技术分享 | 安全智能监管平台在电力企业内应用介绍

1. 背景

近年来，随着工业网络安全事件不断涌现，国家陆续出台各种法规标准加大对关键信息基础设施信息安全监管力度。同时，企业自身也加大了对工控信息安全的投入，纷纷开始规划建设工控网络信息安全，使得企业工控网络中的安全设备迅速增加。而目前大部分企业还是将分散在各地、不同种类的安全防护系统分别管理，导致安全信息分散互不相通、安全策略难以保持一致、安全事件和日志无法关联分析等问题，因此这种管理方式成为企业安全态势分析的瓶颈。安全智能监管平台的需求主要从以下几个方面体现：

√ 企业资产的集中管理当前工业生产企业中各类工控设备繁多、网络拓扑不清晰，并且由于工控设备多存在着未修补的安全漏洞，很容易被黑客利用形成攻击路径。那么对于大规模系统的资产管理就需要通过安全智能监管平台来梳理工控资产的安全风险和网络拓扑结构来解决安全隐患。

√ 安全告警的集中管理随着工控安全建设越来越大，管理人员除了需要协调各个安全系统之间的策略、配置之外，还要面对数量巨大、彼此割裂的安全告警信息，这将使管理人员力不从心，导致工控出现问题时得不到及时排查，影响企业生产。那么对于大规模系统的告警管理就需要通过生产安全集中监测平台来解决安全告警的集中管理问题。

√ 掌握全局风险，通常工控网络中的安全设备是分别逐步建立起来的，比如工业防火墙、入侵检测系统、主机防护系统等，各个系统都有单独的管理员。这种相对独立的部署方式带来的问题是各个设备独立的配置、各个引擎独立的事件告警，这些分散独立的安全事件信息难以形成全局的风险态势。安全智能监管平台整合了企业内部各厂区的多个安全设备的安全告警和日志，通过关联分析后可以获得企业全局的安全风险和态势。

2. 产品概述

安全智能监管平台是对工业企业网络中的设备资产、安全产品及安全事件进行集中监测管理的软硬件一体化产品。安全智能监管平台借鉴“一个中心、三重防护”的纵深防御模型。采用“一个中心、三重发现”的建设理念，其中一个中心是指集团级生产安全集中监测平台，三重发现是指发现工控网络区域边界、网络通信、计算环境安全问题的能力。集团平台中心通过报警防护反馈给厂侧，对厂侧安全防护进行监督。

3. 政策依据

根据2017年6月1日正式实施的《中华人民共和国网络安全法》中第五十二条负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

4. 关键技术

4.1.区域边界监测内容

√ 非法外联监测

监测安全Ⅰ区和安全Ⅱ区内是否有主机向外部IP尤其是公网IP发起主动连接。

√ 异常攻击监测

监测从外部是否存在带有控制协议的流量进入生产控制大区

√ 安全合规监测

监测在安全Ⅱ区和安全Ⅲ区边界处是否放置电力专用隔离装置。

4.2.网络通信监测内容

√ 设备运行状态监测

监测设备运行状态，通过流量模型针对设备的运行与否状态进行监测，如长时间无流量则推断设备故障或宕机。

√ 网络异常访问监测

通过建立的网络访问模型，发现网络中异常的访问，如“WannerCry”主动扫描445端口的行为。

√ 网络通信告警信息监测

通过网络安全设备的“白名单”策略，系统中不符合“白名单”配置的通信行为，将触发安全设备的告警机制，产生告警信息，生产安全集中监测平台可监测此类告警信息，并将结果呈现在生产安全集中监测平台集团侧监测平台服务器。

4.3.计算环境监测内容

√ 非法程序启动监测

通过建立的可执行程序白名单库，发现异常启动的应用程序，如病毒、木马等。

√ 主机非法外联监测

通过对主机网络访问的分析，发现主机外联恶意IP的行为，如私接Wifi等。

√ 主机安全基线监测

通过对主机的安全策略、服务进行监测，发现主机违规开放的端口、服务，同时，可对主机的安全策略配置情况进行监测，发现主机安全策略配置的不符合项，如密码策略、账户锁定策略、审核策略的监测。

4.4.企业监测子平台

√ 收集来自于三重探针的信息

主动收集来自于区域边界、网络通信和计算环境上的监测信息，并逐级上送。

√ 收集网内其他安全设备或应用系统日志

通过Syslog等标准协议，厂级监测子服务器收集网内操作系统、应用系统、其他安全设备的安全日志，并把日志逐级上送；通过SNMP标准协议，收集厂级网内交换机、路由器等网络设备的系统日志、运行日志等信息，并把日志逐级上送。

5.解决方案

在下属企业工业控制系统网络内部署安全信息采集装置，完成区域边界和网络通信旁路监测审计，主机信息通过轻接触主动扫描的方式获取安全信息。然后通过企业专网逐层上报，最终汇聚到集团生产安全集中监测平台。

安全生产集中监测管理系统的采集探针逻辑架构划分为数据采集层、分析检测层。

√ 数据采集层

负责原始报文的采集、协议解析（包括TCP/IP协议栈的解析及工业控制协议的深度解析）、初步攻击检测及信息汇聚与统计。

√ 分析检测层

对来自数据采集层的报文解析结果、检测结果及汇总统计信息，进行工控网络通信行为建模，并对TCP/IP异常事件、工控指令异常事件、工控关键事件、网络会话异常事件等进行分析检测。

通过在集团部署安全智能监管平台收集下属企业工业控制系统网络安全监测系统的安全数据。

数据流向：集团及下属企业安全智能监管平台相应安全采集数据流向为通过下属企业生产安全集中监测管理系统服务器穿过边界防护装置上报到集团安全智能监管平台。

控制措施：集团可以根据安全智能监管平台发现的安全问题，下发下属企业工业控制系统网络安全问题表，并根据存在的安全问题提出整改要求。

6. 安全信息展示

集团安全智能监管平台通过整体概览、企业安全事件、下属企业工业控制系统内各类资产安全等视图全面展示从资产到集团的各类网络安全现状。

7.企业收益

√ 集团可以通过安全智能监管平台实时了解下属企业工业控制系统网络安全现状，可以通过网络安全现状有针对性的指导下属企业进行工业控制系统网络安全建设，解决了只有等到检查才知道安全建设欠缺在哪里的问题。

√ 集团可以通过安全智能监管平台对下属企业工业控制系统网络安全进行可视化了解，通过安全视图、各类图表第一时间展示工控安全健康指数、资产漏洞暴漏情况、当前告警信息（TopN）等安全信息，解决了安全建设没有可视化、量化的展示。

√ 集团可以通过安全智能监管平台实时掌握下属企业工业控制系统网络安全现状，及时发现各类攻击、误操作等对于工业控制系统造成影响的行为，指导集团下属企业进行有针对性的安全保护。把对各企业工业控制系统的安全监测实时化、动态化，解决了一年一次的测评，缺少常态化实时动态监测的问题。

√ 安全智能监管平台可以解决集团对下属企业安全检查工作中存在的时间紧，人员投入不足等问题，解决了安全检查单一，企业时间、人力投入有限的问题。