電力物聯網全場景安全態勢感知解決方案
摘要:電力物聯網全場景態勢感知解決方案根據電力物聯網典型的“云、網、邊、端”分層結構構建安全防護體系,提升電力物聯網全場景安全態勢感知能力,解決電力物聯網安全態勢感知體系欠缺和應急響應能力不足的問題。對全業務電力物聯網的各環節進行安全保障,防止惡意滲透攻擊、防止數據丟失、防止惡意篡改,確保接入終端可信、傳輸通道可靠、業務應用可控,實現全景安全監測,全面提高全業務電力物聯網安全綜合防御能力。
電力物聯網是物聯網在電力行業的具體表現形式和應用落地,通過將電力用戶及其設備、電網企業及其設備、發電企業及其設備、供應商及其設備,以及人和物連接起來,產生共享數據,為用戶、電網、發電、供應商和政府社會服務,以電網為樞紐,發揮平臺和共享作用, 為全行業和更多市場主體發展創造更大機遇, 提供價值服務 。作為落實建設能源互聯網,加快新型數字基礎設施建設的核心任務,建設電力物聯網勢不可擋。
然而,電力物聯網的建設將極大改變現有 電力業務模式和專業體系 ,也不可避免的對電網現有網絡安全防護體系產生沖擊;同時,隨 著國內外安全形勢的不斷變化,以及國家要求 的進一步明確,都對物聯網安全提出了新要求。為貫徹落實國家、行業及企業的相關要求,在 電力物聯網新業務形態、新部署組成等新形勢 下,需要加快建設電力物聯網全場景安全態勢 感知體系,形成整體解決方案,全面保障電力 系統安全可靠。
1.目標和內涵
1.1 電力物聯網特點
電力物聯網將“大云物移智”等現代信息通信技術,與新一代電力系統相互滲透和深度融合,作為應用于電網的工業級物聯網,其體系結構在沿襲物聯網典型三層架構基礎上,增加了邊緣計算層,形成了電力物聯網“云、網、邊、端”體系,具備終端泛在接入、平臺開放共享、計算云邊協同、數據驅動業務等特點 。針對新架構、新平臺、新業務形態的安全防護需求,電力物聯網全場景安全態勢感知體系覆蓋電力系統的橫向管理信息大區和互聯網大區,縱向覆蓋國(分)、省、地、縣、變電站和電廠, 形成大規模工控系統的網絡安全態勢統一感知和協同防御。
1.2 總體目標
電力物聯網全場景安全態勢感知解決方案的總體目標是構建電力物聯網態勢全場景態勢感知平臺,打造電力物聯網“安全大腦”,如圖 1 所示。其內涵包括以下四個方面:
(1)作為安全態勢感知平臺,感知電力物聯網的全場景安全態勢;
(2)作為安全作業管理平臺,面向電力企業一線人員提供網絡安全監測、分析、溯源、處置和各類安全技防設施規則統一配置、統一編排;
(3)作為安全業務中臺,對外提供安全數據服務和安全業務服務;
(4)作為作戰指揮平臺,支撐日常和特殊保障時期電力企業各單位安全事件上報、通報預警、常態分析和聯動響應。
圖 1 電力物聯網“安全大腦”
2.關鍵產品及防護能力
本方案圍繞電力物聯網“云、網、邊、端” 的體系架構,通過各層的態勢感知安全措施提供相應的安全防護能力,借助電力物聯網邊緣計算特性,實現局部自治、全局聯動有機結合的主動防御能力。針對電力物聯網各層形成了全場景態勢感知平臺 S6000、網絡流量威脅分析裝置、輕量級態勢監測模塊、終端檢測及響應軟件 EDR 等多項關鍵軟硬件產品,實現了電力物聯網環境中的終端、網絡、服務器、業務系統等的統一監測和全面感知。各層安全措施及安全能力如表 1 所示。
表 1 電力物聯網全場景態勢感知體系分層防護能力
2.1 “云”態勢感知技術及產品
采用“一平臺、微應用、多場景、全數據” 的體系架構,形成全場景態勢感知平臺 S6000。作為態勢感知體系中心平臺,以基于攻擊路徑的安全場景模型為監測依據,采用情報收集、深度監測、大數據分析等手段,形成完整的安全事件處置機制。通過聯動電力物聯網其他各層的態勢監測和感知能力,實現電力物聯網業務全環節威脅監測及態勢感知,系統架構如圖 2 所示。
圖 2 全場景態勢感知平臺 S6000
全場景態勢感知平臺技術特點包括:
(1)全數據,即實現全場景海量信息安全基礎數據全采集、監測與集中分析。通過構建基于網絡安全風險全要素辨識的對象化網絡安全基礎數據模型。將業務、資產、日志、告警、威脅、行為、流量、情報等多維風險要素進行統一建模表達,突破了異構數據無法關聯的技術壁壘,真正實現安全防護設備告警信息、流量、資產、情報等數據間的時空多維關聯及融合。
(2)一平臺,即實現基于大數據分析預測的企業級安全數據分析平臺,包括數據采集、預處理、規則分析、深度挖掘、統計計算、數據存儲等數據處理全過程。一方面,以數據驅動思想,針對各階段數據進行多維封裝,在平臺側通過統一服務提供多形態數據共享。另一方面,結合處理邏輯構建計算組件,通過平臺提供實時分析、離線分析、交互式分析、不確定性分析等計算服務。
(3)多場景,即面向威脅場景構建實時和離線分析模型,提升對復雜網絡環境的態勢感知全面性、實時性、靈活性和精準度。基于攻擊鏈進行外部攻擊監測模型構建,通過多級關聯進行定位、跟蹤,最終通過聯動聯防實現防御;基于統計分析構建內部狀態預警模型,及時發現異常趨勢變化,產生預警。場景模型支持定制化開發,可靈活擴展。
(4)微應用,即通過平臺的數據、計算開放能力,供業務定制符合實際需求的微應用。針對運行值班人員、安全人員、應用人員等不同用戶角色設計并實現預警監控微應用;針對不同業務需求可定制場景展現、可視化展現的微應用方案;也可通過微應用實現集成外部安全廠商的檢測分析能力,加強平臺能力擴展。
2.2 “網”態勢感知技術及產品
針對電力物聯網網絡全流量分析,通過自主研發的電力物聯網流量威脅分析裝置,如圖3 所示,提供全量流量數據捕獲還原及存儲、分析檢測、回溯、查詢及取證,形成基于網絡流量的安全威脅看得見、看得準、看得深的感知能力。
圖 3 電力物聯網流量威脅分析裝置
電力物聯網流量威脅分析裝置基于網絡安全監測和網絡流量采集框架,在網絡層面檢測攻擊,實現縱深防御的安全監測應用群。其技術特點包括:
(1)網絡流數據全面處理。基于零拷貝的高性能網絡數據包處理技術,確保電力物聯網大流量環境下全流量處理。面向電力物聯網業務實現業務流量深度還原。
(2)網絡威脅全方位監測。基于流量數據可視化,構建終端及業務流量基線(流量- 連接- 對象的關系),發現異常行為,識別繞過傳統邊界防護設備的高級攻擊,提高威脅監測能力。
(3)網絡流量深度分析。面向物聯網業務構建過濾規則,發現異常行為,串聯孤立安全事件,提升異常行為關聯及深度挖掘能力。支持多源異構海量數據的秒級彈性檢索,及基于網絡訪問路徑的全鏈路溯源分析。
2.3 “邊”態勢監測技術及產品
面向電力物聯網邊設備,通過在邊緣物聯代理上部署自主研發的輕量級態勢監測模塊, 如圖 4 所示,針對邊設備資源受限的特點,采用輕量級技術方案實現終端資產監測、邊設備流量監測、終端行為分析、邊設備應用安全監測等,一方面,通過邊端聯動實現局部的安全防御自治;另一方面,接受云安全態勢感知平臺的全局聯動響應編排,實現全局防御。
圖 4 邊緣輕量級態勢監測模塊
邊緣輕量級態勢監測模塊技術特點包括:
(1)實時采集邊設備及下聯終端數據,涵蓋南北向流量、電力物聯終端數據、邊緣 APP 業務數據、運行狀態數據等,近場執行數據融合及關聯分析處理,實現實時監測及預警。
(2)采用規則引擎與分析引擎結合的技術方案,分別針對已知攻擊及未知威脅進行檢測。規則庫和分析模型與云上態勢感知平臺保持同步。
(3)采用運行態資源控制機制,充分利用邊設備空閑期執行計算任務,實現輕量級安裝及運行。
2.4 “端”態勢監測技術及產品
針對智能物聯終端進行安全監測,通過自主研發終端安全檢測響應軟件EDR,如圖5 所示,實現電力物聯網末端感知層數據采集及狀態監測。協同云、邊的深度分析及決策能力,實現基于云邊端聯動的主動防御,提供電力物聯終端安全“監測、分析、響應”一體化的安全防護能力。
圖 5 終端安全檢測與響應 EDR
終端安全檢測與響應 EDR 圍繞終端資產安全生命周期,充分協同利用云、邊的深度安全分析檢測及決策能力,集成云端病毒查殺、沙箱檢測等專用引擎,共享威脅情報平臺,通過預防、防御、檢測、響應賦予終端更為細致的隔離策略,更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力。技術特點包括:
(1)通過自研 Agent 程序,無縫對接各類終端系統,針對外部攻擊嗅探行為、內部異常行為、自身安全防護配置短板等進行操作系統級監測埋點,獲取全面的終端側威脅感知基礎數據。
(2)采用可信行為基線理念,行為分析引擎動態學習終端的文件、進程、網絡和用戶訪問行為,并基于可信基對服務器等工控及物聯終端的異常行為進行監測及告警,實現終端級的“精確感知”和“貼身防護”。
(3)在應對高級威脅時,通過多級聯動協同,針對可編排的響應場景進行自動化響應處置,支持終端隔離、文件刪除 / 還原、端口封禁、進程終止等多種阻斷方式,提供不同級別的安全防御。
3.應用案例
某電力企業依托電力物聯網安全態勢感知解決方案,在 30 多家單位部署建設了全場景態勢感知平臺及配套各層安全措施,依托平臺建立了上下級聯防聯動的安全運營機制,及時感知態勢并預警安全風險,共享信息安全情報, 提升了企業整體的安全風險應對能力。平臺在G20 會議保障、國家安全專項演習、“一帶一路” 峰會保障中,及時發現應對來自互聯網的攻擊行為,處置了分布式拒絕服務攻擊、惡意病毒攻擊、電子郵件攻擊、網絡入侵等黑客攻擊, 在維護電力系統網絡安全運行中作用顯著。
感知范圍方面,累計實現 1236 臺網絡設備、12 個廠商、79 種型號的 634 臺安全設備數據接入,覆蓋 50000 余臺終端,邊設備 50 余臺,網絡安全監測覆蓋面達到 80% 以上。
感知效果方面,近兩年共通過電力物聯網全場景安全態勢感知平臺監測到網絡攻擊嘗試累計達到 5115 萬次,經平臺分析后確認網絡攻擊告警 431 萬次,確認互聯網攻擊源 14528 個, 通過高級分析發現 C&C 惡意 IP 地址 345 個。
處置成效方面,在比特幣勒索軟件攻擊事件中,通過全場景安全態勢感知平臺發布專項監測第一時間實現了預警通報,并對受控系統和終端進行全面掃描實時監測感染情況,確保零感染。“Bulehero”木馬攻擊事件中,通過態 勢感知平臺及時鎖定遠控域名及攻擊源ip 近 30 個,并下發聯動策略有效阻斷攻擊者的后續攻擊。
4.結 語
電力物聯網全場景態勢感知解決方案面向電力物聯網業務安全防護新需求,落實國家網絡安全法、等級保護 2.0 等要求,構建主動防御、動態防御的網絡安全分析能力、未知威脅的檢測能力、安全工作的執行能力,使電力物聯網具備監測、分析、預警和應急處置能力,有效保障電力物聯網安全穩定運行。
