新型电力系统智能化深度安全防御平台构建
2023-03-11谢林江
谢林江
(云南电网有限责任公司信息中心,昆明 650217)
发展新型电力系统是实现国家碳达峰碳中和目标的有效途径,随着电力行业数字化转型的不断推进和“云大物移智链”等新技术的深入应用,数字电网规模不断增大、网络边界趋于模糊、海量数据持续产生、多元信息融合交互,给新型电力系统安全带来了新的威胁和挑战。电力企业作为关系国家能源安全、国民经济命脉的重点骨干企业,在日益严峻的网络安全形势和各类复杂网络攻击存在的情况下,其信息系统和基础设施一旦遭到破坏或数据泄露,将严重危害到国家安全和公共利益。加强网络安全防护、保护数字电网安全是建设新能源为主体的新型电力系统的重要保障。
1 新型电力系统网络安全需求
新型电力系统因其灵活性、开放性、广泛性、互联性和共享性等特点扩大了网络攻击面,降低了网络攻击难度,正面临着日益严峻的网络安全形势和新的安全风险。
一是网络安全暴露面持续扩大。海量智能终端及网络节点的广泛接入使恶意攻击者从物理上可接触的对象增多、可攻击路径增加,并且这些节点很难被全面、及时地进行监控,加大了网络攻击和入侵风险。
二是数据安全问题更加突出。新型电力系统因其拥有的“高质量”数据逐渐成为攻击者的“高价值”目标,加上更加频繁的能源流、信息流和业务流深度融合交互,面临着数据被非法获取、破坏和利用的安全威胁,数据安全管控难度持续加大。
三是新型网络攻击层出不穷。新技术的迭代不断催生新的安全威胁,0day漏洞、APT攻击、社工攻击、变种或新型恶意软件等高级威胁很难被传统检测手段发现,对传统网络安全防御体系形成挑战。
基于上述突出的自身安全漏洞、数据安全风险和未知威胁攻击难题,新型电力系统面临着逐步推进安全可控、提高网络安全保障水平、实现网络安全态势感知和持续有效防护等深度防御要求。
2 安全防护目前存在的问题
电力企业经过多年网络安全建设,已在基础设施防护方面建立了较为齐备的网络安全防御体系,但在贯彻落实国家“三化六防”网络安全工作措施,不断提升“实战化、体系化、常态化”网络安全能力,实现“动态防御、主动防御、纵深防御、精准防御、整体防御和联防联控”网络安全防御要求下,企业的日常安全运营工作仍然存在诸多问题。
2.1 安全资源缺乏全面整合能力
企业运行的安全防护和检测系统种类繁多,安全防御体系还是以异构设备堆叠式建设为主,如部署不同厂商的防火墙、漏扫、主机安全、WAF(网站应用级入侵防御系统)、IDPS(入侵检测和预防服务)等,各类安全防护系统未进行集中展现和管理,安全设备、安全应用、安全数据、安全运营难以有效共享和关联,存在信息孤岛效应和防御孤岛效应。
2.2 安全数据缺乏关联分析能力
面对海量安全数据,传统的集中化安全分析平台(如SIEM安全管理平台等)缺乏专注于攻击意图或基于已知行为预测未知安全风险的能力,存在关联分析能力不足、智能化分析水平低等问题,难以识别多变、未知的安全威胁,从而无法实现智能监测与预警。
2.3 安全事件自动化处置响应能力不足
安全系统每天产生大量告警,繁琐的日志分析和事件处置需要人为地在各设备间跳转,无法通过智能化手段对安全告警进行自动验证和处理,并对安全问题处理进度进行跟踪反馈,缺乏安全事件自动监测处置能力,实现事件闭环。
2.4 缺乏一体化的协同作战能力
安全设备各自为战,缺乏常态化的大范围安全设备、安全人员协同应急处置能力,不能形成合力。安全事件分析与处置的联动性不足,可能导致安全策略无法及时、有效执行,造成安全事件升级。
3 智能化深度安全防御平台构建
3.1 建设目标
本文提出建立以大数据为基础、以智能分析为手段、以管理流程为驱动,集分析、预警、响应处置为一体的智能化深度安全防御平台,实现新型电力系统网络安全智能化识别、事件自动化处理和安全协同管控的运营工作目标。
3.2 建设思路
智能化深度安全防御平台采用基于容器的分布式系统设计,按照模块化、组件化的思想,以开放、简单和实用为原则,采集、接入各类异构安全设备、系统日志数据,通过分布式存储技术汇聚安全数据源,形成海量数据池,并经模型化、范式化处理后,为上层的事件集中管理、关联分析、响应处置、协同调用等提供可靠的数据支撑。针对目前安全资源分散管理难、威胁发现预警不及时、安全处置响应效率低、协同联动防御能力弱等问题,平台通过对告警数据、用户行为数据、威胁情报信息和其他开源数据等进行结构化处理,实现不同类型、不同环境数据的最优汇集,继而利用大数据技术与机器学习方法构建多元应用安全场景,比如安全关联分析场景、威胁可视化场景、自动化封禁场景等,并与各应用系统、安全系统等多方设备协同交互,进行资产同步更新,及时安全预警,秒级封禁处置,最终形成集成化的安全系统管理能力、智能化的关联分析能力、自动化的事件处置能力和一体化的联防联控能力平台,实现新型电力系统网络安全智能化监测、精准化预警与自动化处置。平台技术架构图如图1所示。
图1 智能化深度安全防御平台技术架构图
3.3 功能设计
3.3.1 安全设备及系统集中管控
为实现对安全事件的集中监控和综合分析,将分布于各区域、各系统的安全资源纳入统一平台进行集中管控,利用统一认证技术、安全策略集中配置和分发技术、第三方设备及应用的能力接口动作调用和执行技术,实现网络安全、主机安全、应用安全、终端安全、数据安全等系统的统一单点登录、策略集中维护、调用编排管理等功能,整合相互独立的安全系统运行信息,包括监测对象的基本信息、性能信息、配置参数、故障数据等。在提高系统运行效率的基础上,贯通共享各安全资源和效能,并抽象为统一策略的安全能力,使得资源被高效、便捷利用。安全设备及系统集中管控原理如图2所示。
图2 安全设备及系统集中管控原理图
3.3.2 安全数据智能关联分析
以发现安全威胁为导向,利用大数据技术、机器学习,构建多种智能分析引擎,包括多源数据关联分析引擎、用户行为分析引擎、攻击链分析引擎等,对已知和未知的攻击事件和潜在威胁进行深入的关联分析,多维度感知网络安全态势,包括资产感知、漏洞感知、异常流量感知、用户异常行为感知、攻击感知、业务安全感知等;利用攻击者同源技术和流式建模技术,对攻击来源、攻击目的、攻击路径进行溯源分析,描绘完整事件攻击链,对攻击行为精准定位,实现安全威胁智能监测与预警,消除低级安全事件的噪声干扰,提高对网络安全事件的准确识别能力。安全数据智能关联分析原理如图3所示。
图3 安全数据智能关联分析原理图
3.3.3 安全事件自动处置
在具备事件集成能力和关联分析能力的基础上将人、安全技术、流程进行深度融合,基于对安全事件上下文全面、端到端的理解,通过场景编排,构建安全事件处置工作流,自动化触发第三方设备执行响应动作,对安全告警进行事前预测、事中响应和事后处置,实现安全事件闭环;通过深度分析和工单化的任务流转,实现安全威胁智能分析和自动化处置,对事前预警的威胁IP自动阻断,对预设条件的攻击事件通过联动安全设备进行攻击源头一键秒封,节约分析研判的时间,提高安全事件的处置效率。安全事件自动处置原理如图4所示。
图4 安全事件自动化处置原理图
3.3.4 安全运营协同防御
平台收集各类异构安全设备系统日志数据,自动匹配、关联相关资产信息,在全面、动态安全监测的基础上,打通人、工具、流程,构建高效协同能力,范围覆盖各运营责任单位,以可视看板、自然语言、机器指令等形式,完成运营人员之间、设备原子能力之间、运营人员与设备原子能力之间的即时交互,并可直接调用设备联动、剧本编排、安全指令等,进行安全事件调查、分析、处置、响应,实现多地多中心协同作战,提升新型电力系统安全运营工作联防联控能力。
3.4 应用效果
3.4.1 整合资源,提升系统抗风险能力
智能化深度安全防御平台集成各网络、主机、终端、应用资源,构建安全系统集中管理中心,实现对多类安全资源深度整合、灵活扩展,彻底打破安全孤岛现状,在庞大数据流和复杂多变的攻击场景面前,通过对安全设备进行合理配置和有效利用,让不同的安全系统实现互联互动、数据共享,消除安全监管盲区,提升新型电力系统整体网络抗风险能力。
3.4.2 智能防御,提升整体安全防护能力
随着网络防御目标从已知威胁向未知威胁转变,平台基于动态监测思维,综合应用威胁风险发现能力、安全事件关联分析、高威胁事件提取和过滤能力等,主动发现和预测网络安全风险,并协同威胁情报,自动关联资产信息,实现精准防御。在此基础上进行深度挖掘和攻击溯源,揭示安全威胁和攻击事件,利用自动化编排技术从预防、检测,到威胁处置进行完全闭环的操作,提升新型电力系统整体安全防护能力。
3.4.3 高效协同,提升联防联控能力
平台从数据与能力维度打通现有网络安全防护体系内的各类产品,采用灵活、高效的协同防御手段和技术实现跨设备、跨部门、跨区域深度融合和协作,并提供能集中管控和展现安全事件、安全工作的指标看板,实时、动态地反映各系统安全运行情况,指导企业开展日常安全运营工作。同时通过任务多领域协同、事件处置分级协同等实现资源智能调度和协同防御,达到一体化联防联控的目的,提升对新型电力系统网络安全威胁识别、定位、响应和处置等行动的能力和效率。
4 结束语
在电力企业大力实施数字化转型背景下,持续提升新型电力系统网络安全整体防御水平成为企业安全运营工作的重点。本文提出构建以安全需求为导向的智能化深度安全防御平台,实现了系统集中管理、事件关联分析、自动化响应处置、安全联防联控等功能,提高了“云数”一体架构下新型电力系统智能化监测、威胁发现和溯源、安全事件智能关联分析和协同应急处置等自主技术服务能力,在保障新型电力系统安全稳定运行的基础上,支撑电网数字化转型工作的正常开展。