電力資產(chǎn)主機(jī)安全合規(guī)大數(shù)據(jù)分析方法

■ 中國(guó)大唐集團(tuán)有限公司重慶分公司集中控制中心 白樺

編者按：本文針對(duì)態(tài)勢(shì)感知平臺(tái)在電廠的實(shí)施，通過(guò)智能采集器與數(shù)據(jù)代理采集工控資產(chǎn)的各類(lèi)合規(guī)基線與安全指標(biāo)數(shù)據(jù)，創(chuàng)新性地針對(duì)資產(chǎn)主機(jī)的合規(guī)與基線核查進(jìn)行設(shè)計(jì)，基于大數(shù)據(jù)進(jìn)行定量合規(guī)分析，彌補(bǔ)了電廠資產(chǎn)主機(jī)的合規(guī)分析存在的空白，可一目了然掌控資產(chǎn)主機(jī)的安全情況及存在的問(wèn)題，定量合規(guī)評(píng)估指數(shù)。

2016 年國(guó)家提出面對(duì)復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，要樹(shù)立正確的網(wǎng)絡(luò)安全觀，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢(shì)，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。2018 年工信部印發(fā)的《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020）》提到“態(tài)勢(shì)感知、安全防護(hù)、應(yīng)急處置能力顯著提升”。2018 年2 月國(guó)家能源局印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見(jiàn)》，首次提出在電力行業(yè)提高態(tài)勢(shì)感知能力的硬性要求，明確了網(wǎng)絡(luò)安全的工作重點(diǎn)，從安全防護(hù)變成了提高網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力以及預(yù)警、應(yīng)急處置能力。2019 年2月22 日，國(guó)務(wù)院國(guó)資委啟動(dòng)網(wǎng)絡(luò)安全及智慧能源信息平臺(tái)建設(shè)工作，以推動(dòng)能源產(chǎn)業(yè)高質(zhì)量發(fā)展，解決能源行業(yè)網(wǎng)絡(luò)信息安全問(wèn)題。

態(tài)勢(shì)感知平臺(tái)運(yùn)用大數(shù)據(jù)技術(shù)，收集分析電力單位的資產(chǎn)信息、安全事件、設(shè)備日志和網(wǎng)絡(luò)流量等，從全局視角感知網(wǎng)絡(luò)與工控安全態(tài)勢(shì)，通過(guò)技術(shù)手段實(shí)現(xiàn)對(duì)安全事件的全過(guò)程閉環(huán)管理，增強(qiáng)電力企業(yè)整體信息安全在預(yù)測(cè)、防護(hù)、檢測(cè)、響應(yīng)、協(xié)同方面的能力。電力資產(chǎn)主機(jī)在安全監(jiān)測(cè)與評(píng)估中是核心要素，資產(chǎn)的準(zhǔn)確性、合規(guī)基線與評(píng)估至關(guān)重要。

資產(chǎn)主機(jī)安全現(xiàn)狀與需求

隨著電廠智能化、自動(dòng)化、可視化的深入推進(jìn)，工控主機(jī)的安全合規(guī)與評(píng)估迫在眉睫。針對(duì)主機(jī)的安全合規(guī)在等保2.0 三級(jí)工業(yè)控制系統(tǒng)安全擴(kuò)展要求中，針對(duì)控制設(shè)備安全具有明確的要求。但是如何針對(duì)主機(jī)進(jìn)行合規(guī)自動(dòng)定量評(píng)估還沒(méi)有明確辦法。

1.工控主機(jī)安全合規(guī)基線指標(biāo)不明確。

2.工控主機(jī)安全合規(guī)數(shù)據(jù)采集規(guī)范沒(méi)有。

3.工控主機(jī)安全合規(guī)評(píng)估指標(biāo)與定量評(píng)估方式?jīng)]有規(guī)范指導(dǎo)。

4.從集團(tuán)分公司角度很難可視化的了解分公司、廠區(qū)的工控主機(jī)的合規(guī)情況與趨勢(shì)演變。

因此，本文結(jié)合態(tài)勢(shì)感知平臺(tái)的建設(shè)實(shí)施，研究了電力工控主機(jī)的安全合規(guī)大數(shù)據(jù)分析方法。

資產(chǎn)主機(jī)安全合規(guī)大數(shù)據(jù)分析方法

1.主機(jī)合規(guī)大數(shù)據(jù)采集分析架構(gòu)

合規(guī)數(shù)據(jù)采集分析架構(gòu)圖如圖1 所示，主機(jī)合規(guī)數(shù)據(jù)的采集通過(guò)在不同OS 主機(jī)安裝數(shù)據(jù)代理（Agent）進(jìn)行合規(guī)數(shù)據(jù)的采集發(fā)送，合規(guī)數(shù)據(jù)與其他安全數(shù)據(jù)一同采集，數(shù)據(jù)通過(guò)智能采集器進(jìn)行格式轉(zhuǎn)換、增強(qiáng)等處理，然后數(shù)據(jù)到態(tài)勢(shì)感知平臺(tái)進(jìn)行資產(chǎn)主機(jī)的合規(guī)分析，進(jìn)行大數(shù)據(jù)挖掘、可視化展現(xiàn)。

2.主機(jī)基線合規(guī)指標(biāo)

主機(jī)合規(guī)基線指標(biāo)分為L(zhǎng)inux 平臺(tái)和Windows 平臺(tái)指標(biāo)。實(shí)施過(guò)程中梳理Windows 基線指標(biāo)為59 項(xiàng)，Linux 指標(biāo)為35 項(xiàng)。每項(xiàng)指標(biāo)的安全等級(jí)定位為高危、中危和低危三種級(jí)別。

其中Windows 基線指標(biāo)包括：

（1）密碼復(fù)雜性要求；密碼長(zhǎng)度最小值。

（2）密碼最短使用期限。

（3）強(qiáng)制密碼歷史。

（4）賬戶鎖定閾值。

（5）賬戶鎖定時(shí)間。

（6）復(fù)位賬戶鎖定計(jì)數(shù)器。

（7）審核策略更改。

（8）審核對(duì)象訪問(wèn)。

（9）審核目錄服務(wù)訪問(wèn)。

（10）審核系統(tǒng)事件。

圖1 合規(guī)數(shù)據(jù)采集分析架構(gòu)圖

（11）賬戶：重命名管理員賬戶。

（12）賬戶：重命名來(lái)賓賬戶。

（13）Microsoft 網(wǎng)絡(luò)服務(wù)器：對(duì)通信進(jìn)行數(shù)字簽名（如果客戶端允許）。

（14）交互式登錄：提示用戶過(guò)期之前修改密碼。

（15）交互式登錄：之前登錄到緩存的次數(shù)（域控制器不可用時(shí)）。

（16）域成員：禁用計(jì)算機(jī)賬戶密碼更改。

Windows 基線指標(biāo)包括：

（1）檢查是否修改了SNMP 的默認(rèn)團(tuán)體名；檢查是否禁用“Ctrl+Alt+Del”鍵重啟。

（2）檢查是否禁止wheel組之外的用戶使用su 命令切換到root。

（3）檢查是否設(shè)置密碼在設(shè)定時(shí)不能使用前幾次密碼的次數(shù)限制。

（4）檢查是否配置賬戶認(rèn)證失敗的次數(shù)。

（5）檢查用戶對(duì)設(shè)備的操作是否被記錄。

（6）檢查是否配置sys log-ng 安全事件的日志。

（7）檢查是否配置rsys log 安全事件的日志。

（8）檢查是否配置sys log 安全事件的日志。

（9）檢查su 命令使用情況記錄是否被設(shè)置。

（10）檢查是否關(guān)閉IP欺騙和多IP 綁定功能。

（11）檢查/etc/aliases和/etc/mail/aliases 是否禁用把不必要的別名文件。

（12）檢查是否啟用了不必要的系統(tǒng)服務(wù)。

（13）檢查是否使用NTP同步時(shí)間，以及對(duì)應(yīng)服務(wù)是否安裝開(kāi)啟。

（14）檢查是否存在不應(yīng)該擁有suid 和sgid 權(quán)限的文件。

（15）檢查是否啟動(dòng)空閑時(shí)自動(dòng)定時(shí)鎖定屏幕功能（適用于具備GNOME 圖形界面的設(shè)備）。

（16）檢查SSH 登錄前的警告是否設(shè)置。

3.主機(jī)合規(guī)評(píng)估指標(biāo)

為形成主機(jī)合規(guī)安全和預(yù)警綜合指數(shù)，提供工控資產(chǎn)總體的安全定量評(píng)估與決策，結(jié)合電力、能源行業(yè)監(jiān)管要求以及等保2.0 法律法規(guī)基本要求，用以評(píng)估工業(yè)控制信息系統(tǒng)主機(jī)的定量合規(guī)評(píng)估指標(biāo)設(shè)計(jì)如表1 所示。

4.合規(guī)定量評(píng)估方法

基于上述合規(guī)評(píng)估指標(biāo)體系，制定定量合規(guī)評(píng)估方法。每項(xiàng)指標(biāo)進(jìn)行定量評(píng)分，評(píng)分規(guī)則考慮不同指標(biāo)采用不同規(guī)則，所有指標(biāo)評(píng)分進(jìn)行匯總，根本不同類(lèi)別采用不同加權(quán)因子，得到一個(gè)資產(chǎn)主機(jī)的綜合評(píng)分。

5.主機(jī)合規(guī)大數(shù)據(jù)AI 分析與畫(huà)像分析

針對(duì)主機(jī)的合規(guī)評(píng)估結(jié)果，與評(píng)分相結(jié)合，通過(guò)大數(shù)據(jù)主機(jī)畫(huà)像實(shí)現(xiàn)主機(jī)安全合規(guī)的可視化分析。10個(gè)評(píng)估大類(lèi)分別采用不同顏色區(qū)分，易于評(píng)估不同指標(biāo)類(lèi)別的評(píng)分。評(píng)估指標(biāo)單獨(dú)顯示其評(píng)分，按照100 分制顯示，采用5 級(jí)顏色展示，0 ～20、20 ～40、40 ～60、60～80、80～100 五個(gè)級(jí)別展示，分值越低，顏色越醒目。如圖2 所示。

表1 主機(jī)合規(guī)評(píng)估指標(biāo)

針對(duì)不同電廠、安全區(qū)、不同類(lèi)型資產(chǎn)主機(jī)以及不同類(lèi)型指標(biāo)采用聚類(lèi)等算法，包括CluStream、StreamKM++進(jìn)行數(shù)據(jù)挖掘，實(shí)施感知集團(tuán)、集控中心、廠區(qū)全業(yè)務(wù)主機(jī)的合規(guī)情況。合規(guī)指數(shù)是多少？大部分共性問(wèn)題？整改策略是什么？實(shí)時(shí)具有什么風(fēng)險(xiǎn)？發(fā)生安全事件后影響范圍有多大？風(fēng)險(xiǎn)共性等問(wèn)題。

關(guān)鍵技術(shù)與最佳實(shí)踐

1.主機(jī)探針Agent 適配性與采集頻度

工控主機(jī)硬件與軟件為使用多年的老版本，因此合規(guī)基線及安全指標(biāo)的采集不能影響主機(jī)業(yè)務(wù)運(yùn)行，基本不消耗主機(jī)性能。

圖2 主機(jī)合規(guī)大數(shù)據(jù)畫(huà)像分析

2.多源異構(gòu)數(shù)據(jù)接入與電力系統(tǒng)安全架構(gòu)的適應(yīng)性

需要針對(duì)主機(jī)采集的各類(lèi)指標(biāo)與日志信息進(jìn)行歸一化處理、增加聚合等處理，滿足不同OS 格式的數(shù)據(jù)轉(zhuǎn)換。同時(shí)由于工控網(wǎng)的傳輸帶寬要求及邊界隔離交換數(shù)據(jù)的限制，需要適配TCP、UDP 的數(shù)據(jù)單項(xiàng)傳輸。

3.AI 大數(shù)據(jù)可視化分析

通過(guò)合規(guī)定量分析，從不同維度實(shí)現(xiàn)大數(shù)據(jù)的可視化展示，同時(shí)基于機(jī)器學(xué)習(xí)算法對(duì)合規(guī)數(shù)據(jù)進(jìn)行挖掘，實(shí)現(xiàn)主機(jī)合規(guī)的大數(shù)據(jù)分析。

結(jié)語(yǔ)

通過(guò)態(tài)勢(shì)感知資產(chǎn)主機(jī)安全合規(guī)分析模塊的實(shí)踐，無(wú)論從總部、二級(jí)公司、集控中心及廠級(jí)角度，都可一目了然掌控資產(chǎn)主機(jī)的安全合規(guī)情況、存在的問(wèn)題及定量評(píng)估指數(shù)，同時(shí)可從不同安全維度了解總部資產(chǎn)主機(jī)的缺陷，進(jìn)行有的放矢的整改，真正把安全監(jiān)管落到實(shí)處，有利于快速摸清家底、理清風(fēng)險(xiǎn)、合規(guī)分析、找出漏洞和有效整改。

態(tài)勢(shì)感知平臺(tái)的實(shí)施內(nèi)容包括數(shù)據(jù)代理Agent、智能采集器、全日志分析系統(tǒng)和工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，為企業(yè)安全運(yùn)營(yíng)管理構(gòu)建一個(gè)全局的、實(shí)時(shí)的、可預(yù)測(cè)的主動(dòng)防御安全體系，從而全面提升網(wǎng)絡(luò)安全感知能力和運(yùn)營(yíng)能力，實(shí)現(xiàn)電力關(guān)鍵基礎(chǔ)設(shè)施的全生命周期管理，為智能化運(yùn)營(yíng)保駕護(hù)航。