■ 大唐國(guó)際發(fā)電股份有限公司重慶分公司 高守
編者按:隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展,工業(yè)控制系統(tǒng)在帶來(lái)便利的同時(shí),面臨著各種安全風(fēng)險(xiǎn)。本文通過(guò)態(tài)勢(shì)感知技術(shù)、大數(shù)據(jù)AI分析模型等提升電力工控的集中管控,實(shí)現(xiàn)電廠工控安全風(fēng)險(xiǎn)實(shí)時(shí)感知,用戶異常行為溯源,威脅精準(zhǔn)研判,以提升發(fā)電企業(yè)網(wǎng)絡(luò)安全整體防護(hù)水平。
隨著各大電廠信息化、智慧化規(guī)模的不斷提高,越來(lái)越多的新建電廠(火電、水電、風(fēng)電、新能源及核電等)以流行的商業(yè)系統(tǒng)軟件、應(yīng)用軟件為支撐,以標(biāo)準(zhǔn)協(xié)議為通訊基礎(chǔ),在提升電廠安全經(jīng)濟(jì)運(yùn)行、智慧化決策應(yīng)用帶來(lái)的優(yōu)勢(shì)的同時(shí),也存在計(jì)算機(jī)信息系統(tǒng)、多系統(tǒng)互聯(lián)等所固有的安全威脅。國(guó)外屢次發(fā)生針對(duì)電廠的網(wǎng)絡(luò)入侵攻擊事件,使得電廠網(wǎng)安領(lǐng)域面臨新的挑戰(zhàn)。
本文從電廠網(wǎng)絡(luò)安全保護(hù)多角度入手,在構(gòu)建綜合網(wǎng)絡(luò)安全態(tài)勢(shì)感知標(biāo)準(zhǔn)體系,提升核電廠應(yīng)對(duì)信息安全風(fēng)險(xiǎn)的能力方面,有著重要意義。
2019年正式發(fā)布的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本,是網(wǎng)絡(luò)安全的一次重大升級(jí),等級(jí)保護(hù)對(duì)象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴(kuò)展到云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)以及大數(shù)據(jù)等,對(duì)等級(jí)保護(hù)制度提出了新的要求。
等級(jí)保護(hù)2.0的安全框架中提到態(tài)勢(shì)感知,而且提出要具備對(duì)新型攻擊分析的能力,要能夠檢測(cè)對(duì)重點(diǎn)節(jié)點(diǎn)及其入侵的行為,對(duì)各類安全事件進(jìn)行識(shí)別報(bào)警和分析。
2020年4月,國(guó)家發(fā)改委首次明確新型基礎(chǔ)設(shè)施的范圍,其中一項(xiàng)是以智能交通基礎(chǔ)設(shè)施和智慧能源基礎(chǔ)設(shè)施為代表的融合基礎(chǔ)設(shè)施。工業(yè)信息安全作為工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)和保障,是國(guó)家安全的重要組成部分,它關(guān)系到國(guó)家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)和經(jīng)濟(jì)社會(huì)穩(wěn)定,并且輻射范圍廣泛。因此,世界各國(guó)比以往更加重視工業(yè)信息安全,工業(yè)信息安全已經(jīng)成為當(dāng)前信息安全領(lǐng)域中最為重要的部分之一。
隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展和智能社會(huì)的快速演進(jìn),由工業(yè)控制網(wǎng)絡(luò)形成的安全問(wèn)題日益突現(xiàn)并迅速放大,甚至將成為改變整個(gè)世界安全形勢(shì)和格局的重要因素。
近年來(lái)世界各國(guó)網(wǎng)絡(luò)安全事件頻發(fā),電力行業(yè)遭受針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊尤為嚴(yán)重,并造成系統(tǒng)崩潰,數(shù)據(jù)采集失敗,通信中斷甚至停工停產(chǎn)等后果。
當(dāng)前,我國(guó)電力工控網(wǎng)絡(luò)安全預(yù)警和應(yīng)急響應(yīng)問(wèn)題長(zhǎng)期得不到解決。過(guò)去幾十年我國(guó)建立的大量關(guān)鍵基礎(chǔ)設(shè)施,基本是依靠國(guó)外裝備和控制系統(tǒng)建立起來(lái)的。國(guó)外廠商設(shè)備普遍存在未知的漏洞,并可能存在后門,某些領(lǐng)域的安全漏洞已經(jīng)隱藏?cái)?shù)年,成為國(guó)家安全的重大隱患。隨著智慧互聯(lián)的進(jìn)程加快,等到建成設(shè)施和系統(tǒng)后再針對(duì)安全進(jìn)行彌補(bǔ)和整改,代價(jià)將非常高昂。
目前,工控設(shè)備普遍存在以下安全風(fēng)險(xiǎn):
存在弱口令、漏洞以及大量開(kāi)放端口等安全風(fēng)險(xiǎn),容易被惡意代碼感染,從而形成僵尸主機(jī);存在違規(guī)接入的風(fēng)險(xiǎn),同時(shí)缺失運(yùn)維手段;設(shè)備在戶外分散安裝,容易受到接觸而又沒(méi)有納入管理,導(dǎo)致物理攻擊、篡改和仿冒;設(shè)備網(wǎng)絡(luò)協(xié)議多種多樣,并存在大量漏洞,增加了終端感染病毒、木馬或惡意代碼入侵的渠道,增加了網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)。
工控安全態(tài)勢(shì)平臺(tái)是基于現(xiàn)場(chǎng)工控主機(jī)用戶操作行為和威脅事件關(guān)聯(lián)分析技術(shù)進(jìn)行安全檢測(cè)的可視化預(yù)警檢測(cè)平臺(tái),實(shí)現(xiàn)安全效果可評(píng)估、安全態(tài)勢(shì)可視化。平臺(tái)主要基于“看清業(yè)務(wù)邏輯,看見(jiàn)潛在威脅,看懂安全風(fēng)險(xiǎn),輔助分析決策”的思路進(jìn)行設(shè)計(jì)應(yīng)用。
工控安全的核心目標(biāo)是解決企業(yè)工業(yè)控制網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。如果不了解工控系統(tǒng)的資產(chǎn)有哪些,控制網(wǎng)絡(luò)邏輯關(guān)系如何,而按照標(biāo)準(zhǔn)信息網(wǎng)絡(luò)安全管理的模式去創(chuàng)建,那么它提供的檢測(cè)能力顯然是脫離實(shí)際的。所以,安全感知平臺(tái)首要解決的就是看清業(yè)務(wù)邏輯。
工控安全是一個(gè)涉及多個(gè)領(lǐng)域的復(fù)雜問(wèn)題,攻擊者可能包括外部黑客、心懷不滿的員工,以及內(nèi)外勾結(jié)等各種情況,攻擊途徑重點(diǎn)是APT、漏洞利用等高級(jí)威脅手段。防御者需要全面監(jiān)控,但攻擊者只需要一點(diǎn)突破即可。如果沒(méi)有系統(tǒng)的感知能力,即使別人告訴你被黑客攻擊了,都找不出黑客是怎么攻擊的。因此,提升工控網(wǎng)絡(luò)安全綜合感知能力勢(shì)在必行。
工控安全系統(tǒng)除了需要能夠及時(shí)發(fā)現(xiàn)問(wèn)題外,還需要保障系統(tǒng)的易用性,確保客戶技術(shù)人員能夠方便快速地發(fā)現(xiàn)安全問(wèn)題,了解影響范圍,定位問(wèn)題源頭,提供響應(yīng)的展示告警和分析舉證服務(wù)。
除了專業(yè)的威脅檢測(cè)和風(fēng)險(xiǎn)分析效果之外,工控安全感知平臺(tái)還可提供可視化的形式為用戶呈現(xiàn)關(guān)鍵業(yè)務(wù)資產(chǎn)及針對(duì)關(guān)鍵業(yè)務(wù)資產(chǎn)的攻擊與潛在威脅,并提供全網(wǎng)攻擊監(jiān)測(cè)、分支機(jī)構(gòu)監(jiān)管以及風(fēng)險(xiǎn)內(nèi)外聯(lián)監(jiān)測(cè)等多個(gè)不同視角的可視化展示,提供對(duì)風(fēng)險(xiǎn)主機(jī)的報(bào)告導(dǎo)出和分析服務(wù),為安全主管提供駕駛艙式的輔助決策服務(wù)。
平臺(tái)總體架構(gòu)遵循:中心建設(shè)、邊緣計(jì)算的架構(gòu)模式,實(shí)現(xiàn)數(shù)據(jù)上下聯(lián)動(dòng)。如圖1所示。
統(tǒng)一平臺(tái):建設(shè)集中的態(tài)勢(shì)感知平臺(tái),平臺(tái)承接多級(jí)、多角色用戶訪問(wèn),比如集團(tuán)級(jí)總部用戶、省市級(jí)用戶、場(chǎng)站級(jí)用戶,不同的層級(jí)提供不同的數(shù)據(jù)展示和分析維度。
數(shù)據(jù)上下聯(lián)動(dòng),以平臺(tái)為中心對(duì)上與上級(jí)監(jiān)管單位實(shí)現(xiàn)對(duì)接,上報(bào)企業(yè)安全運(yùn)營(yíng)情報(bào)數(shù)據(jù),對(duì)下與廠站邊緣采集設(shè)備實(shí)現(xiàn)聯(lián)動(dòng),實(shí)現(xiàn)遠(yuǎn)程管控。
整個(gè)系統(tǒng)分為日志采集、流量采集、平臺(tái)層三部分,采用大數(shù)據(jù)存儲(chǔ)分析架構(gòu),支持云端快速部署。如圖2所示。
流量采集,內(nèi)置深度包解析技術(shù)(DPI),實(shí)現(xiàn)常用的工控協(xié)議深度包分析,通過(guò)特征匹配實(shí)現(xiàn)異常流量告警。同時(shí)內(nèi)置流統(tǒng)計(jì),按不同的協(xié)議及規(guī)范實(shí)現(xiàn)流統(tǒng)計(jì)。
日志采集,內(nèi)置消息隊(duì)列,收集來(lái)自于各種傳感器,Agent,以及流量采集器產(chǎn)生的數(shù)據(jù)信息。經(jīng)過(guò)初級(jí)加工,不同日志格式的歸一化處理,將數(shù)據(jù)推送到平臺(tái)。
圖1 平臺(tái)總體架構(gòu)圖
圖2 系統(tǒng)技術(shù)架構(gòu)圖
圖3 日志采集功能
平臺(tái)展示,利用大數(shù)據(jù)可視化技術(shù),結(jié)合GIS地理位置、威脅情報(bào)關(guān)聯(lián)等,實(shí)現(xiàn)集團(tuán)、廠級(jí)網(wǎng)絡(luò)安全數(shù)據(jù)的多維度信息展示。
(1)日志采集
圖4 流量采集功能
如圖3所示,主機(jī)日志采集,主要利用Agent代理模式,安裝于主機(jī)中,對(duì)主機(jī)自身的Windows或Linux操作系統(tǒng)的操作行為、報(bào)警日志、合規(guī)配置等進(jìn)行采集。
網(wǎng)絡(luò)設(shè)備和安全設(shè)備的日志采集主要基于SYSLOG、SNMP/SNMP TRAP、ICMP、ARP、JDBC/ODBC、TELNET、SSH/HTTP、HTTP、JMX、SOAP等廠商設(shè)備提供的接口進(jìn)行日志的采集。
(2)流量采集
如圖4所示,利用流量鏡像技術(shù),在交換機(jī)或路由器上,將一個(gè)或多個(gè)源端口的數(shù)據(jù)流量轉(zhuǎn)發(fā)到某一個(gè)指定端口來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的監(jiān)聽(tīng),全面獲得網(wǎng)絡(luò)中指定端口的上下行流量。
(3)威脅感知
全流量威脅特征分析采用網(wǎng)絡(luò)通信深度報(bào)文解析的方式,通過(guò)對(duì)網(wǎng)絡(luò)應(yīng)用流量的分析,提取出能夠唯一標(biāo)志對(duì)應(yīng)網(wǎng)絡(luò)應(yīng)用的識(shí)別特征碼,即指紋,然后根據(jù)收集到的威脅特征碼構(gòu)建完備的識(shí)別特征庫(kù),并保證特征庫(kù)中所有特征都是最新且唯一的。在進(jìn)行具體流量識(shí)別任務(wù)時(shí),對(duì)經(jīng)過(guò)網(wǎng)絡(luò)關(guān)口的每個(gè)或特定數(shù)據(jù)包進(jìn)行模式匹配。對(duì)于一些規(guī)則簡(jiǎn)單的特征,可以采用基本的字符串匹配。對(duì)于復(fù)雜或高級(jí)的特征,可以通過(guò)正則表達(dá)式進(jìn)行匹配。當(dāng)模式匹配成功時(shí),就可以判斷該數(shù)據(jù)包所屬的數(shù)據(jù)流的類型為預(yù)定義字段所屬的威脅事件。
機(jī)器學(xué)習(xí)威脅分析基于應(yīng)用已知威脅,基于已知漏洞的特征,構(gòu)建語(yǔ)義化描述的漏洞庫(kù),可以直接進(jìn)行漏洞攻擊所導(dǎo)致的數(shù)據(jù)泄漏的檢測(cè)。針對(duì)漏洞的變種攻擊,采用自然語(yǔ)言處理技術(shù)(NLP),將語(yǔ)義化漏洞庫(kù)規(guī)則轉(zhuǎn)換成可以量化的特征向量。定位出了漏洞代碼序列之后,使用向量執(zhí)行來(lái)對(duì)變量進(jìn)行取值范圍的構(gòu)建,然后再引入漏洞判斷的條件組合起來(lái)交由求解器來(lái)實(shí)現(xiàn)。由漏洞庫(kù)樣本擬合出一條回歸函數(shù),讓回歸函數(shù)和算法來(lái)對(duì)漏洞條目數(shù)據(jù)進(jìn)行分類計(jì)算,構(gòu)建已知威脅的變種的攻擊下數(shù)據(jù)泄漏檢測(cè)分析的問(wèn)題。如圖5所示。
(4)態(tài)勢(shì)可視
數(shù)據(jù)可視化旨在借助于圖形化手段,清晰有效地傳達(dá)與溝通信息。在工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)感知應(yīng)用中可以刻畫以下維度。
工控資產(chǎn)業(yè)務(wù)可視:通過(guò)網(wǎng)絡(luò)拓?fù)湫问?,全網(wǎng)繪制工業(yè)控制系統(tǒng)網(wǎng)絡(luò)資產(chǎn)結(jié)構(gòu),包括動(dòng)態(tài)可視資產(chǎn)運(yùn)行狀態(tài)、開(kāi)放的端口、關(guān)聯(lián)的告警事件等。
工控威脅風(fēng)險(xiǎn)可視:基于工控威脅事件,對(duì)主機(jī)、風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶進(jìn)行詳細(xì)舉證,將目標(biāo)資產(chǎn)發(fā)起的和遭受的攻擊/異常活動(dòng)進(jìn)行匯聚整理成安全事件,利用攻擊鏈的形式展示主機(jī)被入侵后發(fā)起的威脅活動(dòng)情況,直觀顯示被入侵后主機(jī)是否被利用產(chǎn)生威脅,且威脅程度是否逐步升級(jí)的情況。
工控脆弱性可視:針對(duì)動(dòng)態(tài)監(jiān)控主機(jī)弱口令、U盤插拔、無(wú)密碼維護(hù)期限、防護(hù)開(kāi)關(guān)、關(guān)鍵目錄修改、遠(yuǎn)程桌面登錄等潛在的危害行為進(jìn)行分析,利用VCE漏洞庫(kù)信息,實(shí)時(shí)關(guān)聯(lián)資產(chǎn)固件、軟件存在的漏洞情況,為用戶判斷威脅入侵提供基礎(chǔ)依據(jù)。
海量數(shù)據(jù)采集后,對(duì)于已知攻擊的實(shí)時(shí)分析,歷史數(shù)據(jù)的挖掘分析,以及對(duì)海量?jī)?nèi)外網(wǎng)數(shù)據(jù)、事件、文件等的關(guān)聯(lián)分析檢索,及實(shí)時(shí)在線檢測(cè)、離線檢測(cè),發(fā)現(xiàn)APT攻擊和信息泄漏行為,需要成為安全運(yùn)營(yíng)工作中具備的基本能力。
圖5 威脅感知功能
傳統(tǒng)的IT管理系統(tǒng)強(qiáng)調(diào)對(duì)單個(gè)設(shè)備和性能的可用性管理,缺乏通過(guò)多設(shè)備聯(lián)動(dòng),對(duì)復(fù)雜網(wǎng)絡(luò)威脅(如APT攻擊)的檢測(cè)和防護(hù)。同時(shí),從設(shè)備監(jiān)控視角出發(fā),原始的監(jiān)控過(guò)度地強(qiáng)調(diào)設(shè)備故障的及時(shí)診斷,已經(jīng)無(wú)法從根本上保障核心業(yè)務(wù)系統(tǒng)的可用性。平臺(tái)可以對(duì)核心資產(chǎn)多維度進(jìn)行監(jiān)控和分析,可提升運(yùn)營(yíng)效率。
無(wú)論是在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境還是在云計(jì)算環(huán)境,不可避免地存在一個(gè)或者多個(gè)業(yè)務(wù)系統(tǒng)并存的情況。網(wǎng)絡(luò)安全運(yùn)營(yíng)從來(lái)不是獨(dú)立的事情,打破各自為戰(zhàn)的“信息孤島”,將安全運(yùn)營(yíng)團(tuán)隊(duì)融入相關(guān)業(yè)務(wù)體系進(jìn)行協(xié)同運(yùn)維管理,將是發(fā)展的重中之重。