電力生產(chǎn)控制大區(qū)安全域狀態(tài)感知系統(tǒng)研究與實現(xiàn)

陳澤文,陳泉騰,程世濤,寧志言

（1.國網(wǎng)福建省電力公司，福建福州 350001；2.北京科東電力控制系統(tǒng)有限責任公司，北京 100192）

1 引言

隨著能源互聯(lián)網(wǎng)迅速發(fā)展和不斷演進，互聯(lián)網(wǎng)技術(shù)被廣泛應用到電力行業(yè)各個領域，傳統(tǒng)電力生產(chǎn)控制系統(tǒng)越來越具有互動性、交互性，使得傳統(tǒng)相對封閉地生產(chǎn)控制大區(qū)面臨新的網(wǎng)絡安全威脅。從20l0年的“震網(wǎng)病毒”、2014年的Havex 病毒、2015 和2016年的烏克蘭停電等幾起重大安全攻擊事件可以看出，目前針對控制大區(qū)的攻擊不再需要復雜攻擊手段、完整還原業(yè)務系統(tǒng)運行狀態(tài)，就能直接影響控制系統(tǒng)正常運行，攻擊成本在降低，而隨著特高壓電網(wǎng)推進深入，對互聯(lián)大電網(wǎng)攻擊所帶來的影響卻進一步加重[1]。

生產(chǎn)控制大區(qū)網(wǎng)絡安全不僅僅是設備安全，更重要的是控制業(yè)務系統(tǒng)安全，調(diào)度系統(tǒng)安全運維管理應該從整體出發(fā)，以保障用戶業(yè)務的絕對安全[2]。傳統(tǒng)網(wǎng)絡安全管理工作形式、功能單一[3]，往往缺乏保護整個網(wǎng)絡的能力[4]，且存在不了解安全域間、域內(nèi)真實流量，難以判斷違規(guī)的網(wǎng)絡結(jié)構(gòu)，難以監(jiān)測到非必要連接，難以察覺防火墻策略開放過大等問題，同時無法快速發(fā)現(xiàn)和精準定位安全事件，無法做到安全審計。因此，需要將單一的安全管理模式轉(zhuǎn)變?yōu)榻y(tǒng)一的、直觀的安全管理模式，便于管理人員判斷互連合規(guī)性，對各流量進行實時監(jiān)控，防火墻策略梳理與審計等多重作用[5-8]，這些需求，催生了如今的安全運維平臺[9-10]。

本文針對電力生產(chǎn)控制大區(qū)內(nèi)網(wǎng)中網(wǎng)絡流量監(jiān)測、隱蔽通道檢測、安全域主動運維、設備連接可視化、防火墻策略梳理審計等五大場景，開展安全域狀態(tài)感知和分析研究，解決現(xiàn)有電力控制大區(qū)存在的安全域劃分混亂、安全策略大量堆積、網(wǎng)絡威脅狀態(tài)感知不足等問題，提升了控制大區(qū)網(wǎng)絡安全系統(tǒng)保障和主動運維能力。

2 安全域狀態(tài)感知系統(tǒng)架構(gòu)

安全域狀態(tài)感知系統(tǒng)基于旁路鏡像方式、接收NetFlow方式獲取網(wǎng)絡流量和網(wǎng)絡行為，幫助生產(chǎn)控制大區(qū)構(gòu)建控制級感知環(huán)境，化被動式安全管理為主動式安全管理，化模糊化安全管理為矢量化安全管理，實現(xiàn)異常網(wǎng)絡行為監(jiān)控與分析，來應對外部的定向攻擊和內(nèi)部的違規(guī)威脅。系統(tǒng)從功能結(jié)構(gòu)上可以分為4層，自下而上依次為采集層、功能層、數(shù)據(jù)庫層、展示層和應用接口層。如圖1所示。

圖1 功能結(jié)構(gòu)示意圖

采集層：數(shù)據(jù)采集是所有分析業(yè)務的基礎，是整個系統(tǒng)數(shù)據(jù)流的入口。系統(tǒng)支持三種種數(shù)據(jù)采集方式：一種方式為接收Flow 流量，另一種方式為鏡像方式采集數(shù)據(jù)包以及防火墻配置采集，采集方式的靈活性使得設備可以部署在不同的網(wǎng)絡環(huán)境下，而數(shù)據(jù)采集過程中采用智能采樣和定制化數(shù)據(jù)包過濾的手段保證數(shù)據(jù)采集的效率、性能和穩(wěn)定性。實現(xiàn)了對vflow 數(shù)據(jù)、元數(shù)據(jù)的抽取及存儲，可疑流數(shù)據(jù)的全包存儲。

功能層：包括流量分析，策略梳理，內(nèi)置行為基線、連接分析、黑白名單的異常檢測；基于內(nèi)置規(guī)則的合規(guī)審計；歷史數(shù)據(jù)關聯(lián)分析等。

展示層：系統(tǒng)為不同層級、不同角色的用戶提供了層次化的用戶視圖，包括流量監(jiān)測展示、業(yè)務訪問展示、策略梳理展示等。

應用接口層：包括報表管理、系統(tǒng)自身管理、權(quán)限管理，運行配置、接口管理等。

系統(tǒng)部署分為兩級，包含旁路鏡像方式獲取交換機流量和集中管理與數(shù)據(jù)分析，抓包點的選擇依據(jù)監(jiān)控范圍，通常選擇核心交換機或接入交換機。部署方式如圖2所示。

圖2 部署方式

3 安全域狀態(tài)感知場景設計

3.1 內(nèi)網(wǎng)網(wǎng)絡流量監(jiān)測

伴隨著生產(chǎn)控制任務的增加，電力二次系統(tǒng)網(wǎng)絡上的應用和業(yè)務也不斷的豐富，如控制業(yè)務流量，監(jiān)控業(yè)務流量和其它誤操作流量等等。與此同時，網(wǎng)絡攻擊的成本和技術(shù)門檻大幅下降，網(wǎng)絡上會現(xiàn)各種攻擊和異常流量。在這種流量成分日益復雜，異常流量海量涌現(xiàn)的情況下，對業(yè)務行為交互模式的深入分析從而全面了解業(yè)務流量的各種分布以及變化趨勢就顯得十分必要了。

業(yè)務流量行為分析主要應用DFI 技術(shù)（Deep/Dynamic Flow Inspection，深度流檢測技術(shù)），采用基于流量行為的應用識別技術(shù)，即不同應用類型體現(xiàn)在會話連接或數(shù)據(jù)流上的狀態(tài)各有不同。業(yè)務流量行為分析系統(tǒng)實現(xiàn)在電力控制網(wǎng)絡流量環(huán)境中實現(xiàn)業(yè)務流量行為分析與檢測。通過整網(wǎng)流量帶寬以及子網(wǎng)流量分析（路由器，路由器接口）分析，可詳細了解網(wǎng)絡整體帶寬與流量分布情況。安全域狀態(tài)感知系統(tǒng)可通過自定義應用手段，實時監(jiān)控重點應用流量趨勢、大小、占比和排名，查詢歷史流量；實現(xiàn)基于自定義協(xié)議、端口、IP、引擎、業(yè)務口的多種視角監(jiān)控和查詢，能夠?qū)θW(wǎng)的流量行為進行多維度透視分析，并可視化展示，自動化感知控制大區(qū)網(wǎng)絡層安全態(tài)勢。以時間（分鐘、小時、天、月、實時、歷史等）、空間（全網(wǎng)、IP段、IP組、自定義空間等）和特征（總流量、進流量、出流量、數(shù)據(jù)包分布、協(xié)議分布、端口分布等）為基礎，對網(wǎng)絡流量和網(wǎng)絡行為進行多維度、細粒度的分析，并通過形象地的圖表曲線幫助客戶實現(xiàn)流量和行為的可視化，直觀了解網(wǎng)絡運行狀況。

圖3 流量監(jiān)控多維度場景

3.2 隱蔽通道檢測

傳統(tǒng)依賴已知攻擊特征實時檢測、實時阻斷為主體的防御方式面對APT攻擊難以發(fā)揮作用。攻擊者滲透進入目標網(wǎng)絡后，實施遠程控制的主要手段難以檢測。如何更準確更迅速的發(fā)現(xiàn)和告警可能滲透進生產(chǎn)控制大區(qū)中可疑和異常連接是安全運維重中之重。

安全域狀態(tài)感知通過網(wǎng)絡流量深度解析技術(shù)，定義網(wǎng)絡流特征屬性，對異常屬性的流量數(shù)據(jù)進行標注，通過智能算法動態(tài)調(diào)整異常流量特征基線；采用聚類及異常點檢測算法對未標注的流量數(shù)據(jù)進行分析，實時監(jiān)控預警已知或者未知的木馬，與外部宿主機或者內(nèi)部橫向擴散時的隱蔽通道，分析木馬的特征主要包括反向連接、加密行為、上下行流量比異常，檢測出所有非法訪問，從而發(fā)現(xiàn)和鎖定侵入控制大區(qū)攻擊源。

某次木馬C&C隱蔽通道檢測案例如圖4所示。

圖4 木馬C&C隱蔽通道檢測

3.3 安全域主動運維

安全域是由一組具有相同安全保護需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域。同一安全域的系統(tǒng)共享相同的安全策略，電力生產(chǎn)控制大區(qū)一般劃分為控制區(qū)和非控制區(qū)，隨著能源互聯(lián)網(wǎng)快速發(fā)展，封閉的電力控制網(wǎng)絡規(guī)模不斷擴大，控制區(qū)和非控制區(qū)一二級部署應用系統(tǒng)不斷增加，各信息系統(tǒng)之間在安全等級、信任體系和運行模式等方面各不相同，隨著應用系統(tǒng)的上線以及下線，存在者如：控制內(nèi)網(wǎng)中是否存在誤接入可直接訪問控制大區(qū)核心域的線路；兩個不同安全域系統(tǒng)之間是否有可疑流量；是否出現(xiàn)新的未備案、直接部署到安全域的設備；是否存在超出接入審批的其它設備；現(xiàn)有電力生產(chǎn)控制大區(qū)的安全域劃分要求，是否滿足安全生產(chǎn)對具體設備部署要求等等一系列安全域隱患問題，迫切需要采取對資產(chǎn)和應用主動運維方式，開展電力生產(chǎn)控制大區(qū)安全運維。

安全域狀態(tài)感知系統(tǒng)可對資產(chǎn)進行標識與識別，有助于對新IP 的安全性進行分析和判斷；并對非法入網(wǎng)IP 資產(chǎn)進行監(jiān)控，可以有效彌補資產(chǎn)管理系統(tǒng)的管理缺失。幫助運維人員迅速判斷資產(chǎn)的價值和重要性，并在眾多威脅告警中迅速找到應優(yōu)先處理的告警事件。

生產(chǎn)控制大區(qū)應用所使用的協(xié)議類型和端口號噪聲較少，能夠清晰地標識出控制大區(qū)應用的種類和實現(xiàn)方式，是運維過程中檢查控制大區(qū)訪問行為是否合規(guī)的依據(jù)和技術(shù)基礎。主動業(yè)務系統(tǒng)端口梳理可以幫助運維人員快速判斷應用脆弱性的危害程度，迅速確定安全控制的策略，縮短告警事件響應時間。

3.4 設備連接可視化

融合控制大區(qū)內(nèi)部實時控制區(qū)和非實時控制區(qū)、安全域與控制大區(qū)邊界多源數(shù)據(jù)(地址熵、熱點事件等)，定義控制大區(qū)安全域指標與度量標準，采集安全域內(nèi)異構(gòu)安全事件并歸一化數(shù)據(jù)格式，按照指標參數(shù)提取安全域運行指標參數(shù)，融合歷史數(shù)據(jù)與實時流量數(shù)據(jù)的擬合動態(tài)更新安全域狀態(tài)，形成可視化的各業(yè)務網(wǎng)和系統(tǒng)安全域內(nèi)部、安全域之間業(yè)務互連關系；安全域狀態(tài)感知系統(tǒng)使安全域結(jié)構(gòu)可視化，可解決安全域結(jié)構(gòu)和邊界劃分等問題，且系統(tǒng)還提供了樹形的數(shù)據(jù)信息，可實現(xiàn)圖與數(shù)據(jù)相結(jié)合的方式。通過明確控制大區(qū)系統(tǒng)業(yè)務的互聯(lián)訪問邏輯流程，融合不同安全域的資產(chǎn)、網(wǎng)絡、應用等業(yè)務屬性信息。結(jié)合等級保護定級標準與要求和現(xiàn)狀安全域劃分情況，圍繞業(yè)務IP間互聯(lián)關系，感知內(nèi)網(wǎng)安全域狀態(tài)。

圖5 跨區(qū)非法互聯(lián)監(jiān)控圖

可以通過秩序或者黑白灰名單的機制實時動態(tài)監(jiān)控非法業(yè)務流；實時動態(tài)展現(xiàn)境內(nèi)外非法業(yè)務流。關聯(lián)根據(jù)業(yè)務生產(chǎn)邏輯需要和業(yè)務生產(chǎn)維護需要對檢測到的已知合法互連關系創(chuàng)建白名單和異?；颐麊?，作為后續(xù)進行持續(xù)監(jiān)測的整改基礎。如圖6所示，其過程為將網(wǎng)絡上的業(yè)務流量進行抓取，形成訪問關系，流量記錄，包解析，將Flow、包的元素進行拆分詳解，并且可進行基于黑白行為基線的異常行為檢測，即通過機器自學習秩序基線和人工梳理黑白基線梳理得到黑名單事件、白名單事件和灰名單事件。

圖6 異常行為檢測

3.5 防火墻策略梳理審計

生產(chǎn)大區(qū)控制策略是依據(jù)生產(chǎn)管理需要，按照最小化原則制定的。運維中要主動根據(jù)業(yè)務定義、驗證和維護核心應用的訪問策略，逐個判別控制大區(qū)網(wǎng)絡中的訪問行為確認和梳理核心應用的訪問策略。當訪問策略發(fā)生變化時，不僅能提供自定義策略編輯指導運維工作進行策略修改，還可以根據(jù)生產(chǎn)業(yè)務流程對可疑流量的判別結(jié)果實現(xiàn)對訪問策略修改的可管可控。

圖7 防火墻策略審計結(jié)果

防火墻策略是否合理有效，關系到防火墻的自身性能是否能夠全面的發(fā)揮，更關系到電力生產(chǎn)控制大區(qū)是否達到預期的訪問控制效果。審計功能是基于用戶網(wǎng)絡的現(xiàn)網(wǎng)流量，對用戶網(wǎng)絡中防火墻的策略進行審計。包含兩類功能，一類是基本分析審計，另一類是深度分析審計?；痉治鍪腔谟脩舻姆阑饓Σ呗赃M行的審計分析，也就是策略與策略之間的比對分析；深度分析是基于用戶的防火墻策略進行的分析以及防火墻策略結(jié)合實際流量進行的分析，包含基本分析，同時把防火墻策略與采集到的用戶的實際流量進行匹配比對分析。基本分析產(chǎn)生的分析結(jié)果：交叉策略、冗余策略、鏡子策略、可合并策略。深度分析產(chǎn)生的分析結(jié)果：交叉策略、冗余策略、鏡子策略、可合并策略、頻次非0策略、頻次為0策略、寬松策略、未命中策略的流量。

4 應用實例研究

在眾多價值布局中安全域狀態(tài)感知系統(tǒng)都體現(xiàn)出了其獨特的作用和優(yōu)勢，以防火墻策略梳理與審計這一功能為例進行實例研究，生產(chǎn)控制大區(qū)網(wǎng)絡中主機數(shù)量眾多，訪問關系錯綜復雜，通過安全服務人員和運維人員的人工調(diào)研方式梳理清楚合法訪問控制關系，存在工作量非常大，并且實際操作過程中發(fā)現(xiàn)所獲取的信息不完整、不準確，嚴重影響到安全檢查工作進展，需要解決的主要問題有：

(1)細化any to any、服務類型為any的這類粒度太粗的防火墻策略；

(2)無效策略過多，需要清除；

(3)策略次序調(diào)優(yōu)：以命中次數(shù)為依據(jù)，將命中次數(shù)高的策略調(diào)整到靠前的位置，從而提升防火墻的處理性能；

(4)消除次序敏感策略：保證調(diào)整防火墻策略的次序不改變防火墻的訪問控制效果，使管理員可輕松刪除舊策略。

4.1 解決方案

針對上述需求，基于一定周期內(nèi)流經(jīng)防火墻的真實流量，對防火墻策略進行命中次數(shù)、策略覆蓋的真實連接范圍、策略五元組的重疊情況等進行多維度分析，從而發(fā)現(xiàn)寬松策略、冗余策略、次序可調(diào)優(yōu)策略及次序敏感策略。其策略分析流程圖如圖8所示。

圖8 策略分析流程

4.2 寬松策略分析

所謂寬松策略，指的是一條策略覆蓋的范圍明顯超過了實際命中該策略的真實流量的范圍，策略或是源IP 范圍過大，或是目的IP、服務、時間范圍過大。

通過對用戶處采集到的一周的流量進行驗證，證明該算法行之有效，特別是不但準確分析出了用戶處兩臺防火墻上存在的any to any 策略，而且還分析出了其他不明顯的寬松策略，證實了用戶策略存在問題。為了對寬松策略進行細化，對命中寬松策略的真實流量，按照便于細化策略的形式進行歸并：且不考慮源端口進行歸并，這樣非常有利于快速細化策略。

實際效果是，人工進行細化花費了2個月左右的時間沒有完成細化，使用安全域狀態(tài)感知系統(tǒng)后，僅僅一周不到時間即完成了細化，效率大大提高，且結(jié)果更加準確。

圖9 寬松策略分析結(jié)果

4.3 冗余策略和次序可調(diào)優(yōu)策略分析

冗余策略和次序可調(diào)優(yōu)策略對用戶而言是兩個方面，但本質(zhì)上是一個問題。冗余策略是指一條策略的源地址對象、目的地址對象、服務對象、時間對象完全包含或等于另外一條策略的地址對象、服務對象、時間對象，并且動作相同，被包含的策略屬于多余的策略，即命中次數(shù)為0的策略。次序可調(diào)優(yōu)策略是深度分析產(chǎn)生的結(jié)果之一，是指能命中采集到的流量的防火墻策略，系統(tǒng)會顯示命中策略的頻次，可以根據(jù)策略的命中頻次調(diào)整策略的先后關系，把命中頻次高的策略放在前面，以達到優(yōu)化防火墻性能的作用，即按照命中次數(shù)來排序策略。

傳統(tǒng)防火墻雖然有策略命中次數(shù)，但防火墻策略的命中次數(shù)反映的是歷史，不是現(xiàn)在。如某條策略在防火墻運行初期確實會被命中，命中次數(shù)會隨之變化，但過了很久以后，這條策略不被命中，用戶看到的命中次數(shù)反映的是這條策略最后生效那一刻的情況，而不是現(xiàn)在。因此，面對大量的策略，通過人的觀察是很難知道哪些策略是冗余無效的。

采集一定周期內(nèi)的流量，并且在系統(tǒng)中留有防火墻策略的“副本”，經(jīng)過分析，得到經(jīng)用戶證實的無效策略和次序可調(diào)優(yōu)策略，證明冗余策略和次序可調(diào)優(yōu)策略分析的可行性。

5 結(jié)束語

本文針對傳統(tǒng)電力生產(chǎn)控制大區(qū)安全管理工作不了解安全域間、域內(nèi)真實流量，難以判斷違規(guī)的網(wǎng)絡結(jié)構(gòu)，難以監(jiān)測到跨域連接，難以通過細粒度管控增強防火墻魯棒性等問題，研究并實現(xiàn)了電力生產(chǎn)控制大區(qū)安全域狀態(tài)感知系統(tǒng)，實現(xiàn)了可視化直觀展現(xiàn)控制業(yè)務訪問互連關系，為安全域?qū)嶋H劃分情況提供基礎數(shù)據(jù)支撐，實時監(jiān)控是否存在違規(guī)流量，促進核查方式從人工方式到自動化運維管控轉(zhuǎn)變，改善了控制大區(qū)安全風險管理的能力，構(gòu)建了電力生產(chǎn)控制大區(qū)網(wǎng)絡空間清朗、安全和有序。