智慧電力網(wǎng)絡(luò)安全態(tài)勢感知能力建設(shè)與提升

1研究背景隨著電力行業(yè)數(shù)字化轉(zhuǎn)型的跨越式發(fā)展和新應(yīng)用的不斷涌現(xiàn)，電力網(wǎng)絡(luò)整體規(guī)模逐漸擴(kuò)大，物聯(lián)網(wǎng)、云平臺、數(shù)據(jù)中臺等新型數(shù)字基建平臺的建設(shè)，使網(wǎng)絡(luò)邊界從物理邊界向物理和虛擬邊界混合的模式演變。虛擬邊界和物理邊界的融合，使得信息安全管理的難度隨之不斷增加，電力信息安全管理面臨從被動支撐到主動服務(wù)的挑戰(zhàn)，電力行業(yè)亟需構(gòu)建新的網(wǎng)絡(luò)安全智慧運(yùn)維模式。1.1

電力行業(yè)網(wǎng)絡(luò)安全保護(hù)政策要求近年來，黨中央、國務(wù)院高度重視網(wǎng)絡(luò)安全工作，《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《網(wǎng)絡(luò)空間國際合作戰(zhàn)略》《中華人民共和國網(wǎng)絡(luò)安全法》等法律法規(guī)相繼出臺，為我國網(wǎng)絡(luò)安全的發(fā)展提出了戰(zhàn)略指引，為網(wǎng)絡(luò)治理提供了法律準(zhǔn)繩。在電力行業(yè)中，2018年國家能源局印發(fā)了《關(guān)于加強(qiáng)電力行業(yè)網(wǎng)絡(luò)安全工作的指導(dǎo)意見》（以下簡稱“意見”），總結(jié)了電力行業(yè)網(wǎng)絡(luò)安全保護(hù)政策要求，從電力行業(yè)全局的角度指導(dǎo)、推進(jìn)網(wǎng)絡(luò)安全工作開展。意見圍繞進(jìn)一步落實電力企業(yè)網(wǎng)絡(luò)安全主體責(zé)任，完善網(wǎng)絡(luò)安全監(jiān)督管理體制機(jī)制，加強(qiáng)全方位網(wǎng)絡(luò)安全管理，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)，加強(qiáng)行業(yè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，加強(qiáng)電力企業(yè)數(shù)據(jù)安全保護(hù)，提高網(wǎng)絡(luò)安全態(tài)勢感知、預(yù)警及應(yīng)急處置能力，支持網(wǎng)絡(luò)安全自主創(chuàng)新與安全可控；積極推動電力行業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)健康發(fā)展，推進(jìn)網(wǎng)絡(luò)安全軍民融合深度發(fā)展，加強(qiáng)網(wǎng)絡(luò)安全人才隊伍建設(shè)，拓展網(wǎng)絡(luò)安全國際合作等方面提出要求。1.2智慧電力轉(zhuǎn)型需求近年來，物聯(lián)網(wǎng)、云平臺和數(shù)據(jù)中臺等新型數(shù)字基建平臺的大規(guī)模建設(shè)以及大量云原生、IoT的新應(yīng)用上線導(dǎo)致原來的網(wǎng)絡(luò)環(huán)境發(fā)生了變化。從內(nèi)部和外部環(huán)境來看，針對關(guān)鍵信息基礎(chǔ)設(shè)施的新型攻擊和破壞手段層出不窮，電力關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅在急劇增加。傳統(tǒng)的信息安全管理模式難以為繼，信息安全防護(hù)的難度越來越大，存在以下痛點。定位慢、處置難。現(xiàn)有的信息化和安全防護(hù)設(shè)備種類繁多，安全策略配置、運(yùn)維管理難度較大，當(dāng)面對眾多分散的信息時，安全人員無法快速、全面、直觀地了解系統(tǒng)安全脆弱點、整體攻擊狀況以及安全防護(hù)效果；日常產(chǎn)生的重復(fù)、無效的告警過多，加大了平臺運(yùn)營和信息安全監(jiān)測處置的難度，不能快速定位真正的運(yùn)行和網(wǎng)絡(luò)安全威脅，當(dāng)前的安全手段只能在一定范圍內(nèi)發(fā)揮特定的作用，且企業(yè)缺乏專業(yè)的智慧運(yùn)維工具，重復(fù)性工作占用現(xiàn)有人員大量精力，缺乏有效的數(shù)據(jù)融合和協(xié)同管理機(jī)制。安全管理人才匱乏。網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展面臨人才短缺的問題，2017年人才數(shù)量缺口已經(jīng)高達(dá)70萬人，缺口率95%，預(yù)計到2027年這一數(shù)據(jù)將增長至300萬人，市場競爭激烈，當(dāng)前培養(yǎng)的網(wǎng)絡(luò)安全人才數(shù)量遠(yuǎn)遠(yuǎn)不能滿足社會需求，特別是急缺信息安全專家、復(fù)合型人才。在日益規(guī)模化的網(wǎng)絡(luò)威脅下，網(wǎng)絡(luò)安全攻擊面不斷擴(kuò)大，攻擊強(qiáng)度不斷升級，企業(yè)應(yīng)對復(fù)雜攻擊的處理經(jīng)驗不足，水平不夠，顯得捉襟見肘，壓力與難度與日俱增。綜上所述，電力信息安全管理面臨從被動支撐到主動服務(wù)的挑戰(zhàn)，傳統(tǒng)的安全運(yùn)維進(jìn)入了需要依賴大數(shù)據(jù)分析、智能學(xué)習(xí)的人工智能模式，這些復(fù)雜因素都指向同一個結(jié)果——電力行業(yè)亟需構(gòu)建新的網(wǎng)絡(luò)安全智慧運(yùn)維模式。2電力智慧運(yùn)維模型構(gòu)建與創(chuàng)新點分析為應(yīng)對挑戰(zhàn)，國網(wǎng)上海市電力公司（SMEPC）綜合運(yùn)用多種技術(shù)手段，以運(yùn)營安全可視和協(xié)同防御為核心，打造一套智能化、精準(zhǔn)化、具備協(xié)同聯(lián)動的大數(shù)據(jù)安全分析平臺、數(shù)據(jù)中臺和統(tǒng)一運(yùn)營中心，實現(xiàn)全方位態(tài)勢感知、全天候安全監(jiān)控和全覆蓋防御協(xié)同能力。2.1整體綜合防線構(gòu)建為應(yīng)對網(wǎng)絡(luò)安全監(jiān)測與防護(hù)在數(shù)字化轉(zhuǎn)型中遇到的挑戰(zhàn)，利用大數(shù)據(jù)、態(tài)勢感知等新技術(shù)手段，融合公司平臺運(yùn)行、安全防護(hù)、流程處置信息和海量情報信息，構(gòu)建了上海電力的“智慧運(yùn)營和安全大腦”，如圖1所示。圖1電力信息系統(tǒng)智慧運(yùn)維新模式依靠大數(shù)據(jù)和人工智能技術(shù)，構(gòu)建了網(wǎng)絡(luò)安全大數(shù)據(jù)平臺與數(shù)據(jù)中臺，對已建設(shè)的防火墻、攻擊溯源系統(tǒng)、入侵防御系統(tǒng)、主機(jī)防護(hù)軟件等安全防護(hù)產(chǎn)品的多源異構(gòu)日志進(jìn)行采集和治理，一次采集、多次消費(fèi)，并結(jié)合關(guān)聯(lián)分析、統(tǒng)計分析、交叉分析、行為分析等多種分析技術(shù)，對網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行深度挖掘，有效發(fā)現(xiàn)網(wǎng)絡(luò)資產(chǎn)的風(fēng)險隱患和被攻擊情況。通過匯聚、分析、研判相關(guān)數(shù)據(jù)，將人、技術(shù)和流程緊密結(jié)合起來，打造平臺化和全景視角，讓決策者能夠?qū)崟r掌握運(yùn)營安全動態(tài)，形成對業(yè)務(wù)的有效支撐。在管理流程方面，對信息安全的管理流程進(jìn)行調(diào)整，針對監(jiān)控、變更、指揮、處置等核心流程基于大數(shù)據(jù)分析和自動化工具進(jìn)行配套調(diào)整，優(yōu)化審批環(huán)節(jié)，減少管理資源投入，提高效率。通過運(yùn)營平臺適配應(yīng)用系統(tǒng)全生命周期的各運(yùn)維場景，匯總?cè)S度運(yùn)維數(shù)據(jù)，讓數(shù)據(jù)驅(qū)動運(yùn)維，通過構(gòu)建運(yùn)維能力體系，為用戶提供運(yùn)維支撐服務(wù)，最終實現(xiàn)公司全網(wǎng)網(wǎng)絡(luò)安全態(tài)勢可見、風(fēng)險威脅可知、信息通報統(tǒng)一、應(yīng)急處置高效的效果。在監(jiān)控方面，對指標(biāo)管理體系進(jìn)行重構(gòu)，提取關(guān)鍵指標(biāo)，建立了應(yīng)用系統(tǒng)的健康度量化模型，將不同監(jiān)控層面的數(shù)據(jù)，包括性能監(jiān)控、運(yùn)行監(jiān)控、接口監(jiān)控、數(shù)據(jù)庫監(jiān)控、業(yè)務(wù)流量監(jiān)控等各層級相關(guān)指標(biāo)，對其進(jìn)行整合匯聚，實現(xiàn)監(jiān)控規(guī)范化、集中化、標(biāo)準(zhǔn)化和敏捷化，分析故障發(fā)生的原因，輔助定位可能的故障根源，讓應(yīng)用系統(tǒng)的運(yùn)行狀態(tài)一目了然。在運(yùn)營方面，提供了云資源、存儲資源、數(shù)據(jù)庫資源等資源的容量剩余情況、使用變化曲線、分配情況，實時顯示當(dāng)前檢修、搶修狀態(tài)的工單看板，通過應(yīng)用系統(tǒng)訪問量、流量等多維度信息展示應(yīng)用系統(tǒng)的活躍度。在運(yùn)營方面，提供了云資源、存儲資源、數(shù)據(jù)庫資源等資源的容量剩余情況、使用變化曲線、分配情況，實時顯示當(dāng)前檢修、搶修狀態(tài)的工單看板，通過應(yīng)用系統(tǒng)訪問量、流量等多維度信息展示應(yīng)用系統(tǒng)的活躍度。2.2構(gòu)建安全態(tài)勢量化模型，科學(xué)評估運(yùn)維管理成效安全數(shù)據(jù)中臺依據(jù)數(shù)據(jù)安全和數(shù)據(jù)標(biāo)準(zhǔn)的規(guī)范，對數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)治理、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)服務(wù)和數(shù)據(jù)運(yùn)維幾個方面進(jìn)行有機(jī)結(jié)合，實現(xiàn)安全數(shù)據(jù)匯聚、管理和統(tǒng)一的數(shù)據(jù)服務(wù)。采集的數(shù)據(jù)包括設(shè)備日志數(shù)據(jù)、流量數(shù)據(jù)、弱點漏洞數(shù)據(jù)、系統(tǒng)性能數(shù)據(jù)、威脅情報數(shù)據(jù)、資產(chǎn)人員數(shù)據(jù)等多種安全、泛安全類數(shù)據(jù)。安全數(shù)據(jù)經(jīng)過數(shù)據(jù)處理、存儲、挖掘后，形成包括基礎(chǔ)庫、業(yè)務(wù)庫、原始庫、知識庫和分析庫等，為上層應(yīng)用提供數(shù)據(jù)支撐。安全能力中臺以安全數(shù)據(jù)中臺的海量安全數(shù)據(jù)為基礎(chǔ)，利用大數(shù)據(jù)關(guān)聯(lián)分析技術(shù)，結(jié)合人工智能建模方法，對海量安全數(shù)據(jù)進(jìn)行深度分析，揭示安全威脅和攻擊事件，發(fā)現(xiàn)系統(tǒng)面臨的安全風(fēng)險和感知系統(tǒng)安全態(tài)勢。安全能力中臺通過聚焦各維度的安全需求，將系統(tǒng)各種安全能力服務(wù)化，形成安全服務(wù)目錄，實現(xiàn)數(shù)據(jù)融合，進(jìn)而挖掘數(shù)據(jù)價值，并通過安全數(shù)據(jù)場景化分析模塊，提供關(guān)聯(lián)規(guī)則、統(tǒng)計建模、場景關(guān)聯(lián)、分析建模、情報建模以及機(jī)器建模等安全分析能力，提供支撐上層應(yīng)用的數(shù)據(jù)。安全態(tài)勢量化的模型，如圖2所示。圖2安全態(tài)勢量化綜合態(tài)勢評分采用的是多層次模糊綜合評判模型，權(quán)重的確定采用層次分析法。綜合態(tài)勢評分考慮的影響因素較多，主要分為兩個方面：一方面，權(quán)重分配很難確定；另一方面，即使確定了權(quán)重分配，由于要滿足歸一性，每一因素分得的權(quán)重必然很小。所以需要采用分層的辦法來解決這一問題，主要采用了以下算法。模糊綜合評價法（FCE）：是一種根據(jù)模糊數(shù)學(xué)隸屬度理論把定性評價轉(zhuǎn)化為定量評價的方法。它具有結(jié)果清晰、系統(tǒng)性強(qiáng)的特點，能較好地解決模糊的、難以量化的問題，適合解決各種非確定性的問題。層次分析法（AHP）：是把復(fù)雜問題中的各種因素通過劃分為相互聯(lián)系的有序?qū)哟危怪畻l理化，根據(jù)對一定客觀現(xiàn)實的主觀判斷結(jié)構(gòu)（主要是兩兩比較）把專家意見和分析者的客觀判斷結(jié)果直接而有效地結(jié)合起來，將每個層次元素兩兩比較的重要性進(jìn)行定量描述。而后，利用數(shù)學(xué)方法計算反映每一層次元素的相對重要性次序的權(quán)值，通過所有層次之間的總排序計算所有元素的相對權(quán)重并進(jìn)行排序。FCE計算的前提條件之一是確定各個評價指標(biāo)的權(quán)重，也就是權(quán)向量，它一般由決策者直接指定。但對于復(fù)雜的問題，例如很多評價指標(biāo)之間存在相互影響的關(guān)系，直接給出各個評價指標(biāo)的權(quán)重比較困難，而這個問題正是AHP所擅長的。綜合運(yùn)用上述兩種算法，科學(xué)量化評估運(yùn)維成效，起到良好的作用。3態(tài)勢感知技術(shù)在智慧電力中的應(yīng)用2020年11月，在上海中國國際進(jìn)口博覽會期間，SMEPC集成34套信息系統(tǒng)，打造進(jìn)口博覽會全景智慧供電保障系統(tǒng)，實現(xiàn)人員、物資、車輛等保電資源全景可視化監(jiān)控和主動指揮，為全網(wǎng)保電資源的統(tǒng)一調(diào)配與指揮決策提供科技支撐。隨著感知終端、AI機(jī)器人等智能技術(shù)的深化運(yùn)用，進(jìn)博會保電工作從“設(shè)備管理”進(jìn)一步向“數(shù)據(jù)管理”轉(zhuǎn)型，觀測實時、反應(yīng)及時，實現(xiàn)了“一屏觀網(wǎng)”“一鍵響應(yīng)”的智慧升級。智慧運(yùn)維支撐服務(wù)平臺面向網(wǎng)絡(luò)安全能力集成、數(shù)據(jù)集成和編排響應(yīng)等需求，為網(wǎng)絡(luò)安全人員提供風(fēng)險匯聚、分析決策、編排調(diào)度和聯(lián)動處置4種共性服務(wù)支撐。3.1

風(fēng)險匯聚支撐安全數(shù)據(jù)中臺提供了統(tǒng)一、開放、標(biāo)準(zhǔn)、完整的信息資源服務(wù)。全面開展內(nèi)部和外部數(shù)據(jù)歸集、整合、重新組織、共享等工作，建立完整的信息共享資源目錄和信息資源服務(wù)能力；提供統(tǒng)一的大數(shù)據(jù)處理服務(wù)能力，提升信息資源服務(wù)能力，解決網(wǎng)絡(luò)智慧運(yùn)維對海量數(shù)據(jù)的深度挖掘、分析、應(yīng)用的迫切需求。3.2

分析決策支撐依賴安全大數(shù)據(jù)分析引擎，針對監(jiān)測數(shù)據(jù)中心內(nèi)匯聚的數(shù)據(jù)，從情報碰撞、資產(chǎn)威脅分析、安全事件分析、風(fēng)險隱患和網(wǎng)絡(luò)攻擊5個層面進(jìn)行安全分析。提供集中的安全規(guī)則、模型以及策略管理功能，制定統(tǒng)一的安全策略，并有效貫徹執(zhí)行這些安全策略，不僅有助于提高安全水平，而且將這些安全策略進(jìn)行上網(wǎng)發(fā)布也有助于知識的共享，讓各級安全管理人員合理運(yùn)用安全策略，有效地管理網(wǎng)絡(luò)，保障網(wǎng)絡(luò)的安全運(yùn)行。3.3

編排調(diào)度支撐運(yùn)營平臺提供安全服務(wù)和能力的管理及編排調(diào)度能力?；跇?gòu)建的能力體系，通過劇本編排，對分析、響應(yīng)處置過程中各種復(fù)雜的分析流程和處理平臺進(jìn)行整合，形成自動化的能力集成，實現(xiàn)從靜態(tài)事件響應(yīng)到動態(tài)工作流跟蹤的轉(zhuǎn)變，提升整體的協(xié)調(diào)及決策能力。3.4聯(lián)動處置支撐安全編排自動化與響應(yīng)（SecurityOrchestration，AutomationandResponse，SOAR）框架編排劇本進(jìn)行自動化任務(wù)執(zhí)行，利用自動化過程更有效地對告警進(jìn)行分類，并更快速高效地響應(yīng)關(guān)鍵事件，主要有以下5項核心技術(shù)能力。（1）安全編排：可以實現(xiàn)將安全分析能力、安全處置流程以及人工干預(yù)動作進(jìn)行無縫編排，保證安全流程真正高效地運(yùn)行。（2）自動化：是編排的一個子集，SOAR的編排會生成一個劇本（playbook），劇本包含了一次安全事件的全部或部分運(yùn)維流程，劇本可自動化執(zhí)行。（3）響應(yīng)：通過自動化執(zhí)行消除大量重復(fù)任務(wù)，釋放人工勞動力。利用自動化的誤報過濾可以在消除大量誤報的同時，更準(zhǔn)確地識別真正的威脅，提高工作流程的效率，節(jié)省時間和資源。同時利用自動化更有效地進(jìn)行告警分類，以更快地響應(yīng)關(guān)鍵事件。（4）案件管理：是對一個安全事件的全生命周期的統(tǒng)稱，利用SOAR可以對一次安全事件響應(yīng)全生命周期和自動化管理。（5）協(xié)同合作：可以實現(xiàn)人機(jī)交互的安全事件響應(yīng)，也可以實現(xiàn)不同權(quán)限/職責(zé)的人員共同編寫劇本，共同完成安全事件的響應(yīng)。在進(jìn)口博覽會期間，SMEPC憑借網(wǎng)絡(luò)安全態(tài)勢感知及分析系統(tǒng)詳實全面的信息安全數(shù)據(jù)分析與處理能力，全面掌握進(jìn)口博覽會保電期間關(guān)鍵系統(tǒng)與設(shè)施面臨的安全威脅、風(fēng)險和隱患狀況，實時定位信息網(wǎng)絡(luò)中發(fā)生的各類安全事件，通過實時監(jiān)測、快速處置、威脅感知、情報信息、數(shù)據(jù)查詢等功能業(yè)務(wù)，形成7×24小時全范圍覆蓋的網(wǎng)絡(luò)監(jiān)測與預(yù)警，為進(jìn)口博覽會的順利召開起到了良好保障作用。4

智慧運(yùn)維人員體系規(guī)劃管理組織架構(gòu)是智慧運(yùn)維成功建設(shè)的重要組成部分，必須加強(qiáng)機(jī)構(gòu)建設(shè)和團(tuán)隊建設(shè)，成立責(zé)任部門，做到分工明確、責(zé)任清晰、任務(wù)到人、考核到位，才能保障智慧運(yùn)維中心順利建設(shè)并能夠讓這套運(yùn)維體系不斷完善改進(jìn)。智慧運(yùn)維中心設(shè)置了安全監(jiān)測團(tuán)隊、分析處置團(tuán)隊、風(fēng)險管控團(tuán)隊、架構(gòu)管控團(tuán)隊、設(shè)備管理團(tuán)隊和技術(shù)支撐團(tuán)隊，以聯(lián)動模式為用戶提供運(yùn)營服務(wù)。安全監(jiān)測團(tuán)隊：主要負(fù)責(zé)所轄范圍的管理信息大區(qū)、生產(chǎn)控制大區(qū)、互聯(lián)網(wǎng)大區(qū)邊界網(wǎng)絡(luò)與信息安全7×24小時日常監(jiān)控預(yù)警及初步分析；負(fù)責(zé)內(nèi)外網(wǎng)重點網(wǎng)站運(yùn)行狀態(tài)監(jiān)控和上下級聯(lián)動；負(fù)責(zé)安全監(jiān)測值班規(guī)范的修訂與完善和安全監(jiān)測系統(tǒng)作業(yè)指導(dǎo)手冊的編制。分析處置團(tuán)隊：主要負(fù)責(zé)告警事件的分析判斷、調(diào)查取證、事件處置等工作；負(fù)責(zé)組織完成安全事件常態(tài)化溯源分析；負(fù)責(zé)為公司信息系統(tǒng)安全防護(hù)提供攻擊研判、態(tài)勢分析、技術(shù)咨詢等支撐工作；負(fù)責(zé)參與安全事件調(diào)查與事件處置，對確認(rèn)的安全事件分析其危害程度、波及范圍等，確定是否啟動應(yīng)急響應(yīng)。風(fēng)險管控團(tuán)隊：主要負(fù)責(zé)系統(tǒng)端口管控和治理；負(fù)責(zé)風(fēng)險預(yù)警處置相關(guān)工作；負(fù)責(zé)系統(tǒng)建轉(zhuǎn)運(yùn)審核工作和周期性進(jìn)行安全風(fēng)險評估工作；負(fù)責(zé)等級保護(hù)測評專項工作，根據(jù)等保合規(guī)要求、內(nèi)控規(guī)范、審計要求制定相關(guān)的監(jiān)測機(jī)制；負(fù)責(zé)內(nèi)部信息安全意識教育培訓(xùn)和宣傳。架構(gòu)管控團(tuán)隊：主要負(fù)責(zé)網(wǎng)絡(luò)安全方案和應(yīng)急預(yù)案的編制；負(fù)責(zé)上線系統(tǒng)方案安全架構(gòu)評審；負(fù)責(zé)網(wǎng)絡(luò)安全架構(gòu)管控、優(yōu)化調(diào)整工作以及網(wǎng)絡(luò)安全防御體系和架構(gòu)的設(shè)計與優(yōu)化。設(shè)備管理團(tuán)隊：主要負(fù)責(zé)根據(jù)安全策略的要求進(jìn)行安全基礎(chǔ)設(shè)施的規(guī)劃、建設(shè)以及日常的運(yùn)維工作；負(fù)責(zé)安全配置策略的統(tǒng)一管理、變更工作；負(fù)責(zé)安全設(shè)備的常態(tài)巡檢、維護(hù)、故障處理和檢修管理；負(fù)責(zé)安全平臺接入方案的審批與執(zhí)行；負(fù)責(zé)安全設(shè)備策略和權(quán)限的審批與維護(hù)，以及安全設(shè)備作業(yè)指導(dǎo)手冊的編制。技術(shù)支撐