一、行业背景

电力与社会生产生活息息相关,是关系国计民生的重点基础行业。最近几年,针对电力行业关键信息和基础设施的攻击不断增多,而且随着“大云物移智”等新技术与业务的深度融合,电力行业关键信息和基础设施面临的安全威胁也在急剧增加。各式新的安全威胁将会直接影响电力系统的安全、稳定运行和电力的可靠供应,影响社会经济的稳定运行。

二、安全需求

电力行业产业链主要包括2大类,第一类发电公司,主营业务是发电,包括火电、水电、风电、太阳能、核电等各类发电厂;第二类是输变配售电,主要组成是三大电网,包括国家电网、南方电网、内蒙古电网等。

第一类发电公司信息安全主要涉及工业互联网安全,数据是工业互联网的核心,包括研发设计、生产、管理运维等数据。同时,电力控制系统是非常复杂的一种工业控制系统,一旦遭受攻击将可能造成电力安全生产事故,甚至引发大面积停电。近年来,针对工业互联网系统,以窃取数据和破坏为主要目的攻击愈演愈烈。

第二类电网公司信息安全目前主要涉及物联网安全和内部信息系统安全。国家电网目前正在建设运营“泛在电力物联网”,推动电网与互联网深度融合,通过物联网终端采集发电、输电、变电、配电、用电等的各个环节的信息,采集配电开关,输变电线路,用户电表等等的各种状态数据信息,实现数据的监控与分析,提高电力系统基础设施的利用率,对电网的管理提供技术支撑。

随着“泛在电力物联网”的建设,给相对封闭的内部网络带来了更多的安全威胁。大量的物联网终端接入,使遭受网络攻击的风险增高。同时,统一的数据云平台,物联网管理中心因为数据量大、种类多、交互复杂导致数据泄露、非法访问等各种安全风险大大增加。

针对电网公司内部信息系统安全主要涉及各种新型安全威胁和数据安全。传统的安全设备主要是针对已知威胁进行防护,而当面对内部威胁和新型未知威胁往往束手无策,比如APT攻击、零日漏洞利用攻击、供应链和社会工程攻击等新型安全威胁很难通过传统安全设备进行发现。另外,内部威胁也是当前面临的主要风险之一,难以判断是正常的、恶意的或疏忽的内部行为。

电网公司面临的另一个主要安全威胁是数据泄露的风险,一个是生产系统,物联网等大数据平台的各种生产应用数据,与政府等第三方合作伙伴存在大量共享需求,数据安全管控难度持续加大。另一个是个人信息数据,各种App(电e宝,掌上电力等)收集大量个人信息数据,一旦泄露,可能会危害人身和财产安全。

《网络安全法》《电力监管条例》及相应法律法规对提升数据安全都有相应要求。国家能源局发布的《关于加强电力行业网络安全工作的指导意见》是对电力行业网络安全的具体指导意见,明确电力企业是网络安全责任主体,要完善网络安全监督管理体制机制,加强电力企业数据安全保护,提高网络安全态势感知等等。

三、全息解决方案

针对电力行业面临的安全威胁和挑战,全息提出以数据为核心,在数据的全生命周期(数据采集、传输、存储到处理、交换、销毁)各环节进行监控和审计。对全网传输数据进行发现识别,根据预定义和自定义规则实现数据的分级分类,对数据的传输流转进行全程实时监控、记录,实现对全网流动数据的追踪和溯源。可以帮用户实现对工业互联网、物联网平台、大数据平台的各种流动数据的追溯和溯源。

同时全息大数据分析平台会自动关联数据、用户、设备、应用等多维度信息,为每一个文件数据进行画像,标识数据各种属性信息,实现全网数据的可视化,可以非常直观的看到在什么时间、谁使用了什么设备、通过什么应用、访问了什么数据。

通过对数据的可视化和大数据分析,全息风险感知平台可以帮助用户及时发现数据安全问题。发现包括像数据泄露行为,数据滥用行为,数据的违规访问,数据未按要求脱敏等等问题。通过提前发现数据安全问题,帮助用户健全数据的保护机制。

全息风险感知平台会对用户设备行为进行分析,系统实时采集网络流量,为每个用户设备进行全息画像,关联用户、设备、应用、数据等多个维度信息,通过各种机器学习算法挖掘网络访问行为数据,分析用户、设备特征和属性,建立访问行为模型基线,通过模型和画像对比检测异常。帮助用户全面了解网络中发生的行为,针对异常的行为给用户提供告警。

通过行为分析,可以实现对物联网终端设备的访问行为进行检测,提高电力物联网系统的安全性。通过行为分析,可以帮助用户发现内部终端的异常,可以发现一些内部威胁(账号滥用、账号失陷、高风险应用等)和未知风险行为(未知设备接入,服务器外联,异常行为等)。通过行为分析的手段可以发现是内部正常行为或异常行为。

全息风险感知平台通过实时的流量采集,处理,获得最真实有效的数据,通过对数据长时间的存储,分析,关联,画像,形成以数据为核心的安全情报系统,不仅是作为一个数据审计、追溯,取证的平台,还是一个为用户提供基于大数据的态势感知平台,结合用户、设备、应用和数据信息,感知全网的数据和资产状态,感知网络中的不合规事件,感知异常行为,感知新型的网络安全攻击。

四、方案价值

数据的审计和追溯:可以对工业互联网、物联网、大数据平台的数据进行发现,分级分类,审计追溯,实现电力行业数据全生命周期的监控和审计。

发现数据安全问题:通过对用户、设备、文件、数据多维度的关联和画像,实时展现数据的详细网络活动,可以发现数据安全问题。包括数据泄露,数据滥用,数据违规访问等。

帮助用户发现全局数据资产,洞察数据安全问题,帮助用户健全数据保护机制。在发生安全事件或数据泄露时,可回溯过去一段时间内资产的访问者、文件传输的路径、设备的详细网络活动等等信息,从而提供事故责任追查的完整证据链。

异常行为和新型安全威胁发现:通过发现未知接入的设备、用户,通过机器学习异常算法分析用户、设备的异常行为操作,数据的异常传输等发现内部威胁事件,未知行为事件等各种新型安全威胁,并向用户提供安全事件预警。