电力关键基础设施中的工业互联网威胁感知技术及应用解决方案

一、案例概述

该案例应用企业是某电力关键基础设施集团所属的专业信息公司，该公司承担着集团公司骨干信息网的建设运营和管理任务，以及信息相关技术研发与产业化相关任务，具备多年信息化研发和建设的经验和资源，在不断满足集团公司信息化建设需求的基础上，面向社会提供信息化服务能力。

但是随着数字化转型的逐步推进，该电力关键基础设施面临传统业务和新型互联网业务并存，工业互联网安全形势日益严峻，未知安全威胁远大于已知安全漏洞等问题。在工业互联网安全设备层面，现有网络边界设备性能难以适应广泛联接、快速交互的业务需求。工业互联网边界防御层面，各种形态终端设备与公司网络和数据交互联通，接触面更广、互动度更深，边界更加模糊，带来新的安全隐患更多。此外，在电力公司总部和各厂站的安全技术方面，工业数据安全防护难度和复杂度越来越高，网络攻击手段和技术快速迭代更新、网络攻击隐蔽复杂，防御较为被动，态势感知能力的提升成为该电力企业网络安全重点建设内容。

微步在线提供的解决方案可以通过收集各类设备日志、用户行为数据以及脆弱性和漏洞相关信息，从威胁事件和具有上下文信息的数据源中收集和分析安全事件，指导安全团队和设备进行响应，并可视化呈现整个企业的安全趋势和态势。

二、需求分析

(一)行业背景及痛点问题

随着网络环境复杂化及攻击手段多样化演变，传统的工业安全解决方案已不能满足当前的防护需求。特别是在电力行业关键基础设施中，突出的痛点表现为总部与各厂站的统一安全防护协同困难、不能聚集真实威胁造成误报频发、工业信息安全系统老旧不易升级等问题。工业互联网威胁态势呈现复杂化、隐蔽化、特定目标化趋势，整体安全防护愈加困难。

(二)客户现存问题

作为电力企业，该客户易受APT组织攻击，且集团拥有下属成员单位30余家、数百个电力厂站分支，电力基础设施易遭受的攻击面大大增加，辖属分支机构甚至没有独立的网络安全岗位，难以应对攻击者的海量多样化攻击。此外，客户虽已建设横向隔离、纵向加密、工业防火墙、防病毒等传统网络安全防护系统，但缺少有效快速的精准筛查和溯源分析手段，无法从海量的“噪音”中筛选出真实的高危告警。

(三)实施目标

电力关基中的工业互联网威胁感知技术及应用解决方案，通过对南北向、东西向流量的全方位监控和高级威胁检测，实现对多个工控区域威胁的告警汇聚和态势感知。方案对监测的威胁事件进行威胁情报分析、流量回溯、事件关联、终端取证定位和拓线分析，完整发现攻击路径并定位失陷主机，缩短响应时间，准确进行恶意连接阻断，实现总部与厂站在检测、分析、响应、处置各环节的闭环，降低工业互联网安全风险。

三、建设内容

(一)设计理念及技术指标

围绕“工业互联网服务实战安全”的核心，微步在线采用的总体设计理念是“洞悉流量、聚焦威胁、融合情报、一站解决”，即通过流量全面梳理该电力关基设施中的工业互联网资产攻击面和风险，针对工业互联网研发威胁模块聚集真实的安全威胁，有效应用数亿级的网络基础数据和可达99.99%准确度的威胁情报生产能力，一站式解决工业互联网总部与各厂站的安全防护协同问题。

(二)建设方案

部署在工业互联网流量旁路出入口的TDP设备，在检测到威胁流量时主动发出连接重置数据包，破坏受威胁主机与攻击者的网络连接，在不改变网络拓扑架构的情况下，对恶意连接进行有效阻断。可将检出的恶意网络资产IP等信息定期同步给边界第三方工业防火墙设备，可进行工业互联网终端取证及可控范围内的数据共享，可有效进行攻击链路及事件还原，强化总部与各厂站之间的联动安全防护效果。

通过梳理工业互联网资产，实现级联检测联防联控牵动总部与各厂站协同防护，围绕工业互联网特征进行告警事件智能聚合和拓线溯源分析，针对攻击者手段特征实现自动阻断和联动处置。

图1 威胁感知及攻击溯源分析

四、应用效果

TDP设备完全满足工业互联网态感平台检测标准，在电力关键基础设施中采用6台TDP部署于不同厂站单位及集团总部作为威胁感知节点，实现覆盖信息管理大区全流量威胁检测，准确快速地发现、定位并阻断钓鱼、渗透等各类攻击，并于数据中心侧部署威胁感知总控平台，通过级联部署的方式实现安全态势总览和威胁情报数据共享，进而提升集团公司、数据中心及下属成员单位的整体防护协同能力，帮助关键信息基础设施单位提升定位、取证、处置、分析与溯源的能力。

图2 部署于集团总部及各厂站的威胁感知平台

在该案例中，通过TDP设备共发现近29万次攻击事件，累计上报封禁攻击IP 569个。其中具体事件包括SQL注入、扫描黑客Webshell后门、XSS攻击、NMAP扫描、ThinkCMF 任意内容包含漏洞、PHP代码执行攻击、撞库攻击等;通过TDP设备共发现内网失陷主机数百台;分析师团队累计提供溯源分析8次，其中钓鱼邮件分析2次，1次成功溯源锁定攻击者身份，DDOS事件1次;累计提供重要外部情报10次，涉及1627 个IP。

五、案例亮点及创新点

(一)突破了工业互联网安全流量检测产品误报率瓶颈。

应用在某电力关键基础设施企业总部及各电力厂站的全流量威胁感知设备，对于各类安全威胁的误报率小于0.03%，优于行业内的国际先进水平(美国安全厂商的误报率为1%-3%)，该案例一举突破了工业安全领域流量检测产品误报率的瓶颈。

(二)在工业互联网总部与厂站间利用先进的威胁情报内核进行协同防护。

该案例在总部和各电力厂站部署的TDP设备，均内置了全网领先的威胁情报内核，通过多年积累的95万条有效失陷情报数据，使情报准确率能够达到99.99%，并且可以将相关可疑日志上传到总部中心侧进行协同研判，由安全响应专家综合不同厂站的可疑告警进行深度分析，确定真实攻击和威胁，将研判结果回传到各厂站的TDP设备，辅以人工智能的学习分析，使协同防护更加有效。

(三)通过全面的攻击面梳理提供针对工业互联网领域的黑客画像。

该案例的TDP设备植入了独创的黑客画像功能，不仅能够通过流量对工业互联网攻击面进行全面梳理，从攻击者视角审视所有可能的厂站攻击入口，而且能够将各厂站受到的攻击行为和告警日志进行聚合关联分析，提取黑客各种特征并以可视化形式展现给电力集团信息公司总部，让总部安全管理团队能清晰了解不同黑客组织的行为和特征，有针对性地进行研判和防守。