新型电力系统智能化深度安全防御平台构建_谢林江.pdf

2023年6期设计创新科技创新与应用Technology Innovation and Application新型电力系统智能化深度安全防御平台构建谢林江（云南电网有限责任公司信息中心，昆明 650217）发展新型电力系统是实现国家碳达峰碳中和目标的有效途径，随着电力行业数字化转型的不断推进和“云大物移智链”等新技术的深入应用，数字电网规模不断增大、网络边界趋于模糊、海量数据持续产生、多元信息融合交互，给新型电力系统安全带来了新的威胁和挑战。电力企业作为关系国家能源安全、国民经济命脉的重点骨干企业，在日益严峻的网络安全形势和各类复杂网络攻击存在的情况下，其信息系统和基础设施一旦遭到破坏或数据泄露，将严重危害到国家安全和公共利益。加强网络安全防护、保护数字电网安全是建设新能源为主体的新型电力系统的重要保障。1新型电力系统网络安全需求新型电力系统因其灵活性、开放性、广泛性、互联性和共享性等特点扩大了网络攻击面，降低了网络攻击难度，正面临着日益严峻的网络安全形势和新的安全风险。一是网络安全暴露面持续扩大。海量智能终端及网络节点的广泛接入使恶意攻击者从物理上可接触的对象增多、可攻击路径增加，并且这些节点很难被全面、及时地进行监控，加大了网络攻击和入侵风险。二是数据安全问题更加突出。新型电力系统因其拥有的“高质量”数据逐渐成为攻击者的“高价值”目标，加上更加频繁的能源流、信息流和业务流深度融合交互，面临着数据被非法获取、破坏和利用的安全威胁，数据安全管控难度持续加大。三是新型网络攻击层出不穷。新技术的迭代不断催生新的安全威胁，0day 漏洞、APT 攻击、社工攻击、变种或新型恶意软件等高级威胁很难被传统检测手段发现，对传统网络安全防御体系形成挑战。摘要：为提高“双碳”战略目标背景下的新型电力系统网络安全保障水平，构筑深度有效的网络安全防线，对新型电力系统面临的网络安全新形势进行分析，从常态化安全运营工作需求出发，研究企业现有安全防御体系存在的问题，采用资源整合技术、智能关联分析技术、自动化响应技术、协同防御技术，构建一个集智能防御、动态监测、即时响应与精准预测为一体的智能化深度安全防御平台，实现安全设备集中管控、安全数据智能分析、安全事件自动处置和安全运营协同防御，以此提升新型电力系统的网络抗风险能力、安全感知能力和整体防御能力，以快速、可视、智能的方式应对零日攻击、APT（高级持续性威胁）等复杂多变的网络攻击。关键词：新型电力系统；深度防御；集中管控；智能分析；自动化处置；联防联控中图分类号：TM732文献标志码：A文章编号：2095-2945（2023）06-0128-04Abstract:In order to improve the network security level of the new power system in the context of the strategic goal of Double Carbon and build a deep and effective network security defense line,the new situation of network security faced by thenew power system is analyzed.Based on the requirements of normal security operation,the problems existing in the existingsecurity defense system of enterprises are studied,and resource integration technology,intelligent association analysis technology,automatic response technology and cooperative defense technology are adopted,so as to build an intelligent in-depth securitydefense platform that integrates intelligent defense,dynamic monitoring,immediate response and accurate prediction.This paper isalso intended to realize centralized management and control of security equipment,intelligent analysis of security data,automatichandling of security incidents and collaborative defense of security operations,so as to improve the network anti-risk ability,security perception ability and overall defense capability of the new power system,and respond to complex and changeable networkattacks such as zero-day attacks and APTs(advanced persistent threats)in a fast,visual and intelligent way.Keywords:new power system;in-depth defense;centralized management and control;intelligent analysis;automatic disposal;joint defense and control作者简介：谢林江（1985-），男，工程师。研究方向为网络安全。DOI：10.19981/j.CN23-1581/G3.2023.06.030128-设计创新科技创新与应用Technology Innovation and Application2023年6期基于上述突出的自身安全漏洞、数据安全风险和未知威胁攻击难题，新型电力系统面临着逐步推进安全可控、提高网络安全保障水平、实现网络安全态势感知和持续有效防护等深度防御要求。2安全防护目前存在的问题电力企业经过多年网络安全建设，已在基础设施防护方面建立了较为齐备的网络安全防御体系，但在贯彻落实国家“三化六防”网络安全工作措施，不断提升“实战化、体系化、常态化”网络安全能力，实现“动态防御、主动防御、纵深防御、精准防御、整体防御和联防联控”网络安全防御要求下，企业的日常安全运营工作仍然存在诸多问题。2.1安全资源缺乏全面整合能力企业运行的安全防护和检测系统种类繁多，安全防御体系还是以异构设备堆叠式建设为主，如部署不同厂商的防火墙、漏扫、主机安全、WAF（网站应用级入侵防御系统）、IDPS（入侵检测和预防服务）等，各类安全防护系统未进行集中展现和管理，安全设备、安全应用、安全数据、安全运营难以有效共享和关联，存在信息孤岛效应和防御孤岛效应。2.2安全数据缺乏关联分析能力面对海量安全数据，传统的集中化安全分析平台（如SIEM 安全管理平台等）缺乏专注于攻击意图或基于已知行为预测未知安全风险的能力，存在关联分析能力不足、智能化分析水平低等问题，难以识别多变、未知的安全威胁，从而无法实现智能监测与预警。2.3安全事件自动化处置响应能力不足安全系统每天产生大量告警，繁琐的日志分析和事件处置需要人为地在各设备间跳转，无法通过智能化手段对安全告警进行自动验证和处理，并对安全问题处理进度进行跟踪反馈，缺乏安全事件自动监测处置能力，实现事件闭环。2.4缺乏一体化的协同作战能力安全设备各自为战，缺乏常态化的大范围安全设备、安全人员协同应急处置能力，不能形成合力。安全事件分析与处置的联动性不足，可能导致安全策略无法及时、有效执行，造成安全事件升级。3智能化深度安全防御平台构建3.1建设目标本文提出建立以大数据为基础、以智能分析为手段、以管理流程为驱动，集分析、预警、响应处置为一体的智能化深度安全防御平台，实现新型电力系统网络安全智能化识别、事件自动化处理和安全协同管控的运营工作目标。3.2建设思路智能化深度安全防御平台采用基于容器的分布式系统设计，按照模块化、组件化的思想，以开放、简单和实用为原则，采集、接入各类异构安全设备、系统日志数据，通过分布式存储技术汇聚安全数据源，形成海量数据池，并经模型化、范式化处理后，为上层的事件集中管理、关联分析、响应处置、协同调用等提供可靠的数据支撑。针对目前安全资源分散管理难、威胁发现预警不及时、安全处置响应效率低、协同联动防御能力弱等问题，平台通过对告警数据、用户行为数据、威胁情报信息和其他开源数据等进行结构化处理，实现不同类型、不同环境数据的最优汇集，继而利用大数据技术与机器学习方法构建多元应用安全场景，比如安全关联分析场景、威胁可视化场景、自动化封禁场景等，并与各应用系统、安全系统等多方设备协同交互，进行资产同步更新，及时安全预警，秒级封禁处置，最终形成集成化的安全系统管理能力、智能化的关联分析能力、自动化的事件处置能力和一体化的联防联控能力平台，实现新型电力系统网络安全智能化监测、精准化预警与自动化处置。平台技术架构图如图1所示。3.3功能设计3.3.1安全设备及系统集中管控为实现对安全事件的集中监控和综合分析，将分布于各区域、各系统的安全资源纳入统一平台进行集中管控，利用统一认证技术、安全策略集中配置和分发技术、第三方设备及应用的能力接口动作调用和执行技术，实现网络安全、主机安全、应用安全、终端安全、数据安全等系统的统一单点登录、策略集中维护、调用编排管理等功能，整合相互独立的安全系统运行信息，包括监测对象的基本信息、性能信息、配置参数、故障数据等。在提高系统运行效率的基础上，贯通共享各安全资源和效能，并抽象为统一策略的安全能力，使得资源被高效、便捷利用。安全设备及系统集中管控原理如图 2 所示。3.3.2安全数据智能关联分析以发现安全威胁为导向，利用大数据技术、机器学习，构建多种智能分析引擎，包括多源数据关联分析引擎、用户行为分析引擎、攻击链分析引擎等，对已知和未知的攻击事件和潜在威胁进行深入的关联分析，多129-2023年6期设计创新科技创新与应用Technology Innovation and Application图2安全设备及系统集中管控原理图维度感知网络安全态势，包括资产感知、漏洞感知、异常流量感知、用户异常行为感知、攻击感知、业务安全感知等；利用攻击者同源技术和流式建模技术，对攻击来源、攻击目的、攻击路径进行溯源分析，描绘完整事件攻击链，对攻击行为精准定位，实现安全威胁智能监测与预警，消除低级安全事件的噪声干扰，提高对网络安全事件的准确识别能力。安全数据智能关联分析原理如图 3 所示。图1智能化深度安全防御平台技术架构图3.3.3安全事件自动处置在具备事件集成能力和关联分析能力的基础上将人、安全技术、流程进行深度融合，基于对安全事件上下文全面、端到端的理解，通过场景编排，构建安全事件处置工作流，自动化触发第三方设备执行响应动作，对安全告警进行事前预测、事中响应和事后处置，实现安全事件闭环；通过深度分析和工单化的任务流转，实现安全威胁智能分析和自动化处置，对事前预警的威胁 IP 自动阻断，对预设条件的攻击事件通过联动安全设备进行攻击源头一键秒封，节约分析研判的时间，提高安全事件的处置效率。安全事件自动处置原理如图 4 所示。3.3.4安全运营协同防御平台收集各类异构安全设备系统日志数据，自动匹配、关联相关资产信息，在全面、动态安全监测的基础上，打通人、工具、流程，构建高效协同能力，范围覆盖各运营责任单位，以可视看板、自然语言、机器指令等形式，完成运营