作為最基本的能源之一，電是現(xiàn)代社會穩(wěn)定運行的基礎(chǔ)。云南電網(wǎng)有限責(zé)任公司(簡稱“云南電網(wǎng)”，下同)不僅承擔(dān)著為省內(nèi)超4600多萬常住居民的供電任務(wù)，還肩負(fù)著極其重要的“西電東送”任務(wù)。云南電網(wǎng)積極探索云計算、大數(shù)據(jù)等新技術(shù)在電力行業(yè)的應(yīng)用，在數(shù)字化轉(zhuǎn)型過程中，云南電網(wǎng)不斷遭遇網(wǎng)絡(luò)攻擊的襲擾，并意識到在現(xiàn)有網(wǎng)絡(luò)安全體系下，應(yīng)對新型網(wǎng)絡(luò)威脅的準(zhǔn)確性、及時性、有效性還有進一步提升的空間。

結(jié)合云南電網(wǎng)安全建設(shè)現(xiàn)狀，云南電網(wǎng)信息中心提出了四點新的安全建設(shè)需求：

1、針對安全設(shè)備多、告警多現(xiàn)象，需降噪聚焦真實威脅，并進一步提升檢測能力;

2、分公司多，地域分布廣，要統(tǒng)一運營，需精準(zhǔn)發(fā)現(xiàn)威脅并及時處置;

3、面對新型未知威脅，需更加高效的工具和手段，以保證隔離內(nèi)網(wǎng)安全無虞;

4、重視重保，需更廣泛也更詳細(xì)的攻擊團伙情報數(shù)據(jù)，以深入溯源分析。

針對云南電網(wǎng)的網(wǎng)絡(luò)安全需求，微步在線提出以威脅情報切入的思路獲得云南電網(wǎng)信息中心認(rèn)可，確定了以本地威脅情報管理平臺TIP+威脅感知平臺TDP+OneRisk的組合方案，這一方案不僅幫助云南電網(wǎng)增強了應(yīng)對新型威脅所需的檢測與響應(yīng)能力，還助力云南電網(wǎng)通過了國家級攻防演練活動的考驗，并在冬奧、兩會等國家重大活動期間，順利保障了云南居民用電和西電東送兩大任務(wù)。

云南電網(wǎng)信息中心網(wǎng)絡(luò)安全架構(gòu)示意圖

情報賦能 讓安全團隊“抓住”真實威脅

很早之前，云南電網(wǎng)信息中心就構(gòu)建了安全大數(shù)據(jù)平臺，用以接收包括來自防火墻、網(wǎng)關(guān)、IPS等網(wǎng)絡(luò)安全設(shè)備、系統(tǒng)發(fā)出的各類日志與告警信息，但每天收到的告警信息中有大量無效告警，只能靠安全管理員人工排除，費時費力。

從2019年開始，云南電網(wǎng)信息中心將TIP接入安全大數(shù)據(jù)平臺，利用TIP內(nèi)置威脅情報和多源情報管理等功能進行告警降噪，讓安全管理員可以將精力聚焦在真實威脅之上，極大地提升了日常安全運營的效率。在2022年，南網(wǎng)總部也使用TIP平臺作為情報生產(chǎn)下發(fā)統(tǒng)一平臺，云南電網(wǎng)迅速無縫接入，利用TIP本地情報生產(chǎn)能力共享行業(yè)情報，實現(xiàn)聯(lián)防聯(lián)控，成為電力行業(yè)網(wǎng)絡(luò)安全技術(shù)標(biāo)桿。

在國家級攻防演練中，云南電網(wǎng)綜合利用TIP、 TDP、OneRisk以及微步安服等服務(wù)提供的不同安全能力，順利通過了攻防演練的考驗。并且，在冬奧、兩會等國家重大活動期間，還通過TDP發(fā)現(xiàn)了境外黑客攻擊事件，基于威脅情報進行拓線分析，完整還原了黑客團伙的攻擊過程，并進行身份關(guān)聯(lián)分析，迅速鎖定了目標(biāo)，然后形成事件溯源分析報告，為行業(yè)內(nèi)聯(lián)防聯(lián)控做出了表率。

加強辦公網(wǎng)防護 提升整體安全水平

辦公網(wǎng)正成為企業(yè)網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)。

一方面由于辦公終端使用者的安全意識參差不齊，容易被黑客利用，比如最典型的就是釣魚，尤其是結(jié)合了社工的釣魚，歷來是安全管理員比較頭疼的難題;另一方面，如云南電網(wǎng)分公司眾多，且地域分散，分公司防范新型威脅的需求與集團總部同樣強烈，但預(yù)算、人員水平缺很難與總部持平。且分公司辦公網(wǎng)一旦被黑客突破，其后續(xù)影響可能并不亞于數(shù)據(jù)中心被突破。

云南電網(wǎng)信息中心在辦公網(wǎng)的網(wǎng)絡(luò)出口部署TDP，并與TIP聯(lián)動。基于高質(zhì)量的威脅情報，TDP針對網(wǎng)絡(luò)流量進行雙向檢測，利用情報、流量、規(guī)則、機器學(xué)習(xí)等檢測引擎對流量、日志進行監(jiān)測，并從多個維度綜合分析，由此精準(zhǔn)識別威脅。

在部署TDP后，有效檢出了云南電網(wǎng)辦公網(wǎng)內(nèi)的挖礦、釣魚、惡意軟件等違規(guī)外聯(lián)，并自動鎖定內(nèi)網(wǎng)失陷主機，極大地方便了安全管理員處置動作。通過TIP與TDP的聯(lián)動，不僅極大地提升了云南電網(wǎng)辦公網(wǎng)的安全防護能力，還有效降低了日常安全運營人員的壓力。

資產(chǎn)清點 讓攻擊面收斂到最小

網(wǎng)絡(luò)攻防本質(zhì)上是人與人的較量。防守方要做到“無懈可擊”，必然要將可供黑客利用的攻擊面收斂到最小，并覆蓋所有攻擊敞口。而這進行這一切的基礎(chǔ)是資產(chǎn)清點，讓所有資產(chǎn)都了然于胸。

云南電網(wǎng)信息中心利用TDP的資產(chǎn)清點功能，通過流量監(jiān)聽實現(xiàn)對企業(yè)業(yè)務(wù)資產(chǎn)的識別，自動化構(gòu)建資產(chǎn)臺賬，幫助安全團隊摸清家底。并且這種非侵入式被動監(jiān)聽方式不會對企業(yè)主機和網(wǎng)絡(luò)帶來壓力和負(fù)擔(dān)，對業(yè)務(wù)零影響。除資產(chǎn)清點，TDP還能發(fā)現(xiàn)內(nèi)網(wǎng)中弱密碼、開放端口、應(yīng)用漏洞等風(fēng)險，及時提醒安全管理員進行整改。

云南電網(wǎng)信息中心的相關(guān)負(fù)責(zé)人表示：“微步提供的解決方案和服務(wù)，能夠快速檢測、發(fā)現(xiàn)針對性攻擊，高質(zhì)量的本地情報生產(chǎn)更好地支撐了聯(lián)防聯(lián)控戰(zhàn)略，讓我們能夠集中精力快速響應(yīng)重大安全事件;同時，微步解決方案所具備的實戰(zhàn)能力，能夠快速定位攻擊、還原攻擊路徑、迅速鎖定攻擊者。尤其是在攻防演練期間，微步在線不僅幫助我們提升了安全防護能力，還極大地降低了安全人員壓力，讓我們能夠以更佳的狀態(tài)去迎接攻擊隊的挑戰(zhàn)，從而在演練中提升自身實戰(zhàn)水平和安全運營能力。”