0引言
随着信息化与工业化的深度融合[1],各式各样的信息系统得到了广泛的应用,信息安全问题也不断的涌现,关于信息网络的攻防战也愈演愈烈。十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,习近平总书记强调“没有网络安全就没有国家安全”,强调要把金融、能源、电力、通信、交通等领域的关键信息基础设施作为网络安全防护的重中之重。电力系统作为现代社会的关键信息基础设施之一,其产生的大量业务数据及操作数据,也就自然成为了网络攻击的重点目标。
近年来,在网络空间里,针对工业互联网的各种高级攻击手段层出不穷,工业互联网安全形势日趋严峻,工业互联网已成为重点攻击目标之一。建立健全面向工业互联网的安全态势感知和安全检查评估体系迫在眉睫。
智能态势感知[2]平台以电力业务为核心保障目标,融合业界流行的大数据分析技术,针对信息进行不间断数据采集,实现海量业务数据的快速可靠存储,并以数据为驱动,提供智能化关联分析技术和基于机器学习的行为分析技术,流安全分析技术和态势感知。帮助用户从监控、审计、风险、运维四个维度实现对业务信息系统的统一安全保障。
1业务数据分类及数据采集
发电企业作为我国最重要的基础设施,保证系统安全稳定运行的同时,也给电网的数据信息安全保障工作在管理和技术上同时提出了更高的挑战。
为保证电力关键业务信息系统中的大量数据的安全,应首先明确需检测的业务数据分类,从业务系统数据流向来看,主要采集的数据有资产、日志、流量三大层面。其次细分每个层面数据所对应的设备,如该业务系统下的工控终端、网络设备、安全设备及第三方应用系统等。
在明确了业务数据的分类分项后,鉴于每个层面的采集需求和数据来源,通过智能态势感知平台自身以及各类辅助数据采集设备进行采集,主要分为资产探测、日志采集、流量采集和Agent采集四种方式。数据采集的难点是数据体量大、种类多,若采集所有数据,将面临数据过载的问题,因此需要根据安全要素设计相应的特征,进行靶向数据采集。
1.1资产探测
通过探测采集、镜像流量、NMAP、SNMP等手段自动发现厂站装置监测范围内的资产,并提供手动录入资产信息的方法,经过资产探测与手工录入的资产进行同层次比对,差异上传并最终确认。主要展示资产的关键属性,资产关键属性包括:IP、MAC、主机名、设备类型、软件版本等。
1.2日志采集
日志数据的对象主要有工控业务系统及涉及的主机、网络设备、安全设备、数据库设备等。日志采集的主要内容有如设备IP、设备名称、设备类型、采集时间、操作日志、性能指标、核查数据、原始日志内容等。不仅要对原始日志按照设备类型、日志类型、日志子类型等进行范式化处理,同时根据事件告警规则(CPU阈值、内存阈值、磁盘阈值等)匹配,将范式化后的事件形成告警,最后记录入数据库中。
1.3流量采集
流量采集的方式应采用旁路方式部署,接收交换机镜像端口提供的数据流,采集的对象主要有服务器、工作站、网络设备、安全防护设备、PLC、DCS、数据库等监测对象进行网络流量数据采集。采集网络流量数据分析异常网络协议信息,包含工业协议应用畸形报文,IP层畸形报文,协议完整性等。根据采集的网络流量数据建立实时流量模型,在流量分析时应考虑Modbus TCP、S7、IEC104、OPC DA、OPC UA、DNP3.0、MMS、Omron Fins、Ethernet/IP等工业协议深度包监测和分析能力。
1.4 Agent采集
主机探针是应用于收集各种操作系统主机信息的应用软件,软件支持常见的Win32、64(WinXP、WinVista、Win7、Win8、Win10、Win2003、Win2008、Win2012、Win2016等)Linux32、64(CentOS 6-7、Redhat 6-7、Ubuntu 14-15等)操作系统。可对主机产生的各种告警事件进行采集,并对主机进行安全性基线核查,以及对主机数据库运行情况进行采集。
采取综上所述的数据采集方式,能够基本覆盖关键业务信息系统的大量数据,利用智能态势感知平台掌握业务系统的安全态势,实时发现工业网络中的异常行为和对重要工业控制系统的攻击事件,用于事后的调查取证,同时也可为安全防护策略的配置提供参考依据。
2电力大数据主要分析技术
电力大数据[3]与传统大数据同样具有容量大(Volume)、多样性(Variety)、速度快(Velocity)和价值高(Value)四个特点,智能态势感知平台通过统计分析、关联分析、聚类分析、分类分析等数据分析方法,对上述采集的电力业务信息系统数据进行分析处理。
2.1统计分析
统计分析是电力大数据分析中较为基础和常见的一种方法。统计分析是指对业务数据进行收集、整合、分析和处理,通过次序、频数和图表等直观表现方式,从而观测到电力数据的本质及其客观规律。
2.2分类分析
在机器学习和统计中,分类分析预先确定类别标签,据此对训练样本重新分布,预测样本最终归属类别,是一种有监督的学习。常用的分类算法包括支持向量机(SVM)、朴素贝叶斯(NBM)、随机森林(RF)等。例如,智能态势感知平台将采集到的流量通过分析其源主机地址、访问应用、持续时间、传输数据大小等具体流量细节,将流量分为“横向访问”“外连访问”“外对内访问”等各个维度。
2.3聚类分析
聚类分析是机器学习中一种无监督的学习方法,事先不知道样本的类别,通过对相关属性进行分析,将具有相似属性的样本聚成一类。如果进行分析的目的和对象是不同的,则需要采用不同的分析手段。态势感知平台利用Canopy优化后的K-means聚类分析算法,对业务的发展状况进行成体系、有规律的展现。
2.4关联分析
关联分析是数据搜集中尤为重要的部分,可用于挖掘出存于大量电力业务数据中的关联性。由最早的尿布与啤酒到现在的流量与负荷,智能态势感知平台利用A-priori 、FP-growth等算法,在电力大数据不止能够挖掘出潜在的业务联系,同时也能提高数据分析的准确性和广泛性。
3智能态势感知平台部署方案
智能态势感知平台通过对关键业务信息系统数据的统一管理、安全策略统一下发、快速响应的数据治理能力以及数据传输过程中的安全检测等措施,实现整体业务信息系统对外传送大数据过程中的涵盖数据搜集、传输、储存、利用、交互等全过程的安全监控。
智能态势感知平台架构主要分为5个部分,分别是:信息采集、信息分析、安全处置、用户呈现视图与系统支撑,如图1所示。
3.1信息采集
智能态势感知平台实现对网络设备、安全设备、主机等资产信息、性能信息、日志与安全事件信息、流量信息、安全配置信息、漏洞信息、威胁情报信息等安全要素信息的搜集。
3.2信息分析
针对采集上来的各类安全要素信息,智能态势感知平台实现性能与可用性分析、配置符合性分析、安全事件分析、流量行为安全与合规分析、脆弱性分析、风险值分析和整体态势分析。其中,风险值分析包括了资产价值分析、漏洞分析、威胁分析、风险评估、影响性分析等。
3.3安全处置
安全处置包括例行处置和例外处置。例行处置主要以计划任务工单的形式体现;例外处置主要通过响应管理和告警工单处理的形式体现。此外,还包括了安全预警管理功能。
3.4用户呈现视图
系统为不同层级、不同角色的用户提供了层次化的用户视图,从监控、审计、风险和运维四个管理维度进行展示。用户亦能依据自身的工作需求自定义展现视图。
3.5系统支撑
系统支撑包括资产管理、业务管理、报表管理、系统自身管理、权限管理、级联管理、知识管理,以及全局安全信息库。
图1 智能态势感知平台架构
4 结论(Conclusion)
本文的智能态势感知平台针对电力企业关键业务信息系统数据全方位数据采集,利用统计分析、关联分析、聚类分析和分类分析等数据分析技术,形成一套平台部署方案,包括信息采集、信息分析、安全处置、用户呈现视图与系统支撑五个方面,能够快速发现网络攻击,实现主动防御,实现安全态势可视化和安全风险可视化,有效提升电力企业工控系统网络安全水平,通过信息化手段降低人工成本,提升管理效益。
智能态势感知平台与电力企业的网络安全防护工作相结合,通过态势感知平台的建设及时发现网络安全防护工作的短板,通过防护措施的加强提高态势感知平台的分析处理质量,更有针对性的制定网络安全防护的技术方案,不断提高网络安全防护水平。
参考文献
[1]金江军.两化融合的理论体系[J].信息化建设,2009(04):9-12.
[2]席荣荣,云晓春,金舒原,等.网络安全态势感知研究综述[J].计算机应用,2012,32(1):1-4,59.
[3]朱洪斌,安龙,杨铭辰.电力大数据安全治理体系研究[J].电信科学,2019,(11):140-145.
