2021（第九届）电力企业信息安全研讨会 -530- 基于场景化的网络安全态势感知建设与运营 雅砻江流域水电开发有限公司，游银辉 习近平总书记在 2018 年 4 月 20 日网络安全和 信息化工作座谈会上指出“金融、能源、电力、通 信、交通等领域的关键信息基础设施是经济社会运 行的神经中枢， 是网络安全的重中之重， 并强调 “物 理隔离”防线可被跨网入侵，电力调配指令可被恶 意篡改，应筑牢网络安全防线，提高网络安全保障 水平，强化关键信息基础设施防护，加强网络安全 预警监测，实现全天候全方位态势感知和监测预警。 雅砻江公司（以下简称“公司” ）积极贯彻落实 国家关键信息基础设施安全防护相关网络安全法律 和政策文件的最新要求，结合电力行业网络安全威 胁与自身业务发展战略，在 2018 年完成网络与信息 安全总体规划第二版相关工作，围绕“安全管理精 细化、安全运营常态化、安全防御智能化、安全评 价多元化”四化目标，开展网络安全态势感知平台 中心的建设以及安全运营工作，形成了一套以网络 安全场景化监测预警为核心的态势感知体系，为企 业业务发展和安全保障起到了保驾护航的作用。 1、态势感知安全数据缺失，无法有效覆盖威胁 分析场景。目前公司仅对网络安全设备日志进行统 一采集和集中分析，缺少全业务网络流量和终端日 志、外部威胁情报等关键态势感知要素数据，无法 支撑对复杂的攻击场景和高级威胁进行分析及追踪 溯源。 2、缺少场景化的关联分析能力，事件处置效率 低。传统的安全技术手段大多是利用已知攻击的特 征对行为数据进行简单的模式匹配，只关注单次行 为的识别和判断，无法基于场景化分析威胁分析模 型针对可疑攻击事件提供线索数据和关联分析能 力，导致安全事件误报高，分析研判价值低，安全 人员事件处置效率低下。 3、以态势感知为核心的云管端智能检测防御 体系亟待完善。公司现有安全防护系统呈现碎片化， 安全设备孤岛化等问题，无法实现高效的联防联动 体系，需以网络态势感知大脑为核心，围绕场景化 分析能力，打通预警、检测、防护、处置各环节形 成“云管端”一体化动态安全防护体系和人机协同 运营能力。 围绕网络攻击路径和安全场景，采用数据驱动 安全，构建智能化的网络安全监测预警、深度检测 与动态防御体系，形成人机协同的持续安全运营与 应急处置能力，实现网络攻击和威胁看的深，攻击 判的准，应急处置快，指挥协同畅的工作目标。 在网络安全领域的态势感知是指：在一定的时 间和空间范围内，对组织的安全状态以及威胁环境 的感知，理解这两者的含义以及意味的风险，并对 它们未来的状态进行预测。那么要实现企业态势的 感知必然要对现有网络环境中全量数据进行采集、 预处理、存储、统计分析、威胁建模及态势呈现， 而这过程中最核心的便是数据质量、场景化的数据 分析能力，因此场景化的态势感知以安全数据为核 心，威胁情报为驱动，场景化分析为手段，打通安 全运营中的检测、响应、预警、防御多个核心环节， 完善提升公司智能化防御体系。 3.1 安全场景与攻击路径梳理 根据洛克西德·马丁公司提出“攻击链模型” 及对常见黑客攻击渗透手法以及日常安全运营工作 将面临的安全威胁，将网络攻击行为分为六个步骤，