史玉鋒，李 明，趙 燕，宋 杰

（國網(wǎng)山東省電力公司乳山市供電公司，乳山 264500）

1 研究背景

國家電網(wǎng)公司作為全球最大的公用事業(yè)企業(yè)單位，企業(yè)系統(tǒng)中維護(hù)了海量的重要數(shù)據(jù)和信息，必然會成為攻擊者的優(yōu)先攻擊目標(biāo)，這間接地督促著國家電網(wǎng)公司網(wǎng)絡(luò)和信息安全體系建設(shè)，提升公司信息安全體系成為一項不容忽視的要求。2015 年底和2016 年底，烏克蘭電網(wǎng)都因遭受到黑客攻擊而造成大面積停電，網(wǎng)絡(luò)安全威脅已經(jīng)不是僅僅存在于互聯(lián)網(wǎng)中，工業(yè)控制系統(tǒng)也已經(jīng)成為黑客的目標(biāo)。2017 年5 月12 日，勒索病毒感染在全球范圍內(nèi)爆發(fā)，波及醫(yī)院、教育、能源、通信、制造業(yè)以及政府部門在內(nèi)的多個領(lǐng)域，我國部分行業(yè)和政府部門的計算機(jī)也遭受影響?！吨腥A人民共和國網(wǎng)絡(luò)安全法》在 2017 年6 月1 日正式施行。其作為我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理的基礎(chǔ)性法律，它的施行，標(biāo)志著我國網(wǎng)絡(luò)安全從此有法可依，網(wǎng)絡(luò)空間治理、網(wǎng)絡(luò)信息傳播秩序規(guī)范、網(wǎng)絡(luò)犯罪懲治等即將翻開嶄新的一頁，對保障我國網(wǎng)絡(luò)安全、維護(hù)國家總體安全具有深遠(yuǎn)而重大的意義。

2 網(wǎng)絡(luò)信息安全解決方案

近年來信息系統(tǒng)所面臨的安全形勢越來越嚴(yán)峻，病毒、木馬等惡意程序都會對信息系統(tǒng)安全造成威脅。一旦網(wǎng)站被惡意篡改和關(guān)鍵業(yè)務(wù)系統(tǒng)癱瘓，有可能造成極為嚴(yán)重的政治影響，因此企業(yè)有必要重視信息安全建設(shè)，采取有效措施保障信息系統(tǒng)的安全運(yùn)行。

習(xí)近平總書記在網(wǎng)絡(luò)安全與信息化工作座談會上提出：保障體系，全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢，增強(qiáng)網(wǎng)絡(luò)安全防御能力和威懾能力。在當(dāng)前信息安全已經(jīng)上升到國家安全層面的形勢下，來自國外具有國家背景的攻擊者已經(jīng)針對多家央企，通過免殺、魚叉、水坑攻擊等新技術(shù)手段進(jìn)行高級可持續(xù)性攻擊。大量未知威脅攻擊手段可以繞過以特征檢測為核心檢測手段的傳統(tǒng)安全防護(hù)設(shè)備，企業(yè)難以有效發(fā)現(xiàn)未知威脅，也就無法抵御未知威脅。高級持續(xù)性威脅（APT）是一種可以繞過各種傳統(tǒng)安全檢測防護(hù)措施，通過精心偽裝、定點(diǎn)攻擊、長期潛伏、持續(xù)滲透等方式，伺機(jī)竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報的攻擊方式。事實證明，傳統(tǒng)安全設(shè)備已經(jīng)無法抵御復(fù)雜、隱蔽的APT 攻擊。國內(nèi)外安全公司提供安全解決方案。

2.1 IBM——構(gòu)建安全生態(tài)系統(tǒng)

IBM 的網(wǎng)絡(luò)信息安全解決方案旨在建立一個整合且智能的免疫系統(tǒng)。這個安全生態(tài)系統(tǒng)包含終端、網(wǎng)絡(luò)、威脅情報、高級欺詐、身份與訪問、云、數(shù)據(jù)和應(yīng)用、移動以及安全分析九個部分，以安全分析為核心，協(xié)同配合。

終端安全：能夠監(jiān)控和保護(hù)每個終端的實時狀態(tài)，一旦識別出威脅立即開啟阻止惡意軟件的高級保護(hù)功能，提升安全態(tài)勢感知能力。

威脅情報：研究團(tuán)隊的安全專家可監(jiān)視并分析各種來源的安全問題，提供威脅情報內(nèi)容，幫助客戶、研究人員和公眾更深入地了解最新的安全風(fēng)險，提前預(yù)知新興威脅。

身份與訪問管理：通過基于上下文的訪問控制、安全策略實施和業(yè)務(wù)驅(qū)動的身份管理，保護(hù)有價值的數(shù)據(jù)和應(yīng)用程序，更快速、高效地處理復(fù)雜的用戶訪問管理、內(nèi)部威脅以及合規(guī)性需求。

安全分析：分析日志、流程、漏洞、用戶和資產(chǎn)數(shù)據(jù)；通過近乎實時的關(guān)聯(lián)和行為異常檢測，發(fā)現(xiàn)高風(fēng)險威脅；檢測漏洞，管理風(fēng)險和高優(yōu)先級時間；執(zhí)行深入地時間取證分析。

2.2 奇虎 360——對抗演習(xí)及安全防護(hù)

360 對抗式演習(xí)解決方案以檢驗并提升防御體系有效性為核心目的，通過紅藍(lán)紫三軍的真實對抗演習(xí)，從安全技術(shù)、安全管理和安全運(yùn)營等多個維度著手，幫助企業(yè)不斷完善安全體系建設(shè)，提升對抗新興威脅的能力。其中：紅軍為企業(yè)內(nèi)部安全人員，負(fù)責(zé)內(nèi)部防護(hù)。藍(lán)軍為企業(yè)外部安全人員，負(fù)責(zé)外部攻擊。

紫軍為企業(yè)外部教練（360人員），負(fù)責(zé)演習(xí)導(dǎo)調(diào)、監(jiān)控進(jìn)程、全程指導(dǎo)、應(yīng)急處置、活動總結(jié)等技術(shù)咨詢工作。

通過對抗演習(xí)達(dá)到以下四個目標(biāo)：增強(qiáng)客戶安全人員威脅發(fā)現(xiàn)響應(yīng)能力；發(fā)現(xiàn)客戶環(huán)境漏洞和不合理攻擊面，給出建議。

360 安全中心得網(wǎng)絡(luò)信息安全防護(hù)體系建設(shè)分為了監(jiān)控、堡壘主機(jī)、異地容災(zāi)、日志分析、補(bǔ)洞五個方面。

監(jiān)控：采用設(shè)備對網(wǎng)絡(luò)出口流量進(jìn)行全流量分析和實時監(jiān)控，提供沙箱檢測和大數(shù)據(jù)分析功能。

堡壘主機(jī)：通過網(wǎng)絡(luò)訪問控制統(tǒng)一管理平臺對網(wǎng)絡(luò)訪問進(jìn)行有效管理，控制訪問權(quán)限最小化。

日志分析：將服務(wù)器 Shell 日志上傳到日志存儲與分析服務(wù)器，對服務(wù)器日志文件進(jìn)行遠(yuǎn)程存儲，并且通過大數(shù)據(jù)平臺對日志進(jìn)行分析。

補(bǔ)洞：通過代碼檢查服務(wù)器和漏洞掃描服務(wù)器對即將上線和已經(jīng)上線的系統(tǒng)進(jìn)行漏洞掃描，完善對平臺層和應(yīng)用層漏洞的集中管控。

通過對 IBM 和奇虎360 網(wǎng)絡(luò)信息安全解決方案的學(xué)習(xí)，可以看到整個網(wǎng)絡(luò)信息安全防護(hù)體系主要包含安全團(tuán)隊和安全設(shè)備兩大方面。安全團(tuán)隊是整個安全防護(hù)體系的核心中樞，安全設(shè)備作為作為輔助工具對整個網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控與分析。

3 國網(wǎng)公司安全體系建設(shè)

國家電網(wǎng)公司作為能源行業(yè)的大型國企，領(lǐng)導(dǎo)層對公司的信息安全問題高度重視，采取了諸多措施構(gòu)建企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系。

（1）信息內(nèi)網(wǎng)和信息外網(wǎng)采用邏輯強(qiáng)隔離，同互聯(lián)網(wǎng)采取物理隔離的方式，制度上嚴(yán)格控制內(nèi)外網(wǎng)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換。

（2）終端管理。接入內(nèi)外網(wǎng)的設(shè)備強(qiáng)制要求安裝北信源安全客戶端，不定時對終端進(jìn)行保密性檢查。

（3）網(wǎng)絡(luò)出口流量監(jiān)控。對互聯(lián)網(wǎng)出口流量進(jìn)行嚴(yán)格管控，應(yīng)用層監(jiān)測網(wǎng)絡(luò)流量，及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為進(jìn)行處置。

（4）審計與日志管理。通過堡壘機(jī)、圖形審計等審計類設(shè)備對運(yùn)維操作進(jìn)行日志記錄和保存，有助于威脅溯源。

（5）S6000 平臺對安全設(shè)備的日志進(jìn)行統(tǒng)一分析管理，利用大數(shù)據(jù)數(shù)據(jù)挖掘技術(shù)，分析系統(tǒng)漏洞及潛在的安全威脅。

（6）紅藍(lán)對抗。紅藍(lán)對抗演習(xí)是一種采用攻防的思想來解決企業(yè)威脅隱患的模式。通過接近實景的攻防演練，可以磨練安全運(yùn)維人員挖掘漏洞和應(yīng)對安全威脅的能力。通過對抗演習(xí)選拔安全專業(yè)人才。

4 結(jié)束語

國家電網(wǎng)公司高度重視重視網(wǎng)絡(luò)信息安全建設(shè)，正在逐步完善信息安全防護(hù)體系，網(wǎng)絡(luò)中部署了大量的安全產(chǎn)品和設(shè)備，為信息系統(tǒng)的安全運(yùn)行提供了有力的保障。

但也存在著一些問題：設(shè)備和產(chǎn)品來自多個廠商，無法進(jìn)行有效的協(xié)同防護(hù)，無法從總體上進(jìn)行安全態(tài)勢可視化展現(xiàn)，安全運(yùn)維人員無法整體了解和掌握集團(tuán)安全態(tài)勢；公司安全團(tuán)隊建設(shè)；網(wǎng)絡(luò)安全分析室建設(shè)，實現(xiàn)對全網(wǎng)漏洞進(jìn)行統(tǒng)一管理。