谢辉：网络安全技术向智能化集成化发展 – 作者:zorelworld

以下文章来源于中国电力报，作者邓恢平

中国电力报：从技术角度来说，目前电力网络安全防护的重点和难点分别是什么？

谢辉：当前，电力网络安全可重点从以下方面着手：一是发现，及时发现安全事件/隐患/网络威胁。发现是防护的前提。运用大数据存储平台和智能分析算法，根据网络流量和日志信息，及早分析出安全事件，实现更精准、高效的威胁发现。二是处置，消除威胁的危害。通过回溯还原攻击路径、攻击手法，溯源到攻击入口，找出攻击源头，整个彻底切断攻击链条。三是可靠的服务，通过安全服务团队建设，平时保障系统日常运行，解决安全事件，重保期间以战斗形式保障网络安全。四是构建域间安全隔离机制。东西向威胁对内部危害程度高，可基于内部异常行为或流量分析，建立分区分域安全隔离机制，保障域内资产和业务间的安全访问。

电力网络安全防护的难点主要有：资产集中管理，需解决由于变更、异动等形成大量“幽灵资产”，资产集中管理难度大，资产台账不清晰等问题。东西向异常监测，电力系统由发电、变电、输电、配电和用电等环节组成，单位内部又存在生产区、测试区、核心区等，不同区域或级别单位存在的异常流量，由于均为内部资产和流量，难以识别出攻击行为。安全设备关联分析，需解决安全设备相互独立导致的孤岛化、告警信息碎片化，以及各自设备防御规则更新单一，导致大量误报等问题。

中国电力报：您认为目前国内电力网络安全防护还存在哪些待改进的地方？

谢辉：当前，电力网络安全顶层设计方面，实施了严格的网络物理隔离措施,即办公系统与生产系统严格分开，杜绝因办公终端问题影响生产系统事件。基础层面工作站上传输加密、角色授权管理与访问权限检查等运行在每台装置及工作站上,工作站上也不乏运用基础的安全监测和分析。但缺少主机间的从交互异常检测和防御的安全平台，导致系统无法对业务间异常数据与行为进行检测和管控，对各工作站间的非可信链路、异常代码等进行遏制。

中国电力报：近几年电力网络安全产品和技术呈现怎样的发展趋势？

谢辉：近几年，电力网络安全市场进入快速增长时期，产品和技术呈现出智能化、集成化和体系化等趋势。

智能化包括监测、检测算法的智能化，以及产品运用的智能化。既能智能检测、研判攻击行为及攻击状态，同时还能自动化溯源及还原、全自动化封禁等，显著提升网络安全运营的效率。

集成化包括几方面：一是安全设备的联动联防，安全防护设备运行数据、安全监控设备告警数据等多源数据的深度融合，安全态与运行态相结合的“多态”监控，二是单位间的安全信息共享，针对多源威胁情报，实现统一存储、检索、对比，并使用统一的生命周期来管理情报产生、使用、静默与消亡的完整过程，三是区域微隔离式防御，单独一体区域之间形成东西向流量，基于“不信任”模式进行资产访问。

体系化主要表现为监测分析、溯源分析、资产管控、响应部署、流程管理和报表功能（SOC）、反黑取证等子产品功能，最终形成智能一体化安全运维产品模式。

中国电力报：随着电力数字化转型趋势加快，对保障电力网络安全您有哪些技术上的建议？

谢辉：为保障业务安全、数据安全与用户安全等，电力企业需要综合采用用户异常行为分析、网络流量监测、大数据等新技术，构建基于可视、可知、可管、可控、可溯源、可预警的网络安全体系，提升网络安全监测预警、分析研判、态势感知、攻击溯源以及响应处置等能力，以有效应对来自外部专业组织和势力的高强度网络攻击。

一方面，随着电力企业数字化水平提高，业务迅速扩张，资产（包括主机、服务器、数据库、中间件等）数量急剧上升、种类繁多、变更频繁，需要针对资产合理管控、网络架构关联、可视化展示、分账号权限查看、探测“幽灵资产”，形成清晰的资产台账。能够对全网资产进行动态监控，对业务系统安全进行画像，摸清自身资产家底及可能存在的风险漏洞。

另一方面，针对监测设备、安全设备预警，需要提高预警的准确性、溯源性和处置性。共享威胁情报分析，更准确地研判攻击事件，并能够针对攻击源进行更详尽地溯源分析。安全设备联动防火墙、WAF、网关等设备能够及时响应处置安全告警事件，降低网络安全威胁，保障网络安全。
来源：freebuf.com 2021-02-25 18:34:17 by: zorelworld