■ 中国大唐集团有限公司重庆分公司集中控制中心 白桦

编者按：本文针对态势感知平台在电厂的实施，通过智能采集器与数据代理采集工控资产的各类合规基线与安全指标数据，创新性地针对资产主机的合规与基线核查进行设计，基于大数据进行定量合规分析，弥补了电厂资产主机的合规分析存在的空白，可一目了然掌控资产主机的安全情况及存在的问题，定量合规评估指数。

2016 年国家提出面对复杂严峻的网络安全形势，要树立正确的网络安全观，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。2018 年工信部印发的《工业控制系统信息安全行动计划（2018-2020）》提到“态势感知、安全防护、应急处置能力显著提升”。2018 年2 月国家能源局印发《关于加强电力行业网络安全工作的指导意见》，首次提出在电力行业提高态势感知能力的硬性要求，明确了网络安全的工作重点，从安全防护变成了提高网络安全态势感知能力以及预警、应急处置能力。2019 年2月22 日，国务院国资委启动网络安全及智慧能源信息平台建设工作，以推动能源产业高质量发展，解决能源行业网络信息安全问题。

态势感知平台运用大数据技术，收集分析电力单位的资产信息、安全事件、设备日志和网络流量等，从全局视角感知网络与工控安全态势，通过技术手段实现对安全事件的全过程闭环管理，增强电力企业整体信息安全在预测、防护、检测、响应、协同方面的能力。电力资产主机在安全监测与评估中是核心要素，资产的准确性、合规基线与评估至关重要。

资产主机安全现状与需求

随着电厂智能化、自动化、可视化的深入推进，工控主机的安全合规与评估迫在眉睫。针对主机的安全合规在等保2.0 三级工业控制系统安全扩展要求中，针对控制设备安全具有明确的要求。但是如何针对主机进行合规自动定量评估还没有明确办法。

1.工控主机安全合规基线指标不明确。

2.工控主机安全合规数据采集规范没有。

3.工控主机安全合规评估指标与定量评估方式没有规范指导。

4.从集团分公司角度很难可视化的了解分公司、厂区的工控主机的合规情况与趋势演变。

因此，本文结合态势感知平台的建设实施，研究了电力工控主机的安全合规大数据分析方法。

资产主机安全合规大数据分析方法

1.主机合规大数据采集分析架构

合规数据采集分析架构图如图1 所示，主机合规数据的采集通过在不同OS 主机安装数据代理（Agent）进行合规数据的采集发送，合规数据与其他安全数据一同采集，数据通过智能采集器进行格式转换、增强等处理，然后数据到态势感知平台进行资产主机的合规分析，进行大数据挖掘、可视化展现。

2.主机基线合规指标

主机合规基线指标分为Linux 平台和Windows 平台指标。实施过程中梳理Windows 基线指标为59 项，Linux 指标为35 项。每项指标的安全等级定位为高危、中危和低危三种级别。

其中Windows 基线指标包括：

（1）密码复杂性要求；密码长度最小值。

（2）密码最短使用期限。

（3）强制密码历史。

（4）账户锁定阈值。

（5）账户锁定时间。

（6）复位账户锁定计数器。

（7）审核策略更改。

（8）审核对象访问。

（9）审核目录服务访问。

（10）审核系统事件。

图1 合规数据采集分析架构图

（11）账户：重命名管理员账户。

（12）账户：重命名来宾账户。

（13）Microsoft 网络服务器：对通信进行数字签名（如果客户端允许）。

（14）交互式登录：提示用户过期之前修改密码。

（15）交互式登录：之前登录到缓存的次数（域控制器不可用时）。

（16）域成员：禁用计算机账户密码更改。

Windows 基线指标包括：

（1）检查是否修改了SNMP 的默认团体名；检查是否禁用“Ctrl+Alt+Del”键重启。

（2）检查是否禁止wheel组之外的用户使用su 命令切换到root。

（3）检查是否设置密码在设定时不能使用前几次密码的次数限制。

（4）检查是否配置账户认证失败的次数。

（5）检查用户对设备的操作是否被记录。

（6）检查是否配置sys log-ng 安全事件的日志。

（7）检查是否配置rsys log 安全事件的日志。

（8）检查是否配置sys log 安全事件的日志。

（9）检查su 命令使用情况记录是否被设置。

（10）检查是否关闭IP欺骗和多IP 绑定功能。

（11）检查/etc/aliases和/etc/mail/aliases 是否禁用把不必要的别名文件。

（12）检查是否启用了不必要的系统服务。

（13）检查是否使用NTP同步时间，以及对应服务是否安装开启。

（14）检查是否存在不应该拥有suid 和sgid 权限的文件。

（15）检查是否启动空闲时自动定时锁定屏幕功能（适用于具备GNOME 图形界面的设备）。

（16）检查SSH 登录前的警告是否设置。

3.主机合规评估指标

为形成主机合规安全和预警综合指数，提供工控资产总体的安全定量评估与决策，结合电力、能源行业监管要求以及等保2.0 法律法规基本要求，用以评估工业控制信息系统主机的定量合规评估指标设计如表1 所示。

4.合规定量评估方法

基于上述合规评估指标体系，制定定量合规评估方法。每项指标进行定量评分，评分规则考虑不同指标采用不同规则，所有指标评分进行汇总，根本不同类别采用不同加权因子，得到一个资产主机的综合评分。

5.主机合规大数据AI 分析与画像分析

针对主机的合规评估结果，与评分相结合，通过大数据主机画像实现主机安全合规的可视化分析。10个评估大类分别采用不同颜色区分，易于评估不同指标类别的评分。评估指标单独显示其评分，按照100 分制显示，采用5 级颜色展示，0 ～20、20 ～40、40 ～60、60～80、80～100 五个级别展示，分值越低，颜色越醒目。如图2 所示。

表1 主机合规评估指标

针对不同电厂、安全区、不同类型资产主机以及不同类型指标采用聚类等算法，包括CluStream、StreamKM++进行数据挖掘，实施感知集团、集控中心、厂区全业务主机的合规情况。合规指数是多少？大部分共性问题？整改策略是什么？实时具有什么风险？发生安全事件后影响范围有多大？风险共性等问题。

关键技术与最佳实践

1.主机探针Agent 适配性与采集频度

工控主机硬件与软件为使用多年的老版本，因此合规基线及安全指标的采集不能影响主机业务运行，基本不消耗主机性能。

图2 主机合规大数据画像分析

2.多源异构数据接入与电力系统安全架构的适应性

需要针对主机采集的各类指标与日志信息进行归一化处理、增加聚合等处理，满足不同OS 格式的数据转换。同时由于工控网的传输带宽要求及边界隔离交换数据的限制，需要适配TCP、UDP 的数据单项传输。

3.AI 大数据可视化分析

通过合规定量分析，从不同维度实现大数据的可视化展示，同时基于机器学习算法对合规数据进行挖掘，实现主机合规的大数据分析。

结语

通过态势感知资产主机安全合规分析模块的实践，无论从总部、二级公司、集控中心及厂级角度，都可一目了然掌控资产主机的安全合规情况、存在的问题及定量评估指数，同时可从不同安全维度了解总部资产主机的缺陷，进行有的放矢的整改，真正把安全监管落到实处，有利于快速摸清家底、理清风险、合规分析、找出漏洞和有效整改。

态势感知平台的实施内容包括数据代理Agent、智能采集器、全日志分析系统和工业互联网安全态势感知平台，为企业安全运营管理构建一个全局的、实时的、可预测的主动防御安全体系，从而全面提升网络安全感知能力和运营能力，实现电力关键基础设施的全生命周期管理，为智能化运营保驾护航。