摘要:以江都水利枢纽网络安全态势感知平台为研究对象,分析水利工程网络安全态势感知的内容和需求,从平台架构、关键技术和软件模块设计多个角度,探讨平台构建的可行性及必要性,推动水利枢纽态势感知的数字化、信息化建设。通过态势感知平台建设,可以有效分析多源数据并预测网络潜在风险漏洞,大幅度提升水利枢纽网络安全管理水平,为保障水利工程关键信息基础设施网络的可靠运行提供借鉴。
关键词:水利信息化;网络安全;态势感知;平台构建;江都水利枢纽
网络安全是国家安全的重要组成部分。水利行业作为国家关键信息基础设施的重要行业之一,保护水利关键信息基础设施安全具有十分重要的意义,关键信息基础设施一旦遭到破坏、丧失关键核心功能或者引起数据泄露,会对国家安全、国计民生、公共利益等造成安全隐患。随着工程管理现代化进程的推进,江苏省江都水利工程管理处高度重视水利信息化建设,搭建了集中监控系统和基于集控中心的远程监视和控制体系,有效实现了江都水利枢纽工程的整体管控。但是,由于长期缺乏安全需求的推动,现有的信息化系统在设计、研发中没有充分考虑安全问题,在部署、运维中缺乏有效的管理手段,存在着系统被病毒或恶意软件破坏、核心数据被窃取、控制流程被篡改、工控数据或应用软件被恶意操纵等安全隐患。因此,开展江都水利枢纽网络安全态势感知平台研究,对于江苏乃至全国水利工程全面构建网络安全防线具有非常重要的示范意义。
一、现实需求
江都水利枢纽工程位于江苏省扬州市境内,坐落在京杭大运河、淮河入江水道与新通扬运河的交汇处,北濒淮河、南连长江,由4座大型电力抽水站、12座大中型水闸以及输变电工程、引排河道组成。经过多年持续投入和建设,江都水利枢纽工程网络基础设施建设和信息化工作取得显著成绩,但是面对互联网发展的新情况和新动向,在网络安全方面仍然存在不少短板和问题,其痛难点和现实需求主要集中在以下几点。1.应用数据采集难随着水利行业信息化程度的提升,交换的数据类型从传统的水文状态、工程运行等监控程序数据逐步向更加智能化的程序文件转换,信息更新和交换越来越频繁。同时现场工控设备种类繁多,涉及不同品牌的系统和协议,传统的网络设备无法对工控协议进行识别,导致工控设备产生的网络安全数据不能及时同步到信息办公网络,无法实时掌握其工作状态。提高对工业协议的识别和指令级的协议解析,提高数据安全交换能力是首要解决的技术难点。因此,平台的构建需支持常见的工业基础设施、主流工业控制协议、常见工业上位机组态软件,为智慧水利工业互联网整体态势感知提供数据支撑服务。2.多源信息分析难当前江都水利枢纽工控网内包含各类防火墙、入侵防御等多种安全产品,各自属于不同的厂家,在功能、日志上各自独立,对于发生的安全事件一般采取人工分析的方式,效率与准确率较低。因此需要通过安全信息资源整合的方式整合分散的工业互联网安全数据,形成江都水利枢纽全局的工控安全态势感知能力,从而达到主动感知、主动防御的目的。3.安全风险识别难虽然江都水利枢纽拥有独立的网络安全产品,但是外部的黑客入侵和内部操作的违规行为在逻辑或时序上相互关联,并分为若干步骤,每个操作步骤都会在相关设备和系统上留下一定的痕迹。如果要发现其中的隐患,需要把相关设备的日志进行相互关联后统筹分析,然而现有的网络安全产品缺乏统一分析功能,关联分析功能的实现迫在眉睫。该功能可以把不同安全设备产生的日志、响应等文件,根据条件进行关联,以便后续分析和相关处理。
二、平台总体架构设计
为满足上述需求和解决关键痛难点,需建立江都水利枢纽网络安全态势感知平台,系统结构如图1所示。态势感知平台采用功能化的设计思想,使系统具有预判性、互操作性和通用性等特征,并实现关键信息的公开透明。从总体上,平台具有六个相互独立且关联的功能,分别是数据源输入、信息采集、信息分析、安全处置、系统支撑和用户呈现视图。数据源输入、信息采集主要位于信息采集模块,应进行统一的流程设计;信息分析、安全处置、系统支撑和用户呈现视图主要为功能设计模块,可按照实际应用需求进行详细功能设计。
三、数据采集分析流程设计
为实现安全态势感知的各项功能需求,江都水利枢纽网络安全态势感知平台的数据采集分析应按照采集流程设计各功能组件,具体包含数据采集识别、隔离过滤、信息汇总分析、态势感知及预测告警。其中,数据采集识别功能组件需要从处理功能组件、业务数据解析中分别采集识别感知信息,然后通过内部私有协议,态势感知隔离过滤功能组件获取相关感知数据。业务功能单元和态势分析软件之间的数据隔离防护功能通过隔离过滤功能组件实现,从而降低内部态势信息软件遭受外部攻击、内部态势信息泄露等风险和威胁。通过隔离过滤的感知信息将输入信息汇总分析功能组件,实现感知数据的分类、合并和综合分析,经过处理后的信息存储在相关数据库中;在态势感知及预测告警功能组件中,可以读取数据库的相关信息并对信息特征进行识别,在此基础上预测相关态势,对潜在的安全和隐患进行及时告警。相关流程如图2所示。①态势感知信息产生。通常而言,业务通信数据及其状态会产生相应的态势感知信息,感知信息分为基本状态类信息(包括线路接口、传输误码统计和流量统计等)和攻击态势类信息(包括伪造攻击、重放攻击等)。②数据采集识别。业务数据处理功能单元中嵌入的网络安全态势感知采集识别组件,可以采集和识别已定义的态势信息。③隔离过滤。安全态势感知平台的内部私有协议是实现各个组件、功能单元之间相互通信的基础。此外,内部私有协议把内部通信与外部接口进行隔离,保证了内部通信的安全和稳定。通过自定义相关对应策略,筛选并丢弃各功能单元采集到的信息,消亡丢弃的信息。④态势感知信息汇总分析。考虑到不同的感知源可以获得不同的感知信息,并且同一个感知源可以同时获得不同类型的感知数据,需要对感知数据进行分类,按数据内容的不同可分为三类,分别是攻击类数据、设备运行类数据和线路状态类数据。⑤态势感知信息存储。汇总后的分类数据存储在平台的感知数据库中,根据数据的优先级对相关数据的消亡周期进行设置,数据一旦到达消亡时间就会自动消亡,实现了设备存储容量的动态调整。此外,根据已经设置好的容量上限,在超过容量上限时之前的数据会被同一优先级的数据覆盖。⑥统计分析。在统计分析过程中,根据数据类型可以分为两类,分别是单类别数据的对比分析和多类别数据的关联分析。单类别数据的对比分析是指在同一类型的数据中通过对比正常数据和异常数据以及历史数据,提取异常数据发生的时间、频率、原因等特征信息进行分析和统计;多类别数据的关联分析是指通过提取数据的多维信息特征(包括类型、时间、感知源、历史信息等),经过统计分析形成关联规则。不论是单类别数据的对比分析还是多类别数据的关联分析,都是预测告警的数据支撑。
四、态势感知平台功能模块设计
江都水利枢纽网络安全态势感知平台采用“平台+检测探针”方式部署系统,探针采集各个站点内、核心交换机上的工控业务流量进行初步分析,态势感知依据采集的信息通过场景化策略、关联分析规则展现网络安全当前现状,其软件平台功能模块设计如下。
1.数据采集模块
数据采集模块功能是系统内的日志抓取与收集,这些系统包括主机系统、应用系统、网络设备、安全设备系统、备份系统和管理系统等。系统的各个不同组件日志产生点都是数据来源,例如安全设备日志、主机操作日志和数据库审计日志等。考虑到安全信息和事件对于所要搭建的态势感知平台至关重要,因此需要运用可靠的信息采集策略(包括信息的采集频率、合并策略与信息传输策略等),在保证信息完整的同时又需避免采集过程对系统的影响。因此,预先设定日志信息传输策略,既可以保证动态网络下信息按序传输到分析模块,又能避免日志信息增加过多占用网络带宽资源,有效提高了信息的传送效率。
2.安全分析模块
在对江都水利枢纽关键信息基础设施进行统一的监控过程中,系统必然会产生大量的信息,如果不能及时交由专业人员处理并进行有效分析,将会严重影响网络安全平台的运行和管理效率。安全分析模块的功能是在宏观层面合理设置有效的指标即技术指标和管理指标,并按指标呈现实时的网络安全和运行态势,显示当前信息化建设过程和已完成的工作量。具体来说,技术指标是对网络安全态势从信息安全技术层面进行特征提取并进行相关分析,涉及计算整体网络安全的状态并预测其发展趋势。在一段时间内,系统收集安全事件的发送IP地址并进行熵值计算,从而得到IP聚合度的变化度,基于此刻画该时间段内此类安全事件所属资产系统、业务系统或其他系统的整体安全状态并预测未来安全趋势。通过模块提供的安全态势曲线,可以定位影响网络安全的事件,从微观层面对威胁网络安全的事件进行分析。管理指标是从系统安全管理和建设水平的安全域出发,计算某个系统或者安全领域的安全指数,得到该系统或者安全领域的安全水平评级,通过该评级可以合理表明该系统或者安全领域的信息安全建设成熟情况。每个系统或者安全领域的安全评估曲线通过安全分析模块进行可视化展示,并可进行环比统计分析和跨域的同比分析,实现各项安全管理指标的定位。
3.安全管控模块
安全管理模块的核心功能是抵御越来越多的复合型网络风险威胁。不同安全设备的响应通过安全管理模块相互关联,呈现给网络管理人员进行相应的分析和处置。当网络威胁发生时,网络层、主机层、数据库等层面都会进行响应,审计系统通过数据挖掘将以上层面发生的威胁事件进行抽取和关联,并把结果反馈给网络管理人员。此时,网络管理人员可以根据相关策略进行处置。安全管控模块存储的各类安全事件支持网络管理人员的细粒度查询(包括关键字、时间段、源地址、目的地址、设备类型、事件类型等多个条件的组合查询),对安全事件进行正确的分析和判断。此外,安全管控模块支持不同场景之间的切换,网络管理人员可以从宏观层面及时掌握风险威胁的发展规律。
4.资产管理模块
网络资产是构成信息系统的软硬件和各类服务等资源的集合。按照面向对象的设计原则,安全业务均会围绕资产来展开,不同领域的安全数据交织在资产这个核心数据库中,构成各种业务关系。在精准识别和有效管理到资产基础上,后续一系列安全保障机制才能按预期有效落实。作为安全领域中环境感知的一个重要组成部分,资产管理模块承担着对各类安全对象包括发现或导入、存续管理、风险分析、变更监控及下线销毁等在内的全生命周期维护。具体提供对各类网络资产增、删、改、查、导入导出等的配置管理、统计分析功能。
5.扫描任务管理模块
扫描任务管理是环境感知的重要手段,通过下发扫描任务的方式识别网络环境的资产信息及风险隐患信息。对于攻击者来说,信息系统的方方面面都存在脆弱性,既包括常见的操作系统漏洞、应用系统漏洞、弱口令,也包括容易被忽略的错误安全配置问题以及违反最小化原则开放的不必要的账号、服务、端口等。扫描任务管理模块可以全方位检测信息化系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助网络安全管理人员先于攻击者发现安全问题,及时进行修补。
6.流量统计模块
通过流量统计分析让网络流量可知、可见,如网络带宽使用情况、当前网络运行应用、上下行流量使用情况、IP占用的带宽情况、并发的会话占比、应用被访问频次等。这些问题都可以通过流量统计直观清晰地呈现出来,为日常的网络管理带来帮助。此外很多异常行为都会在流量上有所体现,管理人员可以从全局的角度提取重要维度,通过流量统计分析发现异常行为。可以对网络中开放的端口进行统计分析,察看是否有不常见的端口,是否开放了预期之外的端口,是否是攻击者预留的后门。同时也可以对主机请求的域名数量进行统计分析并做排序,找出域名请求次数特别多的主机,调查其请求的域名是否正常、是否中病毒,通过DGA域名和控制端进行通信。流量统计模块支持全局流量统计,展示各个流量探针和总体的流量趋势图。通过流量趋势图,网络管理人员可以直观地看到各个探针区域的流量大小。如果流量趋势图中有明显的波峰和波谷,那么可能网络中的流量有异常情况。
7.威胁管理模块
威胁管理可分为两个子模块,一是实时威胁监控与检索,从不同维度对攻击事件进行监控,并基于监控数据进行安全性分析,发现网络存在的威胁风险,通过查询日志、流量溯源支持威胁调查取证,在此基础上完成事件的运行维护;二是威胁识别与策略分析,提供行为分析与应对攻击的策略、规则知识库的配置、查看入口的功能。同时平台应内置知识库,包含积累的威胁、可疑行为检测规则,应支持自定义规则作为内置规则的补充;内置规则也可通过定期提供的补丁包进行升级,从而应对日新月异的攻击手段。针对不同的维度提供威胁事件的检索分析功能,包括基于事件和资产两种视角,也可以根据关注目标将资产分为业务系统、网站和终端三类分别展示。
8.可视化模块
可视化模块提供了针对网络系统和业务信息的安全管理,管理人员可以从系统和业务的角度查看网络的运行状况。可以建立每个网络系统和关键业务之间的安全视图,用于及时查看、了解系统的整体安全状况,精准定位入侵和违规行为的危险事件,并实现安全事件的追踪。通过可视化模块,管理人员可以及时、动态显示当前业务系统的安全状态,支持事件展示和告警。此外,通过对事件的实时监控,管理人员可以自定义各类实时监视的场景,并支持场景的切换,以便及时发现安全隐患,掌握全网设备和业务系统的安全态势。模块能够将海量的事件分析结果以可视化的方式形象地展示出来,包括全网的流量行为透视、攻击态势感知等。全网的流量行为透视呈现为基于时间和空间等特征值的网络流量分析和行为分析,展示枢纽工程信息网络流量分布情况、网络连接情况、业务交互情况,监控重要主机流量、关键业务系统流量,为优化现有网络、问题排查、提升问题解决速度、构建有秩序的网络提供可靠的技术支持;攻击态势感知页面可通过多个相关的展示视图呈现,包括攻击数据统计视图、攻击地图、攻击关系视图、宏观攻击比例视图、重点受攻击对象视图、各安全域发起与遭受攻击对比、安全域及业务受攻击监视视图、攻击威胁KPI视图、攻击趋势图、攻击类型与安全域—资产类型对应关系视图、攻击交互分析视图。通过各个针对性的模式,可视化模块能够有效提高管理人员的工作效率。
9.全景态势模块
全景态势功能以态势感知、运维监控、安全治理三大主题为轴,为安全决策者及安全管理者提供宏观态势的感知运维及安全治理的宏观视图。态势感知需要全面感知网络安全威胁态势、洞悉网络及应用运行健康状态,通过全流量分析技术实现完整的网络攻击溯源取证,帮助安全人员采取针对性响应处置措施。基于平台中的攻击识别引擎、行为分析引擎所具备的网络空间安全持续监控能力,能够及时发现各种攻击威胁与异常。平台态势感知通过多维度提供威胁调查分析及可视化能力,可以对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策和响应,有助于管理人员建立安全预警机制,提升风险控制、应急响应和整体安全防护的水平。
五、结语
网络安全态势感知平台的建设对于江都水利枢纽网络安全实时监测和趋势预测至关重要。以江都水利枢纽为例,分析了网络安全态势感知平台的建设需求,着重研究态势感知平台的架构设计、数据流程处理、功能模块等部分。下一步,江都水利枢纽将继续完善、总结,不断丰富信息采集类型,加强数据分析与预测能力,提升网络抗攻击能力,实现网络安全态势感知平台早日落地应用,为全国水利枢纽的网络安全防护提供借鉴。
参考文献:
[1]梁艺军.中国人民大学:高校Web网站安全防护策略[J].中国教育网络,2015(Z1).
[2]薛井俊,袁志波.大型水利枢纽信息资源整合共享技术研究与实践[J].江苏水利,2019(11).
[3]倪旻,范菁,李晨光,等.工业控制系统信息安全防护技术研究综述[J].云南民族大学学报(自然科学版),2020(6).
[4]刘健,尹恒,许文腾.网络安全态势感知平台模型设计[J].信息技术与信息化,2022(8).
[5]李涛.基于等级保护2.0工业控制系统网络安全防护体系研究[J].信息系统工程,2019(11).
[6]华骏,薛井俊,袁志波.江都水利枢纽泵站智能预测预警系统的构建思路[J].江苏水利,2022(11).
[7]徐健,李国忠,徐坚,等.智慧水利信息平台设计与实现——以福建省沙县智慧水利信息平台为例[J].人民长江,2021(1).
[8]蔡阳,谢文君,程益联,等.全国水利一张图关键技术研究综述[J].水利学报,2020(6).
作者:魏来 华骏 袁志波 单位:江苏省水利信息中心 江苏省江都水利工程管理处