态势感知技术在智能炼化厂工控安全方面的应用

王 飞，张 川，付 强

（长庆石化，陕西 咸阳 712000）

0 引言

随着工业互联网日新月异的发展，在给人们的生产生活带来了巨大变化的同时，其开放性、隐蔽性、跨地域性等特性，也使得网络空间存在巨大的安全隐患。与此同时，工业控制网络安全成为无法躲避和回避的新的工业命题和国家安全命题。网络安全已上升到国家战略层面，没有网络安全就没有国家安全[1]。

图1 企业面临的工控安全挑战与态势感知技术思路Fig.1 Industrial control security challenges and situation awareness technology thoughts

针对全球、国内不断发生的工控安全的重大事件，外部环境持续恶化，威胁着国家基础设施。最近几年，从国家、工信部、能源局、监管部门相继出台了《工业控制系统信息安全防护指南》《网络安全法》《工业控制系统信息安全行动计划（2018-2020）》[2]《等保2.0》等相关法律法规，对工控网络安全防护及态势感知做出了具体明确要求与行动计划。

通过态势感知技术实现安全风险实时感知、威胁精准研判，强化国家关键信息基础设施保护，提升行业网络安全整体防护水平。

1 石化行业工控网络安全问题与需求

随着炼化厂智能化、自动化、可视化的深化推进，在工控网络的安全规划、边界防护、主体安全、安全管理等方面都存在着问题。同时，单点部署的工业安全设备如防火墙、入侵防护已不能适应新的网络安全形势的需求[3,4]：

1） 安全防护与感知缺失

包括：边界防护薄弱、审计能力不足、主机防护手段缺失、合规检查感知能力欠缺、核心设备与资产风险不能感知，网络流量威胁感知缺失等问题。

2） 安全分析与协同缺失

包括：针对不同安全设备发现的安全事件、告警信息不能第一时间感知与处置。

成千上万的告警事件人为处置效率低下，无法做到只预警需要人为关注事件。

不能对工控资产了如指掌，无法随时了解资产存在的安全漏洞与风险评估。

安全设备的运行状态、运行效果监管不足。

缺乏大数据、人工智能的分析手段，无法进一步实时有效地发现、预测威胁，保障关键信息基础设施的安全。

针对多厂商的安全设备与信息，缺乏安全运营感知的业务与技术规范，用以指导工业网络设备的持续接入监测。

3） 安全管理与运营缺失

多为被动响应型组织，没有专业的安全运营组织，培训制度不健全、安全经费不足、处置能力不足等。

因此，统一规划、统一建设工控安全态势感知平台，实现工控资产的统一采集、管控，进行资产风险分析以及工控安全的实时监测感知能力势在必行。

2 态势感知平台建设思路

基于AI、大数据、云计算以及安全模型建设一个集团、企业级、实时的、预测性的安全体系，通过数据采集器实时集成分析洞察感知威胁，基于多元异构的海量数据挖掘溯源威胁，通过风险评估与应急处置，构建风险管理与安全运营的全业务体系。

通过平台的应用打造石化行业旗舰，引领能源行业创新。

1）落实政策 依法合规，响应党中央决策部署，落实国家政策。

2）摸清家底 认清风险，加强集中管控，摸清工控资产，查找安全漏洞，排查安全隐患与风险。

3）提升能力 加强防护，实现工控安全风险实时感知、威胁精准研判。

4）多级联动 应急处置，实现与集团、监管部门的对接、情报共享，加强外部与内部多级联防联动，提升应急响应与处置能力。

5）制定标准 树立典范，制定态势感知平台业务与技术规范，树立行业典范。

3 平台体系架构与功能

3.1 框架设计

平台整体框架充分考虑扩展性以及作为示范项目的推广性，态势感知技术的应用不仅能满足一个智能炼化厂的安全监测、横向扩展，还可以满足集团二级公司的监测需要，以及满足于集团层面的上通下达，实现协同处置、情报共享。

厂区部署日志采集器、流量采集器，平台进行数据汇总分析、实时监测、监控管理与决策；平台提供接口规范，实现与集团进行数据同步。

态势感知整个应用层次由下到上分为基础架构层、数据采集层、数据处理层和功能应用层。

基础架构层：该层主要由基础IT 设备构成，为便于计算资源的集约化利用，在其之上构建虚拟化服务。

数据集采集层：态势感知实施的重点，数据的采集的方式主要使用日志采集器、流量采集器两种采集设备。其中，日志采集器主要采集服务器、主机、数据库、网络设备、安全设备等产生的操作日志、告警事件、运行状态等信息。流量采集器，则采用流量镜像的方式，监听网络中异常的网络行为，通过边缘AI 模型分析告警事件。

图2 态势感知平台总体架构Fig.2 Situation awareness platform architecture

图3 态势感知平台逻辑架构 Fig.3 Situation awareness platform logical architecture

数据处理层：主要利用大数据采集后的存储与分析处理，存储结构主要由传统的关系型数据库+大数据分布式NoSQL 共同构建。一般标准化、格式规范的基础数据归入关系型数据库存放，如漏洞信息、设备资产数据等。大量的主机日志信息和原始告警事件则由大数据NoSQL 结构进行保存（保存时做日志格式归一化处理）。处理后的数据再交由内部关联分析引擎层，通过匹配关联规则，对原始行为、原始事件触发生成新的威胁事件，并通过风险级别高低进行告警。

业务应用层：该层主要为安全运营人员进行安全分析提供应用功能，态势可视化以当前厂区、机柜维度查看本站采集数据构成的综合风险态势、主机资产态势、弱点漏洞态势、网络威胁态势、事件处置态势。厂站态势管理主要是对态势数据的管理，功能包括基本的事件查询、事件处置、资产管理、日志检索、系统管理以及规则配置管理等，厂区以全局视角感知总体的风险态势与工控安全业务的运营情况。

图4 态势感知技术大数据业务模型Fig.4 Situation awareness technology big data business model

图5 态势感知部署设计图Fig.5 Situation awareness deployment design

3.2 态势感知大数据业务模型

平台的业务模型总体包括：多元数据采集、风险管理与运营管理。数据采集是各种安全、网络、主机等设备的实时数据以及工具箱、情报等离线数据。数据采集分析采用边缘与平台结合的方式，在边缘设备采集器内嵌AI 模型进行实时分析与异常检测，针对可疑流量及相关事件，在平台侧进行数据挖掘、关联分析，包括安全基线、精简聚合、图分析、攻击链分析等。基于资产、漏洞、事件进行工控安全的定量评估，实时计算风险指数。根据事件级别等智能推送告警，同时自动生成安全运营的多级分析报告。

基于大数据的挖掘分析包括统计、关联与AI 建模。包括：智能聚合、智能规则报警、复杂事件处理CEP 分析、事件关联分析、逻辑回归、决策树、SVM、聚类算法、迁移学习算法、特征库匹配等。

3.3 石化工控网络的集成部署设计

基于整体框架以及工控安全防护设计，态势感知的应用部署架构如图5 所示。

1）安全防护部署了不同厂商的安全产品，工业审计部署于不同交换机进行工控流量的入侵事件；工业防火墙进行边界隔离；工控卫士进行主机的防护与数据的采集与合规基线分析；IDS 进行入侵监测；工控漏扫与工具箱进行定期的合规检查分析。

2）针对安全设备、主机、交换机数据的采集部署流量采集器与日志采集器，实时进行边缘分析与数据采集。

3）针对漏扫、等保工具箱数据通过离线方式采集接入。

4）态势感知从数据采集到安全运营以及可视化展现，通过机柜的概念，模拟不同分子厂区独立的运营。

3.4 平台功能设计

业务功能包括：

1）数据采集

采集范围包括：工控系统，及涉及的主机、网络设备、安全设备、数据库设备。

图6 态势感知平台功能设计Fig.6 Situation awareness platform function design

采集手段主要通过主机探针、日志采集器、流量采集器。

采集内容工控系统与资产信息；监测对象的用户登录、运行状态、移动存储设备接入、异常网络访问等告警事件；高危操作命令监测，如kill、init 等操作日志。CPU、内存性能指标；基线核查；漏扫数据；工控网络流量。

2）工控安全合规检查分析

基于离线检查数据以及工控安全指标体系，建设工控安全合规分析，通过多维分析摸清家底，认清风险，找出漏洞，通报整改。

3）工控威胁事件监测感知

基于多源数据构建安全模型进行监测分析，实时监测工控系统安全事件，基于事件的融合分析减少误报漏报，实现安全事件精简聚合。

4）工控安全风险评估

针对工控网络安全威胁和预警的综合性指数，包括厂区、机柜、系统、设备的安全指数，为各级领导提供工控系统总体的安全定量评估与决策。通过工控资产、脆弱性、威胁以及行业特性，定量评估分为低危、中危、高危、危急4 个等级。安全指数为实时动态评估指标：通过大数据的分布框架实时计算。

5）工控安全威胁分析与溯源

基于统计分析、IP 关联分析、攻击链分析回溯事件的发展过程和相关影响。

6）工控安全资产与漏洞分析

工控资产发现与拓扑管理，以资产为中心的安全事件、脆弱性分析统计与关联分析。

7）工控安全事件预警通报与应急处置

制定适合炼化企业的预警与处置流程，进行日常防护通知、危急事件通报、危急事件协同处置、处置事件归档记录，并自动生成各级运营报告。

8）工控安全态势可视化

针对不同维度的安全态势可视感知，包括风险态势、威胁态势、资产态势、弱点态势、合规态势、应急态势。

3.5 技术规范

针对不同厂商的各种设备的数据集成，目前态势感知还没有统一标准。因此，结合智能炼化的行业特点，制定态势感知技术规范，内容包括总体技术框架、数据采集规范、平台接口规范、日志采集技术规范、工控流量采集技术规范等内容。

4 关键技术与最佳实践

1）边缘分析采集

由于工控网络的传输带宽压力及边界隔离交换数据的限制，态势感知采用了边缘智能分析的架构与功能，包括初步分析聚合与流量的边缘检测，通过前置安全AI 分析模型进行边缘分析，仅上传与事件相关的部分流量。

2）基于主机探针多指标感知

通过主机探针监测采集各种安全指标数据，包括主机、服务器、数据库的关键操作日志、高危命令、各种告警与违规事件，实时监测工控安全风险。

3）多源异构数据接入

通过日志采集器进行数据的归一化处理、分析聚合，形成多源异构数据的安全数据描述和交换格式标准，实现无缝对接各种设备数据的接入。

4）云端使用AI 分析安全大数据

平台基于虚拟化、大数据集群部署，通过机器学习模型进行安全数据建模分析。针对输入的多源日志、流量进行实时分析、关联分析，进行事件的聚合、精简、挖掘，对事件进行漏洞、资产关联分析。

5）资产准确盘点

资产在安全监测与评估中是核心要素，资产的准确性至关重要。由于历史原因，工控资产不清晰，通过工控系统、工控资产、核心控制、厂商及详细的型号的选择录入，而非自由填写，能够准确盘点厂区的工控资产，快速摸清家底、理清风险、找出漏洞、有效整改。

6）工控安全运营组织建设与运营流程

平台的建设与管理是一个系统工程，不仅仅是建设一个软件平台，它是运营的思路，而非运维管理。包括“安全数字化部队”组织建设，平台安全内容建设管理、主动防御、应急处置、通报预警、安全评估、安全指数、安全效果、评价改进、平台运维等，可以与炼化产业相结合，发布炼化经济安全评估指数。

5 结束语

态势感知技术在智能炼化厂的成功应用，可以作为示范工程总结推广：

1）平台基于大数据、AI 的技术框架构建了态势感知的安全业务模型。

2）智能炼化厂多层安全设备部署与态势感知平台的AI 赋能与协同防护。

3）不同厂商的安全数据的快速集成与技术标准形成，兼容能源行业与监管部门的数据采集规范要求。

4）态势感知从数据采集到安全运营以及可视化展现通过机柜的概念，模拟不同分子厂区独立的运营，便于行业推广。

5）建立工控安全管理运营体系，实现了实时监测感知各厂区机柜的工控安全运营状况与实时定量安全指数评估，实现工控安全的态势可视指挥与厂区的安全运营。

6）通过资产分析摸清家底、认清风险、针对安全风险及时整改处置。

7）通过一个屏满足决策、管理、运营的要求。通过大屏监控，实时告警，包括攻击工程可视化、资产安全状态可视化、主机风险可视化、工控资产可视化，通过安全可视化，将系统风险全状况尽收眼底。

8）建立了平台的业务与技术规范标准，执导行业板块体系建设。