《青藤云安全:2024新型电力系统安全建设指南(31页).pdf》由会员分享,可在线阅读,更多相关《青藤云安全:2024新型电力系统安全建设指南(31页).pdf(31页珍藏版)》请在三个皮匠报告上搜索。
1、新型电力系统安全建设指南CONTENTS目录电力行业数字化发展重点场景11.1 电力企业数字化发展进程11.2 新型电力系统建设场景 201电力行业典型攻击事件及安全风险52.1 电力行业网络攻击事件汇总 52.2 电力行业主要安全风险趋势 802电力行业网络安全政策法规要求 1003结语 26参考资料 27电力行业安全建设重要场景方案134.1 云基础设施安全防护方案 134.2 全链路勒索攻击防护方案 154.3 API数据安全防护方案 184.4 基于风险的漏洞管理方案 1904电力行业安全建设实践案例225.1 案例背景及需求 225.2 具体建设方案 225.3 方案价值及收益 26
2、05前 言近年来,随着“碳达峰碳中和”目标的提出,以低碳可持续发展为导向的新一轮能源变革开启。2024年2月29日,中共中央政治局第十二次集体学习时,习近平总书记强调大力推动我国新能源高质量发展,为共建清洁美丽世界作出更大贡献。这是继2021年习近平总书记提出“构建以新能源为主体的新型电力系统”之后的又一重要论述。数字化智能化是实现能源变革的重要推动力,是新型电力系统建设的重要支撑。依托各类数字化平台,新型电力系统实现源网荷储各环节协同运行、智能交互,确保能源流、业务流、数据流多流融合,与此同时也给新型电力系统带来更多网络安全风险。智能化也让源于终端设备、网络设备、数字化平台的网络安全隐患,极
3、易传导至电力系统本身,从而引发重大安全事件。为了应对日益突出的网络安全问题,提升新型电力系统的安全防护能力,本文深入分析了电力系统面临的安全风险,探讨了新型电力系统网络安全防护重点方案,希望可以为相关电力企业安全建设提供参考。新型电力系统安全建设指南01中国工程院院士刘吉臻表示,新型电力系统背景下,数字化智能化技术将逐步覆盖源、网、荷、储等全环节。其中,电源侧以数字化智能化技术加速发电清洁低碳转型;电网侧依托“云大物移智链边”等数字技术的创新升级,建设智慧化电网运行体系;需求侧则以数字化智能化加快能源消费环节的节能提效。从数字化转型主体来看,发电侧以五大六小发电集团、地方发电企业为主体。五大发
4、电集团包括国家能源投资集团、中国华能集团、中国大唐集团、中国华电集团、国家电力投资集团。六小发电集团包括国投电力、中广核、三峡集团、华润电力、中节能、中核集团。输配用侧以国家电网、南方电网为主体。电力是经济社会发展的基础支撑。近年来,数字技术与传统电力技术深度交叉融合,正在孕育影响深远的新技术、新模式和新业态。新形势下,数字化智能化发展将是推动我国电力产业链现代化的重要引擎,也是新型电力系统建设统筹安全、经济和绿色发展要求的重要支撑。从数字化转型阶段来看,早期电力数字化转型聚焦生产与管理环节。随着产业发展,电力企业逐步深化数字技术与各环节的融合。直至“十三五”末,多数电力企业已积累海量电力数据
5、,初步形成全面的转型体系。“十四五”期间,以建设新型电力系统为目标,“大云数物移智”与电力技术进一步深化结合,推动电力企业数智化转型。第一章电力行业数字化发展重点场景图 1:电力系统上下游主要企业1.1 电力企业数字化发展进程发电煤电水电提升能源利用率抵御尖峰负荷提供可协同资源风电以五大六小发电集团、地方发电巨头为研究主体,覆盖其火电、新能源发电业务。以国网、南网为研究主体,覆盖其输配用电等核心业务。包括售电企业与终端用户,以电网售电公司为研究主体。地热电光伏电潮汐电输配电储能端输电变电配电售/用电售电用电新型电力系统安全建设指南02从数字化转型程度来看,集团企业基本上已经构建了完备的数字底座
6、,向生产、运营、服务等场景化应用拓展,旨在由单一的电力供给向综合能源供给转化。虽然地方型电力企业转型步伐不一,但也在逐步加大数字化平台建设的投入,有序推进数字化全面展开。新型电力系统以满足经济社会高质量发展的电力需求为首要目标,以高比例新能源供给体系建设为主线任务,以源网荷储多向协同、灵活互动为坚强支撑,以技术创新和体制机制创新为基础保障的新时代电力系统,是实现“双碳”目标的关键载体。图 2:电力企业数字化发展阶段图 3:新型电力系统图景1.2 新型电力系统建设场景中国电力企业转型发展阶段及典型实践结合计算机技术实现信息化、自动化转型;2002年电改后厂网分离推动下,向网络化、综合性应用发展国
7、家电网南方电网华能集团响应“两化融合”号召,电力企业积极推进“智能电网”建设,核心聚焦在生产自动化与管理信息化初步建设重视转型的顶层设计,认识到数据的价值,加速全环节、全流程数字化转型2015年新一轮电改后,电力行业开始探索多能互补技术方案,将“互联网+”与智慧电网结合重视新兴技术的应用深化,强调数字融合、数据驱动业务流程重塑20世纪70-90年代2006201020162020转型阶段及特征电力企业转型实践萌芽:自动化、信息化升温:数据化、智能化快速发展:数智化2006 年:提出全系统实施“SG186 工程”规划,于“十一五末”构建数字化电网,建成运转高效灵活的一体化企业信息平台。2008
8、年:成立国网信通公司,承接主要数字化建设任务。2006 年:颁布 “十一五”信息规划 提出九大信息系统的建设内容,旨在完成企业内部信息水平提升,及生产环节的安全可靠与高效。2008 年:提出 中国华能信息化规划,强调统筹集团与下属电厂的信息化建设进程,加强数据中心与应用系统建设,为管理、决策服务。明确发/输/变/配/用/调度六个环节及通信信息平台的发展目标及重点项目建设方案,提升电网自动化、互动化水平。基于战略导向、业务驱动原则,开展一体化、现代化、智能化企业信息系统建设,并于 2015 年正式投运,实现公司战略落地。建立统一技术平台,支撑信息化持续发展。将“先进计算与电力大数据技术”列为“十
9、三五”重点任务。2017 年:成立南网数字研究院。2019 年:初步完成从传统信息系统向基于南网云的新一代数字化基础平台与互联网应用的转型,具备对内对外服务能力。2019 年:提出构建“互联网+”综合能源服务平台任务。提出发展“一业为主、四翼齐飞、全要素发力”的总体布局,明确推动全业务、全环节数字化转型,支撑能源互联网企业建设。建设数字电网打造数字企业升级数字服务发展数字产业提出“3+1”转型方向,建设智慧能源数据平台。注:仅列举部分电力企业典型实践数据沉淀 数智赋能发 电多源协同互补动态延时平衡用 电负荷特性全面柔性 灵活调节能力和绿电消费比例大幅提升多类型储能协同应用储能新型电力系统安全建
10、设指南03新型电力系统建设需要以云为基础,融合先进的数字技术,链接广泛的资源,沉淀丰富的数据资产,并将“数据+算力+算法”能力融入到电力系统的生产管理、经营决策等各个环节中,助力培育电力新业务、新模式,提高电力系统的稳定性和灵活调节能力,实现能源低碳转型和高质量发展。新型电力系统让传统电力系统搭上快车,将为电力生产、运行、管理带来变革性影响,推动电力系统向更加智能、灵活、可靠、高效、绿色的方向发展。随着新型电力系统建设,技术赋能源网荷储一体化数字平台。数字化技术与“电、气、热、信”等多网进行横向紧密耦合,与“源网荷储”等各环节进行纵向深度融合。一体化数字平台以点带链、以链带圈,推动电力产业在生
11、产、输电、交易、用电的全链路数字化发展,助力可靠、安全、高效、智能的能源电力互联网建设,全方位增强电力系统总体运行效率。依托“云大物移智”等技术赋能的源网荷储一体化数字平台,推动建设适应新能源发展的新型智慧化调度运行体系,打造安全可靠的电力数字基础设施,助力构建高质量的新型电力系统。1.源网荷储一体化数字平台在“双碳”目标下,国务院、各地方政府和发电集团关于建设智慧电厂的文件不断出台,明确指出:提升电源侧智能化水平,加强传统能源和新能源发电的厂站级智能化建设。目前,传统能源发电厂经过数年实践,智能化改造较为完备,现阶段更关注新一代数字技术与生产、服务环节的深度结合。针对新能源,建设重点在于从新
12、能源场站到区域集成系统,从发电预测到故障预警、调度管理、发电营销等领域全面升级。2.智慧电厂数字化建设全景图 4:源网荷储一体化数字平台技术赋能源网荷储一体化数字平台源网荷 储智能配变配电自动化配电物联网配电侧储能火电电动汽车建筑光伏光储充电站数据中心水电风电光伏核电特高压柔性直流智能变电站智能巡检信息流能源流信息流能源流信息流能源流实时感知智能控制电网运行信息设备状态信息市场及服务信息电力网络平台系统网络设备能源管理系统通信设备调度控制系统通信协议能源交易系统分布式技术、储能技术、电力电子技术等驱动电力智能化升级改造,推动产业变革智能控制和自动化技术广泛应用,高电网自动化水平覆盖率为行业数字
13、化升级打下底层基础信息通信技术与电网各环节深度融合,互联网模式丰富了能源网络架构,赋予其开放性与灵活性人工智能、大数据、区块链、物联网、云计算等新兴技术承担不同角色,赋能能源电力全流程数字化转型新型电力系统安全建设指南04图 5:智慧电厂全景图智慧电厂是发电企业当下的建设重点,旨在基于数字技术实现生产运营的智慧化。智慧化能源生产运营也会进一步推动多源协同、多能互补、供需互动的新型电力系统建设。全域感知实时泛在多源融合自主精益高效协同智慧电厂全景图感知层基于、边缘计算技术实现设备的实时监控、全厂设备的全生命周期管理打破数据孤岛,实现全业务系统的互联互通交换机防火墙路由器安全网管智能联接云基础设施
14、超融合一体机存储资源计算资源网络资源云平台数据中心平台层基础设施层工业摄像头巡检机器人门禁闸机终端设备汽轮机发电机余热锅炉给水泵电力设备其他辅控智能控制企业生产、运营、服务域全面数字化生产实时数据基础管理数据多媒体数据统一数字平台数据收集数据治理数据分析数据应用应用层设备管理系统厂房监控系统设备状态检修系统设备预警系统设备管理燃料管理智能仓储能源管理系统物资及燃料管理三维可视化知识图谱故障优化智能巡检运行控制经营管理自动报表实施利润预测生产经营分析竞价上网系统企业管控系统文档管理Wi-Fi新型电力系统安全建设指南05数字技术的应用赋能新型电力系统实现全面感知与高度智能化运行,强化源、网、荷、储
15、各环节间的灵活协调、互联互通,同时也给新型电力系统带来新的网络安全风险,使得整个价值链都可能受到网络攻击的影响。第二章电力行业典型攻击事件及安全风险随着新型电力系统蓬勃发展,网络安全形势也正发生着变化。根据2023年公开的高级可持续威胁研究报告显示,能源电力行业是网络攻击的主要目标。同时,新型网络攻击技术不断演进,国家级、集团式攻击方式快速发展。近年来,全球能源电力行业网络攻击事件频发,主要包括勒索软件攻击、数据泄露、漏洞攻击、ATP攻击等事件,下面将分类对攻击事件进行分析。图 6:2023 年网络攻击主要目标行业BlackCat/ALPHV、Medusa(美杜莎)和LockBit3.0等十几
16、个知名勒索软件组织纷纷加强了对电力行业高价值目标的攻击,行业威胁态势急速恶化。2024年1月,法国能源管理和自动化巨头施耐德电气遭受了仙人掌(Cactus)勒索软件攻击,大量企业数据被盗。此次勒索软件攻击针对施耐德电气的可持续业务部门,导致施耐德电气的能效及可持续顾问云平台部分功能受到影响。1.勒索软件攻击2.1 电力行业网络攻击事件汇总科研11%国防军工13%政府29%其他14%通信1%航空2%制造2%教育4%医疗4%金融9%能源11%新型电力系统安全建设指南06 2023年6月,德国西门子能源公司遭遇了一次CLOP勒索软件攻击,该软件利用MOVEit Transfer平台的一个0day漏洞
17、(CVE-2023-34362)窃取了该公司数据。事件分析发现:在MOVEit Transfer Web应用程序中发现一个SQL注入漏洞,该漏洞可能允许未经身份验证的攻击者未经授权访问MOVEit Transfer数据库。攻击者可以将构建的有效载荷提交到运行MOVEit Transfer应用程序的服务器,这可能导致MOVEit数据库内容被篡改和泄露。MOVEit漏洞利用活动的事件时间表如下:图 7:MOVEit 漏洞利用活动的事件时间表05.2805.31CLOP将漏洞有效利用后门上传到公共站点初始供应商发现漏洞,并发布公告06.0106.02Rapid观察到关键传输漏洞的利用微软正式将MOV
18、Eit漏洞归属于CLOP06.0206.05罗彻斯特大学提到由于该漏洞发生数据泄露Zelis的MOVEit遭到破坏,影响了英国和爱尔兰航空还有BBC等公司06.0806.09Synlad承认自己是CLOP MOVEit活动的受害者伊利诺伊州政府和明尼苏达州教育部遭到攻击06.1206.13英国通信监管机构和安永会计师事务所遭到攻击伦敦交通局警告员工信息被窃取06.1306.14PAMB、PruBSN和密苏里州受到攻击影响CLOP勒索组织开始在其泄露网站上添加受害者06.1606.23CLOP勒索组织表示,其删除了数据,并表示只是出于经济动机,而不关政治纽约能源部遭到入侵06.27 06.28C
19、LOP勒索组织持续添加受害者,并且本次还包含西门子能源公司和施耐德电气公司彭博社报道,美国卫生与公众服务部也发生了数据泄露新型电力系统安全建设指南07 2023年2月,为罗马市提供电力和供水服务的意大利公司Acea遭Black Basta勒索软件攻击,导致网站服务瘫痪。2022年8月,欧洲电力网络运营商Creos Luxembourg S.A.遭受网络攻击,攻击方来自勒索软件组织ALPHV。2020年6月,巴西电力公司遭受Sodinokibi勒索软件攻击,被勒索1400万美元的赎金。通过事件分析发现,该软件可以利用Windows Win32k组件中CVE-2018-8453漏洞提升特权,从而进
20、行勒索攻击。2020年4月,欧洲能源巨头EDP公司遭受Ragnar Locker勒索软件攻击,赎金高达1090万美金。目前针对Ragnar Locker勒索软件加密文件尚无法解密。2019年7月,南非约翰内斯堡电力公司City Power遭受勒索软件攻击,攻击使得预付费用户无法买电、充值、办理发票,或访问City Power的官方网站,导致若干居民区的电力中断。2023 年 5 月,丹麦关键基础设施遭遇了有史以来最大规模的网络攻击。攻击者利用丹麦关键基础设施运营商使用的Zyxel 防火墙中的 0day 漏洞,成功破坏了 22 家能源基础设施公司。攻击事件分析:攻击者利用漏洞,通过协议 UDP
21、向端口 500 发送一个特制数据包,并将其发送到易受攻击的 Zyxel 设备。最终,攻击者可以在未经身份验证的情况下,直接在设备上执行具有 root 权限的命令。从事件分析来看,攻击者可能是一个 APT 组织,并提前获得了受害公司防火墙的控制权,从而可以访问防火墙背后的关键基础设施。2022 年 11 月,黑客利用 Boa Web Server 的多个漏洞,成功入侵印度电网,黑客在发起攻击前就收集到关于目标网络资产的信息,并获取有效凭证以访问更多未被检测到的网络。2019 年 3 月,黑客利用思科防火墙中的已知漏洞针对美国犹他州的可再生能源电力公司发起了拒绝服务(DoS)攻击。2.漏洞利用攻击
22、 2023 年 11 月,美国爱达荷国家实验室(INL)遭受黑客组织 SiegedSec 攻击,运行 OracleHCM 系统的服务器遭到入侵,包括工作人员在内的数十万个人数据泄漏。2023 年 8 月,以色列 Neve Neeman 核反应堆数据库在暗网论坛出售,黑客声称数据库中含有隐私信息以及 10GB 机密文件。2023 年 5 月,黑客在暗网论坛上泄露了从伊朗核电生产和开发公司(AEOI)窃取的 10 万多封电子邮件。2023 年 3 月,黑客在暗网论坛上泄露了从印度尼西亚国家核能机构(Batan)窃取的 1.4GB 数据。2021 年 3 月,能源巨头壳牌公司(Shell)遭遇黑客攻
23、击,导致数据泄露。3.数据泄露事件新型电力系统安全建设指南08 2022年10月,APT组织“沙虫”利用新型攻击破坏了乌克兰的电力。此次攻击是破坏目标设施物理运行的罕见事例。事件分析表明:这是一次多事件网络攻击,利用了影响工业控制系统的新技术。2022年6月,“沙虫”在受害者环境中部署了Neo-reGeorg工具。2022年7月,攻击者部署网络隧道工具GOGETTER,并利用Systemd服务单元实现持久化。攻击过程中,“沙虫”通过虚拟机管理程序获得了OT环境的访问权限,并利用一种新技术影响OT环境,即在产品寿命结束(EOL)MicroSCADA控制系统中执行代码并发出影响受害者连接变电站的命
24、令。“沙虫”使用TANK-TRAP程序从域控制器通过两个组策略对象(GPO)传播和启动了恶意数据擦除软件CADDYWIPER。2022年10月10日,攻击者使用OT级“离地攻击”(LotL)技术使变电站断路器跳闸从而导致意外断电,2022年10月12日,攻击者在受害者的IT环境中部署了恶意数据擦除软件CADDYWIPER的新变种,从而实施了第二次破坏性攻击。4.ATP网络攻击电力行业的网络安全威胁日益突出,其主要安全风险趋势表现在勒索攻击增多有转移云上的趋势、数据安全隐患急剧增加、云基础设施成为主要攻击目标,以及定向攻击的专业程度高等方面。1.勒索攻击增多有转移云上的趋势近年来,全球范围内针对
25、电力关键基础设施的勒索攻击呈爆发式增长。根据事件分析发现,勒索攻击呈现出复杂化、目标精准、技术升级等特点。勒索攻击者针对电力系统的“大型狩猎”中部署的新攻击策略包括间歇性加密、使用更现代的专业编程语言,以及涉及多个变体的双重勒索软件攻击。这些新兴技术策略使安全防御变得更加困难。同时,随着数字化发展,越来越多的电力企业将业务上云,云上数据集中且价值高,使得勒索攻击有转移上云的趋势。2.数据安全隐患急剧增加新型电力系统的电网结构更加复杂、交互更加频繁。多方位的数据聚合导致的数据泄露、篡改风险加剧。此外,新型电力系统将与热气管网、天然气管网、交通网络等能源链进行复杂互联互通。攻击者可能利用集中管控平
26、台漏洞窃取用户信息,篡改运营数据,甚至批量启停设备。总的来看,新型电力系统引入多元主体,数据交互呈现数据量大、次数频繁、数据类型多等新特点,数据共享与隐私保护矛盾凸显。在挖掘数字价值、发展数字经济的过程中,以获取数据为目的的内、外部网络攻击呈现递增趋势。3.云基础设施成为主要攻击目标云平台成为电力系统创新的重要载体,支撑电力新兴业务孵化培育。随着云计算技术的快速发展和广泛应用,云环境在基础设施、数据、身份及访问管理、安全管理、隐私、审计与合规等维度面临的安全威胁日益增加。这些安全威胁不仅包括传统的网络攻击,如DDoS攻击,还包括针对云平台基础设施的安全漏洞,例如虚拟机管理程序、操作系统等存在的
27、安全问题。因此,云基础设施正在成为网络攻击的新战场。2.2 电力行业主要安全风险趋势新型电力系统安全建设指南094.定向攻击的专业程度高随着网络空间安全威胁加剧,电网成为国家之间网络对抗及黑客定向攻击的目标。针对电力系统的定向攻击模式也逐渐成熟,攻击方式更加隐蔽、攻击范围更加广泛、攻击手段更加丰富。例如,利用电力系统的漏洞植入恶意软件、远程访问配电站控制系统、发送网络攻击干扰系统引起停电等方式对电力系统进行网络攻击。目前还出现了定向直击电网工控网络的攻击武器“Lndustroyer”、“EKANS”和”Blacknergy”等恶意软件,不仅能够关闭电力设施中的关键系统,还能让黑客远程控制目标系
28、统,专门攻击重点基础设施和战略目标,对电力行业威胁极大。5.漏洞威胁成重点难点问题漏洞一直是网络安全中不可回避的重点、难点问题。根据国家信息安全漏洞共享平台(CNVD)发布的数据显示,近十年设备漏洞数量飙升,新型电力系统中设备漏洞的数量也呈增长趋势。例如,新型电力系统工控设备及协议可能存在大量安全缺陷和漏洞,主要表现为Web漏洞和二进制漏洞。此外,新型电力系统的终端在研发、生产、制造等环节无法避免的漏洞后门隐患。这些漏洞可能成为黑客攻击电网的主要跳板,给电力企业安全带来极大威胁。新型电力系统安全建设指南10为了提高网络安全防护能力,保障电力系统安全稳定运行,国家加快推进相关网络安全立法,逐步完
29、善能源行业政策法规,深入细化行业网络安全建设标准,形成了网络安全立法顶层设计与细化的行业建设标准相结合的政策体系。第三章电力行业网络安全政策法规要求图 8:电力行业政策法规1、国家法律2016年中华人民共和国网络安全法正式通过,首次提出关键信息基础设施安全保护制度,对于关键信息基础设施安全保护的基本要求、分工以及主体责任等问题作出法律层面的总体安排。2021年9月1日关键信息基础设施安全保护条例正式实施,条例上承网络安全法要求,进一步明确关键信息基础设施安全保护范围、联动责任体系、供应链安全可控、安全内控和意识培养等方面重点内容。2、行业法规2022年,国家能源局正式印发电力行业网络安全管理办
30、法和电力行业网络安全等级保护管理办法(以下合称“两办法”)两个部门规章,朝着塑造电力行业网络安全保障体系的目标迈出了坚实步伐。两办法是时隔8年之后,对其前一版本的修订和更新。梳理电力行业近十年来的网络安全相关法规和规范性文件,可以发现网络安全管理、等级保护管理是电力行业网络安全管理的两大基本范畴。两办法立足电力行业网络安全管理工作,重点优化和更新了三个方面的规定和要求,即:监管机制、主体责任、管理保障。国家法律行业法规中华人民共和国网络安全法关键信息基础设施安全保护条例国家能源局印发电力行业网络安全管理办法国家能源局印发电力行业网络安全等级保护管理办法建设标准GB/T 36572-2018电力
31、监控系统网络安全防护导则GB/T 38318-2019电力监控系统网络安全评估指南DL/T 2614-2023电力行业网络安全等级保护基本要求DL/T 2613-2023电力行业网络安全等级保护测评指南新型电力系统安全建设指南11电力行业相关安全建设标准包括电力监控系统网络安全防护导则电力监控系统网络安全评估指南电力行业网络安全等级保护基本要求电力行业网络安全等级保护测评指南等。这些标准涵盖了电力生产各环节的电力监控系统安全防护、体系架构、防护技术、应急备用措施和安全管理要求,以及电力行业网络安全等级保护的工作流程、方法和测评要求。图 9:电力行业相关安全建设标准图 10:电力监控系统网络安全
32、防护体系示意图2019年4月1日,电力监控系统网络安全防护导则正式实施(下文简称“防护导则”)。防护导则从安全防护技术、应急备用措施和全面安全管理三个维度描述安全防护体系的立体结构,适用电力监控系统生产业务全流程和全生命周期的网络安全防护。同时配套使用的电力监控系统网络安全评估指南着重对三个维度的评估实施指导。2023年11月,电力行业网络安全等级保护基本要求电力行业网络安全等级保护测评指南两项行业标准正式实施。电力等保要求包括安全总体要求、安全通用要求和安全扩展要求,覆盖第二级到第四级要求。在业务层面上将等级保护对象分为电力监控系统和管理信息系统;技术层面上分为物联网应用、云计算平台/系统、
33、移动互联网应用、大数据平台/系统。3、建设标准融入安全生产全生命周期全部设备全部人员冗余备用基础安全机房电源通信屏蔽安全防护技术应急备用措施安全分区网络专用横向隔离纵向认证结构安全监控系统操作系统整机主板关键芯片本体安全版本管理静态免疫动态免疫安全免疫应急响应多道防线全面安全管理新型电力系统安全建设指南12电力等保对第三级电力监控系统提出了更加严格的防护要求,部分重点内容如下图所示。图 11:电力等保总体框架图 12:电力等保三级要求安全扩展要求安全通用要求总体要求电力监控系统(电力工业控制系统)物联网应用云计算平台/系统移动互联应用大数据平台/系统管理信息系统通信传输强调使用国密技术保障数据
34、完整性电力供应加强输入电源双路自动切换供电访问控制新增业务系统接入控制措施无线使用控制应加密实现机密性保护且报告未授权的无线设备拨号使用控制禁止涉及实时控制和数据传输系统安全审计规定用户的添加和删除、审计功能的启动和关闭等事件新增设备控制安全岗位设置要求由主管安全生产的领导作为主要责任人授权和审批新增对接入调度数据网要求安全意识教育和培训细化到安全基础知识、岗位操作规程等培训内容验收测试要求委托国家或电力行业认可的第三方检测机构进行上线前的安全性测试服务供应商选择要求为为关键信息基础设施提供服务并且可能影响国家安全的,应当按规定申报安全审查设备维护管理要求使用专用工具进行数据信息完全清除处理或
35、物理粉碎等不可恢复性销毁处理网络和系统安全管理规定指定专人负表管理本级调度数字证书系统安全事件处置要求生产控制 大区的电力监控系统遭受网络攻击出现异常或者故障时,应当立即向其上级电力调度机构以及行业主管部门报告等要求技术层面管理层面第三级安全防护要求新增重点内容整理新型电力系统安全建设指南13图 13:电力云安全综合保护体系全球网络空间博弈加剧,电力系统已成为重点攻击目标。国家高度重视电力系统网络安全,对电力系统网络安全保护工作提出更高、更细化的要求。对此,电力企业应抓住关键问题,面向重点威胁场景精准防护。其一,云基础设施作为新型电力系统的底座,应进行重点保护。其二,针对电力行业勒索攻击盛行的
36、趋势,建立勒索攻击防护能力,保障电力系统安全稳定运行。其三,随着电力系统的数字化智能化发展,需要提高API安全防护能力,守护数据安全的核心通道。其四,随着新型电力系统建设,漏洞风险突出,需要建立起有效的漏洞运营体系。新型电力系统以“电力+算力”为核心途径和驱动力,总体遵循基础设施云化、生产运行云上智能、数据业务云上增值的路线。如下图所示,在进行云基础设施安全建设时,企业应在落实国家和行业网络安全相关要求基础上,继承“安全分区、网络专用、横向隔离、纵向认证”的电力行业安全建设方针,以“全域防御、纵深防御、实战引领”为理念,结合新型电力系统特性,打造电力云安全综合保护体系,并强化责任体系、组织体系
37、、制度标准体系、监督体系,筑牢电力云安全保护屏障。第四章电力行业安全建设重要场景方案4.1 云基础设施安全防护方案安全管理安全组织架构公有云运维门户自助服务门户云门户纵向安全横 向安全私有云混合云多云安全运营威胁情报态势感知威胁监测应急响应日志审计云堡垒机安全运维基线核查漏洞修复监控告警运维审计风险评估安全管理制度人员安全管理供应链安全管理迁移安全管理业务连续性管理漏洞管理日志管理IaaS微隔离访问控制入侵防御流量可视化行为分析虚拟机隔离虚拟资源安全病毒防护网络隔离身份鉴别存储隔离入侵防御接口管理容器安全权限管理基线管理数据安全组件管理账号安全传输安全流量监控API安全监测和告警安全隔离Paa
38、SSaaS账号安全访问控制资源监控资源调度通信安全云安全管理平台基础设施安全基线核查主机入侵防御安全沙箱漏洞扫描主机病毒防护安全加固宿主机安全安全区域划分网络威胁检测网络入侵防御DDoS防护基础网络安全访问控制资源隔离入侵防御镜像安全资源隔离物理与环境安全组件加固病毒防护逃逸检测计算安全虚拟化安全网络隔离访问控制入侵检测流量监控微隔离入侵防御网络安全访问控制接入管理新型电力系统安全建设指南14图 14:新型电力系统云基础设施安全方案基于电力云安全综合保护体系建设思路,青藤打造新型电力系统云基础设施安全方案。如下图所示,该方案遵循合规要求、全栈覆盖、自适应安全、可视化运营四大准则。在云工作负载安
39、全、应用安全、网络可视化微隔离、一体化联动防御运营等方面提升新型电力系统的云安全防护能力。在云工作负载安全方面,该方案利用CWPP能力,在云场景下为计算资源与其上应用程序、服务、功能等进程提供一致的可见性与控制,建立完善的监控、日志分析、入侵检测与防御、威胁情报、安全审计和事件响应机制,确保在发现安全事件时能够迅速应对,保护主机和容器等云工作负载免受各种安全威胁。在应用安全方面,该方案内置RASP技术能力,将安全防御功能整合到正在运行的应用程序中,通过实时采集Web应用的高风险行为,利用特征规则、上下文语义分析、关联分析等多种安全模型来提升检测准确率。当应用出现可疑行为时,RASP根据当前上下
40、文环境精准识别攻击事件,并给予实时阻断,使应用程序具备自我防护能力,而不需要进行人工干预。在网络可视化微隔离方面,该方案通过微隔离技术,利用流量控制与可视化、跨平台统一安全管理等多种方式,通过自主学习分析、可视化展示业务访问关系,实现细粒度、自适应的安全策略管理,有效防御网络攻击横向移动行为。在安全运营方面,该方案依靠大数据和人工智能技术,构建安全大数据运营平台,对攻击溯源系统、入侵防御系统、云工作负载安全等防护产品的多源异构日志进行采集治理和统一分析,通过汇聚、分析、研判相关数据,将人、技术和流程紧密结合起来,打造平台化和全景视角,让决策者能够实时掌握运营安全动态,形成对业务的有效支撑。自适
41、应安全云原生安全ATT&CK框架关基保护电力新IT基础设施防护端云主机风险评估全面资产地图多锚点入侵检测安全响应主机自动发现内存码检测行业基线核查主机微蜜罐外联检测文件完整性事件采集Unix主机安全主机安全标准能力高阶能力网络可视&微隔离业务流量可视暴露面管理东西访问控制失陷主机隔离自适应策略异常流量检测云原生安全IAC检查镜像检查准入准出控制集群漏洞检查集群合规检查集群网络管理DevOps集成集群威胁检测容器资产管理容器脆弱性管理容器威胁检测自动化响应安全左移基础设施运行时应用安全API和组件清点内存码防护攻击拦截防护应用弱口令检测应用风险检测漏洞热补丁x86服务器虚拟化层Hyperviso
42、r云主机云主机云主机KubernetesNodeNode容器容器容器容器主机Agent容器AgentRASP探针信创服务器虚拟化层云主机云主机云主机X86物理机小型机数据运营威胁狩猎主动威胁狩猎ATT&CK检测入侵研判三方日志威胁建模全网回溯安全编排和自动化全网设备联动流程编排运营效果数据化重复工作自动化安全能力接口化安全运营知识化云安全一体化运营威胁运营业务资产风险运营终端安全风险运营攻防演练等保&合规工作系统上线验证网络安全控制上级监管协查下级单位监管工作负载安全运营云原生纳管主机纳管资产全网运营安全态势感知策略统一管控风险全网运营DevOps安全管理DevOps风险分析安全能力集成基础镜
43、像管理pipline管理IAC策略管理安全控制策略威胁狩猎事件采集操作类日志进程类日志网络/DNS类日志注册表类日志文件类日志账变类日志网应信创物理机新型电力系统云安全方案安全运营与管控电力大数据新型电力系统安全建设指南15由于电力系统关键基础设施的数据资产比其他经济部门的数据资产更有价值,使其成为勒索软件攻击的重点目标。随着勒索攻击专业化、团队化运作,勒索攻击日趋APT化。攻击手段日趋成熟、攻击目标更加精准,攻击样本更难识别,攻击行为愈发隐蔽。传统勒索软件防护方案效率不足,须推陈出新。面对日益复杂的勒索攻击威胁格局,需要基于新技术的创新勒索软件攻击防护体系,通过全面、系统性的深度解决策略,更
44、有效地保护电力行业客户免受勒索软件侵害。因此,青藤这几年对勒索事件进行研究,从攻击视角,归纳总结了勒索攻击的核心TTP技战术,如下图所示。图 15:传统勒索和现代勒索对比图 16:勒索攻击的核心 TTP 技战术侦察目标资源准备初始入口执行攻击持续控制权限提升防御规避凭据访问环境观察横向移动收集信息命令与控制窃取数据侵害影响主动扫描获取访问权限水坑攻击云管理命令账户操纵滥用权限机制滥用提升控制机制修改注册表中间人帐户发现利用远程服务中间人应用层协议自动渗透帐户访问权限删除主机信息获取基础架构利用公开漏洞命令和脚本BITS访问令牌操作访问令牌操作修改系统映像暴力破解应用程序窗口发现内部鱼叉式钓鱼存
45、档收集的数据可移动媒体通信数据传输大小限制数据销毁身份信息泄露帐户外部远程服务容器管理命令自启动执行自启动执行BITS网络边界桥接存储中的凭据浏览器信息发现横向转移音频捕获数据编码替代协议的渗透加密的数据网络信息失陷基础架构硬件添加部署容器初始化脚本初始化脚本在主机上构建映像混淆的文件利用凭据访问云基础架构发现远程服务会话劫持自动收集数据混淆C2通道渗出数据操作组织信息开发能力网络钓鱼客户端执行浏览器扩展修改系统进程调试器规避Plist文件修改强制身份验证云服务仪表板远程服务浏览器会话劫持动态分辨率其他网络介质篡改可见内容网络钓鱼获取信息建立账户可移动媒体进程间通信泄露客户端域策略修改对文件解
46、密/解码预操作系统启动伪造网络凭据云服务发现可移动媒体剪贴板数据加密通道物理介质上渗出磁盘擦除搜索闭源获取能力供应链攻击原生接口创建帐户逃逸主机部署容器注入进程输入捕获云存储对象发现软件部署工具云存储的数据回退通道Web服务渗出终端拒绝服务搜索开放技术数据库投放能力信任关系计划任务系统进程事件触发执行直接卷访问反射代码加载修改验证过程容器和资源渗透污染共享内容配置存储库的数据入口工具传输定时接送固件损坏搜索开放网站/域有效帐户无服务执行事件触发利用特权升级域策略修改恶意域控制器多重验证拦截调试器规避备用身份验证材料信息存储库的数据多级通道数据传输到云帐户抑制系统恢复搜索拥有的网站利用面向公众的
47、应用程序共享模块外部远程服务劫持执行流程组策略修改Rootkit多重验证请求生成设备驱动程序发现本地系统的数据非应用层协议网络拒绝服务软件部署工具劫持执行流程注入进程域信任修改信任控制网络嗅探域信任发现共享云端硬盘的数据非标端口资源劫持系统服务植入容器镜像计划任务/作业执行护栏系统代理执行凭据转储文件和目录发现可移动媒体的数据协议隧道服务停止用户执行修改验证过程有效账户防御规避利用脚本代理执行窃取访问令牌组策略发现数据暂存代理系统关机/重启WMI办公应用启动账户操纵文件和目录权限修改模板注入伪造身份证书网络服务发现电子邮件收集远程访问软件预操作系统启动隐藏工件受信任的人员伪造票据网络共享发现输
48、入捕获流量信号计划任务/作业劫持执行流程使用备用身份验证材料窃取网络会话网络嗅探屏幕截图网络服务服务器软件组件损害防御有效帐户不安全的凭据密码策略发现视频捕获流量信号指标移除虚拟化/沙盒规避外围设备有效帐户间接命令执行XSL 脚本处理权限组发现伪装修改系统进程进程发现修改验证过程查询注册表远程系统发现软件发现系统信息发现系统位置发现系统网络配置发现系统网络连接发现系统所有者/用户发现 Conti/Ryuk Pysa Clop(TA505)Hive Lockbit 3.0 RagnarLocker BlackByte BlackCat核心战术高频战术低频战术4.2 全链路勒索攻击防护方案新技术下
49、勒索软件攻击方式逐渐进化现代勒索传统勒索作战模式单兵作战为主,勒索攻击者往往是一个个小型攻击团伙勒索产业化,Raas开始流行攻击的背后是分工明确的大型组织团伙广撒网蠕虫式复制传播定向攻击为主专门瞄准有勒索兑现能力的大型政企基于支付赎金恢复数据的勒索属于传统勒索方式出现双重勒索,甚至三重勒索增加了基于泄露隐私数据勒索以及DDoS攻击勒索攻击目标勒索方式新型电力系统安全建设指南16整体上来看,勒索攻击者从入侵到实现加密过程利用较多技术手段,对抗性极高,依靠传统的防护产品很难避免勒索事件发生。但是,攻击者的整个入侵过程不是一蹴而就,通常需要一段时间的入侵和渗透过程,短则1-2周,长则几个月,企业有机
50、会在任何一个环节进行发现并及时处置阻断攻击路径。遵循全面、系统性的纵深防御策略,基于APT组织的ATT&CK模型,青藤打造覆盖网络、系统、应用的全链路勒索攻击防御方案。该方案围绕勒索攻击预防、预警、阻断、约束、恢复五个阶段,在攻击样本识别和数字加密还原领域进行创新,并辅以零信任网络架构,极大提升勒索攻击识别、防御、恢复能力。针对勒索攻击防御的每个阶段,都需要根据该阶段的特点,采取相应的策略和措施。这包括但不限于高危漏洞端口屏蔽、ATT&CK行为检测、AI深度检测、进程级攻击行为阻断、零信任网络架构、密钥截取和解密等。图 17:全链路勒索攻击防御方案 高危漏洞端口一键屏蔽:漏洞利用是勒索软件的主
51、要攻击手段之一,攻击者通过漏洞探测工具扫描应用或者系统漏洞,透获取应用或者系统权限,从而发起勒索攻击。该方案在攻击者漏洞探测阶段,实现南北&东西向漏洞探测精准屏蔽能力,让漏洞无法被探测、无法被利用。勒索家族ATT&CK行为检测:通过对APT勒索家族TTP行为提炼,利用主机细粒度事件数据采集,对操作行为日志、进程创建日志、网络连接日志、系统登陆日志、DNS日志、账号变更日志进行全面采集分析,通过建立行为模型进行威胁狩猎,对APT勒索家族TTP事件实时监控。1.勒索攻击预防和预警阶段1个架构零信任网络安全架构 2个创新攻击样本识别数字加密还原3个提升勒索攻击识别能力提升勒索攻击防御能力提升勒索攻击
52、恢复能力提升5个阶段基于APT组织的ATT&CK模型持续建设勒索攻击防御能力业务信息探测屏蔽,无法有效获取真实环境信息主动威胁狩猎排查潜伏攻击与入侵残留AI深度检测引擎全面排查勒索病毒多锚点APT攻击事件检测勒索攻击预防阶段勒索攻击预警阶段勒索攻击阻断阶段勒索攻击约束阶段勒索攻击恢复阶段失陷主机隔离,单点隔离热补丁、0day攻击防御无效化针对勒索投毒快速检测处置业务级ACL智能业务隔离,防止攻击扩散侦察事件信息屏蔽勒索加密秘钥截取,提高概率卷影技术恢复备份数据进程白名单数据读写,防止异常数据写入加密进程阻断,及时止损持续性勒索攻击防御有效性验证勒索攻击预防阶段勒索攻击预警阶段勒索攻击阻断阶段勒
53、索攻击约束阶段勒索攻击恢复阶段应云端网新型电力系统安全建设指南17 进程级攻击行为阻断:勒索病毒为了躲避检测,会使用进程注入的方式发起勒索攻击。首先,防勒索系统通过数字签名验证、AppInit_DLLs禁用、CreateRemoteThread禁用、DLL加载限制等措施,保护进程不被恶意注入。其次,防勒索系统基于指令类型以及指令来源(跨进程/跨地址空间访问)进行识别,阻断勒索病毒非法的进程终止行为,确保关键业务连续性的同时,保持应用程序对应用数据的占用,勒索病毒无法对占用数据进行加密篡改,进而无法勒索成功。最后,勒索病毒加密文件前,会优先终止业务进程,以解除文件占用,便于文件加密、文件删除等操
54、作。此时,通过全面检测可疑行为调用,可以有效阻断勒索攻击行为。业务级零信任网络架构:零信任网络架构有效阻止攻击者入侵后在内网扩散。攻击者控制某些脆弱的单点后,会向网络内部更重要系统横向渗透,零信任的安全机制可以及时检测到风险,阻止勒索软件在网络中进行横向移动,从而帮助企业将风险控制在最小限度,避免被全局渗透的严重后果。密钥截取和解密:密钥截取和解密可以在两个环节实现。其一,在勒索攻击实施阶段,攻击者往往采用随机对称性加密进行文件加密,并将私钥进行统一存放。通过RSA非对称性加密将私钥进行二次加密,防止业务人员进行数据还原。通过在RSA秘钥加密前,提前在服务器中进行秘钥数据劫持;其二,勒索攻击若
55、采用三级加密结构,攻击者会在文件加密后,手动将私钥进行对外传输,此时可以在流量层进行秘钥数据劫持。即使真正发生勒索事件,可将劫持后的秘钥进行文件解锁,避免赎金缴纳。分钟级卷影副本数据恢复:业务数据进行周期性备份,备份前进行AI加密函数、异常行为、文件特征判断。如加密文件则直接丢弃,并将相关进程阻断、隔离,如属于正常文件,则进行防重复检查。正常安全数据进行卷影副本备份,备份区内数据可随时还原,以支撑业务快速恢复。图 18:密钥截取和解密过程2.勒索攻击阻断和约束阶段3.勒索攻击恢复 百倍级样本AI深度检测:在一些定向勒索或APT定向攻击中,梳理攻击装备清单发现,许多不再是传统意义上的恶意代码,而
56、是为正常的网络管理应用类的工具或脚本,因此传统基于代码片段特征的检测方式的效率及准确率都会极大降低。该方案通过勒索样本的识别,将整个程序的所有函数进行向量分析。通过加密意图及文件异常指标,综合判断勒索攻击样本,检测准确率比传统检测方式提高百倍以上。对称性加密文件秘钥1文件秘钥2文件秘钥3RSA非对称性加密勒索秘钥文件秘钥文件1文件2文件3RSA非对称性加密秘钥CC传输秘钥劫持秘钥劫持数据恢复恢复加密秘钥新型电力系统安全建设指南18新型电力系统更加开放,业务系统之间、业务系统与外界用户实时交互更加频繁。API作为系统间的通信桥梁,正成为攻击者的重点目标。API滥用已成为导致企业Web应用程序数据
57、泄露最常见的攻击媒介。对电力企业而言,想要保障数据安全,全生命周期的API管理很有必要。而从高效防御的角度出发,企业可以从API的上线运行阶段入手,利用API数据安全综合治理方案,持续识别API资产潜在威胁和漏洞、评估安全风险、实时监测威胁、迅速响应安全事件,全面保护API的安全性和可靠性,最大化降低甚至避免API风险,具体方案内容如下图所示。API数据安全综合治理方案主要包括5个阶段,旨在通过系统化的方法来确保API及其处理的敏感数据的完整性、保密性和可用性。图 19:API 数据安全综合治理方案随着API的广泛应用和数量的快速增长,企业可能拥有大量的API资产,形成了庞杂的API暴露面。该
58、方案通过对API使用情况实时监控,全面梳理API资产,观测全链路调用关系,做到异常访问可视化,实现业务无感知的资产梳理及流转绘制。API资产梳理全面且详细,从“应用内”到“应用外”、覆盖了“端点”到“流量”,并且包括云环境场景,支持识别的API类型多、属性丰富。4.3 API数据安全防护方案1.API数据资产梳理API数据安全综合治理方案API数据安全治理技术体系对象API数据资产管理资产发现与清点资产分类资产管理API调用链路分析API资产识别结构化数据识别非结构化数据识别账号识别数据库识别数据资产梳理API数据风险评估漏洞发现安全规范检测API弱点评估API权限控制用户认证API访问权限认
59、证授权服务对接权限管理API数据威胁监测可用性检测性能检测错误检测安全性检测API运行状态监测异常请求恶意用户行为敏感操作恶意流量安全漏洞威胁情报安全攻击监测数据来源与流向敏感数据流动数据调用链数据流转监测规则、统计、关联机器学习流量分析异常行为识别API安全响应实时处置防护联动处置响应API安全防护Web水印API数据脱敏敏感数据管控审计与溯源访问控制审计涉敏资产审计用户访问行为审计API行为审计按攻击结果按攻击方式按事件类型按涉敏资产按(敏感)数据溯源分析请求频率限制实时访问控制访问控制传输加密安全通信口令认证风险检测数据暴露风险检测数据风险评估访问权限风险明文传输风险数据流转风险评估流量
60、层主机层应用层硬件镜像流量采集主机流量采集实时应用插桩HTTPS解密容器流量采集应用漏洞清点旁路阻断4层封禁应用攻击拦截L2-L7层流量威胁检测插件融合应用热补丁流量重组还原资产持续监控公网API合作伙伴业务API内部办公API应用间API云服务API新型电力系统安全建设指南19该方案基于大数据底层架构对原始安全数据元素进行聚合,通过安全攻击监测、数据流转监测、异常行为识别等多维度威胁检测,使用户具备多视角的API安全威胁监测分析能力。同时,该方案对API承载的敏感数据进行持续监测评估,洞悉敏感数据流转风险,通过对数据调用和流转的分析,全面发现敏感数据外泄事件、记录敏感数据流动日志,结合对数据
61、资产的分类分级,使用户具备“技术策略”、“数据策略”、“用户策略”等更细粒度的观测和管理视角。该方案通过实时监测和数据分析,可以更快地发现潜在安全问题,及时进行预警和处置。利用多层级安全能力的协同联动,在发现安全威胁时,可以实现应用内、主机间、网络侧、业务链多层级节点的阻断,满足不同安全响应场景和安全运维需要。一旦发生敏感数据泄露事件,企业需要及时对泄漏的数据进行追踪溯源,找到泄漏源头,针对性进行修复,避免大规模的数据泄漏事件发生。该方案可以提供数据要素追溯和应用漏洞修补能力,快速定位问题,并完成修复,形成事件处理的闭环。主要流程包括定位溯源数据泄露点、确认定损相关日志查询、检查泄漏点是否存在
62、漏洞风险、热补丁封堵泄露点。2.API数据风险评估攻击者针对API资产的攻击手段存在多样化、隐蔽化、自动化的趋势,可以轻松突破企业对于API的限频、限量及认证鉴权等基础的防护手段。除此之外,大部分攻击者利用OWASP API Security Top 10(对象级授权失效、身份认证失效、对象属性级授权失效、资源消耗无限制、功能级授权失效等)所列举的逻辑漏洞进行攻击。该方案持续围绕OWASP API Security Top 10风险项与API数据安全防护技术架构,精准打造全面的API数据风险评估能力。API数据风险既包括API自身的漏洞风险,也包括了攻击者对API进行攻击的风险、账号的违规操作
63、行为风险、IP的异常行为风险等。3.API安全威胁监测4.应用数据接口安全响应5.溯源审计随着新型电力系统建设,电力网络与工业互联网融合应用,系统暴露出更多的安全漏洞。面对巨大的漏洞修复工作量,企业需要基于风险的漏洞管理方案,在漏洞管理过程中采取一种更加主动和战略性的方法,通过综合运用各种工具和策略,获得动态、持续的可见性,有效地识别、评估、分类和修复漏洞,从而降低关键业务风险。4.4 基于风险的漏洞管理方案新型电力系统安全建设指南20基于风险的漏洞管理方案通过自动、持续地识别安全弱点,全面了解攻击面,从而根据风险严重性和业务影响确定补救的优先级,聚焦真正的风险,关注最重要的漏洞和资产,提升安
64、全防御的效率和精准度。图 20:基于风险的漏洞管理方案基于企业重要资产,持续性、高频率对既定资产进行扫描,发现资产中存在的各种漏洞。这个阶段重点在于漏洞检测的准确性和可持续性。考虑到电力IT环境的复杂、多样性(比如局域网、云环境、OT网络等),需要选择合适的扫描设备。这一步需要对整个攻击面的风险漏洞进行全面评估,包括云、OT和容器环境中的所有资产。在进行风险评估时应该有足够的评估频度,因为威胁是不断变化的,攻击者会时刻扫描企业的网络环境,一旦发现薄弱环节,马上开始攻击。想要做到有效地对风险最大的漏洞进行优先排序,就需要了解每个漏洞的完整上下文,例如威胁情报、漏洞详情等。同时需要充分了解受关键漏
65、洞影响的资产,因为一旦在最重要的IT资产上发现最高风险的漏洞,那么它必然是最高优先级。1.资产发现2.风险评估3.确定漏洞优先级评估漏洞管理关键成熟度指标,以推动降低风险衡量发现评估优先级补救首先确定要修复漏洞的优先级,以应用适当的补救或缓解技术了解环境中的风险,根据资产重要程度、威胁环境和漏洞严重性确定修复的优先级识别和映射每一个资产,以实现跨计算环境的可见性了解所有资产的状态,包括漏洞、错误配置和其他风险指标新型电力系统安全建设指南21图 21:漏洞管理运营流程一旦确定了哪些漏洞是最高优先级,就需要采取适当的行动有效地管理风险。对于漏洞管理有补救、减轻、接受三个响应选项。企业可以使用补丁安
66、装的方式进行漏洞修复;或者采用其他技术来降低特定脆弱性的风险;如果有其他考虑因素,企业也可以选择接受风险。最后,需要制定能够衡量流程完整性的关键性能指标,以及业务影响指标,以评价基于风险的漏洞管理方案的有效性,并突出需要改进的地方。为了有效实施基于风险的漏洞管理方案,选择合适的漏洞管理工具也是关键。如下图所示,基于漏洞管理阶段,企业利用漏洞管理各环节所需工具的协同配合,通过体系化流程,持续地根据漏洞对企业构成的风险来识别、确定优先级和修复这些漏洞。从而将企业的关注点放在最有威胁的漏洞上,极大降低漏洞管理人员的工作量。企业通过打造基于风险的漏洞管理运营体系,综合运用各种工具和策略,有效地识别、评
67、估、分类和修复漏洞,建立一个高效、全面且可靠的漏洞管理系统,从而最大限度地减少安全风险,为企业提供强大的安全保障。4.漏洞修复5.指标衡量漏洞运营流程阶段一:资产梳理执行扫描任务输出输入资产信息阶段二:漏洞发现阶段三:漏洞修复阶段四:漏洞缓解阶段五:漏洞抑制资产清点资产发现资产管理中心构建完善资产台账终端采集资产服务端口清点执行漏洞扫描输出输入输出联动联动联动多重防护体系资产脆弱性信息执行漏洞扫描执行漏洞扫描发起漏洞处置工单验证漏洞真实性漏洞误判处置发起漏洞修复工单发起漏洞缓解措施下发漏洞精准防护策略漏洞防护有效性验证应急响应开启漏洞精准防护策略开启主机热补丁封禁高危端口应急响应/失陷主机隔离
68、修复漏洞漏洞属性漏洞修复方案威胁溯源报告资产属性漏洞缓解方案漏洞修复优先级漏洞运营中心基于资产基于情报基于漏洞事件漏洞详情结合否否否否否是是是是是修复验证完善/更新漏洞详情工单关闭/漏洞闭环漏扫系统漏洞是否已修复?漏洞是否可修复?漏洞是否可缓解?防护措施是否有效漏洞精准、防护漏洞信息屏蔽青藤万相漏洞管理模块漏洞运营专家漏洞缓解NP热补丁RSAP微隔离新型电力系统安全建设指南22图 22:云安全方案控制域当前,伴随“数字中国”“网络强国”“能源安全”等国家重大战略的部署实施,我国能源革命与数字革命相融并进。电力行业作为能源的核心和支柱产业,大力推行数字化建设和智能化改造。国网某省电力公司高度重视
69、数字化转型,经过多年建设,电网云基础设施基本完善,数智电网建设持续推进。与此同时,如何有效保障数智电网云安全成为企业关注的重点。国网某省电力公司,主营业务包括发供电、电站、输变电建设、电力建筑工程设计等。该企业数字化、智能化发展起步较早,现已建立完善的云基础设施,并且能够充分利用云平台服务能力,提高业务系统效率,降低运维成本。在数字化建设过程中,企业在安全威胁监测预警方面开展了有益尝试。但依然存在如下问题和差距:一是针对网络攻击和重大安全事件监测发现能力不足;二是安全威胁分析溯源能力不足;三是安全事件响应处置能力不足。因此,企业需要建立有效的云安全监测预警和溯源响应体系,实现事前预警、事中防范
70、和事后取证的安全能力。云安全是技术、控制、流程和策略的复杂交互,因此方案按照企业的云架构逻辑模型设计云安全控制能力,针对企业的安全需求,利用多种安全工具的协同配合,打造覆盖云应用、网络、数据、基础设施各个层级的安全能力。第五章电力行业安全建设实践案例5.1 案例背景及需求5.2 具体建设方案展示模式云模型安全控制模型数据元数据内容APIs应用中间件控制器管理硬件核心互联与交付抽象基础设施展示平台应用代码审计、安全扫描、RASP应用运行时防护能力数据数据活动监控、敏感数据防护、数据防泄漏网络全流量入侵检测防护、流量侧漏洞探测屏蔽主机和存储主机安全、容器工作负载防护、文件完整性、日志管理IaaS(
71、基础设施即服务PaaS(平台即服务SaaS(应用即服务新型电力系统安全建设指南23图 23:方案具体部署架构图图 24:主机自适应安全能力方案覆盖客户新一代电力交易平台、公共服务平台等多个业务系统,打造云安全纵深防护体系,在网络维度、主机维度、应用维度等各个层面有针对性且合理地部署安全防护检测系统,通过数据统一汇聚,实现数据链打通共享,基于全面的上下文洞察,实现数据实时收集、合并分析,提高一致性和安全态势。方案具体部署架构如下图所示。主机安全:该方案采用自适应安全架构,以持续监控和分析为核心,以加强预测、防御、检测、响应能力建设为主要目标,实现对主机安全的风险漏洞可视化管理,定期更新主机安全基
72、线,实时对主机上发生的攻击进行监控并告警,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。1.主机维度:实现云工作负载精准有效防护持续监控和分析预测响应防御检测主动分析风险暴露加固和隔离系统诱导攻击者拦截事件检测事件确认及定性危险隔离事件预测攻击重新设立系统基线修复/变更策略设计/对策略变更建模调查/取证网络边界区服务器区NDR流量检测WatchTower数据监测NGFWNGFW业务应用区安全能力网络应用Agent网络应用Agent东西流向东西流向网络应用Agent东西流向主机、容器操作告警等日志主机、容器操作告警等日志东西流向主机、容器操作告警等日志容器容器Age
73、ntVMHypervisorVM容器容器AgentVMHypervisorVM容器容器AgentVMHypervisorVM病毒查杀THP猎鹰威胁狩猎云图NDRNpatch漏洞防护零域微隔离防护RASP万相主机防护蜂巢容器防护新型电力系统安全建设指南24图 26:RASP 应用运行时自我保护该方案利用RASP应用运行时自我保护安全能力,在应用程序内部嵌入安全机制,能够主动监视、检测和阻止潜在的安全风险和攻击,打造实时监控、即时防御、自我修复、减少漏洞利用、降低误报率等应用安全防护能力。图 25:容器安全核心功能 容器安全:该方案适用于容器云、kubernetes环境等,通过对各类容器进程信息和
74、行为持续监控和分析,快速精准地发现安全威胁和入侵事件,为云平台提供下一代安全检测和响应能力。同时,其插件化的构建方式,不仅具备灵活的扩展能力,还实现各功能模块之间无缝联动;其分布式的部署方式,能够应对客户大量任务下发和大型攻击来临时的海量数据分析处理需求,并始终保持稳固的性能。微隔离:该方案利用微隔离技术,通过设置网络策略控制主机的入站和出站流量,有效阻隔主机之间随意的访问。同时对主机之间的网络连接进行可视化,让管理者清晰直观地梳理内网的业务逻辑,利用标签化的方式定义访问控制策略。在发生安全事件时,可有效阻止攻击者的横向移动行为,及时响应威胁。2.应用维度:打造应用运行时自我防护能力接口对接(
75、SIME/Alerting/IAM/CMDB.)核心功能系统管理资产管理容器/镜像/仓库/节点集群POD/Service.进程/端口Web服务镜像安全镜像构建集成仓库镜像扫描节点镜像扫描恶意镜像防护节点漏洞/配置检查集群漏洞/配置检查基础设施安全网络微隔离事件审计操作事件审计容器进程审计告警事件审计集群API审计运行时安全容器逃逸暴力破解反弹检测木马病毒Webshell检测敏感操作WebRce用户管理权限管理规则库管理Agent管理微服务安全微服务自动发现微服务漏洞扫描运行应用数据库应用Web站点/Web框架人体外部防护人体内部免疫人体组织抗体应用外部防护Agent应用内部免疫应用程序RASP
76、内生主动安全免疫动态插桩新型电力系统安全建设指南25RASP在应用程序运行过程中采用插桩技术,实现无干预、无感知、高精准地检测和防御外部攻击,快速地将安全防御功能融合到正在运行的应用程序中,像“抗体”一样使应用程序具备自我保护能力,从而自动免疫针对应用程序的外部威胁,实时检测并阻断攻击行为。图 27:流量侧入侵检测系统三层结构图 28:漏洞管理闭环体系 网络入侵检测与响应:该方案部署的流量侧入侵检测系统由流量接入层、处理分析层和云平台管理层三部分组成。能够在流量侧全面清点网络资产、发现网络威胁、监测数据风险,并进行响应闭环处置。流量接入层负责采集各种流量并进行预处理;处理分析层使用不同的手段对
77、数据进行不同维度的加工,转化为云平台可理解且可用的数据;云平台管理层为云平台提供界面管理能力。漏洞全生命周期闭环管理:该方案通过对接漏洞扫描器的结果,自适应生成漏洞屏蔽策略,计算出最佳漏洞闭环解决方案,并根据解决方案自动防护抵御漏洞攻击,使得管理人员可以有效地跟踪资源漏洞生命周期,实现漏洞全生命周期的闭环管理。3.网络维度:加强网络入侵检测及漏洞探测防护能力用户展示层资产管理模块威胁分析模块API安全模块敏感数据模块溯源分析 模块响应处置模块协同联动模块系统管理用户管理策略管理处理分析层敏感数据识别引擎行为分析引擎流量汇聚分析引擎资产识别引擎资产监控引擎网络攻击识别引擎系统攻击识别引擎API攻
78、击识别引擎应用攻击识别引擎溯源调查引擎流量接入层物理网络流量主机流量容器流量应用流量云流量网关/代理/负载均衡流量导入漏扫结果智能分析匹配配置屛蔽策赂拦裁漏洞攻击漏洞管理闭环将漏洞扫描设置扫描结果导入NPatch平台NPatch根据策略配置自动防护抵御漏洞攻击,漏洞闭环管理形成针对用户资产情况,根据漏洞屏蔽优先级综合计算分析出屏蔽可减少的风险用户可根据自身需求配置屏蔽策略,也可根据系统推荐一键生成配置策略新型电力系统安全建设指南26没有网络安全就没有国家安全,没有网络安全就没有电网安全。在“双碳”战略目标的引领下,新业务、新场景、新模式层出不穷,新型电力系统网络安全风险不断加大,亟需针对新情况
79、、新问题加强网络安全防护能力,围绕安全威胁重点场景,利用新技术、新方案打造有效化、实战化的安全防御体系,筑牢能源电力行业网络安全防线。结 语5.3 方案价值及收益客户应用该方案获得众多的安全价值和收益,包括自动化便捷部署安装使用、获得强大的数据对接能力、实现多云统一安全管理等。不仅提升了安全运营效率,优化了资源配置管理,还确保了企业在安全领域的竞争力。该方案采用轻量级Agent,一条命令快速安装,安装完毕后所有检测均自动化进行,无需再额外配置系统信息。客户无需为安全产品部署投入大量的人力成本。1.自动化便捷部署安装使用该电力企业客户建立了安全数据湖,该方案通过KAFKA数据对接的方式,将资产清
80、点数据直接对接到用户数据湖当中,与数据湖中其他数据样本做比较分析,完善数据台账,强化风险发现及威胁溯源响应过程中的数据分析能力。2.强大的数据对接能力该安全方案建设中提供的安全产品均支持集中式管理。客户安全人员通过集中化管理平台,获得全面的云安全态势复合视图,并实现主动防御、数据协同分析、溯源响应为一体的云安全防护,提高了安全效率,节约了建设成本。3.实现多云统一安全管理新型电力系统安全建设指南271企业网络安全合规框架体系R.云安全联盟,2023.22024 GLOBAL THREAT REPORTR.US:CrowdStrike,2024.3An Overview of Threats a
81、nd CountermeasuresR.US:Journal of Power and Energy Engineering,2020.4中国电力产业数字化研究报告R.艾瑞咨询,2022.5新型电力系统主动防御技术体系白皮书R.浙江大学、贵州大学,2023.6李元诚,罗昊,王庆乐,等.一种基于ATT&CK的新型电力系统APT攻击建模J.信息网络安全,2023.7朱朝阳.新型电力系统网络安全保护研究J.中国电机工程学会,2022.8LIU Jinxin,SHEN Yu,SIMSEK M,etal.A New Realistic Benchmarkfor Advanced Persistent T
82、hreats in Network TraficJ.lEEE NetworkingLetters,2022.9周劼英,张晓,邵立嵩,应欢.新型电力系统网络安全防护挑战与展望J.电力系统自动化半月刊,2023.10国家能源局.统筹发展和安全推动电力行业安全高质量发展OL.11电力行业数字化技术发展报告R.中国电机工程学会,2022.12Georgia Tech.Vulnerability ManagementOL.13Tenable.RISK-BASED VULNERABILITY MANAGEMENTOL.14Tenable.SolutionOverview-Risk-Based-Vulnerability-ManagementOL.15云安全指南V4.0R.云安全联盟,2017.参考资料服务热线:400-800-0789官网:总部地址:北京市海淀区弘源高科C座青藤云安全