工業(yè)企業(yè)安全縱深防御新范式-為能源企業(yè)打造平戰(zhàn)結(jié)合的安全綜合能力管控平臺

1.1案例十二：工業(yè)企業(yè)安全縱深防御新范式——為能源企業(yè)打造平戰(zhàn)結(jié)合的安全綜合能力管控平臺面向浙能集團(tuán)及下屬單位實現(xiàn)網(wǎng)絡(luò)安全脆弱性集中檢測、安全策略集中分析、安全要求集中下發(fā)、安全能力集中調(diào)度、安全威脅集中通報、安全事件集中處置、安全風(fēng)險集中可視，提升企業(yè)安全運營及應(yīng)急響應(yīng)能力，打造集團(tuán)級縱深防御網(wǎng)絡(luò)安全體系，積極應(yīng)對網(wǎng)絡(luò)安全新形勢下的新變化、聯(lián)互通需求日益增多，安全邊界日益模糊，網(wǎng)絡(luò)邊界防護(hù)壓力與日俱增。應(yīng)用場景等方面發(fā)生了巨大的變化，傳統(tǒng)以策略和產(chǎn)品防護(hù)的理念已無法在面對嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)安全形勢下，浙能集團(tuán)當(dāng)前存在安全工具孤立建設(shè)、安全能力難以復(fù)用、安全運營聯(lián)動不足、能力難以服務(wù)化輸出等問題，安全防護(hù)體系建設(shè)面臨巨大挑戰(zhàn)。亟需通過梳理沉淀現(xiàn)有安全能力，適當(dāng)補(bǔ)充新的安全能力，通過能力拉通、編排及服務(wù)化輸出，賦能集團(tuán)與廠區(qū)安全防護(hù)，提升網(wǎng)絡(luò)安全應(yīng)急響應(yīng)及防護(hù)效率，抵御復(fù)雜網(wǎng)絡(luò)威脅，方案建成的網(wǎng)絡(luò)安全綜合能力管控平臺以信息系統(tǒng)資產(chǎn)為基礎(chǔ)，以安全能力管控為核心，實現(xiàn)安全合規(guī)集中檢測、安全策略集中審計、安全風(fēng)—2—險集中通報、安全事件集中處置、安全能力集中調(diào)度，賦能廠區(qū)網(wǎng)絡(luò)安全安全綜合能力管控平臺方案基于IPDRR模型實現(xiàn)浙能集團(tuán)現(xiàn)有工具統(tǒng)一納管與安全能力接入，并通過能力編排與調(diào)度，構(gòu)建日常安全運營及重大活動保障場景的安全服務(wù)，賦能集團(tuán)和下屬單位，助力企業(yè)安全建設(shè)降從安全管理角度看，依托平臺能力，集團(tuán)側(cè)可摸清下屬工業(yè)企業(yè)網(wǎng)絡(luò)下屬工業(yè)企業(yè)可依托平臺提供的開展安全自主服務(wù)，實現(xiàn)安全作業(yè)常態(tài)化執(zhí)行、安全預(yù)警閉環(huán)管理，安全策略高效執(zhí)行，為浙能集團(tuán)產(chǎn)業(yè)高質(zhì)量發(fā)安全綜合能力管控平臺采用集團(tuán)集中部署，用戶分權(quán)分域模式建設(shè)，以IPDRR模型為指引構(gòu)建安全能力中心，為浙能集團(tuán)及下屬單位安全運營人員提供安全服務(wù)。建設(shè)安全合規(guī)中心、安全監(jiān)測中心、安全防護(hù)中心、應(yīng)急響應(yīng)中心，依托浙能集團(tuán)數(shù)據(jù)中臺安全數(shù)據(jù)實現(xiàn)安全駕駛艙，在滿足安全監(jiān)管要求的同時，具備網(wǎng)絡(luò)安全中臺演進(jìn)能力，為浙能集團(tuán)安全建設(shè)在技術(shù)方案設(shè)計上充分考慮風(fēng)險識別、安全檢測、安全防護(hù)、安全響應(yīng)、安全恢復(fù)5個階段能力的管控，通過API等接口實現(xiàn)對接，總體框架平臺系統(tǒng)架構(gòu)設(shè)計主要分為四部分，包括安全工具層、能力管控層、安全服務(wù)層、外部系統(tǒng)層。應(yīng)急指揮、基線核查、安全邊界作為工具能力接入安全能力管控系統(tǒng)，分別部署至浙能集團(tuán)總部兩個數(shù)據(jù)中心。在技術(shù)方案設(shè)計上充分考慮風(fēng)險識別、安全檢測、安全防護(hù)、安全響應(yīng)、安全恢復(fù)5個階段能力的管控，通過API接口實現(xiàn)基線配置核查系統(tǒng)、安全邊界面向集團(tuán)、板塊、下屬單位提供安全服務(wù)統(tǒng)一入口，與現(xiàn)有安全數(shù)據(jù)中臺實現(xiàn)數(shù)據(jù)同步及共享實現(xiàn)安全駕駛艙，并通過接口與浙能集團(tuán)信息運維管理平臺、統(tǒng)一消息系統(tǒng)、統(tǒng)一認(rèn)證系統(tǒng)等外部系統(tǒng)對接，在滿足安全監(jiān)管—4—本期方案總體架構(gòu)分為四層，自下而上分別為安全工具層、能力管控安全工具層主要是指分布在浙能集團(tuán)大樓以及海創(chuàng)園數(shù)據(jù)中心以及電能力管控層主要包括安全能力網(wǎng)關(guān)、數(shù)據(jù)處理單元、安全能力中心，以及能力管控所需的安全對象管理及系統(tǒng)安全管理。依托數(shù)據(jù)處理單元抽取工具任務(wù)運行數(shù)據(jù)及數(shù)據(jù)中臺威脅數(shù)據(jù)構(gòu)建安全駕駛艙。安全能力網(wǎng)關(guān)實現(xiàn)工具接口接入，同時北向創(chuàng)建API接口供能力中心調(diào)用。安全服務(wù)層基于安全能力中心能力，形成面向浙能集團(tuán)及下屬單位安全管理員、安全運維人員提供漏洞掃描、基線合規(guī)掃描、弱口令掃描、應(yīng)急處置、防護(hù)策略審計、安全威脅監(jiān)測等服務(wù)，可在安全設(shè)備運維、安全集中式部署時，分支機(jī)構(gòu)可根據(jù)權(quán)限實現(xiàn)對本單位所轄資產(chǎn)及安全風(fēng)險的方案部署地點位于浙能集團(tuán)數(shù)據(jù)中心，后續(xù)通過部署處置節(jié)點方式與在集團(tuán)統(tǒng)一的網(wǎng)絡(luò)與信息安全管理要求下，系統(tǒng)相關(guān)的物理安全、網(wǎng)絡(luò)結(jié)構(gòu)安全、設(shè)備安全、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全等滿足等級保護(hù)三級要求，建立有效的安全機(jī)制，實現(xiàn)應(yīng)用的安全訪問控制，同時保障數(shù)據(jù)在采集、傳輸、存儲、訪問中的安全性。傳輸過程中采用必要的國產(chǎn)商—安全綜合能力管控平臺建設(shè)后，面向安全日常運營、重大活動保障等場景提供安全合規(guī)檢查、安全應(yīng)急處置、安全策略審計、安全事件處理等令掃描，支持對新入網(wǎng)設(shè)備進(jìn)行合規(guī)基準(zhǔn)檢查，針對不符合要求的策略項進(jìn)行整改篩查；提供系統(tǒng)漏洞掃描、網(wǎng)站漏洞掃描等服務(wù)，針對集團(tuán)內(nèi)部資產(chǎn)進(jìn)行定期漏洞掃描，并對中高危漏洞進(jìn)行整改核查；提供防火墻策略進(jìn)行策略解析，輸出審計報表，針對不合規(guī)策略問題項進(jìn)行處理；提供安全事件通報預(yù)警服務(wù)，可對安全事件的上報、審核、通報、處置流程進(jìn)行管理記錄，及時對安全事件進(jìn)行響應(yīng)處置；提供安全應(yīng)急處置入口，針對安全事件進(jìn)行動態(tài)呈現(xiàn)，展示安全風(fēng)險變化情況；提供應(yīng)急處置入口，針系統(tǒng)可通過SaaS服務(wù)、本地建設(shè)等模式為工業(yè)企業(yè)提供應(yīng)急響應(yīng)場景為例，提供集團(tuán)-板塊-下屬單位三級聯(lián)動應(yīng)急處置，通過對接各單位/板塊公司的邊界防火墻實現(xiàn)處置策略的下發(fā)。通過HTTP接口實現(xiàn)多級平臺聯(lián)動，集團(tuán)一級平臺收到上級單位處置指令后可下發(fā)處置工單至二級平臺，二級平臺可選擇自動處置或者人工審核是否進(jìn)行處置，并將處置結(jié)果上報至集團(tuán)的一級平臺。二級平臺可自主下發(fā)處置工單至三級平安全資產(chǎn)管理模塊對浙能集團(tuán)及下屬單位資產(chǎn)信息進(jìn)行管理，包含對基線檢測、漏掃檢測、防火墻策略核查、安全監(jiān)測通報等安全能力提供資將獲取到的威脅數(shù)據(jù)、脆弱性數(shù)據(jù)與資產(chǎn)數(shù)據(jù)進(jìn)行關(guān)聯(lián)，形成網(wǎng)絡(luò)安全決策依據(jù)，構(gòu)建安全駕駛艙，從日常模式、巡檢模式、護(hù)網(wǎng)模式多維度展現(xiàn)安全工作的重點關(guān)注指標(biāo)，反映網(wǎng)絡(luò)運行及安全狀態(tài)，將安全風(fēng)險形象、直觀地呈現(xiàn)給安全決策者和管理人員，方便安全運營管理者全局掌握面向浙能集團(tuán)數(shù)據(jù)中心以及下屬單位提供防火墻策略核查能力及處置大幅提升防火墻策略審計效率；應(yīng)急處置能力可針對IP地址、域名、URL等進(jìn)行快速封堵處置，通過上下級聯(lián)動的方式，實現(xiàn)“一點下發(fā)，全局防弱口令掃描、策略審計、態(tài)勢感知、應(yīng)急處置等能力，并通過安全編排與智能調(diào)度有效支撐浙能集團(tuán)及下屬單位常態(tài)化安全運營工作開展，集約化方案后續(xù)計劃在浙能集團(tuán)下屬板塊及單位進(jìn)行分階段推廣。目前已在后續(xù)計劃在集團(tuán)下屬煤炭運輸、石油、可再生能源等多個行業(yè)板塊推廣應(yīng)用，提供應(yīng)急處置、策略審計、合規(guī)檢查、威脅監(jiān)測、漏洞掃描等安全能方案后續(xù)計劃在金融、電力、水利等行業(yè)開展推廣，安全綜合管控平臺提供的標(biāo)準(zhǔn)化安全事件研判與處置流程、沉淀安全策略知識庫，自建的應(yīng)急處置、策略審計、合規(guī)檢查、威脅監(jiān)測、漏洞掃描等安全能力可復(fù)制在構(gòu)建安全綜合能力管控平臺過程中引入pla將事件捕捉、特征識別、策略封堵、策略恢復(fù)、策略驗證等腳本封裝成原也可支持基于行為模型（閾值、基線）的策略加載，同步引入大數(shù)據(jù)算法基于傳統(tǒng)的樣本特征比對和正則匹配的檢測方式面臨極大的挑戰(zhàn)，攻擊者一旦繞過或直接使用非特征庫中的攻擊載荷，傳統(tǒng)的檢測防護(hù)模式將和分析，生成的結(jié)果匹配威脅情報后輸出安全事件，根據(jù)置信度選擇不同—為全方位掌握浙能集團(tuán)網(wǎng)絡(luò)安全運行狀況，理解安全能力運行數(shù)據(jù)背后規(guī)律，挖掘安全數(shù)據(jù)蘊含的風(fēng)險信息，進(jìn)而快速發(fā)現(xiàn)潛在的網(wǎng)絡(luò)威脅，通過建立安全能力指標(biāo)體系，建立日常模式、巡查模式、護(hù)網(wǎng)模式等場景下的安全駕駛艙，多維度分析數(shù)據(jù)聯(lián)系，反映網(wǎng)絡(luò)運行及安全狀態(tài)，支持多維安全數(shù)據(jù)聯(lián)動交互，將安全風(fēng)險形象、直觀地呈現(xiàn)給安全管理人員，基于微服務(wù)能力網(wǎng)關(guān)技術(shù)，通過接口技術(shù)標(biāo)準(zhǔn)化，能力輸出標(biāo)準(zhǔn)化、流程標(biāo)準(zhǔn)化，實現(xiàn)平臺側(cè)安全能力解耦與集成，依托編排引擎實現(xiàn)能力的的拉通與智能調(diào)度，實現(xiàn)安全能力增強(qiáng)互補(bǔ)，同時建立能力評估體系，在板塊推廣應(yīng)用，累計授權(quán)專利8項，并發(fā)表多篇論文。平臺中的網(wǎng)絡(luò)安全邊界防護(hù)子系統(tǒng)及網(wǎng)絡(luò)安全應(yīng)急指揮子系統(tǒng)已完成龍芯處理器、中標(biāo)麒麟的操作系統(tǒng)、華為鯤鵬服務(wù)器、信創(chuàng)云完成兼容互認(rèn)證測試并獲得多項認(rèn)通過建設(shè)安全事件工作臺，以安全事件的發(fā)現(xiàn)、上報、分析、通報、處置的安全事件應(yīng)急響應(yīng)流程為導(dǎo)向，將日常及重保期間的線下工作流程全面轉(zhuǎn)到線上，實現(xiàn)安全事件的閉環(huán)管理，上線運營后，日均處理安全事件百條，平臺完整記錄了安全事件的上報過程、處理過程、處置責(zé)任人、歸屬查詢等輔助手段，評估該安全事件的威脅情況，給出處置方案進(jìn)行處置。同時，安全綜合能力管控平臺通過沉淀浙能集團(tuán)一線專家研判規(guī)則形成分級分析算法，提供自動化研判手段，給出研判結(jié)果，輔助專家進(jìn)行研判決策，對日常及護(hù)網(wǎng)期間產(chǎn)生的安全事件進(jìn)行快速的分級分類處理，在大批量的安全事件中輔助分析團(tuán)隊進(jìn)行快速研判與精準(zhǔn)決策，提升響應(yīng)效在浙能集團(tuán)本部建立的統(tǒng)一封堵能力，兼容異構(gòu)邊界防護(hù)設(shè)備，針對深信服、天融信、綠盟等異構(gòu)防火墻設(shè)備進(jìn)行策略管控，通過地址集自動面向浙能集團(tuán)下屬單位，通過安全綜合能力管控平臺可實現(xiàn)封堵指令減輕運維壓力。依托平臺提供的安全能力及自動化服務(wù)，2022年方案運行后，浙能集團(tuán)及下屬工業(yè)企業(yè)積極開展安全基線、弱口令、集團(tuán)側(cè)在例行安全檢查過程發(fā)現(xiàn)的安全風(fēng)險大幅減低，有效提升企業(yè)安全平臺通過納管集團(tuán)本部安全設(shè)備，可實現(xiàn)安全工具的集中化運維，同時基于IPDRR模型形成安全能力中心，為集團(tuán)本部及下屬工業(yè)企業(yè)提供開箱即用的安全能力與服務(wù)，包含安全資產(chǎn)管理、安全風(fēng)險檢測、安全合規(guī)檢測、安全應(yīng)急響應(yīng)、安全策略審計、安全事件通報等，后續(xù)平臺安全能電力熱力生產(chǎn)、石油煤炭天然氣開發(fā)貿(mào)易流通、能源科技、能源服務(wù)和能源金融等業(yè)務(wù)，是浙江省委、省政府能源產(chǎn)業(yè)發(fā)展的主抓手、能源合作的主平臺、能源供應(yīng)的主渠道、能源安全保障的主力軍、環(huán)境保護(hù)的主戰(zhàn)場和能源科技創(chuàng)新的主引擎，為浙江經(jīng)濟(jì)社會持續(xù)健康發(fā)展提供了有力的能源供應(yīng)保障。截至2022年底，浙能集團(tuán)資產(chǎn)總額2991.8億元，所有者權(quán)益1382.9億元，控股管理發(fā)電裝機(jī)容量390獎一項，省部級科技進(jìn)步獎多項。浙能集團(tuán)高度關(guān)注網(wǎng)絡(luò)安全工作，統(tǒng)籌指導(dǎo)下屬工業(yè)企業(yè)實踐網(wǎng)絡(luò)安全防護(hù)方案，其中“大型火電廠網(wǎng)絡(luò)安全綜—浙江鵬信信息科技股份有限公司（以下簡稱：鵬信科技）是新三板掛牌的國家高新技術(shù)企業(yè)、國家級專精特新“小巨人”企業(yè)、浙江省網(wǎng)絡(luò)安全行業(yè)創(chuàng)新型十強(qiáng)企業(yè)。公司專注于網(wǎng)絡(luò)信息安全領(lǐng)域，公司具有中國信與認(rèn)證中心多項安全資質(zhì)。2019年成為浙江省工業(yè)控制系統(tǒng)信息安全應(yīng)急參與了多個省部級方案、工信部的工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程方案3個。公司自主研發(fā)的安全能力底座、安全一鍵應(yīng)急平臺、基線配置核查系統(tǒng)、安全漏洞管理平臺、安全策略可視化分析、安全運營管理平臺、安全態(tài)勢感2.結(jié)束語“編