電力企業網絡安全綜合防護體系的建設

李伯愷，吳勝龍，張亞奇，劉雪松，杜 建

(中國華電科工集團有限公司，北京 100070)

0 前 言

近年來，全球網絡安全事件頻出。2013年針對伊朗核電站的“震網攻擊”、美國NASA噴氣推動實驗室的核心資料失竊，以及2017年5月爆發的“永恒之藍”事件等，暴露了政府和企業在網絡安全管理工作中存在的諸多問題，特別是在網絡安全運營監測、態勢感知、威脅預警和分析處置方面缺乏必要的技術手段和足夠的能力。

黨的十八大以來，以習近平為核心的黨中央高度重視網絡安全工作，提出了建設網絡強國的戰略主張。在《關鍵信息基礎設施安全保護條例(征求意見稿)》和國家能源局印發《關于加強電力行業網絡安全工作的指導意見》稿中明確要求完善網絡安全監督管理體制機制，加強全方位網絡安全管理，強化關鍵信息基礎設施安全保護，加強行業網絡安全基礎設施建設和電力企業數據安全保護，提高網絡安全態勢感知、預警及應急處置能力，積極推動電力行業網絡安全產業健康發展。

隨著數字華電戰略實施，華電科工需要打破壁壘、面向數字化轉型。在此過程中，由于整體網絡安全環境復雜多變，網絡安全邊界外延擴大，給信息系統、數據的安全帶來了嚴峻挑戰。

1 網絡安全綜合防護基本概念

網絡安全通常是指網絡系統中的硬件、軟件受到保護，不能被更改、泄露和破壞，保證整個網絡得到可持續的穩定運行，并且信息能夠被完整傳送以及得到很好保密。因此，計算機網絡安全涉及網絡硬件、通信協議、加密技術等領域，而網絡安全防護體系則是基于多項安全技術集成的基礎之上，依據一定的安全策略建立起來的。

網絡安全行業內經常使用一個動態安全模型——網絡安全滑動標尺模型。通過這個模型，企業安全管理員可更好地理解安全投資的目標和影響，構建安全計劃成熟度模型，按階段劃分網絡攻擊從而進行根本原因分析，助力企業安全防護體系建設。該標尺模型共包含五大類別，分別為架構安全(Architecture)、被動防御(Passive Defense)、積極防御(Active Defense)、情報(Intelligence)和進攻(Offense)。這五大類別之間具有連續性關系，并有效展示了防御逐步提升的理念。

架構安全：在系統規劃、建立和維護的過程中充分考慮安全防護。

被動防御：在無人員介入的情況下，附加在系統架構之上可提供持續的威脅防御或威脅洞察力的系統。

積極防御：分析人員對處于所防御網絡內的威脅進行監控、響應、學習(經驗)和應用知識(理解)的過程。

威脅情報：收集數據、將數據利用轉換為信息，并將信息生產加工為評估結果以填補已知知識缺口的過程。

反制進攻：在友好網絡之外對攻擊者采取的直接行動(按照國內網絡安全法要求，企業主要通過法律手段對攻擊者進行反擊)。

為了實現可持續的安全運營目標，電力企業需要建立能夠隨著時間不斷演進的安全架構和技術支撐體系，這會讓電力企業在面對威脅和挑戰時不斷完善自身防御體系以及強化防御能力的“姿態”。

2 電力企業網絡安全發展現狀

在以實戰化為指導出發的網絡安全體系建設中，華電科工依據日常安全防護工作，以及網絡安全攻防演習期間、重大節日保障期間、集團安全演練期間，發現了許多不容忽視的安全隱患，以及在業務的漏洞分析中企業存在保障資產安全合規工作的不足。2021年安全事件通報數量匯總見表1，系統高危漏洞類型分布見圖1。

2.1 安全管理現狀

隨著云大物智移的技術趨勢變化，電力企業也在積極完成數字化轉型。企業的信息化建設步伐逐步加快，一般電力企業內部管理已初步建立信息安全管理制度、管理方法及手段。針對安全事件的管理辦法，企業主要參照零散的安全設備告警進行安全管理。

安全管理不像網絡、業務等內容更容易被管理者理解，而電力企業的生產系統隨著近年的發展，自動化程度較高，業務運行的連續性高。在“保生產、促效益”為目標的電力企業中，對工控環境的網絡安全問題缺乏有效管理，安全需求往往來源于合規性要求，缺乏針對企業工業環境有效的工控安全思考和規劃。

2.2 技術防護現狀

隨著信息化的中心業務不斷發展，建設的網絡信息系統數量繁多，包含但不限于：應用子系統、服務器子系統、網絡子系統、工業監控管理子系統、工業控制子系統、信息安全子系統等。另外，對電力網絡區域邊界也進行了隔離改造。DMZ區、互聯網區、辦公內網區、工業生產控制大區等進行相應安全能力建設，包含內外網的邊界網關、入侵檢測、網閘等安全設備部署；對計算環境采取了防病毒、終端管控、主機加固、漏洞掃描等安全監控與安全審計手段。

(1)安全數據過于分散。由于電力企業網絡承載業務種類和業務內容量與日俱增，審計信息、生產信息、安全設備警告信息等都是比較重要的數據，這些數據對電力企業的穩健發展具有非常重要的意義。全流量檢測、端點防護等安全技術逐步成為網絡安全的必要防護；然而攻擊痕跡大多存放在每個分散的安全系統孤島之上，電力企業安全運行和處置人員難以快速找到安全的處置方法。

(2)電力工控系統防護能力薄弱。隨著智慧電廠的理念轉變，電廠工業控制系統采用專用硬件、軟件及工業通信協議(OPC、S7、CIP等)，在設計上基本沒有考慮互聯互通的通信安全問題；管理信息系統與生產監控系統缺乏安全性的設計，存在大量可利用的系統漏洞，因此在監控系統開放的同時，也減弱了系統與外界的隔離，監控系統的安全隱患問題日益嚴峻。

(3)高級威脅檢測滯后。隨著時代的變化，網絡攻擊形式也發生了變化，黑客組織將目標轉移到了國家的關鍵基礎設施上。對電力企業的網絡安全而言，高級的威脅攻擊手段非常巧妙，容易利用高精尖技術和手段躲開傳統的安全防御系統。這是因為傳統的安全防御系統注重單次行為的識別及判斷，缺乏長期關聯性分析，面對未知、新穎的攻擊方法難以有效防御，對高級威脅攻擊檢測效果不夠理想。

(4)海量的安全設備告警掩蓋真實威脅。安全事件溯源是分析安全事故的重要內容，只有掌握安全事件發生的根本原因，才能開展有針對性的處理；然而看似直觀的可視化偵測技術卻把安全運維人員帶入了極其混沌的空間，當面對大型網絡中的海量安全數據，安全人員淹沒其中，根本不能有效地發現攻擊。對安全日志進行日常篩選，占據了安全運維人員的大部分工作時間，從而可能導致淹沒在海量日志中的關鍵高級威脅不被發現。

2.3 安全運營現狀

隨著電力企業的規模逐漸擴大，企業信息系統規模日益龐大，整個信息網中存在的安全風險隱患也在不斷增加；另外，大多電力企業安全管理人員數量不足，安全運營人員往往都是身兼數職，無法做到專人專崗專責，專業技能更新速度更是無法跟上安全技術的發展。這種情況嚴重影響了安全威脅事件的檢測、分析與處置效率，無法保證高效的安全運營閉環管理。

(1)安全運營技術及手段缺乏。很多電力企業缺少安全專項人員，一般只能通過日常巡檢、日常策略更新對設備進行運維，安全設備告警不能覆蓋管理全網IT、OT資產，無法滿足對全網資產進行有效管理的需求；雖然通過漏洞掃描系統發現已有資產漏洞，但企業又不具備對資產進行補丁管理、安全配置、系統加固的能力和手段。

(2)安全運營分析及響應效率低下。當發生安全事件時，電力企業無法進行全面、深入的攻擊事件溯源分析；缺乏統一的安全事件監測手段以及多維的關聯分析手段，不能對全網的安全狀態進行感知，且安全告警誤報嚴重，難以及時發現真正的攻擊，不能有效識別內外部安全狀態；缺乏基于場景化的攻擊威脅檢測，難以發現主機失陷、主機外聯、隱蔽通道等黑客常用手段的威脅；缺乏外部威脅情報支持，不能及時掌握敵對勢力組織攻擊情報信息；缺乏自動響應處置手段，當發生安全事件時，只能通過人工方式進行響應。

3 電力企業網絡安全綜合防護體系的建設

3.1 網絡安全體系設計

結合當前的電力網絡安全現狀和行業內優秀經驗，電力企業應當圍繞“實戰化下的三維防護”理念進行網絡安全防護體系建設，堅持以面向實戰化安全防護體系為核心，健全安全管理方式，重構安全技術手段、深化企業安全運營；以安全服務為抓手，推動電力企業內部的靈活應用，聯防聯控，搭建自上而下的縱深防御防護體系。

3.2 高度重視網絡安全能力建設

華電科工一直高度重視網絡與信息化安全綜合防護能力建設，在集團公司網絡信息安全統一規劃和指導下，積極開展春秋季信息安全隱患排查工作，并根據檢查結果進行總結、經驗交流、問題整改等一系列工作。華電科工信息管理部還根據領導指示，結合網絡與信息安全熱點事件，每年舉辦以網絡信息安全為主題的培訓活動，加強華電科工領導和員工的網絡與信息化安全防范意識。

3.3 網絡安全綜合防護能力建設

華電科工網絡與信息安全工作在集團公司網信安全框架下，通過管理維度、技術維度以及運營維度構建統一完善的信息安全保障體系。

(1)管理維度建設。關于實戰化對抗中的“對手組織化”，電力企業將“對手”從普通的網絡犯罪變成了組織化的攻擊，攻擊方式從通用攻擊轉為復雜組合的定向攻擊。因此，首先要加強內部組織機構，成立網絡安全與信息化領導工作小組，編制完善網絡安全管理制度，完善安全責任制，以集中化管理模式指導并監管下屬單位、工控電廠等進行網絡安全內容建設。其次要落實安全管理組織結構，補充現有網絡安全工作人員，同時落實下屬單位網絡安全工作的責任人。再次，企業應制定相應的網絡安全建設制度規范，形成標準化的建設指南，指導下級單位進行安全建設；并制定安全考核評分規則，量化下屬單位安全建設工作，對評分倒數的單位進行領導約談和及時整改；加強網絡安全春季和秋季等安全檢查工作，督促下屬單位進行安全自查及安全問題整改。

(2)技術維度完善。面向電力企業新一代信息技術的全面應用，帶來了信息化系統的公有云遷移，工業物聯網的數字化底座融合，使信息載體變化，威脅形勢也隨之發生變化；電力企業需構建云上數據中心的安全防護體系，打通控制平面實現安全防護體系和云環境的一體化編排調度；在生產數據上，電力企業需建設數據安全治理系統，梳理數據資產，并進行分類分級，確定數據安全屬性、環境安全屬性及訪問控制策略；企業還需構建面向安全實戰化的網絡安全統一管控平臺，通過“云上”、傳統信息化、工業生產域多層次的基礎安全能力補齊，匯聚安全數據的中心，有效支持事件處置、多源情報融合、深度威脅獵殺等安全運行工作，形成聯防聯控的實戰化網絡安全防護體系。

(3)安全運營維度。面對新的安全形勢和安全環境，安全防護體系建設從合規導向轉向能力導向，網絡安全防護和監管都更加關注實戰化，實網攻防演習成為常態化手段。電力企業應以實戰化的安全服務為抓手，不斷對信息化的發展提出安全要求；依托集團、各分子公司單位和第三方專家機構，設立安全運營中心，組建安全專家團隊，加強網絡安全運營服務支撐人員力量，配置安全運營所必須的崗位編制，明確崗位職責及工作范圍。網絡安全運營工作需把安全能力服務化，在保障華電科工信息系統安全、穩定運行的前提下，對下屬單位提供安全能力輸出，指導并監管下級單位安全工作開展，包括：網絡安全威脅分析、安全事件應急響應、定期信息系統漏洞掃描、春秋季安全專項檢查、網絡安全宣教月活動等工作。通過統一管理公司運維服務工作，編制網絡安全運維管理體系，將運維工作標準化、流程化、可視化。安全運營從人員、流程、技術3個方面進行一體化設計，制定安全運營能力提升計劃，定期對安全運營能力進行評估，找出差距，并持續完善提升計劃，驅動安全運營體系的逐漸成熟。

綜上所述，華電科工的網絡安全綜合防護能力建設工作在華電集團公司的規劃和領導下，結合自身網絡安全綜合防護能力建設過程中的網絡安全問題進行全面整改；進一步落實關鍵信息基礎設施防護責任，加強關鍵信息基礎設施網絡安全防護，完善網絡安全機制、手段和能力建設，加快對網絡安全專業人才的培養，提高網絡安全事件應急指揮能力，不斷提升網絡安全綜合防護水平。

4 結 語

就業務發展現狀與配套的網絡安全保障手段而言，電力企業還存在安全統一管控能力弱、業務系統安全風險多、被動防御機制局限、安全專員能力不足等問題，華電科工集團在這方面已積累了一定的經驗，可供同類企業參考：電力企業的網絡安全防護體系建設，不僅要注重補全基礎安全技術及能力手段的建設，更要關注安全管理的制度完善及規范標準落地以及安全運營的能力注入，將產品的安全能力與人的技術有機整合，形成自適應生長的網絡安全防護體系。

“實戰化下的三維防護相結合”是一種適用于電力企業的的網絡安全防護體系，具備極強的先進性、科學性、全面性，可幫助電力企業建設高效率、低成本的網絡安全縱深防線，抵御網絡威脅，從而保障電力企業網絡運行的安全性，促使電力企業生產業務的高效持續發展，保障民生民力，助力祖國經濟騰飛。