摘要：在全球能源工业加速数字化转型与网络安全挑战加剧的双重背景下，能源工控系统面临的网络安全威胁日益增多，网络攻击手段日益复杂。介绍了某电力集团公司工业控制系统网络环境的现状和存在的问题，对工业控制系统资产信息采集与网络安全态势感知平台建设进行了总体设计和规划，并从建设思路、技术可行性分析、效益分析、风险分析等方面对方案进行了详细阐述。

关键词：电力工业控制系统；工控安全；态势感知平台；网络安全

一、前言

随着2010年“震网病毒”在伊朗核电站生产网络中的暴发，工控安全事件才正式进入人们的视线。随着工业互联网的发展，近些年来工控安全事件频发，网络攻击手段层出不穷[1]。工控网络中存在大量的工控设备，涉及制造业、水利、核电站、轨道交通、电网、能源等众多行业，因此，亟须统一规划、统一建设网络安全态势感知平台，来实现工控资产的统一采集、资产的风险分析以及网络安全的实时监测感知能力的提升。从而增强网络安全防护能力、提升全网应急处置能力等。

二、背景

（一）项目背景

2019年1月18日，国务院国资委组织召开了国家智慧能源信息平台专项推进会，展示了态势感知平台在能源行业中的统计、分析、展示、预警、感知作用。为了加快智慧能源信息平台的推进工作，落实国家能源智慧化、能源互联网、两化融合的发展战略，保障我国能源行业工业网络的安全及能源生产业务的持续稳定运行，对各能源集团下属电厂进行工业控制系统信息安全情况进行调研。

2019年2月22日，国资委召开会议，要求各能源集团选择本集团内10家企业，包含风电、水电、光伏、火电等进行厂侧工控安全态势感知的数据采集、集成与分析，并实现工控系统资产数据、安全事件与国资委平台的数据同步。

（二）现状研究

为全面评估电力监控系统安全防护的综合效能与整体水平，通过综合实地检查、文献查阅与专家意见收集等调研方式，对集团公司旗下各电力板块，如火电、水电、新能源等领域进行了系统性、精细化的调研，经汇总后分析结果如下。

1.安全管理问题

（1）安全意识不足

因电力监控系统多数部署位置偏远且结构复杂，基层工作人员普遍认为系统不会遭受网络攻击，导致人员在网络安全防护方面的重视程度不够。由于安全意识不足，可能使攻击者利用网络聊天、钓鱼邮件等社会工程学方式获取运维平台的控制权限，从而控制主机、服务器。

（2）应急管理能力缺失

目前部分电厂应急响应管理制度较为浅显，无法有针对性地制定应急预案，部分单位应急预案内容过于笼统，缺乏针对性和可操作性，无法在事件突发时提供有效的指导。

（3）防护要求落实不当

在调研过程中发现部分电厂安全分区不当，导致重要业务系统增加了暴露风险。另外发现网络专用落实不当，未设立安全接入区，增加了网络设备被攻击的可能性。同时，调研中还发现部分生产单位未落实纵向加密认证，缺少相关安全传输及纵向认证措施。

（4）设备资产混乱

对工控区核心设备缺乏有效的管理和监控，在发生安全风险事件前，无法提前预测潜在的威胁事件，在发生安全风险事件后，也无法有效跟踪和溯源，导致事件处置不及时，增加企业损失。

2.安全防护问题

（1）网络边界防护能力薄弱

内部网络边界防护技术单一，由于防护设备的策略配置复杂繁琐，部分策略更新不及时，导致防护效果不理想。同时，缺乏高效的监测和响应，难以迅速发现并应对网络攻击。

（2）工控网络审计能力不足

缺乏有效的工控网络安全审计能力和技术手段，无法对工控网络进行全面、深入的审计，导致审计结果存在偏差。

（3）合规性检测能力欠缺

合规性检测能力不足，部分单位未进行全面的风险评估，缺乏有效的风险措施方案，未有效落实访问控制、身份认证、数据加密安全控制措施。

（4）生产环境主机防护缺失

部分场站主机设备防护能力不足，部分主控设备部署在野外，主控设备与核心服务器通过环网光纤实现互联互通，一旦设备暴露在互联网，可能导致整个工控网络遭到入侵，甚至瘫痪，产生严重的工控安全事件。

三、项目建设框架

（一）建设思路

当前，集团生产业务规模庞大、资产分布范围广泛且业务板块繁多，导致各部门及其子分公司难以及时了解下属单位的网络安全态势，仅能依赖生产单位主动上报。为打破这一困境，将在各板块生产单位全面部署数据代理程序与采集器，用于全面采集生产单位日志及网络流量数据，并利用厂级分析服务器预处理数据，实现厂区服务器与集团平台的即时数据同步。集团集中进行平台建设，对采集数据进行实时监控与集中运营管理，促进各生产单位网络安全状况的协同联动与关联分析。

（二）建设目标

1.智能防护，协同管理

通过深入研究能源工业控制网络的特点和需求，利用先进的人工智能、机器学习等技术，构建统一的网络安全态势感知平台，实现对多业务板块的工控网络安全防护和协同管理。

2.落实政策，依法合规

响应党中央决策部署，落实国家政策，满足《中华人民共和国网络安全法》等相关法律法规要求。

3.摸清家底，认清风险

加强集团集中管控，全面梳理集团及基层企业的关键信息基础设施工控系统资产现状，建立集团工控资产动态管理体系，排查安全隐患与风险。切实提升工控系统信息安全管理水平及防护能力，提升了集团对全局工控系统资产和信息安全风险的管理水平。

4.提升能力，加强防护

增强企业对工业控制系统网络行为的合规性识别能力，提升集团工控系统安全检测与预警能力。实现电力工控安全风险实时感知、威胁精准研判，强化国家关键信息基础设施保护，提升集团电力工控安全整体防护水平。

5.多级联动，应急处置

实现与国资委等监管部门态势感知平台的对接、情报共享，加强外部与内部多级联防联动，提升集团电力工控安全应急响应与处置能力[2]。

6.制定标准，树立典范

完善集团电力工控安全管理体系，制定工业控制系统资产信息采集与安全监测平台业务与技术规范，建立管理标准与制度体系，并为集团各产业中心提供指导。

（三）建设内容

1.资产采集

采集所有业务系统相关的资产，包括核心控制器、主机、应用软件、交换机、安全设备等资产信息。对各个厂区工控系统进行采集，梳理I区、II区工控资产信息，如设备名、开放端口、IP地址、操作系统、会话状态、使用协议等信息，并且建立不同资产与实体之间内网的互相访问与会话关系，将采集的资产数据进行统一格式化和存储，为后续资产威胁分析提供基础数据[3]。

2.数据采集

通过在工控区部署数据代理程序采集相关设备日志及流量数据[4]。实时采集所有主机（服务器、工作站）的操作日志、登录信息，用于实时监测主机操作违规事件。采集网络设备（交换机）的流量数据，用于解析工业流量异常、资产信息。采集安全设备（防火墙、审计平台等）的告警日志，用于日志聚合，精准运营。

3.威胁检测与分析

在数据采集阶段，对收集的数据做初步的威胁监测，利用软件探针对主机设备进行基线核查，发现其弱口令、非法端口、USB插拔、非法外联等情况，并进行鉴别及告警。通过镜像工业交换机端口流量，对流量特征进行异常检测及告警；再将采集的数据推送到厂区服务器后进行深度检测，结合威胁场景进行分析，实现原始告警信息与原始数据信息的深度关联，产生真实告警事件。

4.大数据关联分析

对获取的元数据样本，经过机器学习建立正常的用户业务访问行为模型，将后续所有网络流量与此模型进行比对，发现异常行为[5]，实现对每个监测点安全风险的实时监控。对传统技术手段发送的异常行为进行人工分析，并将数据输送至大数据平台进行关联分析，进一步提升模型检测的准确度，提高平台检测效果。

5.合规分析

（1）合规分析内容

在工控主机安装数据代理程序，进行安全合规指标的采集以及分析。

（2）建立合规指标体系

针对集团对电力、煤炭、化工、运输等板块监管要求以及等保2.0法律法规基本要求，用以评估工业控制信息系统主机的定量合规评估指标设计[6]，基于主机类型、国产化程度、重要级别、入侵防范、安全区域边界、口令策略、账号管理、认证授权、文件权限、系统服务等类型进行合规指标评估。

（3）合规定量评估方法

基于上述合规指标体系，制定定量的合规评估方法。每项指标进行定量评分，所有指标评分相加汇总后，得到一个工控主机的综合评分，转换为百分制，分数越高，主机越合规。

（4）主机合规大数据画像分析

大数据主机画像与评分相结合，实现对主机安全合规的可视化分析。

四、技术方案

（一）平台架构

1.总体框架

平台采用统一平台、两级部署、多角色应用的设计思路，在厂站侧部署采集器及厂级分析服务系统，主要进行数据采集以及数据初步分析处理。在集团总部部署态势感知平台，对采集数据进行汇总分析、实时监测、监控管理与决策。集团与厂站级分析服务系统进行数据同步，同时将相关数据同步到有关部委单位，满足上级部门对网络安全数据的监管需求。

2.功能架构

平台通过三层架构实现数据采集、实时分析与运营管理功能。

数据源层为厂站收集安全数据，在厂站侧部署中该层为重点，项目的实施主要是围绕该层进行采集的配置工作。

数据采集与检测层建立在厂站信息管理大区，主要作用是将底层收集来的数据进行初步的分析与处理，分析完成后推送至集团平台。

安全分析与运营层汇聚了下层各个厂站传递的数据，包括：资产、设备状态、威胁事件、漏洞信息等，该层主要为厂站及集团人员进行安全分析提供应用功能，集团以全局视角感知总体的风险态势与业务的运营情况。

（二）数据采集范围

数据采集范围主要包括生产单位厂区I、II、III区的主要工控业务系统及涉及的主机、网络设备、安全设备、数据库设备等数据，详细数据内容如下。

第一，采集围绕业务系统关联的服务器、工作站、接口机、DCS、PLC、网络设备、安全设备等资产数据；

第二，采集安全设备日志与事件数据，支持Syslog、SNMP、SSH、SDK等方式；

第三，采集网络设备日志与事件数据，包括交换机、路由器等设备；

第四，采集主机设备日志与事件数据，包括服务器、工作站、接口机等；

第五，数据库日志与事件数据，支持探针、SSH等方式采集数据；

第六，采集关键位置网络流量数据，发现敏感报文与可疑文件后上传可疑报文。

（三）技术要求

1.数据代理程序

（1）支持在独立的服务器、工作站等主机中安装部署；

（2）具备主机日志与事件信息采集功能；

（3）具备基线核查功能；

（4）具备同日志采集器通信功能。

2.数据采集器

（1）流量采集

①支持对服务器、工作站、网络设备等进行网络流量数据采集；

②网络流量数据采集能力应采用旁路方式部署。

（2）流量分析

①支持根据采集的网络流量数据分析异常网络协议信息等；

②支持对工业协议深度分析。

（3）入侵监测

①支持根据报文载荷特征，分析工业网络中存在的攻击事件；

②支持缓冲区溢出、SQL注入、应用协议DOS攻击、僵尸网络、远程执行等入侵行为监测。

（4） 流量审计

具备对采集的流量的解析报文的存储能力。

（5） 安全告警

①应支持根据参数配置，对自身的CPU利用率、CPU温度、内存使用率、网口流量、用户登录失败、磁盘空间使用率等信息进行平台告警上报；

②应实时对针对工业漏洞攻击的行为进行上报。

3.厂级分析平台

（1）基本要求

①数据采集器接入，接收数据采集器的原始日志与事件，提供不同协议接收数据；

②数据分析预处理，数据聚合分析，告警阈值分析等。支持灵活配置的规则引擎进行配置分析。支持基于机器学习的集合模型进行聚合分析；

③事件数据存储6个月。

（2） 其他要求

①漏洞库至少达到1000条；

②支持复杂事件（CEP）处理，事件匹配≥10000个/秒。

4.集团态势感知平台

（1）威胁检测

①支持告警聚合及告警处置、支持自动筛选；

②支持告警自动处置，通过自动处置规则，实现自动处置。

（2）安全分析

支持事件关联分析，支持事件对应资产分析，支持事件关联ATTamp;CK的阶段、技术分析。

（3）事件溯源与取证

支持对流量与日志命中的原始数据调阅取证，并支持PCAP下载。

（4）资产管理

①支持资产基础属性、区域属性、负责人等属性维护；

②支持从漏洞维度查看漏洞关联资产情况，支持查看漏洞详情；

③支持绘制资产拓扑图；

④支持集团型项目绘制全局视角拓扑，查看机构间关系。

（5） 安全运营流程建立

①支持对事件进行人工判定，提供事件处置操作；

②事件支持以工单形式下发。

（6） 设备运维

①支持动态视角设备状态监视，包含设备在线情况、性能等；

②支持设备实时故障监控，包括设备异常、服务异常、阈值异常等。

（7） 安全监视

①支持对企业、各生产单位安全风险状况进行综合评估及态势展示；

②支持响应处置情况监视。

（四）部署方案

按照数据采集宽泛性、设备多样适配性、边缘分析智能性的原则建设工控系统网络安全态势感知平台。

第一，在主机上部署探针程序，采集主机的违规事件、接受日志采集器对其命令控制。

第二，在生产控制区及管理区部署日志采集器、流量采集器采集告警事件、日志及交换机流量信息。

第三，流量采集器与日志采集器可以单独分布部署，也可以作为数据采集器一体化部署。

第四，日志采集器进行数据的泛化处理，数据汇聚到厂级系统进行初步分析，告警事件上传到集团平台。

第五，厂区用户全部基于集团平台进行使用管理。

五、结语

通过工控安全态势感知项目的建设，有力地保障了工业控制系统的安全性和稳定性，有助于工控安全管理标准、制度体系及相关技术规范的建立和完善。该项目的建立树立了能源行业工控安全建设标杆，标志着集团网络安全工作在中央企业中处于领先水平，为行业的科技进步和发展注入了新的活力。未来，工控态势感知技术因技术日益成熟而将拥有更广泛的推广潜力与市场前景。

参考文献

[1]韩鹏军.工业控制系统信息安全风险评估机制分析[J].设备监理，2023（03）：39-41+48.

[2]王飞，张川，付强.态势感知技术在智能炼化厂工控安全方面的应用[J].仪器仪表用户，2020，27（01）：25-29.

[3]秦琰.基于数据融合的工业互联网安全态势感知系统研究[J].信息系统工程，2023（08）：16-19.

[4]樊荣.基于流量探针技术的工业企业侧网络安全态势感知模型研究[J].新型工业化，2021，11（10）：47-49.

[5]何枢铭.基于机器学习算法的网络安全检测[J].水电站设计，2022，38（01）：43-45.

[6]白桦.电力资产主机安全合规大数据分析方法[J].网络安全和信息化，2020（12）：121-124.

作者单位：国能信控技术股份有限公司

责任编辑：王颖振 郑凯津