大型能源企業工控安全態勢感知平臺建設方案

摘要：在全球能源工業加速數字化轉型與網絡安全挑戰加劇的雙重背景下，能源工控系統面臨的網絡安全威脅日益增多，網絡攻擊手段日益復雜。介紹了某電力集團公司工業控制系統網絡環境的現狀和存在的問題，對工業控制系統資產信息采集與網絡安全態勢感知平臺建設進行了總體設計和規劃，并從建設思路、技術可行性分析、效益分析、風險分析等方面對方案進行了詳細闡述。

關鍵詞：電力工業控制系統；工控安全；態勢感知平臺；網絡安全

一、前言

隨著2010年“震網病毒”在伊朗核電站生產網絡中的暴發，工控安全事件才正式進入人們的視線。隨著工業互聯網的發展，近些年來工控安全事件頻發，網絡攻擊手段層出不窮[1]。工控網絡中存在大量的工控設備，涉及制造業、水利、核電站、軌道交通、電網、能源等眾多行業，因此，亟須統一規劃、統一建設網絡安全態勢感知平臺，來實現工控資產的統一采集、資產的風險分析以及網絡安全的實時監測感知能力的提升。從而增強網絡安全防護能力、提升全網應急處置能力等。

二、背景

（一）項目背景

2019年1月18日，國務院國資委組織召開了國家智慧能源信息平臺專項推進會，展示了態勢感知平臺在能源行業中的統計、分析、展示、預警、感知作用。為了加快智慧能源信息平臺的推進工作，落實國家能源智慧化、能源互聯網、兩化融合的發展戰略，保障我國能源行業工業網絡的安全及能源生產業務的持續穩定運行，對各能源集團下屬電廠進行工業控制系統信息安全情況進行調研。

2019年2月22日，國資委召開會議，要求各能源集團選擇本集團內10家企業，包含風電、水電、光伏、火電等進行廠側工控安全態勢感知的數據采集、集成與分析，并實現工控系統資產數據、安全事件與國資委平臺的數據同步。

（二）現狀研究

為全面評估電力監控系統安全防護的綜合效能與整體水平，通過綜合實地檢查、文獻查閱與專家意見收集等調研方式，對集團公司旗下各電力板塊，如火電、水電、新能源等領域進行了系統性、精細化的調研，經匯總后分析結果如下。

1.安全管理問題

（1）安全意識不足

因電力監控系統多數部署位置偏遠且結構復雜，基層工作人員普遍認為系統不會遭受網絡攻擊，導致人員在網絡安全防護方面的重視程度不夠。由于安全意識不足，可能使攻擊者利用網絡聊天、釣魚郵件等社會工程學方式獲取運維平臺的控制權限，從而控制主機、服務器。

（2）應急管理能力缺失

目前部分電廠應急響應管理制度較為淺顯，無法有針對性地制定應急預案，部分單位應急預案內容過于籠統，缺乏針對性和可操作性，無法在事件突發時提供有效的指導。

（3）防護要求落實不當

在調研過程中發現部分電廠安全分區不當，導致重要業務系統增加了暴露風險。另外發現網絡專用落實不當，未設立安全接入區，增加了網絡設備被攻擊的可能性。同時，調研中還發現部分生產單位未落實縱向加密認證，缺少相關安全傳輸及縱向認證措施。

（4）設備資產混亂

對工控區核心設備缺乏有效的管理和監控，在發生安全風險事件前，無法提前預測潛在的威脅事件，在發生安全風險事件后，也無法有效跟蹤和溯源，導致事件處置不及時，增加企業損失。

2.安全防護問題

（1）網絡邊界防護能力薄弱

內部網絡邊界防護技術單一，由于防護設備的策略配置復雜繁瑣，部分策略更新不及時，導致防護效果不理想。同時，缺乏高效的監測和響應，難以迅速發現并應對網絡攻擊。

（2）工控網絡審計能力不足

缺乏有效的工控網絡安全審計能力和技術手段，無法對工控網絡進行全面、深入的審計，導致審計結果存在偏差。

（3）合規性檢測能力欠缺

合規性檢測能力不足，部分單位未進行全面的風險評估，缺乏有效的風險措施方案，未有效落實訪問控制、身份認證、數據加密安全控制措施。

（4）生產環境主機防護缺失

部分場站主機設備防護能力不足，部分主控設備部署在野外，主控設備與核心服務器通過環網光纖實現互聯互通，一旦設備暴露在互聯網，可能導致整個工控網絡遭到入侵，甚至癱瘓，產生嚴重的工控安全事件。

三、項目建設框架

（一）建設思路

當前，集團生產業務規模龐大、資產分布范圍廣泛且業務板塊繁多，導致各部門及其子分公司難以及時了解下屬單位的網絡安全態勢，僅能依賴生產單位主動上報。為打破這一困境，將在各板塊生產單位全面部署數據代理程序與采集器，用于全面采集生產單位日志及網絡流量數據，并利用廠級分析服務器預處理數據，實現廠區服務器與集團平臺的即時數據同步。集團集中進行平臺建設，對采集數據進行實時監控與集中運營管理，促進各生產單位網絡安全狀況的協同聯動與關聯分析。

（二）建設目標

1.智能防護，協同管理

通過深入研究能源工業控制網絡的特點和需求，利用先進的人工智能、機器學習等技術，構建統一的網絡安全態勢感知平臺，實現對多業務板塊的工控網絡安全防護和協同管理。

2.落實政策，依法合規

響應黨中央決策部署，落實國家政策，滿足《中華人民共和國網絡安全法》等相關法律法規要求。

3.摸清家底，認清風險

加強集團集中管控，全面梳理集團及基層企業的關鍵信息基礎設施工控系統資產現狀，建立集團工控資產動態管理體系，排查安全隱患與風險。切實提升工控系統信息安全管理水平及防護能力，提升了集團對全局工控系統資產和信息安全風險的管理水平。

4.提升能力，加強防護

增強企業對工業控制系統網絡行為的合規性識別能力，提升集團工控系統安全檢測與預警能力。實現電力工控安全風險實時感知、威脅精準研判，強化國家關鍵信息基礎設施保護，提升集團電力工控安全整體防護水平。

5.多級聯動，應急處置

實現與國資委等監管部門態勢感知平臺的對接、情報共享，加強外部與內部多級聯防聯動，提升集團電力工控安全應急響應與處置能力[2]。

6.制定標準，樹立典范

完善集團電力工控安全管理體系，制定工業控制系統資產信息采集與安全監測平臺業務與技術規范，建立管理標準與制度體系，并為集團各產業中心提供指導。

（三）建設內容

1.資產采集

采集所有業務系統相關的資產，包括核心控制器、主機、應用軟件、交換機、安全設備等資產信息。對各個廠區工控系統進行采集，梳理I區、II區工控資產信息，如設備名、開放端口、IP地址、操作系統、會話狀態、使用協議等信息，并且建立不同資產與實體之間內網的互相訪問與會話關系，將采集的資產數據進行統一格式化和存儲，為后續資產威脅分析提供基礎數據[3]。

2.數據采集

通過在工控區部署數據代理程序采集相關設備日志及流量數據[4]。實時采集所有主機（服務器、工作站）的操作日志、登錄信息，用于實時監測主機操作違規事件。采集網絡設備（交換機）的流量數據，用于解析工業流量異常、資產信息。采集安全設備（防火墻、審計平臺等）的告警日志，用于日志聚合，精準運營。

3.威脅檢測與分析

在數據采集階段，對收集的數據做初步的威脅監測，利用軟件探針對主機設備進行基線核查，發現其弱口令、非法端口、USB插拔、非法外聯等情況，并進行鑒別及告警。通過鏡像工業交換機端口流量，對流量特征進行異常檢測及告警；再將采集的數據推送到廠區服務器后進行深度檢測，結合威脅場景進行分析，實現原始告警信息與原始數據信息的深度關聯，產生真實告警事件。

4.大數據關聯分析

對獲取的元數據樣本，經過機器學習建立正常的用戶業務訪問行為模型，將后續所有網絡流量與此模型進行比對，發現異常行為[5]，實現對每個監測點安全風險的實時監控。對傳統技術手段發送的異常行為進行人工分析，并將數據輸送至大數據平臺進行關聯分析，進一步提升模型檢測的準確度，提高平臺檢測效果。

5.合規分析

（1）合規分析內容

在工控主機安裝數據代理程序，進行安全合規指標的采集以及分析。

（2）建立合規指標體系

針對集團對電力、煤炭、化工、運輸等板塊監管要求以及等保2.0法律法規基本要求，用以評估工業控制信息系統主機的定量合規評估指標設計[6]，基于主機類型、國產化程度、重要級別、入侵防范、安全區域邊界、口令策略、賬號管理、認證授權、文件權限、系統服務等類型進行合規指標評估。

（3）合規定量評估方法

基于上述合規指標體系，制定定量的合規評估方法。每項指標進行定量評分，所有指標評分相加匯總后，得到一個工控主機的綜合評分，轉換為百分制，分數越高，主機越合規。

（4）主機合規大數據畫像分析

大數據主機畫像與評分相結合，實現對主機安全合規的可視化分析。

四、技術方案

（一）平臺架構

1.總體框架

平臺采用統一平臺、兩級部署、多角色應用的設計思路，在廠站側部署采集器及廠級分析服務系統，主要進行數據采集以及數據初步分析處理。在集團總部部署態勢感知平臺，對采集數據進行匯總分析、實時監測、監控管理與決策。集團與廠站級分析服務系統進行數據同步，同時將相關數據同步到有關部委單位，滿足上級部門對網絡安全數據的監管需求。

2.功能架構

平臺通過三層架構實現數據采集、實時分析與運營管理功能。

數據源層為廠站收集安全數據，在廠站側部署中該層為重點，項目的實施主要是圍繞該層進行采集的配置工作。

數據采集與檢測層建立在廠站信息管理大區，主要作用是將底層收集來的數據進行初步的分析與處理，分析完成后推送至集團平臺。

安全分析與運營層匯聚了下層各個廠站傳遞的數據，包括：資產、設備狀態、威脅事件、漏洞信息等，該層主要為廠站及集團人員進行安全分析提供應用功能，集團以全局視角感知總體的風險態勢與業務的運營情況。

（二）數據采集范圍

數據采集范圍主要包括生產單位廠區I、II、III區的主要工控業務系統及涉及的主機、網絡設備、安全設備、數據庫設備等數據，詳細數據內容如下。

第一，采集圍繞業務系統關聯的服務器、工作站、接口機、DCS、PLC、網絡設備、安全設備等資產數據；

第二，采集安全設備日志與事件數據，支持Syslog、SNMP、SSH、SDK等方式；

第三，采集網絡設備日志與事件數據，包括交換機、路由器等設備；

第四，采集主機設備日志與事件數據，包括服務器、工作站、接口機等；

第五，數據庫日志與事件數據，支持探針、SSH等方式采集數據；

第六，采集關鍵位置網絡流量數據，發現敏感報文與可疑文件后上傳可疑報文。

（三）技術要求

1.數據代理程序

（1）支持在獨立的服務器、工作站等主機中安裝部署；

（2）具備主機日志與事件信息采集功能；

（3）具備基線核查功能；

（4）具備同日志采集器通信功能。

2.數據采集器

（1）流量采集

①支持對服務器、工作站、網絡設備等進行網絡流量數據采集；

②網絡流量數據采集能力應采用旁路方式部署。

（2）流量分析

①支持根據采集的網絡流量數據分析異常網絡協議信息等；

②支持對工業協議深度分析。

（3）入侵監測

①支持根據報文載荷特征，分析工業網絡中存在的攻擊事件；

②支持緩沖區溢出、SQL注入、應用協議DOS攻擊、僵尸網絡、遠程執行等入侵行為監測。

（4） 流量審計

具備對采集的流量的解析報文的存儲能力。

（5） 安全告警

①應支持根據參數配置，對自身的CPU利用率、CPU溫度、內存使用率、網口流量、用戶登錄失敗、磁盤空間使用率等信息進行平臺告警上報；

②應實時對針對工業漏洞攻擊的行為進行上報。

3.廠級分析平臺

（1）基本要求

①數據采集器接入，接收數據采集器的原始日志與事件，提供不同協議接收數據；

②數據分析預處理，數據聚合分析，告警閾值分析等。支持靈活配置的規則引擎進行配置分析。支持基于機器學習的集合模型進行聚合分析；

③事件數據存儲6個月。

（2） 其他要求

①漏洞庫至少達到1000條；

②支持復雜事件（CEP）處理，事件匹配≥10000個/秒。

4.集團態勢感知平臺

（1）威脅檢測

①支持告警聚合及告警處置、支持自動篩選；

②支持告警自動處置，通過自動處置規則，實現自動處置。

（2）安全分析

支持事件關聯分析，支持事件對應資產分析，支持事件關聯ATTamp;CK的階段、技術分析。

（3）事件溯源與取證

支持對流量與日志命中的原始數據調閱取證，并支持PCAP下載。

（4）資產管理

①支持資產基礎屬性、區域屬性、負責人等屬性維護；

②支持從漏洞維度查看漏洞關聯資產情況，支持查看漏洞詳情；

③支持繪制資產拓撲圖；

④支持集團型項目繪制全局視角拓撲，查看機構間關系。

（5） 安全運營流程建立

①支持對事件進行人工判定，提供事件處置操作；

②事件支持以工單形式下發。

（6） 設備運維

①支持動態視角設備狀態監視，包含設備在線情況、性能等；

②支持設備實時故障監控，包括設備異常、服務異常、閾值異常等。

（7） 安全監視

①支持對企業、各生產單位安全風險狀況進行綜合評估及態勢展示；

②支持響應處置情況監視。

（四）部署方案

按照數據采集寬泛性、設備多樣適配性、邊緣分析智能性的原則建設工控系統網絡安全態勢感知平臺。

第一，在主機上部署探針程序，采集主機的違規事件、接受日志采集器對其命令控制。

第二，在生產控制區及管理區部署日志采集器、流量采集器采集告警事件、日志及交換機流量信息。

第三，流量采集器與日志采集器可以單獨分布部署，也可以作為數據采集器一體化部署。

第四，日志采集器進行數據的泛化處理，數據匯聚到廠級系統進行初步分析，告警事件上傳到集團平臺。

第五，廠區用戶全部基于集團平臺進行使用管理。

五、結語

通過工控安全態勢感知項目的建設，有力地保障了工業控制系統的安全性和穩定性，有助于工控安全管理標準、制度體系及相關技術規范的建立和完善。該項目的建立樹立了能源行業工控安全建設標桿，標志著集團網絡安全工作在中央企業中處于領先水平，為行業的科技進步和發展注入了新的活力。未來，工控態勢感知技術因技術日益成熟而將擁有更廣泛的推廣潛力與市場前景。

參考文獻

[1]韓鵬軍.工業控制系統信息安全風險評估機制分析[J].設備監理，2023（03）：39-41+48.

[2]王飛，張川，付強.態勢感知技術在智能煉化廠工控安全方面的應用[J].儀器儀表用戶，2020，27（01）：25-29.

[3]秦琰.基于數據融合的工業互聯網安全態勢感知系統研究[J].信息系統工程，2023（08）：16-19.

[4]樊榮.基于流量探針技術的工業企業側網絡安全態勢感知模型研究[J].新型工業化，2021，11（10）：47-49.

[5]何樞銘.基于機器學習算法的網絡安全檢測[J].水電站設計，2022，38（01）：43-45.

[6]白樺.電力資產主機安全合規大數據分析方法[J].網絡安全和信息化，2020（12）：121-124.

作者單位：國能信控技術股份有限公司

責任編輯：王穎振 鄭凱津