水利工程網絡安全構建思路

前言：尋找寫作靈感？中文期刊網用心挑選的水利工程網絡安全構建思路，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：以江都水利樞紐網絡安全態勢感知平臺為研究對象，分析水利工程網絡安全態勢感知的內容和需求，從平臺架構、關鍵技術和軟件模塊設計多個角度，探討平臺構建的可行性及必要性，推動水利樞紐態勢感知的數字化、信息化建設。通過態勢感知平臺建設，可以有效分析多源數據并預測網絡潛在風險漏洞，大幅度提升水利樞紐網絡安全管理水平，為保障水利工程關鍵信息基礎設施網絡的可靠運行提供借鑒。

關鍵詞：水利信息化；網絡安全；態勢感知；平臺構建；江都水利樞紐

網絡安全是國家安全的重要組成部分。水利行業作為國家關鍵信息基礎設施的重要行業之一，保護水利關鍵信息基礎設施安全具有十分重要的意義，關鍵信息基礎設施一旦遭到破壞、喪失關鍵核心功能或者引起數據泄露，會對國家安全、國計民生、公共利益等造成安全隱患。隨著工程管理現代化進程的推進，江蘇省江都水利工程管理處高度重視水利信息化建設，搭建了集中監控系統和基于集控中心的遠程監視和控制體系，有效實現了江都水利樞紐工程的整體管控。但是，由于長期缺乏安全需求的推動，現有的信息化系統在設計、研發中沒有充分考慮安全問題，在部署、運維中缺乏有效的管理手段，存在著系統被病毒或惡意軟件破壞、核心數據被竊取、控制流程被篡改、工控數據或應用軟件被惡意操縱等安全隱患。因此，開展江都水利樞紐網絡安全態勢感知平臺研究，對于江蘇乃至全國水利工程全面構建網絡安全防線具有非常重要的示范意義。

一、現實需求

江都水利樞紐工程位于江蘇省揚州市境內，坐落在京杭大運河、淮河入江水道與新通揚運河的交匯處，北瀕淮河、南連長江，由4座大型電力抽水站、12座大中型水閘以及輸變電工程、引排河道組成。經過多年持續投入和建設，江都水利樞紐工程網絡基礎設施建設和信息化工作取得顯著成績，但是面對互聯網發展的新情況和新動向，在網絡安全方面仍然存在不少短板和問題，其痛難點和現實需求主要集中在以下幾點。1.應用數據采集難隨著水利行業信息化程度的提升，交換的數據類型從傳統的水文狀態、工程運行等監控程序數據逐步向更加智能化的程序文件轉換，信息更新和交換越來越頻繁。同時現場工控設備種類繁多，涉及不同品牌的系統和協議，傳統的網絡設備無法對工控協議進行識別，導致工控設備產生的網絡安全數據不能及時同步到信息辦公網絡，無法實時掌握其工作狀態。提高對工業協議的識別和指令級的協議解析，提高數據安全交換能力是首要解決的技術難點。因此，平臺的構建需支持常見的工業基礎設施、主流工業控制協議、常見工業上位機組態軟件，為智慧水利工業互聯網整體態勢感知提供數據支撐服務。2.多源信息分析難當前江都水利樞紐工控網內包含各類防火墻、入侵防御等多種安全產品，各自屬于不同的廠家，在功能、日志上各自獨立，對于發生的安全事件一般采取人工分析的方式，效率與準確率較低。因此需要通過安全信息資源整合的方式整合分散的工業互聯網安全數據，形成江都水利樞紐全局的工控安全態勢感知能力，從而達到主動感知、主動防御的目的。3.安全風險識別難雖然江都水利樞紐擁有獨立的網絡安全產品，但是外部的黑客入侵和內部操作的違規行為在邏輯或時序上相互關聯，并分為若干步驟，每個操作步驟都會在相關設備和系統上留下一定的痕跡。如果要發現其中的隱患，需要把相關設備的日志進行相互關聯后統籌分析，然而現有的網絡安全產品缺乏統一分析功能，關聯分析功能的實現迫在眉睫。該功能可以把不同安全設備產生的日志、響應等文件，根據條件進行關聯，以便后續分析和相關處理。

二、平臺總體架構設計

為滿足上述需求和解決關鍵痛難點，需建立江都水利樞紐網絡安全態勢感知平臺，系統結構如圖1所示。態勢感知平臺采用功能化的設計思想，使系統具有預判性、互操作性和通用性等特征，并實現關鍵信息的公開透明。從總體上，平臺具有六個相互獨立且關聯的功能，分別是數據源輸入、信息采集、信息分析、安全處置、系統支撐和用戶呈現視圖。數據源輸入、信息采集主要位于信息采集模塊，應進行統一的流程設計；信息分析、安全處置、系統支撐和用戶呈現視圖主要為功能設計模塊，可按照實際應用需求進行詳細功能設計。

三、數據采集分析流程設計

為實現安全態勢感知的各項功能需求，江都水利樞紐網絡安全態勢感知平臺的數據采集分析應按照采集流程設計各功能組件，具體包含數據采集識別、隔離過濾、信息匯總分析、態勢感知及預測告警。其中，數據采集識別功能組件需要從處理功能組件、業務數據解析中分別采集識別感知信息，然后通過內部私有協議，態勢感知隔離過濾功能組件獲取相關感知數據。業務功能單元和態勢分析軟件之間的數據隔離防護功能通過隔離過濾功能組件實現，從而降低內部態勢信息軟件遭受外部攻擊、內部態勢信息泄露等風險和威脅。通過隔離過濾的感知信息將輸入信息匯總分析功能組件，實現感知數據的分類、合并和綜合分析，經過處理后的信息存儲在相關數據庫中；在態勢感知及預測告警功能組件中，可以讀取數據庫的相關信息并對信息特征進行識別，在此基礎上預測相關態勢，對潛在的安全和隱患進行及時告警。相關流程如圖2所示。①態勢感知信息產生。通常而言，業務通信數據及其狀態會產生相應的態勢感知信息，感知信息分為基本狀態類信息（包括線路接口、傳輸誤碼統計和流量統計等）和攻擊態勢類信息（包括偽造攻擊、重放攻擊等）。②數據采集識別。業務數據處理功能單元中嵌入的網絡安全態勢感知采集識別組件，可以采集和識別已定義的態勢信息。③隔離過濾。安全態勢感知平臺的內部私有協議是實現各個組件、功能單元之間相互通信的基礎。此外，內部私有協議把內部通信與外部接口進行隔離，保證了內部通信的安全和穩定。通過自定義相關對應策略，篩選并丟棄各功能單元采集到的信息，消亡丟棄的信息。④態勢感知信息匯總分析?？紤]到不同的感知源可以獲得不同的感知信息，并且同一個感知源可以同時獲得不同類型的感知數據，需要對感知數據進行分類，按數據內容的不同可分為三類，分別是攻擊類數據、設備運行類數據和線路狀態類數據。⑤態勢感知信息存儲。匯總后的分類數據存儲在平臺的感知數據庫中，根據數據的優先級對相關數據的消亡周期進行設置，數據一旦到達消亡時間就會自動消亡，實現了設備存儲容量的動態調整。此外，根據已經設置好的容量上限，在超過容量上限時之前的數據會被同一優先級的數據覆蓋。⑥統計分析。在統計分析過程中，根據數據類型可以分為兩類，分別是單類別數據的對比分析和多類別數據的關聯分析。單類別數據的對比分析是指在同一類型的數據中通過對比正常數據和異常數據以及歷史數據，提取異常數據發生的時間、頻率、原因等特征信息進行分析和統計；多類別數據的關聯分析是指通過提取數據的多維信息特征（包括類型、時間、感知源、歷史信息等），經過統計分析形成關聯規則。不論是單類別數據的對比分析還是多類別數據的關聯分析，都是預測告警的數據支撐。

四、態勢感知平臺功能模塊設計

江都水利樞紐網絡安全態勢感知平臺采用“平臺+檢測探針”方式部署系統，探針采集各個站點內、核心交換機上的工控業務流量進行初步分析，態勢感知依據采集的信息通過場景化策略、關聯分析規則展現網絡安全當前現狀，其軟件平臺功能模塊設計如下。

1.數據采集模塊

數據采集模塊功能是系統內的日志抓取與收集，這些系統包括主機系統、應用系統、網絡設備、安全設備系統、備份系統和管理系統等。系統的各個不同組件日志產生點都是數據來源，例如安全設備日志、主機操作日志和數據庫審計日志等?？紤]到安全信息和事件對于所要搭建的態勢感知平臺至關重要，因此需要運用可靠的信息采集策略（包括信息的采集頻率、合并策略與信息傳輸策略等），在保證信息完整的同時又需避免采集過程對系統的影響。因此，預先設定日志信息傳輸策略，既可以保證動態網絡下信息按序傳輸到分析模塊，又能避免日志信息增加過多占用網絡帶寬資源，有效提高了信息的傳送效率。

2.安全分析模塊

在對江都水利樞紐關鍵信息基礎設施進行統一的監控過程中，系統必然會產生大量的信息，如果不能及時交由專業人員處理并進行有效分析，將會嚴重影響網絡安全平臺的運行和管理效率。安全分析模塊的功能是在宏觀層面合理設置有效的指標即技術指標和管理指標，并按指標呈現實時的網絡安全和運行態勢，顯示當前信息化建設過程和已完成的工作量。具體來說，技術指標是對網絡安全態勢從信息安全技術層面進行特征提取并進行相關分析，涉及計算整體網絡安全的狀態并預測其發展趨勢。在一段時間內，系統收集安全事件的發送IP地址并進行熵值計算，從而得到IP聚合度的變化度，基于此刻畫該時間段內此類安全事件所屬資產系統、業務系統或其他系統的整體安全狀態并預測未來安全趨勢。通過模塊提供的安全態勢曲線，可以定位影響網絡安全的事件，從微觀層面對威脅網絡安全的事件進行分析。管理指標是從系統安全管理和建設水平的安全域出發，計算某個系統或者安全領域的安全指數，得到該系統或者安全領域的安全水平評級，通過該評級可以合理表明該系統或者安全領域的信息安全建設成熟情況。每個系統或者安全領域的安全評估曲線通過安全分析模塊進行可視化展示，并可進行環比統計分析和跨域的同比分析，實現各項安全管理指標的定位。

3.安全管控模塊

安全管理模塊的核心功能是抵御越來越多的復合型網絡風險威脅。不同安全設備的響應通過安全管理模塊相互關聯，呈現給網絡管理人員進行相應的分析和處置。當網絡威脅發生時，網絡層、主機層、數據庫等層面都會進行響應，審計系統通過數據挖掘將以上層面發生的威脅事件進行抽取和關聯，并把結果反饋給網絡管理人員。此時，網絡管理人員可以根據相關策略進行處置。安全管控模塊存儲的各類安全事件支持網絡管理人員的細粒度查詢（包括關鍵字、時間段、源地址、目的地址、設備類型、事件類型等多個條件的組合查詢），對安全事件進行正確的分析和判斷。此外，安全管控模塊支持不同場景之間的切換，網絡管理人員可以從宏觀層面及時掌握風險威脅的發展規律。

4.資產管理模塊

網絡資產是構成信息系統的軟硬件和各類服務等資源的集合。按照面向對象的設計原則，安全業務均會圍繞資產來展開，不同領域的安全數據交織在資產這個核心數據庫中，構成各種業務關系。在精準識別和有效管理到資產基礎上，后續一系列安全保障機制才能按預期有效落實。作為安全領域中環境感知的一個重要組成部分，資產管理模塊承擔著對各類安全對象包括發現或導入、存續管理、風險分析、變更監控及下線銷毀等在內的全生命周期維護。具體提供對各類網絡資產增、刪、改、查、導入導出等的配置管理、統計分析功能。

5.掃描任務管理模塊

掃描任務管理是環境感知的重要手段，通過下發掃描任務的方式識別網絡環境的資產信息及風險隱患信息。對于攻擊者來說，信息系統的方方面面都存在脆弱性，既包括常見的操作系統漏洞、應用系統漏洞、弱口令，也包括容易被忽略的錯誤安全配置問題以及違反最小化原則開放的不必要的賬號、服務、端口等。掃描任務管理模塊可以全方位檢測信息化系統存在的脆弱性，發現信息系統存在的安全漏洞、安全配置問題、應用系統安全漏洞，檢查系統存在的弱口令，收集系統不必要開放的賬號、服務、端口，形成整體安全風險報告，幫助網絡安全管理人員先于攻擊者發現安全問題，及時進行修補。

6.流量統計模塊

通過流量統計分析讓網絡流量可知、可見，如網絡帶寬使用情況、當前網絡運行應用、上下行流量使用情況、IP占用的帶寬情況、并發的會話占比、應用被訪問頻次等。這些問題都可以通過流量統計直觀清晰地呈現出來，為日常的網絡管理帶來幫助。此外很多異常行為都會在流量上有所體現，管理人員可以從全局的角度提取重要維度，通過流量統計分析發現異常行為。可以對網絡中開放的端口進行統計分析，察看是否有不常見的端口，是否開放了預期之外的端口，是否是攻擊者預留的后門。同時也可以對主機請求的域名數量進行統計分析并做排序，找出域名請求次數特別多的主機，調查其請求的域名是否正常、是否中病毒，通過DGA域名和控制端進行通信。流量統計模塊支持全局流量統計，展示各個流量探針和總體的流量趨勢圖。通過流量趨勢圖，網絡管理人員可以直觀地看到各個探針區域的流量大小。如果流量趨勢圖中有明顯的波峰和波谷，那么可能網絡中的流量有異常情況。

7.威脅管理模塊

威脅管理可分為兩個子模塊，一是實時威脅監控與檢索，從不同維度對攻擊事件進行監控，并基于監控數據進行安全性分析，發現網絡存在的威脅風險，通過查詢日志、流量溯源支持威脅調查取證，在此基礎上完成事件的運行維護；二是威脅識別與策略分析，提供行為分析與應對攻擊的策略、規則知識庫的配置、查看入口的功能。同時平臺應內置知識庫，包含積累的威脅、可疑行為檢測規則，應支持自定義規則作為內置規則的補充；內置規則也可通過定期提供的補丁包進行升級，從而應對日新月異的攻擊手段。針對不同的維度提供威脅事件的檢索分析功能，包括基于事件和資產兩種視角，也可以根據關注目標將資產分為業務系統、網站和終端三類分別展示。

8.可視化模塊

可視化模塊提供了針對網絡系統和業務信息的安全管理，管理人員可以從系統和業務的角度查看網絡的運行狀況?？梢越⒚總€網絡系統和關鍵業務之間的安全視圖，用于及時查看、了解系統的整體安全狀況，精準定位入侵和違規行為的危險事件，并實現安全事件的追蹤。通過可視化模塊，管理人員可以及時、動態顯示當前業務系統的安全狀態，支持事件展示和告警。此外，通過對事件的實時監控，管理人員可以自定義各類實時監視的場景，并支持場景的切換，以便及時發現安全隱患，掌握全網設備和業務系統的安全態勢。模塊能夠將海量的事件分析結果以可視化的方式形象地展示出來，包括全網的流量行為透視、攻擊態勢感知等。全網的流量行為透視呈現為基于時間和空間等特征值的網絡流量分析和行為分析，展示樞紐工程信息網絡流量分布情況、網絡連接情況、業務交互情況，監控重要主機流量、關鍵業務系統流量，為優化現有網絡、問題排查、提升問題解決速度、構建有秩序的網絡提供可靠的技術支持；攻擊態勢感知頁面可通過多個相關的展示視圖呈現，包括攻擊數據統計視圖、攻擊地圖、攻擊關系視圖、宏觀攻擊比例視圖、重點受攻擊對象視圖、各安全域發起與遭受攻擊對比、安全域及業務受攻擊監視視圖、攻擊威脅KPI視圖、攻擊趨勢圖、攻擊類型與安全域—資產類型對應關系視圖、攻擊交互分析視圖。通過各個針對性的模式，可視化模塊能夠有效提高管理人員的工作效率。

9.全景態勢模塊

全景態勢功能以態勢感知、運維監控、安全治理三大主題為軸，為安全決策者及安全管理者提供宏觀態勢的感知運維及安全治理的宏觀視圖。態勢感知需要全面感知網絡安全威脅態勢、洞悉網絡及應用運行健康狀態，通過全流量分析技術實現完整的網絡攻擊溯源取證，幫助安全人員采取針對性響應處置措施。基于平臺中的攻擊識別引擎、行為分析引擎所具備的網絡空間安全持續監控能力，能夠及時發現各種攻擊威脅與異常。平臺態勢感知通過多維度提供威脅調查分析及可視化能力，可以對威脅相關的影響范圍、攻擊路徑、目的、手段進行快速判別，從而支撐有效的安全決策和響應，有助于管理人員建立安全預警機制，提升風險控制、應急響應和整體安全防護的水平。

五、結語

網絡安全態勢感知平臺的建設對于江都水利樞紐網絡安全實時監測和趨勢預測至關重要。以江都水利樞紐為例，分析了網絡安全態勢感知平臺的建設需求，著重研究態勢感知平臺的架構設計、數據流程處理、功能模塊等部分。下一步，江都水利樞紐將繼續完善、總結，不斷豐富信息采集類型，加強數據分析與預測能力，提升網絡抗攻擊能力，實現網絡安全態勢感知平臺早日落地應用，為全國水利樞紐的網絡安全防護提供借鑒。

參考文獻：

[1]梁藝軍.中國人民大學:高校Web網站安全防護策略[J].中國教育網絡，2015（Z1）.

[2]薛井俊，袁志波.大型水利樞紐信息資源整合共享技術研究與實踐[J].江蘇水利，2019（11）.

[3]倪旻，范菁，李晨光，等.工業控制系統信息安全防護技術研究綜述[J].云南民族大學學報（自然科學版），2020（6）.

[4]劉健，尹恒，許文騰.網絡安全態勢感知平臺模型設計[J].信息技術與信息化，2022（8）.

[5]李濤.基于等級保護2.0工業控制系統網絡安全防護體系研究[J].信息系統工程，2019（11）.

[6]華駿，薛井俊，袁志波.江都水利樞紐泵站智能預測預警系統的構建思路[J].江蘇水利，2022（11）.

[7]徐健，李國忠，徐堅，等.智慧水利信息平臺設計與實現——以福建省沙縣智慧水利信息平臺為例[J].人民長江，2021（1）.

[8]蔡陽，謝文君，程益聯，等.全國水利一張圖關鍵技術研究綜述[J].水利學報，2020（6）.

作者：魏來 華駿 袁志波 單位：江蘇省水利信息中心 江蘇省江都水利工程管理處