2021(第九届)电力企业信息安全研讨会
-692-
基于攻防对抗的电网企业网络空间安全主动
防御体系研究
国网山东省电力公司信息通信公司,曲延盛、李明、王云霄、张婕、盛华
摘 要:针对传统基于已有防御规则的被动防护体系无法感知和防御 0Day、APT 等“未知”威胁的问题,本文深入
分析电力系统网络安全防护需求,以打造实时监测、情报分析、溯源反制、预警处置“四项实战攻防对抗能力”为目标,
构建了基于攻防对抗的电网企业网络空间安全主动防御体系,实现网络安全防护从“被动响应”向“主动防御”的转变,
提升网络安全战斗力,打造网络安全新高地。
关键词:主动防御;实时侦察;情报分析;溯源反制;预警处置
近年来,网络空间斗争加剧,伊朗核工业“震
网”事件、乌克兰停电事件、委内瑞拉停电事件等
各类网络安全事件层出不穷,网络战已成为当今大
国博弈的重要领域。随着新业务新生态的不断涌现,
网络安全防护边界不断扩大,网络安全暴露面变得
越来越广泛,面向互联网开放的业务系统、自动化
控制系统、重要业务数据等,成为国网公司网络安
全风险的聚集区,现有基于已有防御规则的被动防
护已成为网络安全防护的瓶颈。因此,本文以打造
“四项实战攻防对抗能力”为目标,构建了基于攻
防对抗的电网企业网络空间安全主动防御体系,
实现网
络安全防护从“被动响应”向“主动防御”的转变。
传统 5*8 的网络安全实时监测,主要针对管理
信息大区和互联网大区,没有覆盖生产控制大区;
且黑客夜间的攻击数量较多,
5*8 监测值班非工作时
段防护力量非常弱。因此,本文制定了 7*24 的全场
景一体化监测制度,解决“敌明我暗”的问题。
1.1 生产控制大区监测
生产控制大区网络安全监测覆盖了五级电网调
度机构、各类变电站和发电厂,覆盖各级调控机构、
发电厂和变电站,对范围内服务器、工作站、交换
机、纵向加密、正/反向隔离等设备的网络安全事件
进行集中监视,具体架构如图 1(见下页)
。
本文将监测关口从网络边界前移到服务器、工
作站、交换机等具体设备,从每一台设备的网络访
问、设备接入、人员登录、设备操作、未知程序运
行五类可疑事件入手,及早发现并处置网络攻击、
病毒感染等各类安全事件。实时监视生产控制大区
内主机、网络等设备的操作事件和网络事件,识别
攻击行为和不安全行为,对异常事件和行为进行统
计和跟踪,实现对外部网络侵入、外部设备接入、
违规操作等行为的监视,并支撑相应的处置。生产
控制大区网络安全具体指标如下:
表 1 生产控制大区网络安全指标
序号 指标名称
计算方法
解释
1
密通率
密文流量/明文流
量+密文流量*100%
纵向加密装置中
密文流量占总流
量比例
2
在线率
1-离线数/资产总
数*100%
非离线资产在总
资产中的比率
3
告警
解决率
1-未解决告警数/
告警总数*100%
告警状态为已解
决的告警在所有
告警中的比例
打分:
0 星