*本文转载自中国电力报(10月19日),专栏设计引用自中国电力报
2022 年初,国家电网公司提出坚持“三融三化”发展思路,明确了今年是国家电网公司数字化转型的关键年,要求加快推进数字化转型,支撑新型电力系统建设。作为国家电网公司大型重点供电企业,近年来国网浙江杭州供电公司积极探索新型电力系统建设,着眼于示范引领,聚集“数智杭电”关键特征,领先建设数字化牵引新型电力系统省级示范区主阵地。
在数字化牵引新型电力系统建设过程中,面临着大量场景化业务安全、0day漏洞、APT 攻击等新型网络攻击的挑战。电力行业涉及“发、输、配、用、调度”等全过程,数据来源广、价值高,如何建立高效安全运营体系,保障网络数据安全,逐渐成为当下电力企业关注的焦点。
构建场景化网络安全运营应用
从 2021 年开始,杭州供电为了更好地应对日益严峻的网络安全形势,两年间根据实际业务需求从试点到落地快速构建了一体化网络安全运营应用。
2021 年,杭州供电场景化网络安全运营应用初步建成,安全防护聚焦泛亚运区域,以萧山区、临平区供电公司为试点,实施数据治理与融合,建立了场景化的网络安全模型,最终实现快速匹配电网业务场景,推进网络安全基础设施建设进程。今年,杭州供电持续优化网络安全模型及流程,逐步将可应用、标准化的网络安全模型覆盖至整个公司,并联动接入下属单位的安全设备,实现全公司安全数据在线协同、共享,从公司整体提升网络安全运营能力。
“三大模型”赋能电力网络安全
在模型部署过程中,杭州供电的网络安全运营应用搭建了大数据底座及高性能的 Future X 引擎,实时抓取平台纵向流量,助力杭州供电构建网络安全纵深防御体系。在完成资源部署的同时,杭州供电研发了“账号越权审计模型、自建小系统分析模型和设备仿冒检测模型”更加贴合电力场景需求的三大网络安全模型,高效精准把控“越权访问、使用他人账号登录”等内部违规行为及“自建小系统、设备仿冒”等外部安全风险,从整体上确保杭州电网的网络安全。
“三大模型”助力杭州供电实现从系统、账号、终端到数据的内外部纵深体系安全建设。首先,为解决越权访问安全问题研发的账号越权审计模型可实时预警越权账号,模型通过自主分析业务系统账号的访问规律及登录习惯,建立账号越权访问管理的规范及预警规则,对常用登录设备、登录 IP 和登录地点等进行系统检测分析,可快速匹配账号越权人员画像,实现对越权账号行为的实时检测及处置,确保系统账号安全。
其次,为规避违规接入的安全问题,杭州供电自建小系统分析模型可精准溯源自建系统,根据常用业务系统清单的关键属性快速建立业务系统白名单,同时对主机访问日志、终端管理设备日志、传输文件样本等数据进行全面分析,有效检测网络敏感数据的异常访问及外发行为,精准溯源到自建小系统并输出具体画像,快速定位识别、阻断自建小系统异常行为,提升系统数据安全。
最后,针对违规建设系统的安全问题,设备仿冒检测模型可快速检测异常设备,通过AI技术对业务终端经常访问的设备主机名、MAC地址、IP等进行唯一标识,建立设备资产指纹库。同时基于UEBA用户实体行为分析技术建立设备行为的流量、操作、访问频次等标准基线,当设备仿冒检测模型检测到偏离正常基线的设备活动时,将立刻对仿冒设备的恶意程序、后门活动轨迹等发出告警并进行自动化处置,确保电力终端网络安全。
截至目前,杭州供电搭建的网络安全模型已投入应用,逐步建立了满足电力行业多场景需求的网络安全运营应用,并在深信服科技股份有限公司专业解决方案和安全专家的支持下,实现了从“静态布防、边界监视”到“实时管控、纵深防御”的转变。未来,杭州供电将继续在“双碳”目标指导下,助力数字化牵引新型电力系统省级示范区主阵地建设。