為了響應習總書記的講話，電力系統(tǒng)各級單位也即將展開對各地安全隱患的排查。尤其針對系統(tǒng)的配置核查、域間異常流量、態(tài)勢感知能力、弱口令檢測、邊界安全、策略合規(guī)、無線安全、僵尸賬號等。眾所周知，電力監(jiān)控系統(tǒng)建設(shè)近年來得到了快速發(fā)展，作為承載電網(wǎng)生產(chǎn)控制管理業(yè)務系統(tǒng)的管理信息大區(qū)一直缺乏流量異常監(jiān)控、安全配置核查、行為態(tài)勢分析必要的安全防護手段。尤其當發(fā)生與外界數(shù)據(jù)交互時，安全威脅很大，內(nèi)網(wǎng)中的終端、服務器、中間件等應用系統(tǒng)面臨著各類不確定性的威脅。

 

        依據(jù)《網(wǎng)絡(luò)與信息安全預警分析中心頂層設(shè)計》等內(nèi)部文件的相關(guān)要求，管理信息大區(qū)對各類安全風險、漏洞進行分析響應和通報匯總，提升信息安全事件處置能力，日常監(jiān)測和預警措施等信息安全工作被提上議事日程。

 

        方案概述

        本方案圍繞各管理信息大區(qū)安全建設(shè)展開，從安全建設(shè)的基礎(chǔ)安全能力構(gòu)建、態(tài)勢感知能力建設(shè)、安全服務能力建設(shè)三個方面，為管理信息大區(qū)構(gòu)建一個安全、穩(wěn)定、具備抗風險能力的安全運營環(huán)境。

        在絕大多數(shù)傳統(tǒng)網(wǎng)絡(luò)安全防護方案建議里，會配備有基于模式匹配的已知威脅檢測，如IDS系統(tǒng)，也會配備基于虛擬執(zhí)行環(huán)境和沙箱的未知威脅檢測技術(shù)，如APT檢測，我們認為，在管理信息大區(qū)運用這兩類技術(shù)作為檢測手段，會有一定滯后性，會錯過最佳的威脅處置時機，以深度流分析技術(shù)見長的NBA系統(tǒng)恰好能彌補時效性不足的難題。 網(wǎng)欣科技網(wǎng)絡(luò)行為分析系統(tǒng)NBA結(jié)合DPI技術(shù)，基于行為的威脅識別，基于威脅情報的流分析等一體化融合技術(shù)為客戶提供資產(chǎn)持續(xù)監(jiān)測、惡意流量發(fā)現(xiàn)、違規(guī)流量檢測、網(wǎng)絡(luò)行為分析、歷史流量回溯取證等能力，協(xié)助客戶及時發(fā)現(xiàn)可疑主機、可疑流量，快速定位網(wǎng)絡(luò)故障，優(yōu)化網(wǎng)絡(luò)利用效率，歷史異常行為取證，提升網(wǎng)絡(luò)監(jiān)管水平，為有序運行提供有力的支撐。

 

        ●  集中化的日志存管

        根據(jù)等級保護2.0的規(guī)范要求，對全網(wǎng)的日志審計明確做了要求，然而，在絕大多數(shù)傳統(tǒng)網(wǎng)絡(luò)安全防護方案建議里鮮見這部分內(nèi)容的設(shè)計。根據(jù)規(guī)范要求，管理信息大區(qū)需要實時不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)以及各種應用系統(tǒng)產(chǎn)生的日志，為此，選擇合適的日志審計是方案完整性的重要一環(huán)。

 

        網(wǎng)欣科技日志審計系統(tǒng)（Leadsec-RS）是一款面向電力行業(yè)信息系統(tǒng)日志審計的成熟的安全產(chǎn)品。它能夠通過主被動結(jié)合的手段，實時不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的系統(tǒng)以及各種應用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計中心，進行集中化存儲、備份、查詢、審計、告警、響應，并出具豐富的報表報告，獲悉全網(wǎng)的整體安全運行態(tài)勢，實現(xiàn)全生命周期的日志管理。還可以為管理這提供了強大的日志綜合審計功能，為不用層級的管理需求提供了多視角、多層次的審計視圖、日志查詢和報表管理等功能。

 

        態(tài)勢感知能力建設(shè)

 

        在管理信息大區(qū)部完成基礎(chǔ)安全能力建設(shè)之時，對基礎(chǔ)防護手段的數(shù)據(jù)集中展現(xiàn)十分必要，畢竟能夠為信息中心提供準確、有效的態(tài)勢感知展示即是能力，也是難點所在。因此，通過態(tài)勢感知能力建設(shè)，可以有效建立起從數(shù)據(jù)產(chǎn)生到數(shù)據(jù)展現(xiàn)的全流程機制，可以有效打通數(shù)據(jù)源產(chǎn)生的情報轉(zhuǎn)化，可以強化網(wǎng)絡(luò)的資源配置合理性提升運營過程的合規(guī)性，協(xié)助管理員的安全加固水平提升威脅應急響應能力。

 

        網(wǎng)欣科技網(wǎng)絡(luò)態(tài)勢感知系統(tǒng)正是全方位的態(tài)勢感知的集大成者，它由六個維度的感知構(gòu)成，分別是資產(chǎn)感知、攻擊感知、漏洞感知、運行感知、威脅感知和風險感知，綜合這六個感知維度形成面向管理信息大區(qū)的綜合態(tài)勢監(jiān)視或態(tài)勢總覽。通過這六個維度的專項分析呈現(xiàn)，管理者可以聚焦整合、按需搭配，形成適合自身業(yè)務需要和安全態(tài)勢監(jiān)控需要的態(tài)勢感知系統(tǒng)。

 

        ●  安全威脅分析場景建模與有效性驗證。通過多層級的事件關(guān)聯(lián)、威脅情報關(guān)聯(lián)和統(tǒng)計分析等手段，建立安全威脅檢測分析模型。并通過模擬黑客攻擊入侵的方式，驗證各個環(huán)境的安全日志的提取、分析過程是否準確；檢驗安全威脅分析場景模型是否有效。

 

        ●  對攻擊行為的真實性進行判斷。從態(tài)勢感知平臺上獲取最新的威脅情報和漏洞情報信息，在日志分析過程中引入威脅情報和漏洞情報數(shù)據(jù)，確定攻擊行為的真實可靠性。

 

        ●  重大活動保障及安全事件應急響應。如重大活動安全保障期間，幫助用戶值守，解決最新爆發(fā)的黑客入侵、僵木蠕毒爆發(fā)、異常行為診斷等安全問題。

 

        網(wǎng)欣科技”專注于安全運維服務，特別是高級安全事件分析服務，擁有安全行業(yè)頂級專家上百位，從業(yè)十年以上的安全專家、滲透黑客、數(shù)據(jù)分析師、安全分析師、產(chǎn)品專家更是數(shù)千人，獲得專項領(lǐng)域?qū)＠噙_數(shù)百項，因此，對于電力行業(yè)管理信息大區(qū)的安全防護上提供源源不斷的人才保障。

 

        方案總結(jié)
 

        正值各類高危安全事件頻繁發(fā)生的今天，本方案充分結(jié)合電力信息系統(tǒng)的業(yè)務需求，以管理信息大區(qū)的實際安全防護出發(fā)，從安全建設(shè)的基礎(chǔ)安全能力構(gòu)建、態(tài)勢感知能力建設(shè)、安全服務能力建設(shè)三個方面入手，用戶側(cè)的安全閉環(huán)工作必將妥善得到解決，大區(qū)的網(wǎng)絡(luò)安全防護能力必將得到規(guī)范、有序、穩(wěn)步推進。