據(jù)，對下與廠站邊緣采集設備實現(xiàn)聯(lián)動，實現(xiàn)遠程管控。

2.技術架構(gòu)

整個系統(tǒng)分為日志采集、流量采集、平臺層三部分，采用大數(shù)據(jù)存儲分析架構(gòu)，支持云端快速部署。如圖2所示。

流量采集，內(nèi)置深度包解析技術（DPI），實現(xiàn)常用的工控協(xié)議深度包分析，通過特征匹配實現(xiàn)異常流量告警。同時內(nèi)置流統(tǒng)計，按不同的協(xié)議及規(guī)范實現(xiàn)流統(tǒng)計。

日志采集，內(nèi)置消息隊列，收集來自于各種傳感器，Agent，以及流量采集器產(chǎn)生的數(shù)據(jù)信息。經(jīng)過初級加工，不同日志格式的歸一化處理，將數(shù)據(jù)推送到平臺。

圖1 平臺總體架構(gòu)圖

圖2 系統(tǒng)技術架構(gòu)圖

圖3 日志采集功能

平臺展示，利用大數(shù)據(jù)可視化技術，結(jié)合GIS地理位置、威脅情報關聯(lián)等，實現(xiàn)集團、廠級網(wǎng)絡安全數(shù)據(jù)的多維度信息展示。

3.系統(tǒng)功能

（1）日志采集

圖4 流量采集功能

如圖3所示，主機日志采集，主要利用Agent代理模式，安裝于主機中，對主機自身的Windows或Linux操作系統(tǒng)的操作行為、報警日志、合規(guī)配置等進行采集。

網(wǎng)絡設備和安全設備的日志采集主要基于SYSLOG、SNMP/SNMP TRAP、ICMP、ARP、JDBC/ODBC、TELNET、SSH/HTTP、HTTP、JMX、SOAP等廠商設備提供的接口進行日志的采集。

（2）流量采集

如圖4所示，利用流量鏡像技術，在交換機或路由器上，將一個或多個源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個指定端口來實現(xiàn)對網(wǎng)絡的監(jiān)聽，全面獲得網(wǎng)絡中指定端口的上下行流量。

（3）威脅感知

全流量威脅特征分析采用網(wǎng)絡通信深度報文解析的方式，通過對網(wǎng)絡應用流量的分析，提取出能夠唯一標志對應網(wǎng)絡應用的識別特征碼，即指紋，然后根據(jù)收集到的威脅特征碼構(gòu)建完備的識別特征庫，并保證特征庫中所有特征都是最新且唯一的。在進行具體流量識別任務時，對經(jīng)過網(wǎng)絡關口的每個或特定數(shù)據(jù)包進行模式匹配。對于一些規(guī)則簡單的特征，可以采用基本的字符串匹配。對于復雜或高級的特征，可以通過正則表達式進行匹配。當模式匹配成功時，就可以判斷該數(shù)據(jù)包所屬的數(shù)據(jù)流的類型為預定義字段所屬的威脅事件。

機器學習威脅分析基于應用已知威脅，基于已知漏洞的特征，構(gòu)建語義化描述的漏洞庫，可以直接進行漏洞攻擊所導致的數(shù)據(jù)泄漏的檢測。針對漏洞的變種攻擊，采用自然語言處理技術（NLP），將語義化漏洞庫規(guī)則轉(zhuǎn)換成可以量化的特征向量。定位出了漏洞代碼序列之后，使用向量執(zhí)行來對變量進行取值范圍的構(gòu)建，然后再引入漏洞判斷的條件組合起來交由求解器來實現(xiàn)。由漏洞庫樣本擬合出一條回歸函數(shù)，讓回歸函數(shù)和算法來對漏洞條目數(shù)據(jù)進行分類計算，構(gòu)建已知威脅的變種的攻擊下數(shù)據(jù)泄漏檢測分析的問題。如圖5所示。

（4）態(tài)勢可視

數(shù)據(jù)可視化旨在借助于圖形化手段，清晰有效地傳達與溝通信息。在工業(yè)網(wǎng)絡安全態(tài)勢感知應用中可以刻畫以下維度。

工控資產(chǎn)業(yè)務可視：通過網(wǎng)絡拓撲形式，全網(wǎng)繪制工業(yè)控制系統(tǒng)網(wǎng)絡資產(chǎn)結(jié)構(gòu)，包括動態(tài)可視資產(chǎn)運行狀態(tài)、開放的端口、關聯(lián)的告警事件等。

工控威脅風險可視：基于工控威脅事件，對主機、風險業(yè)務、風險用戶進行詳細舉證，將目標資產(chǎn)發(fā)起的和遭受的攻擊/異常活動進行匯聚整理成安全事件，利用攻擊鏈的形式展示主機被入侵后發(fā)起的威脅活動情況，直觀顯示被入侵后主機是否被利用產(chǎn)生威脅，且威脅程度是否逐步升級的情況。

工控脆弱性可視：針對動態(tài)監(jiān)控主機弱口令、U盤插拔、無密碼維護期限、防護開關、關鍵目錄修改、遠程桌面登錄等潛在的危害行為進行分析，利用VCE漏洞庫信息，實時關聯(lián)資產(chǎn)固件、軟件存在的漏洞情況，為用戶判斷威脅入侵提供基礎依據(jù)。

結(jié)論

1.利用數(shù)據(jù)驅(qū)動精準化的安全運營

海量數(shù)據(jù)采集后，對于已知攻擊的實時分析，歷史數(shù)據(jù)的挖掘分析，以及對海量內(nèi)外網(wǎng)數(shù)據(jù)、事件、文件等的關聯(lián)分析檢索，及實時在線檢測、離線檢測，發(fā)現(xiàn)APT攻擊和信息泄漏行為，需要成為安全運營工作中具備的基本能力。

2.增強對新興的威脅防御以及資產(chǎn)維度上的威脅感知

圖5 威脅感知功能

傳統(tǒng)的IT管理系統(tǒng)強調(diào)對單個設備和性能的可用性管理，缺乏通過多設備聯(lián)動，對復雜網(wǎng)絡威脅(如APT攻擊)的檢測和防護。同時，從設備監(jiān)控視角出發(fā)，原始的監(jiān)控過度地強調(diào)設備故障的及時診斷，已經(jīng)無法從根本上保障核心業(yè)務系統(tǒng)的可用性。平臺可以對核心資產(chǎn)多維度進行監(jiān)控和分析，可提升運營效率。

3.增強安全業(yè)務協(xié)同管理

無論是在傳統(tǒng)的網(wǎng)絡環(huán)境還是在云計算環(huán)境，不可避免地存在一個或者多個業(yè)務系統(tǒng)并存的情況。網(wǎng)絡安全運營從來不是獨立的事情，打破各自為戰(zhàn)的“信息孤島”，將安全運營團隊融入相關業(yè)務體系進行協(xié)同運維管理，將是發(fā)展的重中之重。