2021（第九届）电力企业信息安全研讨会 -692- 基于攻防对抗的电网企业网络空间安全主动 防御体系研究 国网山东省电力公司信息通信公司，曲延盛、李明、王云霄、张婕、盛华 摘 要：针对传统基于已有防御规则的被动防护体系无法感知和防御 0Day、APT 等“未知”威胁的问题，本文深入 分析电力系统网络安全防护需求，以打造实时监测、情报分析、溯源反制、预警处置“四项实战攻防对抗能力”为目标， 构建了基于攻防对抗的电网企业网络空间安全主动防御体系，实现网络安全防护从“被动响应”向“主动防御”的转变， 提升网络安全战斗力，打造网络安全新高地。 关键词：主动防御；实时侦察；情报分析；溯源反制；预警处置 近年来，网络空间斗争加剧，伊朗核工业“震 网”事件、乌克兰停电事件、委内瑞拉停电事件等 各类网络安全事件层出不穷，网络战已成为当今大 国博弈的重要领域。随着新业务新生态的不断涌现， 网络安全防护边界不断扩大，网络安全暴露面变得 越来越广泛，面向互联网开放的业务系统、自动化 控制系统、重要业务数据等，成为国网公司网络安 全风险的聚集区，现有基于已有防御规则的被动防 护已成为网络安全防护的瓶颈。因此，本文以打造 “四项实战攻防对抗能力”为目标，构建了基于攻 防对抗的电网企业网络空间安全主动防御体系， 实现网 络安全防护从“被动响应”向“主动防御”的转变。 传统 5*8 的网络安全实时监测，主要针对管理 信息大区和互联网大区，没有覆盖生产控制大区； 且黑客夜间的攻击数量较多， 5*8 监测值班非工作时 段防护力量非常弱。因此，本文制定了 7*24 的全场 景一体化监测制度，解决“敌明我暗”的问题。 1.1 生产控制大区监测 生产控制大区网络安全监测覆盖了五级电网调 度机构、各类变电站和发电厂，覆盖各级调控机构、 发电厂和变电站，对范围内服务器、工作站、交换 机、纵向加密、正/反向隔离等设备的网络安全事件 进行集中监视，具体架构如图 1（见下页） 。 本文将监测关口从网络边界前移到服务器、工 作站、交换机等具体设备，从每一台设备的网络访 问、设备接入、人员登录、设备操作、未知程序运 行五类可疑事件入手，及早发现并处置网络攻击、 病毒感染等各类安全事件。实时监视生产控制大区 内主机、网络等设备的操作事件和网络事件，识别 攻击行为和不安全行为，对异常事件和行为进行统 计和跟踪，实现对外部网络侵入、外部设备接入、 违规操作等行为的监视，并支撑相应的处置。生产 控制大区网络安全具体指标如下： 表 1 生产控制大区网络安全指标 序号 指标名称 计算方法 解释 1 密通率 密文流量/明文流 量+密文流量*100% 纵向加密装置中 密文流量占总流 量比例 2 在线率 1-离线数/资产总 数*100% 非离线资产在总 资产中的比率 3 告警 解决率 1-未解决告警数/ 告警总数*100% 告警状态为已解 决的告警在所有 告警中的比例