工業(yè)企業(yè)安全縱深防御新范式-為能源企業(yè)打造平戰(zhàn)結(jié)合的安全綜合能力管控平臺

1.1案例十二：工業(yè)企業(yè)安全縱深防御新范式——為能源企業(yè)打造平戰(zhàn)結(jié)合的安全綜合能力管控平臺面向浙能集團及下屬單位實現(xiàn)網(wǎng)絡安全脆弱性集中檢測、安全策略集中分析、安全要求集中下發(fā)、安全能力集中調(diào)度、安全威脅集中通報、安全事件集中處置、安全風險集中可視，提升企業(yè)安全運營及應急響應能力，打造集團級縱深防御網(wǎng)絡安全體系，積極應對網(wǎng)絡安全新形勢下的新變化、聯(lián)互通需求日益增多，安全邊界日益模糊，網(wǎng)絡邊界防護壓力與日俱增。應用場景等方面發(fā)生了巨大的變化，傳統(tǒng)以策略和產(chǎn)品防護的理念已無法在面對嚴峻復雜的網(wǎng)絡安全形勢下，浙能集團當前存在安全工具孤立建設(shè)、安全能力難以復用、安全運營聯(lián)動不足、能力難以服務化輸出等問題，安全防護體系建設(shè)面臨巨大挑戰(zhàn)。亟需通過梳理沉淀現(xiàn)有安全能力，適當補充新的安全能力，通過能力拉通、編排及服務化輸出，賦能集團與廠區(qū)安全防護，提升網(wǎng)絡安全應急響應及防護效率，抵御復雜網(wǎng)絡威脅，方案建成的網(wǎng)絡安全綜合能力管控平臺以信息系統(tǒng)資產(chǎn)為基礎(chǔ)，以安全能力管控為核心，實現(xiàn)安全合規(guī)集中檢測、安全策略集中審計、安全風—2—險集中通報、安全事件集中處置、安全能力集中調(diào)度，賦能廠區(qū)網(wǎng)絡安全安全綜合能力管控平臺方案基于IPDRR模型實現(xiàn)浙能集團現(xiàn)有工具統(tǒng)一納管與安全能力接入，并通過能力編排與調(diào)度，構(gòu)建日常安全運營及重大活動保障場景的安全服務，賦能集團和下屬單位，助力企業(yè)安全建設(shè)降從安全管理角度看，依托平臺能力，集團側(cè)可摸清下屬工業(yè)企業(yè)網(wǎng)絡下屬工業(yè)企業(yè)可依托平臺提供的開展安全自主服務，實現(xiàn)安全作業(yè)常態(tài)化執(zhí)行、安全預警閉環(huán)管理，安全策略高效執(zhí)行，為浙能集團產(chǎn)業(yè)高質(zhì)量發(fā)安全綜合能力管控平臺采用集團集中部署，用戶分權(quán)分域模式建設(shè)，以IPDRR模型為指引構(gòu)建安全能力中心，為浙能集團及下屬單位安全運營人員提供安全服務。建設(shè)安全合規(guī)中心、安全監(jiān)測中心、安全防護中心、應急響應中心，依托浙能集團數(shù)據(jù)中臺安全數(shù)據(jù)實現(xiàn)安全駕駛艙，在滿足安全監(jiān)管要求的同時，具備網(wǎng)絡安全中臺演進能力，為浙能集團安全建設(shè)在技術(shù)方案設(shè)計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復5個階段能力的管控，通過API等接口實現(xiàn)對接，總體框架平臺系統(tǒng)架構(gòu)設(shè)計主要分為四部分，包括安全工具層、能力管控層、安全服務層、外部系統(tǒng)層。應急指揮、基線核查、安全邊界作為工具能力接入安全能力管控系統(tǒng)，分別部署至浙能集團總部兩個數(shù)據(jù)中心。在技術(shù)方案設(shè)計上充分考慮風險識別、安全檢測、安全防護、安全響應、安全恢復5個階段能力的管控，通過API接口實現(xiàn)基線配置核查系統(tǒng)、安全邊界面向集團、板塊、下屬單位提供安全服務統(tǒng)一入口，與現(xiàn)有安全數(shù)據(jù)中臺實現(xiàn)數(shù)據(jù)同步及共享實現(xiàn)安全駕駛艙，并通過接口與浙能集團信息運維管理平臺、統(tǒng)一消息系統(tǒng)、統(tǒng)一認證系統(tǒng)等外部系統(tǒng)對接，在滿足安全監(jiān)管—4—本期方案總體架構(gòu)分為四層，自下而上分別為安全工具層、能力管控安全工具層主要是指分布在浙能集團大樓以及海創(chuàng)園數(shù)據(jù)中心以及電能力管控層主要包括安全能力網(wǎng)關(guān)、數(shù)據(jù)處理單元、安全能力中心，以及能力管控所需的安全對象管理及系統(tǒng)安全管理。依托數(shù)據(jù)處理單元抽取工具任務運行數(shù)據(jù)及數(shù)據(jù)中臺威脅數(shù)據(jù)構(gòu)建安全駕駛艙。安全能力網(wǎng)關(guān)實現(xiàn)工具接口接入，同時北向創(chuàng)建API接口供能力中心調(diào)用。安全服務層基于安全能力中心能力，形成面向浙能集團及下屬單位安全管理員、安全運維人員提供漏洞掃描、基線合規(guī)掃描、弱口令掃描、應急處置、防護策略審計、安全威脅監(jiān)測等服務，可在安全設(shè)備運維、安全集中式部署時，分支機構(gòu)可根據(jù)權(quán)限實現(xiàn)對本單位所轄資產(chǎn)及安全風險的方案部署地點位于浙能集團數(shù)據(jù)中心，后續(xù)通過部署處置節(jié)點方式與在集團統(tǒng)一的網(wǎng)絡與信息安全管理要求下，系統(tǒng)相關(guān)的物理安全、網(wǎng)絡結(jié)構(gòu)安全、設(shè)備安全、系統(tǒng)安全、應用安全、數(shù)據(jù)安全等滿足等級保護三級要求，建立有效的安全機制，實現(xiàn)應用的安全訪問控制，同時保障數(shù)據(jù)在采集、傳輸、存儲、訪問中的安全性。傳輸過程中采用必要的國產(chǎn)商—安全綜合能力管控平臺建設(shè)后，面向安全日常運營、重大活動保障等場景提供安全合規(guī)檢查、安全應急處置、安全策略審計、安全事件處理等令掃描，支持對新入網(wǎng)設(shè)備進行合規(guī)基準檢查，針對不符合要求的策略項進行整改篩查；提供系統(tǒng)漏洞掃描、網(wǎng)站漏洞掃描等服務，針對集團內(nèi)部資產(chǎn)進行定期漏洞掃描，并對中高危漏洞進行整改核查；提供防火墻策略進行策略解析，輸出審計報表，針對不合規(guī)策略問題項進行處理；提供安全事件通報預警服務，可對安全事件的上報、審核、通報、處置流程進行管理記錄，及時對安全事件進行響應處置；提供安全應急處置入口，針對安全事件進行動態(tài)呈現(xiàn)，展示安全風險變化情況；提供應急處置入口，針系統(tǒng)可通過SaaS服務、本地建設(shè)等模式為工業(yè)企業(yè)提供應急響應場景為例，提供集團-板塊-下屬單位三級聯(lián)動應急處置，通過對接各單位/板塊公司的邊界防火墻實現(xiàn)處置策略的下發(fā)。通過HTTP接口實現(xiàn)多級平臺聯(lián)動，集團一級平臺收到上級單位處置指令后可下發(fā)處置工單至二級平臺，二級平臺可選擇自動處置或者人工審核是否進行處置，并將處置結(jié)果上報至集團的一級平臺。二級平臺可自主下發(fā)處置工單至三級平安全資產(chǎn)管理模塊對浙能集團及下屬單位資產(chǎn)信息進行管理，包含對基線檢測、漏掃檢測、防火墻策略核查、安全監(jiān)測通報等安全能力提供資將獲取到的威脅數(shù)據(jù)、脆弱性數(shù)據(jù)與資產(chǎn)數(shù)據(jù)進行關(guān)聯(lián)，形成網(wǎng)絡安全決策依據(jù)，構(gòu)建安全駕駛艙，從日常模式、巡檢模式、護網(wǎng)模式多維度展現(xiàn)安全工作的重點關(guān)注指標，反映網(wǎng)絡運行及安全狀態(tài)，將安全風險形象、直觀地呈現(xiàn)給安全決策者和管理人員，方便安全運營管理者全局掌握面向浙能集團數(shù)據(jù)中心以及下屬單位提供防火墻策略核查能力及處置大幅提升防火墻策略審計效率；應急處置能力可針對IP地址、域名、URL等進行快速封堵處置，通過上下級聯(lián)動的方式，實現(xiàn)“一點下發(fā)，全局防弱口令掃描、策略審計、態(tài)勢感知、應急處置等能力，并通過安全編排與智能調(diào)度有效支撐浙能集團及下屬單位常態(tài)化安全運營工作開展，集約化方案后續(xù)計劃在浙能集團下屬板塊及單位進行分階段推廣。目前已在后續(xù)計劃在集團下屬煤炭運輸、石油、可再生能源等多個行業(yè)板塊推廣應用，提供應急處置、策略審計、合規(guī)檢查、威脅監(jiān)測、漏洞掃描等安全能方案后續(xù)計劃在金融、電力、水利等行業(yè)開展推廣，安全綜合管控平臺提供的標準化安全事件研判與處置流程、沉淀安全策略知識庫，自建的應急處置、策略審計、合規(guī)檢查、威脅監(jiān)測、漏洞掃描等安全能力可復制在構(gòu)建安全綜合能力管控平臺過程中引入pla將事件捕捉、特征識別、策略封堵、策略恢復、策略驗證等腳本封裝成原也可支持基于行為模型（閾值、基線）的策略加載，同步引入大數(shù)據(jù)算法基于傳統(tǒng)的樣本特征比對和正則匹配的檢測方式面臨極大的挑戰(zhàn)，攻擊者一旦繞過或直接使用非特征庫中的攻擊載荷，傳統(tǒng)的檢測防護模式將和分析，生成的結(jié)果匹配威脅情報后輸出安全事件，根據(jù)置信度選擇不同—為全方位掌握浙能集團網(wǎng)絡安全運行狀況，理解安全能力運行數(shù)據(jù)背后規(guī)律，挖掘安全數(shù)據(jù)蘊含的風險信息，進而快速發(fā)現(xiàn)潛在的網(wǎng)絡威脅，通過建立安全能力指標體系，建立日常模式、巡查模式、護網(wǎng)模式等場景下的安全駕駛艙，多維度分析數(shù)據(jù)聯(lián)系，反映網(wǎng)絡運行及安全狀態(tài)，支持多維安全數(shù)據(jù)聯(lián)動交互，將安全風險形象、直觀地呈現(xiàn)給安全管理人員，基于微服務能力網(wǎng)關(guān)技術(shù)，通過接口技術(shù)標準化，能力輸出標準化、流程標準化，實現(xiàn)平臺側(cè)安全能力解耦與集成，依托編排引擎實現(xiàn)能力的的拉通與智能調(diào)度，實現(xiàn)安全能力增強互補，同時建立能力評估體系，在板塊推廣應用，累計授權(quán)專利8項，并發(fā)表多篇論文。平臺中的網(wǎng)絡安全邊界防護子系統(tǒng)及網(wǎng)絡安全應急指揮子系統(tǒng)已完成龍芯處理器、中標麒麟的操作系統(tǒng)、華為鯤鵬服務器、信創(chuàng)云完成兼容互認證測試并獲得多項認通過建設(shè)安全事件工作臺，以安全事件的發(fā)現(xiàn)、上報、分析、通報、處置的安全事件應急響應流程為導向，將日常及重保期間的線下工作流程全面轉(zhuǎn)到線上，實現(xiàn)安全事件的閉環(huán)管理，上線運營后，日均處理安全事件百條，平臺完整記錄了安全事件的上報過程、處理過程、處置責任人、歸屬查詢等輔助手段，評估該安全事件的威脅情況，給出處置方案進行處置。同時，安全綜合能力管控平臺通過沉淀浙能集團一線專家研判規(guī)則形成分級分析算法，提供自動化研判手段，給出研判結(jié)果，輔助專家進行研判決策，對日常及護網(wǎng)期間產(chǎn)生的安全事件進行快速的分級分類處理，在大批量的安全事件中輔助分析團隊進行快速研判與精準決策，提升響應效在浙能集團本部建立的統(tǒng)一封堵能力，兼容異構(gòu)邊界防護設(shè)備，針對深信服、天融信、綠盟等異構(gòu)防火墻設(shè)備進行策略管控，通過地址集自動面向浙能集團下屬單位，通過安全綜合能力管控平臺可實現(xiàn)封堵指令減輕運維壓力。依托平臺提供的安全能力及自動化服務，2022年方案運行后，浙能集團及下屬工業(yè)企業(yè)積極開展安全基線、弱口令、集團側(cè)在例行安全檢查過程發(fā)現(xiàn)的安全風險大幅減低，有效提升企業(yè)安全平臺通過納管集團本部安全設(shè)備，可實現(xiàn)安全工具的集中化運維，同時基于IPDRR模型形成安全能力中心，為集團本部及下屬工業(yè)企業(yè)提供開箱即用的安全能力與服務，包含安全資產(chǎn)管理、安全風險檢測、安全合規(guī)檢測、安全應急響應、安全策略審計、安全事件通報等，后續(xù)平臺安全能電力熱力生產(chǎn)、石油煤炭天然氣開發(fā)貿(mào)易流通、能源科技、能源服務和能源金融等業(yè)務，是浙江省委、省政府能源產(chǎn)業(yè)發(fā)展的主抓手、能源合作的主平臺、能源供應的主渠道、能源安全保障的主力軍、環(huán)境保護的主戰(zhàn)場和能源科技創(chuàng)新的主引擎，為浙江經(jīng)濟社會持續(xù)健康發(fā)展提供了有力的能源供應保障。截至2022年底，浙能集團資產(chǎn)總額2991.8億元，所有者權(quán)益1382.9億元，控股管理發(fā)電裝機容量390獎一項，省部級科技進步獎多項。浙能集團高度關(guān)注網(wǎng)絡安全工作，統(tǒng)籌指導下屬工業(yè)企業(yè)實踐網(wǎng)絡安全防護方案，其中“大型火電廠網(wǎng)絡安全綜—浙江鵬信信息科技股份有限公司（以下簡稱：鵬信科技）是新三板掛牌的國家高新技術(shù)企業(yè)、國家級專精特新“小巨人”企業(yè)、浙江省網(wǎng)絡安全行業(yè)創(chuàng)新型十強企業(yè)。公司專注于網(wǎng)絡信息安全領(lǐng)域，公司具有中國信與認證中心多項安全資質(zhì)。2019年成為浙江省工業(yè)控制系統(tǒng)信息安全應急參與了多個省部級方案、工信部的工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程方案3個。公司自主研發(fā)的安全能力底座、安全一鍵應急平臺、基線配置核查系統(tǒng)、安全漏洞管理平臺、安全策略可視化分析、安全運營管理平臺、安全態(tài)勢感2.結(jié)束語“編