態(tài)勢感知技術(shù)在智能煉化廠工控安全方面的應(yīng)用

王 飛，張 川，付 強

（長慶石化，陜西 咸陽 712000）

0 引言

隨著工業(yè)互聯(lián)網(wǎng)日新月異的發(fā)展，在給人們的生產(chǎn)生活帶來了巨大變化的同時，其開放性、隱蔽性、跨地域性等特性，也使得網(wǎng)絡(luò)空間存在巨大的安全隱患。與此同時，工業(yè)控制網(wǎng)絡(luò)安全成為無法躲避和回避的新的工業(yè)命題和國家安全命題。網(wǎng)絡(luò)安全已上升到國家戰(zhàn)略層面，沒有網(wǎng)絡(luò)安全就沒有國家安全[1]。

圖1 企業(yè)面臨的工控安全挑戰(zhàn)與態(tài)勢感知技術(shù)思路Fig.1 Industrial control security challenges and situation awareness technology thoughts

針對全球、國內(nèi)不斷發(fā)生的工控安全的重大事件，外部環(huán)境持續(xù)惡化，威脅著國家基礎(chǔ)設(shè)施。最近幾年，從國家、工信部、能源局、監(jiān)管部門相繼出臺了《工業(yè)控制系統(tǒng)信息安全防護指南》《網(wǎng)絡(luò)安全法》《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》[2]《等保2.0》等相關(guān)法律法規(guī)，對工控網(wǎng)絡(luò)安全防護及態(tài)勢感知做出了具體明確要求與行動計劃。

通過態(tài)勢感知技術(shù)實現(xiàn)安全風(fēng)險實時感知、威脅精準(zhǔn)研判，強化國家關(guān)鍵信息基礎(chǔ)設(shè)施保護，提升行業(yè)網(wǎng)絡(luò)安全整體防護水平。

1 石化行業(yè)工控網(wǎng)絡(luò)安全問題與需求

隨著煉化廠智能化、自動化、可視化的深化推進，在工控網(wǎng)絡(luò)的安全規(guī)劃、邊界防護、主體安全、安全管理等方面都存在著問題。同時，單點部署的工業(yè)安全設(shè)備如防火墻、入侵防護已不能適應(yīng)新的網(wǎng)絡(luò)安全形勢的需求[3,4]：

1） 安全防護與感知缺失

包括：邊界防護薄弱、審計能力不足、主機防護手段缺失、合規(guī)檢查感知能力欠缺、核心設(shè)備與資產(chǎn)風(fēng)險不能感知，網(wǎng)絡(luò)流量威脅感知缺失等問題。

2） 安全分析與協(xié)同缺失

包括：針對不同安全設(shè)備發(fā)現(xiàn)的安全事件、告警信息不能第一時間感知與處置。

成千上萬的告警事件人為處置效率低下，無法做到只預(yù)警需要人為關(guān)注事件。

不能對工控資產(chǎn)了如指掌，無法隨時了解資產(chǎn)存在的安全漏洞與風(fēng)險評估。

安全設(shè)備的運行狀態(tài)、運行效果監(jiān)管不足。

缺乏大數(shù)據(jù)、人工智能的分析手段，無法進一步實時有效地發(fā)現(xiàn)、預(yù)測威脅，保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全。

針對多廠商的安全設(shè)備與信息，缺乏安全運營感知的業(yè)務(wù)與技術(shù)規(guī)范，用以指導(dǎo)工業(yè)網(wǎng)絡(luò)設(shè)備的持續(xù)接入監(jiān)測。

3） 安全管理與運營缺失

多為被動響應(yīng)型組織，沒有專業(yè)的安全運營組織，培訓(xùn)制度不健全、安全經(jīng)費不足、處置能力不足等。

因此，統(tǒng)一規(guī)劃、統(tǒng)一建設(shè)工控安全態(tài)勢感知平臺，實現(xiàn)工控資產(chǎn)的統(tǒng)一采集、管控，進行資產(chǎn)風(fēng)險分析以及工控安全的實時監(jiān)測感知能力勢在必行。

2 態(tài)勢感知平臺建設(shè)思路

基于AI、大數(shù)據(jù)、云計算以及安全模型建設(shè)一個集團、企業(yè)級、實時的、預(yù)測性的安全體系，通過數(shù)據(jù)采集器實時集成分析洞察感知威脅，基于多元異構(gòu)的海量數(shù)據(jù)挖掘溯源威脅，通過風(fēng)險評估與應(yīng)急處置，構(gòu)建風(fēng)險管理與安全運營的全業(yè)務(wù)體系。

通過平臺的應(yīng)用打造石化行業(yè)旗艦，引領(lǐng)能源行業(yè)創(chuàng)新。

1）落實政策 依法合規(guī)，響應(yīng)黨中央決策部署，落實國家政策。

2）摸清家底 認(rèn)清風(fēng)險，加強集中管控，摸清工控資產(chǎn)，查找安全漏洞，排查安全隱患與風(fēng)險。

3）提升能力 加強防護，實現(xiàn)工控安全風(fēng)險實時感知、威脅精準(zhǔn)研判。

4）多級聯(lián)動 應(yīng)急處置，實現(xiàn)與集團、監(jiān)管部門的對接、情報共享，加強外部與內(nèi)部多級聯(lián)防聯(lián)動，提升應(yīng)急響應(yīng)與處置能力。

5）制定標(biāo)準(zhǔn) 樹立典范，制定態(tài)勢感知平臺業(yè)務(wù)與技術(shù)規(guī)范，樹立行業(yè)典范。

3 平臺體系架構(gòu)與功能

3.1 框架設(shè)計

平臺整體框架充分考慮擴展性以及作為示范項目的推廣性，態(tài)勢感知技術(shù)的應(yīng)用不僅能滿足一個智能煉化廠的安全監(jiān)測、橫向擴展，還可以滿足集團二級公司的監(jiān)測需要，以及滿足于集團層面的上通下達，實現(xiàn)協(xié)同處置、情報共享。

廠區(qū)部署日志采集器、流量采集器，平臺進行數(shù)據(jù)匯總分析、實時監(jiān)測、監(jiān)控管理與決策；平臺提供接口規(guī)范，實現(xiàn)與集團進行數(shù)據(jù)同步。

態(tài)勢感知整個應(yīng)用層次由下到上分為基礎(chǔ)架構(gòu)層、數(shù)據(jù)采集層、數(shù)據(jù)處理層和功能應(yīng)用層。

基礎(chǔ)架構(gòu)層：該層主要由基礎(chǔ)IT 設(shè)備構(gòu)成，為便于計算資源的集約化利用，在其之上構(gòu)建虛擬化服務(wù)。

數(shù)據(jù)集采集層：態(tài)勢感知實施的重點，數(shù)據(jù)的采集的方式主要使用日志采集器、流量采集器兩種采集設(shè)備。其中，日志采集器主要采集服務(wù)器、主機、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等產(chǎn)生的操作日志、告警事件、運行狀態(tài)等信息。流量采集器，則采用流量鏡像的方式，監(jiān)聽網(wǎng)絡(luò)中異常的網(wǎng)絡(luò)行為，通過邊緣AI 模型分析告警事件。

圖2 態(tài)勢感知平臺總體架構(gòu)Fig.2 Situation awareness platform architecture

圖3 態(tài)勢感知平臺邏輯架構(gòu) Fig.3 Situation awareness platform logical architecture

數(shù)據(jù)處理層：主要利用大數(shù)據(jù)采集后的存儲與分析處理，存儲結(jié)構(gòu)主要由傳統(tǒng)的關(guān)系型數(shù)據(jù)庫+大數(shù)據(jù)分布式NoSQL 共同構(gòu)建。一般標(biāo)準(zhǔn)化、格式規(guī)范的基礎(chǔ)數(shù)據(jù)歸入關(guān)系型數(shù)據(jù)庫存放，如漏洞信息、設(shè)備資產(chǎn)數(shù)據(jù)等。大量的主機日志信息和原始告警事件則由大數(shù)據(jù)NoSQL 結(jié)構(gòu)進行保存（保存時做日志格式歸一化處理）。處理后的數(shù)據(jù)再交由內(nèi)部關(guān)聯(lián)分析引擎層，通過匹配關(guān)聯(lián)規(guī)則，對原始行為、原始事件觸發(fā)生成新的威脅事件，并通過風(fēng)險級別高低進行告警。

業(yè)務(wù)應(yīng)用層：該層主要為安全運營人員進行安全分析提供應(yīng)用功能，態(tài)勢可視化以當(dāng)前廠區(qū)、機柜維度查看本站采集數(shù)據(jù)構(gòu)成的綜合風(fēng)險態(tài)勢、主機資產(chǎn)態(tài)勢、弱點漏洞態(tài)勢、網(wǎng)絡(luò)威脅態(tài)勢、事件處置態(tài)勢。廠站態(tài)勢管理主要是對態(tài)勢數(shù)據(jù)的管理，功能包括基本的事件查詢、事件處置、資產(chǎn)管理、日志檢索、系統(tǒng)管理以及規(guī)則配置管理等，廠區(qū)以全局視角感知總體的風(fēng)險態(tài)勢與工控安全業(yè)務(wù)的運營情況。

圖4 態(tài)勢感知技術(shù)大數(shù)據(jù)業(yè)務(wù)模型Fig.4 Situation awareness technology big data business model

圖5 態(tài)勢感知部署設(shè)計圖Fig.5 Situation awareness deployment design

3.2 態(tài)勢感知大數(shù)據(jù)業(yè)務(wù)模型

平臺的業(yè)務(wù)模型總體包括：多元數(shù)據(jù)采集、風(fēng)險管理與運營管理。數(shù)據(jù)采集是各種安全、網(wǎng)絡(luò)、主機等設(shè)備的實時數(shù)據(jù)以及工具箱、情報等離線數(shù)據(jù)。數(shù)據(jù)采集分析采用邊緣與平臺結(jié)合的方式，在邊緣設(shè)備采集器內(nèi)嵌AI 模型進行實時分析與異常檢測，針對可疑流量及相關(guān)事件，在平臺側(cè)進行數(shù)據(jù)挖掘、關(guān)聯(lián)分析，包括安全基線、精簡聚合、圖分析、攻擊鏈分析等。基于資產(chǎn)、漏洞、事件進行工控安全的定量評估，實時計算風(fēng)險指數(shù)。根據(jù)事件級別等智能推送告警，同時自動生成安全運營的多級分析報告。

基于大數(shù)據(jù)的挖掘分析包括統(tǒng)計、關(guān)聯(lián)與AI 建模。包括：智能聚合、智能規(guī)則報警、復(fù)雜事件處理CEP 分析、事件關(guān)聯(lián)分析、邏輯回歸、決策樹、SVM、聚類算法、遷移學(xué)習(xí)算法、特征庫匹配等。

3.3 石化工控網(wǎng)絡(luò)的集成部署設(shè)計

基于整體框架以及工控安全防護設(shè)計，態(tài)勢感知的應(yīng)用部署架構(gòu)如圖5 所示。

1）安全防護部署了不同廠商的安全產(chǎn)品，工業(yè)審計部署于不同交換機進行工控流量的入侵事件；工業(yè)防火墻進行邊界隔離；工控衛(wèi)士進行主機的防護與數(shù)據(jù)的采集與合規(guī)基線分析；IDS 進行入侵監(jiān)測；工控漏掃與工具箱進行定期的合規(guī)檢查分析。

2）針對安全設(shè)備、主機、交換機數(shù)據(jù)的采集部署流量采集器與日志采集器，實時進行邊緣分析與數(shù)據(jù)采集。

3）針對漏掃、等保工具箱數(shù)據(jù)通過離線方式采集接入。

4）態(tài)勢感知從數(shù)據(jù)采集到安全運營以及可視化展現(xiàn)，通過機柜的概念，模擬不同分子廠區(qū)獨立的運營。

3.4 平臺功能設(shè)計

業(yè)務(wù)功能包括：

1）數(shù)據(jù)采集

采集范圍包括：工控系統(tǒng)，及涉及的主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫設(shè)備。

圖6 態(tài)勢感知平臺功能設(shè)計Fig.6 Situation awareness platform function design

采集手段主要通過主機探針、日志采集器、流量采集器。

采集內(nèi)容工控系統(tǒng)與資產(chǎn)信息；監(jiān)測對象的用戶登錄、運行狀態(tài)、移動存儲設(shè)備接入、異常網(wǎng)絡(luò)訪問等告警事件；高危操作命令監(jiān)測，如kill、init 等操作日志。CPU、內(nèi)存性能指標(biāo)；基線核查；漏掃數(shù)據(jù)；工控網(wǎng)絡(luò)流量。

2）工控安全合規(guī)檢查分析

基于離線檢查數(shù)據(jù)以及工控安全指標(biāo)體系，建設(shè)工控安全合規(guī)分析，通過多維分析摸清家底，認(rèn)清風(fēng)險，找出漏洞，通報整改。

3）工控威脅事件監(jiān)測感知

基于多源數(shù)據(jù)構(gòu)建安全模型進行監(jiān)測分析，實時監(jiān)測工控系統(tǒng)安全事件，基于事件的融合分析減少誤報漏報，實現(xiàn)安全事件精簡聚合。

4）工控安全風(fēng)險評估

針對工控網(wǎng)絡(luò)安全威脅和預(yù)警的綜合性指數(shù)，包括廠區(qū)、機柜、系統(tǒng)、設(shè)備的安全指數(shù)，為各級領(lǐng)導(dǎo)提供工控系統(tǒng)總體的安全定量評估與決策。通過工控資產(chǎn)、脆弱性、威脅以及行業(yè)特性，定量評估分為低危、中危、高危、危急4 個等級。安全指數(shù)為實時動態(tài)評估指標(biāo)：通過大數(shù)據(jù)的分布框架實時計算。

5）工控安全威脅分析與溯源

基于統(tǒng)計分析、IP 關(guān)聯(lián)分析、攻擊鏈分析回溯事件的發(fā)展過程和相關(guān)影響。

6）工控安全資產(chǎn)與漏洞分析

工控資產(chǎn)發(fā)現(xiàn)與拓?fù)涔芾恚再Y產(chǎn)為中心的安全事件、脆弱性分析統(tǒng)計與關(guān)聯(lián)分析。

7）工控安全事件預(yù)警通報與應(yīng)急處置

制定適合煉化企業(yè)的預(yù)警與處置流程，進行日常防護通知、危急事件通報、危急事件協(xié)同處置、處置事件歸檔記錄，并自動生成各級運營報告。

8）工控安全態(tài)勢可視化

針對不同維度的安全態(tài)勢可視感知，包括風(fēng)險態(tài)勢、威脅態(tài)勢、資產(chǎn)態(tài)勢、弱點態(tài)勢、合規(guī)態(tài)勢、應(yīng)急態(tài)勢。

3.5 技術(shù)規(guī)范

針對不同廠商的各種設(shè)備的數(shù)據(jù)集成，目前態(tài)勢感知還沒有統(tǒng)一標(biāo)準(zhǔn)。因此，結(jié)合智能煉化的行業(yè)特點，制定態(tài)勢感知技術(shù)規(guī)范，內(nèi)容包括總體技術(shù)框架、數(shù)據(jù)采集規(guī)范、平臺接口規(guī)范、日志采集技術(shù)規(guī)范、工控流量采集技術(shù)規(guī)范等內(nèi)容。

4 關(guān)鍵技術(shù)與最佳實踐

1）邊緣分析采集

由于工控網(wǎng)絡(luò)的傳輸帶寬壓力及邊界隔離交換數(shù)據(jù)的限制，態(tài)勢感知采用了邊緣智能分析的架構(gòu)與功能，包括初步分析聚合與流量的邊緣檢測，通過前置安全AI 分析模型進行邊緣分析，僅上傳與事件相關(guān)的部分流量。

2）基于主機探針多指標(biāo)感知

通過主機探針監(jiān)測采集各種安全指標(biāo)數(shù)據(jù)，包括主機、服務(wù)器、數(shù)據(jù)庫的關(guān)鍵操作日志、高危命令、各種告警與違規(guī)事件，實時監(jiān)測工控安全風(fēng)險。

3）多源異構(gòu)數(shù)據(jù)接入

通過日志采集器進行數(shù)據(jù)的歸一化處理、分析聚合，形成多源異構(gòu)數(shù)據(jù)的安全數(shù)據(jù)描述和交換格式標(biāo)準(zhǔn)，實現(xiàn)無縫對接各種設(shè)備數(shù)據(jù)的接入。

4）云端使用AI 分析安全大數(shù)據(jù)

平臺基于虛擬化、大數(shù)據(jù)集群部署，通過機器學(xué)習(xí)模型進行安全數(shù)據(jù)建模分析。針對輸入的多源日志、流量進行實時分析、關(guān)聯(lián)分析，進行事件的聚合、精簡、挖掘，對事件進行漏洞、資產(chǎn)關(guān)聯(lián)分析。

5）資產(chǎn)準(zhǔn)確盤點

資產(chǎn)在安全監(jiān)測與評估中是核心要素，資產(chǎn)的準(zhǔn)確性至關(guān)重要。由于歷史原因，工控資產(chǎn)不清晰，通過工控系統(tǒng)、工控資產(chǎn)、核心控制、廠商及詳細(xì)的型號的選擇錄入，而非自由填寫，能夠準(zhǔn)確盤點廠區(qū)的工控資產(chǎn)，快速摸清家底、理清風(fēng)險、找出漏洞、有效整改。

6）工控安全運營組織建設(shè)與運營流程

平臺的建設(shè)與管理是一個系統(tǒng)工程，不僅僅是建設(shè)一個軟件平臺，它是運營的思路，而非運維管理。包括“安全數(shù)字化部隊”組織建設(shè)，平臺安全內(nèi)容建設(shè)管理、主動防御、應(yīng)急處置、通報預(yù)警、安全評估、安全指數(shù)、安全效果、評價改進、平臺運維等，可以與煉化產(chǎn)業(yè)相結(jié)合，發(fā)布煉化經(jīng)濟安全評估指數(shù)。

5 結(jié)束語

態(tài)勢感知技術(shù)在智能煉化廠的成功應(yīng)用，可以作為示范工程總結(jié)推廣：

1）平臺基于大數(shù)據(jù)、AI 的技術(shù)框架構(gòu)建了態(tài)勢感知的安全業(yè)務(wù)模型。

2）智能煉化廠多層安全設(shè)備部署與態(tài)勢感知平臺的AI 賦能與協(xié)同防護。

3）不同廠商的安全數(shù)據(jù)的快速集成與技術(shù)標(biāo)準(zhǔn)形成，兼容能源行業(yè)與監(jiān)管部門的數(shù)據(jù)采集規(guī)范要求。

4）態(tài)勢感知從數(shù)據(jù)采集到安全運營以及可視化展現(xiàn)通過機柜的概念，模擬不同分子廠區(qū)獨立的運營，便于行業(yè)推廣。

5）建立工控安全管理運營體系，實現(xiàn)了實時監(jiān)測感知各廠區(qū)機柜的工控安全運營狀況與實時定量安全指數(shù)評估，實現(xiàn)工控安全的態(tài)勢可視指揮與廠區(qū)的安全運營。

6）通過資產(chǎn)分析摸清家底、認(rèn)清風(fēng)險、針對安全風(fēng)險及時整改處置。

7）通過一個屏滿足決策、管理、運營的要求。通過大屏監(jiān)控，實時告警，包括攻擊工程可視化、資產(chǎn)安全狀態(tài)可視化、主機風(fēng)險可視化、工控資產(chǎn)可視化，通過安全可視化，將系統(tǒng)風(fēng)險全狀況盡收眼底。

8）建立了平臺的業(yè)務(wù)與技術(shù)規(guī)范標(biāo)準(zhǔn)，執(zhí)導(dǎo)行業(yè)板塊體系建設(shè)。