应对重大网络风险的主动防御安全管理体系创新与实践

企业简介：国网湖南省电力有限公司信息通信分公司（以下简称国网湖南信通公司）是国网湖南省电力有限公司（以下简称国网湖南电力）网络安全防护主要支撑机构、湖南公司数字化转型的数字技术支撑和技术监督机构、湖南公司互联网和通信专业省级业务实施单位。近三年先后荣获“国家电网公司先进集体”、“国家电网公司信息通信工作先进集体”、国家电网公司“青创赛”金奖、国家电网公司网络攻防先进集体等荣誉称号。国网湖南信通公司省重点实验室获批，多个科研项目荣获国家电网公司科技进步一等奖、中国计算机学会二等奖、中国电力联合会创新成果一等奖等奖项。

国网湖南省电力有限公司长沙供电分公司成立于1978年，是国家电网有限公司大型供电企业、国网湖南省电力有限公司的分公司，供电范围覆盖全市六区两市一县，供电面积1.19万平方公里，服务电力客户469.8万户。公司先后荣获中央企业先进集体、全国文明单位、全国五一劳动奖章、全国创建文明行业示范点、全国模范职工之家、全国抗冰救灾先进集体等多项荣誉。

一、应对重大网络风险的主动防御安全管理体系创新与实践的实施背景

（一）国内外网络安全形势日益严峻的迫切需要

当前，国内外网络安全形势极其严峻复杂，网络空间正成为国家间战略博弈的新高地，网络战成为政治军事对抗的重要组成。党中央、国务院高度重视网络安全，习近平总书记多次就网络安全发表重要讲话，强调“没有网络安全就没有国家安全”。近年来，《关键信息基础设施保护条例》、《中华人民共和国数据安全法》等国家网络安全法律法规相继出台，网络安全监管和执法更为严格，对各企业网络安全工作提出了更高的要求。电力企业作为电力关键信息基础设施的运营者，为防范因网络攻击造成的大规模停电，亟需建设应对重大网络风险的主动防御安全管理体系，用新的网络安全格局保障电网的新发展格局。

（二）新型电力系统建设的技术变革带来新的网络风险

新型电力系统是新型数字技术与传统电网技术深度融合的电力系统，新型电力系统建设背景下的电网形态发生了深刻变化，电力企业网络安全防护体系在“采、传、存、用”各层面均面临新的挑战。

数字化转型是新型电力系统建设的重要支撑，移动应用、物联网、边缘计算等新技术在电力企业数字化建设中得到广泛应用，信息系统本身面临的网络安全威胁更加复杂。此外，信息系统传统的瀑布式开发模式转变为敏捷开发模式，信息系统的发布速度迅速提升，而企业中的专职安全人员投入未能相应提升，导致信息系统的“速度”和“风险”难以平衡。

（三）传统的网络安全被动防御管理体系难以适应新挑战

传统的网络安全防护体系主要依靠边界隔离，主动防护措施不足，存在网络安全监测和防护的盲区。随着“云大物移智”等技术的到来，网络安全的防护边界已逐渐消失，防护方式也变成了“无界防护”。传统的信息系统网络安全管控方式是在信息系统开发完后开展一次安全测试再上线投入运行。根据权威机构的报告，超过90%的网络安全事故都发生在信息系统本身研发产生的安全漏洞中，且信息系统在测试和发布阶段发现并纠正问题所需的最低时间成本远高于（30倍—1000倍）在研发阶段发现并纠正问题所需的最低时间成本。信息系统设计前期安全管控缺失导致的安全架构设计不合理、安全功能缺失等问题在信息系统建成后修复的难度高、耗时长甚至无法修复。因此，亟需建立应对重大网络风险的主动防御安全管理体系，实现电力企业高质量发展。

二、应对重大网络风险的主动防御安全管理体系创新与实践的主要做法

（一）构建顶层设计框架体系，绘制主动防御创新蓝图

1.总体思路

电力企业面对的重大网络风险是指信息系统漏洞、计算机病毒、网络攻击、网络侵入等，最终将导致电网大面积停电、电网地理信息等核心数据泄露。主动防御是指在发生危害网络安全的事件前，采取相应的防护措施；事件发生时，立即启动应急预案，避免、转移、降低网络风险。

国网湖南电力坚持高点定位、战时思维和目标导向，以构建主动防御安全管理体系为主线，坚持战时思维，按照“战区+兵种”的“作战”模式，以打造“平战结合”的可持续安全运营模式为基础，以全场景网络安全技防体系建设为重点，以全过程研发风险管控体系建设为推力，通过安全文化建设营造浓厚安全文化氛围，提升人员主动防范意识，全面构建应对重大网络风险的主动防御安全管理体系，实现“四个转变”，即由边界隔离向纵深防御的转变、由被动防守向主动防护的转变、由挖掘安全漏洞向保障业务安全的转变、由基础运维向安全运营的转变，打造可应对“战时”条件的电网关键信息基础设施网络安全防护屏障，全面防范重大网络风险。

2.建设目标

国网湖南电力以“筑牢电网网络安全屏障，增强企业网络安全防御能力和威慑能力”为总体目标，建立纵深防御的全场景网络安全防护体系，健全各方协同联动的“平战结合”运营机制，源头治理夯实信息系统本体安全，实现全员参与网络安全的防控格局。通过构建展应对重大网络风险的主动防御安全管理体系，增强企业网络安全防御能力和威慑能力，坚持筑牢网络安全屏障，确保不发生重大网络安全事件以及因网络攻击危害电网安全的事件为数字电网建设提供网络安全防护支撑，进一步保障电网业务和新型业务创新发展。

3.基本原则

“依法依规”：严格遵守国家相关法律法规，落实国家及行业监管部门的网络安全要求，坚守网络安全底线和网络安全红线，防止发生颠覆性的停电事件和重大网络安全事件。

“以人为本”：强化人在网络安全防护中的主观能动性，落实人员安全责任，通过增强人防意识、普及人防知识、提升人防技能，筑牢网络安全人防体系，全面提升人员安全素养，高效协同保障业务安全发展。

“立体防御”：紧跟数字中国、数字电网建设需要，打造全面覆盖、主动出击、平战结合、措施有效的网络安全立体防御体系，确保安全防护措施更精准、可落地，全面保障公司核心网络与系统的安全稳定运行。

“创新发展”：加强网络安全管理、技防及安全基础设施创新建设，做到网络安全与业务发展协调一致、齐头并进，全面保障新兴业务及重要数据的安全。

（二）构建应对重大网络风险的全场景技防体系，筑牢安全防护屏障

国网湖南电力坚持“战时”思维，遵循“分区分层、动态感知、主动防护、自主可控”的路线，建成全场景网络安全技术防护体系，全面提升网络安全纵深防御能力、主动防护能力，筑牢网络安全防护屏障。

1.实施分区分层防护措施，全方位构筑纵深安全防线

以开放可信为核心，由外到内建立由边界防护、隔离区前置安全防护等构成的纵深防御体系，形成的“三区六层”的总体网络格局。

全面部署以“三道防线”为基础的安全防护措施。在“三区”(生产控制大区、管理信息大区和互联网大区)内部署了纵深防护措施，确立以“三道防线”（互联网边界、信息内外网边界、管理信息大区与生产控制大区边界）为基础的网络安全纵深防护体系，全面部署横纵向边界、第三方边界防护设施，防范从互联网到重要电网业务系统的网络攻击，防范以电厂、变电站为突破口对电力监控系统的网络攻击，在保证安全的前提下实现稳定可靠的电网业务服务。

明确分层防护要求，保护核心业务与数据。明确电网核心区、大电网、重要客户、核心数据、内网业务、外网业务“六层”防护，按照安全防护策略实施的重要性和优先级，完成六个层级的安全防护，确保“网络战”条件下电网关键基础设施安全。

2.打造安全态势感知平台，全场景构建智能安全大脑

建立覆盖全业务、全场景、全终端的动态监测感知平台。通过收集流量、日志、资产等安全数据，结合大数据技术和威胁情报进行集中处理、关联分析，绘制覆盖三个大区、六个层级的网络安全“布防一张图”，以实现全省态势统一的安全监测分析，提升应对安全风险的智能分析响应能力，做到攻击的发现、定位、处置、预警均在5分钟内完成，为“战时”安全运营提供数据支撑。

全场景构建智能“安全大脑”。汇聚10余套安全系统数据至数据中台，应用深度学习算法建立主机及业务流量基线，捕获攻击，识别威胁，提升安全风险精准研判预警能力。总结提炼攻击处置过程，建立发现-分析-处置模型，完成17个应用和10类典型安全事件处置流程编排，实现省地两级安全设备联防联动、网络攻击一键处置。

3.转变被动防御安全理念，多维度强化主动防护能力

以事前发现预警、主动威慑反制为目标，建设“主动发现、主动预测、主动反制”的防护措施，实现被动防御向主动防护的有效转变。

主动发现漏洞。研究电力系统漏洞检测技术，研制电力工业控制系统网络安全漏洞挖掘专业装备，并结合资产稽查、漏洞挖掘等措施，确保电力系统安全无漏洞运行。主动预测威胁。利用安全分析模型对多种安全威胁数据进行自动化挖掘和网络威胁情报关联分析，研究面向电力攻防场景的高级定制化监测分析技术，实现未知安全威胁的精准预测。主动反制敌人。将“看见看清”的响应处置措施与预警响应、自动化改进和威慑反制措施相结合，实现对攻击者的精准画像绘制和攻击行为的主动反制，以达到威胁处置的主动反制。提出基于蜜罐欺骗防御和引流的主动反制技术框架，将攻击者主动牵制至蜜罐，进而对攻击者采取身份追溯、攻击工具破坏、反向攻击等反制措施，克服了传统防御手段只能被动防守的缺陷。

4.推进安全装备自主可控，深层次建立战时生存根基

推进国产化替代，加强装备自主可控。按照“兼顾安全、适用、经济”的原则，采取分类、递进的方式，推进电网关键基础设施的国产化替代，实现关键区域服务器、操作系统、数据库和应用软件国产化率100%，实现信息系统从硬件到软件的自主研发、生产、升级、维护的全程可控。

（三）构建应对“网络战”的网络安全运营体系，实现联动协同防御

国网湖南电力建立了网络安全“平战结合”运营机制，平时“红蓝对抗、以攻促防，知己知彼、有备无患”，持续驱动感知预测、监测分析、动态防御、处置响应能力的迭代优化。战时“统一指挥、协同应急、红蓝一体、警企合作”，联合各方力量，预测攻击意图，分级精准处置，联合实施反制，为应对“电力战”背景下的网络安全挑战打下坚实基础。

1.平时稳扎稳打，夯实平战转换基础

强化网络安全力量的组织与协同。组织上，组建两级网络安全运营组织，在公司建立一级网络安全监测中心，在33个市州公司、直属单位建立二级网络安全监测中心。机制上，打造由公司指挥协调，市州公司、直属单位联动处置的一体化联合指挥机制，实现网络安全监控情报集中、分析集中、处置集中。

常态化开展7×24小时网络安全监测分析。组织开展7x24小时现场值班值守工作，实时对监测发现的网络攻击告警、终端病毒感染告警和新型漏洞威胁等进行分析、上报。

建立网络安全督查机制。建立常态化网络安全督查机制，常态化开展网络安全技术督查工作，涵盖物理、边界、网络、应用、主机等。

常态化开展实战攻防演习。针对关键系统、服务器等，每月组织开展专题实战攻防，包括组织各单位进行真攻真防，每季度邀请外省专家、外部顶尖企业开展联合实战攻防，通过以攻促防，凝练攻防经验形成专项演练总结报告，增强人员攻击渗透和防守加固能力，排查各单位安全防护薄弱环节，以攻促防形成常态机制，提高整体安全防护水平。

2.战时快速响应，实现联动协同作战

构建“1+1+5+33”的战时作战指挥体系。按照“统一指挥、战区主站、兵种协同、联合作战”思路，构建了“1（总指挥部）+1（作战指挥中心）+5（信通、调控、运检、营销4个专业组和后勤保障组）+33（14个市州公司和19个直属单位共计33个作战防区）”的作战指挥体系。公司作战指挥中心、作战防区严格执行7×24小时值班，建立日例会、重大事项报告制度、信息报送和工作联系机制，做到战时期间敏捷响应，重大安全事件及时处置决策。

建立监测分析、应急处置、溯源反制、调度联络等工作流程。监测分析组负责监测、研判发现的疑似安全攻击事件，第一时间启动响应场景应急处置预案，通知应急处置组进行应急处置，并将相关情况汇报工作联络组。应急处置组根据应急处置指令及时阻断攻击、跟踪现场处置过程，并将处置结果报告监测分析组，实现威胁处置闭环。溯源反制组负责对来自互联网的攻击告警开展溯源与反制，获取攻击方真实信息，实现对攻击方的反击，有助于修复漏洞与风险避免二次事件的发生。工作联络组负责迅速准确向监测分析组、处置组传达收集的情报、预警和联动信息，并及时汇报公司作战指挥中心，从而更好地凝聚各专业人员力量，落实各防区安全责任，调配公司保障资源。

建立三级联动、内外军企联动机制。建立国网公司总指挥部、湖南公司总指挥部、各二级单位防区指挥部组成三级作战指挥、联动联防的战时作战指挥体系，组建三级作战队伍，按照7×24小时轮班制执行网络安全监测值守、攻击反制、战时网络运维、应急处置、网络恢复等任务。深化军企合作模式，在极端情况下及时向军区申请技术人员支援、作战装备、使用0day漏洞库等，以扩大作战人员编制，满足网络攻击反制人员需求，并进一步增加溯源反制能力，强化对敌反攻。

（四）构建适应数字化转型的全过程风险管控体系，实现风险源头防控

国网湖南电力首次在电力行业实现了国际领先的敏捷安全研发（DevSecOps）模型的落地实践，以“源头治理、深度检测、全程管控”为思路，