隨著國家“雙碳”戰(zhàn)略的落實瘩浆,浙江浙能電力股份有限公司(簡稱浙能電力)全面貫徹浙江省委省政府和省國資委數(shù)字化改革的要求,今年按照浙能集團工作要求停唐,深入開展浙能集團數(shù)字化“132”工程建設,圍繞數(shù)字管理涨缚、數(shù)字生產(chǎn)喝赎、數(shù)字服務“三大應用”和標準制度體系、網(wǎng)絡安全體系“兩個體系”建設仰铃,取得初步成效。
作為大型能源企業(yè)的浙能電力授瘦,隨著數(shù)字化改革進入到深水區(qū)醋界,針對電力監(jiān)控系統(tǒng)、信息系統(tǒng)的穩(wěn)定性提完、實時性形纺、可靠性提出了更高要求,給網(wǎng)絡安全防護帶來了巨大的挑戰(zhàn)徒欣,企業(yè)安全能力亟需全面提升逐样。
綜合防護體系護航數(shù)字化改革
為保障企業(yè)在數(shù)字化改革的進程中全面應對復雜的網(wǎng)絡安全風險,浙能電力以“推進平戰(zhàn)結(jié)合的網(wǎng)絡安全綜合防護體系”為安全建設目標打肝,以“完善管理機制脂新,處置工具,提升處置能力”為運營體系建設抓手闯睹,并與深信服科技等網(wǎng)絡安全合作伙伴協(xié)同合作研究戏羽,為企業(yè)構(gòu)建“平戰(zhàn)結(jié)合”綜合防護體系,幫助浙能電力實現(xiàn)常態(tài)化楼吃、體系化始花、實戰(zhàn)化的網(wǎng)絡安全目標。
“平戰(zhàn)結(jié)合”綜合防護體系包含企業(yè)日常與網(wǎng)絡被攻擊等多種場景的運營模式路统,在網(wǎng)絡受到攻擊時茴辈,運營模式與策略可快速“一鍵生成自動響應流程”,及時應對網(wǎng)絡攻擊情景乞审。同時通過重點打造零信任對外業(yè)務發(fā)布模式绎噩、內(nèi)外網(wǎng)隔離架構(gòu)、外網(wǎng)虛擬專線鸠丸、電力工控安全監(jiān)測缨诱、管理運營流程等綜合安全防護體系,實現(xiàn)發(fā)電企業(yè)網(wǎng)絡狀態(tài)可監(jiān)測赡脚、邊界可防御纳倒、入侵可識別、態(tài)勢可感知幸持、戰(zhàn)時可響應的常態(tài)化安全防護目標苟暗,幫助浙能電力實現(xiàn)了安全綜合防護服務能力的全面提升。
構(gòu)建零信任實戰(zhàn)五步法
“平戰(zhàn)結(jié)合”體系是浙能電力基于零信任理念構(gòu)建的安全防護體系川砌,目的是建立“上下一體韭寸,分級分控,安全分區(qū),網(wǎng)絡專用”的網(wǎng)絡安全綜合防護體系恩伺,保障企業(yè)內(nèi)外網(wǎng)業(yè)務的安全運行赴背,通過一年多的運行磨合和升級加固,總結(jié)了零信任體系的動態(tài)訪問實戰(zhàn)五步法莫其。
首先是業(yè)務代理發(fā)布癞尚,升級訪問流程架構(gòu)。無論是移動辦公乱陡,還是內(nèi)部業(yè)務訪問浇揩,需先通過零信任網(wǎng)關(guān)的認證,然后由零信任網(wǎng)關(guān)代理訪問內(nèi)部業(yè)務網(wǎng)絡憨颠,同時開啟內(nèi)部業(yè)務網(wǎng)絡訪問審計功能胳徽。零信任控制器對接統(tǒng)一身份權(quán)限中心,可實現(xiàn)每個身份賬號訪問業(yè)務系統(tǒng)時只具備最小訪問權(quán)限爽彤。
其次是單包授權(quán)機制养盗,實現(xiàn)業(yè)務發(fā)布隱身。傳統(tǒng)業(yè)務系統(tǒng)對外端口易遭受大量掃描攻擊适篙,零信任系統(tǒng)利用本身最新一代的SPA單包授權(quán)技術(shù)必痢,為每個員工分配唯一的SPA碼并與終端電腦綁定,采用“一人一碼”的全新管理模式漂手,當驗證通過后才能與服務端建立安全隧道訪問業(yè)務涤朴,實現(xiàn)零信任邊界網(wǎng)關(guān)服務端口的隱身。
然后是多因子認證鑒權(quán)曼散。利用內(nèi)部APP結(jié)合短信碼的方式實現(xiàn)增強認證茁升,并基于終端所處的環(huán)境對登錄行為進行分析。一方面按照規(guī)范化污兄、最小化原則賦予用戶最小的資源訪問權(quán)限鹰泡,避免暴露過多內(nèi)網(wǎng)業(yè)務。另一方面午四,引入動態(tài)權(quán)限調(diào)整策略叛冠,用戶訪問業(yè)務系統(tǒng)的過程中,對訪問終端支礼、訪問行為實時監(jiān)測舰桑,發(fā)現(xiàn)不符合的訪問策略能動態(tài)調(diào)整用戶的訪問權(quán)限,同時通過二次認證蠢挡、安全警示等灰度處置方式,精細化控制訪問過程凳忙。
再然后是虛擬專線技術(shù)业踏,拒絕一機兩網(wǎng)跨網(wǎng)訪問。在業(yè)務系統(tǒng)運維中管理員強制開啟虛擬專線功能,開啟后將使終端僅能訪問內(nèi)網(wǎng)業(yè)務勤家,不再具有外網(wǎng)資源的訪問權(quán)限腹尖,較大程度避免了一機兩網(wǎng)的跨網(wǎng)操作風險,避免了主機淪為跳板訪問的風險伐脖。
最后聯(lián)動檢測技術(shù)热幔,優(yōu)化攻擊溯源。為防止隱性信任訪問讼庇,浙能電力為實際攻防場景打造快速精準匹配策略绎巨,匹配現(xiàn)有態(tài)勢感知工具,進行高級威脅分析蠕啄,抽象賬號分析场勤、設備出向和入向行為分析三種精準溯源場景,實現(xiàn)快速聯(lián)動響應艺踪。
