饶志波  水利部机电研究所工控网络安全测评中心技术部长

摘要：以工业大数据和工业信息安全监测为基础，按照“设备自身感知、监测装置就地采集、平台统一管控”的原则，通过部署网络安全监测装置，运用实时监视、预警告警、态势感知、定位溯源、审计分析、闭环管控等先进适用功能，搭建起工业信息安全态势感知预警监测平台全面监控目标工业网络空间内计算机、网络设备、安防设施等设备上的安全行为，进一步完善工业企业监控系统安全防护体系，推动网络安全管理从“静态布防、边界监视”向“实时管控、纵深防御”的转变，全面实现工业企业“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的防控目标。该平台广泛适用于全工业领域的工业信息安全态势感知预警监测平台建设。

本文内容有四大块，第一是背景和政策的支持，另外是设计的方案还有部署的方案，以及我们针对于已经做过的典型案例是怎么部署的，让大家一起来给我们提一些意见。这些是前面很多专家和大师基本上都讲到这一块，为什么说要有态势预警的东西，就是因为每年的安全事件是日益突出的，你看到每一年都有大大小小的事情基本上都关乎到工控安全，我们针对最新发生的事情，我们水利为什么要做才是感知平台？委内瑞拉3月7日安全事件就是针对水利的，所以背景是这么一个背景，连续停了三天的电。攻击的手段是利用水利电力系统的一些漏洞，所以导致了停电事件，所以后面厂家对可能发生的方式都做了分析，最终的结论就是利用了水利电力系统的安全漏洞所导致的攻击事件。对于这个事件的本身是前车之鉴又加强国内电力系统的工控安全建设，也就是说如果我们能够在之前预警到这些能够知道这些分析到它的漏洞，能够扫描到漏洞就可以有效的避免这个问题，这就是我们为什么要有预警态势感知平台的纬度。

我们刚刚说针对于委内瑞拉的事情利用一些漏洞，我这里统计了近年来安全漏洞的事件，另外一点随着刚刚前面很多专家都提出了万物互联或者说互联互通工业互联网，随着这些关联技术越来越紧密，这些安全技术漏洞的利用越来越大，在你没有完整的防护固有的系统情况下，能不能尽早的预警到或者发现到它的问题，这就是态势预警平台的意义所在。为什么要建立态势预警感知平台是这么一个层面，我们对工业控制系统和工业互联网系统和工业物联网系统三个层面，第一个攻击的方式网络接触从可能产生的攻击几个层面来分析，第一个是网络解除从外网访问和外部设备的接入还有内部的登陆，实际上介子攻击或者纵向的潜入。另外实时打击从哪几个方面，第一个是破坏性的操作，还是植入传播性的病毒还有干扰系统的运行，还是窃听涉密信息，它攻击的准备就会涉及到安全程序运行相应的权限是这么一个平台，那么对于构建态势预警感知平台就提供了非常好的思维，我们要防御这些东西就要及早的开展监测，事先完成对风险预防预控以及在事中对于及早的发现把潜在的风险给消灭掉，这对于公安系统的安全监控，建立在工控网络的安全攻击态势预警平台，所以这就是我们建立这个平台的另外分析的纬度。

这里就是我们建立一个针对公安控制系统态势感知平台的必要性，我们怎么去分析它的必要性？我们通过一个对比，一般通用的监控技术都是采用流量和报文进行分析，工业互联网服务器的协议进行监测和分析，对网络进行隔离。但是对于我们工业控制系统，因为它是一个比较稳定的，网络服务是有可控的，这个系统明显不是最佳的选择，因为从这几个纬度。

第一、监测的对象来说，官方系统监测的对象主要是工业控制系统当中的各种设备协议日志以及包括传统信息安全数据报文这几个纬度，另外监测的手段传统信息安全是网络流量及报文内容的分析，对于我们工业控制系统它是被监测对象自身感知的设备级的监测，为什么？就像前面大家说的OT这些网络就会涉及到OS、CS这些工程师账户操作员这些设备，这些都是我们设备自身的东西。而监测的内容就是利用已知漏洞的攻击行为，对于我们工业控制系统就是外网到网络访问外部设备的接入用户登陆人员操作等这几个方面的事件，那么对于典型的设备就是IDS防火墙这些，对于工控系统就是网络安全特殊的监测，包括了感知加密传输以及数据采集到展示方方面面的事情。所以这就迫切希望我们研发一套针对工业监控的系统，面向社会事件的网络安全监测技术的工控网络安全预警态势感知平台，这个就是我们说的监测建立的必要性。

为了加深必要性的了解，我们也列出了现状，我们在工业控制系统当中我们看到的现状以及我们实际上建立工业控制系统的态势预警感知，希望它能够有效的解决问题索要承担的一些事情，我们看到的系统大部分会说有没有安全措施，会说有我们有边界防火墙这些东西，你这里是否有攻击行为的黑客电脑在这里攻击，外面有防火墙纵向加密装置这些，一旦对于内部可能产生的风险没有办法监控，也就是说它是由外到内纵向的攻击有一些手段，当然对于工业企业来说它这些东西大部分都是好多年没有更新过的，我们调研过电厂有好几百个基本上都是这样子没有任何的更新，我们要做的态势预警感知平台要解决边界的问题，同时要解决内部的包括数据库操作系统服务器，还有它边界的防火墙，以及正反向隔离装置加密，以及它自身在终端设备的数据库，以及工业控制系统特有的工控设备它本身的这些行为，这些日志以及它数据报文都能做相应的分析，能够处置做到真正的预警态势感知分析。

在这个基础上，这就是我们说的必要性，那么做这个事情的基础上大家会问你做这个是不是自己凭空想象的我们需要法律政策的支撑，这个是国家的层面大家可以看到从2014年、2016年、2018年这些都有相应的国家层面相应的政策法规做支撑。另外一个是行业政策的支撑，大家可以看到分析这几年行业的政策支撑，尤其是在电力能源以及水利一块，还有工信部这些层面基本上是年年都有相应的政策法规来针对于关键技术设施和工业控制系统网络安全的政策出台。大家看一下这是水利，为什么提这个？因为我们在水利这一块参与的比较多，最近招标的是实施国家信息安全专项，丹江口水利关键信息基础设施网络安全感知工程，这个是影响非常大的也是目前为止在水利国家级层面对工控安全做的比较大的态势感知防护的东西，也是贯彻落实网络安全法等级保护条例的示范性工程。

另外一个是能源局，大家可以看到红色标出了对企业网络安全态势的感知平台，还有建设网络感知环境也有相应的提到，以及网络安全自主创新安全可控的内容，这个是国家电网公司设备自身感知监测装置就地采集以及平台统一监管这都是态势感知的内容，所以从这些层面都有相应的政策法规支撑态势感知平台的建设。

大家知道了必要性也有相应的政策支撑，大家就会问态势感知平台建设的原则和能达到的目标是什么？我们从业务目标功能目标三个纬度来验证，第一个原则一定要继承已有的优势，不能说因为我们去建这个态势感知的平台就把已有的安全的东西全部否定，所以我们要巩固现有的控制系统布防的安全策略和防护手段，通过闭环管理手段进一步的加强。我们刚刚说的大部分的企业已经有边界的防火墙和隔离装置，我们不能把它们踢出我们要很好的利用它，我们把它防护以及业务数据分两个纬度分别采集起来。第一是做分析，第二做业务数据的分析，从两个纬度分析了网络安全性，还有一个创新性的发展在用到设备的基础上我们要做对监测技术分析手段更加丰富，同时具备必要的响应处置手段，这个怎么去讲？作为不同的工业系统运营系统是不同的，可能要通过抓业务数据流以及对它的业务模型进行建模，因为我们说有OS、CS这些设备方面的内容，我们可能要做一些相应采集的处理，可能会有一些数据采集抓取的工具，这就是创新性的发展。

另外还有面向设备事件的监视技术，因为我们说有很多新的设备，很多新的系统，所以是基于事件监视技术分布式工业网络安全管理措施，因为我们大部分的工业控制系统都是分布式的，那么业务的目标就是第一要外部入侵的有效手段，我们建立态势预警感知，大部分的内容是说在你没有完整的能够阻断所有控制的基础上，我能够对它进行预警，比如说第一个车间受到的攻击马上能够预警到第二第三第四个车间也可能出现这个问题，也达到了一种对于外部入侵的有效手段，还有外部干扰的有效隔离，怎么样隔离这一块的东西。第三个内部介入有效的遏制，还有安全风险的有效管控，你能够通过可视化的东西事前分析到可能导致的问题，第三个纬度就是管控的目标支持安全保护措施的闭环管理。我能够通过日志这种安全产品的日志以及主机产品运行的信息，以及相应的工业控制本身设备数据能够闭环的分析到可能出现的问题，尽快的展示它可能遇到的风险，从而更好的防护好我的工业控制系统。

第二个支持工业控制系统安全事件的全方位监视和控制有一个强有力的UI或者相应分析的模块能够更好的展示相应的防护能力。第三个点支持工业控制系统网络安全的态势职能分析，能够转向它的职能能够从多个纬度展现出相应的安全风险安全隐患。通过这几点为了贯彻网络安全法以及等级保护相关的规范要求，所做出的一个分析。这是构建预警态势感知平台的技术路线，刚刚开始也给大家讲了，做的主要检测和管理预警，主要的特点是认为任何的网络安全事件总是从接触控制的第一台设备开始发展蔓延，做好网络安全监管必须监测从网络边界到服务器到工作站以及交换网络设备这些具体的设备入手，从每一台设备的访问设备接入人员登陆设备操作以及程序的运行这几个方面统一的监管，只有把这些监管了才能更好的处置网络攻击病毒感染这些事件。

所以通过这点我们可以从三个纬度，第一个是采用感知采集管控三个层面对工业控制系统进行感知平台的建设，大家也可以看一下我这个图，大概是这样标的。对于技术路线大概的框架是什么？第一是我们的监测，我们说我们工控的态势感知一定是基于设备的，你要把设备本身的那些感知信息能够采集到。第二个是传统信息安全把业务数据能够采上来，所以第一个层面就是我们自身的感知涉及到交换网络设备安全设备安防设备，防火墙、IDS纵向加密还有主机设备终端设备服务器工程师站，以及数据库以及工控系统特有的IDS这些，这些是怎么去采集的？这方面是采集相应的数据，另一方面如果对于服务器我们是会装一些工具把相应的数据采集上来，到上一层就要做分层分区域的采集，就是网络安全的行为分析系统这个是我们自己定义的，其实就是数据采集器，通过加密比如说在电力系统电网系统可能就是61850或者通过别的DMP3这些协议一级级往上传，因为不同的业务系统走的协议是不同的，这也是我们工业控制系统和信息安全系统极大的差别，这也是我们态势感知系统建设的必要性。所以大家看这就是我们介绍的三层怎么做的，第一层是把它自己的数据以及业务数据往上传，第二层从车间厂级分区做数据综合汇总，第三层做一个综合的态势感知预警的展示模块化分析。

在这个基础上我们有相应产品的框架，可以分为这三层的框架，第一层属于数据采集层，使用各种采集数据采集流量日志各种资产信息规划处理传输到核心层，核心层就会涉及到相应的各种数据加工处置，模块化的分析处置，第三层就是数据展示层，完全以用户之间的交互达到安全预警事件的监控安全运行的监控这样一个目的，这是我们说的基本架构，也是我们当时在设计之初的初衷。它达到的功能我们认为针对于工控网络态势感知平台应该有一些功能，大概有这九个方面。

首先你能够对你的资产进行管控，那么在发生任何的攻击事件之后，至少能够对于断网或者说设备的故障关闭状态能够有一个展示，比如说以打问号打差的方式显示没有连上的这种方式也是预警态势。另外一个可管理，能够很轻松的展现整个场的网络拓补结构，第三点安全事件的管理，你发生了任何的安全事件以及各种的威胁能够做相应查询以便于规避责任和事件的统计。第四点说的告警管理又涉及到五个点网络状态的检测，网络流量的检测，USB的插拔这一块的东西，还有在主机上装本身运行的一些监测。

在这个基础上又有第五点知识库的管理，分别有数据收集库用户数据库知识数据库三个纬度，以及第六但就是认知采集和管理，我们说的对于我们已有的网络设备防火墙纵向加密装置这些，本身又带有安全装置不能抛弃它，我们怎么样去做把它的安全日志能够采上来，对于前期没有注意的，但是是工业控制系统特有的主机OS、CS这些操作系统能够采集上来，同时能够支持多种协议采集上来这就是我们说的日志采集和管理，还有关联性的分析，一旦出现了本身在拓展不应该出现的相互之间的通信也能够有关联性的分析，以及各种前期出现的同样攻击事件是不是有同样的关联性做一些模块化的分析。工业控制系统行为监测分析，对于我们说的有的那些DCS，因为我们有相应的知识库能够知道它的起停关机以及预警状态比较关键的操作行为，那么就能够检测到工业控制系统行为的一些异常。第九大应急处置是怎么处置的问题，在这里知道了产品的一些功能，以及它能做的一些事情一些架构，大家就会问你们这个产品到底生产出来了吗？这个是肯定的。大家可以看到我们的态势感知平台也就是通过以国网模板做的升级板，大家可以看到我们把它定义为网络安全的行为分析系统，我们通俗的说是采集系统，另外一个是网络行为的管理平台综合汇总平台，大家会问你不是要采集主机的设备以及操作信息这个是白名单化的，我们可以用市面上通用的，也可以用自己本身有的，这就是对于我们设备大概的配置。

在这个基础上大家会问你这个产品主要实现了哪些功能，这边是功能的图，这边是我们实现的性能。能力一安全可视，做了资产的识别业务的识别行为的识别安全的识别，第二个动态的感知做了资产变动的动态感知还有安全风险的动态感知，以及我们安全事件的持续感知，还有异常行为的持续感知。当然这是我们最初比较老的版本新的版本已经比个丰富了非常多的内容，大家最关心的你这个是怎么部署的？因为对于我们的安全这一套东西不会给本身的业务系统带来隐患，这个对于单独成网的，上面这一层是单独自己成了一个网络有自己的网络行为分析系统，自己的防火墙自己的交换机自己的采集器自己的网闸以及交换机这些东西自成一个网络，当然下面这些交换机我们厂里面已经有的汇集交换机以及它的业务系统，但是我们自己是一个单独成网，同时我们又是安全分区的，不会对你区域之间互联互通产生相应的影响。

大家看到合乎就会问你到底做了哪些工作？这就是我们能做的一些事，安全事件类、操作类、运行信息类，其实我们还有一个工控行为类，这一块是没归类出来，对于每一产品做了哪些处置也是我们可以看到的。对于装置本身我们自己的数据采集也能做一些信息的采集，咱们装上的东西不应该给系统带来隐患的，所以我们自己也会带来监控。另外主机设备就是CS、OS这些东西，以及PLC、DCS这些东西，都会做一些相应的处置，这是我们的设备。这是我们的安全设备，大家说为什么只有防火墙和隔离装置？其他的也有，其他的没有列出来。这个是态势感知平台，因为现在互网行动很多设备一下断掉之后我们能展示的就是有相应的拓展，但是就是连不上了这个是受到攻击之后的展示下面有分析。

这个是典型的案例，大家可以看到自己成网的在火电厂，火电厂分为一期二期三期，还有生产控制大区和管理大区的东西，我们通过隔离的网站每一次采集都有相应的隔离网把它隔离出来然后通过汇总做到综合态势预警分析。当然在我们的主机上也装了相应的白名单软件自己的东西，做相关日志操作的采集，然后传到监管平台，这个是水电站这些也是同样的道理分三个区。大家就会问这是已经建好的系统，我现在建怎么做这个系统？这个是我们针对智能制造的系统，我们把它各个车间区域分好，对于相应的分区域的东西统一的采集到一级级的数据做数据的采集，最终传到态势预警的分析平。