引用格式:金倩倩, 张付存. 电力物联网全场景安全态势感知解决方案 [J]. 信息安全与通信保密 ,2020( 增刊1):49-55.
摘 要
电力物联网全场景态势感知解决方案根据电力物联网典型的“云、网、边、端”分层结构构建安全防护体系,提升电力物联网全场景安全态势感知能力,解决电力物联网安全态势感知体系欠缺和应急响应能力不足的问题。对全业务电力物联网的各环节进行安全保障,防止恶意渗透攻击、防止数据丢失、防止恶意篡改,确保接入终端可信、传输通道可靠、业务应用可控,实现全景安全监测,全面提高全业务电力物联网安全综合防御能力。
关键词:电力物联网;全场景安全态势感知体系;云边协同;局部安全自治;联防联动机制
内容目录:
0 引 言
1 目标及内涵1.1 电力物联网特点
1.2 总体目标
2 关键产品及防护能力
2.1 “云”态势感知技术及产品
2.2 “网”态势感知技术及产品
2.3 “边”态势监测技术及产品
2.4 “端”态势监测技术及产品
3 应用案例
4 结 语0引 言
电力物联网是物联网在电力行业的具体表现形式和应用落地,通过将电力用户及其设备、电网企业及其设备、发电企业及其设备、供应商及其设备,以及人和物连接起来,产生共享数据,为用户、电网、发电、供应商和政府社会服务,以电网为枢纽,发挥平台和共享作用, 为全行业和更多市场主体发展创造更大机遇, 提供价值服务 。作为落实建设能源互联网,加快新型数字基础设施建设的核心任务,建设电力物联网势不可挡。
然而,电力物联网的建设将极大改变现有 电力业务模式和专业体系 ,也不可避免的对电网现有网络安全防护体系产生冲击;同时,随着国内外安全形势的不断变化,以及国家要求 的进一步明确,都对物联网安全提出了新要求。为贯彻落实国家、行业及企业的相关要求,在 电力物联网新业务形态、新部署组成等新形势 下,需要加快建设电力物联网全场景安全态势 感知体系,形成整体解决方案,全面保障电力 系统安全可靠。
1 目标和内涵
1.1 电力物联网特点
电力物联网将“大云物移智”等现代信息通信技术,与新一代电力系统相互渗透和深度融合,作为应用于电网的工业级物联网,其体系结构在沿袭物联网典型三层架构基础上,增加了边缘计算层,形成了电力物联网“云、网、边、端”体系,具备终端泛在接入、平台开放共享、计算云边协同、数据驱动业务等特点 。针对新架构、新平台、新业务形态的安全防护需求,电力物联网全场景安全态势感知体系覆盖电力系统的横向管理信息大区和互联网大区, 纵向覆盖国(分)、省、地、县、变电站和电厂, 形成大规模工控系统的网络安全态势统一感知和协同防御。
1.2 总体目标
电力物联网全场景安全态势感知解决方案的总体目标是构建电力物联网态势全场景态势感知平台,打造电力物联网“安全大脑”,如图 1 所示。其内涵包括以下四个方面:
(1)作为安全态势感知平台,感知电力物联网的全场景安全态势;
(2)作为安全作业管理平台,面向电力企业一线人员提供网络安全监测、分析、溯源、处置和各类安全技防设施规则统一配置、统一编排;
(3)作为安全业务中台,对外提供安全数据服务和安全业务服务;
(4)作为作战指挥平台,支撑日常和特殊保障时期电力企业各单位安全事件上报、通报 预警、常态分析和联动响应。
图 1 电力物联网“安全大脑”
2关键产品及防护能力
本方案围绕电力物联网“云、网、边、端” 的体系架构,通过各层的态势感知安全措施提供相应的安全防护能力,借助电力物联网边缘计算特性,实现局部自治、全局联动有机结合的主动防御能力。针对电力物联网各层形成了全场景态势感知平台 S6000、网络流量威胁分析装置、轻量级态势监测模块、终端检测及响应软件 EDR 等多项关键软硬件产品,实现了电力物联网环境中的终端、网络、服务器、业务系统等的统一监测和全面感知。各层安全措施及安全能力如表 1 所示。
表 1 电力物联网全场景态势感知体系分层防护能力
2.1 “云”态势感知技术及产品
采用“一平台、微应用、多场景、全数据” 的体系架构,形成全场景态势感知平台 S6000。作为态势感知体系中心平台,以基于攻击路径的安全场景模型为监测依据,采用情报收集、深度监测、大数据分析等手段,形成完整的安全事件处置机制。通过联动电力物联网其他各层的态势监测和感知能力,实现电力物联网业务全环节威胁监测及态势感知,系统架构如图 2 所示。
图 2 全场景态势感知平台 S6000
全场景态势感知平台技术特点包括:
(1)全数据,即实现全场景海量信息安全基础数据全采集、监测与集中分析。通过构建基于网络安全风险全要素辨识的对象化网络安全基础数据模型。将业务、资产、日志、告警、威胁、行为、流量、情报等多维风险要素进行统一建模表达,突破了异构数据无法关联的技术壁垒,真正实现安全防护设备告警信息、流量、资产、情报等数据间的时空多维关联及融合。
(2)一平台,即实现基于大数据分析预测的企业级安全数据分析平台,包括数据采集、预处理、规则分析、深度挖掘、统计计算、数据存储等数据处理全过程。一方面,以数据驱动思想,针对各阶段数据进行多维封装,在平台侧通过统一服务提供多形态数据共享。另一方面,结合处理逻辑构建计算组件,通过平台提供实时分析、离线分析、交互式分析、不确定性分析等计算服务。
(3)多场景,即面向威胁场景构建实时和离线分析模型,提升对复杂网络环境的态势感知全面性、实时性、灵活性和精准度。基于攻击链进行外部攻击监测模型构建,通过多级关联进行定位、跟踪,最终通过联动联防实现防御;基于统计分析构建内部状态预警模型,及时发现异常趋势变化,产生预警。场景模型支持定制化开发,可灵活扩展。
(4)微应用,即通过平台的数据、计算开放能力,供业务定制符合实际需求的微应用。针对运行值班人员、安全人员、应用人员等不同用户角色设计并实现预警监控微应用;针对不同业务需求可定制场景展现、可视化展现的微应用方案;也可通过微应用实现集成外部安全厂商的检测分析能力,加强平台能力扩展。
2.2 “网”态势感知技术及产品
针对电力物联网网络全流量分析,通过自主研发的电力物联网流量威胁分析装置,如图3 所示,提供全量流量数据捕获还原及存储、分析检测、回溯、查询及取证,形成基于网络流量的安全威胁看得见、看得准、看得深的感知能力。
图 3 电力物联网流量威胁分析装置
电力物联网流量威胁分析装置基于网络安全监测和网络流量采集框架,在网络层面检测攻击,实现纵深防御的安全监测应用群。其技术特点包括:
(1)网络流数据全面处理。基于零拷贝的高性能网络数据包处理技术,确保电力物联网大流量环境下全流量处理。面向电力物联网业务实现业务流量深度还原。
(2)网络威胁全方位监测。基于流量数据可视化,构建终端及业务流量基线(流量- 连接- 对象的关系),发现异常行为,识别绕过传统边界防护设备的高级攻击,提高威胁监测能力。
(3)网络流量深度分析。面向物联网业务构建过滤规则,发现异常行为,串联孤立安全事件,提升异常行为关联及深度挖掘能力。支持多源异构海量数据的秒级弹性检索,及基于网络访问路径的全链路溯源分析。
2.3 “边”态势监测技术及产品
面向电力物联网边设备,通过在边缘物联代理上部署自主研发的轻量级态势监测模块, 如图 4 所示,针对边设备资源受限的特点,采用轻量级技术方案实现终端资产监测、边设备流量监测、终端行为分析、边设备应用安全监测等,一方面,通过边端联动实现局部的安全防御自治;另一方面,接受云安全态势感知平台的全局联动响应编排,实现全局防御。
图 4 边缘轻量级态势监测模块
边缘轻量级态势监测模块技术特点包括:
(1)实时采集边设备及下联终端数据,涵盖南北向流量、电力物联终端数据、边缘 APP 业务数据、运行状态数据等,近场执行数据融合及关联分析处理,实现实时监测及预警。
(2)采用规则引擎与分析引擎结合的技术方案,分别针对已知攻击及未知威胁进行检测。规则库和分析模型与云上态势感知平台保持同步。
(3)采用运行态资源控制机制,充分利用边设备空闲期执行计算任务,实现轻量级安装及运行。
2.4 “端”态势监测技术及产品
针对智能物联终端进行安全监测,通过自主研发终端安全检测响应软件EDR,如图5 所示,实现电力物联网末端感知层数据采集及状态监测。协同云、边的深度分析及决策能力,实现基于云边端联动的主动防御,提供电力物联终端安全“监测、分析、响应”一体化的安全防护能力。
图 5 终端安全检测与响应 EDR
终端安全检测与响应 EDR 围绕终端资产安全生命周期,充分协同利用云、边的深度安全分析检测及决策能力,集成云端病毒查杀、沙箱检测等专用引擎,共享威胁情报平台,通过预防、防御、检测、响应赋予终端更为细致的隔离策略,更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力。技术特点包括:
(1)通过自研 Agent 程序,无缝对接各类终端系统,针对外部攻击嗅探行为、内部异常行为、自身安全防护配置短板等进行操作系统级监测埋点,获取全面的终端侧威胁感知基础数据。
(2)采用可信行为基线理念,行为分析引擎动态学习终端的文件、进程、网络和用户访问行为,并基于可信基对服务器等工控及物联终端的异常行为进行监测及告警,实现终端级的“精确感知”和“贴身防护”。
(3)在应对高级威胁时,通过多级联动协同,针对可编排的响应场景进行自动化响应处置,支持终端隔离、文件删除 / 还原、端口封禁、进程终止等多种阻断方式,提供不同级别的安全防御。
3应用案例
某电力企业依托电力物联网安全态势感知解决方案,在 30 多家单位部署建设了全场景态势感知平台及配套各层安全措施,依托平台建立了上下级联防联动的安全运营机制,及时感知态势并预警安全风险,共享信息安全情报, 提升了企业整体的安全风险应对能力。平台在G20 会议保障、国家安全专项演习、“一带一路” 峰会保障中,及时发现应对来自互联网的攻击行为,处置了分布式拒绝服务攻击、恶意病毒攻击、电子邮件攻击、网络入侵等黑客攻击, 在维护电力系统网络安全运行中作用显著。
感知范围方面,累计实现 1236 台网络设备、12 个厂商、79 种型号的 634 台安全设备数据接入,覆盖 50000 余台终端,边设备 50 余台,网络安全监测覆盖面达到 80% 以上。
感知效果方面,近两年共通过电力物联网全场景安全态势感知平台监测到网络攻击尝试累计达到 5115 万次,经平台分析后确认网络攻击告警 431 万次,确认互联网攻击源 14528 个, 通过高级分析发现 C&C 恶意 IP 地址 345 个。
处置成效方面,在比特币勒索软件攻击事件中,通过全场景安全态势感知平台发布专项监测第一时间实现了预警通报,并对受控系统和终端进行全面扫描实时监测感染情况,确保零感染。“Bulehero”木马攻击事件中,通过态 势感知平台及时锁定远控域名及攻击源ip 近 30 个,并下发联动策略有效阻断攻击者的后续攻击。
4结 语
电力物联网全场景态势感知解决方案面向电力物联网业务安全防护新需求,落实国家网络安全法、等级保护 2.0 等要求,构建主动防御、动态防御的网络安全分析能力、未知威胁的检测能力、安全工作的执行能力,使电力物联网具备监测、分析、预警和应急处置能力,有效保障电力物联网安全稳定运行。
作者简介:
金倩倩,硕士, 高级工程师,主要研究方向为信息安全;
张付存,硕士,工程师,主要研究方向为信息安全。
选自《信息安全与通信保密》2020年增刊1期(为便于排版,已省去原文参考文献)
声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
