態勢感知技術在智慧電廠工控安全方面的應用

■ 大唐國際發電股份有限公司重慶分公司 高守

編者按：隨著工業互聯網的發展，工業控制系統在帶來便利的同時，面臨著各種安全風險。本文通過態勢感知技術、大數據AI分析模型等提升電力工控的集中管控，實現電廠工控安全風險實時感知，用戶異常行為溯源，威脅精準研判，以提升發電企業網絡安全整體防護水平。

隨著各大電廠信息化、智慧化規模的不斷提高，越來越多的新建電廠（火電、水電、風電、新能源及核電等）以流行的商業系統軟件、應用軟件為支撐，以標準協議為通訊基礎，在提升電廠安全經濟運行、智慧化決策應用帶來的優勢的同時，也存在計算機信息系統、多系統互聯等所固有的安全威脅。國外屢次發生針對電廠的網絡入侵攻擊事件，使得電廠網安領域面臨新的挑戰。

本文從電廠網絡安全保護多角度入手，在構建綜合網絡安全態勢感知標準體系，提升核電廠應對信息安全風險的能力方面，有著重要意義。

政策導向

2019年正式發布的《信息安全技術網絡安全等級保護基本要求》2.0版本，是網絡安全的一次重大升級，等級保護對象范圍在傳統系統的基礎上擴展到云計算、移動互聯、物聯網以及大數據等，對等級保護制度提出了新的要求。

等級保護2.0的安全框架中提到態勢感知，而且提出要具備對新型攻擊分析的能力，要能夠檢測對重點節點及其入侵的行為，對各類安全事件進行識別報警和分析。

2020年4月，國家發改委首次明確新型基礎設施的范圍，其中一項是以智能交通基礎設施和智慧能源基礎設施為代表的融合基礎設施。工業信息安全作為工業互聯網的基礎和保障，是國家安全的重要組成部分，它關系到國家關鍵基礎設施建設和經濟社會穩定，并且輻射范圍廣泛。因此，世界各國比以往更加重視工業信息安全，工業信息安全已經成為當前信息安全領域中最為重要的部分之一。

現狀分析

1.工控資產網絡遭受安全威脅，暴露面增加

隨著網絡經濟的發展和智能社會的快速演進，由工業控制網絡形成的安全問題日益突現并迅速放大，甚至將成為改變整個世界安全形勢和格局的重要因素。

近年來世界各國網絡安全事件頻發，電力行業遭受針對工業控制系統的網絡攻擊尤為嚴重，并造成系統崩潰，數據采集失敗，通信中斷甚至停工停產等后果。

2.缺乏電力工控網絡安全預警和應急響應流程體系

當前，我國電力工控網絡安全預警和應急響應問題長期得不到解決。過去幾十年我國建立的大量關鍵基礎設施，基本是依靠國外裝備和控制系統建立起來的。國外廠商設備普遍存在未知的漏洞，并可能存在后門，某些領域的安全漏洞已經隱藏數年，成為國家安全的重大隱患。隨著智慧互聯的進程加快，等到建成設施和系統后再針對安全進行彌補和整改，代價將非常高昂。

3.工控設備本體安全缺失

目前，工控設備普遍存在以下安全風險：

存在弱口令、漏洞以及大量開放端口等安全風險，容易被惡意代碼感染，從而形成僵尸主機；存在違規接入的風險，同時缺失運維手段；設備在戶外分散安裝，容易受到接觸而又沒有納入管理，導致物理攻擊、篡改和仿冒；設備網絡協議多種多樣，并存在大量漏洞，增加了終端感染病毒、木馬或惡意代碼入侵的渠道，增加了網絡層的安全風險。

安全目標

工控安全態勢平臺是基于現場工控主機用戶操作行為和威脅事件關聯分析技術進行安全檢測的可視化預警檢測平臺，實現安全效果可評估、安全態勢可視化。平臺主要基于“看清業務邏輯，看見潛在威脅，看懂安全風險，輔助分析決策”的思路進行設計應用。

1.看清工控業務邏輯

工控安全的核心目標是解決企業工業控制網絡的安全、穩定運行。如果不了解工控系統的資產有哪些，控制網絡邏輯關系如何，而按照標準信息網絡安全管理的模式去創建，那么它提供的檢測能力顯然是脫離實際的。所以，安全感知平臺首要解決的就是看清業務邏輯。

2.看見工控潛在威脅

工控安全是一個涉及多個領域的復雜問題，攻擊者可能包括外部黑客、心懷不滿的員工，以及內外勾結等各種情況，攻擊途徑重點是APT、漏洞利用等高級威脅手段。防御者需要全面監控，但攻擊者只需要一點突破即可。如果沒有系統的感知能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。因此，提升工控網絡安全綜合感知能力勢在必行。

3.看懂工控安全風險

工控安全系統除了需要能夠及時發現問題外，還需要保障系統的易用性，確?？蛻艏夹g人員能夠方便快速地發現安全問題，了解影響范圍，定位問題源頭，提供響應的展示告警和分析舉證服務。

4.輔助決策分析

除了專業的威脅檢測和風險分析效果之外，工控安全感知平臺還可提供可視化的形式為用戶呈現關鍵業務資產及針對關鍵業務資產的攻擊與潛在威脅，并提供全網攻擊監測、分支機構監管以及風險內外聯監測等多個不同視角的可視化展示，提供對風險主機的報告導出和分析服務，為安全主管提供駕駛艙式的輔助決策服務。

態勢感知平臺

1.整體架構

平臺總體架構遵循：中心建設、邊緣計算的架構模式，實現數據上下聯動。如圖1所示。

統一平臺：建設集中的態勢感知平臺，平臺承接多級、多角色用戶訪問，比如集團級總部用戶、省市級用戶、場站級用戶，不同的層級提供不同的數據展示和分析維度。

數據上下聯動，以平臺為中心對上與上級監管單位實現對接，上報企業安全運營情報數據，對下與廠站邊緣采集設備實現聯動，實現遠程管控。

2.技術架構

整個系統分為日志采集、流量采集、平臺層三部分，采用大數據存儲分析架構，支持云端快速部署。如圖2所示。

流量采集，內置深度包解析技術（DPI），實現常用的工控協議深度包分析，通過特征匹配實現異常流量告警。同時內置流統計，按不同的協議及規范實現流統計。

日志采集，內置消息隊列，收集來自于各種傳感器，Agent，以及流量采集器產生的數據信息。經過初級加工，不同日志格式的歸一化處理，將數據推送到平臺。

圖1 平臺總體架構圖

圖2 系統技術架構圖

圖3 日志采集功能

平臺展示，利用大數據可視化技術，結合GIS地理位置、威脅情報關聯等，實現集團、廠級網絡安全數據的多維度信息展示。

3.系統功能

（1）日志采集

圖4 流量采集功能

如圖3所示，主機日志采集，主要利用Agent代理模式，安裝于主機中，對主機自身的Windows或Linux操作系統的操作行為、報警日志、合規配置等進行采集。

網絡設備和安全設備的日志采集主要基于SYSLOG、SNMP/SNMP TRAP、ICMP、ARP、JDBC/ODBC、TELNET、SSH/HTTP、HTTP、JMX、SOAP等廠商設備提供的接口進行日志的采集。

（2）流量采集

如圖4所示，利用流量鏡像技術，在交換機或路由器上，將一個或多個源端口的數據流量轉發到某一個指定端口來實現對網絡的監聽，全面獲得網絡中指定端口的上下行流量。

（3）威脅感知

全流量威脅特征分析采用網絡通信深度報文解析的方式，通過對網絡應用流量的分析，提取出能夠唯一標志對應網絡應用的識別特征碼，即指紋，然后根據收集到的威脅特征碼構建完備的識別特征庫，并保證特征庫中所有特征都是最新且唯一的。在進行具體流量識別任務時，對經過網絡關口的每個或特定數據包進行模式匹配。對于一些規則簡單的特征，可以采用基本的字符串匹配。對于復雜或高級的特征，可以通過正則表達式進行匹配。當模式匹配成功時，就可以判斷該數據包所屬的數據流的類型為預定義字段所屬的威脅事件。

機器學習威脅分析基于應用已知威脅，基于已知漏洞的特征，構建語義化描述的漏洞庫，可以直接進行漏洞攻擊所導致的數據泄漏的檢測。針對漏洞的變種攻擊，采用自然語言處理技術（NLP），將語義化漏洞庫規則轉換成可以量化的特征向量。定位出了漏洞代碼序列之后，使用向量執行來對變量進行取值范圍的構建，然后再引入漏洞判斷的條件組合起來交由求解器來實現。由漏洞庫樣本擬合出一條回歸函數，讓回歸函數和算法來對漏洞條目數據進行分類計算，構建已知威脅的變種的攻擊下數據泄漏檢測分析的問題。如圖5所示。

（4）態勢可視

數據可視化旨在借助于圖形化手段，清晰有效地傳達與溝通信息。在工業網絡安全態勢感知應用中可以刻畫以下維度。

工控資產業務可視：通過網絡拓撲形式，全網繪制工業控制系統網絡資產結構，包括動態可視資產運行狀態、開放的端口、關聯的告警事件等。

工控威脅風險可視：基于工控威脅事件，對主機、風險業務、風險用戶進行詳細舉證，將目標資產發起的和遭受的攻擊/異?；顒舆M行匯聚整理成安全事件，利用攻擊鏈的形式展示主機被入侵后發起的威脅活動情況，直觀顯示被入侵后主機是否被利用產生威脅，且威脅程度是否逐步升級的情況。

工控脆弱性可視：針對動態監控主機弱口令、U盤插拔、無密碼維護期限、防護開關、關鍵目錄修改、遠程桌面登錄等潛在的危害行為進行分析，利用VCE漏洞庫信息，實時關聯資產固件、軟件存在的漏洞情況，為用戶判斷威脅入侵提供基礎依據。

結論

1.利用數據驅動精準化的安全運營

海量數據采集后，對于已知攻擊的實時分析，歷史數據的挖掘分析，以及對海量內外網數據、事件、文件等的關聯分析檢索，及實時在線檢測、離線檢測，發現APT攻擊和信息泄漏行為，需要成為安全運營工作中具備的基本能力。

2.增強對新興的威脅防御以及資產維度上的威脅感知

圖5 威脅感知功能

傳統的IT管理系統強調對單個設備和性能的可用性管理，缺乏通過多設備聯動，對復雜網絡威脅(如APT攻擊)的檢測和防護。同時，從設備監控視角出發，原始的監控過度地強調設備故障的及時診斷，已經無法從根本上保障核心業務系統的可用性。平臺可以對核心資產多維度進行監控和分析，可提升運營效率。

3.增強安全業務協同管理

無論是在傳統的網絡環境還是在云計算環境，不可避免地存在一個或者多個業務系統并存的情況。網絡安全運營從來不是獨立的事情，打破各自為戰的“信息孤島”，將安全運營團隊融入相關業務體系進行協同運維管理，將是發展的重中之重。