一种模块化的SCADA安全态势感知系统架构

摘要

本发明公开的一种模块化的SCADA安全态势感知系统架构，包括：业务模块、态势感知、可视化模块，所述业务模块用于获取业务数据，所述态势感知模块用于获取流量和日志数据，所述业务模块与态势感知模块联动，所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。本发明通过业务模块、态势感知模块、可视化模块构建联动的系统架构，将态势感知平台模块化、软件化和轻量化，完整的内嵌到SCADA系统中，可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求，抵抗工控网络攻击，极大的提升SCADA系统的自主安全能力。

说明书

技术领域

本发明涉及工控网络安全技术领域，更具体的，涉及一种模块化的SCADA安全态势感知系统架构。

背景技术

工业控制SCADA系统(Supervisory Control and Data Acquisition，数据采集与监控系统)，应用于工业网络的各个领域，如电力、石油、冶金、天然气、铁路、供水、化工等关系国家命脉的基础产业都使用SCADA系统。这些重要基础设施互相关联，构成复杂、庞大的体系，为国防安全、经济运行提供不可替代的物质和服务。如今随着两化融合、智能制造2025、工业4.0这一波“工业革命”的浪潮，黑客已经从原来的攻击普通网络转向攻击关键信息基础设施，而对于其中的SCADA系统来说，一旦出现攻击，造成的损失可能是无法估量的，《中华人民共和国网络安全法》更是在第三章明确指出了国家关键基础设施的网络安全建设、防护要求。因此，亟需建立一套适用于SCADA系统的态势感知系统架构。

发明内容

鉴于上述问题，本发明的目的是提供一种模块化的SCADA安全态势感知系统架构，提高SCADA系统的集成度及安全联动能力。

本发明第一方面提供了一种模块化的SCADA安全态势感知系统架构，包括：业务模块、态势感知、可视化模块，所述业务模块用于获取业务数据，所述态势感知模块用于获取流量和日志数据，所述业务模块与态势感知模块联动，所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。

本方案中，所述业务数据包括：工控PLC/RTU设备数据、第三方系统数据。

本方案中，所述安全数据包括：主机安全数据、工控流量数据、安全日志数据。

本方案中，所述态势感知模块设有安全分析模型，所述安全分析模型预设有关联规则、时空规则、预测规则。

本方案中，所述态势感知模块设有SCADA系统全网资产发现识别单元，所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类；对发现的SCADA资产进行注册管理，完善资产的责任单位、责任人、联系电话、用途，形成明细的资产清单；

对工控资产的入网进行控制，并根据管理制度的要求，对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理；

以图表的方式展现SCADA网络内IP资源的实际使用情况，便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理；通过对控制网络资产的流量、用途、应用行为特征关联分析，明确资产的类型和属性，并建立相应的控制行为基线模型。

本方案中，所述态势感知模块能够对SCADA网内全部设备日志进行采集，所述全部设备包括：工控设备、网络设备、操作系统、安全设备、数据库、应用系统，通过对日志进行集中审计分析，发现日志中潜在的危害和异常行为分析，并对其进行安全告警；

所述态势感知模块能够支持快速自定义各种型态搜索，而不是只有固定几种的字段，不需要指定数据的格式，更可结合时间与关键词进行搜寻，呈现出清楚的搜索结果，运维人员能够快速检索到网络或相应设备的安全问题。

本方案中，态势感知模块采集的日志内容包括有：日志类别，日志类型，操作用户，访问IP，发生时间，日志内容。

本方案中，所述业务模块与态势感知模块联动通过采集SCADA系统安全数据(如流量数据，日志数据，配置核查信息，漏洞扫描信息等)，对数据进行集中存储和分析，构建安全分析机制，所述安全分析机制通过模块统筹协调，可及时发布权威的网络安全信息，建立通报机制，加强预警能力；建立监测、预警、防范机制，提升对SCADA系统的管控、风险识别的水平；

对SCADA业务数据，建立全天候、全方位、全生命周期的监控和审计手段，形成安全管控工作闭环；

对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测，提供安全技术手段，依据监测策略，对风险和事件进行有效监测，并为其它安全管理活动输出监测事件结果信息。

本方案中，所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值，协助SCADA运维人员进行定量的风险评估，综合考虑资产的价值、脆弱性和威胁，计算风险的可能性和风险的影响性；

能够展示出安全域的风险情况，标注安全域中资产风险的分布情况，辅助运维人员进行风险分析，采取相应的风险处置对策；

能够实现SCADA系统及全局风险的计算与展示，能够量化，并动态展示安全风险，使运维人员快速感知网络安全风险。

本方案中，所述系统架构还预设有安全模型库和知识库，供态势感知与控制业务安全分析功能使用，同时积累经验，为运维人员日常运维工作提供指导；所述系统架构预先建立的库包括：漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。

本发明公开的一种模块化的SCADA安全态势感知系统架构，通过业务模块、态势感知模块、可视化模块构建联动的系统架构，将态势感知平台模块化、软件化和轻量化，完整的内嵌到SCADA系统中，可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求，抵抗工控网络攻击，极大的提升SCADA系统的自主安全能力。

附图说明

图1示出了本申请一种模块化的SCADA安全态势感知系统架构图。

图2示出了本申请安全事件联动管理流程图。

图3示出了本申请安全事件联动管理示意图。

具体实施方式

为了能够更清楚地理解本发明的上述目的、特征和优点，下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是，在不冲突的情况下，本申请的实施例及实施例中的特征可以相互组合。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是，本发明还可以采用其他不同于在此描述的其他方式来实施，因此，本发明的保护范围并不受下面公开的具体实施例的限制。

名词解释

工业控制系统：工业控制系统由DCS、PLC等控制设备和温度、压力等传感器以及上位主机构成，对工业生产过程进行监视控制。

SCADA系统：SCADA(Supervisory Control And Data Acquisition)系统，即数据采集与监视控制系统，涉及到组态软件、数据传输链路

态势感知：态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

图1示出了本申请一种模块化的SCADA安全态势感知系统架构图。

如图1所示，本申请公开了一种模块化的SCADA安全态势感知系统架构，包括：业务模块、态势感知模块、可视化模块，所述业务模块用于获取业务数据，所述态势感知模块用于获取流量和日志数据，所述业务模块与态势感知模块联动，所述业务模块和态势感知模块的处理结果发送至显示模块进行显示。

需要说明的是，所述态势感知模块能够能够全面采集SCADA网络中的安全事件信息、资产流量数据、控制操作指令。结合CNVD、CNNVD、CVE等工控威胁特征库，对SCADA内部资产进行智能分析和综合评估，完成对识别SCADA工作站、服务器和安全设备的漏洞发现、漏洞匹配、漏洞验证等，进行SCADA网络集中告警及威胁呈现。对网内的设备脆弱性进行核查，包括控制设备、网络设备、信息系统、端口服务等，及时掌握可被攻击的风险，以便于评估安全风险和采取相应的安全策略。所述业务模块主要采集业务数据进行业务处理，其中态势感知模块和业务模块进行联动，更具体的，能够对SCADA系统的安全状况做出快速准确的诊断，通过安全模型大数据计算，实时将分析结果同步到业务模块，开展应急响应和处置恢复，保证控制业务稳定运行。

根据本发明实施例，所述业务数据包括：工控PLC/RTU设备数据、第三方系统数据。

根据本发明实施例，所述安全数据包括：主机安全数据、工控流量数据、安全日志数据。

需要说明的是，所述业务数据还可以包括其他接入的工业设备的数据，如动力设备的数据等，对于所述业务数据及安全数据可以进行分布式采集，例如工控PLC/RTU设备数据可以通过设置无线传感节点进行分布式无线传输，也可以通过有线专网传输。

根据本发明实施例，所述态势感知模块设有安全分析模型，所述安全分析模型预设有关联规则、时空规则、预测规则。

所述安全分析模型针对不同的场景设置了不同的关联规则、时空规则、预设规则，从而能够支持场景化的分析，实现SCADA网络安全态势问题全面监控并快速发现威胁，，可实现主动防护，精准捕捉网络威胁，且画像丰富，与企业业务更为贴合。所述安全分析模型处理的数据源主要包括工作站、服务器、工业应用、网络流量、日志等。同时所述的安全分析模型通过深度和全面的行为分析能力，发现SCADA网络中的隐藏攻击威胁，态势感知模块进行统计分析、关联分析和攻击链分析，结合威胁情报进行威胁判断，对时间、范围、趋势、影响程度等方面进行预测，下发安全预警通报，并针对重大或特别重大安全事件进行应急处置，实现全域联动和协同响应。

根据本发明实施例，所述态势感知模块设有SCADA系统全网资产发现识别单元，所述SCADA系统全网资产发现识别单元能够对控制网络内指定IP范围内软硬件资产设备的快速发现、自动识别与归类；对发现的SCADA资产进行注册管理，完善资产的责任单位、责任人、联系电话、用途，形成明细的资产清单；

对工控资产的入网进行控制，并根据管理制度的要求，对各部门IP范围、设备入网注册内容、设备入网/出网审批流程进行管理；

以图表的方式展现SCADA网络内IP资源的实际使用情况，便于管理员对网内IP资源使用进行整体规划、资源分配、回收登记管理；通过对控制网络资产的流量、用途、应用行为特征关联分析，明确资产的类型和属性，并建立相应的控制行为基线模型。

需要说明的是，所述SCADA系统全网资产发现识别单元，可以通过多种方式进行资产识别如知识图谱、指纹识别等，还可以通过移动终端设备结合图形码进行资产识别，通过给资产进行设置二维码，利用终端扫描二维码即可进行资产识别，在一个具体的实施例中，所述二维码可以为其他图形码，所述图形码是用某种特定的几何图形按一定规律在平面(二维方向上)分布的、黑白相间的、记录数据符号信息的图形；在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理：它具有条码技术的一些共性：每种码制有其特定的字符集；每个字符占有一定的宽度；具有一定的校验功能等。同时还具有对不同行的信息自动识别功能、及处理图形旋转变化点。采用图形码能够方便的封装信息，且能够封装的信息多，简化信息传递的流程。

根据本发明实施例，所述态势感知模块能够对SCADA网内全部设备日志进行采集，所述全部设备包括：工控设备、网络设备、操作系统、安全设备、数据库、应用系统，通过对日志进行集中审计分析，发现日志中潜在的危害和异常行为分析，并对其进行安全告警；

所述态势感知模块能够支持快速自定义各种型态搜索，而不是只有固定几种的字段，不需要指定数据的格式，更可结合时间与关键词进行搜寻，呈现出清楚的搜索结果，运维人员能够快速检索到网络或相应设备的安全问题。

根据本发明实施例，态势感知模块采集的日志内容包括有：日志类别，日志类型，操作用户，访问IP，发生时间，日志内容。

根据本发明实施例，所述业务模块与态势感知模块联动通过采集SCADA系统安全数据(如流量数据，日志数据，配置核查信息，漏洞扫描信息等)，对数据进行集中存储和分析，构建安全分析机制，所述安全分析机制通过模块统筹协调，可及时发布权威的网络安全信息，建立通报机制，加强预警能力；建立监测、预警、防范机制，提升对SCADA系统的管控、风险识别的水平；

对SCADA业务数据，建立全天候、全方位、全生命周期的监控和审计手段，形成安全管控工作闭环；

对SCADA网内的各类信息安全威胁、风险和事件进行常态化监测，提供安全技术手段，依据监测策略，对风险和事件进行有效监测，并为其它安全管理活动输出监测事件结果信息。

需要说明的是，如图2-图3所示，态势感知模块的安全事件联动具体过程为：

S202，获取安全数据，所述安全数据包括：流量信息、日志信息、资产信息、性能信息、配置信息、漏洞信息；

S204，对获取的安全数据依次进行数据过滤、数据归并、数据归一化通过数据交换接口进行集中存储；

S206，通过数据仓库中安全分析模型对集中存储的数据进行安全分析，若分析结果存在安全风险则发出安全告警，根据安全告警触发业务模块联动应急处置，同时安全分析结果同步显示在可视化模块。

根据本发明实施例，所述系统架构还能够自动化、定量化计算资产及其业务系统的风险值，协助SCADA运维人员进行定量的风险评估，综合考虑资产的价值、脆弱性和威胁，计算风险的可能性和风险的影响性；

能够展示出安全域的风险情况，标注安全域中资产风险的分布情况，辅助运维人员进行风险分析，采取相应的风险处置对策；

能够实现SCADA系统及全局风险的计算与展示，能够量化，并动态展示安全风险，使运维人员快速感知网络安全风险。

需要说明的是，本发明所述系统架构还包括有安全配置核查功能，态势感知模块集中调度驱动安全配置核查系统进行SCADA资产的安全配置检查，通过多种网络协议，模拟检查用户登录被检查资产，自动化采集资产的安全配置信息，并根据相关行业规范对配置数据进行合规性分析、风险分析、对比分析和趋势分析等。

根据本发明实施例，所述系统架构还预设有安全模型库和知识库，供态势感知与控制业务安全分析功能使用，同时积累经验，为运维人员日常运维工作提供指导；所述系统架构预先建立的库包括：漏洞情报库、威胁情报库、安全事件库、关联规则库、异常检测策略库、等级保护知识库。

需要说明的是，本发明所述的系统架构支持定期更新升级和自主安全模型建立，通过安全关联规则检测最新安全威胁，使系统能够及时感知和处置最新脆弱点。

本发明公开的一种模块化的SCADA安全态势感知系统架构，通过业务模块、态势感知模块、可视化模块构建联动的系统架构，将态势感知平台模块化、软件化和轻量化，完整的内嵌到SCADA系统中，可视化洞察SCADA内部核心控制资产、控制流、数据流和业务流程特性以及信息安全需求，抵抗工控网络攻击，极大的提升SCADA系统的自主安全能力。

同时本发明具有以下有益效果：一是针对已知的工控网络攻击的实时发现、主动修复和稳定控制，态势感知模块将已知恶意软件查杀、漏洞修复、非法操作等结果推送到控制业务模块，系统展开自查、补丁和安全模型升级。二是针对未知的工控网络攻击能够超前预测、及时告警并联动处置，业务模块启动应急预案，主动降低负荷，关键设备切换远程/就地控制，防范风险，保证极端网络灾难时，关键控制业务稳定运行。三是在控制业务运行和不断抵抗工控网络攻击中，积累和形成SCADA控制安全模型，动态提升系统的安全防护能力，实现良性循环。最终，SCADA系统能够自主及时地解决漏洞与补丁、产品和策略部署调整、事件的监测与响应、情报数据的收集分析与溯源研判等信息安全问题，保障业务和控制的安全。

在本申请所提供的几个实施例中，应该理解到，所揭露的设备和方法，可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，如：多个单元或组件可以结合，或可以集成到另一个系统，或一些特征可以忽略，或不执行。另外，所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口，设备或单元的间接耦合或通信连接，可以是电性的、机械的或其它形式的。

上述作为分离部件说明的单元可以是、或也可以不是物理上分开的，作为单元显示的部件可以是、或也可以不是物理单元；既可以位于一个地方，也可以分布到多个网络单元上；可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。

另外，在本发明各实施例中的各功能单元可以全部集成在一个处理单元中，也可以是各单元分别单独作为一个单元，也可以两个或两个以上单元集成在一个单元中；上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：移动存储设备、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

或者，本发明上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括：移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。