電力資產(chǎn)主機(jī)安全合規(guī)大數(shù)據(jù)分析方法

■ 中國大唐集團(tuán)有限公司重慶分公司集中控制中心 白樺

編者按：本文針對態(tài)勢感知平臺在電廠的實施，通過智能采集器與數(shù)據(jù)代理采集工控資產(chǎn)的各類合規(guī)基線與安全指標(biāo)數(shù)據(jù)，創(chuàng)新性地針對資產(chǎn)主機(jī)的合規(guī)與基線核查進(jìn)行設(shè)計，基于大數(shù)據(jù)進(jìn)行定量合規(guī)分析，彌補(bǔ)了電廠資產(chǎn)主機(jī)的合規(guī)分析存在的空白，可一目了然掌控資產(chǎn)主機(jī)的安全情況及存在的問題，定量合規(guī)評估指數(shù)。

2016 年國家提出面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢，要樹立正確的網(wǎng)絡(luò)安全觀，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。2018 年工信部印發(fā)的《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020）》提到“態(tài)勢感知、安全防護(hù)、應(yīng)急處置能力顯著提升”。2018 年2 月國家能源局印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》，首次提出在電力行業(yè)提高態(tài)勢感知能力的硬性要求，明確了網(wǎng)絡(luò)安全的工作重點，從安全防護(hù)變成了提高網(wǎng)絡(luò)安全態(tài)勢感知能力以及預(yù)警、應(yīng)急處置能力。2019 年2月22 日，國務(wù)院國資委啟動網(wǎng)絡(luò)安全及智慧能源信息平臺建設(shè)工作，以推動能源產(chǎn)業(yè)高質(zhì)量發(fā)展，解決能源行業(yè)網(wǎng)絡(luò)信息安全問題。

態(tài)勢感知平臺運用大數(shù)據(jù)技術(shù)，收集分析電力單位的資產(chǎn)信息、安全事件、設(shè)備日志和網(wǎng)絡(luò)流量等，從全局視角感知網(wǎng)絡(luò)與工控安全態(tài)勢，通過技術(shù)手段實現(xiàn)對安全事件的全過程閉環(huán)管理，增強(qiáng)電力企業(yè)整體信息安全在預(yù)測、防護(hù)、檢測、響應(yīng)、協(xié)同方面的能力。電力資產(chǎn)主機(jī)在安全監(jiān)測與評估中是核心要素，資產(chǎn)的準(zhǔn)確性、合規(guī)基線與評估至關(guān)重要。

資產(chǎn)主機(jī)安全現(xiàn)狀與需求

隨著電廠智能化、自動化、可視化的深入推進(jìn)，工控主機(jī)的安全合規(guī)與評估迫在眉睫。針對主機(jī)的安全合規(guī)在等保2.0 三級工業(yè)控制系統(tǒng)安全擴(kuò)展要求中，針對控制設(shè)備安全具有明確的要求。但是如何針對主機(jī)進(jìn)行合規(guī)自動定量評估還沒有明確辦法。

1.工控主機(jī)安全合規(guī)基線指標(biāo)不明確。

2.工控主機(jī)安全合規(guī)數(shù)據(jù)采集規(guī)范沒有。

3.工控主機(jī)安全合規(guī)評估指標(biāo)與定量評估方式?jīng)]有規(guī)范指導(dǎo)。

4.從集團(tuán)分公司角度很難可視化的了解分公司、廠區(qū)的工控主機(jī)的合規(guī)情況與趨勢演變。

因此，本文結(jié)合態(tài)勢感知平臺的建設(shè)實施，研究了電力工控主機(jī)的安全合規(guī)大數(shù)據(jù)分析方法。

資產(chǎn)主機(jī)安全合規(guī)大數(shù)據(jù)分析方法

1.主機(jī)合規(guī)大數(shù)據(jù)采集分析架構(gòu)

合規(guī)數(shù)據(jù)采集分析架構(gòu)圖如圖1 所示，主機(jī)合規(guī)數(shù)據(jù)的采集通過在不同OS 主機(jī)安裝數(shù)據(jù)代理（Agent）進(jìn)行合規(guī)數(shù)據(jù)的采集發(fā)送，合規(guī)數(shù)據(jù)與其他安全數(shù)據(jù)一同采集，數(shù)據(jù)通過智能采集器進(jìn)行格式轉(zhuǎn)換、增強(qiáng)等處理，然后數(shù)據(jù)到態(tài)勢感知平臺進(jìn)行資產(chǎn)主機(jī)的合規(guī)分析，進(jìn)行大數(shù)據(jù)挖掘、可視化展現(xiàn)。

2.主機(jī)基線合規(guī)指標(biāo)

主機(jī)合規(guī)基線指標(biāo)分為Linux 平臺和Windows 平臺指標(biāo)。實施過程中梳理Windows 基線指標(biāo)為59 項，Linux 指標(biāo)為35 項。每項指標(biāo)的安全等級定位為高危、中危和低危三種級別。

其中Windows 基線指標(biāo)包括：

（1）密碼復(fù)雜性要求；密碼長度最小值。

（2）密碼最短使用期限。

（3）強(qiáng)制密碼歷史。

（4）賬戶鎖定閾值。

（5）賬戶鎖定時間。

（6）復(fù)位賬戶鎖定計數(shù)器。

（7）審核策略更改。

（8）審核對象訪問。

（9）審核目錄服務(wù)訪問。

（10）審核系統(tǒng)事件。

圖1 合規(guī)數(shù)據(jù)采集分析架構(gòu)圖

（11）賬戶：重命名管理員賬戶。

（12）賬戶：重命名來賓賬戶。

（13）Microsoft 網(wǎng)絡(luò)服務(wù)器：對通信進(jìn)行數(shù)字簽名（如果客戶端允許）。

（14）交互式登錄：提示用戶過期之前修改密碼。

（15）交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時）。

（16）域成員：禁用計算機(jī)賬戶密碼更改。

Windows 基線指標(biāo)包括：

（1）檢查是否修改了SNMP 的默認(rèn)團(tuán)體名；檢查是否禁用“Ctrl+Alt+Del”鍵重啟。

（2）檢查是否禁止wheel組之外的用戶使用su 命令切換到root。

（3）檢查是否設(shè)置密碼在設(shè)定時不能使用前幾次密碼的次數(shù)限制。

（4）檢查是否配置賬戶認(rèn)證失敗的次數(shù)。

（5）檢查用戶對設(shè)備的操作是否被記錄。

（6）檢查是否配置sys log-ng 安全事件的日志。

（7）檢查是否配置rsys log 安全事件的日志。

（8）檢查是否配置sys log 安全事件的日志。

（9）檢查su 命令使用情況記錄是否被設(shè)置。

（10）檢查是否關(guān)閉IP欺騙和多IP 綁定功能。

（11）檢查/etc/aliases和/etc/mail/aliases 是否禁用把不必要的別名文件。

（12）檢查是否啟用了不必要的系統(tǒng)服務(wù)。

（13）檢查是否使用NTP同步時間，以及對應(yīng)服務(wù)是否安裝開啟。

（14）檢查是否存在不應(yīng)該擁有suid 和sgid 權(quán)限的文件。

（15）檢查是否啟動空閑時自動定時鎖定屏幕功能（適用于具備GNOME 圖形界面的設(shè)備）。

（16）檢查SSH 登錄前的警告是否設(shè)置。

3.主機(jī)合規(guī)評估指標(biāo)

為形成主機(jī)合規(guī)安全和預(yù)警綜合指數(shù)，提供工控資產(chǎn)總體的安全定量評估與決策，結(jié)合電力、能源行業(yè)監(jiān)管要求以及等保2.0 法律法規(guī)基本要求，用以評估工業(yè)控制信息系統(tǒng)主機(jī)的定量合規(guī)評估指標(biāo)設(shè)計如表1 所示。

4.合規(guī)定量評估方法

基于上述合規(guī)評估指標(biāo)體系，制定定量合規(guī)評估方法。每項指標(biāo)進(jìn)行定量評分，評分規(guī)則考慮不同指標(biāo)采用不同規(guī)則，所有指標(biāo)評分進(jìn)行匯總，根本不同類別采用不同加權(quán)因子，得到一個資產(chǎn)主機(jī)的綜合評分。

5.主機(jī)合規(guī)大數(shù)據(jù)AI 分析與畫像分析

針對主機(jī)的合規(guī)評估結(jié)果，與評分相結(jié)合，通過大數(shù)據(jù)主機(jī)畫像實現(xiàn)主機(jī)安全合規(guī)的可視化分析。10個評估大類分別采用不同顏色區(qū)分，易于評估不同指標(biāo)類別的評分。評估指標(biāo)單獨顯示其評分，按照100 分制顯示，采用5 級顏色展示，0 ～20、20 ～40、40 ～60、60～80、80～100 五個級別展示，分值越低，顏色越醒目。如圖2 所示。

表1 主機(jī)合規(guī)評估指標(biāo)

針對不同電廠、安全區(qū)、不同類型資產(chǎn)主機(jī)以及不同類型指標(biāo)采用聚類等算法，包括CluStream、StreamKM++進(jìn)行數(shù)據(jù)挖掘，實施感知集團(tuán)、集控中心、廠區(qū)全業(yè)務(wù)主機(jī)的合規(guī)情況。合規(guī)指數(shù)是多少？大部分共性問題？整改策略是什么？實時具有什么風(fēng)險？發(fā)生安全事件后影響范圍有多大？風(fēng)險共性等問題。

關(guān)鍵技術(shù)與最佳實踐

1.主機(jī)探針Agent 適配性與采集頻度

工控主機(jī)硬件與軟件為使用多年的老版本，因此合規(guī)基線及安全指標(biāo)的采集不能影響主機(jī)業(yè)務(wù)運行，基本不消耗主機(jī)性能。

圖2 主機(jī)合規(guī)大數(shù)據(jù)畫像分析

2.多源異構(gòu)數(shù)據(jù)接入與電力系統(tǒng)安全架構(gòu)的適應(yīng)性

需要針對主機(jī)采集的各類指標(biāo)與日志信息進(jìn)行歸一化處理、增加聚合等處理，滿足不同OS 格式的數(shù)據(jù)轉(zhuǎn)換。同時由于工控網(wǎng)的傳輸帶寬要求及邊界隔離交換數(shù)據(jù)的限制，需要適配TCP、UDP 的數(shù)據(jù)單項傳輸。

3.AI 大數(shù)據(jù)可視化分析

通過合規(guī)定量分析，從不同維度實現(xiàn)大數(shù)據(jù)的可視化展示，同時基于機(jī)器學(xué)習(xí)算法對合規(guī)數(shù)據(jù)進(jìn)行挖掘，實現(xiàn)主機(jī)合規(guī)的大數(shù)據(jù)分析。

結(jié)語

通過態(tài)勢感知資產(chǎn)主機(jī)安全合規(guī)分析模塊的實踐，無論從總部、二級公司、集控中心及廠級角度，都可一目了然掌控資產(chǎn)主機(jī)的安全合規(guī)情況、存在的問題及定量評估指數(shù)，同時可從不同安全維度了解總部資產(chǎn)主機(jī)的缺陷，進(jìn)行有的放矢的整改，真正把安全監(jiān)管落到實處，有利于快速摸清家底、理清風(fēng)險、合規(guī)分析、找出漏洞和有效整改。

態(tài)勢感知平臺的實施內(nèi)容包括數(shù)據(jù)代理Agent、智能采集器、全日志分析系統(tǒng)和工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，為企業(yè)安全運營管理構(gòu)建一個全局的、實時的、可預(yù)測的主動防御安全體系，從而全面提升網(wǎng)絡(luò)安全感知能力和運營能力，實現(xiàn)電力關(guān)鍵基礎(chǔ)設(shè)施的全生命周期管理，為智能化運營保駕護(hù)航。