冯 杨
(云南电网有限责任公司 曲靖供电局,云南 曲靖 655000)
没有网络安全就没有国家安全,强调加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信以及交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。网络的安全指通过采用管理措施和各种技术使网络系统正常运行,从而确保网络数据的可用性、保密性以及完整性[1]。
电力网络的安全至关重要,只有做好了电力网络的安全工作,才能够保证电力网络更好地运行[2]。在信息技术、通信技术以及传感器技术等高新技术高速发展的推动下,电网已投运部署的系统也越来越多,各系统依赖的组件、中间件及数据库也是各式各样,加之投运后的系统开发商一般不会对系统依赖的组件、中间件及数据库进行主动版本升级,都由系统应用单位进行人工管理,导致对系统依赖组件的安全管理越来越复杂,难度和人员成本也逐渐增大,一旦这些组件被爆出存在漏洞而未被及时修复,则将直接影响电网的网络安全[3]。
电力作为基础行业,保障人们日常生活的同时为国家经济发展提供支撑[4]。面对日趋复杂的网络安全形势,电网各业务系统显现点多线长面广的特点,任何风险都可能导致重大网络安全事件,特别是由网络安全风险引发的大面积停电事故,将造成无可挽回的损失。
目前,遭受网络攻击态势主要有以下特点。一是攻击手段专业,存在DDoS、非法入侵、仿冒系统、钓鱼邮件以及暴力破解等攻击行为,攻击手段出现多样性、欺诈性及暴力性。二是攻击途径多样,无处不在的泛在电力终端,多样化的数据传输通道,被攻击对象包括企业信息系统、电子邮件以及DNS等,主要的攻击类型有社会工程学攻击和分发式拒绝服务攻击。三是目的多元化,DDoS攻击导致服务不可用,发电机组停运,设备跳闸,电力系统瘫痪,引起大面积停电。四是内部威胁不断,主要存在账号冒用、数据泄露、弱口令、人员安全意识不足、防火墙策略冗余以及设备老旧等问题。
数字化转型中,安全要求包含多个维度,如图1所示。具体为身份安全、云安全、高级威胁防护、移动安全、物联网安全、工控安全、数据安全、终端安全以及微服务安全等。
图1 安全要求维度示意图
各个高度信息化的单位对内网主动防御安全产品的需求凸现[5]。传统电力安全主要从分区防护、突出重点、区域隔离、网络专用、设备独立以及纵向防护几个方面进行考虑[6]。在数字化转型的趋势下,除扎实做好传统防护手段外,还需要从以下几方面来保障安全防护的要求。
一是转变安全思路,从传统安全的边界防护理念变为以数据和应用为核心的安全体系。二是强调体系建设,落实安全责任,完善安全管控机制,加强安全协同,加强云计算、工控、物联网、移动应用以及大数据等领域的安全防护能力。三是加强安全生态,推进构建行业、区域安全生态,加强威胁情报的共享与利用,提升针对APT网络威胁的溯源和对抗能力。四是加强等保体系建设,进一步加强与新信息化设施深度融合的网络安全等保体系的建设。等保2.0时代,等级保护不能只是为了应对合规,安全建设必须实现和新一代信息化系统的深度融合,全面覆盖。
随着数字南网建设的推进,网络安全也成为了其中重要的一环,如何在数字化转型过程中构建与新信息化设施深度融合的网络安全体系是长期的重点任务。文献[7]、文献[8]以及文献[9]从技术角度分别提出了主动型的安全态势感知和防御技术,而本文从整体安全角度出发,明确网络安全保障体系相关安全管理任务,以安全即服务为安全体系设计核心理念,以安全管控为导向,安全技术为支撑,标准规范为依据,安全组织为保障,安全运营为关键,充分发挥安全即服务的灵活性、便捷性以及高效性特点,有效保障公司信息化安全、有序发展,打造如图2所示具有电网特色的服务型安全保障体系。
图2 电网安全保障体系
完善安全管控机制,制定安全管控方针政策,落实安全责任,展开绩效考核,加强督查检查与安全协作,开展宣贯教育。明确安全管理任务,落实国家和行业网络安全政策要求,加强对资产、数据以及人员的安全管理,强化风险预警及应急处置管理能力。完善安全组织机构,根据安全保障需求完善机构设置和组织职责,加强协同机制建设,完善人员管理与培养,提升人员安全意识。研究国家和行业标准规范,完善信息安全规范及标准,借鉴国外先进标准规范,吸收优秀的成果,为网络安全建设提供规范标准支撑。加强安全技术防护,有效支撑安全运营,推进安全技术自主可控。建立安全运营体系,形成预测、防御、监测以及响应的一体化安全运营能力,实现闭环的安全运营及管理。
当前网络空间的攻防战是一场非对称战争,利用0-day漏洞新型威胁和攻击层出不穷,而传统方法在面对新型威胁和攻击时,防御和检测的效果甚微。故情报资讯获取的及时性已变得至关重要,同时国家和监管机构在网络安全法中也明确提出了检测预警与应急处置以及通报预警要求。
安全漏洞预警是基于自身威胁情报、安全大数据以及攻防能力的网络安全情报类资讯内容,包括实时的高危漏洞预警和当前安全漏洞热点资讯。漏洞预警囊括高危漏洞、漏洞热点资讯、威胁情报解读及漏洞分析统计等内容。漏洞预警结构如图3所示。
图3 漏洞预警结构图
4.2.1 加强数据全生命周期的防护
围绕数据从创建、传输、应用、存储以及销毁全生命周期过程,明确各个过程的安全目标,有效识别出各个过程的安全风险和制定相应的安全措施。
4.2.2 以数据驱动网络安全
通过对各类网络行为数据的记录、存储以及分析,从更高的视野和更广的角度发现异常,捕获威胁,实现威胁与入侵的快速监测、快速发现及快速响应,更好地应对不断变化与日益增长的安全威胁。数据驱动网络安全理念如图4所示。
图4 数据驱动网络安全理念
4.2.3 “人+机器”的新运营体系
智能化时代,网络安全的本质是人与人的对抗、人与机器的对抗以及人工智能的对抗,机器不能取代网络安全工程师,“人+机器”协同作战能极大提升战斗力[10]。
互联网的发展使信息安全向网络安全和网络空间安全聚焦。数字化转型给南方电网带来颠覆性改变的同时,也使得网络安全面临前所未有的变化和挑战,须针对数字化转型中在南方电网公司区域内的新型业务场景,以大安全视角全面分析电力企业面临的网络信息安全和综合安全风险,有力保障数字化建设和转型成功。在电网数字化转型的时代背景下,本文分析研究了当前电网在数字化转型过程中面临的安全挑战,并提出了一种与新信息化设施深度融合的,以安全即服务为安全体系设计核心理念的网络安全体系架构,并就漏洞预警、管控提升措施及注意问题等要点做了阐述,为基本的安全防护和解决措施给出相关建议。