智慧電力網絡安全態勢感知能力建設與提升
摘 要:在智慧電力快速發展的背景下,電力行業數字化轉型進入跨越式的發展,新的應用不斷涌現,整體網絡規模逐漸擴大。物聯網、云平臺和數據中臺等新型數字基建平臺的建設,使網絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。為保障電力生產、經營管理和客戶服務等重要業務的正常開展,依據國網公司信息安全管理要求,國網上海市電力公司(SMEPC)構建了綜合防線,覆蓋互聯網大區、管理信息大區和生產控制大區。為確保中國國際進口博覽會等重大活動期間保電任務的萬無一失,力推“智慧保電”新模式,一批基于“互聯網 +”“物聯網 +”的高、新、尖技術將使保電工作更有把握。基于 SMPEC 態勢感知系統的實踐,闡述智慧運維模型的創新點和應用,探討以數據驅動運維,聚焦從傳統運維向智慧運維轉型,對全國范圍內電力行業和關鍵信息基礎設施安全保護工作有很好的借鑒意義。
0 引言
隨著電網形態愈發復雜,保障供電系統穩定性及可靠性的難度越來越高。如今,一方面,面對互聯網、數字經濟發展,使社會經濟形態產生的巨大變化,傳統電力行業迎來了多重挑戰,深化電力領域改革勢在必行。另一方面,隨著《中華人民共和國網絡安全法》《國家網絡安全戰略》等一系列法律法規和標準規范相繼出臺,態勢感知上升到戰略高度。國家有關網絡安全主管單位均在倡導、建設和積極應用網絡安全態勢感知技術以應對網絡空間安全的嚴峻挑戰。
安全是一個動態的過程,因為攻擊者手段、攻擊方法不斷改變,導致新漏洞不斷出現;同時電力行業的業務、軟件和人員也在不斷變化,因此安全管理人員試圖通過一個系統、一套方案解決所有的問題是不切實際的。在實際安全保障過程中,安全管理、安全開發、漏洞挖掘、應急響應、漏洞修復等環節,都需要對產品和服務的系統進行設計、運行、評價和改進。因此將單點的安全體系整合成一個有機整體并持續優化,才能真正意義上達到智慧運維的目標。
去年,國家電網公司正式提出“三型兩網”戰略,聚焦建設世界一流能源互聯網企業,打造“樞紐型、平臺型、共享型”企業,為支撐公司業務智能化、數字化轉型,信息運維同樣需要數字化轉型來適配 IT 架構的演進。數字化轉型的本質,是以數據的自動流動化解復雜系統的不確定性,從而優化資源配置效率。今后工作目標就是不斷推動信息運維工作規范化、標準化,通過自動化、可視化,將運維數字化貫穿于應用系統的全生命周期,向著智慧運維的方向邁進。
1 研究背景
隨著電力行業數字化轉型的跨越式發展和新應用的不斷涌現,電力網絡整體規模逐漸擴大,物聯網、云平臺、數據中臺等新型數字基建平臺的建設,使網絡邊界從物理邊界向物理和虛擬邊界混合的模式演變。虛擬邊界和物理邊界的融合,使得信息安全管理的難度隨之不斷增加,電力信息安全管理面臨從被動支撐到主動服務的挑戰,電力行業亟需構建新的網絡安全智慧運維模式。
1.1 電力行業網絡安全保護政策要求
近年來,黨中央、國務院高度重視網絡安全工作,《國家網絡空間安全戰略》《網絡空間國際合作戰略》《中華人民共和國網絡安全法》等法律法規相繼出臺,為我國網絡安全的發展提出了戰略指引,為網絡治理提供了法律準繩。在電力行業中,2018 年國家能源局印發了《關于加強電力行業網絡安全工作的指導意見》(以下簡稱“意見”),總結了電力行業網絡安全保護政策要求,從電力行業全局的角度指導、推進網絡安全工作開展。意見圍繞進一步落實電力企業網絡安全主體責任,完善網絡安全監督管理體制機制,加強全方位網絡安全管理,強化關鍵信息基礎設施安全保護,加強行業網絡安全基礎設施建設,加強電力企業數據安全保護,提高網絡安全態勢感知、預警及應急處置能力,支持網絡安全自主創新與安全可控;積極推動電力行業網絡安全產業健康發展,推進網絡安全軍民融合深度發展,加強網絡安全人才隊伍建設,拓展網絡安全國際合作等方面提出要求。
1.2 智慧電力轉型需求
近年來,物聯網、云平臺和數據中臺等新型數字基建平臺的大規模建設以及大量云原生、IoT 的新應用上線導致原來的網絡環境發生了變化。從內部和外部環境來看,針對關鍵信息基礎設施的新型攻擊和破壞手段層出不窮,電力關鍵信息基礎設施面臨的安全威脅在急劇增加[1]。傳統的信息安全管理模式難以為繼,信息安全防護的難度越來越大,存在以下痛點。
定位慢、處置難。現有的信息化和安全防護設備種類繁多,安全策略配置、運維管理難度較大,當面對眾多分散的信息時,安全人員無法快速、全面、直觀地了解系統安全脆弱點、整體攻擊狀況以及安全防護效果;日常產生的重復、無效的告警過多,加大了平臺運營和信息安全監測處置的難度,不能快速定位真正的運行和網絡安全威脅,當前的安全手段只能在一定范圍內發揮特定的作用,且企業缺乏專業的智慧運維工具,重復性工作占用現有人員大量精力,缺乏有效的數據融合和協同管理機制。
安全管理人才匱乏。網絡安全產業發展面臨人才短缺的問題,2017 年人才數量缺口已經高達 70 萬人,缺口率 95%,預計到 2027 年這一數據將增長至 300 萬人,市場競爭激烈,當前培養的網絡安全人才數量遠遠不能滿足社會需求,特別是急缺信息安全專家、復合型人才。在日益規模化的網絡威脅下,網絡安全攻擊面不斷擴大,攻擊強度不斷升級,企業應對復雜攻擊的處理經驗不足,水平不夠,顯得捉襟見肘,壓力與難度與日俱增。
綜上所述,電力信息安全管理面臨從被動支撐到主動服務的挑戰,傳統的安全運維進入了需要依賴大數據分析、智能學習的人工智能模式[2],這些復雜因素都指向同一個結果——電力行業亟需構建新的網絡安全智慧運維模式。
2 電力智慧運維模型構建與創新點分析
為應對挑戰,國網上海市電力公司(SMEPC)綜合運用多種技術手段,以運營安全可視和協同防御為核心,打造一套智能化、精準化、具備協同聯動的大數據安全分析平臺、數據中臺和統一運營中心,實現全方位態勢感知、全天候安全監控和全覆蓋防御協同能力。
2.1 整體綜合防線構建
為應對網絡安全監測與防護在數字化轉型中遇到的挑戰,利用大數據、態勢感知等新技術手段,融合公司平臺運行、安全防護、流程處置信息和海量情報信息,構建了上海電力的“智慧運營和安全大腦”,如圖 1 所示。
圖 1 電力信息系統智慧運維新模式
依靠大數據和人工智能技術,構建了網絡安全大數據平臺與數據中臺,對已建設的防火墻、攻擊溯源系統、入侵防御系統、主機防護軟件等安全防護產品的多源異構日志進行采集和治理,一次采集、多次消費,并結合關聯分析、統計分析、交叉分析、行為分析等多種分析技術,對網絡安全數據進行深度挖掘,有效發現網絡資產的風險隱患和被攻擊情況。通過匯聚、分析、研判相關數據,將人、技術和流程緊密結合起來,打造平臺化和全景視角,讓決策者能夠實時掌握運營安全動態,形成對業務的有效支撐。
在管理流程方面,對信息安全的管理流程進行調整,針對監控、變更、指揮、處置等核心流程基于大數據分析和自動化工具進行配套調整,優化審批環節,減少管理資源投入,提高效率。通過運營平臺適配應用系統全生命周期的各運維場景,匯總全維度運維數據,讓數據驅動運維,通過構建運維能力體系,為用戶提供運維支撐服務,最終實現公司全網網絡安全態勢可見、風險威脅可知、信息通報統一、應急處置高效的效果。
在監控方面,對指標管理體系進行重構,提取關鍵指標,建立了應用系統的健康度量化模型,將不同監控層面的數據,包括性能監控、運行監控、接口監控、數據庫監控、業務流量監控等各層級相關指標,對其進行整合匯聚,實現監控規范化、集中化、標準化和敏捷化,分析故障發生的原因,輔助定位可能的故障根源,讓應用系統的運行狀態一目了然。在運營方面,提供了云資源、存儲資源、數據庫資源等資源的容量剩余情況、使用變化曲線、分配情況,實時顯示當前檢修、搶修狀態的工單看板,通過應用系統訪問量、流量等多維度信息展示應用系統的活躍度。
在運營方面,提供了云資源、存儲資源、數據庫資源等資源的容量剩余情況、使用變化曲線、分配情況,實時顯示當前檢修、搶修狀態的工單看板 ,通過應用系統訪問量、流量等多維度信息展示應用系統的活躍度。
2.2 構建安全態勢量化模型,科學評估運維管理成效
安全數據中臺依據數據安全和數據標準的規范,對數據采集、數據處理、數據治理、數據資產、數據服務和數據運維幾個方面進行有機結合,實現安全數據匯聚、管理和統一的數據服務。采集的數據包括設備日志數據、流量數據、弱點漏洞數據、系統性能數據、威脅情報數據、資產人員數據等多種安全、泛安全類數據。安全數據經過數據處理、存儲、挖掘后,形成包括基礎庫、業務庫、原始庫、知識庫和分析庫等,為上層應用提供數據支撐。
安全能力中臺以安全數據中臺的海量安全數據為基礎,利用大數據關聯分析技術,結合人工智能建模方法,對海量安全數據進行深度分析,揭示安全威脅和攻擊事件,發現系統面臨的安全風險和感知系統安全態勢。安全能力中臺通過聚焦各維度的安全需求,將系統各種安全能力服務化,形成安全服務目錄,實現數據融合,進而挖掘數據價值,并通過安全數據場景化分析模塊,提供關聯規則、統計建模、場景關聯、分析建模、情報建模以及機器建模等安全分析能力,提供支撐上層應用的數據。
安全態勢量化的模型,如圖 2 所示。
圖 2 安全態勢量化
綜合態勢評分采用的是多層次模糊綜合評判模型,權重的確定采用層次分析法。綜合態勢評分考慮的影響因素較多,主要分為兩個方面:一方面,權重分配很難確定;另一方面,即使確定了權重分配,由于要滿足歸一性,每一因素分得的權重必然很小。所以需要采用分層的辦法來解決這一問題,主要采用了以下算法。
模糊綜合評價法(FCE):是一種根據模糊數學隸屬度理論把定性評價轉化為定量評價的方法。它具有結果清晰、系統性強的特點,能較好地解決模糊的、難以量化的問題,適合解決各種非確定性的問題。
層次分析法(AHP):是把復雜問題中的各種因素通過劃分為相互聯系的有序層次,使之條理化,根據對一定客觀現實的主觀判斷結構(主要是兩兩比較)把專家意見和分析者的客觀判斷結果直接而有效地結合起來,將每個層次元素兩兩比較的重要性進行定量描述。而后,利用數學方法計算反映每一層次元素的相對重要性次序的權值,通過所有層次之間的總排序計算所有元素的相對權重并進行排序。
FCE 計算的前提條件之一是確定各個評價指標的權重,也就是權向量,它一般由決策者直接指定。但對于復雜的問題,例如很多評價指標之間存在相互影響的關系,直接給出各個評價指標的權重比較困難,而這個問題正是 AHP所擅長的。綜合運用上述兩種算法,科學量化評估運維成效,起到良好的作用。
3 態勢感知技術在智慧電力中的應用
2020 年 11 月,在上海中國國際進口博覽會期間,SMEPC 集成 34 套信息系統,打造進口博覽會全景智慧供電保障系統,實現人員、物資、車輛等保電資源全景可視化監控和主動指揮[3],為全網保電資源的統一調配與指揮決策提供科技支撐。隨著感知終端、AI 機器人等智能技術的深化運用,進博會保電工作從“設備管理”進一步向“數據管理”轉型,觀測實時、反應及時,實現了“一屏觀網”“一鍵響應”的智慧升級。
智慧運維支撐服務平臺面向網絡安全能力集成、數據集成和編排響應等需求,為網絡安全人員提供風險匯聚、分析決策、編排調度和聯動處置 4 種共性服務支撐。
3.1 風險匯聚支撐
安全數據中臺提供了統一、開放、標準、完整的信息資源服務。全面開展內部和外部數據歸集、整合、重新組織、共享等工作,建立完整的信息共享資源目錄和信息資源服務能力;提供統一的大數據處理服務能力,提升信息資源服務能力,解決網絡智慧運維對海量數據的深度挖掘、分析、應用的迫切需求。
3.2 分析決策支撐
依賴安全大數據分析引擎,針對監測數據中心內匯聚的數據,從情報碰撞、資產威脅分析、安全事件分析、風險隱患和網絡攻擊 5 個層面進行安全分析。
提供集中的安全規則、模型以及策略管理功能,制定統一的安全策略,并有效貫徹執行這些安全策略,不僅有助于提高安全水平,而且將這些安全策略進行上網發布也有助于知識的共享,讓各級安全管理人員合理運用安全策略,有效地管理網絡,保障網絡的安全運行。
3.3 編排調度支撐
運營平臺提供安全服務和能力的管理及編排調度能力。基于構建的能力體系,通過劇本編排,對分析、響應處置過程中各種復雜的分析流程和處理平臺進行整合,形成自動化的能力集成,實現從靜態事件響應到動態工作流跟蹤的轉變,提升整體的協調及決策能力。
3.4 聯動處置支撐
安全編排自動化與響應(Security Orchestration,Automation and Response,SOAR)框架編排劇本進行自動化任務執行,利用自動化過程更有效地對告警進行分類,并更快速高效地響應關鍵事件,主要有以下 5 項核心技術能力。
(1)安全編排:可以實現將安全分析能力、安全處置流程以及人工干預動作進行無縫編排,保證安全流程真正高效地運行。
(2)自動化:是編排的一個子集,SOAR的編排會生成一個劇本(playbook),劇本包含了一次安全事件的全部或部分運維流程,劇本可自動化執行。
(3)響應:通過自動化執行消除大量重復任務,釋放人工勞動力。利用自動化的誤報過濾可以在消除大量誤報的同時,更準確地識別真正的威脅,提高工作流程的效率,節省時間和資源。同時利用自動化更有效地進行告警分類,以更快地響應關鍵事件。
(4)案件管理:是對一個安全事件的全生命周期的統稱,利用 SOAR 可以對一次安全事件響應全生命周期和自動化管理。
(5)協同合作:可以實現人機交互的安全事件響應,也可以實現不同權限 / 職責的人員共同編寫劇本,共同完成安全事件的響應。
在進口博覽會期間,SMEPC 憑借網絡安全態勢感知及分析系統詳實全面的信息安全數據分析與處理能力,全面掌握進口博覽會保電期間關鍵系統與設施面臨的安全威脅、風險和隱患狀況,實時定位信息網絡中發生的各類安全事件,通過實時監測、快速處置、威脅感知、情報信息、數據查詢等功能業務,形成 7×24小時全范圍覆蓋的網絡監測與預警,為進口博覽會的順利召開起到了良好保障作用。
4 智慧運維人員體系規劃
管理組織架構是智慧運維成功建設的重要組成部分,必須加強機構建設和團隊建設,成立責任部門,做到分工明確、責任清晰、任務到人、考核到位,才能保障智慧運維中心順利建設并能夠讓這套運維體系不斷完善改進。
智慧運維中心設置了安全監測團隊、分析處置團隊、風險管控團隊、架構管控團隊、設備管理團隊和技術支撐團隊,以聯動模式為用戶提供運營服務。
安全監測團隊:主要負責所轄范圍的管理信息大區、生產控制大區、互聯網大區邊界網絡與信息安全 7×24 小時日常監控預警及初步分析;負責內外網重點網站運行狀態監控和上下級聯動;負責安全監測值班規范的修訂與完善和安全監測系統作業指導手冊的編制。
分析處置團隊:主要負責告警事件的分析判斷、調查取證、事件處置等工作;負責組織完成安全事件常態化溯源分析;負責為公司信息系統安全防護提供攻擊研判、態勢分析、技術咨詢等支撐工作;負責參與安全事件調查與事件處置,對確認的安全事件分析其危害程度、波及范圍等,確定是否啟動應急響應。
風險管控團隊:主要負責系統端口管控和治理;負責風險預警處置相關工作;負責系統建轉運審核工作和周期性進行安全風險評估工作;負責等級保護測評專項工作,根據等保合規要求、內控規范、審計要求制定相關的監測機制;負責內部信息安全意識教育培訓和宣傳。
架構管控團隊:主要負責網絡安全方案和應急預案的編制;負責上線系統方案安全架構評審;負責網絡安全架構管控、優化調整工作以及網絡安全防御體系和架構的設計與優化。
設備管理團隊:主要負責根據安全策略的要求進行安全基礎設施的規劃、建設以及日常的運維工作;負責安全配置策略的統一管理、變更工作;負責安全設備的常態巡檢、維護、故障處理和檢修管理;負責安全平臺接入方案的審批與執行;負責安全設備策略和權限的審批與維護,以及安全設備作業指導手冊的編制。
技術支撐團隊:主要負責安全新技術的研究、新型攻擊手法研究、對智慧運維中心所涉及的高危漏洞的研究分析、未知威脅的探索發現、組織進行內部的紅藍對抗演練以及時發現新的安全風險,并將這些成果轉化為知識庫和安全分析模型;負責威脅情報的收集和管理工作。
5 總結與建議
電力關系國計民生,智慧電網的建設可以極大地提升電網的穩定性和持續性。將使我國能源緊張和環境污染問題得到緩解,極大地促進我國可持續發展。
網絡安全直接關系到智慧電網的正常穩定運行,本文闡述了智慧運維模型的創新點和應用,探討以數據驅動運維,聚焦從傳統運維向智慧運維轉型,對全國范圍內電力行業和關鍵信息基礎設施安全保護工作具有很好的借鑒意義。
盧士達 , 金玲麗 , 姚亦凡 . 智慧電力網絡安全態勢感知能力建設與提升——數據驅動從傳統運維轉型智慧運維 [J]. 信息安全與通信保密 ,2021(8):60-67.
