李伯愷，吳勝龍，張亞奇，劉雪松，杜 建

(中國華電科工集團(tuán)有限公司，北京 100070)

0 前 言

近年來，全球網(wǎng)絡(luò)安全事件頻出。2013年針對伊朗核電站的“震網(wǎng)攻擊”、美國NASA噴氣推動實驗室的核心資料失竊，以及2017年5月爆發(fā)的“永恒之藍(lán)”事件等，暴露了政府和企業(yè)在網(wǎng)絡(luò)安全管理工作中存在的諸多問題，特別是在網(wǎng)絡(luò)安全運(yùn)營監(jiān)測、態(tài)勢感知、威脅預(yù)警和分析處置方面缺乏必要的技術(shù)手段和足夠的能力。

黨的十八大以來，以習(xí)近平為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，提出了建設(shè)網(wǎng)絡(luò)強(qiáng)國的戰(zhàn)略主張。在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》和國家能源局印發(fā)《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》稿中明確要求完善網(wǎng)絡(luò)安全監(jiān)督管理體制機(jī)制，加強(qiáng)全方位網(wǎng)絡(luò)安全管理，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，加強(qiáng)行業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)和電力企業(yè)數(shù)據(jù)安全保護(hù)，提高網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警及應(yīng)急處置能力，積極推動電力行業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展。

隨著數(shù)字華電戰(zhàn)略實施，華電科工需要打破壁壘、面向數(shù)字化轉(zhuǎn)型。在此過程中，由于整體網(wǎng)絡(luò)安全環(huán)境復(fù)雜多變，網(wǎng)絡(luò)安全邊界外延擴(kuò)大，給信息系統(tǒng)、數(shù)據(jù)的安全帶來了嚴(yán)峻挑戰(zhàn)。

1 網(wǎng)絡(luò)安全綜合防護(hù)基本概念

網(wǎng)絡(luò)安全通常是指網(wǎng)絡(luò)系統(tǒng)中的硬件、軟件受到保護(hù)，不能被更改、泄露和破壞，保證整個網(wǎng)絡(luò)得到可持續(xù)的穩(wěn)定運(yùn)行，并且信息能夠被完整傳送以及得到很好保密。因此，計算機(jī)網(wǎng)絡(luò)安全涉及網(wǎng)絡(luò)硬件、通信協(xié)議、加密技術(shù)等領(lǐng)域，而網(wǎng)絡(luò)安全防護(hù)體系則是基于多項安全技術(shù)集成的基礎(chǔ)之上，依據(jù)一定的安全策略建立起來的。

網(wǎng)絡(luò)安全行業(yè)內(nèi)經(jīng)常使用一個動態(tài)安全模型——網(wǎng)絡(luò)安全滑動標(biāo)尺模型。通過這個模型，企業(yè)安全管理員可更好地理解安全投資的目標(biāo)和影響，構(gòu)建安全計劃成熟度模型，按階段劃分網(wǎng)絡(luò)攻擊從而進(jìn)行根本原因分析，助力企業(yè)安全防護(hù)體系建設(shè)。該標(biāo)尺模型共包含五大類別，分別為架構(gòu)安全(Architecture)、被動防御(Passive Defense)、積極防御(Active Defense)、情報(Intelligence)和進(jìn)攻(Offense)。這五大類別之間具有連續(xù)性關(guān)系，并有效展示了防御逐步提升的理念。

架構(gòu)安全：在系統(tǒng)規(guī)劃、建立和維護(hù)的過程中充分考慮安全防護(hù)。

被動防御：在無人員介入的情況下，附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)。

積極防御：分析人員對處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)(經(jīng)驗)和應(yīng)用知識(理解)的過程。

威脅情報：收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息，并將信息生產(chǎn)加工為評估結(jié)果以填補(bǔ)已知知識缺口的過程。

反制進(jìn)攻：在友好網(wǎng)絡(luò)之外對攻擊者采取的直接行動(按照國內(nèi)網(wǎng)絡(luò)安全法要求，企業(yè)主要通過法律手段對攻擊者進(jìn)行反擊)。

為了實現(xiàn)可持續(xù)的安全運(yùn)營目標(biāo)，電力企業(yè)需要建立能夠隨著時間不斷演進(jìn)的安全架構(gòu)和技術(shù)支撐體系，這會讓電力企業(yè)在面對威脅和挑戰(zhàn)時不斷完善自身防御體系以及強(qiáng)化防御能力的“姿態(tài)”。

2 電力企業(yè)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀

在以實戰(zhàn)化為指導(dǎo)出發(fā)的網(wǎng)絡(luò)安全體系建設(shè)中，華電科工依據(jù)日常安全防護(hù)工作，以及網(wǎng)絡(luò)安全攻防演習(xí)期間、重大節(jié)日保障期間、集團(tuán)安全演練期間，發(fā)現(xiàn)了許多不容忽視的安全隱患，以及在業(yè)務(wù)的漏洞分析中企業(yè)存在保障資產(chǎn)安全合規(guī)工作的不足。2021年安全事件通報數(shù)量匯總見表1，系統(tǒng)高危漏洞類型分布見圖1。

2.1 安全管理現(xiàn)狀

隨著云大物智移的技術(shù)趨勢變化，電力企業(yè)也在積極完成數(shù)字化轉(zhuǎn)型。企業(yè)的信息化建設(shè)步伐逐步加快，一般電力企業(yè)內(nèi)部管理已初步建立信息安全管理制度、管理方法及手段。針對安全事件的管理辦法，企業(yè)主要參照零散的安全設(shè)備告警進(jìn)行安全管理。

安全管理不像網(wǎng)絡(luò)、業(yè)務(wù)等內(nèi)容更容易被管理者理解，而電力企業(yè)的生產(chǎn)系統(tǒng)隨著近年的發(fā)展，自動化程度較高，業(yè)務(wù)運(yùn)行的連續(xù)性高。在“保生產(chǎn)、促效益”為目標(biāo)的電力企業(yè)中，對工控環(huán)境的網(wǎng)絡(luò)安全問題缺乏有效管理，安全需求往往來源于合規(guī)性要求，缺乏針對企業(yè)工業(yè)環(huán)境有效的工控安全思考和規(guī)劃。

2.2 技術(shù)防護(hù)現(xiàn)狀

隨著信息化的中心業(yè)務(wù)不斷發(fā)展，建設(shè)的網(wǎng)絡(luò)信息系統(tǒng)數(shù)量繁多，包含但不限于：應(yīng)用子系統(tǒng)、服務(wù)器子系統(tǒng)、網(wǎng)絡(luò)子系統(tǒng)、工業(yè)監(jiān)控管理子系統(tǒng)、工業(yè)控制子系統(tǒng)、信息安全子系統(tǒng)等。另外，對電力網(wǎng)絡(luò)區(qū)域邊界也進(jìn)行了隔離改造。DMZ區(qū)、互聯(lián)網(wǎng)區(qū)、辦公內(nèi)網(wǎng)區(qū)、工業(yè)生產(chǎn)控制大區(qū)等進(jìn)行相應(yīng)安全能力建設(shè)，包含內(nèi)外網(wǎng)的邊界網(wǎng)關(guān)、入侵檢測、網(wǎng)閘等安全設(shè)備部署；對計算環(huán)境采取了防病毒、終端管控、主機(jī)加固、漏洞掃描等安全監(jiān)控與安全審計手段。

(1)安全數(shù)據(jù)過于分散。由于電力企業(yè)網(wǎng)絡(luò)承載業(yè)務(wù)種類和業(yè)務(wù)內(nèi)容量與日俱增，審計信息、生產(chǎn)信息、安全設(shè)備警告信息等都是比較重要的數(shù)據(jù)，這些數(shù)據(jù)對電力企業(yè)的穩(wěn)健發(fā)展具有非常重要的意義。全流量檢測、端點(diǎn)防護(hù)等安全技術(shù)逐步成為網(wǎng)絡(luò)安全的必要防護(hù)；然而攻擊痕跡大多存放在每個分散的安全系統(tǒng)孤島之上，電力企業(yè)安全運(yùn)行和處置人員難以快速找到安全的處置方法。

(2)電力工控系統(tǒng)防護(hù)能力薄弱。隨著智慧電廠的理念轉(zhuǎn)變，電廠工業(yè)控制系統(tǒng)采用專用硬件、軟件及工業(yè)通信協(xié)議(OPC、S7、CIP等)，在設(shè)計上基本沒有考慮互聯(lián)互通的通信安全問題；管理信息系統(tǒng)與生產(chǎn)監(jiān)控系統(tǒng)缺乏安全性的設(shè)計，存在大量可利用的系統(tǒng)漏洞，因此在監(jiān)控系統(tǒng)開放的同時，也減弱了系統(tǒng)與外界的隔離，監(jiān)控系統(tǒng)的安全隱患問題日益嚴(yán)峻。

(3)高級威脅檢測滯后。隨著時代的變化，網(wǎng)絡(luò)攻擊形式也發(fā)生了變化，黑客組織將目標(biāo)轉(zhuǎn)移到了國家的關(guān)鍵基礎(chǔ)設(shè)施上。對電力企業(yè)的網(wǎng)絡(luò)安全而言，高級的威脅攻擊手段非常巧妙，容易利用高精尖技術(shù)和手段躲開傳統(tǒng)的安全防御系統(tǒng)。這是因為傳統(tǒng)的安全防御系統(tǒng)注重單次行為的識別及判斷，缺乏長期關(guān)聯(lián)性分析，面對未知、新穎的攻擊方法難以有效防御，對高級威脅攻擊檢測效果不夠理想。

(4)海量的安全設(shè)備告警掩蓋真實威脅。安全事件溯源是分析安全事故的重要內(nèi)容，只有掌握安全事件發(fā)生的根本原因，才能開展有針對性的處理；然而看似直觀的可視化偵測技術(shù)卻把安全運(yùn)維人員帶入了極其混沌的空間，當(dāng)面對大型網(wǎng)絡(luò)中的海量安全數(shù)據(jù)，安全人員淹沒其中，根本不能有效地發(fā)現(xiàn)攻擊。對安全日志進(jìn)行日常篩選，占據(jù)了安全運(yùn)維人員的大部分工作時間，從而可能導(dǎo)致淹沒在海量日志中的關(guān)鍵高級威脅不被發(fā)現(xiàn)。

2.3 安全運(yùn)營現(xiàn)狀

隨著電力企業(yè)的規(guī)模逐漸擴(kuò)大，企業(yè)信息系統(tǒng)規(guī)模日益龐大，整個信息網(wǎng)中存在的安全風(fēng)險隱患也在不斷增加；另外，大多電力企業(yè)安全管理人員數(shù)量不足，安全運(yùn)營人員往往都是身兼數(shù)職，無法做到專人專崗專責(zé)，專業(yè)技能更新速度更是無法跟上安全技術(shù)的發(fā)展。這種情況嚴(yán)重影響了安全威脅事件的檢測、分析與處置效率，無法保證高效的安全運(yùn)營閉環(huán)管理。

(1)安全運(yùn)營技術(shù)及手段缺乏。很多電力企業(yè)缺少安全專項人員，一般只能通過日常巡檢、日常策略更新對設(shè)備進(jìn)行運(yùn)維，安全設(shè)備告警不能覆蓋管理全網(wǎng)IT、OT資產(chǎn)，無法滿足對全網(wǎng)資產(chǎn)進(jìn)行有效管理的需求；雖然通過漏洞掃描系統(tǒng)發(fā)現(xiàn)已有資產(chǎn)漏洞，但企業(yè)又不具備對資產(chǎn)進(jìn)行補(bǔ)丁管理、安全配置、系統(tǒng)加固的能力和手段。

(2)安全運(yùn)營分析及響應(yīng)效率低下。當(dāng)發(fā)生安全事件時，電力企業(yè)無法進(jìn)行全面、深入的攻擊事件溯源分析；缺乏統(tǒng)一的安全事件監(jiān)測手段以及多維的關(guān)聯(lián)分析手段，不能對全網(wǎng)的安全狀態(tài)進(jìn)行感知，且安全告警誤報嚴(yán)重，難以及時發(fā)現(xiàn)真正的攻擊，不能有效識別內(nèi)外部安全狀態(tài)；缺乏基于場景化的攻擊威脅檢測，難以發(fā)現(xiàn)主機(jī)失陷、主機(jī)外聯(lián)、隱蔽通道等黑客常用手段的威脅；缺乏外部威脅情報支持，不能及時掌握敵對勢力組織攻擊情報信息；缺乏自動響應(yīng)處置手段，當(dāng)發(fā)生安全事件時，只能通過人工方式進(jìn)行響應(yīng)。

3 電力企業(yè)網(wǎng)絡(luò)安全綜合防護(hù)體系的建設(shè)

3.1 網(wǎng)絡(luò)安全體系設(shè)計

結(jié)合當(dāng)前的電力網(wǎng)絡(luò)安全現(xiàn)狀和行業(yè)內(nèi)優(yōu)秀經(jīng)驗，電力企業(yè)應(yīng)當(dāng)圍繞“實戰(zhàn)化下的三維防護(hù)”理念進(jìn)行網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，堅持以面向?qū)崙?zhàn)化安全防護(hù)體系為核心，健全安全管理方式，重構(gòu)安全技術(shù)手段、深化企業(yè)安全運(yùn)營；以安全服務(wù)為抓手，推動電力企業(yè)內(nèi)部的靈活應(yīng)用，聯(lián)防聯(lián)控，搭建自上而下的縱深防御防護(hù)體系。

3.2 高度重視網(wǎng)絡(luò)安全能力建設(shè)

華電科工一直高度重視網(wǎng)絡(luò)與信息化安全綜合防護(hù)能力建設(shè)，在集團(tuán)公司網(wǎng)絡(luò)信息安全統(tǒng)一規(guī)劃和指導(dǎo)下，積極開展春秋季信息安全隱患排查工作，并根據(jù)檢查結(jié)果進(jìn)行總結(jié)、經(jīng)驗交流、問題整改等一系列工作。華電科工信息管理部還根據(jù)領(lǐng)導(dǎo)指示，結(jié)合網(wǎng)絡(luò)與信息安全熱點(diǎn)事件，每年舉辦以網(wǎng)絡(luò)信息安全為主題的培訓(xùn)活動，加強(qiáng)華電科工領(lǐng)導(dǎo)和員工的網(wǎng)絡(luò)與信息化安全防范意識。

3.3 網(wǎng)絡(luò)安全綜合防護(hù)能力建設(shè)

華電科工網(wǎng)絡(luò)與信息安全工作在集團(tuán)公司網(wǎng)信安全框架下，通過管理維度、技術(shù)維度以及運(yùn)營維度構(gòu)建統(tǒng)一完善的信息安全保障體系。

(1)管理維度建設(shè)。關(guān)于實戰(zhàn)化對抗中的“對手組織化”，電力企業(yè)將“對手”從普通的網(wǎng)絡(luò)犯罪變成了組織化的攻擊，攻擊方式從通用攻擊轉(zhuǎn)為復(fù)雜組合的定向攻擊。因此，首先要加強(qiáng)內(nèi)部組織機(jī)構(gòu)，成立網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)工作小組，編制完善網(wǎng)絡(luò)安全管理制度，完善安全責(zé)任制，以集中化管理模式指導(dǎo)并監(jiān)管下屬單位、工控電廠等進(jìn)行網(wǎng)絡(luò)安全內(nèi)容建設(shè)。其次要落實安全管理組織結(jié)構(gòu)，補(bǔ)充現(xiàn)有網(wǎng)絡(luò)安全工作人員，同時落實下屬單位網(wǎng)絡(luò)安全工作的責(zé)任人。再次，企業(yè)應(yīng)制定相應(yīng)的網(wǎng)絡(luò)安全建設(shè)制度規(guī)范，形成標(biāo)準(zhǔn)化的建設(shè)指南，指導(dǎo)下級單位進(jìn)行安全建設(shè)；并制定安全考核評分規(guī)則，量化下屬單位安全建設(shè)工作，對評分倒數(shù)的單位進(jìn)行領(lǐng)導(dǎo)約談和及時整改；加強(qiáng)網(wǎng)絡(luò)安全春季和秋季等安全檢查工作，督促下屬單位進(jìn)行安全自查及安全問題整改。

(2)技術(shù)維度完善。面向電力企業(yè)新一代信息技術(shù)的全面應(yīng)用，帶來了信息化系統(tǒng)的公有云遷移，工業(yè)物聯(lián)網(wǎng)的數(shù)字化底座融合，使信息載體變化，威脅形勢也隨之發(fā)生變化；電力企業(yè)需構(gòu)建云上數(shù)據(jù)中心的安全防護(hù)體系，打通控制平面實現(xiàn)安全防護(hù)體系和云環(huán)境的一體化編排調(diào)度；在生產(chǎn)數(shù)據(jù)上，電力企業(yè)需建設(shè)數(shù)據(jù)安全治理系統(tǒng)，梳理數(shù)據(jù)資產(chǎn)，并進(jìn)行分類分級，確定數(shù)據(jù)安全屬性、環(huán)境安全屬性及訪問控制策略；企業(yè)還需構(gòu)建面向安全實戰(zhàn)化的網(wǎng)絡(luò)安全統(tǒng)一管控平臺，通過“云上”、傳統(tǒng)信息化、工業(yè)生產(chǎn)域多層次的基礎(chǔ)安全能力補(bǔ)齊，匯聚安全數(shù)據(jù)的中心，有效支持事件處置、多源情報融合、深度威脅獵殺等安全運(yùn)行工作，形成聯(lián)防聯(lián)控的實戰(zhàn)化網(wǎng)絡(luò)安全防護(hù)體系。

(3)安全運(yùn)營維度。面對新的安全形勢和安全環(huán)境，安全防護(hù)體系建設(shè)從合規(guī)導(dǎo)向轉(zhuǎn)向能力導(dǎo)向，網(wǎng)絡(luò)安全防護(hù)和監(jiān)管都更加關(guān)注實戰(zhàn)化，實網(wǎng)攻防演習(xí)成為常態(tài)化手段。電力企業(yè)應(yīng)以實戰(zhàn)化的安全服務(wù)為抓手，不斷對信息化的發(fā)展提出安全要求；依托集團(tuán)、各分子公司單位和第三方專家機(jī)構(gòu)，設(shè)立安全運(yùn)營中心，組建安全專家團(tuán)隊，加強(qiáng)網(wǎng)絡(luò)安全運(yùn)營服務(wù)支撐人員力量，配置安全運(yùn)營所必須的崗位編制，明確崗位職責(zé)及工作范圍。網(wǎng)絡(luò)安全運(yùn)營工作需把安全能力服務(wù)化，在保障華電科工信息系統(tǒng)安全、穩(wěn)定運(yùn)行的前提下，對下屬單位提供安全能力輸出，指導(dǎo)并監(jiān)管下級單位安全工作開展，包括：網(wǎng)絡(luò)安全威脅分析、安全事件應(yīng)急響應(yīng)、定期信息系統(tǒng)漏洞掃描、春秋季安全專項檢查、網(wǎng)絡(luò)安全宣教月活動等工作。通過統(tǒng)一管理公司運(yùn)維服務(wù)工作，編制網(wǎng)絡(luò)安全運(yùn)維管理體系，將運(yùn)維工作標(biāo)準(zhǔn)化、流程化、可視化。安全運(yùn)營從人員、流程、技術(shù)3個方面進(jìn)行一體化設(shè)計，制定安全運(yùn)營能力提升計劃，定期對安全運(yùn)營能力進(jìn)行評估，找出差距，并持續(xù)完善提升計劃，驅(qū)動安全運(yùn)營體系的逐漸成熟。

綜上所述，華電科工的網(wǎng)絡(luò)安全綜合防護(hù)能力建設(shè)工作在華電集團(tuán)公司的規(guī)劃和領(lǐng)導(dǎo)下，結(jié)合自身網(wǎng)絡(luò)安全綜合防護(hù)能力建設(shè)過程中的網(wǎng)絡(luò)安全問題進(jìn)行全面整改；進(jìn)一步落實關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)責(zé)任，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)，完善網(wǎng)絡(luò)安全機(jī)制、手段和能力建設(shè)，加快對網(wǎng)絡(luò)安全專業(yè)人才的培養(yǎng)，提高網(wǎng)絡(luò)安全事件應(yīng)急指揮能力，不斷提升網(wǎng)絡(luò)安全綜合防護(hù)水平。

4 結(jié) 語

就業(yè)務(wù)發(fā)展現(xiàn)狀與配套的網(wǎng)絡(luò)安全保障手段而言，電力企業(yè)還存在安全統(tǒng)一管控能力弱、業(yè)務(wù)系統(tǒng)安全風(fēng)險多、被動防御機(jī)制局限、安全專員能力不足等問題，華電科工集團(tuán)在這方面已積累了一定的經(jīng)驗，可供同類企業(yè)參考：電力企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系建設(shè)，不僅要注重補(bǔ)全基礎(chǔ)安全技術(shù)及能力手段的建設(shè)，更要關(guān)注安全管理的制度完善及規(guī)范標(biāo)準(zhǔn)落地以及安全運(yùn)營的能力注入，將產(chǎn)品的安全能力與人的技術(shù)有機(jī)整合，形成自適應(yīng)生長的網(wǎng)絡(luò)安全防護(hù)體系。

“實戰(zhàn)化下的三維防護(hù)相結(jié)合”是一種適用于電力企業(yè)的的網(wǎng)絡(luò)安全防護(hù)體系，具備極強(qiáng)的先進(jìn)性、科學(xué)性、全面性，可幫助電力企業(yè)建設(shè)高效率、低成本的網(wǎng)絡(luò)安全縱深防線，抵御網(wǎng)絡(luò)威脅，從而保障電力企業(yè)網(wǎng)絡(luò)運(yùn)行的安全性，促使電力企業(yè)生產(chǎn)業(yè)務(wù)的高效持續(xù)發(fā)展，保障民生民力，助力祖國經(jīng)濟(jì)騰飛。