江都水利樞紐工控系統(tǒng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)設(shè)計(jì)

李景奇，孟 俊，黃 晉，張偉建，王 軍，張玉倩

（1.河海大學(xué)網(wǎng)絡(luò)安全與信息化辦公室，江蘇 南京 210024；2.江蘇省江都水利工程管理處，江蘇 揚(yáng)州 225200 3.南京南瑞水利水電科技有限公司，江蘇 南京 210000）

1 概 述

水利工控系統(tǒng)對(duì)水利工程管理和實(shí)際應(yīng)用具有重要作用，水利關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)水利行業(yè)領(lǐng)域產(chǎn)生至關(guān)重要影響，是國家網(wǎng)絡(luò)安全重點(diǎn)保護(hù)的對(duì)象，水利工控系統(tǒng)即是水利關(guān)鍵信息基礎(chǔ)設(shè)施之一。本文以江都水利樞紐為例，對(duì)水利工控系統(tǒng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)開展研究。

目前，水利網(wǎng)絡(luò)安全方面仍存在問題，如網(wǎng)絡(luò)安全管理制度不健全，網(wǎng)絡(luò)安全防護(hù)措施不完備等，特別是水利工控系統(tǒng)缺少網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)規(guī)范，而水利工控系統(tǒng)的封閉性及其與互聯(lián)網(wǎng)物理隔離的特殊性，容易造成工作人員存有“物理隔離就絕對(duì)安全”“有防火墻，就不存在網(wǎng)絡(luò)安全問題”等錯(cuò)誤認(rèn)識(shí)，這種網(wǎng)絡(luò)安全意識(shí)容易造成水利工控系統(tǒng)的安全防范疏忽。從技術(shù)方面看，水利工控系統(tǒng)存在網(wǎng)絡(luò)安全設(shè)備不足、技術(shù)防范手段欠缺的問題，如水利辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)沒有進(jìn)行物理隔離、數(shù)據(jù)交換關(guān)鍵路徑缺少防火墻或網(wǎng)閘、常用的入侵檢測(cè)和漏洞掃描系統(tǒng)不能經(jīng)常檢測(cè)工控網(wǎng)絡(luò)、對(duì)關(guān)鍵主機(jī)和終端沒有有效保護(hù)、缺乏有效的監(jiān)視手段、無法監(jiān)控工作人員的安全風(fēng)險(xiǎn)等［1-3］。

2 網(wǎng)絡(luò)安全需求及特點(diǎn)分析

傳統(tǒng)的網(wǎng)絡(luò)安全防御手段包括防火墻、入侵防御、安全審計(jì)等，主要基于已知威脅進(jìn)行檢測(cè)和安全處置，但對(duì)外部網(wǎng)絡(luò)安全形勢(shì)、內(nèi)部網(wǎng)絡(luò)安全威脅缺乏有效評(píng)估?，F(xiàn)代信息技術(shù)的發(fā)展和應(yīng)用越來越廣泛，相應(yīng)的網(wǎng)絡(luò)攻擊收益越來越多，網(wǎng)絡(luò)攻擊行為技術(shù)手段也越來越強(qiáng)、越來越隱蔽。盡早發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，防患于未然，是抵御網(wǎng)絡(luò)攻擊的最直接方法。網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)也受到越來越多的關(guān)注。

2.1 網(wǎng)絡(luò)態(tài)勢(shì)感知需求

網(wǎng)絡(luò)安全態(tài)勢(shì)感知需要把所有可獲取的數(shù)據(jù)進(jìn)行綜合分析，并對(duì)網(wǎng)絡(luò)的安全態(tài)勢(shì)進(jìn)行評(píng)估，快速響應(yīng)提供網(wǎng)絡(luò)安全處置決策依據(jù)，將風(fēng)險(xiǎn)和損失降到最低。因此，水利工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知對(duì)提高工控網(wǎng)絡(luò)的監(jiān)控能力、應(yīng)急響應(yīng)能力和預(yù)測(cè)網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)等具有重要意義。

2.2 網(wǎng)絡(luò)安全特點(diǎn)分析

與水利辦公系統(tǒng)網(wǎng)絡(luò)相比，水利工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)簡單，但實(shí)時(shí)性要求高，以水利工程設(shè)備過程控制為主，主要通過控制終端PLC 設(shè)備，實(shí)現(xiàn)調(diào)水目標(biāo)。水利辦公系統(tǒng)網(wǎng)絡(luò)符合通用網(wǎng)絡(luò)安全防御范疇，但水利工控系統(tǒng)網(wǎng)絡(luò)具有行業(yè)網(wǎng)絡(luò)防御特點(diǎn)。

根據(jù)網(wǎng)絡(luò)攻擊的一般過程和水利工控系統(tǒng)網(wǎng)絡(luò)安全場(chǎng)景特點(diǎn)，水利工控系統(tǒng)網(wǎng)絡(luò)攻擊可能的手段和過程一般包括：（1）對(duì)辦公網(wǎng)WEB 服務(wù)器的探測(cè)和攻擊；（2）對(duì)水利工控系統(tǒng)操縱終端進(jìn)行社會(huì)工程化攻擊；（3）通過暴力破解等方式，突破VPN等安全設(shè)備對(duì)操作終端的限制，從而完成對(duì)水利工控系統(tǒng)的攻擊［4］。水利工控系統(tǒng)網(wǎng)絡(luò)攻擊過程如圖1所示。

圖1 水利工控系統(tǒng)網(wǎng)絡(luò)安全攻擊示意圖

為防范網(wǎng)絡(luò)攻擊，根據(jù)水利工控系統(tǒng)攻擊過程及特點(diǎn)，需要在辦公網(wǎng)絡(luò)和工控網(wǎng)絡(luò)中部署日志采集設(shè)備和網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，采集網(wǎng)絡(luò)攻擊日志，基于系統(tǒng)安全規(guī)則，進(jìn)行系統(tǒng)安全評(píng)估，并通過安全態(tài)勢(shì)感知平臺(tái)展現(xiàn)，實(shí)現(xiàn)對(duì)水利工控系統(tǒng)安全態(tài)勢(shì)的觀察和理解。

3 江都水利樞紐工控系統(tǒng)網(wǎng)絡(luò)安全總體架構(gòu)

根據(jù)江都水利樞紐對(duì)網(wǎng)絡(luò)安全的總要求，緊密圍繞辦公網(wǎng)和工控網(wǎng)網(wǎng)絡(luò)安全的現(xiàn)實(shí)需求和“十四五”國家信息化規(guī)劃，充分考慮江都水利樞紐未來業(yè)務(wù)發(fā)展、技術(shù)發(fā)展和能力發(fā)展所面臨的一系列安全風(fēng)險(xiǎn)威脅，以網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、網(wǎng)絡(luò)安全等級(jí)保護(hù)以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)等法規(guī)要求為統(tǒng)攬，按照“一體化、集約化、運(yùn)營化、專業(yè)化、數(shù)字化和服務(wù)化”的發(fā)展思路，在保障安全合規(guī)的同時(shí)，提升江都水利樞紐未來5年引入新業(yè)態(tài)、新技術(shù)帶來的安全風(fēng)險(xiǎn)應(yīng)對(duì)能力，以安全大數(shù)據(jù)為安全智能底座，以網(wǎng)絡(luò)安全等級(jí)保護(hù)合規(guī)為基礎(chǔ)、以安全能力建設(shè)為核心、以安全運(yùn)營體系建設(shè)為抓手，建立全域覆蓋、立體綜合的江都水利樞紐網(wǎng)絡(luò)安全技術(shù)體系和運(yùn)營體系，打通江都水利樞紐網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、運(yùn)維保障、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)的運(yùn)營流程，提高網(wǎng)絡(luò)安全數(shù)據(jù)治理能力、數(shù)據(jù)安全管控和安全服務(wù)水平，實(shí)現(xiàn)“事前風(fēng)險(xiǎn)評(píng)估、事中安全防護(hù)、事后應(yīng)急響應(yīng)”的縱深防御體系，實(shí)現(xiàn)網(wǎng)絡(luò)安全從被動(dòng)向主動(dòng)、從靜態(tài)到動(dòng)態(tài)、從事后到事前、從分散到集約的轉(zhuǎn)變，全時(shí)域保障江都水利樞紐網(wǎng)絡(luò)信息系統(tǒng)和數(shù)據(jù)安全可靠，發(fā)現(xiàn)和阻斷已知網(wǎng)絡(luò)攻擊和未知入侵滲透，防范來自外部和內(nèi)部多類型攻擊和數(shù)據(jù)盜取行為，推動(dòng)江都水利樞紐網(wǎng)絡(luò)安全發(fā)展達(dá)到新高度。

江都水利樞紐按照國家對(duì)水利關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全要求，從技術(shù)和管理2 個(gè)方面進(jìn)行頂層設(shè)計(jì)和應(yīng)用實(shí)踐，設(shè)計(jì)了江都水利樞紐網(wǎng)絡(luò)安全總體框架。如圖2 所示，江都水利樞紐工控系統(tǒng)網(wǎng)絡(luò)安全總體框架由管理制度、態(tài)勢(shì)感知平臺(tái)、運(yùn)營中心構(gòu)成，管理制度和運(yùn)營中心從制度和實(shí)施2 個(gè)層面對(duì)網(wǎng)絡(luò)安全的日常管理和運(yùn)營提出具體要求，而核心是網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)。網(wǎng)絡(luò)態(tài)勢(shì)感知平臺(tái)基于OODA模型，從底層各類網(wǎng)絡(luò)安全設(shè)備上采集數(shù)據(jù)，通過大數(shù)據(jù)平臺(tái)進(jìn)行歸類和分析，構(gòu)建網(wǎng)絡(luò)安全模型，快速呈現(xiàn)網(wǎng)絡(luò)安全態(tài)勢(shì)。維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候會(huì)發(fā)生風(fēng)險(xiǎn)。這些態(tài)勢(shì)能夠感知到后，具體的風(fēng)險(xiǎn)處置則可以根據(jù)風(fēng)險(xiǎn)等級(jí)進(jìn)行相應(yīng)處理。

圖2 江都水利樞紐工控系統(tǒng)網(wǎng)絡(luò)安全體系

4 網(wǎng)絡(luò)安全管理能力建設(shè)

江都水利樞紐網(wǎng)絡(luò)安全管理體系對(duì)標(biāo)《網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0》及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，結(jié)合國家網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)進(jìn)行要求。明確網(wǎng)絡(luò)安全管理機(jī)構(gòu)、運(yùn)營機(jī)構(gòu)、業(yè)務(wù)主管部門和用戶等各方的安全職責(zé)，堅(jiān)持“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)”的原則，各級(jí)單位分別做好所轄范圍的網(wǎng)絡(luò)安全工作，定期對(duì)各信息系統(tǒng)進(jìn)行自查及抽查檢測(cè)，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行檢測(cè)評(píng)估；定期開展網(wǎng)絡(luò)安全應(yīng)急演練，提高應(yīng)對(duì)網(wǎng)絡(luò)安全事件的水平和協(xié)同配合能力；加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)，不斷提升網(wǎng)絡(luò)安全意識(shí)和網(wǎng)絡(luò)安全事件的應(yīng)急處置能力；促進(jìn)相關(guān)部門與網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)之間的網(wǎng)絡(luò)安全信息共享。

4.1 網(wǎng)絡(luò)安全能力建設(shè)

通過部署各類網(wǎng)絡(luò)安全設(shè)備，打通現(xiàn)有安全體系的認(rèn)證、授權(quán)，實(shí)現(xiàn)各類網(wǎng)絡(luò)安全設(shè)備的統(tǒng)一管理。建立網(wǎng)絡(luò)安全服務(wù)目錄，所有服務(wù)建立統(tǒng)一標(biāo)準(zhǔn)，實(shí)現(xiàn)統(tǒng)一注冊(cè)、統(tǒng)一接口、統(tǒng)一調(diào)度。所有網(wǎng)絡(luò)安全能力統(tǒng)一認(rèn)證、授權(quán)，并與具體的安全執(zhí)行組件、防護(hù)設(shè)備進(jìn)行連接，實(shí)現(xiàn)對(duì)安全組件的編排和控制、運(yùn)維等。

4.2 數(shù)據(jù)安全能力建設(shè)

從數(shù)據(jù)安全梳理、數(shù)據(jù)風(fēng)險(xiǎn)核查、數(shù)據(jù)安全監(jiān)控、數(shù)據(jù)安全防護(hù)等各個(gè)維度提高江都水利樞紐的數(shù)據(jù)安全能力，進(jìn)行數(shù)據(jù)資產(chǎn)價(jià)值評(píng)估、數(shù)據(jù)資產(chǎn)弱點(diǎn)評(píng)估、數(shù)據(jù)資產(chǎn)威脅評(píng)估，結(jié)合組織、制度、場(chǎng)景、技術(shù)、人員等，自上而下構(gòu)建立體化的數(shù)據(jù)安全防護(hù)體系。

4.3 運(yùn)營安全能力建設(shè)

網(wǎng)絡(luò)安全運(yùn)營中心是水利樞紐信息化建設(shè)、安全運(yùn)營體系的核心平臺(tái)。網(wǎng)絡(luò)安全運(yùn)營中心遵循“分層解耦、異構(gòu)兼容”的原則，將安全能力和安全運(yùn)營進(jìn)行資源整合和智能聯(lián)動(dòng)，有效優(yōu)化安全資源，強(qiáng)化風(fēng)險(xiǎn)防控能力，提升網(wǎng)絡(luò)預(yù)警處置能力，打通工作協(xié)同機(jī)制，配合江都水利樞紐規(guī)范安全度量框架，保證業(yè)務(wù)系統(tǒng)的運(yùn)行，及時(shí)掌握整體態(tài)勢(shì)，切實(shí)保障水利樞紐工控系統(tǒng)的安全運(yùn)行。

5 網(wǎng)絡(luò)安全技術(shù)能力建設(shè)

水利工控系統(tǒng)網(wǎng)絡(luò)安全關(guān)鍵技術(shù)包括水利工控系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知能力、威脅情報(bào)能力及網(wǎng)絡(luò)安全管理平臺(tái)設(shè)計(jì)。

5.1 網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)

水利網(wǎng)絡(luò)安全面臨的最大問題是如何快速、有效地感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并處置網(wǎng)絡(luò)安全事件。網(wǎng)絡(luò)安全威脅情報(bào)，且事件類型多樣、數(shù)量巨大，網(wǎng)絡(luò)安全人員如何從海量網(wǎng)絡(luò)攻擊日志中篩選并快速判斷出水利工控系統(tǒng)的網(wǎng)絡(luò)安全問題，從而進(jìn)行針對(duì)性處置，是現(xiàn)在面臨的最急迫、最需要解決的問題。

水利工控系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)（Water Conservancy Industrial Control System Network Security Situation Awareness Platform，WCICS-NSSA）［5］分為數(shù)據(jù)來源、數(shù)據(jù)采集及預(yù)處理、態(tài)勢(shì)數(shù)據(jù)計(jì)算和存儲(chǔ)、態(tài)勢(shì)數(shù)據(jù)理解和態(tài)勢(shì)呈現(xiàn)5 個(gè)層次。數(shù)據(jù)來源包括水利工控系統(tǒng)網(wǎng)絡(luò)中的各類網(wǎng)絡(luò)安全設(shè)備中存儲(chǔ)的各類數(shù)據(jù)，如防火墻、入侵檢測(cè)系統(tǒng)、防病毒、流量控制、日志審計(jì)等系統(tǒng)存儲(chǔ)的各類數(shù)據(jù)，這些數(shù)據(jù)既有網(wǎng)絡(luò)攻擊日志，又有工作人員的操作日志。數(shù)據(jù)采集和預(yù)處理是指通過ETL 工具或syslog方法采集各類安全設(shè)備數(shù)據(jù)，并進(jìn)行數(shù)據(jù)預(yù)處理，然后通過大數(shù)據(jù)平臺(tái)，自動(dòng)呈現(xiàn)各類網(wǎng)絡(luò)安全設(shè)備（防火墻、入侵檢測(cè)系統(tǒng)等）的運(yùn)行狀況，并對(duì)有效數(shù)據(jù)和結(jié)果進(jìn)行分類存儲(chǔ)。態(tài)勢(shì)數(shù)據(jù)理解需要通過模式識(shí)別、關(guān)聯(lián)分析等技術(shù)手段，把數(shù)據(jù)轉(zhuǎn)化為更易于理解、更符合認(rèn)知的網(wǎng)絡(luò)安全防護(hù)報(bào)告。態(tài)勢(shì)呈現(xiàn)有利于網(wǎng)絡(luò)安全人員直接感知，呈現(xiàn)內(nèi)容包括水利工控系統(tǒng)網(wǎng)絡(luò)攻擊態(tài)勢(shì)、威脅情報(bào)態(tài)勢(shì)、資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)、安全處置態(tài)勢(shì)4個(gè)部分，實(shí)現(xiàn)對(duì)水利工控網(wǎng)絡(luò)安全的總體感知和預(yù)警。

當(dāng)前網(wǎng)絡(luò)安全態(tài)勢(shì)感技術(shù)發(fā)展迅速，與流域數(shù)字孿生技術(shù)相結(jié)合，成為水利信息化工作的重要一環(huán)。

5.2 網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控

WCICS-NSSA 從安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)中采集網(wǎng)絡(luò)攻擊數(shù)據(jù)和用戶行為數(shù)據(jù)，形成網(wǎng)絡(luò)安全大數(shù)據(jù)。基于網(wǎng)絡(luò)安全大數(shù)據(jù)的分析，WCICS-NSSA 形成網(wǎng)絡(luò)攻擊的態(tài)勢(shì)圖，方便網(wǎng)絡(luò)安全人員直觀觀察、分析和處置。網(wǎng)絡(luò)安全最大的風(fēng)險(xiǎn)是不知道風(fēng)險(xiǎn)在哪里，而通過WCICSNSSA監(jiān)控技術(shù)，把不可觀的網(wǎng)絡(luò)攻擊行為抽象化，形成可視化的、圖像化的網(wǎng)絡(luò)攻擊態(tài)勢(shì)圖。

WCICS-NSSA 威脅情報(bào)態(tài)勢(shì)內(nèi)容包括水利行業(yè)網(wǎng)絡(luò)安全威脅、工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、水利網(wǎng)絡(luò)安全知識(shí)圖譜、水利網(wǎng)絡(luò)安全知識(shí)管理。水利行業(yè)網(wǎng)絡(luò)安全威脅數(shù)據(jù)可以直接從外部網(wǎng)絡(luò)安全公共平臺(tái)抓取或采集，可以作為安全威脅趨勢(shì)的感知。工控系統(tǒng)內(nèi)部網(wǎng)絡(luò)安全風(fēng)險(xiǎn)數(shù)據(jù)主要通過網(wǎng)絡(luò)安全事件處置情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告和定期的網(wǎng)絡(luò)安全測(cè)評(píng)獲得。水利網(wǎng)絡(luò)安全知識(shí)圖譜通過網(wǎng)絡(luò)安全日志、安全事件，攻擊源和攻擊對(duì)象之間的關(guān)系及攻擊態(tài)勢(shì)進(jìn)行關(guān)聯(lián)分析，形成知識(shí)圖譜。知識(shí)圖譜有利于逐步形成水利網(wǎng)絡(luò)安全全景關(guān)系圖，提高水利網(wǎng)絡(luò)安全攻擊趨勢(shì)的預(yù)測(cè)。水利網(wǎng)絡(luò)安全知識(shí)管理則是將相應(yīng)的網(wǎng)絡(luò)安全處置方法、處置的過程進(jìn)行記錄，為后續(xù)的網(wǎng)絡(luò)安全處置和網(wǎng)絡(luò)安全分析提供相關(guān)的經(jīng)驗(yàn)和技巧。WCICS-NSSA 威脅情報(bào)態(tài)勢(shì)，通過大數(shù)據(jù)分析技術(shù)，結(jié)合水利工控系統(tǒng)資產(chǎn)信息，分析研判水利工控系統(tǒng)網(wǎng)絡(luò)安全狀態(tài)和形勢(shì)，并及時(shí)發(fā)布預(yù)警信息［6］。

WCICS-NSSA 資產(chǎn)風(fēng)險(xiǎn)態(tài)勢(shì)通過對(duì)水利工控系統(tǒng)的網(wǎng)絡(luò)設(shè)備、服務(wù)器的軟硬件資源評(píng)估，明確各類資產(chǎn)的重要性、威脅情況、脆弱性、供應(yīng)鏈安全等，進(jìn)行信息資產(chǎn)的分級(jí)分類，定義各類資產(chǎn)的安全等級(jí)。網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控的關(guān)鍵是厘清監(jiān)控的對(duì)象的范圍及風(fēng)險(xiǎn)等級(jí)。信息資產(chǎn)可以根據(jù)受到攻擊后可能帶來的資產(chǎn)損失來確定資產(chǎn)的價(jià)值，也可以按評(píng)分量表進(jìn)行打分來相對(duì)評(píng)估。因此，網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)控包括：（1）確立信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)；（2）確定相應(yīng)等級(jí)的網(wǎng)絡(luò)安全保障策略；（3）確定相應(yīng)等級(jí)的網(wǎng)絡(luò)安全處理方式。水利工控系統(tǒng)監(jiān)控信息通過網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)展現(xiàn)，并能充分被網(wǎng)絡(luò)安全管理員、業(yè)務(wù)管理員和系統(tǒng)管理員共享。

WCICS-NSSA 的信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估的關(guān)鍵要素包括威脅程度、資產(chǎn)脆弱度、資產(chǎn)價(jià)值、供應(yīng)鏈風(fēng)險(xiǎn)程度、運(yùn)維制度缺失度等［7-8］。水利工控系統(tǒng)信息資產(chǎn)風(fēng)險(xiǎn)評(píng)估如式（1）如示。

R=f（A，T，V，C，M） （1）式中：R為風(fēng)險(xiǎn)評(píng)估值，A為資產(chǎn)價(jià)值，T為威脅指數(shù)，V為脆弱性指數(shù)，C為供應(yīng)鏈風(fēng)險(xiǎn)指數(shù)，M為運(yùn)維制度缺失度。所有指標(biāo)都與評(píng)估值成正比，指標(biāo)越高，風(fēng)險(xiǎn)評(píng)估值越高。因此應(yīng)采取的安全保護(hù)措施等級(jí)就越高。這5 項(xiàng)因素以量表的形式進(jìn)行評(píng)估，各項(xiàng)之間進(jìn)行加總來計(jì)算分值。資產(chǎn)價(jià)值主要考慮該資產(chǎn)的價(jià)格、功能、用途。威脅指數(shù)主要考慮外部攻擊的頻次和攻擊強(qiáng)度。脆弱性指數(shù)主要考慮信息設(shè)備本身的漏洞、密碼等內(nèi)部全性問題。供應(yīng)鏈風(fēng)險(xiǎn)指數(shù)從供應(yīng)鏈的角度來評(píng)估供應(yīng)商的能力及供應(yīng)產(chǎn)品的可替代程度。不可替代設(shè)備的風(fēng)險(xiǎn)度明顯會(huì)高于可替代設(shè)備。運(yùn)維制度缺失度主要考察工控系統(tǒng)設(shè)備的各項(xiàng)運(yùn)維制度是否齊全，能否做到按時(shí)維修、巡檢等。

5.3 網(wǎng)絡(luò)安全事件處置

網(wǎng)絡(luò)安全事件處置的關(guān)鍵是如何高效完成對(duì)網(wǎng)絡(luò)安全事件的處理，減少受攻擊時(shí)間，減少對(duì)水利工控系統(tǒng)的影響。對(duì)此，WCICS-NSSA 從3 個(gè)方面來支持網(wǎng)絡(luò)安全事件處置工作：一是呈現(xiàn)安全處置態(tài)勢(shì)，直觀展示網(wǎng)絡(luò)安全風(fēng)險(xiǎn)處置情況；二是支持處置流程及其監(jiān)督處置進(jìn)展；三是支持對(duì)網(wǎng)絡(luò)安全事件處置的評(píng)估，并形成知識(shí)經(jīng)驗(yàn)。在水利工程工控系統(tǒng)中，一般會(huì)通過“鏡像”方式捕獲并分析水利工控網(wǎng)絡(luò)和設(shè)備運(yùn)行數(shù)據(jù)，同時(shí)監(jiān)測(cè)通信行為、控制指令、網(wǎng)絡(luò)流量的異常，辨別惡意代碼傳播、網(wǎng)絡(luò)掃描滲透等行為，感知水利工控網(wǎng)絡(luò)安全態(tài)勢(shì)。而對(duì)水利工控系統(tǒng)終端，可以通過安全配置、端口綁定等各種方式對(duì)系統(tǒng)終端進(jìn)行加固［9］。

基于WCICS-NSSA 的網(wǎng)絡(luò)安全處置流程包括：（1）防火墻設(shè)備根據(jù)設(shè)定的閾值進(jìn)行自動(dòng)處置，當(dāng)感知到攻擊時(shí)，網(wǎng)絡(luò)安全設(shè)備第一時(shí)間進(jìn)行阻斷；（2）人工復(fù)核，由網(wǎng)絡(luò)安全人員確認(rèn)網(wǎng)絡(luò)安全事件等級(jí)；（3）通報(bào)網(wǎng)絡(luò)安全事件，及時(shí)通過短信、微信、郵件等途徑，督促業(yè)務(wù)部門進(jìn)行處置，把安全的情況自動(dòng)發(fā)送給網(wǎng)絡(luò)安全人員；（4）形成處置報(bào)告，將處置的方法形成知識(shí)文檔，作為網(wǎng)絡(luò)安全知識(shí)管理的重要內(nèi)容加以保存，為其他網(wǎng)絡(luò)安全事件處置提供經(jīng)驗(yàn)支持。

對(duì)于網(wǎng)絡(luò)安全事件處置，根據(jù)“OODA環(huán)”，安全事件從感知到分析到?jīng)Q策再到處置，是一個(gè)較長的過程，如何達(dá)到時(shí)間最短、結(jié)果最優(yōu)，是實(shí)際處理工作中迫切需要解決的問題，其中最主要的是能對(duì)安全攻擊進(jìn)行快速阻斷，這需要安全設(shè)備能夠支持網(wǎng)絡(luò)攻擊熔斷技術(shù)，其關(guān)鍵在于：（1）如何快速識(shí)別網(wǎng)絡(luò)安全事件。目前主要基于特征值，如應(yīng)用防火墻，可直接阻斷攻擊；（2）如何立即處置安全攻擊，拒絕訪問。對(duì)于防火墻而言，網(wǎng)絡(luò)攻擊的識(shí)別方法需要有明確并可執(zhí)行的規(guī)則，而最簡單最快捷的規(guī)則就是訪問次數(shù)。因此，WCICS-NSSA 選擇訪問次數(shù)為網(wǎng)絡(luò)攻擊熔斷的關(guān)鍵指標(biāo)。在網(wǎng)絡(luò)攻擊事件處置可以通過分析網(wǎng)絡(luò)安全大數(shù)據(jù)，然后發(fā)送一鍵斷網(wǎng)指令到防火墻設(shè)備，由防火墻來實(shí)施攻擊攔截。而如何測(cè)算網(wǎng)絡(luò)訪問量達(dá)到多大才是攻擊，需要通過對(duì)資產(chǎn)對(duì)象的了解和一定的算法來實(shí)現(xiàn)。自適應(yīng)熔斷算法通過計(jì)算訪問次數(shù)，采取隨攻擊數(shù)量而逐步增加拒絕該源地址訪問鏈接的概率，直到應(yīng)用完全不通訪問，達(dá)到應(yīng)急網(wǎng)絡(luò)安全防范的目的。當(dāng)訪問量下降，防火墻自動(dòng)逐步恢復(fù)接受訪問鏈接。

當(dāng)前防火墻都具備根據(jù)訪問量自動(dòng)丟包的功能，但還需要根據(jù)水利工控系統(tǒng)的訪問量和訪問范圍，制定更有針對(duì)性的訪問規(guī)則和網(wǎng)絡(luò)安全策略，實(shí)現(xiàn)既能在防火墻上自動(dòng)攔截，也能在網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)上呈現(xiàn)和告警，減少對(duì)應(yīng)用系統(tǒng)的影響。該策略設(shè)置可以參考如式（2）所示的自適應(yīng)熔斷算法來計(jì)算丟棄請(qǐng)求的概率。

式中：Rrequests為窗口時(shí)間內(nèi)的請(qǐng)求總數(shù)；Aaccepts為正常請(qǐng)求數(shù)量；K為敏感度，K越小越容易丟請(qǐng)求，一般推薦1.5～2 之間。正常情況下Rrequests=Aaccepts，所以概率是0。隨著正常請(qǐng)求數(shù)量減少，當(dāng)達(dá)到Rrequests=K×Aaccepts繼續(xù)請(qǐng)求時(shí)，概率P會(huì)逐漸比0 大開始按照概率逐漸丟棄一些請(qǐng)求，如果故障嚴(yán)重則丟包會(huì)越來越多，假如窗口時(shí)間內(nèi)Aaccepts=0 則完全熔斷。當(dāng)應(yīng)用逐漸恢復(fù)正常時(shí)，Aaccepts、Rrequests同時(shí)都在增加，但是K×Aaccepts會(huì)比Rrequests增加得更快，所以概率很快就會(huì)歸0，關(guān)閉熔斷。

網(wǎng)絡(luò)安全事件處置需要技術(shù)人員檢查、備份、修復(fù)和處理，這些操作是非常嚴(yán)謹(jǐn)而專業(yè)的，既要能把網(wǎng)絡(luò)安全風(fēng)險(xiǎn)解除，又不能影響水利工控系統(tǒng)的正常運(yùn)轉(zhuǎn)，所以技術(shù)人員需要對(duì)水利工控系統(tǒng)非常了解，以保障問題處理不會(huì)影響業(yè)務(wù)運(yùn)行。因此需要加強(qiáng)知識(shí)管理，積累安全知識(shí)，支持后續(xù)的網(wǎng)絡(luò)安全事件分析和處理，為類似安全問題處置提供經(jīng)驗(yàn)和方法?；赪CICS-NSSA 對(duì)水利工控系統(tǒng)網(wǎng)絡(luò)安全問題和威脅情況的綜合分析，逐步形成水利工控系統(tǒng)網(wǎng)絡(luò)安全知識(shí)圖譜，及時(shí)對(duì)水利工控設(shè)備風(fēng)險(xiǎn)進(jìn)行溯源分析，了解相關(guān)關(guān)系，從而對(duì)水利工控系統(tǒng)網(wǎng)絡(luò)威脅的處置提供決策支持。

6 結(jié) 語

江都水利樞紐工控系統(tǒng)網(wǎng)絡(luò)安全需要從管理和技術(shù)2 個(gè)角度出發(fā)，不斷完善網(wǎng)絡(luò)安全防護(hù)體系。一方面要完善管理制度，配置網(wǎng)絡(luò)安全人員，構(gòu)建網(wǎng)絡(luò)安全管理中心；另一方面部署綜合態(tài)勢(shì)感知平臺(tái)，通過防火墻、VPN、上網(wǎng)行為分析等安全設(shè)備采集網(wǎng)絡(luò)安全大數(shù)據(jù)并進(jìn)行分析，實(shí)現(xiàn)水利工控系統(tǒng)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知。憑借WCICS-NSSA，構(gòu)建2 層深度防御技術(shù)體系，實(shí)現(xiàn)“邊界→網(wǎng)絡(luò)→終端”的立體防御。

梳理水利工控系統(tǒng)網(wǎng)絡(luò)路徑，明確路徑中的節(jié)點(diǎn)存在的網(wǎng)絡(luò)安全隱患，根據(jù)安全需求差異性劃分不同的安全區(qū)域，并在不同區(qū)域之間利用專用防火墻、隔離網(wǎng)閘等進(jìn)行防護(hù)，通過物理隔離、邏輯隔離等方式防護(hù)水利工控系統(tǒng)。水利工控系統(tǒng)安全體系要重視網(wǎng)絡(luò)安全管理，并充分應(yīng)用網(wǎng)絡(luò)安全態(tài)勢(shì)感知等先進(jìn)技術(shù)，保障水利工控系統(tǒng)的安全運(yùn)營。本文基于OODA 態(tài)勢(shì)感知模型，提出了基于OODA的水利工控系統(tǒng)網(wǎng)絡(luò)安全總體框架，設(shè)計(jì)了關(guān)鍵資產(chǎn)識(shí)別模型和自適應(yīng)熔斷模型，從網(wǎng)絡(luò)安全大數(shù)據(jù)識(shí)別出攻擊，并進(jìn)行自動(dòng)阻斷，提升網(wǎng)絡(luò)安全防護(hù)能力和水平。