日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

摘要：為了進一步指導做好工控系統(tǒng)信息安全事件應急管理相關工作，保障工控系統(tǒng)信息安全，國家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，在總則、組織機構與職責、工作機制、監(jiān)測通報、應急管理、應急處置、保障措施等方面提出了工作指南，要求堅持政府指導、企業(yè)主體，堅持預防為主、平戰(zhàn)結合，堅持快速反應、科學處置，充分發(fā)揮各方力量，共同做好工控安全事件的預防和處置工作。本文對電廠工控系統(tǒng)組成及其功能進行研究，結合技術手段，提出一種電廠網(wǎng)絡安全事件應急處置思路，完成電廠網(wǎng)絡安全應急處置工作。

關鍵詞：電力系統(tǒng)；工控系統(tǒng)；應急處置

Abstract: In order to improve the work related to the emergency management of information security in industrial control systems and ensure the information security of industrial control systems, the Ministry of Industry and Information Technology of the People’s Republic of China issued the "Guidelines for Emergency Management of Information Security Incidents in Industrial Control Systems" on May 31, 2017. The Guidelines talks about the general rules, organizations and responsibilities, working mechanism, monitoring circulars, emergency management, emergency disposal, safeguards and other aspects of the Emergency Management of Information Security Incidents. Meanwhile, the Guidelines requires to adhere to the government's guidance, the main body of enterprises, adhere to the combination of prevention and war, adhere to rapid response, scientific disposal, give full play to all forces, and jointly do well in the prevention and disposal of industrial and safety incidents. In this paper, we composite the functions of the industrial control system with technical means and come up with a new way to deal with the power plant emergency situation.

Key words: Power system; Industrial control system; Emergency response

1 引言

近年來，隨著信息技術和工業(yè)技術的不斷發(fā)展與融合，工業(yè)互聯(lián)網(wǎng)應運而生，成為制造業(yè)數(shù)字化、網(wǎng)絡化、智能化的重要載體，工業(yè)互聯(lián)網(wǎng)給工業(yè)企業(yè)帶來高效、高質(zhì)、便捷等優(yōu)勢的同時，也將工控系統(tǒng)暴露在互聯(lián)網(wǎng)上，因此工控系統(tǒng)的安全隱患日益增多。為了進一步指導做好工控系統(tǒng)信息安全事件應急管理相關工作，保障工控系統(tǒng)信息安全，國家工業(yè)和信息化部在2017年5月31日印發(fā)了《工業(yè)控制系統(tǒng)信息安全事件應急管理工作指南》，在總則、組織機構與職責、工作機制、監(jiān)測通報、應急管理、應急處置、保障措施等方面提出了工作指南，要求堅持政府指導、企業(yè)主體，堅持預防為主、平戰(zhàn)結合，堅持快速反應、科學處置，充分發(fā)揮各方力量，共同做好工控安全事件的預防和處置工作。

因此，本文對電廠工控系統(tǒng)組成及其功能進行研究，結合技術手段，提出一種電廠網(wǎng)絡安全事件應急處置方法，完成電廠網(wǎng)絡安全應急處置工作。

首先，針對電廠的信息安全事件應急處置，結合網(wǎng)絡安全事件的應急處置過程與電廠網(wǎng)絡管理實際情況， 研制貼合電廠網(wǎng)絡環(huán)境的應急處置方案。

其次，對安全事件進行統(tǒng)一管理、收集安全事件信息、處置過程數(shù)據(jù)，并在平臺的協(xié)助下對這些數(shù)據(jù)進行分析形成處置模型，使得處置經(jīng)驗得以固化。

最后，依靠應急處置經(jīng)驗模型引入應急處置實踐過程可以直接提高應急處置效率、精準度，將應急處置工作帶入良性循環(huán)當中。

2 相關研究

2.1 電廠工控網(wǎng)絡安全事件類型研究

DCS控制系統(tǒng)的網(wǎng)絡結構和設備配置，系統(tǒng)遭受網(wǎng)絡攻擊、病毒感染造成的信息安全事件可分為以下三大類：DCS網(wǎng)絡故障、工程師站/操作員站故障、DPU控制器組態(tài)邏輯破壞，具體如表1所示。

表1 DCS控制系統(tǒng)三類信息安全事件

SIS系統(tǒng)的網(wǎng)絡結構和設備配置，系統(tǒng)遭受網(wǎng)絡攻擊、病毒感染造成的信息安全事件可分為以下三大類： 系統(tǒng)網(wǎng)絡故障、工程師站/操作員站故障、DPU控制器 組態(tài)邏輯破壞，具體如表2所示。

調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)根據(jù)網(wǎng)絡結構和設備配置，系統(tǒng)遭受網(wǎng)絡攻擊、病毒感染造成的信息安全事件，具體如表3所示。

表3 調(diào)度數(shù)據(jù)網(wǎng)系統(tǒng)信息安全事件

其他可能的安全事件不在此一一舉例。

2.2 電廠工控安全事件應急處置工作現(xiàn)狀

工控安全事件是指由于人為、軟硬件缺陷或故障、 自然災害等原因，對工控系統(tǒng)、工控系統(tǒng)數(shù)據(jù)造成或者可能造成嚴重危害，影響正常工業(yè)生產(chǎn)的事件。近年來，工控安全事件頻發(fā)，網(wǎng)絡安全事件是網(wǎng)絡安全風險的最終結果體現(xiàn)。在新的網(wǎng)絡安全管理工作格局下，網(wǎng)絡安全事件應急工作的重要性日益凸顯，覆蓋面日趨廣泛，業(yè)務流的成熟度和復雜度日益提高，對信息化手段的依賴程度也將進一步增強。但是目前制約應急處置工作實現(xiàn)全面上水平、行業(yè)領先的最突出問題就是信息化水平低。

電廠由于其系統(tǒng)環(huán)境的嚴苛性，在部分事件中要保證生產(chǎn)的順利進行，無法外接設備達到處置的目的，傳統(tǒng)的應急手段存在一定的限制。另外，網(wǎng)絡攻擊方法日益新穎，攻擊手段復雜，技術人員在操作的過程中，也會面臨“數(shù)據(jù)采集困難”、“大量數(shù)據(jù)分析困難”、“分析準確度偏低”等一系列問題。

3 電廠網(wǎng)絡安全應急處置方法

通過對電廠可能出現(xiàn)的網(wǎng)絡安全事件進行研究，提出一種“平臺+制度+工具”的應急處置管理執(zhí)行體系。采用引導式應急管理、處理流程。通過建立應急處置管理平臺，對電廠環(huán)境中可能發(fā)生的安全事件進行預置，細分電廠工控安全事件應急處置場景，設置相應的應急處置步驟。根據(jù)事件現(xiàn)象，在界面上根據(jù)引導完成事件類型的判定。并在每個步驟上提供處置反饋的錄入，從數(shù)據(jù)上實現(xiàn)應急處置過程、數(shù)據(jù)的可追溯、可統(tǒng)計。在平臺提供的應急處置自動化引導過程中，結合現(xiàn)場電廠網(wǎng)絡安全應急處置專用工具，實現(xiàn)電廠網(wǎng)絡安全事件應急處置取證、分析工作。在現(xiàn)場電廠網(wǎng)絡安全應急處置工具中，提供適應電廠操作站主機環(huán)境的專用取證工具與分析工具。實現(xiàn)主機操作系統(tǒng)日志的自動提取，實現(xiàn)中間件日志文件的獲取。在信息提取的同時，對取證數(shù)據(jù)進行哈希登記，以備取證數(shù)據(jù)的完整性檢查。特別地可以通過操作系統(tǒng)內(nèi)存、硬盤的鏡像Dump，實現(xiàn)對主機操作系統(tǒng)實時運行進程狀態(tài)的提取。在分析方面，結合所獲取的日志、所發(fā)現(xiàn)的惡意代碼等取證數(shù)據(jù)，通過內(nèi)置的安全事件分析模型實現(xiàn)了安全事件的自動分析。

電力工控系統(tǒng)應急處置向?qū)В侯A設置電力工控系統(tǒng)重要節(jié)點可能發(fā)生的安全事件及其相應的應急處置步驟方法。提示應急處置人員操作步驟及操作方法，及時恢復生產(chǎn)。

現(xiàn)場取證工具：現(xiàn)場處置工具之一，為應急處置實施單位現(xiàn)場調(diào)查取證用工具，收集信息包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等功能。事件管理分析工具：現(xiàn)場處置工具之一，根據(jù)應急預案指導處置人員現(xiàn)場按步驟實施，并對現(xiàn)場取證工具提取到的信息進行整理分析的專用工具，功能包括樣本分析、痕跡分析、溯源分析。

3.1 現(xiàn)場取證

取證是為了盡可能多地獲取現(xiàn)場相關數(shù)據(jù)信息，涉及工作站、網(wǎng)絡設備、安全設備、控制設備等工業(yè)控制系統(tǒng)現(xiàn)場相關設備。所有的取證數(shù)據(jù)均以哈希碼進行登記，在最后的完整性、可靠性校驗時提供必要的比對數(shù)據(jù)。

現(xiàn)場取證通過對應的數(shù)據(jù)取證、采樣軟件自動完成文件數(shù)據(jù)提取工作。取證功能包括人員訪談、證據(jù)固定、痕跡提取、系統(tǒng)采樣、安全檢查等，如圖1所示。

圖1 現(xiàn)場取證要點

• 證據(jù)固定功能包括：磁盤證據(jù)固定、內(nèi)存證 據(jù)固定；

• 痕跡提取功能包括：系統(tǒng)日志提取、中間件日志提取、數(shù)據(jù)庫日志提取、組態(tài)工作日志提??；

• 系統(tǒng)采樣功能包括：登錄記錄采樣、文件使用記錄采樣、網(wǎng)絡連接狀態(tài)采樣、啟動項采樣、工控流量采樣等；

• 安全檢查功能包括：病毒木馬檢測、漏洞檢測、安全配置檢測等。

3.2 事件分析

對現(xiàn)場取證工具獲取的日志信息、系統(tǒng)采樣信息、后門信息、現(xiàn)場訪談數(shù)據(jù)等進行匯總，同時與應急處置管理平臺聯(lián)動，獲取事件相匹配的應急處置經(jīng)驗模型。在進行數(shù)據(jù)整合關聯(lián)分析的過程中，提出采用“回旋分析法”分析安全事件過程，并串聯(lián)關鍵事件，達到安全事件分析的目的。在本地分析算法與平臺應急處置經(jīng)驗模型的作用下完成樣本分析、痕跡分析、溯源分析，最終形成包含攻擊源、攻擊手法、攻擊路徑、攻擊過程在內(nèi)的應急處置事件分析結果，如圖2所示。

圖2 回旋分析法

應急處置實施人員，在得到事件分析結果后上報上級部門，由上級部門確認應急處置結果。同時分析結果通過接口上傳至應急處置管理平臺。

3.3 技術要點

（1）電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應急處置結合

將電力工控系統(tǒng)病毒木馬檢查、電力監(jiān)控系統(tǒng)流量異常分析與應急處置結合。取證工具除支持常見的木馬病毒外，該模塊的病毒檢測引擎支持檢測震網(wǎng)病毒、 火焰病毒等工控病毒及其變種。將電力監(jiān)控系統(tǒng)流量分析終端以旁路部署的方式接入生產(chǎn)控制層中的核心交換機，采用流量鏡像、高效網(wǎng)絡包重組、流重組、協(xié)議解析、會話內(nèi)容識別的方法進行分析，在完全不影響現(xiàn)有系統(tǒng)的生產(chǎn)運行的前提下，發(fā)現(xiàn)異常設備和運行情況。在協(xié)議識別上，使用已建立的三維規(guī)則協(xié)議特征信息鏈表進行檢測，識別電力監(jiān)控系統(tǒng)工業(yè)控制協(xié)議。通過對原始數(shù)據(jù)的建模分析，深入挖掘異常信息。結合“回旋分析法”，從而有效發(fā)現(xiàn)和界定異常設備及風險操作， 進而開展有效的應急處置工作。

將所發(fā)現(xiàn)的病毒、木馬結合流量威脅發(fā)現(xiàn)結果進行了綜合分析。結合流量分析結果威脅的五元組信息，和本地數(shù)據(jù)取證時所獲取的端口、進程信息，標記風險進程同時進行進程文件反查定位惡意文件。

（2）設備可恢復性設計

考慮到在應急響應處置過程中可能出現(xiàn)的惡意軟件，以及應急處置設備的使用場景，為避免惡意軟件在下次使用時感染其他電力工控系統(tǒng)設備，對應急處置設備進行可恢復性設計。將設備磁盤進行分區(qū)，設為數(shù)據(jù)區(qū)與恢復區(qū)。數(shù)據(jù)區(qū)為設備工作應用，恢復區(qū)為初始備份且不可更改。在應急處置設備完成一次應急處置工作后，通過恢復區(qū)對數(shù)據(jù)區(qū)內(nèi)容進行替換，保障數(shù)據(jù)區(qū)安全性，從而達到保障設備高安全性的目的。

4 結語

綜上所述，針對電廠工控系統(tǒng)中的安全事件，結合電廠工控系統(tǒng)特點，建立一套有效的“平臺+制度+工具”的應急處置體系。以取證、分析、管理等手段，實現(xiàn)電廠工控網(wǎng)絡安全事件的應急處置過程的管理與操作指引，達到應急處置工作的實際落地目的。針對電力工控系統(tǒng)環(huán)境中實行應急處置的自動化程度低、操作難度大、可靠性不足等問題，使用本文所述方法可以得到很好解決。

作者簡介：

孟瑜煒（1983-），男，浙江紹興人，工程師，博士，現(xiàn)就職于浙江浙能技術研究院，研究方向是計算機科學與技術。

謝增孝（1971-），男，浙江天臺人，工程師，學士，現(xiàn)就職于浙江浙能中煤舟山煤電有限責任公司，主要從事火力發(fā)電廠設備管理工作。

劉軒驛（1992-），男，浙江衢州人，工程師，碩士，現(xiàn)就職于浙江浙能技術研究院，研究方向是信息安全及計算機應用。

俞榮棟（1981-），男，浙江杭州人，高級工程師，博士，現(xiàn)就職于浙江浙能技術研究院，研究方向是計算機科學與技術。

朱繼峰（1976-），男，浙江寧波人，高級工程師，碩士，現(xiàn)就職于浙江浙能中煤舟山煤電有限責任公司，研究方向是自動化。

張信情（1973-），女，浙江寧波人，工程師，現(xiàn)就職于浙江浙能中煤舟山煤電有限責任公司，研究方向是信息管理及網(wǎng)絡安全。

吳林峰（1988-），男，浙江樂清人，工程師，碩士，現(xiàn)就職于浙江浙能技術研究院，研究方向是工業(yè)信息化

參考文獻：

[1] 國家能源局.電力監(jiān)控系統(tǒng)安全防護專項監(jiān)管報告發(fā)布[EB/OL].http://www.nea.gov.cn/2017-05/03/c_136253418.htm,2017-05-03.

[2] 王功聰,王景中,王寶成.基于數(shù)據(jù)包內(nèi)容的網(wǎng)絡異常行為分析方法研究[J].信息網(wǎng)絡安全,2013,13(12):58–61.

[3] 中央信息網(wǎng)絡和信息化領導小組辦公室.中央網(wǎng)信辦關于印發(fā)《國家網(wǎng)絡網(wǎng)絡安全事件應急預案》的通知[EB/OL].http://www.cac.gov.cn/2017-06/27/c_1121220113.htm,2017-6-27.

[4] 湯奕,王琦,倪明,等.電力信息物理融合系統(tǒng)中的網(wǎng)絡攻擊分析[J].電力系統(tǒng)自動化,2016,40(6):148-151.

摘自《自動化博覽》2020年8月刊