謝林江

（云南電網(wǎng)有限責任公司信息中心，昆明 650217）

發(fā)展新型電力系統(tǒng)是實現(xiàn)國家碳達峰碳中和目標的有效途徑，隨著電力行業(yè)數(shù)字化轉(zhuǎn)型的不斷推進和“云大物移智鏈”等新技術(shù)的深入應(yīng)用，數(shù)字電網(wǎng)規(guī)模不斷增大、網(wǎng)絡(luò)邊界趨于模糊、海量數(shù)據(jù)持續(xù)產(chǎn)生、多元信息融合交互，給新型電力系統(tǒng)安全帶來了新的威脅和挑戰(zhàn)。電力企業(yè)作為關(guān)系國家能源安全、國民經(jīng)濟命脈的重點骨干企業(yè)，在日益嚴峻的網(wǎng)絡(luò)安全形勢和各類復(fù)雜網(wǎng)絡(luò)攻擊存在的情況下，其信息系統(tǒng)和基礎(chǔ)設(shè)施一旦遭到破壞或數(shù)據(jù)泄露，將嚴重危害到國家安全和公共利益。加強網(wǎng)絡(luò)安全防護、保護數(shù)字電網(wǎng)安全是建設(shè)新能源為主體的新型電力系統(tǒng)的重要保障。

1 新型電力系統(tǒng)網(wǎng)絡(luò)安全需求

新型電力系統(tǒng)因其靈活性、開放性、廣泛性、互聯(lián)性和共享性等特點擴大了網(wǎng)絡(luò)攻擊面，降低了網(wǎng)絡(luò)攻擊難度，正面臨著日益嚴峻的網(wǎng)絡(luò)安全形勢和新的安全風險。

一是網(wǎng)絡(luò)安全暴露面持續(xù)擴大。海量智能終端及網(wǎng)絡(luò)節(jié)點的廣泛接入使惡意攻擊者從物理上可接觸的對象增多、可攻擊路徑增加，并且這些節(jié)點很難被全面、及時地進行監(jiān)控，加大了網(wǎng)絡(luò)攻擊和入侵風險。

二是數(shù)據(jù)安全問題更加突出。新型電力系統(tǒng)因其擁有的“高質(zhì)量”數(shù)據(jù)逐漸成為攻擊者的“高價值”目標，加上更加頻繁的能源流、信息流和業(yè)務(wù)流深度融合交互，面臨著數(shù)據(jù)被非法獲取、破壞和利用的安全威脅，數(shù)據(jù)安全管控難度持續(xù)加大。

三是新型網(wǎng)絡(luò)攻擊層出不窮。新技術(shù)的迭代不斷催生新的安全威脅，0day漏洞、APT攻擊、社工攻擊、變種或新型惡意軟件等高級威脅很難被傳統(tǒng)檢測手段發(fā)現(xiàn)，對傳統(tǒng)網(wǎng)絡(luò)安全防御體系形成挑戰(zhàn)。

基于上述突出的自身安全漏洞、數(shù)據(jù)安全風險和未知威脅攻擊難題，新型電力系統(tǒng)面臨著逐步推進安全可控、提高網(wǎng)絡(luò)安全保障水平、實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知和持續(xù)有效防護等深度防御要求。

2 安全防護目前存在的問題

電力企業(yè)經(jīng)過多年網(wǎng)絡(luò)安全建設(shè)，已在基礎(chǔ)設(shè)施防護方面建立了較為齊備的網(wǎng)絡(luò)安全防御體系，但在貫徹落實國家“三化六防”網(wǎng)絡(luò)安全工作措施，不斷提升“實戰(zhàn)化、體系化、常態(tài)化”網(wǎng)絡(luò)安全能力，實現(xiàn)“動態(tài)防御、主動防御、縱深防御、精準防御、整體防御和聯(lián)防聯(lián)控”網(wǎng)絡(luò)安全防御要求下，企業(yè)的日常安全運營工作仍然存在諸多問題。

2.1 安全資源缺乏全面整合能力

企業(yè)運行的安全防護和檢測系統(tǒng)種類繁多，安全防御體系還是以異構(gòu)設(shè)備堆疊式建設(shè)為主，如部署不同廠商的防火墻、漏掃、主機安全、WAF（網(wǎng)站應(yīng)用級入侵防御系統(tǒng)）、IDPS（入侵檢測和預(yù)防服務(wù)）等，各類安全防護系統(tǒng)未進行集中展現(xiàn)和管理，安全設(shè)備、安全應(yīng)用、安全數(shù)據(jù)、安全運營難以有效共享和關(guān)聯(lián)，存在信息孤島效應(yīng)和防御孤島效應(yīng)。

2.2 安全數(shù)據(jù)缺乏關(guān)聯(lián)分析能力

面對海量安全數(shù)據(jù)，傳統(tǒng)的集中化安全分析平臺（如SIEM安全管理平臺等）缺乏專注于攻擊意圖或基于已知行為預(yù)測未知安全風險的能力，存在關(guān)聯(lián)分析能力不足、智能化分析水平低等問題，難以識別多變、未知的安全威脅，從而無法實現(xiàn)智能監(jiān)測與預(yù)警。

2.3 安全事件自動化處置響應(yīng)能力不足

安全系統(tǒng)每天產(chǎn)生大量告警，繁瑣的日志分析和事件處置需要人為地在各設(shè)備間跳轉(zhuǎn)，無法通過智能化手段對安全告警進行自動驗證和處理，并對安全問題處理進度進行跟蹤反饋，缺乏安全事件自動監(jiān)測處置能力，實現(xiàn)事件閉環(huán)。

2.4 缺乏一體化的協(xié)同作戰(zhàn)能力

安全設(shè)備各自為戰(zhàn)，缺乏常態(tài)化的大范圍安全設(shè)備、安全人員協(xié)同應(yīng)急處置能力，不能形成合力。安全事件分析與處置的聯(lián)動性不足，可能導(dǎo)致安全策略無法及時、有效執(zhí)行，造成安全事件升級。

3 智能化深度安全防御平臺構(gòu)建

3.1 建設(shè)目標

本文提出建立以大數(shù)據(jù)為基礎(chǔ)、以智能分析為手段、以管理流程為驅(qū)動，集分析、預(yù)警、響應(yīng)處置為一體的智能化深度安全防御平臺，實現(xiàn)新型電力系統(tǒng)網(wǎng)絡(luò)安全智能化識別、事件自動化處理和安全協(xié)同管控的運營工作目標。

3.2 建設(shè)思路

智能化深度安全防御平臺采用基于容器的分布式系統(tǒng)設(shè)計，按照模塊化、組件化的思想，以開放、簡單和實用為原則，采集、接入各類異構(gòu)安全設(shè)備、系統(tǒng)日志數(shù)據(jù)，通過分布式存儲技術(shù)匯聚安全數(shù)據(jù)源，形成海量數(shù)據(jù)池，并經(jīng)模型化、范式化處理后，為上層的事件集中管理、關(guān)聯(lián)分析、響應(yīng)處置、協(xié)同調(diào)用等提供可靠的數(shù)據(jù)支撐。針對目前安全資源分散管理難、威脅發(fā)現(xiàn)預(yù)警不及時、安全處置響應(yīng)效率低、協(xié)同聯(lián)動防御能力弱等問題，平臺通過對告警數(shù)據(jù)、用戶行為數(shù)據(jù)、威脅情報信息和其他開源數(shù)據(jù)等進行結(jié)構(gòu)化處理，實現(xiàn)不同類型、不同環(huán)境數(shù)據(jù)的最優(yōu)匯集，繼而利用大數(shù)據(jù)技術(shù)與機器學(xué)習(xí)方法構(gòu)建多元應(yīng)用安全場景，比如安全關(guān)聯(lián)分析場景、威脅可視化場景、自動化封禁場景等，并與各應(yīng)用系統(tǒng)、安全系統(tǒng)等多方設(shè)備協(xié)同交互，進行資產(chǎn)同步更新，及時安全預(yù)警，秒級封禁處置，最終形成集成化的安全系統(tǒng)管理能力、智能化的關(guān)聯(lián)分析能力、自動化的事件處置能力和一體化的聯(lián)防聯(lián)控能力平臺，實現(xiàn)新型電力系統(tǒng)網(wǎng)絡(luò)安全智能化監(jiān)測、精準化預(yù)警與自動化處置。平臺技術(shù)架構(gòu)圖如圖1所示。

圖1 智能化深度安全防御平臺技術(shù)架構(gòu)圖

3.3 功能設(shè)計

3.3.1 安全設(shè)備及系統(tǒng)集中管控

為實現(xiàn)對安全事件的集中監(jiān)控和綜合分析，將分布于各區(qū)域、各系統(tǒng)的安全資源納入統(tǒng)一平臺進行集中管控，利用統(tǒng)一認證技術(shù)、安全策略集中配置和分發(fā)技術(shù)、第三方設(shè)備及應(yīng)用的能力接口動作調(diào)用和執(zhí)行技術(shù)，實現(xiàn)網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、終端安全、數(shù)據(jù)安全等系統(tǒng)的統(tǒng)一單點登錄、策略集中維護、調(diào)用編排管理等功能，整合相互獨立的安全系統(tǒng)運行信息，包括監(jiān)測對象的基本信息、性能信息、配置參數(shù)、故障數(shù)據(jù)等。在提高系統(tǒng)運行效率的基礎(chǔ)上，貫通共享各安全資源和效能，并抽象為統(tǒng)一策略的安全能力，使得資源被高效、便捷利用。安全設(shè)備及系統(tǒng)集中管控原理如圖2所示。

圖2 安全設(shè)備及系統(tǒng)集中管控原理圖

3.3.2 安全數(shù)據(jù)智能關(guān)聯(lián)分析

以發(fā)現(xiàn)安全威脅為導(dǎo)向，利用大數(shù)據(jù)技術(shù)、機器學(xué)習(xí)，構(gòu)建多種智能分析引擎，包括多源數(shù)據(jù)關(guān)聯(lián)分析引擎、用戶行為分析引擎、攻擊鏈分析引擎等，對已知和未知的攻擊事件和潛在威脅進行深入的關(guān)聯(lián)分析，多維度感知網(wǎng)絡(luò)安全態(tài)勢，包括資產(chǎn)感知、漏洞感知、異常流量感知、用戶異常行為感知、攻擊感知、業(yè)務(wù)安全感知等；利用攻擊者同源技術(shù)和流式建模技術(shù)，對攻擊來源、攻擊目的、攻擊路徑進行溯源分析，描繪完整事件攻擊鏈，對攻擊行為精準定位，實現(xiàn)安全威脅智能監(jiān)測與預(yù)警，消除低級安全事件的噪聲干擾，提高對網(wǎng)絡(luò)安全事件的準確識別能力。安全數(shù)據(jù)智能關(guān)聯(lián)分析原理如圖3所示。

圖3 安全數(shù)據(jù)智能關(guān)聯(lián)分析原理圖

3.3.3 安全事件自動處置

在具備事件集成能力和關(guān)聯(lián)分析能力的基礎(chǔ)上將人、安全技術(shù)、流程進行深度融合，基于對安全事件上下文全面、端到端的理解，通過場景編排，構(gòu)建安全事件處置工作流，自動化觸發(fā)第三方設(shè)備執(zhí)行響應(yīng)動作，對安全告警進行事前預(yù)測、事中響應(yīng)和事后處置，實現(xiàn)安全事件閉環(huán)；通過深度分析和工單化的任務(wù)流轉(zhuǎn)，實現(xiàn)安全威脅智能分析和自動化處置，對事前預(yù)警的威脅IP自動阻斷，對預(yù)設(shè)條件的攻擊事件通過聯(lián)動安全設(shè)備進行攻擊源頭一鍵秒封，節(jié)約分析研判的時間，提高安全事件的處置效率。安全事件自動處置原理如圖4所示。

圖4 安全事件自動化處置原理圖

3.3.4 安全運營協(xié)同防御

平臺收集各類異構(gòu)安全設(shè)備系統(tǒng)日志數(shù)據(jù)，自動匹配、關(guān)聯(lián)相關(guān)資產(chǎn)信息，在全面、動態(tài)安全監(jiān)測的基礎(chǔ)上，打通人、工具、流程，構(gòu)建高效協(xié)同能力，范圍覆蓋各運營責任單位，以可視看板、自然語言、機器指令等形式，完成運營人員之間、設(shè)備原子能力之間、運營人員與設(shè)備原子能力之間的即時交互，并可直接調(diào)用設(shè)備聯(lián)動、劇本編排、安全指令等，進行安全事件調(diào)查、分析、處置、響應(yīng)，實現(xiàn)多地多中心協(xié)同作戰(zhàn)，提升新型電力系統(tǒng)安全運營工作聯(lián)防聯(lián)控能力。

3.4 應(yīng)用效果

3.4.1 整合資源，提升系統(tǒng)抗風險能力

智能化深度安全防御平臺集成各網(wǎng)絡(luò)、主機、終端、應(yīng)用資源，構(gòu)建安全系統(tǒng)集中管理中心，實現(xiàn)對多類安全資源深度整合、靈活擴展，徹底打破安全孤島現(xiàn)狀，在龐大數(shù)據(jù)流和復(fù)雜多變的攻擊場景面前，通過對安全設(shè)備進行合理配置和有效利用，讓不同的安全系統(tǒng)實現(xiàn)互聯(lián)互動、數(shù)據(jù)共享，消除安全監(jiān)管盲區(qū)，提升新型電力系統(tǒng)整體網(wǎng)絡(luò)抗風險能力。

3.4.2 智能防御，提升整體安全防護能力

隨著網(wǎng)絡(luò)防御目標從已知威脅向未知威脅轉(zhuǎn)變，平臺基于動態(tài)監(jiān)測思維，綜合應(yīng)用威脅風險發(fā)現(xiàn)能力、安全事件關(guān)聯(lián)分析、高威脅事件提取和過濾能力等，主動發(fā)現(xiàn)和預(yù)測網(wǎng)絡(luò)安全風險，并協(xié)同威脅情報，自動關(guān)聯(lián)資產(chǎn)信息，實現(xiàn)精準防御。在此基礎(chǔ)上進行深度挖掘和攻擊溯源，揭示安全威脅和攻擊事件，利用自動化編排技術(shù)從預(yù)防、檢測，到威脅處置進行完全閉環(huán)的操作，提升新型電力系統(tǒng)整體安全防護能力。

3.4.3 高效協(xié)同，提升聯(lián)防聯(lián)控能力

平臺從數(shù)據(jù)與能力維度打通現(xiàn)有網(wǎng)絡(luò)安全防護體系內(nèi)的各類產(chǎn)品，采用靈活、高效的協(xié)同防御手段和技術(shù)實現(xiàn)跨設(shè)備、跨部門、跨區(qū)域深度融合和協(xié)作，并提供能集中管控和展現(xiàn)安全事件、安全工作的指標看板，實時、動態(tài)地反映各系統(tǒng)安全運行情況，指導(dǎo)企業(yè)開展日常安全運營工作。同時通過任務(wù)多領(lǐng)域協(xié)同、事件處置分級協(xié)同等實現(xiàn)資源智能調(diào)度和協(xié)同防御，達到一體化聯(lián)防聯(lián)控的目的，提升對新型電力系統(tǒng)網(wǎng)絡(luò)安全威脅識別、定位、響應(yīng)和處置等行動的能力和效率。

4 結(jié)束語

在電力企業(yè)大力實施數(shù)字化轉(zhuǎn)型背景下，持續(xù)提升新型電力系統(tǒng)網(wǎng)絡(luò)安全整體防御水平成為企業(yè)安全運營工作的重點。本文提出構(gòu)建以安全需求為導(dǎo)向的智能化深度安全防御平臺，實現(xiàn)了系統(tǒng)集中管理、事件關(guān)聯(lián)分析、自動化響應(yīng)處置、安全聯(lián)防聯(lián)控等功能，提高了“云數(shù)”一體架構(gòu)下新型電力系統(tǒng)智能化監(jiān)測、威脅發(fā)現(xiàn)和溯源、安全事件智能關(guān)聯(lián)分析和協(xié)同應(yīng)急處置等自主技術(shù)服務(wù)能力，在保障新型電力系統(tǒng)安全穩(wěn)定運行的基礎(chǔ)上，支撐電網(wǎng)數(shù)字化轉(zhuǎn)型工作的正常開展。