谢辉:网络安全技术向智能化集成化发展 – 作者:zorelworld

以下文章来源于中国电力报,作者邓恢平

中国电力报:从技术角度来说,目前电力网络安全防护的重点和难点分别是什么?

谢辉:当前,电力网络安全可重点从以下方面着手:一是发现,及时发现安全事件/隐患/网络威胁。发现是防护的前提。运用大数据存储平台和智能分析算法,根据网络流量和日志信息,及早分析出安全事件,实现更精准、高效的威胁发现。二是处置,消除威胁的危害。通过回溯还原攻击路径、攻击手法,溯源到攻击入口,找出攻击源头,整个彻底切断攻击链条。三是可靠的服务,通过安全服务团队建设,平时保障系统日常运行,解决安全事件,重保期间以战斗形式保障网络安全。四是构建域间安全隔离机制。东西向威胁对内部危害程度高,可基于内部异常行为或流量分析,建立分区分域安全隔离机制,保障域内资产和业务间的安全访问。

电力网络安全防护的难点主要有:资产集中管理,需解决由于变更、异动等形成大量“幽灵资产”,资产集中管理难度大,资产台账不清晰等问题。东西向异常监测,电力系统由发电、变电、输电、配电和用电等环节组成,单位内部又存在生产区、测试区、核心区等,不同区域或级别单位存在的异常流量,由于均为内部资产和流量,难以识别出攻击行为。安全设备关联分析,需解决安全设备相互独立导致的孤岛化、告警信息碎片化,以及各自设备防御规则更新单一,导致大量误报等问题。

中国电力报:您认为目前国内电力网络安全防护还存在哪些待改进的地方?

谢辉:当前,电力网络安全顶层设计方面,实施了严格的网络物理隔离措施,即办公系统与生产系统严格分开,杜绝因办公终端问题影响生产系统事件。基础层面工作站上传输加密、角色授权管理与访问权限检查等运行在每台装置及工作站上,工作站上也不乏运用基础的安全监测和分析。但缺少主机间的从交互异常检测和防御的安全平台,导致系统无法对业务间异常数据与行为进行检测和管控,对各工作站间的非可信链路、异常代码等进行遏制。

中国电力报:近几年电力网络安全产品和技术呈现怎样的发展趋势?

谢辉:近几年,电力网络安全市场进入快速增长时期,产品和技术呈现出智能化、集成化和体系化等趋势。

智能化包括监测、检测算法的智能化,以及产品运用的智能化。既能智能检测、研判攻击行为及攻击状态,同时还能自动化溯源及还原、全自动化封禁等,显著提升网络安全运营的效率。

集成化包括几方面:一是安全设备的联动联防,安全防护设备运行数据、安全监控设备告警数据等多源数据的深度融合,安全态与运行态相结合的“多态”监控,二是单位间的安全信息共享,针对多源威胁情报,实现统一存储、检索、对比,并使用统一的生命周期来管理情报产生、使用、静默与消亡的完整过程,三是区域微隔离式防御,单独一体区域之间形成东西向流量,基于“不信任”模式进行资产访问。

体系化主要表现为监测分析、溯源分析、资产管控、响应部署、流程管理和报表功能(SOC)、反黑取证等子产品功能,最终形成智能一体化安全运维产品模式。

中国电力报:随着电力数字化转型趋势加快,对保障电力网络安全您有哪些技术上的建议?

谢辉:为保障业务安全、数据安全与用户安全等,电力企业需要综合采用用户异常行为分析、网络流量监测、大数据等新技术,构建基于可视、可知、可管、可控、可溯源、可预警的网络安全体系,提升网络安全监测预警、分析研判、态势感知、攻击溯源以及响应处置等能力,以有效应对来自外部专业组织和势力的高强度网络攻击。

一方面,随着电力企业数字化水平提高,业务迅速扩张,资产(包括主机、服务器、数据库、中间件等)数量急剧上升、种类繁多、变更频繁,需要针对资产合理管控、网络架构关联、可视化展示、分账号权限查看、探测“幽灵资产”,形成清晰的资产台账。能够对全网资产进行动态监控,对业务系统安全进行画像,摸清自身资产家底及可能存在的风险漏洞。

另一方面,针对监测设备、安全设备预警,需要提高预警的准确性、溯源性和处置性。共享威胁情报分析,更准确地研判攻击事件,并能够针对攻击源进行更详尽地溯源分析。安全设备联动防火墙、WAF、网关等设备能够及时响应处置安全告警事件,降低网络安全威胁,保障网络安全。图片[1]-谢辉:网络安全技术向智能化集成化发展 – 作者:zorelworld-安全小百科
来源:freebuf.com 2021-02-25 18:34:17 by: zorelworld

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论