電力資產主機安全合規大數據分析方法

■ 中國大唐集團有限公司重慶分公司集中控制中心 白樺

編者按：本文針對態勢感知平臺在電廠的實施，通過智能采集器與數據代理采集工控資產的各類合規基線與安全指標數據，創新性地針對資產主機的合規與基線核查進行設計，基于大數據進行定量合規分析，彌補了電廠資產主機的合規分析存在的空白，可一目了然掌控資產主機的安全情況及存在的問題，定量合規評估指數。

2016 年國家提出面對復雜嚴峻的網絡安全形勢，要樹立正確的網絡安全觀，全天候全方位感知網絡安全態勢，增強網絡安全防御能力和威懾能力。2018 年工信部印發的《工業控制系統信息安全行動計劃（2018-2020）》提到“態勢感知、安全防護、應急處置能力顯著提升”。2018 年2 月國家能源局印發《關于加強電力行業網絡安全工作的指導意見》，首次提出在電力行業提高態勢感知能力的硬性要求，明確了網絡安全的工作重點，從安全防護變成了提高網絡安全態勢感知能力以及預警、應急處置能力。2019 年2月22 日，國務院國資委啟動網絡安全及智慧能源信息平臺建設工作，以推動能源產業高質量發展，解決能源行業網絡信息安全問題。

態勢感知平臺運用大數據技術，收集分析電力單位的資產信息、安全事件、設備日志和網絡流量等，從全局視角感知網絡與工控安全態勢，通過技術手段實現對安全事件的全過程閉環管理，增強電力企業整體信息安全在預測、防護、檢測、響應、協同方面的能力。電力資產主機在安全監測與評估中是核心要素，資產的準確性、合規基線與評估至關重要。

資產主機安全現狀與需求

隨著電廠智能化、自動化、可視化的深入推進，工控主機的安全合規與評估迫在眉睫。針對主機的安全合規在等保2.0 三級工業控制系統安全擴展要求中，針對控制設備安全具有明確的要求。但是如何針對主機進行合規自動定量評估還沒有明確辦法。

1.工控主機安全合規基線指標不明確。

2.工控主機安全合規數據采集規范沒有。

3.工控主機安全合規評估指標與定量評估方式沒有規范指導。

4.從集團分公司角度很難可視化的了解分公司、廠區的工控主機的合規情況與趨勢演變。

因此，本文結合態勢感知平臺的建設實施，研究了電力工控主機的安全合規大數據分析方法。

資產主機安全合規大數據分析方法

1.主機合規大數據采集分析架構

合規數據采集分析架構圖如圖1 所示，主機合規數據的采集通過在不同OS 主機安裝數據代理（Agent）進行合規數據的采集發送，合規數據與其他安全數據一同采集，數據通過智能采集器進行格式轉換、增強等處理，然后數據到態勢感知平臺進行資產主機的合規分析，進行大數據挖掘、可視化展現。

2.主機基線合規指標

主機合規基線指標分為Linux 平臺和Windows 平臺指標。實施過程中梳理Windows 基線指標為59 項，Linux 指標為35 項。每項指標的安全等級定位為高危、中危和低危三種級別。

其中Windows 基線指標包括：

（1）密碼復雜性要求；密碼長度最小值。

（2）密碼最短使用期限。

（3）強制密碼歷史。

（4）賬戶鎖定閾值。

（5）賬戶鎖定時間。

（6）復位賬戶鎖定計數器。

（7）審核策略更改。

（8）審核對象訪問。

（9）審核目錄服務訪問。

（10）審核系統事件。

圖1 合規數據采集分析架構圖

（11）賬戶：重命名管理員賬戶。

（12）賬戶：重命名來賓賬戶。

（13）Microsoft 網絡服務器：對通信進行數字簽名（如果客戶端允許）。

（14）交互式登錄：提示用戶過期之前修改密碼。

（15）交互式登錄：之前登錄到緩存的次數（域控制器不可用時）。

（16）域成員：禁用計算機賬戶密碼更改。

Windows 基線指標包括：

（1）檢查是否修改了SNMP 的默認團體名；檢查是否禁用“Ctrl+Alt+Del”鍵重啟。

（2）檢查是否禁止wheel組之外的用戶使用su 命令切換到root。

（3）檢查是否設置密碼在設定時不能使用前幾次密碼的次數限制。

（4）檢查是否配置賬戶認證失敗的次數。

（5）檢查用戶對設備的操作是否被記錄。

（6）檢查是否配置sys log-ng 安全事件的日志。

（7）檢查是否配置rsys log 安全事件的日志。

（8）檢查是否配置sys log 安全事件的日志。

（9）檢查su 命令使用情況記錄是否被設置。

（10）檢查是否關閉IP欺騙和多IP 綁定功能。

（11）檢查/etc/aliases和/etc/mail/aliases 是否禁用把不必要的別名文件。

（12）檢查是否啟用了不必要的系統服務。

（13）檢查是否使用NTP同步時間，以及對應服務是否安裝開啟。

（14）檢查是否存在不應該擁有suid 和sgid 權限的文件。

（15）檢查是否啟動空閑時自動定時鎖定屏幕功能（適用于具備GNOME 圖形界面的設備）。

（16）檢查SSH 登錄前的警告是否設置。

3.主機合規評估指標

為形成主機合規安全和預警綜合指數，提供工控資產總體的安全定量評估與決策，結合電力、能源行業監管要求以及等保2.0 法律法規基本要求，用以評估工業控制信息系統主機的定量合規評估指標設計如表1 所示。

4.合規定量評估方法

基于上述合規評估指標體系，制定定量合規評估方法。每項指標進行定量評分，評分規則考慮不同指標采用不同規則，所有指標評分進行匯總，根本不同類別采用不同加權因子，得到一個資產主機的綜合評分。

5.主機合規大數據AI 分析與畫像分析

針對主機的合規評估結果，與評分相結合，通過大數據主機畫像實現主機安全合規的可視化分析。10個評估大類分別采用不同顏色區分，易于評估不同指標類別的評分。評估指標單獨顯示其評分，按照100 分制顯示，采用5 級顏色展示，0 ～20、20 ～40、40 ～60、60～80、80～100 五個級別展示，分值越低，顏色越醒目。如圖2 所示。

表1 主機合規評估指標

針對不同電廠、安全區、不同類型資產主機以及不同類型指標采用聚類等算法，包括CluStream、StreamKM++進行數據挖掘，實施感知集團、集控中心、廠區全業務主機的合規情況。合規指數是多少？大部分共性問題？整改策略是什么？實時具有什么風險？發生安全事件后影響范圍有多大？風險共性等問題。

關鍵技術與最佳實踐

1.主機探針Agent 適配性與采集頻度

工控主機硬件與軟件為使用多年的老版本，因此合規基線及安全指標的采集不能影響主機業務運行，基本不消耗主機性能。

圖2 主機合規大數據畫像分析

2.多源異構數據接入與電力系統安全架構的適應性

需要針對主機采集的各類指標與日志信息進行歸一化處理、增加聚合等處理，滿足不同OS 格式的數據轉換。同時由于工控網的傳輸帶寬要求及邊界隔離交換數據的限制，需要適配TCP、UDP 的數據單項傳輸。

3.AI 大數據可視化分析

通過合規定量分析，從不同維度實現大數據的可視化展示，同時基于機器學習算法對合規數據進行挖掘，實現主機合規的大數據分析。

結語

通過態勢感知資產主機安全合規分析模塊的實踐，無論從總部、二級公司、集控中心及廠級角度，都可一目了然掌控資產主機的安全合規情況、存在的問題及定量評估指數，同時可從不同安全維度了解總部資產主機的缺陷，進行有的放矢的整改，真正把安全監管落到實處，有利于快速摸清家底、理清風險、合規分析、找出漏洞和有效整改。

態勢感知平臺的實施內容包括數據代理Agent、智能采集器、全日志分析系統和工業互聯網安全態勢感知平臺，為企業安全運營管理構建一個全局的、實時的、可預測的主動防御安全體系，從而全面提升網絡安全感知能力和運營能力，實現電力關鍵基礎設施的全生命周期管理，為智能化運營保駕護航。