文 | 国网浙江省电力有限公司信息通信分公司 杨帆;北京中科安维检测技术有限公司 卢俊;杭州中尔网络科技有限公司 魏启超

随着电力系统和信息化的深度融合,新型电力系统中发电设备、用能设施数量呈现爆发式增长趋势。大量异构终端的接入,数据跨区交互日趋频繁,网络攻击暴露面持续增加。此外,还存在安全事件分析人员不足、处置效率低下等问题。基于以上原因,加强电力公司的网络安全防御能力,确保网络时代电力系统的安全、高效运行成为重大考验。

本文围绕电力行业网络安全建设现状的痛点,以网络安全体系建设为支撑,以网络安全技术优势为依托,以数字化网络安全指挥系统建设为手段,以新型电力系统典型场景落地应用为抓手,为新型电力系统建设提供安全高效的综合网络安全解决方案,这是全面保障电网数字化网络安全的关键一步,也将推动电力行业网络安全整体能力的提升。

一、问题及现状

当前,传统电力系统场景下的省级网络安全感知平台主要存在以下四方面问题。

一是态势感知能力不足。物理设备对象的数字化水平较低,无法实现拓扑展示以及接入设备实时动态变更的功能。同时,物理设备对象的静态和动态属性数据的实时监测不到位。此外,未构建标准化模型,无法实现与第三方平台的接口统一对接,缺乏有效的对象感知能力及第三方扩展能力,在网络安全中处于后知后觉的困境。

二是管理机制落地不够。由于缺少统一的管控平台,在系统建设、运行和维护的过程中,网络安全管理难以规范进行,业务流程各重要环节难以闭环管控,网络安全资源整合和网络安全运作模式的协同联动也不够。这些因素都对网络安全综合能力的提升产生了影响。

三是安全威胁应对不足。网络安全监测预警、应急响应和技术分析等工作主要依赖人工方式进行,难以实时处理多角色多界面的数据处理;无法有效反映分散的网络威胁;场景间切换的能力无法满足网络安全对抗日趋频繁的现实需求,特别是针对信息系统的 APT 攻击;安全告警的深度技术分析和溯源反制效率较低,缺乏对攻击威胁评估的价值。

四是总体协同指挥不够。虽然网络安全设备和系统的自动化程度不断提高,但存在多个信息孤岛,设备、系统间缺乏有效交互,导致内部多个自动化模块表现出割裂和孤立的状态,难以构成实时的有机统一平台。由于无法充分共享信息,进而降低协同联动效率,无法实现统一的指挥决策。

与此同时,在大受电、交直流混联、高比例清洁能源等新型电力系统的应用背景下,需要建立常态化攻防机制,提升系统主动防御能力,加强以省、地、市、网厂级的交互为典型场景的高保密关键基础设施安全建设,逐步建设以省级网络安全指挥平台为基础,有效聚合技防举措,提升安全防护能力。最终目标是实现对业务流量的全链路安全监控和关联分析,聚合业务流量数据与安全监测数据,基于网络安全指挥平台管理分析能力,生成维护网厂交互业务系统全链路的画像。

二、应对与实践

针对以上问题和现状,我们打造了“全场景、全天候、全过程”的网络安全防护体系,通过网络安全规划、建设、运维、风险内控、运营和人才队伍建设六大管理过程,我们提升了网络安全运作水平和网络安全防御能力。同时,我们遵循网络安全管理体系设计,构建了覆盖省、地两级网络安全业务的新型电力系统数字化网络安全指挥平台,将设备、流程和技术有机结合,实现了网络安全集中管理、提前预警和安全运维,满足了网络安全平时协同和战时指挥的工作要求,以全局视角统筹协调全省的网络安全工作。

(一)强化战略引领,做好应对谋划

一是强化战略引领和统筹规划。以建设具有中国特色国际领先的能源互联网企业的战略目标为统领,遵循新型电力系统战略部署,以全局视角统筹全省网络安全工作,规划平台建设方案。二是强化数智构建和分步实施。结合网络安全建设现状及业务需求,分主次、分阶段稳步推进平台建设,逐步实现网络安全域的全面数字化和智能化提升。三是强化业务整合和提质增效。整合各专业网络安全业务需求,实现监控预警、活动保障、应急处置、漏洞管理等业务一体化集成。优化现有事件处置流程,加快实现网络安全线下业务的线上迁移,提升安全事件处置效率。四是强化资源集约和协同联动。整合人员、平台、设备等网络安全资源,实现网络安全资源统一调度,强化省、地两级网络安全联动协同,构建“快速响应、协同运作”的运营管理机制。五是强化全面感知和主动对抗。全面动态监测网络、主机、终端、应用及数据等各环节的安全状态,实现安全威胁全景感知。采取主动对抗的思路,主动预警、发现甚至阻止攻击的发生,满足新背景下的安全需求。六是构建新型网络安全指挥系统,旨在实现网络安全物理设备数字化、业务流程数字化、运营维护自动化、协同指挥互动化。

(二)夯实技术基石,提升能力建设

一是夯实网络安全物理设备数字化基础。利用图数模一体化技术实现对物理设备的数字化,实现整体网络安全架构、设备特性、设备状态的定量描述和实时监测,同步构建标准物理设备模型,提升平台感知能力和扩展能力。二是深化网络安全业务流程数字化建设。推动网络安全管理体系建设,以数字化手段加快体系落地,渗透到网络安全业务链各环节和各层级,实现网络安全管理流程线上流转和业务线上管理,实现网络安全信息高度集成和实时共享。三是提升网络安全运营维护自动化水平。通过安全设备、安全系统数据的批量采集和关联分析,借助自动化事务调度、自动化安全编排等技术,实现安全态势自动化监控、风险隐患自动化预警以及安全事件自动化响应。四是赋能网络安全指挥互动化发展。利用“大云物移”等先进技术搭建全面感知、全景实时的支撑平台,通过平台物理环境感知能力、安全业务融合能力、多源数据分析能力,做好网络安全运营赋能,消除信息孤岛、扫除数据分析盲区,实现支撑智能决策、双向互动、高效协同的安全运营目标。五是支撑新型电力系统典型场景网络安全能力建设。平台通过对新型电力系统核心业务、网络通道、关键流量、安全事件的实时监测处置,持续为新型电力系统清洁低碳、安全可控、灵活高效、智能友好、开放互动的基本特征提供坚强的安全支撑:实现网厂交互业务的全链路追踪和多级协同指挥,抓牢业务高保密要求;实现移动数字化新型业务的自动化防护编排和定制化应用监控,提升网络安全运营质效。六是通过算法模型迭代、流量检测、动态场景构建等技术,对各类攻击行为和威胁进行追踪溯源。清晰掌握安全事件完整攻击链路,高效联动处置各类安全事件、威胁、预警事务,提升智能化、精准化、主动化的安全保障能力,为保证新型电力系统建设及亚运等重大活动保障安全提供强力支撑。

(三)抓手与目标

为推动网络安全管理体系建设,项目组以数字化手段加快体系落地,渗透到网络安全业务链各个环节和各个层级,构建网络安全指挥平台,旨在实现网络安全物理设备数字化、业务流程数字化、运营维护自动化、协同指挥互动化,主要从如下四方面开展,并实现了相关目标。

一是全方位威胁感知与精准预警。目前,安全事件分析需面对不同的平台和系统,日常需监控、分析四十余套平台和系统,并伴随多场景切换与分析研判,同时需通过人工处置闭环各类告警,从而导致大量重复告警,这极大地影响了监控处置效率。

网络安全指挥系统统一接入日志数据、资产数据和云端数据,在平台中对数据进行范式化和丰富化处理,形成“一套数据、一种语言”;通过流式分析、检索分析等分析手段对四十余套平台和系统的日志、告警进行归集,在整个处置过程中过滤了 95% 以上的告警,极大地提升了监控处置效率;针对安全事件,平台还提供攻击链分析、攻击路径分析处置意见以及 ATT&CK 知识图谱等辅助分析手段;事件处置过程中可以依靠SOAR 实现自动化的预案触发和风险预警,同时通过可视化工具可建立场景化监控及安全态势大屏,实现自动化运营和全景监控。

二是资产数字化及脆弱性深度挖掘。目前网络安全风险漏洞分析需要手工发起漏扫任务、线下管理漏扫报告及漏洞处置。网络安全指挥系统通过对外部安全设备、业务系统调用可收集到大量资产信息,在运行态资产数据的基础上增加了安全运营关注元素,实现资产数据的“双态合一”;可实时匹配漏洞库和安全态资产信息,通过平台自动调用漏洞库进行漏洞验证,将验证时间从原来的数天缩短至小时级即可完成验证,并驱动预警单流程;平台基于威胁、资产信息及资产脆弱性可进行资产风险的综合评价。同时,强化安全设备和系统的加固,并具备资产拓扑绘制和监测功能,可较好实现资产安全态监控的可视化。

三是省地联动和协同。目前省地两级联动主要依靠邮件系统、电话、即时消息等管理平台,管理信息分散,不利于统筹。通过各类功能模块可实现省地业务联动。活动保障模块支持保障模板定制、保障任务派发,从省公司层面进行任务统一指挥,平战时自由切换,将全省的保障工作要求把牢在一个水平线上,实现“一平台下发,全省齐反馈”的目标,省去了多头查看与反馈的弊端,最大化提升联动效率;平台具备独立的工作流引擎,可定制网络安全管理体系的业务流程并根据业务随时调整,实现线上流程流转和工作协同;对于工作报告等需全省协同编制的材料,平台提供协同报表的功能在线上完成报告编制和合并,同时基于情报库、知识库可与地市公司实现情报的共享和联动;平台具备病毒取样、攻击分析等能力,同时能集成网络安全运维工具集,为地市公司提供技术支撑;还根据实际业务需求开发了值班管理模块,可实现排班管理、交接班、替换班以及定制值班工作台等功能,实现值班业务与工作的线上化与统一化。

四是安全运营自动化。目前安全事件分析主要依靠人工开展日常运维和应急处置,尤其在应急处置的场景下,非常依赖于处置人员的能力和经验,无法保证处置时效和效果。网络安全指挥系统将应急处置工作人员的经验固化为处置预案,剧本编排过程可视化且动作可灵活设置;在发生攻击事件的时候,平台会依据规则触发并自动按照匹配剧本,执行应急处置预案,进而联动相关安全设备、安全系统做相应处置,整个过程的时间从原来人工处置的小时级缩短至分钟级,甚至秒级。在日常运维过程中,以漏扫为例,支持制定工作任务定期自动执行漏扫预案,驱动漏扫设备自动执行扫描。同时,与漏扫设备对接,自动导入扫描报告结果并自动生成风险预警单。相比于原来需要若干天完成的工作,现在可在分钟级自动实现,最大程度地提高了自动化效率,降低了工作成本(如图所示)。

图 网络安全指挥平台流程图

(四)实践与成效

当前,作为大受端的亿级负荷电网,浙江能源保供形势尤其严峻,以数字化手段增强能源生产、传输、消费全过程的可观可测、可控可用能力,是实现能源精细化、柔性化利用的有效途径。随着大数据产品在社会生活各方面的作用逐渐显现,以大数据中心业务为典型的电力数据安全应用场景建设,成为有效利用能源数据和电力行业未来数字化发展的一大重要趋势之一。

实现对数据的全链条感知,从而实现业务场景安全防护。一是感知数据风险事件,平台全面接入数据采集、处理、计算、存储等各环节监控数据,通过对数据流量的监测、集中和分析,形成对敏感数据动态变化、敏感数据节点流动和数据安全风险事件的态势感知,有效监测数据的全生命周期。二是实施安全共享措施,在网络安全指挥系统中采用隐私计算技术,通过对电费、水、油气煤等各类能源数据进行联合建模和联合统计,实现不同管控实体间的数据共享与隐秘传输,打破数据孤岛,充分挖掘数据价值。三是强化边界安全防护,通过部署敏感数据流转监测、数据库审计、API 风险监测等安全组件,借助网络安全指挥平台高效聚合安全设备信息,实现对业务应用中数据的全链路流向监控和全风险态势感知。综上,网络安全指挥平台的建设和运用,从间接效益上看,能够降低电网工程的前期投资;从技术发展上看,能够改变传统的电网决策模式,提高电网信息化水平,提高电网规划与决策的工作效率;从社会效益上看,网络安全相关技术和理念的融入,使其成为数字经济、数字未来的重要防护屏障和基石,在数字化改革中发挥不可替代的重要作用。

三、结 语

本项目紧密围绕电力行业需求痛点,充分发挥网络安全技术优势,创新地提出了建设网络安全指挥平台的方案,为全面保障电网生产数字化安全迈出了关键的一步。本项目以国网浙江电力为依托,在电力行业的输电、变电、配电、营销等全部业务场景中应用网络安全指挥系统,避免了网络安全设施的重复建设,降低了安全风险,并提高了业务和安全运营的效率。同时,统一集中部署,减少了投资。该项目为新型电力系统提供了安全可靠、低成本、易用的综合网络安全解决方案,后续将向电力行业全面拓展,以提升电力行业的安全能力。

该项目还从网络防御的整体视角出发,构建了安全智慧大脑,形成“学习中心-指挥中心-作战中心”的网络安全攻防对抗体系,多维度展现网络安全现状,赋能安全生产和管理,提高不同场景下的整体安全防护能力。实现网络与信息安全的全天候全方位感知和“统一监测、统一预警、统一指挥、统一处置”,为领导提供相关信息安全方面的决策参考依据。【本文系基金项目:国家重点研发计划项目(2020YFB1806505)】

(本文刊登于《中国信息安全》杂志2023年第10期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。