行业背景

关键信息基础设施关系国计民生与社会稳定，对其进行入侵攻击容易造成巨大危害，产生显著影响。电网作为一种典型的工业控制系统，也是国家关键信息基础设施，一旦遭受攻击将可能造成电力安全生产事故，甚至引发大面积停电，后果非常严重。近年来爆发的伊朗“震网”事件、乌克兰大规模停电事件及今年爆发的比特币勒索病毒事件表明，能源、电力行业已成为网络攻击的重点目标。

近年来，随着电力工业控制系统采取分区分域和纵深防御策略，通过实施内外网安全隔离、电网生产大区与管理信息大区安全隔离等关键安全防护工程，系统安全防护体系逐渐得到完善。但是，随着工业控制系统和设备中新的漏洞、后门等脆弱性信息的发现和披露，电网工业控制系统面临更加隐蔽的、更加曲折的恶意攻击风险（例如APT）。

从总体上看，电力行业工业控制硬件安全问题长期得不到解决。过去几十年我国建立的大量电力基础设施、发电配电领域，基本是依靠使用国外装备和控制系统建立起来的。国外厂商设备普遍存在未知的漏洞以及可能存在的后门，一些领域的安全漏洞已经隐藏数年，成为国家安全的重大隐患。

从实际情况看，一是电力行业工业控制系统运行环境存在大量漏洞和隐患。二是电力行业工业控制网络安全标准不够完善。由于缺乏相关标准，不能适应基础设施建设和运营企业的安全需求，也严重阻碍了电力产业的技术创新和发展。

建设依据

        《中华人民共和国网络安全法》

        GBT22239-2019《信息安全技术网络安全等级保护基本要求》

        GB∕T 36047-2018 《电力信息系统安全检查规范》

        《电力行业信息系统安全等级保护基本要求》

传统的网络安全防护不能适应新的要求

针对关键信息基础设施（例如电网）尤其是针对工业控制系统（SCADA）的攻击越来越引人关注，由于关键信息基础设施通常具备较高的防护水平，因此攻击者往往采用APT攻击的方式来达到目的，APT攻击具备以下特点：

1)   高级：威胁背后的操纵者有能力进行全方位的情报收集。不仅包括通过计算机入侵获取信息，而且还可以扩展到传统的情报收集，如电话拦截技术和卫星成像技术。虽然攻击的个别手段可能无法被归类为特别“先进”，但操纵者通常可以根据需要开发更为先进的工具。他们经常结合多种方法、工具和技术，以保持接触和尝试并最终攻陷目标。

2)   持久：操纵者会执着的进行特定任务，而不是随机的搜索目标。这种区别意味着，操纵者会受到外部实体的指挥，通过持续检测和接触，以实现针对目标的任务。如果操纵者暂时无法取得进展，他们通常会不断的重新尝试，并最终取得成功，操纵者的目标之一是保持长期访问目标，而不是取得一次性的攻击机会。

3)   威胁：APT是一种威胁，因为它同时具备了能力和意图。APT攻击的关键在于协调人的行动，而不是盲目的执行自动化攻击。操纵者有明确的目标和动机，具备足够的技能、组织力和资金。

APT攻击使网络安全和现实环境中的安全一样引起了大型企业和政府组织的高度关注，因此建立一个基于网络安全攻击事件的态势感知平台迫在眉睫。

信息安全设备运维的要求

随着信息安全设备的不断增加，防火墙、入侵检测系统（IPS）、入侵扫描系统（IDS）、流量监控等安全设备的广泛使用， 网络结构越来越复杂；而且网络用户成份越来越多样化，引发的各种病毒和网络安全事件会越来越多。当前的网络管理已经不能满足需要，因为在通常情况下，每增加一款设备或应用，就需要一种新的工具来管理它，这样，网管人员需要管理和查看的设备、管理软件越来越多，但他们之中的每个又只能解决或查找其相关设备应用的问题，而不能够对网络的整体进行评估和管理，这样一方面造成网络管理成本居高不下，另一方面由于网络管理人员不能全面获取网络有效信息，在网络管理中只能充当“救火员”的角色。目前网内存在以下问题：

1)   如何防范网络故障和提高故障解决效率。

随着网络的复杂化与多元化，网络应用的不断加载，网络故障、间歇性网络问题发生的频率也随之逐级增高，如何对网络故障快速定位，找到故障发生的真正原因，是保障电力信息网持续可靠运行的关键。

2)   如何实现对网络、应用问题的责任划分。

电力信息网中运行着大量的服务和设备，一旦网络出现问题，需快速区分是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，问题解决效率迟缓。

3)   如何及时发现网络异常行为及新型病毒、木马和攻击，避免网络出现重大故障甚至瘫痪。

当遭受新型病毒、木马和攻击时，杀毒软件、IPS等被动防御设备往往束手无策，如何快速发现并确定攻击类型及攻击源头是保证电力信息网安全运行的关键。

4)   如何了解、分析业务系统的各种性能参数，协调网络资源的分配，保障业务系统的正常运行。

电力信息网中运行着大量的系统流程化管理业务如ERP、EAM、SCM，视频业务和语音业务等，要保障这些业务的高效运行，就需要对各种业务系统进行性能分析，如延迟、数据包分布、流量、利用率等，需要了解各条链路是否超支？在使用什么业务？是哪个用户在用？各种业务的流量特征是否与最初设计的策略一致？链路改造、设备升级是否达到预期效果？应用部门是否又上了新业务？新业务上线对网络和原有应用造成什么影响？并根据不同的网络状况协调网络资源的分配。

5)   如何对网络安全事件进行鉴定与取证。

如何对已经发生的故障或安全事件进行分析发现，并提供有效的证据，完善故障和安全处理机制。特别是网络或应用出现间歇性故障后，很难分析其产生的原因，而再次出现的时间无法确定，因此难以解决，这好像网络中存在一个不定时炸弹，使网络和应用时刻处于危险之中。

建设目标

为应对网络安全挑战，弥补传统防御手段的不足，需要构建一套主被动一体的防御体系，来应对已知威胁和未知威胁的攻击；另一方面，利用大数据、AI、UEBA等技术对安全设备产生日志的关联分析、深度分析更好地发现潜伏威胁，从而避免各个安全设备之间相互孤立的防御局面;另外，在某些特殊情况下，网络一旦发生安全事件，排查分析日志，人工关联分析，耗费大量精力，通过部署安全感知设备，将会大幅减少人力排查时间，而且排查更加全面、更加精确。

《网络安全法》和等保2.0，均已明确提出了要加强内网未知威胁的检测和通报预警工作，因此，日益迫切的信息系统安全、等级保护要求我司不断完善和升级网络整体安全性能。

建设原则

标准性原则：技术方案的设计与实施应依据国内或国际的相关标准进行；

规范性原则：服务提供商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

可控性原则：项目进度要与时间计划表的安排一致，保证甲方对于项目管理的可控性；

开放性：系统遵循各种IP网络国际标准和安全标准，有助于与其他系统的联运与协作；

可扩展性：系统设计时具备良好的扩展性，采用模块化设计，不同模块可以集中和分布部署，中心处理服务器根据规模可以部署多台等不同方式；

互操作性：系统提供与现有系统的接口，包括网管系统、安全系统、流量监控系统，推进和实现“集中管理、集中监控、集中派单、集中配置、集中支援”；

安全性：系统涉及整个IP网络的敏感信息，设计时充分考虑了管理数据的保密性、可用性、完整性的要求，对项目过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方网络的行为，否则甲方有权追究乙方的责任；

经济性：在设计方案时，要充分了解甲方现有网络结构及设备状况，再充分考虑利用现有网络和硬件设施的情况之下，考虑购置新设备；

重点部署、分布实施：安全系统工程是融合设备、技术、管理于一体的系统工程，需要全面考虑；同时，尽量考虑到涉及网络安全的重点因素，充分考虑可扩展性和可持续性，从解决眼前问题、夯实基础、建设整个体系等方面作好安全工作；

尽量减少对现有网络应用的影响：部署时要尽量减少对现有网络结构和应用系统的影响。同时也要充分考虑安全产品和现有网络结构、网络产品、网络应用的兼容性，保护网络建设的投资。

建设方案

态势感知对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，采用分布式、跨平台的统一智能化管理模式，对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全管控。主要基于“看清业务逻辑、看见潜在威胁、看懂安全风险、辅助分析决策”的思路进行设计实现的，态势感知系统整体逻辑架构如下：

业务逻辑

信息安全的核心目标是解决核心业务的安全、稳定运行，如果安全检测系统不了解信息系统的资产有哪些、业务逻辑关系如何，而是无论在哪一个网络中都复用同一套安全判断准则，那么它提供的检测能力显然是脱离实际的。所以态势感知系统解决的首要就是看清业务逻辑；对业务系统核心资产进行识别，梳理用户与资产的访问关系，对业务资产存在的脆弱性进行持续检测，及时发现业务上线以及更新产生的漏洞及安全隐患，通过业务识别引擎主动识别新增业务资产以及业务访问关系。

潜在威胁

信息安全是一个涉及多个领域的复杂问题，攻击者可能包括外部黑客、心怀不满的员工、以及内外勾结等各种情况，攻击途径更是包括了暴力攻击、社会工程学、恶意代码、APT、漏洞利用等等数百种不同手段。防御者需要全面监控，但攻击者只需要一点突破即可，如果没有系统的检测能力，即使别人告诉你被黑客攻击了，都找不出黑客是怎么攻击的。态势感知系统需要提供全面的威胁检测和分析能力。

对绕过边界防御的进入内网的攻击进行检测，弥补传统静态防御不足；对内部重要业务资产已发生的安全事件进行持续检测，第一时间发现已发生的安全事件；对内部用户、业务资产的异常行为进行持续的检测，发现潜在风险以降低可能的损失。

海量威胁情报关联，通过国内外权威情报库和云端安全分析平台强化新型威胁检测能力。

安全风险

信息安全系统除了需要能够及时发现问题外，还需要保障系统的易用性，确保网管人员能够方便快速的发现安全问题、了解影响范围、定位问题源头，提供响应的展示告警和分析举证服务。态势感知系统应提供安全事件分析告警和举证分析服务，提供基于系统业务逻辑的业务访问视图，安不安全、哪里不安全一目了然；失陷业务、风险用户和有效攻击等不同维度分析和展示安全风险，方便管理人员定位安全问题。

提供告警页面访问逻辑展示、主机威胁活动链分析、安全日志举证和查询服务，可以快速定位问题影响和源头，并进行响应的分析。

辅助分析决策

除了专业的威胁检测和风险分析效果，态势感知系统还应提供可视化的形式为用户呈现关键业务资产及针对关键业务资产的攻击与潜在威胁，并提供全网攻击监测、分支机构监管、风险外联监测等多个不同视角的大屏展示，提供对失陷业务和主机的报告导出和分析服务，为信息安全主管提供驾驶舱式的辅助决策服务。

预期效果

对象失陷风险感知

对象失陷的含义是相关主机、账号、网站等对象由于某些原因，如遭受鱼叉攻击或水坑攻击而被植入各类木马、勒索软件以及蠕虫等恶意程序，从而产生相应的异常行为，导致重要数据被泄漏、重要文件被加密等；严重还会在内网（包括工作网络或生产网络等）肆意传播（横向传播）最终造成企业相关重要信息资产（不仅指有形资产还包括无形资产）的损失。

一般而言对象的失陷会包含探测、植入、回传、横向传播、收集数据以及数据外穿等若干阶段，如果在其中任意一环发现问题，则能够防止损失，估象失陷风险的感知是聚铭安全态势感知与管控平台的核心内容，如下图所示：

外部攻击威胁感知

外部威胁是指有外网主机或系统对内网的主机或系统发起的网络攻击或可能的非法连接及探测。

网络攻击一般是指攻击者利用受害者主机或系统存在的一些缺陷/漏洞或者配置上的不足或者网络拓扑存在的问题，使用专用工具或手段对其进行探测、尝试、渗透，试图最终获得目标主机或系统的控制权，或者使受害者无法正常运行。

另外，可能的非法连接是指利用受害者主机或系统在某种情况下出现了不应暴露的端口，从而被非法入侵者所利用，如错误地将一些远程登录服务、数据库服务等暴露在公网环境。

聚铭安全态势感知与管控平台充分探知上述这些威胁，从而达到实时监控、实时处理的目的。

外连攻击威胁感知

外连威胁是指内网主机或系统对外网相关主机或系统发起的攻击或可疑连接，若存在此类威胁则说明内网主机可能存在失陷危险。

内网主机或系统的失陷原因可能存在多种可能，如因为从某些网站或服务器下载、安装了有害的程序或木马，或者被邮件钓鱼（如鱼叉攻击）诱使打开了危险邮件，或者插入移动介质而被感染了有害程序或木马，或者被内网其它主机所渗透而植入了有害程序；用户应特别重视此类危险；但也不排除内网有主机或系统主动发起了对外网的攻击。

从信息安全的角度而言，如果网络中出现外连攻击威胁，则其风险其实要较外部的攻击威胁更大，从而更应引起相关安全人员的注意。

内部互连攻击威胁感知

内部互连威胁是指有内网主机或系统对其它内网的主机或系统发起的网络攻击或可能的非法连接及探测。

内部互连攻击一般是指内网失陷主机对其它内网主机进行探测、尝试、渗透，试图最终获得目标主机或系统的控制权，从而在内网横向扩散、收集数据、破坏系统。

其中，有一类为可能的非法连接是指利用受害者主机或系统在某种情况下出现了不应暴露的端口，从而被非法入侵者所利用，如错误地开放一些不应打开的端口。

脆弱性感知

  脆弱性是一般是在部署时或运行时就自然存在于系统中的；系统运行的操作系统、应用软件均可能存在较为严重的脆弱性，另外错误或不当的配置也会造成系统存在脆弱性；对于高危的脆弱性，如“永恒之蓝”等应给予做够的重视。

聚铭安全态势感知与管控平台能够充分利用平台集成的相关工具对这些脆弱性进行主动的发现和提示，以防止用户由于不恰当的配置或者未能及时修补漏洞而造成的风险，从而导致出现口令被破解、漏洞（特别是网站资产）被利用等安全事件的发生。

故脆弱性的感知也是“主动安全”的重要一环，可以做到防患于未然。

云端综合安全感知

        云端综合安全感知可以实时采集监控指标，提供及时有效的安全告警、响应，通过云端预警功能，根据不同行业和资产的系统类型，对可能存在的威胁，云端下发安全预警，线下及时排查和进行相关的安全防护。

产品特点

大数据技术

集群 + 动态扩容

        系统采用大数据技术设计，支持集群方式部署，存储集群高可用，可以无限扩展存储节点，扩展存储空间，容灾能力强、具备自动发现集群设备、无需停机

采用业界标准技术

通过授权访问，既保障了数据不被厂商绑定，又保障了数据的安全性

大数据检索技术

         采用大数据全文检索技术，索引分布式存储，分布式并行查询，近自然语言，方便使用、快速发现问题

海量数据存储

不仅可存储各类日志信息，对于产生安全问题的原始数据包也能存储并下载

精准解析

• 利用网络流量分析探针，解析各类主流网络协议，如HTTP、DNS、SMTP等，对相关元数据可进行查询和分析，无需单独接入其它设备日志
• 开放的自有标准化语法解析器，灵活度高、精确度高、快速自定义标准化解析
• 内置了大量的标准化脚本，适应各类主流设备和系统的精确解析

精确分析

    关联场景：基于统计和基于关联

           1、基于统计包含：平均统计、方差统计，支持按天、按周统计

            2、基于关联包含：状态关联、时序关联、归并关联、筛选关联、端口关联

    多维度关联

           支持事件与基线关联分析、事件与漏洞关联分析、事件与事件关联分析

    智能行为分析

           对多方向网络连接数据及其它用户异常行为自动进行基线分析，无需配置

丰富展示

    1、丰富的图形化展示：仪表板、业务拓扑图
    2、用户自定义仪表板展现业务数据
    3、实时监控：便于发现异常、随时挖掘分析
    4、热图分布：追踪攻击来源，发现幕后黑手

完整的动态安全问题发现和防御体系

      1、系统可选内置网络流量探针，无需第三方提供网络攻击威胁数据接入支持

      2、系统内置漏洞扫描、基线检查等模块，主动检查，及时加固

              3、通过日志与漏洞等关联分析被动防御，发现威胁，抵御风险