智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系研究

趙文波

（北京天地和興科技有限公司，北京 100085）

0 引言

水是維系人類生活及社會發(fā)展不可缺少的自然資源，而水利工程是國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，在防洪安全、水資源合理利用、生態(tài)環(huán)境保護、國民經(jīng)濟發(fā)展等方面具有不可替代的重要作用，包括城鎮(zhèn)供水、水力發(fā)電、水利調(diào)度、港口、水利灌溉、水環(huán)境等工程。目前，大部分水利工程均通過各種工業(yè)控制系統(tǒng)進行自動化控制或遠程監(jiān)測，而隨著全社會數(shù)字化轉(zhuǎn)型浪潮的到來，5G、物聯(lián)網(wǎng)、邊緣計算、云計算等新興 ICT 技術(shù)（信息與通信技術(shù)）被廣泛應(yīng)用于水利工程控制系統(tǒng)中，水利工程控制系統(tǒng)則升級為智慧水利物聯(lián)網(wǎng)系統(tǒng)，極大提高了水利工程的生產(chǎn)效率、設(shè)備故障預(yù)測率、系統(tǒng)智能化水平等，但也帶來了極大的信息安全風(fēng)險，既有新的設(shè)備漏洞引入的脆弱性問題，也有外部攻擊帶來的網(wǎng)絡(luò)安全威脅[1]。為應(yīng)對這些前所未有的安全問題，需要用創(chuàng)新的方法和技術(shù)化解。通過實時監(jiān)測整體智慧水利物聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢，對于提升智慧水利系統(tǒng)抵御網(wǎng)絡(luò)安全威脅能力意義重大。

1 智慧水利物聯(lián)網(wǎng)總體框架

智慧水利物聯(lián)網(wǎng)通過物聯(lián)網(wǎng)、移動寬帶、邊緣計算、云計算等新興 ICT 技術(shù)與水利信息系統(tǒng)的結(jié)合，實現(xiàn)水資源數(shù)據(jù)實時采集和共享，以及大數(shù)據(jù)的深度分析和應(yīng)用管理，有效提升了水利工程運用和管理的效率。智慧水利物聯(lián)網(wǎng)在采集站點種類、空間密度、時間頻度、數(shù)據(jù)精度等方面進行全面的提升，為智慧水利應(yīng)用提供了基礎(chǔ)支撐。智慧水利感知網(wǎng)涵蓋了水文水資源、水生態(tài)環(huán)境、水利工程運行、水旱災(zāi)害防御等方面，主要包括雨量自動采集、水位自動監(jiān)測、土壤墑情感知、水質(zhì)在線智能分析，以及泵站自動化、城市供水管網(wǎng)、農(nóng)田智能灌溉、水電站自動化等監(jiān)控。

智慧水利物聯(lián)網(wǎng)總體技術(shù)框架如圖 1 所示。

圖1 智慧水利物聯(lián)網(wǎng)總體技術(shù)框架

智慧水利物聯(lián)網(wǎng)總體分為 4 層，從下至上分別如下：

1）傳感終端層。根據(jù)不同的系統(tǒng)應(yīng)用，傳感終端層有各種類型的傳感和監(jiān)測設(shè)備，如雨量計、水位/液位傳感器、水質(zhì)分析儀、土壤墑情傳感器、智能灌溉屏、LCU 屏等。傳感終端層是物聯(lián)網(wǎng)的神經(jīng)末梢，負(fù)責(zé)把真實自然世界的各種物理量、化學(xué)量、生物量轉(zhuǎn)化為可測量的電信號，采集大量的原始感知數(shù)據(jù)，這些采集數(shù)據(jù)經(jīng)過局域網(wǎng)絡(luò)到達邊緣計算層。

2）邊緣計算層。邊緣計算層是云端計算的延伸，它有效分擔(dān)了云端的計算壓力，主要由各種智能網(wǎng)關(guān)或邊緣計算服務(wù)器組成，在其上運行各種定制 App，并根據(jù)實際水利應(yīng)用需求，對原始感知數(shù)據(jù)進行第1 次處理，處理后的數(shù)據(jù)或原始數(shù)據(jù)將進入網(wǎng)絡(luò)傳輸層。

3）網(wǎng)絡(luò)傳輸層。網(wǎng)絡(luò)傳輸層是一個廣義的概念，既包括數(shù)據(jù)采集現(xiàn)場局域網(wǎng)，也包括實現(xiàn)遠程通信的廣域網(wǎng)。這一層不對采集數(shù)據(jù)進行處理，僅解決網(wǎng)絡(luò)通路問題，有大量的網(wǎng)絡(luò)和網(wǎng)絡(luò)安全設(shè)備作為支撐，如路由器、交換機、VPN、防火墻、無線網(wǎng)橋、IPS（入侵防御系統(tǒng)）和 IDS（入侵檢測系統(tǒng)）等。隨著業(yè)務(wù)系統(tǒng)的云化，采集的數(shù)據(jù)最后進入云計算層。

4）云計算層。云計算層是物聯(lián)網(wǎng)的神經(jīng)中樞，是各種 ICT 技術(shù)應(yīng)用最多，最為復(fù)雜的一層。云計算層內(nèi)部大致分為 3 層，其中：有負(fù)責(zé)業(yè)務(wù)支撐的各種資源池層，如網(wǎng)絡(luò)、計算、存儲等資源池；再往上是負(fù)責(zé)數(shù)據(jù)分析的數(shù)據(jù)處理層，完成數(shù)據(jù)校驗、解析、管理、入庫等工作；最后是面向?qū)嶋H水利業(yè)務(wù)的業(yè)務(wù)應(yīng)用層，這些應(yīng)用最終提供給政府主管部門、水利企業(yè)或公眾使用。

2 智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅態(tài)勢

智慧水利物聯(lián)網(wǎng)顯著增加了水利信息系統(tǒng)的復(fù)雜性，各種 ICT 新技術(shù)的使用加速了水利 IT 基礎(chǔ)設(shè)施演進的步伐，此外，接入網(wǎng)絡(luò)的各種物聯(lián)網(wǎng)采集終端的數(shù)量和采集的數(shù)據(jù)都與日俱增，這些技術(shù)和趨勢幫助水利相關(guān)企業(yè)加速實現(xiàn)業(yè)務(wù)成果邁向數(shù)字化。但與此同時，也給智慧水利物聯(lián)網(wǎng)系統(tǒng)帶來前所未有的網(wǎng)絡(luò)安全威脅。網(wǎng)絡(luò)安全威脅主要有以下幾個方面：1）大量的物聯(lián)網(wǎng)感知節(jié)點暴露在外部，其自身的物理環(huán)境安全得不到保障（包括電磁干擾、電力保障等）；2）物聯(lián)網(wǎng)感知節(jié)點缺乏網(wǎng)絡(luò)接入認(rèn)證授權(quán)控制，導(dǎo)致出現(xiàn)非法訪問、僵尸網(wǎng)絡(luò)、拒絕服務(wù)攻擊等安全問題；3）物聯(lián)網(wǎng)感知節(jié)點缺乏安全防護，導(dǎo)致存在傳輸?shù)母兄獢?shù)據(jù)被篡改、偽造、重傳等安全問題；4）大量物聯(lián)網(wǎng)感知和邊緣計算等節(jié)點可能存在安全漏洞，易被攻擊者利用對整個智慧水利物聯(lián)網(wǎng)系統(tǒng)發(fā)起攻擊；5）系統(tǒng)內(nèi)部威脅也不容小覷，內(nèi)部威脅可能源自一位內(nèi)部可靠員工的誤操作，也可能源自偽裝成合法用戶的攻擊者，其攻破了網(wǎng)絡(luò)邊界，竊取了認(rèn)證信息，并且植入了惡意軟件[2]。

3 智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系建設(shè)必要性

面對持續(xù)增長的內(nèi)外部安全威脅，尤其是利用系統(tǒng)大量物聯(lián)網(wǎng)感知和邊緣計算等節(jié)點的漏洞發(fā)起的新型高級持續(xù)性的網(wǎng)絡(luò)攻擊，單靠“頭痛醫(yī)頭、腳痛醫(yī)腳”的傳統(tǒng)信息安全建設(shè)思路已經(jīng)無法應(yīng)對，需要實時監(jiān)控物聯(lián)網(wǎng)感知層、邊緣計算層、網(wǎng)絡(luò)傳輸層、云計算層的安全威脅動態(tài)，如各種設(shè)備的系統(tǒng)日志、安全日志、異常告警、流量數(shù)據(jù)等，對非法訪問、拒絕服務(wù)攻擊、數(shù)據(jù)篡改、偽造等安全問題做到實時分析預(yù)警。構(gòu)建全面的自動化安全監(jiān)測體系，作為預(yù)警網(wǎng)絡(luò)安全威脅的基石，對智慧水利物聯(lián)網(wǎng)系統(tǒng)做動態(tài)持續(xù)性的網(wǎng)絡(luò)安全監(jiān)測，做到網(wǎng)絡(luò)安全問題早發(fā)現(xiàn)、早報告、早處置。

國家也高度重視新的網(wǎng)絡(luò)安全問題，2016 年頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，開啟了我國網(wǎng)絡(luò)安全相關(guān)政策、制度、規(guī)范等的頂層設(shè)計，其中第三章第三十一條，要求對包括工業(yè)控制系統(tǒng)在內(nèi)的“可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實行重點保護，并在第五章第五十二條對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門提出網(wǎng)絡(luò)安全監(jiān)測預(yù)警的要求。2018 年，工業(yè)和信息化部正式印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018—2020 年）》，其中：要求全面加強技術(shù)支撐體系建設(shè)，到 2020 年底，建成全國在線監(jiān)測網(wǎng)絡(luò)、應(yīng)急資源庫，以及仿真測試、信息共享、信息通報等平臺（一網(wǎng)一庫三平臺）。全國在線監(jiān)測網(wǎng)絡(luò)將實現(xiàn)對全國重要工業(yè)控制系統(tǒng)運行狀態(tài)和風(fēng)險隱患的實時感知、精準(zhǔn)研判、科學(xué)決策[3]。智慧水利物聯(lián)網(wǎng)系統(tǒng)作為我國重要的關(guān)鍵信息基礎(chǔ)設(shè)施，應(yīng)符合國家法規(guī)要求，建立全天候的網(wǎng)絡(luò)安全監(jiān)測體系，保障智慧水利物聯(lián)網(wǎng)系統(tǒng)的安全穩(wěn)定運行。

4 智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系建設(shè)策略

為保障智慧水利物聯(lián)網(wǎng)系統(tǒng)整體的安全可靠，可采取以下安全措施：通過網(wǎng)絡(luò)防火墻對智慧水利物聯(lián)網(wǎng)系統(tǒng)的各層進行安全隔離，阻斷非法訪問；通過增加物聯(lián)網(wǎng)終端準(zhǔn)入認(rèn)證，防止非法終端的接入；通過端到端的加密，保證傳輸?shù)谋Ｃ苄院屯暾?。這些安全措施在一定程度上起到安全防護的作用，但隨著網(wǎng)絡(luò)威脅的持續(xù)增長及網(wǎng)絡(luò)攻擊手段的多樣化，需要根據(jù)智慧水利物聯(lián)網(wǎng)總體框架的分層特點，建設(shè)一套覆蓋各層的基于主動防御的全維度安全監(jiān)測體系。智慧水利物聯(lián)網(wǎng)安全監(jiān)測體系如圖2 所示。

圖2 智慧水利物聯(lián)網(wǎng)安全監(jiān)測體系

針對 4 個不同采集對象給出的總體安全監(jiān)測策略分析如下：

1）終端監(jiān)視。在傳感終端層，因為物聯(lián)網(wǎng)感知終端的計算能力有限，不產(chǎn)生日志也無法查詢，所以需要通過觀察網(wǎng)絡(luò)行為找到攻擊者的蛛絲馬跡，為云端的大數(shù)據(jù)分析提供一手?jǐn)?shù)據(jù)支持，稱之為終端監(jiān)視。通過監(jiān)視網(wǎng)絡(luò)流量，可以收集終端設(shè)備的運行狀態(tài)、基本信息、行為的安全基線等，從而實時監(jiān)測終端節(jié)點的合法性及運行的穩(wěn)定性。

2）邊緣監(jiān)測。邊緣計算層是承上啟下的一層，既有邊緣與云的通信，又有邊緣與終端的通信，而且有一定的計算能力，所以安全監(jiān)測應(yīng)深入到邊緣計算層的每個節(jié)點中，對宿主機、水利業(yè)務(wù) App 的運行安全狀態(tài)做實時的監(jiān)測。同時，還要監(jiān)測雙向通信和外部訪問的流量。

3）網(wǎng)絡(luò)監(jiān)控。網(wǎng)絡(luò)傳輸層是整個系統(tǒng)的大動脈，支撐它的是大量的網(wǎng)絡(luò)和安全 2 種設(shè)備，這些設(shè)備均具備強大的網(wǎng)絡(luò)日志和監(jiān)控功能。通過Syslog，SNMP trap 等日志采集協(xié)議，收集 2 種設(shè)備的運行狀態(tài)日志、安全事件告警；通過 SNMP，ODBC，JDBC 等多種網(wǎng)絡(luò)監(jiān)控協(xié)議，收集性能信息。另外，通過安全大數(shù)據(jù)分析后的生產(chǎn)聯(lián)動策略也可以下發(fā)到安全設(shè)備上執(zhí)行，這些措施，既實現(xiàn)對網(wǎng)絡(luò)層的全面監(jiān)測，又實現(xiàn)對整個系統(tǒng)通信的安全控制。

4）云端分析。依托云計算層強大的硬件資源池，安全大數(shù)據(jù)監(jiān)測分析平臺業(yè)務(wù)部署在云端，可以直接獲取云平臺本身的資產(chǎn)信息、運行狀態(tài)、管理信息等，并可以接收其他 3 層收集的安全數(shù)據(jù)和第三方的威脅情報。這些數(shù)據(jù)經(jīng)過采用多種科學(xué)分析方法的大數(shù)據(jù)分析后，實現(xiàn)對系統(tǒng)資產(chǎn)、業(yè)務(wù)運行、攻擊行為、網(wǎng)絡(luò)威脅、弱點漏洞、安全風(fēng)險等的全維度態(tài)勢感知。

通過“終端監(jiān)視、邊緣監(jiān)測、網(wǎng)絡(luò)監(jiān)控、云端分析”的網(wǎng)絡(luò)安全監(jiān)測總體策略，對智慧水利物聯(lián)網(wǎng)進行覆蓋云端、網(wǎng)絡(luò)、邊緣、終端的深度網(wǎng)絡(luò)安全監(jiān)測，最終達到及時發(fā)現(xiàn)內(nèi)外部網(wǎng)絡(luò)安全威脅和智能展現(xiàn)物聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢的目的。

從各層采集全面的安全數(shù)據(jù)，應(yīng)用多種科學(xué)分析方法對其進行全維度的深入的大數(shù)據(jù)分析，最終實現(xiàn)對惡意內(nèi)部威脅、高級持續(xù)性威脅、0day 漏洞攻擊及已知威脅的實時發(fā)現(xiàn)和及時處置[4–5]。全面安全數(shù)據(jù)包括安全事件告警與日志、網(wǎng)絡(luò)流量與原始數(shù)據(jù)包、業(yè)務(wù)上下文、外部威脅情報等，科學(xué)分析方法包括特征匹配、關(guān)聯(lián)分析、聚類、分類、事件認(rèn)知、機器學(xué)習(xí)等。

5 智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測分析技術(shù)

要實現(xiàn)智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系總體策略，需要有安全數(shù)據(jù)采集和分析兩大類安全技術(shù)作為支撐。

5.1 安全數(shù)據(jù)采集技術(shù)

安全數(shù)據(jù)采集主要包括真實網(wǎng)絡(luò)流量、設(shè)備日志、計算節(jié)點運行狀態(tài)及應(yīng)用數(shù)據(jù)等的采集，基于這些采集的安全數(shù)據(jù)，進行面向安全態(tài)勢感知、異常告警、外部攻擊告警、內(nèi)部威脅告警、網(wǎng)絡(luò)溯源取證、安全應(yīng)急響應(yīng)措施建議等應(yīng)用場景的數(shù)據(jù)分析，是智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測的核心。基于采集的對象，安全數(shù)據(jù)采集技術(shù)包括以下技術(shù)：

1）日志采集技術(shù)。日志對智慧水利物聯(lián)網(wǎng)系統(tǒng)尤其重要，日志采集是網(wǎng)絡(luò)安全監(jiān)測分析的基礎(chǔ)。一般采集的日志包括用戶行為、業(yè)務(wù)變更和系統(tǒng)運行等日志。為滿足不同的應(yīng)用場景，采集方式有WebAPI、標(biāo)準(zhǔn)協(xié)議、客戶端等方式。針對智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測，主要通過 Syslog，SNMPtrap等標(biāo)準(zhǔn)日志采集協(xié)議進行系統(tǒng)設(shè)備日志收集。

2）流量采集技術(shù)。流量采集技術(shù)是監(jiān)控網(wǎng)絡(luò)流量的關(guān)鍵技術(shù)之一，作為日志采集技術(shù)的有效補充，可為智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測分析提供一手的數(shù)據(jù)來源。針對物聯(lián)網(wǎng)感知層設(shè)備繁多，功能單一的特點，通過網(wǎng)絡(luò)鏡像的方式可以直接采集各感知層設(shè)備的運行狀態(tài)、基本信息、行為的安全基線等信息。

3）威脅情報技術(shù)。除了采用日志和流量 2 種采集技術(shù)分析系統(tǒng)內(nèi)部安全威脅外，還需要對系統(tǒng)外部通信過程中的安全風(fēng)險進行及時預(yù)警，所以，需要通過權(quán)威第三方威脅情報對智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測提供數(shù)據(jù)支持，常見的威脅情報包括 IP 地址、URL（統(tǒng)一資源定位器）、文件等信譽情報。

5.2 安全數(shù)據(jù)分析技術(shù)

安全數(shù)據(jù)分析技術(shù)主要包括以下技術(shù)：

1）態(tài)勢可視化技術(shù)。態(tài)勢可視化對威脅成因進行橫向?qū)Ρ?、縱向分析，建立表征威脅態(tài)勢的 1 組關(guān)鍵指標(biāo)體系，記錄一段時間內(nèi)某個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)安全威脅狀態(tài)，并預(yù)測其發(fā)展趨勢，可提早響應(yīng)，及時應(yīng)對。態(tài)勢可視化展示具體包括攻擊、脆弱性、設(shè)備資產(chǎn)、應(yīng)用安全、數(shù)據(jù)資產(chǎn)和流量等態(tài)勢展示[6]。

2）特征匹配技術(shù)。特征匹配技術(shù)是一種成熟的攻擊檢測技術(shù)，廣泛應(yīng)用于 IDS 中，借助已知攻擊特征檢測攻擊，實現(xiàn)對暴力破解、拒絕服務(wù)攻擊、漏洞利用攻擊、泛洪攻擊等常見攻擊類型的檢測。另外，將關(guān)聯(lián)分析技術(shù)與特征匹配技術(shù)相結(jié)合，進行數(shù)據(jù)聚類和分類，實現(xiàn)對未知攻擊的檢測[7]。

3）威脅情報技術(shù)。威脅情報技術(shù)是新興的安全分析技術(shù)，利用內(nèi)部威脅情報數(shù)據(jù)和眾多第三方情報供應(yīng)商提供的可執(zhí)行的威脅情報，進行威脅檢測和事件響應(yīng)，可以動態(tài)檢測 URL/DNS（域名系統(tǒng)）/IP 黑名單、DNS 庫、IP 地理庫、社工庫等[8]。

4）多數(shù)據(jù)源關(guān)聯(lián)規(guī)則技術(shù)。通過多場景多維度的組合關(guān)聯(lián)分析，體現(xiàn)強大的關(guān)聯(lián)分析能力，分析場景包含規(guī)則、漏洞、流量、威脅、資產(chǎn)、監(jiān)控等關(guān)聯(lián)。分析事件以正在進行中的威脅和風(fēng)險檢測，確定具體的攻擊[9]。關(guān)聯(lián)所有的日志、事件、網(wǎng)絡(luò)流，以及諸如身份、角色、漏洞等上下文信息，重點標(biāo)識高風(fēng)險安全威脅，例如：來自某些 IP 的性能故障事件發(fā)生時間存在先后，在網(wǎng)絡(luò)拓?fù)渖系挠成浞瞎收系膫鞑ヌ匦浴?/p>

5）安全基線分析技術(shù)。在新的深度學(xué)習(xí)算法加持下，通過統(tǒng)計和自學(xué)習(xí)產(chǎn)生學(xué)習(xí)基線，包括事件、流量等基線?；€反映網(wǎng)絡(luò)內(nèi)過去時間所發(fā)生的安全事件，或者網(wǎng)絡(luò)流量隨時間的變化規(guī)律和趨勢，通過基線可以對比當(dāng)前事件情況是否偏離基線，從而判斷是否是異常事件或流量。

6）事件認(rèn)知分析技術(shù)。通過聚合相關(guān)的告警、事件、威脅情報、資產(chǎn)和場景信息，實現(xiàn)自動告警檢測和威脅調(diào)查取證，通過動態(tài)的風(fēng)險評分計算進行持續(xù)的風(fēng)險評估，通過對之前事件響應(yīng)的學(xué)習(xí)實現(xiàn)對同類型安全事件的自動化響應(yīng)，并給出可執(zhí)行的安全處置指導(dǎo)性建議[10]。

通過安全數(shù)據(jù)分析技術(shù)手段，可以實現(xiàn)安全事件智能檢測、態(tài)勢感知、應(yīng)急響應(yīng)、輔助決策等信息安全的閉環(huán)管理，構(gòu)建起基于主動防御的智慧水利物聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測體系[11]。

6 結(jié)語

智慧水利物聯(lián)網(wǎng)是我國水利行業(yè)數(shù)字化轉(zhuǎn)型的必經(jīng)之路，而網(wǎng)絡(luò)安全是智慧水利物聯(lián)網(wǎng)的重要保障。根據(jù)物聯(lián)網(wǎng)自身的技術(shù)特點，建立覆蓋從端到云的主動防御網(wǎng)絡(luò)安全監(jiān)測體系，落實“終端監(jiān)視、邊緣監(jiān)測、網(wǎng)絡(luò)監(jiān)控、云端分析”的網(wǎng)絡(luò)安全監(jiān)測總體策略，通過全覆蓋的數(shù)據(jù)采集和多手段的安全數(shù)據(jù)分析技術(shù)，實現(xiàn)針對智慧水利物聯(lián)網(wǎng)安全威脅的全過程管理，并提供快速的應(yīng)急響應(yīng)決策建議，幫助智慧水利物聯(lián)網(wǎng)應(yīng)對日益嚴(yán)重的內(nèi)外部安全威脅，加快數(shù)字化轉(zhuǎn)型進程。但是，建立起監(jiān)測體系后，還需要對監(jiān)測分析技術(shù)進行持續(xù)的優(yōu)化，對安全數(shù)據(jù)進行持續(xù)的訓(xùn)練和學(xué)習(xí)，不斷提高分析的準(zhǔn)確率，降低安全事件告警的誤報率。