电力企业网络安全综合防护体系的建设

李伯恺，吴胜龙，张亚奇，刘雪松，杜 建

(中国华电科工集团有限公司，北京 100070)

0 前 言

近年来，全球网络安全事件频出。2013年针对伊朗核电站的“震网攻击”、美国NASA喷气推动实验室的核心资料失窃，以及2017年5月爆发的“永恒之蓝”事件等，暴露了政府和企业在网络安全管理工作中存在的诸多问题，特别是在网络安全运营监测、态势感知、威胁预警和分析处置方面缺乏必要的技术手段和足够的能力。

党的十八大以来，以习近平为核心的党中央高度重视网络安全工作，提出了建设网络强国的战略主张。在《关键信息基础设施安全保护条例(征求意见稿)》和国家能源局印发《关于加强电力行业网络安全工作的指导意见》稿中明确要求完善网络安全监督管理体制机制，加强全方位网络安全管理，强化关键信息基础设施安全保护，加强行业网络安全基础设施建设和电力企业数据安全保护，提高网络安全态势感知、预警及应急处置能力，积极推动电力行业网络安全产业健康发展。

随着数字华电战略实施，华电科工需要打破壁垒、面向数字化转型。在此过程中，由于整体网络安全环境复杂多变，网络安全边界外延扩大，给信息系统、数据的安全带来了严峻挑战。

1 网络安全综合防护基本概念

网络安全通常是指网络系统中的硬件、软件受到保护，不能被更改、泄露和破坏，保证整个网络得到可持续的稳定运行，并且信息能够被完整传送以及得到很好保密。因此，计算机网络安全涉及网络硬件、通信协议、加密技术等领域，而网络安全防护体系则是基于多项安全技术集成的基础之上，依据一定的安全策略建立起来的。

网络安全行业内经常使用一个动态安全模型——网络安全滑动标尺模型。通过这个模型，企业安全管理员可更好地理解安全投资的目标和影响，构建安全计划成熟度模型，按阶段划分网络攻击从而进行根本原因分析，助力企业安全防护体系建设。该标尺模型共包含五大类别，分别为架构安全(Architecture)、被动防御(Passive Defense)、积极防御(Active Defense)、情报(Intelligence)和进攻(Offense)。这五大类别之间具有连续性关系，并有效展示了防御逐步提升的理念。

架构安全：在系统规划、建立和维护的过程中充分考虑安全防护。

被动防御：在无人员介入的情况下，附加在系统架构之上可提供持续的威胁防御或威胁洞察力的系统。

积极防御：分析人员对处于所防御网络内的威胁进行监控、响应、学习(经验)和应用知识(理解)的过程。

威胁情报：收集数据、将数据利用转换为信息，并将信息生产加工为评估结果以填补已知知识缺口的过程。

反制进攻：在友好网络之外对攻击者采取的直接行动(按照国内网络安全法要求，企业主要通过法律手段对攻击者进行反击)。

为了实现可持续的安全运营目标，电力企业需要建立能够随着时间不断演进的安全架构和技术支撑体系，这会让电力企业在面对威胁和挑战时不断完善自身防御体系以及强化防御能力的“姿态”。

2 电力企业网络安全发展现状

在以实战化为指导出发的网络安全体系建设中，华电科工依据日常安全防护工作，以及网络安全攻防演习期间、重大节日保障期间、集团安全演练期间，发现了许多不容忽视的安全隐患，以及在业务的漏洞分析中企业存在保障资产安全合规工作的不足。2021年安全事件通报数量汇总见表1，系统高危漏洞类型分布见图1。

2.1 安全管理现状

随着云大物智移的技术趋势变化，电力企业也在积极完成数字化转型。企业的信息化建设步伐逐步加快，一般电力企业内部管理已初步建立信息安全管理制度、管理方法及手段。针对安全事件的管理办法，企业主要参照零散的安全设备告警进行安全管理。

安全管理不像网络、业务等内容更容易被管理者理解，而电力企业的生产系统随着近年的发展，自动化程度较高，业务运行的连续性高。在“保生产、促效益”为目标的电力企业中，对工控环境的网络安全问题缺乏有效管理，安全需求往往来源于合规性要求，缺乏针对企业工业环境有效的工控安全思考和规划。

2.2 技术防护现状

随着信息化的中心业务不断发展，建设的网络信息系统数量繁多，包含但不限于：应用子系统、服务器子系统、网络子系统、工业监控管理子系统、工业控制子系统、信息安全子系统等。另外，对电力网络区域边界也进行了隔离改造。DMZ区、互联网区、办公内网区、工业生产控制大区等进行相应安全能力建设，包含内外网的边界网关、入侵检测、网闸等安全设备部署；对计算环境采取了防病毒、终端管控、主机加固、漏洞扫描等安全监控与安全审计手段。

(1)安全数据过于分散。由于电力企业网络承载业务种类和业务内容量与日俱增，审计信息、生产信息、安全设备警告信息等都是比较重要的数据，这些数据对电力企业的稳健发展具有非常重要的意义。全流量检测、端点防护等安全技术逐步成为网络安全的必要防护；然而攻击痕迹大多存放在每个分散的安全系统孤岛之上，电力企业安全运行和处置人员难以快速找到安全的处置方法。

(2)电力工控系统防护能力薄弱。随着智慧电厂的理念转变，电厂工业控制系统采用专用硬件、软件及工业通信协议(OPC、S7、CIP等)，在设计上基本没有考虑互联互通的通信安全问题；管理信息系统与生产监控系统缺乏安全性的设计，存在大量可利用的系统漏洞，因此在监控系统开放的同时，也减弱了系统与外界的隔离，监控系统的安全隐患问题日益严峻。

(3)高级威胁检测滞后。随着时代的变化，网络攻击形式也发生了变化，黑客组织将目标转移到了国家的关键基础设施上。对电力企业的网络安全而言，高级的威胁攻击手段非常巧妙，容易利用高精尖技术和手段躲开传统的安全防御系统。这是因为传统的安全防御系统注重单次行为的识别及判断，缺乏长期关联性分析，面对未知、新颖的攻击方法难以有效防御，对高级威胁攻击检测效果不够理想。

(4)海量的安全设备告警掩盖真实威胁。安全事件溯源是分析安全事故的重要内容，只有掌握安全事件发生的根本原因，才能开展有针对性的处理；然而看似直观的可视化侦测技术却把安全运维人员带入了极其混沌的空间，当面对大型网络中的海量安全数据，安全人员淹没其中，根本不能有效地发现攻击。对安全日志进行日常筛选，占据了安全运维人员的大部分工作时间，从而可能导致淹没在海量日志中的关键高级威胁不被发现。

2.3 安全运营现状

随着电力企业的规模逐渐扩大，企业信息系统规模日益庞大，整个信息网中存在的安全风险隐患也在不断增加；另外，大多电力企业安全管理人员数量不足，安全运营人员往往都是身兼数职，无法做到专人专岗专责，专业技能更新速度更是无法跟上安全技术的发展。这种情况严重影响了安全威胁事件的检测、分析与处置效率，无法保证高效的安全运营闭环管理。

(1)安全运营技术及手段缺乏。很多电力企业缺少安全专项人员，一般只能通过日常巡检、日常策略更新对设备进行运维，安全设备告警不能覆盖管理全网IT、OT资产，无法满足对全网资产进行有效管理的需求；虽然通过漏洞扫描系统发现已有资产漏洞，但企业又不具备对资产进行补丁管理、安全配置、系统加固的能力和手段。

(2)安全运营分析及响应效率低下。当发生安全事件时，电力企业无法进行全面、深入的攻击事件溯源分析；缺乏统一的安全事件监测手段以及多维的关联分析手段，不能对全网的安全状态进行感知，且安全告警误报严重，难以及时发现真正的攻击，不能有效识别内外部安全状态；缺乏基于场景化的攻击威胁检测，难以发现主机失陷、主机外联、隐蔽通道等黑客常用手段的威胁；缺乏外部威胁情报支持，不能及时掌握敌对势力组织攻击情报信息；缺乏自动响应处置手段，当发生安全事件时，只能通过人工方式进行响应。

3 电力企业网络安全综合防护体系的建设

3.1 网络安全体系设计

结合当前的电力网络安全现状和行业内优秀经验，电力企业应当围绕“实战化下的三维防护”理念进行网络安全防护体系建设，坚持以面向实战化安全防护体系为核心，健全安全管理方式，重构安全技术手段、深化企业安全运营；以安全服务为抓手，推动电力企业内部的灵活应用，联防联控，搭建自上而下的纵深防御防护体系。

3.2 高度重视网络安全能力建设

华电科工一直高度重视网络与信息化安全综合防护能力建设，在集团公司网络信息安全统一规划和指导下，积极开展春秋季信息安全隐患排查工作，并根据检查结果进行总结、经验交流、问题整改等一系列工作。华电科工信息管理部还根据领导指示，结合网络与信息安全热点事件，每年举办以网络信息安全为主题的培训活动，加强华电科工领导和员工的网络与信息化安全防范意识。

3.3 网络安全综合防护能力建设

华电科工网络与信息安全工作在集团公司网信安全框架下，通过管理维度、技术维度以及运营维度构建统一完善的信息安全保障体系。

(1)管理维度建设。关于实战化对抗中的“对手组织化”，电力企业将“对手”从普通的网络犯罪变成了组织化的攻击，攻击方式从通用攻击转为复杂组合的定向攻击。因此，首先要加强内部组织机构，成立网络安全与信息化领导工作小组，编制完善网络安全管理制度，完善安全责任制，以集中化管理模式指导并监管下属单位、工控电厂等进行网络安全内容建设。其次要落实安全管理组织结构，补充现有网络安全工作人员，同时落实下属单位网络安全工作的责任人。再次，企业应制定相应的网络安全建设制度规范，形成标准化的建设指南，指导下级单位进行安全建设；并制定安全考核评分规则，量化下属单位安全建设工作，对评分倒数的单位进行领导约谈和及时整改；加强网络安全春季和秋季等安全检查工作，督促下属单位进行安全自查及安全问题整改。

(2)技术维度完善。面向电力企业新一代信息技术的全面应用，带来了信息化系统的公有云迁移，工业物联网的数字化底座融合，使信息载体变化，威胁形势也随之发生变化；电力企业需构建云上数据中心的安全防护体系，打通控制平面实现安全防护体系和云环境的一体化编排调度；在生产数据上，电力企业需建设数据安全治理系统，梳理数据资产，并进行分类分级，确定数据安全属性、环境安全属性及访问控制策略；企业还需构建面向安全实战化的网络安全统一管控平台，通过“云上”、传统信息化、工业生产域多层次的基础安全能力补齐，汇聚安全数据的中心，有效支持事件处置、多源情报融合、深度威胁猎杀等安全运行工作，形成联防联控的实战化网络安全防护体系。

(3)安全运营维度。面对新的安全形势和安全环境，安全防护体系建设从合规导向转向能力导向，网络安全防护和监管都更加关注实战化，实网攻防演习成为常态化手段。电力企业应以实战化的安全服务为抓手，不断对信息化的发展提出安全要求；依托集团、各分子公司单位和第三方专家机构，设立安全运营中心，组建安全专家团队，加强网络安全运营服务支撑人员力量，配置安全运营所必须的岗位编制，明确岗位职责及工作范围。网络安全运营工作需把安全能力服务化，在保障华电科工信息系统安全、稳定运行的前提下，对下属单位提供安全能力输出，指导并监管下级单位安全工作开展，包括：网络安全威胁分析、安全事件应急响应、定期信息系统漏洞扫描、春秋季安全专项检查、网络安全宣教月活动等工作。通过统一管理公司运维服务工作，编制网络安全运维管理体系，将运维工作标准化、流程化、可视化。安全运营从人员、流程、技术3个方面进行一体化设计，制定安全运营能力提升计划，定期对安全运营能力进行评估，找出差距，并持续完善提升计划，驱动安全运营体系的逐渐成熟。

综上所述，华电科工的网络安全综合防护能力建设工作在华电集团公司的规划和领导下，结合自身网络安全综合防护能力建设过程中的网络安全问题进行全面整改；进一步落实关键信息基础设施防护责任，加强关键信息基础设施网络安全防护，完善网络安全机制、手段和能力建设，加快对网络安全专业人才的培养，提高网络安全事件应急指挥能力，不断提升网络安全综合防护水平。

4 结 语

就业务发展现状与配套的网络安全保障手段而言，电力企业还存在安全统一管控能力弱、业务系统安全风险多、被动防御机制局限、安全专员能力不足等问题，华电科工集团在这方面已积累了一定的经验，可供同类企业参考：电力企业的网络安全防护体系建设，不仅要注重补全基础安全技术及能力手段的建设，更要关注安全管理的制度完善及规范标准落地以及安全运营的能力注入，将产品的安全能力与人的技术有机整合，形成自适应生长的网络安全防护体系。

“实战化下的三维防护相结合”是一种适用于电力企业的的网络安全防护体系，具备极强的先进性、科学性、全面性，可帮助电力企业建设高效率、低成本的网络安全纵深防线，抵御网络威胁，从而保障电力企业网络运行的安全性，促使电力企业生产业务的高效持续发展，保障民生民力，助力祖国经济腾飞。