2024年新型電力系統(tǒng)安全建設(shè)指南報告-青藤云安全

0101電力行業(yè)數(shù)字化發(fā)展重點場景 1 1 202030405電力行業(yè)典型攻擊事件及安全風(fēng)險 5 5 8 10 近年來，隨著“碳達(dá)峰·碳中和”目標(biāo)的提出，以低碳可持續(xù)發(fā)展為導(dǎo)向的新一輪能源變革開啟。2024年2月29日，中共中央政治局第十二次集體學(xué)習(xí)時，習(xí)近平總書記強(qiáng)調(diào)大力推動我國新能源高質(zhì)量發(fā)展，為共建清潔美麗世界作出更大貢獻(xiàn)。這是繼2021年習(xí)近平總書記提出“構(gòu)建以新能源為主體數(shù)字化智能化是實現(xiàn)能源變革的重要推動力，是新型電力系統(tǒng)建設(shè)的重要支撐。依托各類數(shù)字化平臺，新型電力系統(tǒng)實現(xiàn)源網(wǎng)荷儲各環(huán)節(jié)協(xié)同運行、智能交互，確保能源流、業(yè)務(wù)流、數(shù)據(jù)流多流融合，與此同時也給新型電力系統(tǒng)帶來更多網(wǎng)絡(luò)安全風(fēng)險。智能化也讓源于終端設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)字為了應(yīng)對日益突出的網(wǎng)絡(luò)安全問題，提升新型電力系統(tǒng)的安全防護(hù)能力，本文深入分析了電力系統(tǒng)面臨的安全風(fēng)險，探討了新型電力系統(tǒng)網(wǎng)絡(luò)安全防護(hù)重點方案，希望可以為相關(guān)電力企業(yè)安全建設(shè)電力是經(jīng)濟(jì)社會發(fā)展的基礎(chǔ)支撐。近年來，數(shù)字技術(shù)與傳統(tǒng)電力技術(shù)深度交叉融合，正在孕育影響深遠(yuǎn)的新技術(shù)、新模式和新業(yè)態(tài)。新形勢下，數(shù)字化智能化發(fā)展將是推動我國電力產(chǎn)業(yè)鏈現(xiàn)代化的重要引擎，也是新型電力系統(tǒng)建設(shè)統(tǒng)籌安中國工程院院士劉吉臻表示，新型電力系統(tǒng)背景下，數(shù)字化智能化技術(shù)將逐步覆蓋源、網(wǎng)、荷、儲等全環(huán)節(jié)。其中，電源側(cè)以數(shù)字化智能化技術(shù)加速發(fā)電清潔低碳轉(zhuǎn)型；電網(wǎng)側(cè)依托“云大物移智鏈邊”等數(shù)字技術(shù)的創(chuàng)新升級，建設(shè)智慧化從數(shù)字化轉(zhuǎn)型主體來看，發(fā)電側(cè)以五大六小發(fā)電集團(tuán)、地方發(fā)電企業(yè)為主體。五大發(fā)電集團(tuán)包括國家能源投資集團(tuán)、中國華能集團(tuán)、中國大唐集團(tuán)、中國華電集團(tuán)、國家電力投資集團(tuán)。六小發(fā)電集團(tuán)包括國投電力、中廣核、三峽集團(tuán)、華從數(shù)字化轉(zhuǎn)型階段來看，早期電力數(shù)字化轉(zhuǎn)型聚焦生產(chǎn)與管理環(huán)節(jié)。隨著產(chǎn)業(yè)發(fā)展，電力企業(yè)逐步深化數(shù)字技術(shù)與各環(huán)節(jié)的融合。直至“十三五”末，多數(shù)電力企業(yè)已積累海量電力數(shù)據(jù)，初步形成全面的轉(zhuǎn)型體系?！笆奈濉逼陂g，以建 轉(zhuǎn)型階段及特征結(jié)合計算機(jī)技術(shù)響應(yīng)“兩化融合”號重視轉(zhuǎn)型的頂層2015年新一輪電改后，電力重視新興技術(shù)的應(yīng)用深化，實現(xiàn)信息化、自動化轉(zhuǎn)型；2002年電改后廠網(wǎng)分離推動下，向網(wǎng)絡(luò)化、綜合性應(yīng)召，電力企業(yè)積極推進(jìn)“智能電網(wǎng)”建設(shè)，核心聚焦在生產(chǎn) 轉(zhuǎn)型階段及特征結(jié)合計算機(jī)技術(shù)響應(yīng)“兩化融合”號重視轉(zhuǎn)型的頂層2015年新一輪電改后，電力重視新興技術(shù)的應(yīng)用深化，實現(xiàn)信息化、自動化轉(zhuǎn)型；2002年電改后廠網(wǎng)分離推動下，向網(wǎng)絡(luò)化、綜合性應(yīng)召，電力企業(yè)積極推進(jìn)“智能電網(wǎng)”建設(shè)，核心聚焦在生產(chǎn)強(qiáng)調(diào)數(shù)字融合、數(shù)據(jù)驅(qū)動業(yè)行業(yè)開始探索多能互補技術(shù)方案，將“互聯(lián)網(wǎng)+”與智慧設(shè)計，認(rèn)識到數(shù)據(jù)的價值，加速全環(huán)節(jié)、全流程數(shù)字化轉(zhuǎn)型------*-""數(shù)據(jù)沉淀數(shù)智賦能調(diào)度六個環(huán)節(jié)及通信信息平臺的發(fā)展目標(biāo)及重點項方網(wǎng)南電 電力企業(yè)轉(zhuǎn)型實踐信息系統(tǒng)向基于南網(wǎng)云的新一代數(shù)字化基礎(chǔ)平臺與從數(shù)字化轉(zhuǎn)型程度來看，集團(tuán)企業(yè)基本上已經(jīng)構(gòu)建了完備的數(shù)字底座，向生產(chǎn)、運營、服務(wù)等場景化應(yīng)用拓展，旨在由單一的電力供給向綜合能源供給轉(zhuǎn)化。雖然地方型電力企業(yè)轉(zhuǎn)型步伐不一，但也在逐步加大數(shù)字化平臺建設(shè)的投入，有新型電力系統(tǒng)以滿足經(jīng)濟(jì)社會高質(zhì)量發(fā)展的電力需求為首要目標(biāo)，以高比例新能源供給體系建設(shè)為主線任務(wù)，以源網(wǎng)荷儲多向協(xié)同、靈活互動為堅強(qiáng)支撐，以技術(shù)創(chuàng)新和體制機(jī)制創(chuàng)新為基礎(chǔ)保障的新時代電力系統(tǒng)，是實現(xiàn)“雙碳”目標(biāo)的新型電力系統(tǒng)建設(shè)需要以云為基礎(chǔ)，融合先進(jìn)的數(shù)字技術(shù)，鏈接廣泛的資源，沉淀豐富的數(shù)據(jù)資產(chǎn)，并將“數(shù)據(jù)+算力+算法”能力融入到電力系統(tǒng)的生產(chǎn)管理、經(jīng)營決策等各個環(huán)節(jié)中，助力培育電力新業(yè)務(wù)、新模式，提高電力系統(tǒng)的穩(wěn)新型電力系統(tǒng)讓傳統(tǒng)電力系統(tǒng)搭上快車，將為電力生產(chǎn)、運行、管理帶來變革性影響，推動電力系統(tǒng)向更加智能、靈隨著新型電力系統(tǒng)建設(shè)，技術(shù)賦能源網(wǎng)荷儲一體化數(shù)字平臺。數(shù)字化技術(shù)與“電、氣、熱、信”等多網(wǎng)進(jìn)行橫向緊密電子技術(shù)等驅(qū)動電力智能化電子技術(shù)等驅(qū)動電力智能化智能控制和自動化技術(shù)廣泛應(yīng)用，高電網(wǎng)自動化水平覆蓋率為行業(yè)數(shù)字化升級打下信息通信技術(shù)與電網(wǎng)各環(huán)節(jié)深度融合，互聯(lián)網(wǎng)模式豐富了能源網(wǎng)絡(luò)架構(gòu)，賦予其開物聯(lián)網(wǎng)、云計算等新興技術(shù)承擔(dān)不同角色，賦能能源電信息流信息流信息流信息流網(wǎng)源實時感知實時感知智能控制智能控制依托“云大物移智”等技術(shù)賦能的源網(wǎng)荷儲一體化數(shù)字平臺，推動建設(shè)適應(yīng)新能源發(fā)展的新型智慧化調(diào)度運行體系，在“雙碳”目標(biāo)下，國務(wù)院、各地方政府和發(fā)電集團(tuán)關(guān)于建設(shè)智慧電廠的文件不斷出臺，明確指出：提升電源側(cè)智能化水平，加強(qiáng)傳統(tǒng)能源和新能源發(fā)電的廠站級智能化建設(shè)。目前，傳統(tǒng)能源發(fā)電廠經(jīng)過數(shù)年實踐，智能化改造較為完備，現(xiàn)階段更關(guān)注新一代數(shù)字技術(shù)與生產(chǎn)、服務(wù)環(huán)節(jié)的深度結(jié)合。針對新能源，建設(shè)重點在于從新能源場站到區(qū)域集成系統(tǒng)， 運行控制經(jīng)營管理設(shè)備管理物資及燃料管理燃料管理智能倉儲能源管理系統(tǒng)三維可視化知識圖譜運行控制經(jīng)營管理設(shè)備管理物資及燃料管理燃料管理智能倉儲能源管理系統(tǒng)三維可視化知識圖譜故障優(yōu)化智能巡檢設(shè)備管理系統(tǒng)廠房監(jiān)控系統(tǒng)設(shè)備狀態(tài)檢修系統(tǒng)設(shè)備預(yù)警系統(tǒng)全域感知高效協(xié)同實時泛在多源融合自動報表實施利潤預(yù)測生產(chǎn)經(jīng)營分析競價上網(wǎng)系統(tǒng)ERP企業(yè)管控系統(tǒng)文檔管理統(tǒng)一數(shù)字平臺統(tǒng)一數(shù)字平臺數(shù)據(jù)收集數(shù)據(jù)收集數(shù)據(jù)治理數(shù)據(jù)治理數(shù)據(jù)分析數(shù)據(jù)分析數(shù)據(jù)應(yīng)用數(shù)據(jù)應(yīng)用生產(chǎn)實時數(shù)據(jù)生產(chǎn)實時數(shù)據(jù)基礎(chǔ)管理數(shù)據(jù)基礎(chǔ)管理數(shù)據(jù)多媒體數(shù)據(jù)多媒體數(shù)據(jù)智能控制終端設(shè)備工業(yè)攝像頭巡檢機(jī)器人智能控制終端設(shè)備工業(yè)攝像頭巡檢機(jī)器人DCSSCADADEHNCS其他輔控汽輪機(jī)給水泵發(fā)電機(jī)余熱鍋爐云基礎(chǔ)設(shè)施智能聯(lián)接超融合一體機(jī)超融合一體機(jī)存儲資源存儲資源計算資源計算資源網(wǎng)絡(luò)資源網(wǎng)絡(luò)資源云平臺云平臺數(shù)據(jù)中心數(shù)據(jù)中心交換機(jī)交換機(jī)防火墻防火墻路由器路由器安全網(wǎng)管安全網(wǎng)管智慧電廠是發(fā)電企業(yè)當(dāng)下的建設(shè)重點，旨在基于數(shù)字技術(shù)實現(xiàn)生產(chǎn)運營的智慧化。智慧化能源生產(chǎn)運營也會進(jìn)一步推數(shù)字技術(shù)的應(yīng)用賦能新型電力系統(tǒng)實現(xiàn)全面感知與高度智能化運行，強(qiáng)化源、網(wǎng)、荷、儲各環(huán)節(jié)間的靈活協(xié)調(diào)、互聯(lián)隨著新型電力系統(tǒng)蓬勃發(fā)展，網(wǎng)絡(luò)安全形勢也正發(fā)生著變化。根據(jù)2023年公開的高級可持續(xù)威脅研究報告顯示，能源通信1%其他14%航空2%制造2%教育4%醫(yī)療4%金融9%能源11%政府29%國防軍工13%科研11%近年來，全球能源電力行業(yè)網(wǎng)絡(luò)攻擊事件頻發(fā)，主要包括勒索軟件攻擊、數(shù)據(jù)泄露、漏洞攻擊、ATP攻擊等事件，下BlackCat/ALPHV、Medusa（美杜莎）和LockBit3.0等十幾個知名勒索軟件組織紛紛加強(qiáng)了對2024年1月，法國能源管理和自動化巨頭施耐德電氣遭受了仙人掌（Cactus）勒索軟件攻擊，大 2019年7月，南非約翰內(nèi)斯堡電力公司CityPowe 電力行業(yè)的網(wǎng)絡(luò)安全威脅日益突出，其主要安全風(fēng)險趨勢表現(xiàn)在勒索攻擊增多有轉(zhuǎn)移云上的趨勢、數(shù)據(jù)安全隱患急劇近年來，全球范圍內(nèi)針對電力關(guān)鍵基礎(chǔ)設(shè)施的勒索攻擊呈爆發(fā)式增長。根據(jù)事件分析發(fā)現(xiàn)，勒索攻擊呈現(xiàn)出復(fù)雜化、目標(biāo)精準(zhǔn)、技術(shù)升級等特點。勒索攻擊者針對電力系統(tǒng)的“大型狩獵”中部署的新攻擊策略包括間歇性加密、使用更現(xiàn)代的專業(yè)編程語言，以及涉及多個變體的雙重勒索軟件攻擊。這些新興技術(shù)策略使安全防御變得更加困難。同時，隨著數(shù)字新型電力系統(tǒng)的電網(wǎng)結(jié)構(gòu)更加復(fù)雜、交互更加頻繁。多方位的數(shù)據(jù)聚合導(dǎo)致的數(shù)據(jù)泄露、篡改風(fēng)險加劇。此外，新型電力系統(tǒng)將與熱氣管網(wǎng)、天然氣管網(wǎng)、交通網(wǎng)絡(luò)等能源鏈進(jìn)行復(fù)雜互聯(lián)互通。攻擊者可能利用集中管控平臺漏洞竊取用戶總的來看，新型電力系統(tǒng)引入多元主體，數(shù)據(jù)交互呈現(xiàn)數(shù)據(jù)量大、次數(shù)頻繁、數(shù)據(jù)類型多等新特點，數(shù)據(jù)共享與隱私云平臺成為電力系統(tǒng)創(chuàng)新的重要載體，支撐電力新興業(yè)務(wù)孵化培育。隨著云計算技術(shù)的快速發(fā)展和廣泛應(yīng)用，云環(huán)境在基礎(chǔ)設(shè)施、數(shù)據(jù)、身份及訪問管理、安全管理、隱私、審計與合規(guī)等維度面臨的安全威脅日益增加。這些安全威脅不僅包括傳統(tǒng)的網(wǎng)絡(luò)攻擊，如DDoS攻擊，還包括針對云平臺基礎(chǔ)設(shè)施的安全漏洞，例如虛擬機(jī)管理程序、操作系統(tǒng)等存在的隨著網(wǎng)絡(luò)空間安全威脅加劇，電網(wǎng)成為國家之間網(wǎng)絡(luò)對抗及黑客定向攻擊的目標(biāo)。針對電力系統(tǒng)的定向攻擊模式也逐漸成熟，攻擊方式更加隱蔽、攻擊范圍更加廣泛、攻擊手段更加豐富。例如，利用電力系統(tǒng)的漏洞植入惡意軟件、遠(yuǎn)程訪問配電站控制系統(tǒng)、發(fā)送網(wǎng)絡(luò)攻擊干擾系統(tǒng)引起停電等方式對電力系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊。目前還出現(xiàn)了定向直擊電網(wǎng)工控網(wǎng)絡(luò)的攻擊武器“Lndustroyer”、“EKANS”和”Blacknergy”等惡意軟件，不僅能夠關(guān)閉電力設(shè)施中的關(guān)鍵系統(tǒng)，還能漏洞一直是網(wǎng)絡(luò)安全中不可回避的重點、難點問題。根據(jù)國家信息安全設(shè)備漏洞數(shù)量飆升，新型電力系統(tǒng)中設(shè)備漏洞的數(shù)量也呈增長趨勢。例如，新型電力系統(tǒng)工控設(shè)備及協(xié)議可能存在大量安全缺陷和漏洞，主要表現(xiàn)為Web漏洞和二進(jìn)制漏洞。此外，新型電力系統(tǒng)的終端在研發(fā)、生產(chǎn)、制造等環(huán)節(jié)無法避免的漏JJ 為了提高網(wǎng)絡(luò)安全防護(hù)能力，保障電力系統(tǒng)安全穩(wěn)定運行，國家加快推進(jìn)相關(guān)網(wǎng)絡(luò)安全立法，逐步完善能源行業(yè)政策2016年《中華人民共和國網(wǎng)絡(luò)安全法》正式通過，首次提出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度，對于關(guān)鍵信息基礎(chǔ)設(shè)施2021年9月1日《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式實施，《條例》上承《網(wǎng)絡(luò)安全法》要求，進(jìn)一步明2022年，國家能源局正式印發(fā)《電力行業(yè)網(wǎng)絡(luò)安全管理辦法》和《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)管理辦法》（以下合稱兩辦法是時隔8年之后，對其前一版本的修訂和更新。梳理電力行業(yè)近十年來的網(wǎng)絡(luò)安全相關(guān)法規(guī)和規(guī)范性文件，可以發(fā)現(xiàn)網(wǎng)絡(luò)安全管理、等級保護(hù)管理是電力行業(yè)網(wǎng)絡(luò)安全管理的兩大基本范疇。兩辦法立足電力行業(yè)網(wǎng)絡(luò)安全管理工作，電力行業(yè)相關(guān)安全建設(shè)標(biāo)準(zhǔn)包括《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全評估指南》《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》等。這些標(biāo)準(zhǔn)涵蓋了電力生產(chǎn)各環(huán)節(jié)的電力監(jiān)控系統(tǒng)安全防護(hù)、體系架構(gòu)、防護(hù)技術(shù)、應(yīng)急備用措施和安全管理要求，以及電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)的工作流程、方法和2019年4月1日，《電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)導(dǎo)則》正式實施（下文簡稱“防護(hù)導(dǎo)則”）。防護(hù)導(dǎo)則從安全防護(hù)技術(shù)、應(yīng)急備用措施和全面安全管理三個維度描述安全防護(hù)體系的立體結(jié)構(gòu)，適用電力監(jiān)控系統(tǒng)生產(chǎn)業(yè)務(wù)全流程和全生命周AA2023年11月，《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》《電力行業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評指南》兩項行業(yè)標(biāo)施。電力等保要求包括安全總體要求、安全通用要求和安全擴(kuò)展要求，覆蓋第二級到第四級要求。在業(yè)務(wù)層面上將等級保護(hù)對象分為電力監(jiān)控系統(tǒng)和管理信息系統(tǒng)；技術(shù)層面上分為物聯(lián)網(wǎng)應(yīng)用、云計算平臺/系統(tǒng)、移動互聯(lián)網(wǎng)應(yīng)用、大數(shù)據(jù)平臺 物聯(lián)網(wǎng)應(yīng)用云計算平臺/系統(tǒng)移動互聯(lián)應(yīng)用大數(shù)據(jù)平臺/系統(tǒng)……全球網(wǎng)絡(luò)空間博弈加劇，電力系統(tǒng)已成為重點攻擊目標(biāo)。國家高度重視電力系統(tǒng)網(wǎng)絡(luò)安全，對電力系統(tǒng)網(wǎng)絡(luò)安全保護(hù)工作提出更高、更細(xì)化的要求。對此，電力企業(yè)應(yīng)抓住關(guān)鍵問題，面向重點威脅場景精準(zhǔn)防護(hù)。其一，云基礎(chǔ)設(shè)施作為新型電力系統(tǒng)的底座，應(yīng)進(jìn)行重點保護(hù)。其二，針對電力行業(yè)勒索攻擊盛行的趨勢，建立勒索攻擊防護(hù)能力，保障電力系統(tǒng)安全穩(wěn)定運行。其三，隨著電力系統(tǒng)的數(shù)字化智能化發(fā)展，需要提高API安全防護(hù)能力，守護(hù)數(shù)據(jù)安全的核心通道。其新型電力系統(tǒng)以“電力+算力”為核心途徑和驅(qū)動力，總體遵循基礎(chǔ)設(shè)施云化、生產(chǎn)運行云上智能、數(shù)據(jù)業(yè)務(wù)云上增值的路線。如下圖所示，在進(jìn)行云基礎(chǔ)設(shè)施安全建設(shè)時，企業(yè)應(yīng)在落實國家和行業(yè)網(wǎng)絡(luò)安全相關(guān)要求基礎(chǔ)上，繼承“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的電力行業(yè)安全建設(shè)方針，以“全域防御、縱深防御、實戰(zhàn)引領(lǐng)”為理念，結(jié)合新型電力系統(tǒng)特性，打造電力云安全綜合保護(hù)體系，并強(qiáng)化責(zé)任體系、組織體系、制度標(biāo)準(zhǔn)體系、監(jiān)督體系，筑牢電力云縱向安全虛擬資源安全SaaS微隔離訪問控制縱向安全虛擬資源安全SaaS微隔離訪問控制基施 基于電力云安全綜合保護(hù)體系建設(shè)思路，青藤打造新型電力系統(tǒng)云基礎(chǔ)設(shè)施安全方案。如下圖所示，該方案遵循合規(guī)要求、全棧覆蓋、自適應(yīng)安全、可視化運營四大準(zhǔn)則。在云工作負(fù)載安全、應(yīng)用安全、網(wǎng)絡(luò)可視化微隔離、一體化聯(lián)動防自適應(yīng)安全自適應(yīng)安全云原生安全云原生安全關(guān)基保護(hù)關(guān)基保護(hù)安全運營與管控電力大數(shù)據(jù)云安全一體化運營威脅運營業(yè)務(wù)資產(chǎn)風(fēng)險運營終端安全風(fēng)險運營攻防演練等保&合規(guī)工作系統(tǒng)上線驗證網(wǎng)絡(luò)安全控制威脅運營業(yè)務(wù)資產(chǎn)風(fēng)險運營終端安全風(fēng)險運營攻防演練等保&合規(guī)工作系統(tǒng)上線驗證網(wǎng)絡(luò)安全控制上級監(jiān)管協(xié)查下級單位監(jiān)管工作負(fù)載安全運營DevOps安全管理安全編排和自動化威脅狩獵主機(jī)納管云原生納管主機(jī)納管云原生納管基礎(chǔ)鏡像管理pipline基礎(chǔ)鏡像管理pipline管理流程編排全網(wǎng)設(shè)備聯(lián)動流程編排全網(wǎng)設(shè)備聯(lián)動主動威脅狩獵主動威脅狩獵資產(chǎn)全網(wǎng)運營風(fēng)險全網(wǎng)運營資產(chǎn)全網(wǎng)運營風(fēng)險全網(wǎng)運營IAC策略管理安全控制策略運營效果數(shù)據(jù)化安全運營知識化運營效果數(shù)據(jù)化安全運營知識化入侵研判全網(wǎng)回溯安全態(tài)勢感知策略統(tǒng)一管控安全態(tài)勢感知策略統(tǒng)一管控安全能力集成安全能力集成重復(fù)工作自動化安全能力接口化重復(fù)工作自動化安全能力接口化三方日志威脅建模三方日志威脅建模 數(shù)據(jù) 運營主機(jī)風(fēng)險評估行業(yè)基線核查主機(jī)自動發(fā)現(xiàn)內(nèi)存碼檢測主機(jī)風(fēng)險評估行業(yè)基線核查主機(jī)自動發(fā)現(xiàn)內(nèi)存碼檢測文件完整性Unix主機(jī)安全全面資產(chǎn)地圖多錨點入侵檢測安全響應(yīng)主機(jī)微蜜罐外聯(lián)檢測事件采集主機(jī)安全業(yè)務(wù)流量可視暴露面管理東西訪問控制異常流量檢測失陷主機(jī)隔離自適應(yīng)策略網(wǎng)絡(luò)可視&微隔離API和組件清點內(nèi)存碼防護(hù)攻擊攔截防護(hù)漏洞熱補丁應(yīng)用弱口令檢測應(yīng)用風(fēng)險檢測應(yīng)用安全操作類日志進(jìn)程類日志賬變類日志注冊表類日志文件類日志威脅狩獵事件采集力新IT基礎(chǔ)設(shè)施防護(hù)云原生安全基礎(chǔ)設(shè)施安全左移云原生安全基礎(chǔ)設(shè)施安全左移集群合規(guī)檢查集群網(wǎng)絡(luò)管理容器脆弱性管理自動化響應(yīng)鏡像檢查鏡像檢查準(zhǔn)入準(zhǔn)出控制集群漏洞檢查集群威脅檢測容器資產(chǎn)管理容器威脅檢測運行時運行時端云主機(jī)云主機(jī)云主機(jī)云主機(jī)云主機(jī)云主機(jī)虛擬化層Hypervisorx86服務(wù)器云主機(jī)云主機(jī)云主機(jī)云主機(jī)虛擬化層信創(chuàng)服務(wù)器容器容器容器容器容器容器容器容器KubernetesX86物理機(jī)信創(chuàng)物理機(jī)小型機(jī)在云工作負(fù)載安全方面，該方案利用CWPP能力，在云場景下為計算資源與其上應(yīng)用程序、服務(wù)、功能等進(jìn)程提供一致的可見性與控制，建立完善的監(jiān)控、日志分析、入侵檢測與防御、威脅情報、安全審計和事件響應(yīng)機(jī)制，確保在發(fā)現(xiàn)安的高風(fēng)險行為，利用特征規(guī)則、上下文語義分析、關(guān)聯(lián)分析等多種安全模型來提升檢測準(zhǔn)確率。當(dāng)應(yīng)用出現(xiàn)可疑行為時，在網(wǎng)絡(luò)可視化微隔離方面，該方案通過微隔離技術(shù)，利用流量控制與可視化、跨平臺統(tǒng)一安全管理等多種方式，通過在安全運營方面，該方案依靠大數(shù)據(jù)和人工智能技術(shù)，構(gòu)建安全大數(shù)據(jù)運營平臺，對攻擊溯源系統(tǒng)、入侵防御系統(tǒng)、云工作負(fù)載安全等防護(hù)產(chǎn)品的多源異構(gòu)日志進(jìn)行采集治理和統(tǒng)一分析，通過匯聚、分析、研判相關(guān)數(shù)據(jù)，將人、技術(shù)和流由于電力系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施的數(shù)據(jù)資產(chǎn)比其他經(jīng)濟(jì)部門的數(shù)據(jù)資產(chǎn)更有價值，使其成為勒索軟件攻擊的重點目標(biāo)。隨著勒索攻擊專業(yè)化、團(tuán)隊化運作，勒索攻擊日趨APT化。攻擊手段日趨成熟、攻擊目標(biāo)更加精準(zhǔn)，攻擊樣本更難識別，攻傳統(tǒng)勒索現(xiàn)代勒索面對日益復(fù)雜的勒索攻擊威脅格局，需要基于新技術(shù)的創(chuàng)新勒索軟件攻擊防護(hù)體系，通過全面、系統(tǒng)性的深度解決策略，更有效地保護(hù)電力行業(yè)客戶免受勒索軟件侵害。因此，青藤這幾年對勒索事件進(jìn)行研究，從攻擊視角，歸納總結(jié)了勒▇Conti/Ryuk▇Pysa▇Clop(TA505)▇Hive核心戰(zhàn)術(shù)低頻戰(zhàn)術(shù)核心戰(zhàn)術(shù)低頻戰(zhàn)術(shù)▇RagnarLocker▇BlackByte▇BlackCat 整體上來看，勒索攻擊者從入侵到實現(xiàn)加密過程利用較多技術(shù)手段，對抗性極高，依靠傳統(tǒng)的防護(hù)產(chǎn)品很難避免勒索事件發(fā)生。但是，攻擊者的整個入侵過程不是一蹴而就，通常需要一段時間的遵循全面、系統(tǒng)性的縱深防御策略，基于APT組織的ATT&CK模型，青藤打造覆蓋網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用的全鏈路勒索攻擊防御方案。該方案圍繞勒索攻擊預(yù)防、預(yù)警、阻斷、約束、恢復(fù)五個階段，在攻擊樣本識別和數(shù)字加密還原領(lǐng)域進(jìn)行創(chuàng)勒索攻擊約束階段勒索攻擊約束階段應(yīng)云端網(wǎng)勒索攻擊預(yù)防階段勒索攻擊預(yù)警階段勒索攻擊阻斷階段勒索攻擊預(yù)防階段勒索攻擊預(yù)警階段勒索攻擊阻斷階段針對勒索攻擊防御的每個階段，都需要根據(jù)該階段的特點，采取相應(yīng)的策略和措施。這包括但不限于高危漏洞端口屏●高危漏洞端口一鍵屏蔽：漏洞利用是勒索軟件的主要攻擊手段之一，攻擊者通過漏洞探測工具掃描應(yīng)用或者系統(tǒng)漏洞，透獲取應(yīng)用或者系統(tǒng)權(quán)限，從而發(fā)起勒索攻擊。該方案在攻擊者漏洞探測階段，實現(xiàn)南北&東西向漏洞探測精準(zhǔn)屏蔽能●勒索家族ATT&CK行為檢測：通過對APT勒索家族TTP程創(chuàng)建日志、網(wǎng)絡(luò)連接日志、系統(tǒng)登陸日志、DNS日志、賬號變更日志進(jìn)行全面采集分析,通過建立行為模型進(jìn)行威脅●百倍級樣本AI深度檢測：在一些定向勒索或APT定向攻擊中，梳理攻擊裝備清單發(fā)現(xiàn)，許碼，而是為正常的網(wǎng)絡(luò)管理應(yīng)用類的工具或腳本，因此傳統(tǒng)基于代碼片段特征的檢測方式的效率及準(zhǔn)確低。該方案通過勒索樣本的識別，將整個程序的所有函數(shù)進(jìn)行向量分析。通過加密意圖及文件異常指標(biāo)●進(jìn)程級攻擊行為阻斷：勒索病毒為了躲避檢測，會使用進(jìn)程注入的方式發(fā)起勒索攻擊。首先，防勒索系統(tǒng)通過數(shù)字簽名驗證、AppInit_DLLs禁用、CreateRem勒索系統(tǒng)基于指令類型以及指令來源（跨進(jìn)程/跨地址空間訪問）進(jìn)行識別，阻斷勒關(guān)鍵業(yè)務(wù)連續(xù)性的同時，保持應(yīng)用程序?qū)?yīng)用數(shù)據(jù)的占用，勒索病毒無法對占用數(shù)據(jù)進(jìn)行加密篡●業(yè)務(wù)級零信任網(wǎng)絡(luò)架構(gòu)：零信任網(wǎng)絡(luò)架構(gòu)有效阻止攻擊者入侵后在內(nèi)網(wǎng)擴(kuò)散。攻擊者控制某些脆弱的單點后，會向網(wǎng)絡(luò)內(nèi)部更重要系統(tǒng)橫向滲透，零信任的安全機(jī)制可以及時檢測到風(fēng)險，阻止勒索軟件在網(wǎng)絡(luò)中進(jìn)行●密鑰截取和解密：密鑰截取和解密可以在兩個環(huán)節(jié)實現(xiàn)。其一，在勒索攻擊實施階段，攻擊者往往采用隨機(jī)對稱性加密進(jìn)行文件加密，并將私鑰進(jìn)行統(tǒng)一存放。通過RSA非對稱通過在RSA秘鑰加密前，提前在服務(wù)器中進(jìn)行秘鑰數(shù)據(jù)劫持密后，手動將私鑰進(jìn)行對外傳輸，此時可以在流量層進(jìn)行秘鑰數(shù)據(jù)劫持。即使真正發(fā)生勒索事件文件3文件2文件1對稱性加密文件秘鑰1RSA非對稱性加密文件秘鑰2文件文件秘鑰2RSA非對稱性加密秘鑰CC秘鑰CC傳輸數(shù)據(jù)恢復(fù)秘鑰劫持恢復(fù)加密秘鑰秘鑰劫持●分鐘級卷影副本數(shù)據(jù)恢復(fù)：業(yè)務(wù)數(shù)據(jù)進(jìn)行周期性備份，備份前進(jìn)行AI加密函數(shù)、異常行為、文件特征判斷。如加密文件則直接丟棄，并將相關(guān)進(jìn)程阻斷、隔離，如屬于正常文件，則進(jìn)行防重復(fù)檢查。正常安全數(shù)據(jù)進(jìn)行卷影副本備份，備份 新型電力系統(tǒng)更加開放，業(yè)務(wù)系統(tǒng)之間、業(yè)務(wù)系統(tǒng)與外界用戶實時交互更加頻繁。API作為系統(tǒng)間的通信橋梁，正成對電力企業(yè)而言，想要保障數(shù)據(jù)安全，全生命周期的API管理很有必要。而從高效防御的角度出發(fā)，企業(yè)可以從API的上線運行階段入手，利用API數(shù)據(jù)安全綜合治理方案，持續(xù)識別API資產(chǎn)潛在威脅和漏洞、評估安全風(fēng)險、實時監(jiān)測威脅、 API數(shù)據(jù)安全綜合治理方案主要包括5個階段，旨在通過系統(tǒng)化的方法來確保API及其處理的敏感數(shù)據(jù)的完整性、保密隨著API的廣泛應(yīng)用和數(shù)量的快速增長，企業(yè)可能擁有大量的API資產(chǎn)，形成了龐雜的API暴露面。該方案通過對API使用情況實時監(jiān)控，全面梳理API資產(chǎn)，觀測全鏈路調(diào)用關(guān)系，做到異常訪問可視化，實現(xiàn)業(yè)務(wù)無感知的資產(chǎn)梳理及流轉(zhuǎn)繪制。API資產(chǎn)梳理全面且詳細(xì)，從“應(yīng)用內(nèi)”到“應(yīng)用外”、覆蓋了“端攻擊者針對API資產(chǎn)的攻擊手段存在多樣化、隱蔽化、自動化的趨勢，可以輕松突破企業(yè)對于API的限頻、限量及認(rèn)證能力。API數(shù)據(jù)風(fēng)險既包括API自身的漏洞風(fēng)險，也包括了攻擊者對API進(jìn)行攻擊的風(fēng)險、賬號的違規(guī)操作行為風(fēng)險、IP的該方案基于大數(shù)據(jù)底層架構(gòu)對原始安全數(shù)據(jù)元素進(jìn)行聚合，通過安全攻擊監(jiān)測、數(shù)據(jù)流轉(zhuǎn)監(jiān)測、異常行為識別等多維度威脅檢測，使用戶具備多視角的API安全威脅監(jiān)測分析能力。同時，該方案對API承載的敏感數(shù)據(jù)進(jìn)行持續(xù)監(jiān)測評估，洞悉敏感數(shù)據(jù)流轉(zhuǎn)風(fēng)險，通過對數(shù)據(jù)調(diào)用和流轉(zhuǎn)的分析，全面發(fā)現(xiàn)敏感數(shù)據(jù)外泄事件、記錄敏感數(shù)據(jù)流動日志，結(jié)合對數(shù)據(jù)該方案通過實時監(jiān)測和數(shù)據(jù)分析，可以更快地發(fā)現(xiàn)潛在安全問題，及時進(jìn)行預(yù)警和處置。利用多層級安全能力的協(xié)同聯(lián)動，在發(fā)現(xiàn)安全威脅時，可以實現(xiàn)應(yīng)用內(nèi)、主機(jī)間、網(wǎng)絡(luò)側(cè)、業(yè)務(wù)鏈多層級節(jié)點的阻斷，滿足不同安全響應(yīng)場景和安全一旦發(fā)生敏感數(shù)據(jù)泄露事件，企業(yè)需要及時對泄漏的數(shù)據(jù)進(jìn)行追蹤溯源，找到泄漏源頭，針對性進(jìn)行修復(fù)，避免大規(guī)該方案可以提供數(shù)據(jù)要素追溯和應(yīng)用漏洞修補能力，快速定位問題，并完成修復(fù)，形成事件處理的閉環(huán)。主要流程包隨著新型電力系統(tǒng)建設(shè)，電力網(wǎng)絡(luò)與工業(yè)互聯(lián)網(wǎng)融合應(yīng)用，系統(tǒng)暴露出更多的安全漏洞。面對巨大的漏洞修復(fù)工作量，企業(yè)需要基于風(fēng)險的漏洞管理方案，在漏洞管理過程中采取一種更加主動和戰(zhàn)略性的方法，通過綜合運用各種工具和 基于風(fēng)險的漏洞管理方案通過自動、持續(xù)地識別安全弱點，全面了解攻擊面，從而根據(jù)風(fēng)險嚴(yán)重性和業(yè)務(wù)影響確定補基于企業(yè)重要資產(chǎn)，持續(xù)性、高頻率對既定資產(chǎn)進(jìn)行掃描，發(fā)現(xiàn)資產(chǎn)中存在的各種漏洞。這個階段重點在于漏洞檢測的準(zhǔn)確性和可持續(xù)性?？紤]到電力IT環(huán)境的復(fù)雜、多樣性（比如局域網(wǎng)、云環(huán)境、OT網(wǎng)絡(luò)等），需要選擇合適的掃描設(shè)這一步需要對整個攻擊面的風(fēng)險漏洞進(jìn)行全面評估，包括云、OT和容器環(huán)境中的所有資產(chǎn)。在進(jìn)行風(fēng)險評估時應(yīng)該有想要做到有效地對風(fēng)險最大的漏洞進(jìn)行優(yōu)先排序，就需要了解每個漏洞的完整上下文，例如威脅情報、漏洞詳情等。同時需要充分了解受關(guān)鍵漏洞影響的資產(chǎn)，因為一旦在最重要的IT資產(chǎn)上發(fā)現(xiàn)最高風(fēng)險的漏洞，那么它必然是最高優(yōu)先一旦確定了哪些漏洞是最高優(yōu)先級，就需要采取適當(dāng)?shù)男袆佑行У毓芾盹L(fēng)險。對于漏洞管理有補救、減輕、接受三個響應(yīng)選項。企業(yè)可以使用補丁安裝的方式進(jìn)行漏洞修復(fù)；或者采用其他技術(shù)來降低特定脆弱性的風(fēng)險；如果有其他考慮因 否 是是是否是否否是否是否有效NP丁離 當(dāng)前，伴隨“數(shù)字中國”“網(wǎng)絡(luò)強(qiáng)國”“能源安全”等國家重大戰(zhàn)略的部署實施，我國能源革命與數(shù)字革命相融并進(jìn)。電力行業(yè)作為能源的核心和支柱產(chǎn)業(yè)，大力推行數(shù)字化建設(shè)和智能化改造。國網(wǎng)某省電力公司高度重視數(shù)字化轉(zhuǎn)型，經(jīng)過多年建設(shè)，電網(wǎng)云基礎(chǔ)設(shè)施基本完善，數(shù)智電網(wǎng)建設(shè)持續(xù)推進(jìn)。與此同時，如何有效保障數(shù)智電網(wǎng)云安全成為企業(yè)關(guān)國網(wǎng)某省電力公司，主營業(yè)務(wù)包括發(fā)供電、電站、輸變電建設(shè)、電力建筑工程設(shè)計等。該企業(yè)數(shù)字化、智能化發(fā)展起步較早，現(xiàn)已建立完善的云基礎(chǔ)設(shè)施，并且能夠充分利用云平臺服務(wù)能力，提高業(yè)務(wù)系統(tǒng)效率，降低運維成本。在數(shù)字化建設(shè)過程中，企業(yè)在安全威脅監(jiān)測預(yù)警方面開展了有益嘗試。但依然存在如下問題和差距：一是針對網(wǎng)絡(luò)攻擊和重大安全事件監(jiān)測發(fā)現(xiàn)能力不足；二是安全威脅分析溯源能力不足；三是安全事件響應(yīng)處置能力不足。因此，企業(yè)需要建立有效的云安全是技術(shù)、控制、流程和策略的復(fù)雜交互，因此方案按照企業(yè)的云架構(gòu)邏輯模型設(shè)計云安全控制能力，針對企業(yè)SaaS( 平臺即服務(wù)︶基礎(chǔ)設(shè)施即服務(wù)︶SaaS( 平臺即服務(wù)︶基礎(chǔ)設(shè)施即服務(wù)︶ ●主機(jī)安全：該方案采用自適應(yīng)安全架構(gòu)，以持續(xù)監(jiān)控和分析為核心，以加強(qiáng)預(yù)測、防御、檢測、響應(yīng)能力建設(shè)為主要目標(biāo)，實現(xiàn)對主機(jī)安全的風(fēng)險漏洞可視化管理，定期更新主機(jī)安全基線，實時加固和隔離系統(tǒng)加固和隔離系統(tǒng) ●容器安全：該方案適用于容器云、kubernetes環(huán)境等，通過對各類容器進(jìn)程信息和行為持續(xù)監(jiān)控和分析，快速精準(zhǔn)地發(fā)現(xiàn)安全威脅和入侵事件，為云平臺提供下一代安全檢測和