泵站工控網絡安全集中管控平臺的研究及應用

孫迎松，王 兵，郝海濤，張 琪，尹曉東

（山東省調水工程運行維護中心，山東 濟南 250100）

1 引言

隨著信息化技術的發展與廣泛應用，工業化與信息化的高度融合，泵站工業生產控制系統在生產工作中發揮的作用越來越重要。近些年工控網絡安全事件頻發，工控系統在為生產帶來極大推動作用的同時，也暴露出了本身存在的嚴重的網絡安全問題，并且嚴重威脅到工控系統的安全穩定運行。因此確保泵站工控網絡安全，已經成為當前保障泵站生產工作順利開展的當務之急。為提高信息安全保障能力和水平，維護國家安全和社會穩定發展，國家制定了信息安全等級保護管理規范和技術標準。信息安全等級保護2.0要求建立安全技術體系和安全管理體系，在注重技術體系建設的同時，加強安全管理體系的建設。依據國家等保2.0安全管理體系建設基本要求，采用集中管控技術，建立泵站網絡安全全新管理機制，實現動態防御、主動防御，數據共享，精準防護和縱深防御；通過集中管控平臺，實現泵站網絡安全體系化管理，整體防護、聯防聯控。采用安全管理應用體系化、安全運維數字化的管理模式，將被動防御向主動防御方式轉變，實現泵站工控網絡整體安全防護，為泵站安全生產保駕護航。

2 集中管控平臺

集中管控平臺采用集中管控技術，結合工控網絡安全防護技術，通過構建泵站工控網絡集中管控技術體系、數字化安全運維管理體系、工控網絡安全防護體系、一站式服務體系，對泵站工控系統資產、業務應用、制度流程、運維人員等進行全面統一管理，實現系統運行、安全防護、管理過程、服務過程的集中管控。通過技術、管理、服務的深度融合，建立多維度關聯關系與協同聯動機制，數據共享、統一運營策略，實現泵站工控網絡安全數字化集中管控的安全管理體系。

2.1 集中管控平臺技術架構

集中管控平臺架構自下而上由6個層面組成，分別為部署保障層、采集層、存儲層、計算層、業務層、展現層。集中管控平臺技術架構如圖1所示。

圖1 集中管控平臺技術架構

（1）部署保障層。基于DevOps設計思想，實現自動化部署、升級和可視化組件狀態運維管理。采用自動化的調度和負載分擔的機制，對匹配調度和負載分擔策略邏輯的應用進行自動化操作，確保應用的高可用性和高穩定性。采用Docker容器技術，基于Linux內核的Cgroup、Namespace以及AUFS類的UnionFS等技術，對進程進行封裝隔離。采用Kubernetes容器集群管理，為容器化的應用提供資源調度、部署運行、服務發現、擴容縮容等支撐。

（2）采集層。實現從各類設備、系統等采集數據，如性能、狀態、配置、日志、告警信息等，采用主動采集與被動采集兩種采集模式，采用分布式架構，支持負載均衡與高可用。

（3）存儲層。采用關系數據庫、內存數據庫、列式數據庫、時序數據庫，以及分布式文件系統等多種類型存儲混搭，實現數據分層、分類存儲，高效支撐數據的實時查詢及歷史數據快速檢索等。存儲子系統在架構上采用數據和業務分離，實現數據獨立管理，為數據管理和內容安全提供重要保障。

（4）計算層。混合多種計算框架，支撐業務自由選擇合適的框架開展計算。

（5）業務層。基于存儲層和計算層數據，具有配置管理、資產監控、告警管理、關聯分析、態勢感知、風險預測、運營分析處理等功能，可根據業務需求靈活組合搭建。

（6）展現層。采用AngularJS、ElementUI、BootStrap、Echarts、Vue.JS、HTML5等多種技術，融合數據、流程，實現統一門戶展現，在提高內部與外部系統的操作效率情況下，提供一致的交互體驗，并可以靈活配置和定制，滿足統一展示門戶對各類數據的可視化需求。

2.2 集中管控平臺功能

通過對泵站工控網絡中各類信息資源安全域的劃分，以及海量異構網絡與安全事件的采集、處理和分析，建立一套可度量的風險模型，使各級管理人員能夠實現資產運行監控、事件分析與審計、風險評估與度量、預警與響應、安全態勢分析等，并借助標準化的流程管理實現持續的安全運營。通過對業務架構的整合，建立集中管控、實時監測、快速處置、持續預防的運營管理閉環。通過全面的數據采集與監測、多維度的關聯與智能分析，把孤立的管理行為建立成聯動機制，實現數據驅動的精細化運營管理。

（1）數字化集中管理、可視化運行呈現。基于CMDB建立所有資產、資源、業務應用的統一管理；建立運行管理體系、管理制度與流程，配置管理策略；統一展示運行總體狀況與詳情，掌握實時運行動態。

（2）實時監測告警、大數據多維度智能分析。建立實時運行監測，統一運行數據采集、匯聚和關聯；多維度的大數據智能分析，全面發現異常事件和精準趨勢預測；準確的異常行為分析、定位、溯源，多種途徑的告警和預警。

（3）一站式快速響應、協同化事件處置。建立統一服務管理，基于工單制度建立處置、服務跟蹤和協同；建立服務目錄，靈活定義管理與服務流程，實現智能化響應處置；建立統一入口，在線管理操作，實現統一授權、審計與自動歸檔。

（4）持續運營管理、數據歸檔與運行分析。建立日常安全管理、運維管理機制，開展檢查和預防，優化配置策略；實現集中審計管理，建立系統配置、運行管理、服務管理的數據檔案；運行數據挖掘分析，建立報表與分析報告，提供建議與決策依據。

（5）運營管理體系、制度機構流程建設管理。實現安全管理體系建設，包括：管理制度、管理機構、管理人員、建設管理、運維管理等安全體系，將技術和管理相結合，保障統一運營管理。

3 數字化運營管理

通過建立統一管理、統一監控、統一審計、綜合分析、協同處置、持續安全運維的數字化管理體系，構建統一運營管理中心，開展多維度關聯分析、數據共享、協同聯動。通過任務與事件雙重驅動，推動技術與管理的數字化運營管理體系建設，保障管理策略執行與管理安全，進一步促進網絡安全智慧運營管理。數字化運營管理中心架構如圖2所示。

圖2 數字化運營管理中心架構

3.1 建設數字化技術體系，構建運營管理中心

（1）統一管理：實現系統資產、業務應用、安全防護與運維管理系統的統一管理，建立拓撲關聯關系、數據共享、資產檔案，構建基礎運營數據。

（2）統一監控：建立日志、性能狀態、事件告警等數據采集匯聚，建立多維度綜合關聯分析、實時告警，實現多種靈活的告警方式。

（3）協同處置：基于流程和編排建立工單與流程管理，可視化任務跟蹤，規范化處置流程，快速異常定位與在線協同處置，實現泵站工控資產設備遠程運維管理。

（4）統一審計：建立審計信息匯聚，平臺應用管理審計，實現審計監測分析。

（5）綜合分析：建立大數據平臺、實時/離線分析引擎，實現多維度綜合關聯分析。

（6）統一認證鑒權：建立系統、安全、審計等角色人員的統一認證與授權管理。

3.2 建設數字化管理體系，實現技管融合

（1）采用高度自定義的流程化方式建立數字化管理體系，包括：管理制度、管理機構、管理人員、建設管理等，建立運營管理策略，明確分工責任到人。

（2）建立管理目錄，定義編排相關運營管理工作，明確每項工作的時間、對象、工作流程、規范等標準要求。

（3）建立任務管理機制，自動線上任務工單派發，驅動工作任務開展，從人為驅動的粗放式管理轉為系統驅動的精細化運營管理，保障管理工作落地執行。

（4）建立統一管理與服務入口，建立全面的操作審計、授權、監控、風險阻斷等安全可靠的保障機制，實現工作過程可視可控可追溯。建立管理與服務數據自動存檔,實現可視化跟蹤，保障管理與服務安全。

（5）融合管理體系與技術體系，建立多維度關聯關系，系統流程驅動運營管理，保障管理策略落地執行。

（6）實現全流程數字化管理、運營管理數據閉環流轉。實現管理可視、可控、可追溯，保障管理安全。

（7）數據驅動精細化運營管理，挖掘分析數據價值特征,準確、智能優化策略配置，基于機器學習、知識圖譜推動智能編排，促進智能應用與管理。

4 應用價值

工控網絡安全集中管控平臺創新性的將集中管控技術和泵站工控網絡安全防護技術相結合，基于數字化運維安全管理，開創整合管理體系與安全防護技術體系安全管理機制，在安全性、創新性、推廣性等方面具有實用價值。

（1）安全性

通過安全風險可控與管理可控機制，使運維人員、管理人員能及時預知、發現、掌控泵站工控網絡中存在的各類安全風險，有效支撐風險預警與處置工作。在確保將泵站工控網絡全面納入安全防護情況下，排除安全事件干擾，提高泵站生產系統安全運行的穩定性和可靠性。能夠實現病毒、木馬等惡意程序的免疫，有效防范內或外部人員攻擊、軟件后門利用等多種威脅，避免重大安全事故和工控系統安全事件帶來的經濟損失，顯著加強泵站工控系統在國際網絡戰環境下防范新型攻擊的能力，進而有效保障泵站生產經營活動的穩定開展。

（2）創新性

創新的集中管控技術與泵站工控網絡安全防護技術的綜合應用，促進泵站工控網絡安全防護體系更具實用價值。基于泵站工控網絡的業務應用特性，結合系統組網的結構、業務訪問流程與內容，借助集中管控與工控系統安全防護新技術、新理念，研究使用工業協議的識別與深度解析、基于行為的白名單機制、基于人工智能學習的行為識別與策略自動生成等先進成熟的技術與工控網絡的防護理念，構建泵站新型工控系統安全防護體系，實現泵站工控網絡中病毒、入侵、違規操作等安全風險的準確發現與精準控制，有效保障泵站工控網絡運行安全。

（3）推廣性

集成集中管控與工控網絡安全防護手段，構建泵站工控網絡新一代主動防御體系，提高泵站工控網絡整體安全防護能力。將為泵站工控網絡安全防護體系建設開創行之有效的新型管理與防護模式。借助工業控制協議的深度解析與人工智能學習技術的應用，以全面的工業漏洞庫為支撐，使安全防護產品更具有基于行為的主動防御能力，安全防護體系更加貼近工控網絡環境應用，安全防護更加準確。在保證穩定性要求的同時，效率與使用價值更高，具有較強的推廣應用價值，適合在其它水利水電等工控系統中進行推廣應用。

5 結束語

采用集中管控技術與泵站工控網絡安全防護技術，基于數字化安全運維管理，建立的全新泵站工控網絡安全防護模式，通過集中管控與安全防護一體化的方式，從分散管理的產品堆疊，到一體化集中管控；從各自運行的數據孤島，到全面采集匯聚、數據關聯與綜合利用，實現泵站工控網絡一體化安全建設與管理，極大節約建設成本與管理成本，切實做到管理的可落地執行，顯著提高泵站工控網絡安全防護效果。在提升工控網絡整體管理水平和防護能力的同時，保障泵站生產控制系統的穩定運行，有效支撐泵站生產經營工作的順利開展。