摘要：在全球能源工業(yè)加速數(shù)字化轉型與網(wǎng)絡安全挑戰(zhàn)加劇的雙重背景下，能源工控系統(tǒng)面臨的網(wǎng)絡安全威脅日益增多，網(wǎng)絡攻擊手段日益復雜。介紹了某電力集團公司工業(yè)控制系統(tǒng)網(wǎng)絡環(huán)境的現(xiàn)狀和存在的問題，對工業(yè)控制系統(tǒng)資產(chǎn)信息采集與網(wǎng)絡安全態(tài)勢感知平臺建設進行了總體設計和規(guī)劃，并從建設思路、技術可行性分析、效益分析、風險分析等方面對方案進行了詳細闡述。

關鍵詞：電力工業(yè)控制系統(tǒng)；工控安全；態(tài)勢感知平臺；網(wǎng)絡安全

一、前言

隨著2010年“震網(wǎng)病毒”在伊朗核電站生產(chǎn)網(wǎng)絡中的暴發(fā)，工控安全事件才正式進入人們的視線。隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，近些年來工控安全事件頻發(fā)，網(wǎng)絡攻擊手段層出不窮[1]。工控網(wǎng)絡中存在大量的工控設備，涉及制造業(yè)、水利、核電站、軌道交通、電網(wǎng)、能源等眾多行業(yè)，因此，亟須統(tǒng)一規(guī)劃、統(tǒng)一建設網(wǎng)絡安全態(tài)勢感知平臺，來實現(xiàn)工控資產(chǎn)的統(tǒng)一采集、資產(chǎn)的風險分析以及網(wǎng)絡安全的實時監(jiān)測感知能力的提升。從而增強網(wǎng)絡安全防護能力、提升全網(wǎng)應急處置能力等。

二、背景

（一）項目背景

2019年1月18日，國務院國資委組織召開了國家智慧能源信息平臺專項推進會，展示了態(tài)勢感知平臺在能源行業(yè)中的統(tǒng)計、分析、展示、預警、感知作用。為了加快智慧能源信息平臺的推進工作，落實國家能源智慧化、能源互聯(lián)網(wǎng)、兩化融合的發(fā)展戰(zhàn)略，保障我國能源行業(yè)工業(yè)網(wǎng)絡的安全及能源生產(chǎn)業(yè)務的持續(xù)穩(wěn)定運行，對各能源集團下屬電廠進行工業(yè)控制系統(tǒng)信息安全情況進行調研。

2019年2月22日，國資委召開會議，要求各能源集團選擇本集團內10家企業(yè)，包含風電、水電、光伏、火電等進行廠側工控安全態(tài)勢感知的數(shù)據(jù)采集、集成與分析，并實現(xiàn)工控系統(tǒng)資產(chǎn)數(shù)據(jù)、安全事件與國資委平臺的數(shù)據(jù)同步。

（二）現(xiàn)狀研究

為全面評估電力監(jiān)控系統(tǒng)安全防護的綜合效能與整體水平，通過綜合實地檢查、文獻查閱與專家意見收集等調研方式，對集團公司旗下各電力板塊，如火電、水電、新能源等領域進行了系統(tǒng)性、精細化的調研，經(jīng)匯總后分析結果如下。

1.安全管理問題

（1）安全意識不足

因電力監(jiān)控系統(tǒng)多數(shù)部署位置偏遠且結構復雜，基層工作人員普遍認為系統(tǒng)不會遭受網(wǎng)絡攻擊，導致人員在網(wǎng)絡安全防護方面的重視程度不夠。由于安全意識不足，可能使攻擊者利用網(wǎng)絡聊天、釣魚郵件等社會工程學方式獲取運維平臺的控制權限，從而控制主機、服務器。

（2）應急管理能力缺失

目前部分電廠應急響應管理制度較為淺顯，無法有針對性地制定應急預案，部分單位應急預案內容過于籠統(tǒng)，缺乏針對性和可操作性，無法在事件突發(fā)時提供有效的指導。

（3）防護要求落實不當

在調研過程中發(fā)現(xiàn)部分電廠安全分區(qū)不當，導致重要業(yè)務系統(tǒng)增加了暴露風險。另外發(fā)現(xiàn)網(wǎng)絡專用落實不當，未設立安全接入?yún)^(qū)，增加了網(wǎng)絡設備被攻擊的可能性。同時，調研中還發(fā)現(xiàn)部分生產(chǎn)單位未落實縱向加密認證，缺少相關安全傳輸及縱向認證措施。

（4）設備資產(chǎn)混亂

對工控區(qū)核心設備缺乏有效的管理和監(jiān)控，在發(fā)生安全風險事件前，無法提前預測潛在的威脅事件，在發(fā)生安全風險事件后，也無法有效跟蹤和溯源，導致事件處置不及時，增加企業(yè)損失。

2.安全防護問題

（1）網(wǎng)絡邊界防護能力薄弱

內部網(wǎng)絡邊界防護技術單一，由于防護設備的策略配置復雜繁瑣，部分策略更新不及時，導致防護效果不理想。同時，缺乏高效的監(jiān)測和響應，難以迅速發(fā)現(xiàn)并應對網(wǎng)絡攻擊。

（2）工控網(wǎng)絡審計能力不足

缺乏有效的工控網(wǎng)絡安全審計能力和技術手段，無法對工控網(wǎng)絡進行全面、深入的審計，導致審計結果存在偏差。

（3）合規(guī)性檢測能力欠缺

合規(guī)性檢測能力不足，部分單位未進行全面的風險評估，缺乏有效的風險措施方案，未有效落實訪問控制、身份認證、數(shù)據(jù)加密安全控制措施。

（4）生產(chǎn)環(huán)境主機防護缺失

部分場站主機設備防護能力不足，部分主控設備部署在野外，主控設備與核心服務器通過環(huán)網(wǎng)光纖實現(xiàn)互聯(lián)互通，一旦設備暴露在互聯(lián)網(wǎng)，可能導致整個工控網(wǎng)絡遭到入侵，甚至癱瘓，產(chǎn)生嚴重的工控安全事件。

三、項目建設框架

（一）建設思路

當前，集團生產(chǎn)業(yè)務規(guī)模龐大、資產(chǎn)分布范圍廣泛且業(yè)務板塊繁多，導致各部門及其子分公司難以及時了解下屬單位的網(wǎng)絡安全態(tài)勢，僅能依賴生產(chǎn)單位主動上報。為打破這一困境，將在各板塊生產(chǎn)單位全面部署數(shù)據(jù)代理程序與采集器，用于全面采集生產(chǎn)單位日志及網(wǎng)絡流量數(shù)據(jù)，并利用廠級分析服務器預處理數(shù)據(jù)，實現(xiàn)廠區(qū)服務器與集團平臺的即時數(shù)據(jù)同步。集團集中進行平臺建設，對采集數(shù)據(jù)進行實時監(jiān)控與集中運營管理，促進各生產(chǎn)單位網(wǎng)絡安全狀況的協(xié)同聯(lián)動與關聯(lián)分析。

（二）建設目標

1.智能防護，協(xié)同管理

通過深入研究能源工業(yè)控制網(wǎng)絡的特點和需求，利用先進的人工智能、機器學習等技術，構建統(tǒng)一的網(wǎng)絡安全態(tài)勢感知平臺，實現(xiàn)對多業(yè)務板塊的工控網(wǎng)絡安全防護和協(xié)同管理。

2.落實政策，依法合規(guī)

響應黨中央決策部署，落實國家政策，滿足《中華人民共和國網(wǎng)絡安全法》等相關法律法規(guī)要求。

3.摸清家底，認清風險

加強集團集中管控，全面梳理集團及基層企業(yè)的關鍵信息基礎設施工控系統(tǒng)資產(chǎn)現(xiàn)狀，建立集團工控資產(chǎn)動態(tài)管理體系，排查安全隱患與風險。切實提升工控系統(tǒng)信息安全管理水平及防護能力，提升了集團對全局工控系統(tǒng)資產(chǎn)和信息安全風險的管理水平。

4.提升能力，加強防護

增強企業(yè)對工業(yè)控制系統(tǒng)網(wǎng)絡行為的合規(guī)性識別能力，提升集團工控系統(tǒng)安全檢測與預警能力。實現(xiàn)電力工控安全風險實時感知、威脅精準研判，強化國家關鍵信息基礎設施保護，提升集團電力工控安全整體防護水平。

5.多級聯(lián)動，應急處置

實現(xiàn)與國資委等監(jiān)管部門態(tài)勢感知平臺的對接、情報共享，加強外部與內部多級聯(lián)防聯(lián)動，提升集團電力工控安全應急響應與處置能力[2]。

6.制定標準，樹立典范

完善集團電力工控安全管理體系，制定工業(yè)控制系統(tǒng)資產(chǎn)信息采集與安全監(jiān)測平臺業(yè)務與技術規(guī)范，建立管理標準與制度體系，并為集團各產(chǎn)業(yè)中心提供指導。

（三）建設內容

1.資產(chǎn)采集

采集所有業(yè)務系統(tǒng)相關的資產(chǎn)，包括核心控制器、主機、應用軟件、交換機、安全設備等資產(chǎn)信息。對各個廠區(qū)工控系統(tǒng)進行采集，梳理I區(qū)、II區(qū)工控資產(chǎn)信息，如設備名、開放端口、IP地址、操作系統(tǒng)、會話狀態(tài)、使用協(xié)議等信息，并且建立不同資產(chǎn)與實體之間內網(wǎng)的互相訪問與會話關系，將采集的資產(chǎn)數(shù)據(jù)進行統(tǒng)一格式化和存儲，為后續(xù)資產(chǎn)威脅分析提供基礎數(shù)據(jù)[3]。

2.數(shù)據(jù)采集

通過在工控區(qū)部署數(shù)據(jù)代理程序采集相關設備日志及流量數(shù)據(jù)[4]。實時采集所有主機（服務器、工作站）的操作日志、登錄信息，用于實時監(jiān)測主機操作違規(guī)事件。采集網(wǎng)絡設備（交換機）的流量數(shù)據(jù)，用于解析工業(yè)流量異常、資產(chǎn)信息。采集安全設備（防火墻、審計平臺等）的告警日志，用于日志聚合，精準運營。

3.威脅檢測與分析

在數(shù)據(jù)采集階段，對收集的數(shù)據(jù)做初步的威脅監(jiān)測，利用軟件探針對主機設備進行基線核查，發(fā)現(xiàn)其弱口令、非法端口、USB插拔、非法外聯(lián)等情況，并進行鑒別及告警。通過鏡像工業(yè)交換機端口流量，對流量特征進行異常檢測及告警；再將采集的數(shù)據(jù)推送到廠區(qū)服務器后進行深度檢測，結合威脅場景進行分析，實現(xiàn)原始告警信息與原始數(shù)據(jù)信息的深度關聯(lián)，產(chǎn)生真實告警事件。

4.大數(shù)據(jù)關聯(lián)分析

對獲取的元數(shù)據(jù)樣本，經(jīng)過機器學習建立正常的用戶業(yè)務訪問行為模型，將后續(xù)所有網(wǎng)絡流量與此模型進行比對，發(fā)現(xiàn)異常行為[5]，實現(xiàn)對每個監(jiān)測點安全風險的實時監(jiān)控。對傳統(tǒng)技術手段發(fā)送的異常行為進行人工分析，并將數(shù)據(jù)輸送至大數(shù)據(jù)平臺進行關聯(lián)分析，進一步提升模型檢測的準確度，提高平臺檢測效果。

5.合規(guī)分析

（1）合規(guī)分析內容

在工控主機安裝數(shù)據(jù)代理程序，進行安全合規(guī)指標的采集以及分析。

（2）建立合規(guī)指標體系

針對集團對電力、煤炭、化工、運輸?shù)劝鍓K監(jiān)管要求以及等保2.0法律法規(guī)基本要求，用以評估工業(yè)控制信息系統(tǒng)主機的定量合規(guī)評估指標設計[6]，基于主機類型、國產(chǎn)化程度、重要級別、入侵防范、安全區(qū)域邊界、口令策略、賬號管理、認證授權、文件權限、系統(tǒng)服務等類型進行合規(guī)指標評估。

（3）合規(guī)定量評估方法

基于上述合規(guī)指標體系，制定定量的合規(guī)評估方法。每項指標進行定量評分，所有指標評分相加匯總后，得到一個工控主機的綜合評分，轉換為百分制，分數(shù)越高，主機越合規(guī)。

（4）主機合規(guī)大數(shù)據(jù)畫像分析

大數(shù)據(jù)主機畫像與評分相結合，實現(xiàn)對主機安全合規(guī)的可視化分析。

四、技術方案

（一）平臺架構

1.總體框架

平臺采用統(tǒng)一平臺、兩級部署、多角色應用的設計思路，在廠站側部署采集器及廠級分析服務系統(tǒng)，主要進行數(shù)據(jù)采集以及數(shù)據(jù)初步分析處理。在集團總部部署態(tài)勢感知平臺，對采集數(shù)據(jù)進行匯總分析、實時監(jiān)測、監(jiān)控管理與決策。集團與廠站級分析服務系統(tǒng)進行數(shù)據(jù)同步，同時將相關數(shù)據(jù)同步到有關部委單位，滿足上級部門對網(wǎng)絡安全數(shù)據(jù)的監(jiān)管需求。

2.功能架構

平臺通過三層架構實現(xiàn)數(shù)據(jù)采集、實時分析與運營管理功能。

數(shù)據(jù)源層為廠站收集安全數(shù)據(jù)，在廠站側部署中該層為重點，項目的實施主要是圍繞該層進行采集的配置工作。

數(shù)據(jù)采集與檢測層建立在廠站信息管理大區(qū)，主要作用是將底層收集來的數(shù)據(jù)進行初步的分析與處理，分析完成后推送至集團平臺。

安全分析與運營層匯聚了下層各個廠站傳遞的數(shù)據(jù)，包括：資產(chǎn)、設備狀態(tài)、威脅事件、漏洞信息等，該層主要為廠站及集團人員進行安全分析提供應用功能，集團以全局視角感知總體的風險態(tài)勢與業(yè)務的運營情況。

（二）數(shù)據(jù)采集范圍

數(shù)據(jù)采集范圍主要包括生產(chǎn)單位廠區(qū)I、II、III區(qū)的主要工控業(yè)務系統(tǒng)及涉及的主機、網(wǎng)絡設備、安全設備、數(shù)據(jù)庫設備等數(shù)據(jù)，詳細數(shù)據(jù)內容如下。

第一，采集圍繞業(yè)務系統(tǒng)關聯(lián)的服務器、工作站、接口機、DCS、PLC、網(wǎng)絡設備、安全設備等資產(chǎn)數(shù)據(jù)；

第二，采集安全設備日志與事件數(shù)據(jù)，支持Syslog、SNMP、SSH、SDK等方式；

第三，采集網(wǎng)絡設備日志與事件數(shù)據(jù)，包括交換機、路由器等設備；

第四，采集主機設備日志與事件數(shù)據(jù)，包括服務器、工作站、接口機等；

第五，數(shù)據(jù)庫日志與事件數(shù)據(jù)，支持探針、SSH等方式采集數(shù)據(jù)；

第六，采集關鍵位置網(wǎng)絡流量數(shù)據(jù)，發(fā)現(xiàn)敏感報文與可疑文件后上傳可疑報文。

（三）技術要求

1.數(shù)據(jù)代理程序

（1）支持在獨立的服務器、工作站等主機中安裝部署；

（2）具備主機日志與事件信息采集功能；

（3）具備基線核查功能；

（4）具備同日志采集器通信功能。

2.數(shù)據(jù)采集器

（1）流量采集

①支持對服務器、工作站、網(wǎng)絡設備等進行網(wǎng)絡流量數(shù)據(jù)采集；

②網(wǎng)絡流量數(shù)據(jù)采集能力應采用旁路方式部署。

（2）流量分析

①支持根據(jù)采集的網(wǎng)絡流量數(shù)據(jù)分析異常網(wǎng)絡協(xié)議信息等；

②支持對工業(yè)協(xié)議深度分析。

（3）入侵監(jiān)測

①支持根據(jù)報文載荷特征，分析工業(yè)網(wǎng)絡中存在的攻擊事件；

②支持緩沖區(qū)溢出、SQL注入、應用協(xié)議DOS攻擊、僵尸網(wǎng)絡、遠程執(zhí)行等入侵行為監(jiān)測。

（4） 流量審計

具備對采集的流量的解析報文的存儲能力。

（5） 安全告警

①應支持根據(jù)參數(shù)配置，對自身的CPU利用率、CPU溫度、內存使用率、網(wǎng)口流量、用戶登錄失敗、磁盤空間使用率等信息進行平臺告警上報；

②應實時對針對工業(yè)漏洞攻擊的行為進行上報。

3.廠級分析平臺

（1）基本要求

①數(shù)據(jù)采集器接入，接收數(shù)據(jù)采集器的原始日志與事件，提供不同協(xié)議接收數(shù)據(jù)；

②數(shù)據(jù)分析預處理，數(shù)據(jù)聚合分析，告警閾值分析等。支持靈活配置的規(guī)則引擎進行配置分析。支持基于機器學習的集合模型進行聚合分析；

③事件數(shù)據(jù)存儲6個月。

（2） 其他要求

①漏洞庫至少達到1000條；

②支持復雜事件（CEP）處理，事件匹配≥10000個/秒。

4.集團態(tài)勢感知平臺

（1）威脅檢測

①支持告警聚合及告警處置、支持自動篩選；

②支持告警自動處置，通過自動處置規(guī)則，實現(xiàn)自動處置。

（2）安全分析

支持事件關聯(lián)分析，支持事件對應資產(chǎn)分析，支持事件關聯(lián)ATTamp;CK的階段、技術分析。

（3）事件溯源與取證

支持對流量與日志命中的原始數(shù)據(jù)調閱取證，并支持PCAP下載。

（4）資產(chǎn)管理

①支持資產(chǎn)基礎屬性、區(qū)域屬性、負責人等屬性維護；

②支持從漏洞維度查看漏洞關聯(lián)資產(chǎn)情況，支持查看漏洞詳情；

③支持繪制資產(chǎn)拓撲圖；

④支持集團型項目繪制全局視角拓撲，查看機構間關系。

（5） 安全運營流程建立

①支持對事件進行人工判定，提供事件處置操作；

②事件支持以工單形式下發(fā)。

（6） 設備運維

①支持動態(tài)視角設備狀態(tài)監(jiān)視，包含設備在線情況、性能等；

②支持設備實時故障監(jiān)控，包括設備異常、服務異常、閾值異常等。

（7） 安全監(jiān)視

①支持對企業(yè)、各生產(chǎn)單位安全風險狀況進行綜合評估及態(tài)勢展示；

②支持響應處置情況監(jiān)視。

（四）部署方案

按照數(shù)據(jù)采集寬泛性、設備多樣適配性、邊緣分析智能性的原則建設工控系統(tǒng)網(wǎng)絡安全態(tài)勢感知平臺。

第一，在主機上部署探針程序，采集主機的違規(guī)事件、接受日志采集器對其命令控制。

第二，在生產(chǎn)控制區(qū)及管理區(qū)部署日志采集器、流量采集器采集告警事件、日志及交換機流量信息。

第三，流量采集器與日志采集器可以單獨分布部署，也可以作為數(shù)據(jù)采集器一體化部署。

第四，日志采集器進行數(shù)據(jù)的泛化處理，數(shù)據(jù)匯聚到廠級系統(tǒng)進行初步分析，告警事件上傳到集團平臺。

第五，廠區(qū)用戶全部基于集團平臺進行使用管理。

五、結語

通過工控安全態(tài)勢感知項目的建設，有力地保障了工業(yè)控制系統(tǒng)的安全性和穩(wěn)定性，有助于工控安全管理標準、制度體系及相關技術規(guī)范的建立和完善。該項目的建立樹立了能源行業(yè)工控安全建設標桿，標志著集團網(wǎng)絡安全工作在中央企業(yè)中處于領先水平，為行業(yè)的科技進步和發(fā)展注入了新的活力。未來，工控態(tài)勢感知技術因技術日益成熟而將擁有更廣泛的推廣潛力與市場前景。

參考文獻

[1]韓鵬軍.工業(yè)控制系統(tǒng)信息安全風險評估機制分析[J].設備監(jiān)理，2023（03）：39-41+48.

[2]王飛，張川，付強.態(tài)勢感知技術在智能煉化廠工控安全方面的應用[J].儀器儀表用戶，2020，27（01）：25-29.

[3]秦琰.基于數(shù)據(jù)融合的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知系統(tǒng)研究[J].信息系統(tǒng)工程，2023（08）：16-19.

[4]樊榮.基于流量探針技術的工業(yè)企業(yè)側網(wǎng)絡安全態(tài)勢感知模型研究[J].新型工業(yè)化，2021，11（10）：47-49.

[5]何樞銘.基于機器學習算法的網(wǎng)絡安全檢測[J].水電站設計，2022，38（01）：43-45.

[6]白樺.電力資產(chǎn)主機安全合規(guī)大數(shù)據(jù)分析方法[J].網(wǎng)絡安全和信息化，2020（12）：121-124.

作者單位：國能信控技術股份有限公司

責任編輯：王穎振 鄭凱津