国网湖南省电力有限公司信息通信分公司
国网湖南省电力有限公司长沙供电分公司
摘要:近年来,国际网络安全形势日益紧张,网络战成为政治军事对抗的重要组成,电力行业关键信息基础设施成为网络攻击首选目标。传统的网络安全边界防护无法有效应对新形势下的网络攻击,信息系统自身的脆弱性成为被动网络安全防御机制的弱点。国网湖南电力坚持“依法依规、以人为本、立体防御、创新发展”的原则,以构建主动防御安全管理体系为主线,坚持战时思维,按照“战区+兵种”的“作战”模式,以打造“平战结合”的可持续安全运营模式为基础,以全场景网络安全技防体系建设为重点,以全过程研发风险管控体系建设为推力,通过安全文化建设营造浓厚安全文化氛围,提升人员主动防范意识,构建应对重大网络风险的主动防御安全管理体系,主动防御电网大面积停电、电网地理信息等核心数据被泄露的重大网络风险,坚决筑牢网络安全屏障,大力助推网信事业高质量发展。
企业简介:国网湖南省电力有限公司信息通信分公司(以下简称国网湖南信通公司)是国网湖南省电力有限公司(以下简称国网湖南电力)网络安全防护主要支撑机构、湖南公司数字化转型的数字技术支撑和技术监督机构、湖南公司互联网和通信专业省级业务实施单位。近三年先后荣获“国家电网公司先进集体”、“国家电网公司信息通信工作先进集体”、国家电网公司“青创赛”金奖、国家电网公司网络攻防先进集体等荣誉称号。国网湖南信通公司省重点实验室获批,多个科研项目荣获国家电网公司科技进步一等奖、中国计算机学会二等奖、中国电力联合会创新成果一等奖等奖项。
国网湖南省电力有限公司长沙供电分公司成立于1978年,是国家电网有限公司大型供电企业、国网湖南省电力有限公司的分公司,供电范围覆盖全市六区两市一县,供电面积1.19万平方公里,服务电力客户469.8万户。公司先后荣获中央企业先进集体、全国文明单位、全国五一劳动奖章、全国创建文明行业示范点、全国模范职工之家、全国抗冰救灾先进集体等多项荣誉。
一、应对重大网络风险的主动防御安全管理体系创新与实践的实施背景
(一)国内外网络安全形势日益严峻的迫切需要
当前,国内外网络安全形势极其严峻复杂,网络空间正成为国家间战略博弈的新高地,网络战成为政治军事对抗的重要组成。党中央、国务院高度重视网络安全,习近平总书记多次就网络安全发表重要讲话,强调“没有网络安全就没有国家安全”。近年来,《关键信息基础设施保护条例》、《中华人民共和国数据安全法》等国家网络安全法律法规相继出台,网络安全监管和执法更为严格,对各企业网络安全工作提出了更高的要求。电力企业作为电力关键信息基础设施的运营者,为防范因网络攻击造成的大规模停电,亟需建设应对重大网络风险的主动防御安全管理体系,用新的网络安全格局保障电网的新发展格局。
(二)新型电力系统建设的技术变革带来新的网络风险
新型电力系统是新型数字技术与传统电网技术深度融合的电力系统,新型电力系统建设背景下的电网形态发生了深刻变化,电力企业网络安全防护体系在“采、传、存、用”各层面均面临新的挑战。
数字化转型是新型电力系统建设的重要支撑,移动应用、物联网、边缘计算等新技术在电力企业数字化建设中得到广泛应用,信息系统本身面临的网络安全威胁更加复杂。此外,信息系统传统的瀑布式开发模式转变为敏捷开发模式,信息系统的发布速度迅速提升,而企业中的专职安全人员投入未能相应提升,导致信息系统的“速度”和“风险”难以平衡。
(三)传统的网络安全被动防御管理体系难以适应新挑战
二、应对重大网络风险的主动防御安全管理体系创新与实践的主要做法
(一)构建顶层设计框架体系,绘制主动防御创新蓝图
1.总体思路
电力企业面对的重大网络风险是指信息系统漏洞、计算机病毒、网络攻击、网络侵入等,最终将导致电网大面积停电、电网地理信息等核心数据泄露。主动防御是指在发生危害网络安全的事件前,采取相应的防护措施;事件发生时,立即启动应急预案,避免、转移、降低网络风险。
国网湖南电力坚持高点定位、战时思维和目标导向,以构建主动防御安全管理体系为主线,坚持战时思维,按照“战区+兵种”的“作战”模式,以打造“平战结合”的可持续安全运营模式为基础,以全场景网络安全技防体系建设为重点,以全过程研发风险管控体系建设为推力,通过安全文化建设营造浓厚安全文化氛围,提升人员主动防范意识,全面构建应对重大网络风险的主动防御安全管理体系,实现“四个转变”,即由边界隔离向纵深防御的转变、由被动防守向主动防护的转变、由挖掘安全漏洞向保障业务安全的转变、由基础运维向安全运营的转变,打造可应对“战时”条件的电网关键信息基础设施网络安全防护屏障,全面防范重大网络风险。
2.建设目标
国网湖南电力以“筑牢电网网络安全屏障,增强企业网络安全防御能力和威慑能力”为总体目标,建立纵深防御的全场景网络安全防护体系,健全各方协同联动的“平战结合”运营机制,源头治理夯实信息系统本体安全,实现全员参与网络安全的防控格局。通过构建展应对重大网络风险的主动防御安全管理体系,增强企业网络安全防御能力和威慑能力,坚持筑牢网络安全屏障,确保不发生重大网络安全事件以及因网络攻击危害电网安全的事件为数字电网建设提供网络安全防护支撑,进一步保障电网业务和新型业务创新发展。
3.基本原则
“以人为本”:强化人在网络安全防护中的主观能动性,落实人员安全责任,通过增强人防意识、普及人防知识、提升人防技能,筑牢网络安全人防体系,全面提升人员安全素养,高效协同保障业务安全发展。
“立体防御”:紧跟数字中国、数字电网建设需要,打造全面覆盖、主动出击、平战结合、措施有效的网络安全立体防御体系,确保安全防护措施更精准、可落地,全面保障公司核心网络与系统的安全稳定运行。
“创新发展”:加强网络安全管理、技防及安全基础设施创新建设,做到网络安全与业务发展协调一致、齐头并进,全面保障新兴业务及重要数据的安全。
(二)构建应对重大网络风险的全场景技防体系,筑牢安全防护屏障
国网湖南电力坚持“战时”思维,遵循“分区分层、动态感知、主动防护、自主可控”的路线,建成全场景网络安全技术防护体系,全面提升网络安全纵深防御能力、主动防护能力,筑牢网络安全防护屏障。
1.实施分区分层防护措施,全方位构筑纵深安全防线
以开放可信为核心,由外到内建立由边界防护、隔离区前置安全防护等构成的纵深防御体系,形成的“三区六层”的总体网络格局。
全面部署以“三道防线”为基础的安全防护措施。在“三区”(生产控制大区、管理信息大区和互联网大区)内部署了纵深防护措施,确立以“三道防线”(互联网边界、信息内外网边界、管理信息大区与生产控制大区边界)为基础的网络安全纵深防护体系,全面部署横纵向边界、第三方边界防护设施,防范从互联网到重要电网业务系统的网络攻击,防范以电厂、变电站为突破口对电力监控系统的网络攻击,在保证安全的前提下实现稳定可靠的电网业务服务。
明确分层防护要求,保护核心业务与数据。明确电网核心区、大电网、重要客户、核心数据、内网业务、外网业务“六层”防护,按照安全防护策略实施的重要性和优先级,完成六个层级的安全防护,确保“网络战”条件下电网关键基础设施安全。
2.打造安全态势感知平台,全场景构建智能安全大脑
建立覆盖全业务、全场景、全终端的动态监测感知平台。通过收集流量、日志、资产等安全数据,结合大数据技术和威胁情报进行集中处理、关联分析,绘制覆盖三个大区、六个层级的网络安全“布防一张图”,以实现全省态势统一的安全监测分析,提升应对安全风险的智能分析响应能力,做到攻击的发现、定位、处置、预警均在5分钟内完成,为“战时”安全运营提供数据支撑。
全场景构建智能“安全大脑”。汇聚10余套安全系统数据至数据中台,应用深度学习算法建立主机及业务流量基线,捕获攻击,识别威胁,提升安全风险精准研判预警能力。总结提炼攻击处置过程,建立发现-分析-处置模型,完成17个应用和10类典型安全事件处置流程编排,实现省地两级安全设备联防联动、网络攻击一键处置。
3.转变被动防御安全理念,多维度强化主动防护能力
以事前发现预警、主动威慑反制为目标,建设“主动发现、主动预测、主动反制”的防护措施,实现被动防御向主动防护的有效转变。
主动发现漏洞。研究电力系统漏洞检测技术,研制电力工业控制系统网络安全漏洞挖掘专业装备,并结合资产稽查、漏洞挖掘等措施,确保电力系统安全无漏洞运行。主动预测威胁。利用安全分析模型对多种安全威胁数据进行自动化挖掘和网络威胁情报关联分析,研究面向电力攻防场景的高级定制化监测分析技术,实现未知安全威胁的精准预测。主动反制敌人。将“看见看清”的响应处置措施与预警响应、自动化改进和威慑反制措施相结合,实现对攻击者的精准画像绘制和攻击行为的主动反制,以达到威胁处置的主动反制。提出基于蜜罐欺骗防御和引流的主动反制技术框架,将攻击者主动牵制至蜜罐,进而对攻击者采取身份追溯、攻击工具破坏、反向攻击等反制措施,克服了传统防御手段只能被动防守的缺陷。
4.推进安全装备自主可控,深层次建立战时生存根基
(三)构建应对“网络战”的网络安全运营体系,实现联动协同防御
国网湖南电力建立了网络安全“平战结合”运营机制,平时“红蓝对抗、以攻促防,知己知彼、有备无患”,持续驱动感知预测、监测分析、动态防御、处置响应能力的迭代优化。战时“统一指挥、协同应急、红蓝一体、警企合作”,联合各方力量,预测攻击意图,分级精准处置,联合实施反制,为应对“电力战”背景下的网络安全挑战打下坚实基础。
1.平时稳扎稳打,夯实平战转换基础
强化网络安全力量的组织与协同。组织上,组建两级网络安全运营组织,在公司建立一级网络安全监测中心,在33个市州公司、直属单位建立二级网络安全监测中心。机制上,打造由公司指挥协调,市州公司、直属单位联动处置的一体化联合指挥机制,实现网络安全监控情报集中、分析集中、处置集中。
常态化开展7×24小时网络安全监测分析。组织开展7x24小时现场值班值守工作,实时对监测发现的网络攻击告警、终端病毒感染告警和新型漏洞威胁等进行分析、上报。
建立网络安全督查机制。建立常态化网络安全督查机制,常态化开展网络安全技术督查工作,涵盖物理、边界、网络、应用、主机等。
2.战时快速响应,实现联动协同作战
构建“1+1+5+33”的战时作战指挥体系。按照“统一指挥、战区主站、兵种协同、联合作战”思路,构建了“1(总指挥部)+1(作战指挥中心)+5(信通、调控、运检、营销4个专业组和后勤保障组)+33(14个市州公司和19个直属单位共计33个作战防区)”的作战指挥体系。公司作战指挥中心、作战防区严格执行7×24小时值班,建立日例会、重大事项报告制度、信息报送和工作联系机制,做到战时期间敏捷响应,重大安全事件及时处置决策。
建立三级联动、内外军企联动机制。建立国网公司总指挥部、湖南公司总指挥部、各二级单位防区指挥部组成三级作战指挥、联动联防的战时作战指挥体系,组建三级作战队伍,按照7×24小时轮班制执行网络安全监测值守、攻击反制、战时网络运维、应急处置、网络恢复等任务。深化军企合作模式,在极端情况下及时向军区申请技术人员支援、作战装备、使用0day漏洞库等,以扩大作战人员编制,满足网络攻击反制人员需求,并进一步增加溯源反制能力,强化对敌反攻。
(四)构建适应数字化转型的全过程风险管控体系,实现风险源头防控
国网湖南电力首次在电力行业实现了国际领先的敏捷安全研发(DevSecOps)模型的落地实践,以“源头治理、深度检测、全程管控”为思路,创新性构建全过程风险管控体系,打通了开发团队与安全团队之间的专业壁垒,有效实现传统的单点安全管控向覆盖数字化项目全过程的多节点管控的转变,主动发现系统本身的安全漏洞隐患。
1.从严从细抓好源头治理,筑牢信息系统安全设计根基
项目前期实施阶段式网络安全审查。在数字化项目可研阶段,根据信息系统所涉及的业务类型、终端类型、部署方式等特点,梳理共性和个性的网络安全风险,进行轻量型安全威胁建模。在可研评审时由安全评审专家进行安全架构评审,指导信息系统建设人员制定安全的技术路线,打好信息系统的“地基”。在信息系统设计阶段,由安全评审专家进行概要设计安全评审,对信息系统的安全技术路线、安全防护措施等内容进行把关,确保信息系统安全设计合规、安全功能完整,杜绝后期无法整改的设计缺陷。在信息系统研发阶段,项目启动会上对建设人员交底电力企业的网络安全要求、安全测试常识等,确保系统建设人员掌握企业的网络安全要求。
2021年以来完成了600余个数字化项目的源头安全审查,覆盖率100%,安全评审时及时消缺安全设计缺陷2769处,有效提升信息系统自身的安全性,避免因信息系统安全功能缺失、数据安全防护措施缺失等原因造成的核心数据泄露、系统无法运行等安全风险。
项目后期实施全方位网络安全检测。打造了半自动化安全测试工具链,将安全测试能力赋予信息系统开发、运维人员,使得参与信息系统研发、运维及管理的各团队均参与到主动消缺信息系统安全隐患的工作中。在信息系统的测试、上线阶段,由系统开发人员与安全质检人员共同采用人工验证与自动化工具相结合的检测方式,发现信息系统代码层面及运行环境的安全隐患。在运行阶段,网络安全督查队伍对在运信息系统开展常态的隐患排查,维持系统安全漏洞动态清零。
自主研发自动化安全基线检测工具。对于机械性、重复性的安全测试工作,研发了自动测试工具,实现90%网络安全基线配置问题的一键式安全校验,将信息系统安全基线测试能力赋予信息系统运维人员,主动发现系统运行环境的安全隐患。
3.搭建网络安全线上管理平台,固化全程风险管控流程
为固化全过程风险管控模型的各项流程,聚焦信息系统建设中业务需求及安全需求的落实程度,首次搭建了网络安全专业的管理平台。
做全安全业务流程,提高线上化管理程度。网络安全管理平台主要包括安全测评、漏洞管理、安全服务看板等模块,初步实现了专业管理和工作流程的线上化、自动化。做实安全隐患收敛,有效降低系统运营风险。通过漏洞管控模块将安全隐患发现、确认、修复、复核等流程线上化、透明化,切实做到了已发现安全隐患的100%闭环处置。做全安全数据融合,可视化安全风险。集中收集信息系统的安全数据,将系统的网络安全基础数据、不同环节和不同检测工具发现的安全缺陷数据进行集中管理,为信息系统建立了“安全档案”,为网络安全防护体系优化提供数据基础。
(五)构建二维三级文化培育模式,厚植网络安全文化
从“两个维度”培育安全文化,即安全意识到位、安全能力合格。从“三个层级”夯实安全能力教育,即“企业全员-系统建运团队-安全专业人员”人人有能力保安全。
1.常态化网络安全意识教育,安全理念深入人心
层层动员部署,形成全员参与网络安全的防控格局。每年开展“网络安全到基层”、“网络安全宣传周”等大型网络安全主题活动,提升人员的网络安全意识,营造网络安全人人学、人人抓、人人保的良好氛围。
各级单位常态“讲安全”。各级领导“带头讲”,内外部专家“巡回讲”,基层员工“人人讲”,解读国家网络安全战略、实际生产业务中的网络安全知识,力求讲到实处,将安全文化建设与电网业务深度融合。
2.精准化网络安全能力培养,安全教育夯基固本
培育信息系统建运团队“管业务必须管安全”的安全理念。参与信息系统建设的全员履行各自的安全生产责任,高效协同建设安全的信息系统。为建设团队提供安全管理制度培训,掌握网络安全管理整体的流程机制。为研发人员提供安全编码、安全测试、漏洞整改的安全技术知识培训,指导其安全编码,会使用自动化安全测试工具,能修复常见的安全漏洞。为运维人员提供基本的安全基线加固知识培训,维护系统运行环境安全,具备常见基线配置加固的能力。
培育网络安全专业人员“履职尽责”的安全理念。依托国网湖南电力培训中心建立网络安全实训场地,组织研发了网络安全实训项目课程,按照核心电网安全、数据安全、云平台安全、业务安全等技术方向培养网络安全技术骨干,每年举办不低于4期普及型和提高型的培训班,与外部专业认证培训机构合作,送培参加国内外公认高水准的专业培训取证,培养各类型安全技术人才,服务电网业务发展。
(六)构建主动防御的支撑保障体系,提升网络安全管理质效
1.建立健全网络安全组织体系,确保工作有序开展
国网湖南电力网络安全工作实行统一领导、分级管理,各二级单位成立了以主要负责人为组长的网络安全领导小组,负责网络安全重大事项决策。管理体系方面,科技数字化部和调控中心负责网络安全归口管理。监督体系方面,各二级单位安监部门负责监督检查和事件调查。保障体系方面,国网湖南信通公司作为主要支撑机构支撑全省网络安全防护体系建设,其余各二级单位信通公司提供网络安全的技术保障。
2.培养网络安全专业人才队伍,打造“湘电尖兵”
建立网络安全红蓝队管理机制。建立“能进能出、能上能下、灵活高效”的柔性团队管理机制,每年进行一次人才选拔,按照“积分制、服役制”,从安全技术、安全管理、成果推广、安全竞赛、工作支撑五个维度综合评定人员的技术能力和业绩贡献,年度考评淘汰不合格队员。
轮岗轮训打好人才基础。按照“交流培养制”组织红蓝队员跨单位交流,省级层面,每年组织3期省级红蓝队员培养交流,到期后对培养交流对象开展培养鉴定;国家电网公司层面,每年选拔省级红蓝队员在国家电网公司总部轮岗学习。
实战对抗打造技术专家。常态开展节假日、重要会议等重大活动的网络安全保障提升蓝队队员安全监测处置技术水平,每季度开展一次网络安全演习提升红队队员发现安全漏洞隐患的技术能力,通过参与国家级网络安全实战攻防演习提升网络安全人才的解决复杂问题的能力水平,打造核心技术专家。
3.完善网络安全制度标准库,安全管理依法合规
专业化解读国家新颁布的《等保》《中华人民共和国数据安全法》、《关键信息基础设施保护条例》等法律法规、能源行业新实施的《电力行业网络安全等级保护管理办法法》,梳理电力行业需履行的网络安全要求,保障网络安全管理合法合规。
分层级梳理国家电网公司四级制度标准,建立贯穿数字化项目建设全过程的制度标准目录,将网络安全管理和技术两方面的要求体系化,构建企业级网络安全管理基线标准。查漏补缺,新增适用于新技术、新业务的安全管理制度,保障新形势下网络安全职责落实到位、安全工作有据可依。沉淀安全评审和安全测试知识经验,建立实用化的标准规范与操作规程,流程化安全测试标准,统一各级网络安全管理、测试人员的执行标准。
4.加强网络安全防护基础设施建设,增强高质量发展动能
为支持主动防御网络安全管理体系建设,国网湖南电力购置了入侵防御、入侵检测、网络流量分析等网络安全监测设备,购置了主机、数据库、Web应用等安全漏洞检测设备,以及实战攻防平台等其它软硬件设备,开发了电力企业专用的防病毒、桌面终端管理、安全态势感知平台、终端准入平台等网络安全管理系统,全方位加强网络安全基础设施建设。建设了工控网络安全实验室、网络安全攻防对抗实训实战基地,搭建电力系统网络安全仿真环境,模拟网络安全实战攻防场景,全力保障本项目保质保量完成。
三、应对重大网络风险的主动防御安全管理体系创新与实践的实施效果
(一)管理效益成效显著
主动预测风险,突破面向电力攻防场景的高级定制化监测分析技术。提出了融合流分析与大数据挖掘的网络安全实时监测与关联分析方法,安全监测性能比传统安全设备提升6倍,实现了电力系统工业控制指令、电力专用通信协议畸形报文、敏感数据安全等深度安全监测,年均监测网络攻击135万余次,研判发布重大网络安全事件736条,填补了高级定制化电力网络攻击监测技术空白。
突出源头治理,信息系统网络风险得到有效管控。打造网络安全线上化管控平台,实现200余个数字化项目的网络安全管控流程线上化、自动化,为公司信息系统建立了线上安全档案。遴选组建20人的安全评审专家团队,支撑国网湖南电力1073个数字化项目的可研评审和概要设计评审,及时消缺安全设计缺陷2769处,系统上线后已知漏洞数较之前减少72%,有效避免因系统架构设计不合理、安全功能缺失等原因造成的安全隐患,大大降低系统上线后漏洞隐患治理成本。
打造先进工具,漏洞隐患全过程治理质效得到显著提升。攻克了电力专用协议漏洞智能挖掘、电力系统漏洞轻量无损渗透验证技术,实现漏洞发现和整改效率3倍提升,漏洞探测对电力系统和业务无影响。研制了电力工业控制系统网络安全漏洞挖掘专业装备,累计挖掘电力首发漏洞4367个,被国家和社会机构通报的漏洞数量下降70%。将安全检测与研发过程管理有机结合,量身打造交互式、自动化的安全测试工具链,2021年7月以来,在122个信息系统的迭代开发过程中应用,发现并及时消缺传统手段难以发现的研发类漏洞5622个。自主研发安全基线自动化检测工具,实现安全基线“一键式”自动校验,赋能系统运维人员,安全检测效率提升90%。
筑牢人才基石,网络安全国网级人才数量实现新的突破。健全网络安全分级培训体系,完成安全基础培训5万人次,有效夯实全员网络安全意识。面向专业人员,以省信通公司为主要阵地,常态化开展“背靠背”实战攻防,为全省锻造了一支24人的网络安全红蓝队,培养了一批蓝队作战指挥官、国网尖兵部队的储备队员,2021年新入选国网公司红队队员5人,2022年新入选国网蓝队作战指挥官2人,较2020年国网公司级专家人才4人,实现人数增长175%,其中蓝队作战指挥官人数在国网系统省公司中排名第一。在“湖湘杯”、中国能源网络安全大赛等省部级及以上网络安全竞赛中取得13项荣誉。
(二)社会效益逐步彰显
安全基础全面夯实,“平战结合”运营机制取得实效,实战化运营能力行业领先。国网湖南电力圆满完成2020年至2023年国家级网络安全实战演习、湖南省网络安全实战演习、党的二十大网络安全保障任务,用实际成绩验证了在面对国家级水平网络攻击时的风险防控能力,国家级演习防守方加分排名行业领先。
大力培养实战运营人才,红蓝队员安全隐患发现能力显著提升,研制的联动防御与威胁反制平台,在历年国家级网络安全演习中发挥重要作用,历年演习期间追溯反制攻击获得防守方加分第一。
(三)示范效益明显提升
聚焦新型电力系统,打造国家级创新试点示范。建立应对“网络战”的网络安全运营体系,获得湖南省军区领导高度认可。制定了《支撑能源互联网安全的攻防一体化安全运营解决方案》,该方案成功入选国家工信部网络安全技术应用试点示范支持项目,充分彰显国网湖南电力作为电网企业在国家网络空间安全治理的央企担当。