技術分享 | 安全智能監管平臺在電力企業內應用介紹

1. 背景

近年來，隨著工業網絡安全事件不斷涌現，國家陸續出臺各種法規標準加大對關鍵信息基礎設施信息安全監管力度。同時，企業自身也加大了對工控信息安全的投入，紛紛開始規劃建設工控網絡信息安全，使得企業工控網絡中的安全設備迅速增加。而目前大部分企業還是將分散在各地、不同種類的安全防護系統分別管理，導致安全信息分散互不相通、安全策略難以保持一致、安全事件和日志無法關聯分析等問題，因此這種管理方式成為企業安全態勢分析的瓶頸。安全智能監管平臺的需求主要從以下幾個方面體現：

√?企業資產的集中管理當前工業生產企業中各類工控設備繁多、網絡拓撲不清晰，并且由于工控設備多存在著未修補的安全漏洞，很容易被黑客利用形成攻擊路徑。那么對于大規模系統的資產管理就需要通過安全智能監管平臺來梳理工控資產的安全風險和網絡拓撲結構來解決安全隱患。

√?安全告警的集中管理隨著工控安全建設越來越大，管理人員除了需要協調各個安全系統之間的策略、配置之外，還要面對數量巨大、彼此割裂的安全告警信息，這將使管理人員力不從心，導致工控出現問題時得不到及時排查，影響企業生產。那么對于大規模系統的告警管理就需要通過生產安全集中監測平臺來解決安全告警的集中管理問題。

√?掌握全局風險，通常工控網絡中的安全設備是分別逐步建立起來的，比如工業防火墻、入侵檢測系統、主機防護系統等，各個系統都有單獨的管理員。這種相對獨立的部署方式帶來的問題是各個設備獨立的配置、各個引擎獨立的事件告警，這些分散獨立的安全事件信息難以形成全局的風險態勢。安全智能監管平臺整合了企業內部各廠區的多個安全設備的安全告警和日志，通過關聯分析后可以獲得企業全局的安全風險和態勢。

2. 產品概述

安全智能監管平臺是對工業企業網絡中的設備資產、安全產品及安全事件進行集中監測管理的軟硬件一體化產品。安全智能監管平臺借鑒“一個中心、三重防護”的縱深防御模型。采用“一個中心、三重發現”的建設理念，其中一個中心是指集團級生產安全集中監測平臺，三重發現是指發現工控網絡區域邊界、網絡通信、計算環境安全問題的能力。集團平臺中心通過報警防護反饋給廠側，對廠側安全防護進行監督。

3. 政策依據

根據2017年6月1日正式實施的《中華人民共和國網絡安全法》中第五十二條負責關鍵信息基礎設施安全保護工作的部門，應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度，并按照規定報送網絡安全監測預警信息。

4. 關鍵技術

4.1.區域邊界監測內容

√?非法外聯監測

監測安全Ⅰ區和安全Ⅱ區內是否有主機向外部IP尤其是公網IP發起主動連接。

√?異常攻擊監測

監測從外部是否存在帶有控制協議的流量進入生產控制大區

√?安全合規監測

監測在安全Ⅱ區和安全Ⅲ區邊界處是否放置電力專用隔離裝置。

4.2.網絡通信監測內容

√?設備運行狀態監測

監測設備運行狀態，通過流量模型針對設備的運行與否狀態進行監測，如長時間無流量則推斷設備故障或宕機。

√?網絡異常訪問監測

通過建立的網絡訪問模型，發現網絡中異常的訪問，如“WannerCry”主動掃描445端口的行為。

√?網絡通信告警信息監測

通過網絡安全設備的“白名單”策略，系統中不符合“白名單”配置的通信行為，將觸發安全設備的告警機制，產生告警信息，生產安全集中監測平臺可監測此類告警信息，并將結果呈現在生產安全集中監測平臺集團側監測平臺服務器。

4.3.計算環境監測內容

√?非法程序啟動監測

通過建立的可執行程序白名單庫，發現異常啟動的應用程序，如病毒、木馬等。

√?主機非法外聯監測

通過對主機網絡訪問的分析，發現主機外聯惡意IP的行為，如私接Wifi等。

√?主機安全基線監測

通過對主機的安全策略、服務進行監測，發現主機違規開放的端口、服務，同時，可對主機的安全策略配置情況進行監測，發現主機安全策略配置的不符合項，如密碼策略、賬戶鎖定策略、審核策略的監測。

4.4.企業監測子平臺

√?收集來自于三重探針的信息

主動收集來自于區域邊界、網絡通信和計算環境上的監測信息，并逐級上送。

√?收集網內其他安全設備或應用系統日志

通過Syslog等標準協議，廠級監測子服務器收集網內操作系統、應用系統、其他安全設備的安全日志，并把日志逐級上送；通過SNMP標準協議，收集廠級網內交換機、路由器等網絡設備的系統日志、運行日志等信息，并把日志逐級上送。

5.解決方案

在下屬企業工業控制系統網絡內部署安全信息采集裝置，完成區域邊界和網絡通信旁路監測審計，主機信息通過輕接觸主動掃描的方式獲取安全信息。然后通過企業專網逐層上報，最終匯聚到集團生產安全集中監測平臺。

安全生產集中監測管理系統的采集探針邏輯架構劃分為數據采集層、分析檢測層。

√?數據采集層

負責原始報文的采集、協議解析（包括TCP/IP協議棧的解析及工業控制協議的深度解析）、初步攻擊檢測及信息匯聚與統計。

√?分析檢測層

對來自數據采集層的報文解析結果、檢測結果及匯總統計信息，進行工控網絡通信行為建模，并對TCP/IP異常事件、工控指令異常事件、工控關鍵事件、網絡會話異常事件等進行分析檢測。

通過在集團部署安全智能監管平臺收集下屬企業工業控制系統網絡安全監測系統的安全數據。

數據流向：集團及下屬企業安全智能監管平臺相應安全采集數據流向為通過下屬企業生產安全集中監測管理系統服務器穿過邊界防護裝置上報到集團安全智能監管平臺。

控制措施：集團可以根據安全智能監管平臺發現的安全問題，下發下屬企業工業控制系統網絡安全問題表，并根據存在的安全問題提出整改要求。

6. 安全信息展示

集團安全智能監管平臺通過整體概覽、企業安全事件、下屬企業工業控制系統內各類資產安全等視圖全面展示從資產到集團的各類網絡安全現狀。

7.企業收益

√?集團可以通過安全智能監管平臺實時了解下屬企業工業控制系統網絡安全現狀，可以通過網絡安全現狀有針對性的指導下屬企業進行工業控制系統網絡安全建設，解決了只有等到檢查才知道安全建設欠缺在哪里的問題。

√?集團可以通過安全智能監管平臺對下屬企業工業控制系統網絡安全進行可視化了解，通過安全視圖、各類圖表第一時間展示工控安全健康指數、資產漏洞暴漏情況、當前告警信息（TopN）等安全信息，解決了安全建設沒有可視化、量化的展示。

√?集團可以通過安全智能監管平臺實時掌握下屬企業工業控制系統網絡安全現狀，及時發現各類攻擊、誤操作等對于工業控制系統造成影響的行為，指導集團下屬企業進行有針對性的安全保護。把對各企業工業控制系統的安全監測實時化、動態化，解決了一年一次的測評，缺少常態化實時動態監測的問題。

√ 安全智能監管平臺可以解決集團對下屬企業安全檢查工作中存在的時間緊，人員投入不足等問題，解決了安全檢查單一，企業時間、人力投入有限的問題。