態(tài)勢(shì)感知技術(shù)在智慧電廠工控安全方面的應(yīng)用

■ 大唐國(guó)際發(fā)電股份有限公司重慶分公司 高守

編者按：隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)控制系統(tǒng)在帶來(lái)便利的同時(shí)，面臨著各種安全風(fēng)險(xiǎn)。本文通過(guò)態(tài)勢(shì)感知技術(shù)、大數(shù)據(jù)AI分析模型等提升電力工控的集中管控，實(shí)現(xiàn)電廠工控安全風(fēng)險(xiǎn)實(shí)時(shí)感知，用戶異常行為溯源，威脅精準(zhǔn)研判，以提升發(fā)電企業(yè)網(wǎng)絡(luò)安全整體防護(hù)水平。

隨著各大電廠信息化、智慧化規(guī)模的不斷提高，越來(lái)越多的新建電廠（火電、水電、風(fēng)電、新能源及核電等）以流行的商業(yè)系統(tǒng)軟件、應(yīng)用軟件為支撐，以標(biāo)準(zhǔn)協(xié)議為通訊基礎(chǔ)，在提升電廠安全經(jīng)濟(jì)運(yùn)行、智慧化決策應(yīng)用帶來(lái)的優(yōu)勢(shì)的同時(shí)，也存在計(jì)算機(jī)信息系統(tǒng)、多系統(tǒng)互聯(lián)等所固有的安全威脅。國(guó)外屢次發(fā)生針對(duì)電廠的網(wǎng)絡(luò)入侵攻擊事件，使得電廠網(wǎng)安領(lǐng)域面臨新的挑戰(zhàn)。

本文從電廠網(wǎng)絡(luò)安全保護(hù)多角度入手，在構(gòu)建綜合網(wǎng)絡(luò)安全態(tài)勢(shì)感知標(biāo)準(zhǔn)體系，提升核電廠應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力方面，有著重要意義。

政策導(dǎo)向

2019年正式發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本，是網(wǎng)絡(luò)安全的一次重大升級(jí)，等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)展到云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)以及大數(shù)據(jù)等，對(duì)等級(jí)保護(hù)制度提出了新的要求。

等級(jí)保護(hù)2.0的安全框架中提到態(tài)勢(shì)感知，而且提出要具備對(duì)新型攻擊分析的能力，要能夠檢測(cè)對(duì)重點(diǎn)節(jié)點(diǎn)及其入侵的行為，對(duì)各類安全事件進(jìn)行識(shí)別報(bào)警和分析。

2020年4月，國(guó)家發(fā)改委首次明確新型基礎(chǔ)設(shè)施的范圍，其中一項(xiàng)是以智能交通基礎(chǔ)設(shè)施和智慧能源基礎(chǔ)設(shè)施為代表的融合基礎(chǔ)設(shè)施。工業(yè)信息安全作為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)和保障，是國(guó)家安全的重要組成部分，它關(guān)系到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)和經(jīng)濟(jì)社會(huì)穩(wěn)定，并且輻射范圍廣泛。因此，世界各國(guó)比以往更加重視工業(yè)信息安全，工業(yè)信息安全已經(jīng)成為當(dāng)前信息安全領(lǐng)域中最為重要的部分之一。

現(xiàn)狀分析

1.工控資產(chǎn)網(wǎng)絡(luò)遭受安全威脅，暴露面增加

隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和智能社會(huì)的快速演進(jìn)，由工業(yè)控制網(wǎng)絡(luò)形成的安全問(wèn)題日益突現(xiàn)并迅速放大，甚至將成為改變整個(gè)世界安全形勢(shì)和格局的重要因素。

近年來(lái)世界各國(guó)網(wǎng)絡(luò)安全事件頻發(fā)，電力行業(yè)遭受針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊尤為嚴(yán)重，并造成系統(tǒng)崩潰，數(shù)據(jù)采集失敗，通信中斷甚至停工停產(chǎn)等后果。

2.缺乏電力工控網(wǎng)絡(luò)安全預(yù)警和應(yīng)急響應(yīng)流程體系

當(dāng)前，我國(guó)電力工控網(wǎng)絡(luò)安全預(yù)警和應(yīng)急響應(yīng)問(wèn)題長(zhǎng)期得不到解決。過(guò)去幾十年我國(guó)建立的大量關(guān)鍵基礎(chǔ)設(shè)施，基本是依靠國(guó)外裝備和控制系統(tǒng)建立起來(lái)的。國(guó)外廠商設(shè)備普遍存在未知的漏洞，并可能存在后門，某些領(lǐng)域的安全漏洞已經(jīng)隱藏?cái)?shù)年，成為國(guó)家安全的重大隱患。隨著智慧互聯(lián)的進(jìn)程加快，等到建成設(shè)施和系統(tǒng)后再針對(duì)安全進(jìn)行彌補(bǔ)和整改，代價(jià)將非常高昂。

3.工控設(shè)備本體安全缺失

目前，工控設(shè)備普遍存在以下安全風(fēng)險(xiǎn)：

存在弱口令、漏洞以及大量開(kāi)放端口等安全風(fēng)險(xiǎn)，容易被惡意代碼感染，從而形成僵尸主機(jī)；存在違規(guī)接入的風(fēng)險(xiǎn)，同時(shí)缺失運(yùn)維手段；設(shè)備在戶外分散安裝，容易受到接觸而又沒(méi)有納入管理，導(dǎo)致物理攻擊、篡改和仿冒；設(shè)備網(wǎng)絡(luò)協(xié)議多種多樣，并存在大量漏洞，增加了終端感染病毒、木馬或惡意代碼入侵的渠道，增加了網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)。

安全目標(biāo)

工控安全態(tài)勢(shì)平臺(tái)是基于現(xiàn)場(chǎng)工控主機(jī)用戶操作行為和威脅事件關(guān)聯(lián)分析技術(shù)進(jìn)行安全檢測(cè)的可視化預(yù)警檢測(cè)平臺(tái)，實(shí)現(xiàn)安全效果可評(píng)估、安全態(tài)勢(shì)可視化。平臺(tái)主要基于“看清業(yè)務(wù)邏輯，看見(jiàn)潛在威脅，看懂安全風(fēng)險(xiǎn)，輔助分析決策”的思路進(jìn)行設(shè)計(jì)應(yīng)用。

1.看清工控業(yè)務(wù)邏輯

工控安全的核心目標(biāo)是解決企業(yè)工業(yè)控制網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。如果不了解工控系統(tǒng)的資產(chǎn)有哪些，控制網(wǎng)絡(luò)邏輯關(guān)系如何，而按照標(biāo)準(zhǔn)信息網(wǎng)絡(luò)安全管理的模式去創(chuàng)建，那么它提供的檢測(cè)能力顯然是脫離實(shí)際的。所以，安全感知平臺(tái)首要解決的就是看清業(yè)務(wù)邏輯。

2.看見(jiàn)工控潛在威脅

工控安全是一個(gè)涉及多個(gè)領(lǐng)域的復(fù)雜問(wèn)題，攻擊者可能包括外部黑客、心懷不滿的員工，以及內(nèi)外勾結(jié)等各種情況，攻擊途徑重點(diǎn)是APT、漏洞利用等高級(jí)威脅手段。防御者需要全面監(jiān)控，但攻擊者只需要一點(diǎn)突破即可。如果沒(méi)有系統(tǒng)的感知能力，即使別人告訴你被黑客攻擊了，都找不出黑客是怎么攻擊的。因此，提升工控網(wǎng)絡(luò)安全綜合感知能力勢(shì)在必行。

3.看懂工控安全風(fēng)險(xiǎn)

工控安全系統(tǒng)除了需要能夠及時(shí)發(fā)現(xiàn)問(wèn)題外，還需要保障系統(tǒng)的易用性，確保客戶技術(shù)人員能夠方便快速地發(fā)現(xiàn)安全問(wèn)題，了解影響范圍，定位問(wèn)題源頭，提供響應(yīng)的展示告警和分析舉證服務(wù)。

4.輔助決策分析

除了專業(yè)的威脅檢測(cè)和風(fēng)險(xiǎn)分析效果之外，工控安全感知平臺(tái)還可提供可視化的形式為用戶呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅，并提供全網(wǎng)攻擊監(jiān)測(cè)、分支機(jī)構(gòu)監(jiān)管以及風(fēng)險(xiǎn)內(nèi)外聯(lián)監(jiān)測(cè)等多個(gè)不同視角的可視化展示，提供對(duì)風(fēng)險(xiǎn)主機(jī)的報(bào)告導(dǎo)出和分析服務(wù)，為安全主管提供駕駛艙式的輔助決策服務(wù)。

態(tài)勢(shì)感知平臺(tái)

1.整體架構(gòu)

平臺(tái)總體架構(gòu)遵循：中心建設(shè)、邊緣計(jì)算的架構(gòu)模式，實(shí)現(xiàn)數(shù)據(jù)上下聯(lián)動(dòng)。如圖1所示。

統(tǒng)一平臺(tái)：建設(shè)集中的態(tài)勢(shì)感知平臺(tái)，平臺(tái)承接多級(jí)、多角色用戶訪問(wèn)，比如集團(tuán)級(jí)總部用戶、省市級(jí)用戶、場(chǎng)站級(jí)用戶，不同的層級(jí)提供不同的數(shù)據(jù)展示和分析維度。

數(shù)據(jù)上下聯(lián)動(dòng)，以平臺(tái)為中心對(duì)上與上級(jí)監(jiān)管單位實(shí)現(xiàn)對(duì)接，上報(bào)企業(yè)安全運(yùn)營(yíng)情報(bào)數(shù)據(jù)，對(duì)下與廠站邊緣采集設(shè)備實(shí)現(xiàn)聯(lián)動(dòng)，實(shí)現(xiàn)遠(yuǎn)程管控。

2.技術(shù)架構(gòu)

整個(gè)系統(tǒng)分為日志采集、流量采集、平臺(tái)層三部分，采用大數(shù)據(jù)存儲(chǔ)分析架構(gòu)，支持云端快速部署。如圖2所示。

流量采集，內(nèi)置深度包解析技術(shù)（DPI），實(shí)現(xiàn)常用的工控協(xié)議深度包分析，通過(guò)特征匹配實(shí)現(xiàn)異常流量告警。同時(shí)內(nèi)置流統(tǒng)計(jì)，按不同的協(xié)議及規(guī)范實(shí)現(xiàn)流統(tǒng)計(jì)。

日志采集，內(nèi)置消息隊(duì)列，收集來(lái)自于各種傳感器，Agent，以及流量采集器產(chǎn)生的數(shù)據(jù)信息。經(jīng)過(guò)初級(jí)加工，不同日志格式的歸一化處理，將數(shù)據(jù)推送到平臺(tái)。

圖1 平臺(tái)總體架構(gòu)圖

圖2 系統(tǒng)技術(shù)架構(gòu)圖

圖3 日志采集功能

平臺(tái)展示，利用大數(shù)據(jù)可視化技術(shù)，結(jié)合GIS地理位置、威脅情報(bào)關(guān)聯(lián)等，實(shí)現(xiàn)集團(tuán)、廠級(jí)網(wǎng)絡(luò)安全數(shù)據(jù)的多維度信息展示。

3.系統(tǒng)功能

（1）日志采集

圖4 流量采集功能

如圖3所示，主機(jī)日志采集，主要利用Agent代理模式，安裝于主機(jī)中，對(duì)主機(jī)自身的Windows或Linux操作系統(tǒng)的操作行為、報(bào)警日志、合規(guī)配置等進(jìn)行采集。

網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志采集主要基于SYSLOG、SNMP/SNMP TRAP、ICMP、ARP、JDBC/ODBC、TELNET、SSH/HTTP、HTTP、JMX、SOAP等廠商設(shè)備提供的接口進(jìn)行日志的采集。

（2）流量采集

如圖4所示，利用流量鏡像技術(shù)，在交換機(jī)或路由器上，將一個(gè)或多個(gè)源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個(gè)指定端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng)，全面獲得網(wǎng)絡(luò)中指定端口的上下行流量。

（3）威脅感知

全流量威脅特征分析采用網(wǎng)絡(luò)通信深度報(bào)文解析的方式，通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用流量的分析，提取出能夠唯一標(biāo)志對(duì)應(yīng)網(wǎng)絡(luò)應(yīng)用的識(shí)別特征碼，即指紋，然后根據(jù)收集到的威脅特征碼構(gòu)建完備的識(shí)別特征庫(kù)，并保證特征庫(kù)中所有特征都是最新且唯一的。在進(jìn)行具體流量識(shí)別任務(wù)時(shí)，對(duì)經(jīng)過(guò)網(wǎng)絡(luò)關(guān)口的每個(gè)或特定數(shù)據(jù)包進(jìn)行模式匹配。對(duì)于一些規(guī)則簡(jiǎn)單的特征，可以采用基本的字符串匹配。對(duì)于復(fù)雜或高級(jí)的特征，可以通過(guò)正則表達(dá)式進(jìn)行匹配。當(dāng)模式匹配成功時(shí)，就可以判斷該數(shù)據(jù)包所屬的數(shù)據(jù)流的類型為預(yù)定義字段所屬的威脅事件。

機(jī)器學(xué)習(xí)威脅分析基于應(yīng)用已知威脅，基于已知漏洞的特征，構(gòu)建語(yǔ)義化描述的漏洞庫(kù)，可以直接進(jìn)行漏洞攻擊所導(dǎo)致的數(shù)據(jù)泄漏的檢測(cè)。針對(duì)漏洞的變種攻擊，采用自然語(yǔ)言處理技術(shù)（NLP），將語(yǔ)義化漏洞庫(kù)規(guī)則轉(zhuǎn)換成可以量化的特征向量。定位出了漏洞代碼序列之后，使用向量執(zhí)行來(lái)對(duì)變量進(jìn)行取值范圍的構(gòu)建，然后再引入漏洞判斷的條件組合起來(lái)交由求解器來(lái)實(shí)現(xiàn)。由漏洞庫(kù)樣本擬合出一條回歸函數(shù)，讓回歸函數(shù)和算法來(lái)對(duì)漏洞條目數(shù)據(jù)進(jìn)行分類計(jì)算，構(gòu)建已知威脅的變種的攻擊下數(shù)據(jù)泄漏檢測(cè)分析的問(wèn)題。如圖5所示。

（4）態(tài)勢(shì)可視

數(shù)據(jù)可視化旨在借助于圖形化手段，清晰有效地傳達(dá)與溝通信息。在工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知應(yīng)用中可以刻畫以下維度。

工控資產(chǎn)業(yè)務(wù)可視：通過(guò)網(wǎng)絡(luò)拓?fù)湫问?，全網(wǎng)繪制工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)結(jié)構(gòu)，包括動(dòng)態(tài)可視資產(chǎn)運(yùn)行狀態(tài)、開(kāi)放的端口、關(guān)聯(lián)的告警事件等。

工控威脅風(fēng)險(xiǎn)可視：基于工控威脅事件，對(duì)主機(jī)、風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶進(jìn)行詳細(xì)舉證，將目標(biāo)資產(chǎn)發(fā)起的和遭受的攻擊/異常活動(dòng)進(jìn)行匯聚整理成安全事件，利用攻擊鏈的形式展示主機(jī)被入侵后發(fā)起的威脅活動(dòng)情況，直觀顯示被入侵后主機(jī)是否被利用產(chǎn)生威脅，且威脅程度是否逐步升級(jí)的情況。

工控脆弱性可視：針對(duì)動(dòng)態(tài)監(jiān)控主機(jī)弱口令、U盤插拔、無(wú)密碼維護(hù)期限、防護(hù)開(kāi)關(guān)、關(guān)鍵目錄修改、遠(yuǎn)程桌面登錄等潛在的危害行為進(jìn)行分析，利用VCE漏洞庫(kù)信息，實(shí)時(shí)關(guān)聯(lián)資產(chǎn)固件、軟件存在的漏洞情況，為用戶判斷威脅入侵提供基礎(chǔ)依據(jù)。

結(jié)論

1.利用數(shù)據(jù)驅(qū)動(dòng)精準(zhǔn)化的安全運(yùn)營(yíng)

海量數(shù)據(jù)采集后，對(duì)于已知攻擊的實(shí)時(shí)分析，歷史數(shù)據(jù)的挖掘分析，以及對(duì)海量?jī)?nèi)外網(wǎng)數(shù)據(jù)、事件、文件等的關(guān)聯(lián)分析檢索，及實(shí)時(shí)在線檢測(cè)、離線檢測(cè)，發(fā)現(xiàn)APT攻擊和信息泄漏行為，需要成為安全運(yùn)營(yíng)工作中具備的基本能力。

2.增強(qiáng)對(duì)新興的威脅防御以及資產(chǎn)維度上的威脅感知

圖5 威脅感知功能

傳統(tǒng)的IT管理系統(tǒng)強(qiáng)調(diào)對(duì)單個(gè)設(shè)備和性能的可用性管理，缺乏通過(guò)多設(shè)備聯(lián)動(dòng)，對(duì)復(fù)雜網(wǎng)絡(luò)威脅(如APT攻擊)的檢測(cè)和防護(hù)。同時(shí)，從設(shè)備監(jiān)控視角出發(fā)，原始的監(jiān)控過(guò)度地強(qiáng)調(diào)設(shè)備故障的及時(shí)診斷，已經(jīng)無(wú)法從根本上保障核心業(yè)務(wù)系統(tǒng)的可用性。平臺(tái)可以對(duì)核心資產(chǎn)多維度進(jìn)行監(jiān)控和分析，可提升運(yùn)營(yíng)效率。

3.增強(qiáng)安全業(yè)務(wù)協(xié)同管理

無(wú)論是在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境還是在云計(jì)算環(huán)境，不可避免地存在一個(gè)或者多個(gè)業(yè)務(wù)系統(tǒng)并存的情況。網(wǎng)絡(luò)安全運(yùn)營(yíng)從來(lái)不是獨(dú)立的事情，打破各自為戰(zhàn)的“信息孤島”，將安全運(yùn)營(yíng)團(tuán)隊(duì)融入相關(guān)業(yè)務(wù)體系進(jìn)行協(xié)同運(yùn)維管理，將是發(fā)展的重中之重。