謝林江
(云南電網(wǎng)有限責任公司信息中心,昆明 650217)
發(fā)展新型電力系統(tǒng)是實現(xiàn)國家碳達峰碳中和目標的有效途徑,隨著電力行業(yè)數(shù)字化轉(zhuǎn)型的不斷推進和“云大物移智鏈”等新技術(shù)的深入應(yīng)用,數(shù)字電網(wǎng)規(guī)模不斷增大、網(wǎng)絡(luò)邊界趨于模糊、海量數(shù)據(jù)持續(xù)產(chǎn)生、多元信息融合交互,給新型電力系統(tǒng)安全帶來了新的威脅和挑戰(zhàn)。電力企業(yè)作為關(guān)系國家能源安全、國民經(jīng)濟命脈的重點骨干企業(yè),在日益嚴峻的網(wǎng)絡(luò)安全形勢和各類復(fù)雜網(wǎng)絡(luò)攻擊存在的情況下,其信息系統(tǒng)和基礎(chǔ)設(shè)施一旦遭到破壞或數(shù)據(jù)泄露,將嚴重危害到國家安全和公共利益。加強網(wǎng)絡(luò)安全防護、保護數(shù)字電網(wǎng)安全是建設(shè)新能源為主體的新型電力系統(tǒng)的重要保障。
新型電力系統(tǒng)因其靈活性、開放性、廣泛性、互聯(lián)性和共享性等特點擴大了網(wǎng)絡(luò)攻擊面,降低了網(wǎng)絡(luò)攻擊難度,正面臨著日益嚴峻的網(wǎng)絡(luò)安全形勢和新的安全風險。
一是網(wǎng)絡(luò)安全暴露面持續(xù)擴大。海量智能終端及網(wǎng)絡(luò)節(jié)點的廣泛接入使惡意攻擊者從物理上可接觸的對象增多、可攻擊路徑增加,并且這些節(jié)點很難被全面、及時地進行監(jiān)控,加大了網(wǎng)絡(luò)攻擊和入侵風險。
二是數(shù)據(jù)安全問題更加突出。新型電力系統(tǒng)因其擁有的“高質(zhì)量”數(shù)據(jù)逐漸成為攻擊者的“高價值”目標,加上更加頻繁的能源流、信息流和業(yè)務(wù)流深度融合交互,面臨著數(shù)據(jù)被非法獲取、破壞和利用的安全威脅,數(shù)據(jù)安全管控難度持續(xù)加大。
三是新型網(wǎng)絡(luò)攻擊層出不窮。新技術(shù)的迭代不斷催生新的安全威脅,0day漏洞、APT攻擊、社工攻擊、變種或新型惡意軟件等高級威脅很難被傳統(tǒng)檢測手段發(fā)現(xiàn),對傳統(tǒng)網(wǎng)絡(luò)安全防御體系形成挑戰(zhàn)。
基于上述突出的自身安全漏洞、數(shù)據(jù)安全風險和未知威脅攻擊難題,新型電力系統(tǒng)面臨著逐步推進安全可控、提高網(wǎng)絡(luò)安全保障水平、實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知和持續(xù)有效防護等深度防御要求。
電力企業(yè)經(jīng)過多年網(wǎng)絡(luò)安全建設(shè),已在基礎(chǔ)設(shè)施防護方面建立了較為齊備的網(wǎng)絡(luò)安全防御體系,但在貫徹落實國家“三化六防”網(wǎng)絡(luò)安全工作措施,不斷提升“實戰(zhàn)化、體系化、常態(tài)化”網(wǎng)絡(luò)安全能力,實現(xiàn)“動態(tài)防御、主動防御、縱深防御、精準防御、整體防御和聯(lián)防聯(lián)控”網(wǎng)絡(luò)安全防御要求下,企業(yè)的日常安全運營工作仍然存在諸多問題。
企業(yè)運行的安全防護和檢測系統(tǒng)種類繁多,安全防御體系還是以異構(gòu)設(shè)備堆疊式建設(shè)為主,如部署不同廠商的防火墻、漏掃、主機安全、WAF(網(wǎng)站應(yīng)用級入侵防御系統(tǒng))、IDPS(入侵檢測和預(yù)防服務(wù))等,各類安全防護系統(tǒng)未進行集中展現(xiàn)和管理,安全設(shè)備、安全應(yīng)用、安全數(shù)據(jù)、安全運營難以有效共享和關(guān)聯(lián),存在信息孤島效應(yīng)和防御孤島效應(yīng)。
面對海量安全數(shù)據(jù),傳統(tǒng)的集中化安全分析平臺(如SIEM安全管理平臺等)缺乏專注于攻擊意圖或基于已知行為預(yù)測未知安全風險的能力,存在關(guān)聯(lián)分析能力不足、智能化分析水平低等問題,難以識別多變、未知的安全威脅,從而無法實現(xiàn)智能監(jiān)測與預(yù)警。
安全系統(tǒng)每天產(chǎn)生大量告警,繁瑣的日志分析和事件處置需要人為地在各設(shè)備間跳轉(zhuǎn),無法通過智能化手段對安全告警進行自動驗證和處理,并對安全問題處理進度進行跟蹤反饋,缺乏安全事件自動監(jiān)測處置能力,實現(xiàn)事件閉環(huán)。
安全設(shè)備各自為戰(zhàn),缺乏常態(tài)化的大范圍安全設(shè)備、安全人員協(xié)同應(yīng)急處置能力,不能形成合力。安全事件分析與處置的聯(lián)動性不足,可能導(dǎo)致安全策略無法及時、有效執(zhí)行,造成安全事件升級。
本文提出建立以大數(shù)據(jù)為基礎(chǔ)、以智能分析為手段、以管理流程為驅(qū)動,集分析、預(yù)警、響應(yīng)處置為一體的智能化深度安全防御平臺,實現(xiàn)新型電力系統(tǒng)網(wǎng)絡(luò)安全智能化識別、事件自動化處理和安全協(xié)同管控的運營工作目標。
智能化深度安全防御平臺采用基于容器的分布式系統(tǒng)設(shè)計,按照模塊化、組件化的思想,以開放、簡單和實用為原則,采集、接入各類異構(gòu)安全設(shè)備、系統(tǒng)日志數(shù)據(jù),通過分布式存儲技術(shù)匯聚安全數(shù)據(jù)源,形成海量數(shù)據(jù)池,并經(jīng)模型化、范式化處理后,為上層的事件集中管理、關(guān)聯(lián)分析、響應(yīng)處置、協(xié)同調(diào)用等提供可靠的數(shù)據(jù)支撐。針對目前安全資源分散管理難、威脅發(fā)現(xiàn)預(yù)警不及時、安全處置響應(yīng)效率低、協(xié)同聯(lián)動防御能力弱等問題,平臺通過對告警數(shù)據(jù)、用戶行為數(shù)據(jù)、威脅情報信息和其他開源數(shù)據(jù)等進行結(jié)構(gòu)化處理,實現(xiàn)不同類型、不同環(huán)境數(shù)據(jù)的最優(yōu)匯集,繼而利用大數(shù)據(jù)技術(shù)與機器學(xué)習(xí)方法構(gòu)建多元應(yīng)用安全場景,比如安全關(guān)聯(lián)分析場景、威脅可視化場景、自動化封禁場景等,并與各應(yīng)用系統(tǒng)、安全系統(tǒng)等多方設(shè)備協(xié)同交互,進行資產(chǎn)同步更新,及時安全預(yù)警,秒級封禁處置,最終形成集成化的安全系統(tǒng)管理能力、智能化的關(guān)聯(lián)分析能力、自動化的事件處置能力和一體化的聯(lián)防聯(lián)控能力平臺,實現(xiàn)新型電力系統(tǒng)網(wǎng)絡(luò)安全智能化監(jiān)測、精準化預(yù)警與自動化處置。平臺技術(shù)架構(gòu)圖如圖1所示。
圖1 智能化深度安全防御平臺技術(shù)架構(gòu)圖
3.3.1 安全設(shè)備及系統(tǒng)集中管控
為實現(xiàn)對安全事件的集中監(jiān)控和綜合分析,將分布于各區(qū)域、各系統(tǒng)的安全資源納入統(tǒng)一平臺進行集中管控,利用統(tǒng)一認證技術(shù)、安全策略集中配置和分發(fā)技術(shù)、第三方設(shè)備及應(yīng)用的能力接口動作調(diào)用和執(zhí)行技術(shù),實現(xiàn)網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、終端安全、數(shù)據(jù)安全等系統(tǒng)的統(tǒng)一單點登錄、策略集中維護、調(diào)用編排管理等功能,整合相互獨立的安全系統(tǒng)運行信息,包括監(jiān)測對象的基本信息、性能信息、配置參數(shù)、故障數(shù)據(jù)等。在提高系統(tǒng)運行效率的基礎(chǔ)上,貫通共享各安全資源和效能,并抽象為統(tǒng)一策略的安全能力,使得資源被高效、便捷利用。安全設(shè)備及系統(tǒng)集中管控原理如圖2所示。
圖2 安全設(shè)備及系統(tǒng)集中管控原理圖
3.3.2 安全數(shù)據(jù)智能關(guān)聯(lián)分析
以發(fā)現(xiàn)安全威脅為導(dǎo)向,利用大數(shù)據(jù)技術(shù)、機器學(xué)習(xí),構(gòu)建多種智能分析引擎,包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、用戶行為分析引擎、攻擊鏈分析引擎等,對已知和未知的攻擊事件和潛在威脅進行深入的關(guān)聯(lián)分析,多維度感知網(wǎng)絡(luò)安全態(tài)勢,包括資產(chǎn)感知、漏洞感知、異常流量感知、用戶異常行為感知、攻擊感知、業(yè)務(wù)安全感知等;利用攻擊者同源技術(shù)和流式建模技術(shù),對攻擊來源、攻擊目的、攻擊路徑進行溯源分析,描繪完整事件攻擊鏈,對攻擊行為精準定位,實現(xiàn)安全威脅智能監(jiān)測與預(yù)警,消除低級安全事件的噪聲干擾,提高對網(wǎng)絡(luò)安全事件的準確識別能力。安全數(shù)據(jù)智能關(guān)聯(lián)分析原理如圖3所示。
圖3 安全數(shù)據(jù)智能關(guān)聯(lián)分析原理圖
3.3.3 安全事件自動處置
在具備事件集成能力和關(guān)聯(lián)分析能力的基礎(chǔ)上將人、安全技術(shù)、流程進行深度融合,基于對安全事件上下文全面、端到端的理解,通過場景編排,構(gòu)建安全事件處置工作流,自動化觸發(fā)第三方設(shè)備執(zhí)行響應(yīng)動作,對安全告警進行事前預(yù)測、事中響應(yīng)和事后處置,實現(xiàn)安全事件閉環(huán);通過深度分析和工單化的任務(wù)流轉(zhuǎn),實現(xiàn)安全威脅智能分析和自動化處置,對事前預(yù)警的威脅IP自動阻斷,對預(yù)設(shè)條件的攻擊事件通過聯(lián)動安全設(shè)備進行攻擊源頭一鍵秒封,節(jié)約分析研判的時間,提高安全事件的處置效率。安全事件自動處置原理如圖4所示。
圖4 安全事件自動化處置原理圖
3.3.4 安全運營協(xié)同防御
平臺收集各類異構(gòu)安全設(shè)備系統(tǒng)日志數(shù)據(jù),自動匹配、關(guān)聯(lián)相關(guān)資產(chǎn)信息,在全面、動態(tài)安全監(jiān)測的基礎(chǔ)上,打通人、工具、流程,構(gòu)建高效協(xié)同能力,范圍覆蓋各運營責任單位,以可視看板、自然語言、機器指令等形式,完成運營人員之間、設(shè)備原子能力之間、運營人員與設(shè)備原子能力之間的即時交互,并可直接調(diào)用設(shè)備聯(lián)動、劇本編排、安全指令等,進行安全事件調(diào)查、分析、處置、響應(yīng),實現(xiàn)多地多中心協(xié)同作戰(zhàn),提升新型電力系統(tǒng)安全運營工作聯(lián)防聯(lián)控能力。
3.4.1 整合資源,提升系統(tǒng)抗風險能力
智能化深度安全防御平臺集成各網(wǎng)絡(luò)、主機、終端、應(yīng)用資源,構(gòu)建安全系統(tǒng)集中管理中心,實現(xiàn)對多類安全資源深度整合、靈活擴展,徹底打破安全孤島現(xiàn)狀,在龐大數(shù)據(jù)流和復(fù)雜多變的攻擊場景面前,通過對安全設(shè)備進行合理配置和有效利用,讓不同的安全系統(tǒng)實現(xiàn)互聯(lián)互動、數(shù)據(jù)共享,消除安全監(jiān)管盲區(qū),提升新型電力系統(tǒng)整體網(wǎng)絡(luò)抗風險能力。
3.4.2 智能防御,提升整體安全防護能力
隨著網(wǎng)絡(luò)防御目標從已知威脅向未知威脅轉(zhuǎn)變,平臺基于動態(tài)監(jiān)測思維,綜合應(yīng)用威脅風險發(fā)現(xiàn)能力、安全事件關(guān)聯(lián)分析、高威脅事件提取和過濾能力等,主動發(fā)現(xiàn)和預(yù)測網(wǎng)絡(luò)安全風險,并協(xié)同威脅情報,自動關(guān)聯(lián)資產(chǎn)信息,實現(xiàn)精準防御。在此基礎(chǔ)上進行深度挖掘和攻擊溯源,揭示安全威脅和攻擊事件,利用自動化編排技術(shù)從預(yù)防、檢測,到威脅處置進行完全閉環(huán)的操作,提升新型電力系統(tǒng)整體安全防護能力。
3.4.3 高效協(xié)同,提升聯(lián)防聯(lián)控能力
平臺從數(shù)據(jù)與能力維度打通現(xiàn)有網(wǎng)絡(luò)安全防護體系內(nèi)的各類產(chǎn)品,采用靈活、高效的協(xié)同防御手段和技術(shù)實現(xiàn)跨設(shè)備、跨部門、跨區(qū)域深度融合和協(xié)作,并提供能集中管控和展現(xiàn)安全事件、安全工作的指標看板,實時、動態(tài)地反映各系統(tǒng)安全運行情況,指導(dǎo)企業(yè)開展日常安全運營工作。同時通過任務(wù)多領(lǐng)域協(xié)同、事件處置分級協(xié)同等實現(xiàn)資源智能調(diào)度和協(xié)同防御,達到一體化聯(lián)防聯(lián)控的目的,提升對新型電力系統(tǒng)網(wǎng)絡(luò)安全威脅識別、定位、響應(yīng)和處置等行動的能力和效率。
在電力企業(yè)大力實施數(shù)字化轉(zhuǎn)型背景下,持續(xù)提升新型電力系統(tǒng)網(wǎng)絡(luò)安全整體防御水平成為企業(yè)安全運營工作的重點。本文提出構(gòu)建以安全需求為導(dǎo)向的智能化深度安全防御平臺,實現(xiàn)了系統(tǒng)集中管理、事件關(guān)聯(lián)分析、自動化響應(yīng)處置、安全聯(lián)防聯(lián)控等功能,提高了“云數(shù)”一體架構(gòu)下新型電力系統(tǒng)智能化監(jiān)測、威脅發(fā)現(xiàn)和溯源、安全事件智能關(guān)聯(lián)分析和協(xié)同應(yīng)急處置等自主技術(shù)服務(wù)能力,在保障新型電力系統(tǒng)安全穩(wěn)定運行的基礎(chǔ)上,支撐電網(wǎng)數(shù)字化轉(zhuǎn)型工作的正常開展。