“平台有几大块核心技术,第一是采用分布式架构,存储的节点动态是可以扩展的,可以处理百万级或者是百亿级以上的海量安全数据。第二是深度分析能力,包括用户行为分析、自动关联分析、工具路径分析。第三是面向资产的,包括设备指纹库等等。第四方面是协议深度解析库,目前我们支持20多种协议深度的解析,能够识别私有的工业协议超过50种。”
——深圳融安网络科技有限公司解决方案总监梁鼎铭
4月27日,华北电力大学技术转移转化中心与中关村华电能源电力产业联盟联合主办的2021年智慧电厂论坛(第一期)在广东深圳成功举办。深圳融安网络科技有限公司解决方案总监梁鼎铭发表了以《发电厂电力监控系统网络安全态势感知平台建设实践》为主题的演讲。
直播专题:2021年智慧电厂论坛(第一期)
文字实录如下:
各位领导、各位专家,下午好!我是深圳融安解决方案部的梁鼎铭,今天很高兴能够代表我们公司来这里参加2021年深圳的智慧电厂论坛,我今天给大家带来的主题是《发电厂电力监控系统网络安全态势感知平台建设实践》。
主要有以下三个部分的内容,第一部分是工业网络安全态势感知现状的分析,第二部分是我们针对发电厂电力监控系统网络安全态势感知平台整体的思路,其中也包括了我们平台的功能、特性以及相关的核心技术。第三部分是简单介绍我们的平台部署的方式。
首先来看相关的安全现状,从大的背景来看,最早就是习大大在网络安全座谈会上提出了全天候、全方位的感知网络安全的态势,要增强网络安全的防御能力,以及到网络安全法的颁布,还有能源局的网络安全工作指导意见和电力安全生产行动机会,这里面都提到了对电力监控系统网络安全态势感知预警方面的内容,这几年等保2.0提到了对态势感知等等方面的要求。从这些大的层面来看,就是要做工业控制系统网络安全感知态势平台的背景。
对于发电企业来说,他们也面临一些安全方面的挑战,我们的发电用户侧也面临着更多新型的安全威胁,以及基于发电控制系统业务的场景下,也存在着资产的管理难、数据分析难的问题。还有安全态势不直观,对安全事件看不见、看不懂,以及发生了相关的安全事件后,相关的应急慢,缺乏与电力监控系统相关的应急做一个响应支撑。还有就是无法满足合规性的要求,包括网络安全法、等保等等方面的要求。目前来说,我们站在客户的需求或者是应用的角度来说,我们认为目前对客户而言缺乏一种能力或者说缺乏一个平台,把相关多的安全产品整合起来,做相关的安全分析以及可视化的展示,来抵御更高级别的威胁。
在介绍我们整体的功能之前,在这里我想给大家探讨一下IT系统的态势感知跟OT系统的态势感知的差异。我们认为这块差异化的区别主要有四个方面,第一方面是系统资产不同,在IT领域里面,更多的是PCG、数据库之类的IT资产。但是在OT领域里面,更多的是DCS、控制器、PLC、RTU这一块的资产。在OT里面,这些资产是我们核心关注的重点设备。包括它的资产探测方式也不一样,在OT领域,不能用原来在IT领域基于漏洞扫描来发现资产、探测这块漏洞,它会对整个控制系统造成很大的破坏。第二方面是监测的协议不同,在OT领域运行了大量的工业协议,我们认为基于这种工业协议,它显现出来的一系列的安全业务监测内容,它也是跟IT不一样的。第三方面是探针的要求不同,主要包括探针的运行环境、功能设计方面,在运行方面OT领域的采集探针一定要满足工业级的架构、硬件的设计,来保障整个控制系统的实时性和可靠性的要求。另外在功能的设计方面,因为在OT领域它有一个明显的特点,在工业控制领域的生命周期是非常长的,它一般都是10到15年这么一个生命周期,所以在现场很多的设备都是一些老旧和配置低的设备,所以探针在采集数据的过程中,不能占用过多的系统资源,另外它有一定的技术手段作为保障,来保证整个系统稳定的运行。第四方面是模型分析不同,在OT领域,更多关注的是基于工业控制系统网络的模型,比如说关注有没有一些非法互联的状况,以及一些异常的操作或者是异常指令,针对这一系列的行为,也显现出不同的模型,包括一些工艺的模型、指令的模型,以及行为的模型,这些模型也是跟IT不一样的。这些差异化的区别也是我们在开展工业控制系统网络安全态势感知平台建设过程中需要重点关注的问题。
第二部分是我们针对发电厂电力监控系统网络安全态势感知平台的介绍。
首先介绍一下我们对于发电厂电力监控系统网络安全态势感觉平台的理解,发电厂电力监控系统态势感知平台主要是通过对生产控制大区的资产、流量、日志、事件等数据进行采集和学习,找到网络中的弱点和威胁,实现对整体电力监控系统网络安全的监测预警,并且通过构建安全预警模型对接入网络内异构安全产品的事件、日志及结合威胁情报数据,提供数据服务可视化展示,实现电力监控系统网络安全态势感知、发现和响应。我们认为发电厂电力监控系统网络安全的态势感知平台更像一套整体的解决方案,它并不是一个孤品,这套解决方案包括了四个方面的核心内容,第一是基于一系列安全的设备作为网络的采集探针,第二是采集海量的数据或日志,进行大数据的分析。第三是通过可视化的技术把整体的安全态势呈现出来,最后是响应处置,如果发生了安全事件后,平台会关联到安全产品的策略变化,以及它也可以调动人员资源来处理相关的事情。
这个平台整体的效果和作用,它也需要基于一些数据的采集,在数据采集这一块,我们认为有三个部分:第一是网络交换设备,包括采集流量、网络状态、连接状态。第二是安全设备,包括配置策略、安全日志,以及相关的安全事件。第三部分是主机设备,包括告警信息、系统运行状态,以及操作系统日志。这些信息通过安全探针去采集,这些安全探针也可以作为安全设备来伴随着整个系统等保合规安全建设。
平台核心技术这一块有几大块核心技术,第一是采用分布式架构,它存储的节点动态是可以扩展的,可以处理百万级或者是百亿级以上的海量安全数据,它适用于分布比较广的大型工业企业。第二是深度分析能力,包括用户行为分析、自动关联分析、工具路径分析。第三是面向资产的,包括我们有专门的设备指纹库,它不仅仅限于常规的IT设备,包括一些服务器,还有一些网络设备,它的核心是积累了近百种工业分析系统的设备指纹,包括一些DCS的控制器、RTU等等。第四方面是协议深度解析库,目前我们支持大概20多种协议深度的解析,能够识别私有的工业协议超过50种,工业协议解析是比较重要的,包括工业协议解析深度以及对工业协议的识别类型的多少,它直接关系到整个平台的整体安全防护能力。最后是我们基于1500多条我们自己的工控的漏洞库以及13000多条病毒和威胁的特征库,这个威胁特征库也关系到入侵威胁的检测能力。设备指纹库、漏洞库以及协议解析库,这三大块是我们核心的知识库,这些核心知识库积累的深度直接关系到整个平台的好坏。
下面给大家介绍一下平台整体的建设思路。这是我们针对电力企业做的一个整体规划的安全建设思路,这个建设思路可以分为5个阶段,第一阶段是做相关的总体规划,第二阶段是开展相关的安全防护,在第二个阶段,我们会根据国家的政策法规要求,比如说等保等等,开展相关的合规建设,解决电力监控系统内部各个部分的安全方面的问题。第三个阶段是集成管控阶段,这个阶段主要是开展一些安全防护方面的提升,基于原来的安全基础,实现网络安全的集中管控功能,在这一阶段,我们开始建立了厂级的态势感知的平台。在第二阶段、第三阶段,我们认为这个等保合规的工作以及态势感知平台的建设是可以同时进行的。因为目前对很多电力部门来说,它的安全方面的工作也是伴随着等保这一块开展的,本身态势感知也是等保2.0安全管理中心的重要组成部分,它不光是为了某个项目或者某个应用做的定制化的大型的展示屏。第四个阶段是综合协同的阶段,在这个阶段我们会针对不同的区域或者厂区建立综合的协同安全防护体系,实现综合的预警保护,在这个阶段我们会建立一些区域的态势感知平台,以及集团的态势感知平台。第五个阶段是智能保障,做相关的预测告警。我们认为在目前行业内真正态势感知平台能做到预警或者预测其实是凤毛麟角的。到这个阶段,我们可以等技术发展到一定的程度,可以利用一些前沿的技术,比如说一些人工智能、主动防御,还有一些安全模型来实现智能化的主动防御以及相关的预警。在第五阶段也可以实现整个平台跟国家级或者是电力行业级的态势感知平台进行对接。这是我们建设的整体思路。
这一块是我们平台的整体技术架构,从技术架构角度来看,底层是数据的采集,这一块可以采用自主研发的公共安全的设备来实现,包括防火墙、终端、安全卫士、日志审计系统、工业监测审计系统,以及针对电力定制开发的电力监控系统、网络安全态势感知采集装置。这些网络安全设备可以提供一些优质的基础数据源,这些优质的数据源是有工业特性的,能够提供给平台进行分析和展示。再往上是数据处理层,在这一块我们会结合漏洞库以及外部威胁的情报,以及大数据分析,还有机械分析,实现智能化分析。整体它会应用在态势感知应用业务上,最上面是展示层,包括态势总览、区域态势、安全指数、安全态势,威胁态势。在结果这一块,我们也融入了跟其它行业或者是国家级平台的接口,这是我们整体的技术架构。
基于这个基础架构,我们的平台有4大块核心功能,从产品的功能分类来看是有很多种的,今天时间关系我在这里重点介绍一下这四大块的核心功能。第一块是资产感知。电力监控系统的资产跟普通资产是不一样的。第二是安全事件深度的分析,第三是合规性风险评估,第四是基于业务的全局可视能力,包括宏观的以及微观的。
资产感知这一块,首先我们会做资产的管理,我们通过设备指纹库无损探测实现,它会探测到你的资产,并且进行隔离和分类。同时我们还要做资产的画像,我们要知道资产运营的状态,还有当前网络连接的关系,以及资产关联的关系,我们要对这个资产的行为进行建模。最重要是我们要知道当前的安全设备是不是有效的。还有就是漏洞管理,这一块会呈现生产大区里面的漏洞,包括设备、控制器、操作系统、应用的漏洞,这一块是漏洞分布的情况。漏洞管理不仅仅是呈现出漏洞的状态,还有你这个漏洞会造成什么样的影响,它更大的意义就是告诉用户,你的整个系统有什么漏洞,而且这些漏洞该如何去防护。因为对于电力监控系统的漏洞,它有一个很特殊的地方,它不能够基于传统IT打补丁或者是升级的方法来解决,但是它可以通过一些外部性的补偿措施,比如说通过一些边界的防护、主机的防护,以及关闭的服务,配置一些策略,通过这种外部性的解决方法来降低漏洞的利用途径。虽然呈现出有那么多的漏洞,但是这些漏洞是没办法有效应用的。
另外一个核心功能是安全事件的深度分析,平台会采集安全设备大量的告警日志和告警信息,但是这里面的信息很多都是无用的,很多都是重复的,对于一些长周期的、跨设备的,平台会通过规则关联的方式把多个设备的日志关联起来,从数量上降维,告诉用户哪些是关键的事情。
合规风险评估这一块,我们会把国家和电力行业相关的政策和标准做成量化的指标,以及相应的文件,通过人工录入或者是自动判断的方式来实现合规的风险评估。
基于业务的全局可视化能力,这里面有宏观的,也有微观的,我们的平台可以通过统一的界面,把每一个厂分布的地区或者是每个厂的风险、问题做一个统一化的展示,集团最上层可以通过这个平台看到每个厂的安全状况,包括现状怎么样,问题是怎么样的,对领导来说,他更加关注的是一个整体的全貌。
这是基于微观业务的可视能力,这个功能我们是基于业务的通讯拓普图的功能,它会反映出资产之间的连接关系,这是很重要的,往往我们做威胁定位的时候,我要清楚知道谁攻击我,攻击源是谁,除了攻击我之外,还会攻击哪些资产,通过这些拓普图可以快速进行定位,找出相关的防护目标。
这些是我们平台的其它功能介绍,由于时间关系就不一一介绍了,感兴趣的客户可以回头跟我们联系沟通。
第三部分,发电厂电力监控系统网络安全态势感知平台部署方式。
我们的平台部署方式一般可以分为两种模式,一种模式是针对小型的电力企业,或者是单个电厂、单个机组,也可能是两个机组共用一个辅网或者是共用系统的业务情况。像这种情况我们会把态势感知的功能拿到集中管控平台,我们只是建等保合规的集中管控中心就可以了。另外一种模式是针对中型或者是大型、超大型的电力集团,比如说一些省级的分公司,还有一些电力集团级别的电力企业,针对典型的电力企业,我们平台的部署方式也是非常清晰、简单的。主要分为分布式的采集,还有二级的平台。
分布式的采集主要采集下面每一个电厂,比如说火电、水电、新能源的。分布式采集有两种方式,第一种是可以通过每一个厂的安全管理平台作为基础来收集每一个厂的安全数据,通过分级的方式进行上传。
另外也可以通过专业的采集探针,把每一个厂的多元数据采集上去,采集到数据平台上,然后再传到二级平台,二级平台这一块是一个区域性的平台,这个区域性的平台可以是一种省级的分公司,也可以是区域型的电力企业,这个区域性的平台可以监管到区域下面每一个厂的安全的现状。再往上是集团级的平台,它就是一个集团总部的大平台,再一些宏观的展示,来支持集团层面的相关判断或者是决策,做更为宏观的预测,这是我们整体的部署方式。
当然在数据采集和传输过程中,一定要经过三区隔离装置,不能违反电网公司16字方针的要求。
最后一部分是我们公司的介绍,打算用2到3分钟的时间来简单地介绍一下,做一个市场的推广。
我们公司是一家专注于网络安全的高科技企业,我们目前为电力、轨道交通等国家关键基础设施提供相关的公共网络安全的产品,以及相关的技术服务。我们公司的总部在深圳,目前已经在全国各地,包括北京、福州、重庆、武汉都建立起了覆盖全国的技术营销中心、技术服务体系。我们目前的团队大概有200人的规模,而且我们这个团队有一个特点,60%以上都是研发的人员,我们在研发这一块的投入也是非常大的,所以我们在一些产品的转化、技术研究,以及产品的定制化的工作也是开展得非常不错的,另外我们在深圳总部这一块建了6大安全实验室来开展针对工业控制系统的安全研究,包括对不同工业控制系统的漏洞挖掘、协议解析,以及相关的解决方案的验证。我们这个实验室在2019年的时候也被广东省科技厅评为工业互联网安全的技术研究中心,这一块也是对我们公司的认同。
这是我们公司产品的全家福,目前我们有将近六大类的安全产品,以及20多个自研产品,这些产品都是我们自主研发的,而且拥有相关的自主知识产权。
在电力行业方面,我们目前已经和两大电网(国家电网、南方电网)以及五大发电公司有深度的合作和落地的项目,在案例方面,目前我们已经完成了大概有600多个变电站和发电厂安全的防护,以及项目交付的工作。
我的介绍到此结束,谢谢各位。
(来源:北极星电力网,发言为北极星电力网根据速记整理,未经本人审核,如需转载请完整转载全文不允许删减)
