摘 要
電力物聯(lián)網(wǎng)全場景態(tài)勢感知解決方案根據(jù)電力物聯(lián)網(wǎng)典型的“云��、網(wǎng)�����、邊、端”分層結(jié)構(gòu)構(gòu)建安全防護(hù)體系�,提升電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知能力,解決電力物聯(lián)網(wǎng)安全態(tài)勢感知體系欠缺和應(yīng)急響應(yīng)能力不足的問題�����。對全業(yè)務(wù)電力物聯(lián)網(wǎng)的各環(huán)節(jié)進(jìn)行安全保障��,防止惡意滲透攻擊��、防止數(shù)據(jù)丟失��、防止惡意篡改�����,確保接入終端可信����、傳輸通道可靠、業(yè)務(wù)應(yīng)用可控�,實(shí)現(xiàn)全景安全監(jiān)測,全面提高全業(yè)務(wù)電力物聯(lián)網(wǎng)安全綜合防御能力���。
內(nèi)容目錄:
1 目標(biāo)及內(nèi)涵
1.1 電力物聯(lián)網(wǎng)特點(diǎn)
1.2 總體目標(biāo)
2 關(guān)鍵產(chǎn)品及防護(hù)能力
2.1 “云”態(tài)勢感知技術(shù)及產(chǎn)品
2.2 “網(wǎng)”態(tài)勢感知技術(shù)及產(chǎn)品
2.3 “邊”態(tài)勢監(jiān)測技術(shù)及產(chǎn)品
2.4 “端”態(tài)勢監(jiān)測技術(shù)及產(chǎn)品
3 應(yīng)用案例
電力物聯(lián)網(wǎng)是物聯(lián)網(wǎng)在電力行業(yè)的具體表現(xiàn)形式和應(yīng)用落地��,通過將電力用戶及其設(shè)備����、電網(wǎng)企業(yè)及其設(shè)備��、發(fā)電企業(yè)及其設(shè)備���、供應(yīng)商及其設(shè)備����,以及人和物連接起來��,產(chǎn)生共享數(shù)據(jù)�,為用戶、電網(wǎng)��、發(fā)電、供應(yīng)商和政府社會服務(wù)�,以電網(wǎng)為樞紐,發(fā)揮平臺和共享作用����, 為全行業(yè)和更多市場主體發(fā)展創(chuàng)造更大機(jī)遇, 提供價值服務(wù) ��。作為落實(shí)建設(shè)能源互聯(lián)網(wǎng)�����,加快新型數(shù)字基礎(chǔ)設(shè)施建設(shè)的核心任務(wù)��,建設(shè)電力物聯(lián)網(wǎng)勢不可擋�。
然而��,電力物聯(lián)網(wǎng)的建設(shè)將極大改變現(xiàn)有 電力業(yè)務(wù)模式和專業(yè)體系 �����,也不可避免的對電網(wǎng)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)體系產(chǎn)生沖擊����;同時,隨 著國內(nèi)外安全形勢的不斷變化,以及國家要求 的進(jìn)一步明確���,都對物聯(lián)網(wǎng)安全提出了新要求��。為貫徹落實(shí)國家����、行業(yè)及企業(yè)的相關(guān)要求�,在 電力物聯(lián)網(wǎng)新業(yè)務(wù)形態(tài)、新部署組成等新形勢 下����,需要加快建設(shè)電力物聯(lián)網(wǎng)全場景安全態(tài)勢 感知體系,形成整體解決方案�,全面保障電力 系統(tǒng)安全可靠。
1 目標(biāo)和內(nèi)涵
1.1 電力物聯(lián)網(wǎng)特點(diǎn)
電力物聯(lián)網(wǎng)將“大云物移智”等現(xiàn)代信息通信技術(shù)����,與新一代電力系統(tǒng)相互滲透和深度融合,作為應(yīng)用于電網(wǎng)的工業(yè)級物聯(lián)網(wǎng)��,其體系結(jié)構(gòu)在沿襲物聯(lián)網(wǎng)典型三層架構(gòu)基礎(chǔ)上����,增加了邊緣計算層,形成了電力物聯(lián)網(wǎng)“云��、網(wǎng)��、邊�����、端”體系����,具備終端泛在接入、平臺開放共享��、計算云邊協(xié)同�、數(shù)據(jù)驅(qū)動業(yè)務(wù)等特點(diǎn) 。針對新架構(gòu)���、新平臺�、新業(yè)務(wù)形態(tài)的安全防護(hù)需求�,電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知體系覆蓋電力系統(tǒng)的橫向管理信息大區(qū)和互聯(lián)網(wǎng)大區(qū)��, 縱向覆蓋國(分)�����、省、地����、縣、變電站和電廠��, 形成大規(guī)模工控系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢統(tǒng)一感知和協(xié)同防御��。
1.2 總體目標(biāo)
電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知解決方案的總體目標(biāo)是構(gòu)建電力物聯(lián)網(wǎng)態(tài)勢全場景態(tài)勢感知平臺���,打造電力物聯(lián)網(wǎng)“安全大腦”�����,如圖 1 所示���。其內(nèi)涵包括以下四個方面:
(1)作為安全態(tài)勢感知平臺,感知電力物聯(lián)網(wǎng)的全場景安全態(tài)勢��;
(2)作為安全作業(yè)管理平臺���,面向電力企業(yè)一線人員提供網(wǎng)絡(luò)安全監(jiān)測����、分析、溯源�����、處置和各類安全技防設(shè)施規(guī)則統(tǒng)一配置�、統(tǒng)一編排;
(3)作為安全業(yè)務(wù)中臺���,對外提供安全數(shù)據(jù)服務(wù)和安全業(yè)務(wù)服務(wù)����;
(4)作為作戰(zhàn)指揮平臺�,支撐日常和特殊保障時期電力企業(yè)各單位安全事件上報、通報 預(yù)警���、常態(tài)分析和聯(lián)動響應(yīng)����。
圖 1 電力物聯(lián)網(wǎng)“安全大腦”
2 關(guān)鍵產(chǎn)品及防護(hù)能力
本方案圍繞電力物聯(lián)網(wǎng)“云���、網(wǎng)�、邊��、端” 的體系架構(gòu)����,通過各層的態(tài)勢感知安全措施提供相應(yīng)的安全防護(hù)能力,借助電力物聯(lián)網(wǎng)邊緣計算特性�,實(shí)現(xiàn)局部自治、全局聯(lián)動有機(jī)結(jié)合的主動防御能力�����。針對電力物聯(lián)網(wǎng)各層形成了全場景態(tài)勢感知平臺 S6000�����、網(wǎng)絡(luò)流量威脅分析裝置�����、輕量級態(tài)勢監(jiān)測模塊����、終端檢測及響應(yīng)軟件 EDR 等多項(xiàng)關(guān)鍵軟硬件產(chǎn)品,實(shí)現(xiàn)了電力物聯(lián)網(wǎng)環(huán)境中的終端����、網(wǎng)絡(luò)�����、服務(wù)器�����、業(yè)務(wù)系統(tǒng)等的統(tǒng)一監(jiān)測和全面感知�����。各層安全措施及安全能力如表 1 所示�。
表 1 電力物聯(lián)網(wǎng)全場景態(tài)勢感知體系分層防護(hù)能力
2.1 “云”態(tài)勢感知技術(shù)及產(chǎn)品
采用“一平臺����、微應(yīng)用、多場景��、全數(shù)據(jù)” 的體系架構(gòu)���,形成全場景態(tài)勢感知平臺 S6000�����。作為態(tài)勢感知體系中心平臺�����,以基于攻擊路徑的安全場景模型為監(jiān)測依據(jù)����,采用情報收集����、深度監(jiān)測、大數(shù)據(jù)分析等手段��,形成完整的安全事件處置機(jī)制�。通過聯(lián)動電力物聯(lián)網(wǎng)其他各層的態(tài)勢監(jiān)測和感知能力,實(shí)現(xiàn)電力物聯(lián)網(wǎng)業(yè)務(wù)全環(huán)節(jié)威脅監(jiān)測及態(tài)勢感知����,系統(tǒng)架構(gòu)如圖 2 所示。
圖 2 全場景態(tài)勢感知平臺 S6000
全場景態(tài)勢感知平臺技術(shù)特點(diǎn)包括:
(1)全數(shù)據(jù)���,即實(shí)現(xiàn)全場景海量信息安全基礎(chǔ)數(shù)據(jù)全采集�、監(jiān)測與集中分析。通過構(gòu)建基于網(wǎng)絡(luò)安全風(fēng)險全要素辨識的對象化網(wǎng)絡(luò)安全基礎(chǔ)數(shù)據(jù)模型�����。將業(yè)務(wù)��、資產(chǎn)�、日志、告警����、威脅、行為�����、流量���、情報等多維風(fēng)險要素進(jìn)行統(tǒng)一建模表達(dá)�����,突破了異構(gòu)數(shù)據(jù)無法關(guān)聯(lián)的技術(shù)壁壘��,真正實(shí)現(xiàn)安全防護(hù)設(shè)備告警信息����、流量、資產(chǎn)����、情報等數(shù)據(jù)間的時空多維關(guān)聯(lián)及融合。
(2)一平臺����,即實(shí)現(xiàn)基于大數(shù)據(jù)分析預(yù)測的企業(yè)級安全數(shù)據(jù)分析平臺�,包括數(shù)據(jù)采集、預(yù)處理����、規(guī)則分析、深度挖掘��、統(tǒng)計計算���、數(shù)據(jù)存儲等數(shù)據(jù)處理全過程���。一方面,以數(shù)據(jù)驅(qū)動思想����,針對各階段數(shù)據(jù)進(jìn)行多維封裝��,在平臺側(cè)通過統(tǒng)一服務(wù)提供多形態(tài)數(shù)據(jù)共享�。另一方面��,結(jié)合處理邏輯構(gòu)建計算組件��,通過平臺提供實(shí)時分析���、離線分析��、交互式分析�、不確定性分析等計算服務(wù)�����。
(3)多場景�,即面向威脅場景構(gòu)建實(shí)時和離線分析模型,提升對復(fù)雜網(wǎng)絡(luò)環(huán)境的態(tài)勢感知全面性���、實(shí)時性��、靈活性和精準(zhǔn)度�����?����;诠翩溸M(jìn)行外部攻擊監(jiān)測模型構(gòu)建�����,通過多級關(guān)聯(lián)進(jìn)行定位����、跟蹤���,最終通過聯(lián)動聯(lián)防實(shí)現(xiàn)防御����;基于統(tǒng)計分析構(gòu)建內(nèi)部狀態(tài)預(yù)警模型�,及時發(fā)現(xiàn)異常趨勢變化,產(chǎn)生預(yù)警�。場景模型支持定制化開發(fā),可靈活擴(kuò)展�����。
(4)微應(yīng)用,即通過平臺的數(shù)據(jù)�����、計算開放能力���,供業(yè)務(wù)定制符合實(shí)際需求的微應(yīng)用��。針對運(yùn)行值班人員����、安全人員�����、應(yīng)用人員等不同用戶角色設(shè)計并實(shí)現(xiàn)預(yù)警監(jiān)控微應(yīng)用��;針對不同業(yè)務(wù)需求可定制場景展現(xiàn)���、可視化展現(xiàn)的微應(yīng)用方案����;也可通過微應(yīng)用實(shí)現(xiàn)集成外部安全廠商的檢測分析能力,加強(qiáng)平臺能力擴(kuò)展�。
2.2 “網(wǎng)”態(tài)勢感知技術(shù)及產(chǎn)品
針對電力物聯(lián)網(wǎng)網(wǎng)絡(luò)全流量分析,通過自主研發(fā)的電力物聯(lián)網(wǎng)流量威脅分析裝置�����,如圖3 所示�����,提供全量流量數(shù)據(jù)捕獲還原及存儲����、分析檢測、回溯�����、查詢及取證����,形成基于網(wǎng)絡(luò)流量的安全威脅看得見�、看得準(zhǔn)、看得深的感知能力��。
圖 3 電力物聯(lián)網(wǎng)流量威脅分析裝置
電力物聯(lián)網(wǎng)流量威脅分析裝置基于網(wǎng)絡(luò)安全監(jiān)測和網(wǎng)絡(luò)流量采集框架,在網(wǎng)絡(luò)層面檢測攻擊����,實(shí)現(xiàn)縱深防御的安全監(jiān)測應(yīng)用群。其技術(shù)特點(diǎn)包括:
(1)網(wǎng)絡(luò)流數(shù)據(jù)全面處理�。基于零拷貝的高性能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)��,確保電力物聯(lián)網(wǎng)大流量環(huán)境下全流量處理��。面向電力物聯(lián)網(wǎng)業(yè)務(wù)實(shí)現(xiàn)業(yè)務(wù)流量深度還原���。
(2)網(wǎng)絡(luò)威脅全方位監(jiān)測���。基于流量數(shù)據(jù)可視化���,構(gòu)建終端及業(yè)務(wù)流量基線(流量- 連接- 對象的關(guān)系)�,發(fā)現(xiàn)異常行為����,識別繞過傳統(tǒng)邊界防護(hù)設(shè)備的高級攻擊,提高威脅監(jiān)測能力。
(3)網(wǎng)絡(luò)流量深度分析���。面向物聯(lián)網(wǎng)業(yè)務(wù)構(gòu)建過濾規(guī)則�����,發(fā)現(xiàn)異常行為�,串聯(lián)孤立安全事件����,提升異常行為關(guān)聯(lián)及深度挖掘能力。支持多源異構(gòu)海量數(shù)據(jù)的秒級彈性檢索��,及基于網(wǎng)絡(luò)訪問路徑的全鏈路溯源分析���。
2.3 “邊”態(tài)勢監(jiān)測技術(shù)及產(chǎn)品
面向電力物聯(lián)網(wǎng)邊設(shè)備�,通過在邊緣物聯(lián)代理上部署自主研發(fā)的輕量級態(tài)勢監(jiān)測模塊���, 如圖 4 所示�����,針對邊設(shè)備資源受限的特點(diǎn),采用輕量級技術(shù)方案實(shí)現(xiàn)終端資產(chǎn)監(jiān)測��、邊設(shè)備流量監(jiān)測、終端行為分析�、邊設(shè)備應(yīng)用安全監(jiān)測等,一方面�,通過邊端聯(lián)動實(shí)現(xiàn)局部的安全防御自治;另一方面�,接受云安全態(tài)勢感知平臺的全局聯(lián)動響應(yīng)編排,實(shí)現(xiàn)全局防御�����。
圖 4 邊緣輕量級態(tài)勢監(jiān)測模塊
邊緣輕量級態(tài)勢監(jiān)測模塊技術(shù)特點(diǎn)包括:
(1)實(shí)時采集邊設(shè)備及下聯(lián)終端數(shù)據(jù)���,涵蓋南北向流量���、電力物聯(lián)終端數(shù)據(jù)、邊緣 APP 業(yè)務(wù)數(shù)據(jù)���、運(yùn)行狀態(tài)數(shù)據(jù)等��,近場執(zhí)行數(shù)據(jù)融合及關(guān)聯(lián)分析處理���,實(shí)現(xiàn)實(shí)時監(jiān)測及預(yù)警。
(2)采用規(guī)則引擎與分析引擎結(jié)合的技術(shù)方案,分別針對已知攻擊及未知威脅進(jìn)行檢測��。規(guī)則庫和分析模型與云上態(tài)勢感知平臺保持同步�����。
(3)采用運(yùn)行態(tài)資源控制機(jī)制�,充分利用邊設(shè)備空閑期執(zhí)行計算任務(wù),實(shí)現(xiàn)輕量級安裝及運(yùn)行����。
2.4 “端”態(tài)勢監(jiān)測技術(shù)及產(chǎn)品
針對智能物聯(lián)終端進(jìn)行安全監(jiān)測,通過自主研發(fā)終端安全檢測響應(yīng)軟件EDR����,如圖5 所示,實(shí)現(xiàn)電力物聯(lián)網(wǎng)末端感知層數(shù)據(jù)采集及狀態(tài)監(jiān)測���。協(xié)同云��、邊的深度分析及決策能力�����,實(shí)現(xiàn)基于云邊端聯(lián)動的主動防御��,提供電力物聯(lián)終端安全“監(jiān)測�、分析�、響應(yīng)”一體化的安全防護(hù)能力。
圖 5 終端安全檢測與響應(yīng) EDR
終端安全檢測與響應(yīng) EDR 圍繞終端資產(chǎn)安全生命周期��,充分協(xié)同利用云���、邊的深度安全分析檢測及決策能力����,集成云端病毒查殺��、沙箱檢測等專用引擎�����,共享威脅情報平臺����,通過預(yù)防、防御�、檢測、響應(yīng)賦予終端更為細(xì)致的隔離策略����,更為精準(zhǔn)的查殺能力��、更為持續(xù)的檢測能力�����、更為快速的處置能力�����。技術(shù)特點(diǎn)包括:
(1)通過自研 Agent 程序���,無縫對接各類終端系統(tǒng),針對外部攻擊嗅探行為�����、內(nèi)部異常行為��、自身安全防護(hù)配置短板等進(jìn)行操作系統(tǒng)級監(jiān)測埋點(diǎn)����,獲取全面的終端側(cè)威脅感知基礎(chǔ)數(shù)據(jù)。
(2)采用可信行為基線理念��,行為分析引擎動態(tài)學(xué)習(xí)終端的文件、進(jìn)程���、網(wǎng)絡(luò)和用戶訪問行為����,并基于可信基對服務(wù)器等工控及物聯(lián)終端的異常行為進(jìn)行監(jiān)測及告警�����,實(shí)現(xiàn)終端級的“精確感知”和“貼身防護(hù)”����。
(3)在應(yīng)對高級威脅時���,通過多級聯(lián)動協(xié)同��,針對可編排的響應(yīng)場景進(jìn)行自動化響應(yīng)處置�,支持終端隔離��、文件刪除 / 還原��、端口封禁�����、進(jìn)程終止等多種阻斷方式,提供不同級別的安全防御����。
3 應(yīng)用案例
某電力企業(yè)依托電力物聯(lián)網(wǎng)安全態(tài)勢感知解決方案,在 30 多家單位部署建設(shè)了全場景態(tài)勢感知平臺及配套各層安全措施��,依托平臺建立了上下級聯(lián)防聯(lián)動的安全運(yùn)營機(jī)制���,及時感知態(tài)勢并預(yù)警安全風(fēng)險�����,共享信息安全情報�, 提升了企業(yè)整體的安全風(fēng)險應(yīng)對能力���。平臺在G20 會議保障�、國家安全專項(xiàng)演習(xí)��、“一帶一路” 峰會保障中���,及時發(fā)現(xiàn)應(yīng)對來自互聯(lián)網(wǎng)的攻擊行為����,處置了分布式拒絕服務(wù)攻擊、惡意病毒攻擊�����、電子郵件攻擊�、網(wǎng)絡(luò)入侵等黑客攻擊, 在維護(hù)電力系統(tǒng)網(wǎng)絡(luò)安全運(yùn)行中作用顯著����。
感知范圍方面���,累計實(shí)現(xiàn) 1236 臺網(wǎng)絡(luò)設(shè)備�、12 個廠商�、79 種型號的 634 臺安全設(shè)備數(shù)據(jù)接入,覆蓋 50000 余臺終端����,邊設(shè)備 50 余臺,網(wǎng)絡(luò)安全監(jiān)測覆蓋面達(dá)到 80% 以上���。
感知效果方面���,近兩年共通過電力物聯(lián)網(wǎng)全場景安全態(tài)勢感知平臺監(jiān)測到網(wǎng)絡(luò)攻擊嘗試?yán)塾嬤_(dá)到 5115 萬次��,經(jīng)平臺分析后確認(rèn)網(wǎng)絡(luò)攻擊告警 431 萬次����,確認(rèn)互聯(lián)網(wǎng)攻擊源 14528 個�, 通過高級分析發(fā)現(xiàn) C&C 惡意 IP 地址 345 個。
處置成效方面���,在比特幣勒索軟件攻擊事件中�,通過全場景安全態(tài)勢感知平臺發(fā)布專項(xiàng)監(jiān)測第一時間實(shí)現(xiàn)了預(yù)警通報����,并對受控系統(tǒng)和終端進(jìn)行全面掃描實(shí)時監(jiān)測感染情況,確保零感染���。“Bulehero”木馬攻擊事件中�����,通過態(tài) 勢感知平臺及時鎖定遠(yuǎn)控域名及攻擊源ip 近 30 個���,并下發(fā)聯(lián)動策略有效阻斷攻擊者的后續(xù)攻擊��。
4 結(jié) 語
電力物聯(lián)網(wǎng)全場景態(tài)勢感知解決方案面向電力物聯(lián)網(wǎng)業(yè)務(wù)安全防護(hù)新需求����,落實(shí)國家網(wǎng)絡(luò)安全法�、等級保護(hù) 2.0 等要求,構(gòu)建主動防御����、動態(tài)防御的網(wǎng)絡(luò)安全分析能力、未知威脅的檢測能力�、安全工作的執(zhí)行能力,使電力物聯(lián)網(wǎng)具備監(jiān)測��、分析����、預(yù)警和應(yīng)急處置能力��,有效保障電力物聯(lián)網(wǎng)安全穩(wěn)定運(yùn)行�����。
作者簡介 >>>
金倩倩,碩士��, 高級工程師�����,主要研究方向?yàn)樾畔踩?/span>
張付存�,碩士,工程師��,主要研究方向?yàn)樾畔踩?/span>
選自《信息安全與通信保密》2020年增刊1期(為便于排版����,已省去原文參考文獻(xiàn))
來源:信息安全與通信保密雜志社
在線咨詢
在線咨詢
0371-63319761