2024年新型电力系统安全建设指南报告-青藤云安全

0101电力行业数字化发展重点场景 1 1 202030405电力行业典型攻击事件及安全风险 5 5 8 10 近年来，随着“碳达峰·碳中和”目标的提出，以低碳可持续发展为导向的新一轮能源变革开启。2024年2月29日，中共中央政治局第十二次集体学习时，习近平总书记强调大力推动我国新能源高质量发展，为共建清洁美丽世界作出更大贡献。这是继2021年习近平总书记提出“构建以新能源为主体数字化智能化是实现能源变革的重要推动力，是新型电力系统建设的重要支撑。依托各类数字化平台，新型电力系统实现源网荷储各环节协同运行、智能交互，确保能源流、业务流、数据流多流融合，与此同时也给新型电力系统带来更多网络安全风险。智能化也让源于终端设备、网络设备、数字为了应对日益突出的网络安全问题，提升新型电力系统的安全防护能力，本文深入分析了电力系统面临的安全风险，探讨了新型电力系统网络安全防护重点方案，希望可以为相关电力企业安全建设电力是经济社会发展的基础支撑。近年来，数字技术与传统电力技术深度交叉融合，正在孕育影响深远的新技术、新模式和新业态。新形势下，数字化智能化发展将是推动我国电力产业链现代化的重要引擎，也是新型电力系统建设统筹安中国工程院院士刘吉臻表示，新型电力系统背景下，数字化智能化技术将逐步覆盖源、网、荷、储等全环节。其中，电源侧以数字化智能化技术加速发电清洁低碳转型；电网侧依托“云大物移智链边”等数字技术的创新升级，建设智慧化从数字化转型主体来看，发电侧以五大六小发电集团、地方发电企业为主体。五大发电集团包括国家能源投资集团、中国华能集团、中国大唐集团、中国华电集团、国家电力投资集团。六小发电集团包括国投电力、中广核、三峡集团、华从数字化转型阶段来看，早期电力数字化转型聚焦生产与管理环节。随着产业发展，电力企业逐步深化数字技术与各环节的融合。直至“十三五”末，多数电力企业已积累海量电力数据，初步形成全面的转型体系。“十四五”期间，以建 转型阶段及特征结合计算机技术响应“两化融合”号重视转型的顶层2015年新一轮电改后，电力重视新兴技术的应用深化，实现信息化、自动化转型；2002年电改后厂网分离推动下，向网络化、综合性应召，电力企业积极推进“智能电网”建设，核心聚焦在生产 转型阶段及特征结合计算机技术响应“两化融合”号重视转型的顶层2015年新一轮电改后，电力重视新兴技术的应用深化，实现信息化、自动化转型；2002年电改后厂网分离推动下，向网络化、综合性应召，电力企业积极推进“智能电网”建设，核心聚焦在生产强调数字融合、数据驱动业行业开始探索多能互补技术方案，将“互联网+”与智慧设计，认识到数据的价值，加速全环节、全流程数字化转型------*-""数据沉淀数智赋能调度六个环节及通信信息平台的发展目标及重点项方网南电 电力企业转型实践信息系统向基于南网云的新一代数字化基础平台与从数字化转型程度来看，集团企业基本上已经构建了完备的数字底座，向生产、运营、服务等场景化应用拓展，旨在由单一的电力供给向综合能源供给转化。虽然地方型电力企业转型步伐不一，但也在逐步加大数字化平台建设的投入，有新型电力系统以满足经济社会高质量发展的电力需求为首要目标，以高比例新能源供给体系建设为主线任务，以源网荷储多向协同、灵活互动为坚强支撑，以技术创新和体制机制创新为基础保障的新时代电力系统，是实现“双碳”目标的新型电力系统建设需要以云为基础，融合先进的数字技术，链接广泛的资源，沉淀丰富的数据资产，并将“数据+算力+算法”能力融入到电力系统的生产管理、经营决策等各个环节中，助力培育电力新业务、新模式，提高电力系统的稳新型电力系统让传统电力系统搭上快车，将为电力生产、运行、管理带来变革性影响，推动电力系统向更加智能、灵随着新型电力系统建设，技术赋能源网荷储一体化数字平台。数字化技术与“电、气、热、信”等多网进行横向紧密电子技术等驱动电力智能化电子技术等驱动电力智能化智能控制和自动化技术广泛应用，高电网自动化水平覆盖率为行业数字化升级打下信息通信技术与电网各环节深度融合，互联网模式丰富了能源网络架构，赋予其开物联网、云计算等新兴技术承担不同角色，赋能能源电信息流信息流信息流信息流网源实时感知实时感知智能控制智能控制依托“云大物移智”等技术赋能的源网荷储一体化数字平台，推动建设适应新能源发展的新型智慧化调度运行体系，在“双碳”目标下，国务院、各地方政府和发电集团关于建设智慧电厂的文件不断出台，明确指出：提升电源侧智能化水平，加强传统能源和新能源发电的厂站级智能化建设。目前，传统能源发电厂经过数年实践，智能化改造较为完备，现阶段更关注新一代数字技术与生产、服务环节的深度结合。针对新能源，建设重点在于从新能源场站到区域集成系统， 运行控制经营管理设备管理物资及燃料管理燃料管理智能仓储能源管理系统三维可视化知识图谱运行控制经营管理设备管理物资及燃料管理燃料管理智能仓储能源管理系统三维可视化知识图谱故障优化智能巡检设备管理系统厂房监控系统设备状态检修系统设备预警系统全域感知高效协同实时泛在多源融合自动报表实施利润预测生产经营分析竞价上网系统ERP企业管控系统文档管理统一数字平台统一数字平台数据收集数据收集数据治理数据治理数据分析数据分析数据应用数据应用生产实时数据生产实时数据基础管理数据基础管理数据多媒体数据多媒体数据智能控制终端设备工业摄像头巡检机器人智能控制终端设备工业摄像头巡检机器人DCSSCADADEHNCS其他辅控汽轮机给水泵发电机余热锅炉云基础设施智能联接超融合一体机超融合一体机存储资源存储资源计算资源计算资源网络资源网络资源云平台云平台数据中心数据中心交换机交换机防火墙防火墙路由器路由器安全网管安全网管智慧电厂是发电企业当下的建设重点，旨在基于数字技术实现生产运营的智慧化。智慧化能源生产运营也会进一步推数字技术的应用赋能新型电力系统实现全面感知与高度智能化运行，强化源、网、荷、储各环节间的灵活协调、互联随着新型电力系统蓬勃发展，网络安全形势也正发生着变化。根据2023年公开的高级可持续威胁研究报告显示，能源通信1%其他14%航空2%制造2%教育4%医疗4%金融9%能源11%政府29%国防军工13%科研11%近年来，全球能源电力行业网络攻击事件频发，主要包括勒索软件攻击、数据泄露、漏洞攻击、ATP攻击等事件，下BlackCat/ALPHV、Medusa（美杜莎）和LockBit3.0等十几个知名勒索软件组织纷纷加强了对2024年1月，法国能源管理和自动化巨头施耐德电气遭受了仙人掌（Cactus）勒索软件攻击，大 2019年7月，南非约翰内斯堡电力公司CityPowe 电力行业的网络安全威胁日益突出，其主要安全风险趋势表现在勒索攻击增多有转移云上的趋势、数据安全隐患急剧近年来，全球范围内针对电力关键基础设施的勒索攻击呈爆发式增长。根据事件分析发现，勒索攻击呈现出复杂化、目标精准、技术升级等特点。勒索攻击者针对电力系统的“大型狩猎”中部署的新攻击策略包括间歇性加密、使用更现代的专业编程语言，以及涉及多个变体的双重勒索软件攻击。这些新兴技术策略使安全防御变得更加困难。同时，随着数字新型电力系统的电网结构更加复杂、交互更加频繁。多方位的数据聚合导致的数据泄露、篡改风险加剧。此外，新型电力系统将与热气管网、天然气管网、交通网络等能源链进行复杂互联互通。攻击者可能利用集中管控平台漏洞窃取用户总的来看，新型电力系统引入多元主体，数据交互呈现数据量大、次数频繁、数据类型多等新特点，数据共享与隐私云平台成为电力系统创新的重要载体，支撑电力新兴业务孵化培育。随着云计算技术的快速发展和广泛应用，云环境在基础设施、数据、身份及访问管理、安全管理、隐私、审计与合规等维度面临的安全威胁日益增加。这些安全威胁不仅包括传统的网络攻击，如DDoS攻击，还包括针对云平台基础设施的安全漏洞，例如虚拟机管理程序、操作系统等存在的随着网络空间安全威胁加剧，电网成为国家之间网络对抗及黑客定向攻击的目标。针对电力系统的定向攻击模式也逐渐成熟，攻击方式更加隐蔽、攻击范围更加广泛、攻击手段更加丰富。例如，利用电力系统的漏洞植入恶意软件、远程访问配电站控制系统、发送网络攻击干扰系统引起停电等方式对电力系统进行网络攻击。目前还出现了定向直击电网工控网络的攻击武器“Lndustroyer”、“EKANS”和”Blacknergy”等恶意软件，不仅能够关闭电力设施中的关键系统，还能漏洞一直是网络安全中不可回避的重点、难点问题。根据国家信息安全设备漏洞数量飙升，新型电力系统中设备漏洞的数量也呈增长趋势。例如，新型电力系统工控设备及协议可能存在大量安全缺陷和漏洞，主要表现为Web漏洞和二进制漏洞。此外，新型电力系统的终端在研发、生产、制造等环节无法避免的漏JJ 为了提高网络安全防护能力，保障电力系统安全稳定运行，国家加快推进相关网络安全立法，逐步完善能源行业政策2016年《中华人民共和国网络安全法》正式通过，首次提出关键信息基础设施安全保护制度，对于关键信息基础设施2021年9月1日《关键信息基础设施安全保护条例》正式实施，《条例》上承《网络安全法》要求，进一步明2022年，国家能源局正式印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》（以下合称两办法是时隔8年之后，对其前一版本的修订和更新。梳理电力行业近十年来的网络安全相关法规和规范性文件，可以发现网络安全管理、等级保护管理是电力行业网络安全管理的两大基本范畴。两办法立足电力行业网络安全管理工作，电力行业相关安全建设标准包括《电力监控系统网络安全防护导则》《电力监控系统网络安全评估指南》《电力行业网络安全等级保护基本要求》《电力行业网络安全等级保护测评指南》等。这些标准涵盖了电力生产各环节的电力监控系统安全防护、体系架构、防护技术、应急备用措施和安全管理要求，以及电力行业网络安全等级保护的工作流程、方法和2019年4月1日，《电力监控系统网络安全防护导则》正式实施（下文简称“防护导则”）。防护导则从安全防护技术、应急备用措施和全面安全管理三个维度描述安全防护体系的立体结构，适用电力监控系统生产业务全流程和全生命周AA2023年11月，《电力行业网络安全等级保护基本要求》《电力行业网络安全等级保护测评指南》两项行业标施。电力等保要求包括安全总体要求、安全通用要求和安全扩展要求，覆盖第二级到第四级要求。在业务层面上将等级保护对象分为电力监控系统和管理信息系统；技术层面上分为物联网应用、云计算平台/系统、移动互联网应用、大数据平台 物联网应用云计算平台/系统移动互联应用大数据平台/系统……全球网络空间博弈加剧，电力系统已成为重点攻击目标。国家高度重视电力系统网络安全，对电力系统网络安全保护工作提出更高、更细化的要求。对此，电力企业应抓住关键问题，面向重点威胁场景精准防护。其一，云基础设施作为新型电力系统的底座，应进行重点保护。其二，针对电力行业勒索攻击盛行的趋势，建立勒索攻击防护能力，保障电力系统安全稳定运行。其三，随着电力系统的数字化智能化发展，需要提高API安全防护能力，守护数据安全的核心通道。其新型电力系统以“电力+算力”为核心途径和驱动力，总体遵循基础设施云化、生产运行云上智能、数据业务云上增值的路线。如下图所示，在进行云基础设施安全建设时，企业应在落实国家和行业网络安全相关要求基础上，继承“安全分区、网络专用、横向隔离、纵向认证”的电力行业安全建设方针，以“全域防御、纵深防御、实战引领”为理念，结合新型电力系统特性，打造电力云安全综合保护体系，并强化责任体系、组织体系、制度标准体系、监督体系，筑牢电力云纵向安全虚拟资源安全SaaS微隔离访问控制纵向安全虚拟资源安全SaaS微隔离访问控制基施 基于电力云安全综合保护体系建设思路，青藤打造新型电力系统云基础设施安全方案。如下图所示，该方案遵循合规要求、全栈覆盖、自适应安全、可视化运营四大准则。在云工作负载安全、应用安全、网络可视化微隔离、一体化联动防自适应安全自适应安全云原生安全云原生安全关基保护关基保护安全运营与管控电力大数据云安全一体化运营威胁运营业务资产风险运营终端安全风险运营攻防演练等保&合规工作系统上线验证网络安全控制威胁运营业务资产风险运营终端安全风险运营攻防演练等保&合规工作系统上线验证网络安全控制上级监管协查下级单位监管工作负载安全运营DevOps安全管理安全编排和自动化威胁狩猎主机纳管云原生纳管主机纳管云原生纳管基础镜像管理pipline基础镜像管理pipline管理流程编排全网设备联动流程编排全网设备联动主动威胁狩猎主动威胁狩猎资产全网运营风险全网运营资产全网运营风险全网运营IAC策略管理安全控制策略运营效果数据化安全运营知识化运营效果数据化安全运营知识化入侵研判全网回溯安全态势感知策略统一管控安全态势感知策略统一管控安全能力集成安全能力集成重复工作自动化安全能力接口化重复工作自动化安全能力接口化三方日志威胁建模三方日志威胁建模 数据 运营主机风险评估行业基线核查主机自动发现内存码检测主机风险评估行业基线核查主机自动发现内存码检测文件完整性Unix主机安全全面资产地图多锚点入侵检测安全响应主机微蜜罐外联检测事件采集主机安全业务流量可视暴露面管理东西访问控制异常流量检测失陷主机隔离自适应策略网络可视&微隔离API和组件清点内存码防护攻击拦截防护漏洞热补丁应用弱口令检测应用风险检测应用安全操作类日志进程类日志账变类日志注册表类日志文件类日志威胁狩猎事件采集力新IT基础设施防护云原生安全基础设施安全左移云原生安全基础设施安全左移集群合规检查集群网络管理容器脆弱性管理自动化响应镜像检查镜像检查准入准出控制集群漏洞检查集群威胁检测容器资产管理容器威胁检测运行时运行时端云主机云主机云主机云主机云主机云主机虚拟化层Hypervisorx86服务器云主机云主机云主机云主机虚拟化层信创服务器容器容器容器容器容器容器容器容器KubernetesX86物理机信创物理机小型机在云工作负载安全方面，该方案利用CWPP能力，在云场景下为计算资源与其上应用程序、服务、功能等进程提供一致的可见性与控制，建立完善的监控、日志分析、入侵检测与防御、威胁情报、安全审计和事件响应机制，确保在发现安的高风险行为，利用特征规则、上下文语义分析、关联分析等多种安全模型来提升检测准确率。当应用出现可疑行为时，在网络可视化微隔离方面，该方案通过微隔离技术，利用流量控制与可视化、跨平台统一安全管理等多种方式，通过在安全运营方面，该方案依靠大数据和人工智能技术，构建安全大数据运营平台，对攻击溯源系统、入侵防御系统、云工作负载安全等防护产品的多源异构日志进行采集治理和统一分析，通过汇聚、分析、研判相关数据，将人、技术和流由于电力系统关键基础设施的数据资产比其他经济部门的数据资产更有价值，使其成为勒索软件攻击的重点目标。随着勒索攻击专业化、团队化运作，勒索攻击日趋APT化。攻击手段日趋成熟、攻击目标更加精准，攻击样本更难识别，攻传统勒索现代勒索面对日益复杂的勒索攻击威胁格局，需要基于新技术的创新勒索软件攻击防护体系，通过全面、系统性的深度解决策略，更有效地保护电力行业客户免受勒索软件侵害。因此，青藤这几年对勒索事件进行研究，从攻击视角，归纳总结了勒▇Conti/Ryuk▇Pysa▇Clop(TA505)▇Hive核心战术低频战术核心战术低频战术▇RagnarLocker▇BlackByte▇BlackCat 整体上来看，勒索攻击者从入侵到实现加密过程利用较多技术手段，对抗性极高，依靠传统的防护产品很难避免勒索事件发生。但是，攻击者的整个入侵过程不是一蹴而就，通常需要一段时间的遵循全面、系统性的纵深防御策略，基于APT组织的ATT&CK模型，青藤打造覆盖网络、系统、应用的全链路勒索攻击防御方案。该方案围绕勒索攻击预防、预警、阻断、约束、恢复五个阶段，在攻击样本识别和数字加密还原领域进行创勒索攻击约束阶段勒索攻击约束阶段应云端网勒索攻击预防阶段勒索攻击预警阶段勒索攻击阻断阶段勒索攻击预防阶段勒索攻击预警阶段勒索攻击阻断阶段针对勒索攻击防御的每个阶段，都需要根据该阶段的特点，采取相应的策略和措施。这包括但不限于高危漏洞端口屏●高危漏洞端口一键屏蔽：漏洞利用是勒索软件的主要攻击手段之一，攻击者通过漏洞探测工具扫描应用或者系统漏洞，透获取应用或者系统权限，从而发起勒索攻击。该方案在攻击者漏洞探测阶段，实现南北&东西向漏洞探测精准屏蔽能●勒索家族ATT&CK行为检测：通过对APT勒索家族TTP程创建日志、网络连接日志、系统登陆日志、DNS日志、账号变更日志进行全面采集分析,通过建立行为模型进行威胁●百倍级样本AI深度检测：在一些定向勒索或APT定向攻击中，梳理攻击装备清单发现，许码，而是为正常的网络管理应用类的工具或脚本，因此传统基于代码片段特征的检测方式的效率及准确低。该方案通过勒索样本的识别，将整个程序的所有函数进行向量分析。通过加密意图及文件异常指标●进程级攻击行为阻断：勒索病毒为了躲避检测，会使用进程注入的方式发起勒索攻击。首先，防勒索系统通过数字签名验证、AppInit_DLLs禁用、CreateRem勒索系统基于指令类型以及指令来源（跨进程/跨地址空间访问）进行识别，阻断勒关键业务连续性的同时，保持应用程序对应用数据的占用，勒索病毒无法对占用数据进行加密篡●业务级零信任网络架构：零信任网络架构有效阻止攻击者入侵后在内网扩散。攻击者控制某些脆弱的单点后，会向网络内部更重要系统横向渗透，零信任的安全机制可以及时检测到风险，阻止勒索软件在网络中进行●密钥截取和解密：密钥截取和解密可以在两个环节实现。其一，在勒索攻击实施阶段，攻击者往往采用随机对称性加密进行文件加密，并将私钥进行统一存放。通过RSA非对称通过在RSA秘钥加密前，提前在服务器中进行秘钥数据劫持密后，手动将私钥进行对外传输，此时可以在流量层进行秘钥数据劫持。即使真正发生勒索事件文件3文件2文件1对称性加密文件秘钥1RSA非对称性加密文件秘钥2文件文件秘钥2RSA非对称性加密秘钥CC秘钥CC传输数据恢复秘钥劫持恢复加密秘钥秘钥劫持●分钟级卷影副本数据恢复：业务数据进行周期性备份，备份前进行AI加密函数、异常行为、文件特征判断。如加密文件则直接丢弃，并将相关进程阻断、隔离，如属于正常文件，则进行防重复检查。正常安全数据进行卷影副本备份，备份 新型电力系统更加开放，业务系统之间、业务系统与外界用户实时交互更加频繁。API作为系统间的通信桥梁，正成对电力企业而言，想要保障数据安全，全生命周期的API管理很有必要。而从高效防御的角度出发，企业可以从API的上线运行阶段入手，利用API数据安全综合治理方案，持续识别API资产潜在威胁和漏洞、评估安全风险、实时监测威胁、 API数据安全综合治理方案主要包括5个阶段，旨在通过系统化的方法来确保API及其处理的敏感数据的完整性、保密随着API的广泛应用和数量的快速增长，企业可能拥有大量的API资产，形成了庞杂的API暴露面。该方案通过对API使用情况实时监控，全面梳理API资产，观测全链路调用关系，做到异常访问可视化，实现业务无感知的资产梳理及流转绘制。API资产梳理全面且详细，从“应用内”到“应用外”、覆盖了“端攻击者针对API资产的攻击手段存在多样化、隐蔽化、自动化的趋势，可以轻松突破企业对于API的限频、限量及认证能力。API数据风险既包括API自身的漏洞风险，也包括了攻击者对API进行攻击的风险、账号的违规操作行为风险、IP的该方案基于大数据底层架构对原始安全数据元素进行聚合，通过安全攻击监测、数据流转监测、异常行为识别等多维度威胁检测，使用户具备多视角的API安全威胁监测分析能力。同时，该方案对API承载的敏感数据进行持续监测评估，洞悉敏感数据流转风险，通过对数据调用和流转的分析，全面发现敏感数据外泄事件、记录敏感数据流动日志，结合对数据该方案通过实时监测和数据分析，可以更快地发现潜在安全问题，及时进行预警和处置。利用多层级安全能力的协同联动，在发现安全威胁时，可以实现应用内、主机间、网络侧、业务链多层级节点的阻断，满足不同安全响应场景和安全一旦发生敏感数据泄露事件，企业需要及时对泄漏的数据进行追踪溯源，找到泄漏源头，针对性进行修复，避免大规该方案可以提供数据要素追溯和应用漏洞修补能力，快速定位问题，并完成修复，形成事件处理的闭环。主要流程包随着新型电力系统建设，电力网络与工业互联网融合应用，系统暴露出更多的安全漏洞。面对巨大的漏洞修复工作量，企业需要基于风险的漏洞管理方案，在漏洞管理过程中采取一种更加主动和战略性的方法，通过综合运用各种工具和 基于风险的漏洞管理方案通过自动、持续地识别安全弱点，全面了解攻击面，从而根据风险严重性和业务影响确定补基于企业重要资产，持续性、高频率对既定资产进行扫描，发现资产中存在的各种漏洞。这个阶段重点在于漏洞检测的准确性和可持续性。考虑到电力IT环境的复杂、多样性（比如局域网、云环境、OT网络等），需要选择合适的扫描设这一步需要对整个攻击面的风险漏洞进行全面评估，包括云、OT和容器环境中的所有资产。在进行风险评估时应该有想要做到有效地对风险最大的漏洞进行优先排序，就需要了解每个漏洞的完整上下文，例如威胁情报、漏洞详情等。同时需要充分了解受关键漏洞影响的资产，因为一旦在最重要的IT资产上发现最高风险的漏洞，那么它必然是最高优先一旦确定了哪些漏洞是最高优先级，就需要采取适当的行动有效地管理风险。对于漏洞管理有补救、减轻、接受三个响应选项。企业可以使用补丁安装的方式进行漏洞修复；或者采用其他技术来降低特定脆弱性的风险；如果有其他考虑因 否 是是是否是否否是否是否有效NP丁离 当前，伴随“数字中国”“网络强国”“能源安全”等国家重大战略的部署实施，我国能源革命与数字革命相融并进。电力行业作为能源的核心和支柱产业，大力推行数字化建设和智能化改造。国网某省电力公司高度重视数字化转型，经过多年建设，电网云基础设施基本完善，数智电网建设持续推进。与此同时，如何有效保障数智电网云安全成为企业关国网某省电力公司，主营业务包括发供电、电站、输变电建设、电力建筑工程设计等。该企业数字化、智能化发展起步较早，现已建立完善的云基础设施，并且能够充分利用云平台服务能力，提高业务系统效率，降低运维成本。在数字化建设过程中，企业在安全威胁监测预警方面开展了有益尝试。但依然存在如下问题和差距：一是针对网络攻击和重大安全事件监测发现能力不足；二是安全威胁分析溯源能力不足；三是安全事件响应处置能力不足。因此，企业需要建立有效的云安全是技术、控制、流程和策略的复杂交互，因此方案按照企业的云架构逻辑模型设计云安全控制能力，针对企业SaaS( 平台即服务︶基础设施即服务︶SaaS( 平台即服务︶基础设施即服务︶ ●主机安全：该方案采用自适应安全架构，以持续监控和分析为核心，以加强预测、防御、检测、响应能力建设为主要目标，实现对主机安全的风险漏洞可视化管理，定期更新主机安全基线，实时加固和隔离系统加固和隔离系统 ●容器安全：该方案适用于容器云、kubernetes环境等，通过对各类容器进程信息和行为持续监控和分析，快速精准地发现安全威胁和入侵事件，为云平台提供下一代安全检测和