集控中心工控網絡安全預警平臺設計

莫育軍，吳 輝，諶斐鳴，李靖沙

（五凌電力有限公司，湖南 長沙 410000）

隨著云計算、物聯網等新技術的快速發展，使企業面臨新的安全挑戰，特別是關鍵信息基礎設施面臨敵對勢力和黑客組織的嚴重威脅，網絡攻擊造成的生產安全事件頻發，傳統的安全防護策略已經無法完全應對最新的安全威脅。電力監控系統作為發電廠生產控制系統中最為核心的系統之一，其信息安全可靠與否直接關乎電力生產的安全穩定運行。隨著黑客攻擊手段和技術的日益復雜、先進，以工控系統作為目標的攻擊層出不窮，導致包括集控中心和發電廠在內的電力監控系統受到的安全威脅與日俱增。

目前五凌集控及直管電廠已經部署多種獨立運行的安全防護設備，安全數據沒有進行采集匯總分析，無法做到出現安全攻擊事件時提前預警、統一管控及應急處置，當前五凌集控中心及直管廠站電力監控系統缺少網絡安全統一集中可視化措施與檢測預警機制，廠站運維人員無法及時獲取本廠站的網絡安全現狀，五凌集控中心也無法有效掌握各廠站的網絡安全情況，因此，如何有效利用已部署的安全防護設備，為集控中心及各電廠設計一個安全、有效的工控網絡安全預警平臺，已成為一個日益突出的問題。

1 五凌集控中心及直管電廠電力監控系統安全防護現狀

五凌集控中心及直管電廠根據“安全分區、網絡專用、橫向隔離、縱向認證、綜合防護”的基本原則，將電力監控系統分為生產控制大區（控制區、非控制區）和管理信息大區，控制區主要包括計算機監控系統、PMU等實時生產控制系統，非控制區包括水情、電能計量等非實時業務系統，管理信息大區包括生產管理系統、視頻監控、協同辦公等生產辦公業務系統，控制區的業務通過2M電力、電信專線接入調度數據網，控制區與非控制區通過防火墻實現橫向邏輯隔離，生產控制大區與管理信息大區通過電力專用單向隔離裝置實現橫向隔離，隔離強度接近或達到物理隔離，與調度機構、上級單位通過縱向加密裝置進行縱向認證，并在監控系統核心交換機、調度數據網交換機處部署了安全監測審計、入侵檢測裝置、運維操作審計裝置及網絡安全監測裝置，在監控系統上位機部署了主機加固軟件，實現綜合防護，電力二次系統安全防護整體水平顯著提高。

盡管五凌集控中心及直管電廠部署了安全檢測審計、入侵檢測裝置、網絡安全監測裝置等安全防護設備，但是各個系統之間均是分散部署，缺乏統一管理、統一預警，數據無法進行匯總分析，在五凌集控中心及各下屬電廠現有的人員配置下，各安全防護設備發揮的作用未能有效的體現，無法實現實時網絡安全監視、分析、審計，全面監測外部網絡訪問、外部設備接入、用戶登錄、人員操作等各種事件，無法及時掌握電力監控系統存在的安全隱患，同時也無法對電力監控系統的運行進行安全預警功能，在出現安全告警事件時，集控中心及各廠站運維人員無法第一時間知曉，錯失緊急處置的良機，給電力監控系統的安全穩定運行帶來極大安全隱患。

2 工控網絡安全預警平臺設計的總目標與原則

2.1 工控網絡安全預警平臺設計的總目標

通過采集已部署安全防護設備的安全事件日志，統一進行關聯分析、集中展示和預警，實現廠站安全信息歸一治理，利用系統的安全監測預警功能，建立生產控制大區威脅可知、管控可視、應急可控的安全運維機制，全天候、全方位監測網絡安全狀態，全面分析展示網絡及信息資產安全情況，實現集控中心及直管電廠的統一監測、預警及管理等功能，提高集控中心及直管水電廠的網絡安全防護水平，提升應急處置效率，支撐各級單位開展日常工控網絡安全管理工作，同時也為智慧集控的發展提供安全保障。工控網絡安全預警平臺的總目標具體如下：

（1）將集控中心及直管電廠生產控制大區安全防護設備的數據、網絡安全監測裝置的數據、態勢感知平臺的數據接入工控網絡安全預警平臺，實現各電廠安全狀態數據的采集。

（2）實現集控中心及直管電廠網絡安全的統一實時監測、預警、分析定位、追蹤處置、審計溯源、風險核查、統一管理等功能，實現對集控中心及直管廠站的安全威脅、安全事件、異常行為的感知和預警，準確把握整體安全態勢，實現廠站安全信息歸一治理。

（3）形成一套與安全運維管理工作相適應的運維體系。各級單位運維人員，根據自身的權限，在工作臺進行全網統一的事件處置工作，實現多級用戶的安全事件流轉管理，包括創建、上報、下發、核查、審核和辦結等一系列操作，系統按照安全事件的所屬單位將發現的安全事件自動推送到對應負責人，搭配高效的信息化運維考核機制，實現對安全事件的精準感知和快速行動。

（4）建立專家知識庫，針對平臺發現的各項安全事件，平臺能夠通過腳本實現各種重復性的安全威脅的自動化分析、研判及響應，減少分析響應時長，提升響應效率。同時平臺預設安全事件的處置建議，針對常見的安全事件，能夠將處置建議隨工單一同下發給各級運維人員，提高事件響應處置能力和效率。

2.2 工控網絡安全預警平臺設計的原則

（1）零修改、無擾動：在工控網絡安全預警平臺建設過程中，不會對電力監控系統的運行環境、配置、參數等進行修改，保證電力監控系統運行的可靠性、穩定性、實時性。

（2）安全性：工控網絡安全預警平臺要能夠為集控中心及直管水電廠的網絡安全建設和維護管理工作提供指導作用，保證其敏感信息資源受控、合法、安全地使用。

（3）可靠性：工控網絡安全預警平臺在不影響水電站電力監控系統功能和效率的前提下，做到穩定、可靠地不間斷運行。

（4）可擴展性：工控網絡安全預警平臺允許集控中心根據業務發展的網絡安全需求，具備增加新的安全組件與安全功能。

（5）經濟適用性：工控網絡安全預警平臺的建設要在安全需求、安全風險和安全成本之間進行科學的平衡、比較和折中，使集控中心及直管電廠電力監控系統的安全防護措施既安全、可靠，又經濟、適用，具有合理的性價比。

3 工控網絡安全預警平臺的設計

工控網絡安全預警平臺可以對網絡中各種活動的行為進行辨識，從宏觀的角度進行意圖理解和影響評估，進而提供合理的決策支持。該平臺不再是獨立的安全設備，而是覆蓋網絡空間，能夠監測、分析甚至改變網絡空間內安全狀態的綜合型網絡安全防護系統，主要由監測網絡狀態的安全設備和對安全數據進行集中監測、統一分析的安全監管預警平臺共同構成。

3.1 工控網絡安全預警平臺的技術架構

工控網絡安全預警平臺主要由數據采集層、數據處理層、數據展示層共三層架構組成，其中：

（1）數據采集層：實現對網絡空間狀態信息的集中采集，為系統安全感知、分析、預警功能提供必需的數據源，主要由各類安全設備或數據采集探針構成。數據采集層是整個系統的運轉基礎，數據源的完備性直接決定了系統的安全分析成效。

（2）數據處理層：數據處理層利用內置的安全邏輯關系、對象化資產信息、事件特征庫和知識庫等基礎資源，實時監測，反映系統的整體信息化環境和運行狀態，能夠實現對數據采集層收集到網絡狀態數據的統一存儲、處理分析，并將處理結果接入數據展現層進行展示。數據處理層是網絡安全態勢感知產品的核心功能模塊，該層級的數據分析、處理能力決定了系統分析的效率及準確性。

（3）數據展現層：直接作用在用戶的感觀感受上，通過多樣式的展示界面，實時向用戶反饋系統宏觀和微觀層面的安全運行情況。數據展現層能夠從用戶的管理視角出發，幫助用戶組織需要觀測的數據信息，使用戶工作更加便捷。

3.2 工控網絡安全預警平臺的部署架構

根據五凌電力生產控制系統的實際特點（實時性需求、可用性保障等），規劃構建“集控中心/廠站”兩層部署的安全預警系統，實現廠站網絡安全數據的采集并依托平臺實現數據集中展示和預警。

集控中心側：在管理信息大區部署工控網絡安全預警平臺，集中匯總各水電廠的安全數據，實現對直管電廠的安全威脅、安全事件、異常行為的感知和預警，通過提供各電廠資產對象的量化風險賦值，使公司能夠準確感知整體的安全風險態勢。

廠站側：在水電廠生產控制大區內部署數據匯總節點服務器，實現對現場已有安全設備日志信息的采集，在管理信息大區部署數據上傳服務器，通過安全可控的方式，將這些安全數據上傳到集控中心級平臺。

平臺建成后能夠實現安全告警的集中管理、關聯分析以及安全態勢分析。通過采集網絡區域邊界、網絡通信、計算環境的安全告警和日志，通過大數據分析和人工智能等技術，對采集的告警和日志進行智能關聯分析，快速、精準的定位安全威脅事件，并對特定威脅事件進行溯源分析，實時分析廠區的安全態勢，通過工控安全健康指數計算方法，實時計算廠區的工控安全健康指數，將廠區的安全態勢量化分析，通過將安全告警和網絡拓撲中的設備資產相結合，實現廠區的安全態勢可視化。

工控網絡安全預警平臺部署完成后網絡拓撲結構將如圖1所示。

圖1 五凌電力工控網絡安全預警平臺部署圖

4 工控網絡安全預警平臺的主要功能

工控網絡安全預警平臺按照“設備自身感知、監測就地采集、平臺統一監視分析”的原則，充分利用大數據、基于機器學習和分析模型插裝等技術，實現網絡空間安全態勢的綜合分析，同時輔以外部威脅情報輸入增強系統分析能力的準確性和時效性，構建感知、采集、管控三層架構的網絡安全管理系統技術體系，具備以下功能。

（1）資產測繪

平臺具備網絡空間資產測繪的功能，網絡空間上資產的探測既可以技術手段進行主動測繪，也能通過主動采集錄入等方式進行資產識別，通過全方位資產測繪手段，可有效覆蓋管理和時間上的盲區，拓寬納管的資產范圍，完善資產屬性管理等。

（2）脆弱性檢測

平臺具備檢測資產脆弱性的功能。為了了解網絡中主機和網絡設備的安全脆弱性狀況，在平臺的脆弱性管理模塊，實現對重要主機、網絡設備、安全設備等全資產漏洞信息的收集和管理。支持主動整合市場主流的漏掃系統，可直接添加漏掃引擎，調度掃描任務并反饋資產漏洞掃描結果，提前獲悉網絡中資產和業務中存在的安全漏洞，提前采取補救措施。平臺通過漏掃系統內置的配置核查引擎，驅動資產配置項的檢查，可配置等保合規檢查基線，實現資產配置合規的摸底和統計分析，從而將資產的脆弱性從漏洞和配置兩方面進行了全面檢測，實現資產脆弱性的管理和追蹤。

（3）流量監測

平臺具備實時監測網絡數據流量的功能，通過搭載大數據高性能流量采集技術，采用主被動方式采集或接收流數據，進行數據處理、分析與存儲，支持端口鏡像與被動接收兩種采集方式，通過流量訪問行為數據的解析，更加全面的安全分析，抓取威脅訪問行為，實現網絡中各個資產之間數據流的審計分析。平臺同時支持流量基線自學習、檢測群組的設置、檢測閾值自學習，當訪問流量與學習到的基線模型存在偏差，則對偏離基線的資產進行預警等。

（4）外部威脅情報

平臺具備接入外部威脅情報的功能，能夠采集互聯網開源情報及第三方商業情報，同時內部威脅可轉為情報，綜合為情報庫。利用開源以及威脅情報提供商的威脅情報庫，當事件流與情報庫進行關聯交互碰撞時，事件能和全網及系統內部的所有威脅情報進行比對，實現更準確的分析以及預警安全事件。同時平臺能對資產進行重要性賦值，為不同重要級別的資產提供對應的情報收集策略和關注度。

（5）可視化展示

平臺具備大屏態勢展示功能，具體可以分為整體態勢呈現、各電廠態勢呈現、專題態勢呈現（如外聯態勢、入侵態勢、運維安全態勢、主機安全態勢等維度），并且針對護網、重大會議等重保時期，可以設計專門的模塊進行監測，對重點關注對象進行集中監控。

同時平臺應配備視頻圖像的輸出接口，能夠將態勢展示大屏界面接入位于集控中心四樓的綜合展示大屏系統進行展示。展示效果如圖2、圖3所示。

圖2 整體態勢呈現

圖3 資產運行狀態呈現

（6）運維管理

平臺具備日常設備運維工作的自動化管理功能。平臺既可以制定周期性任務工單，也能夠根據安全事件或告警生成臨時工單，通過下發工單的方式實現對日常運維任務的指派。各級單位運維人員，根據自身的權限，在工作臺進行全網統一的事件處置工作。實現多級用戶的安全事件流轉管理，包括創建、上報、下發、核查、審核和辦結等一系列操作。系統按照安全事件的所屬單位將發現的安全事件自動推送到對應負責人，搭配高效的信息化運維考核機制，實現對安全事件的精準感知和敏捷行動。

（7）報表功能

平臺具備自動生成報表功能，通過內置豐富的報表模板，包括統計報表、明細報表、綜合審計報告，運維人員可以根據需要生成不同的報表。系統能夠定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導出，支持打印，能對公司各電廠間，及電廠內部不同系統之間的安全運行狀況實現大數據對比統計。同時平臺還具備報表編輯功能，可以根據業務需求自行設計報表，包括報表的頁面版式、統計內容、顯示風格等。

（8）專家知識庫

平臺具備提供專家知識庫管理功能，既包含常規運維信息，如安全知識庫、培訓和人員考核等；也提供專業安全數據，如強大的漏洞庫、事件特征庫、補丁庫、安全配置知識庫和應急響應知識庫等。并且知識庫內資源能夠與平臺的告警功能聯動，當觸發告警信息后，能夠根據發生的安全事件自動提取知識庫中的風險分析、解決方案等知識，在告警界面同步提供，實現必要的輔助分析功能，方便運維人員進行風險分析和管控。

5 結語

本文針對五凌集控中心及下屬電廠電力監控系統安全存在的問題，設計一套工控網絡安全預警平臺，通過采集匯總各安全防護設備的數據，輔以大數據分析，建立生產控制大區威脅可知、管控可視、應急可控的安全運維機制，全天候、全方位監測網絡安全狀態，全面分析展示網絡及信息資產安全情況，實現電力監控系統網絡安全的閉環管理，全面提高五凌集控中心及直管電廠電力系統電力監控系統網絡安全防護的整體水平。