在攻防實戰(zhàn)中 守護網(wǎng)絡(luò)安全

　　天津電力信通公司有一個由6名員工組成的網(wǎng)絡(luò)安全保障班組——網(wǎng)絡(luò)安全運營室。自2019年成立以來，該班組主要負責國網(wǎng)天津市電力公司網(wǎng)絡(luò)安全監(jiān)控保障、技防體系建設(shè)、藍隊運營等工作。今年5月，網(wǎng)絡(luò)安全運營室獲得天津市護網(wǎng)2020網(wǎng)絡(luò)攻防實戰(zhàn)演習優(yōu)秀防守團隊稱號。

　　11月8日下午，天津電力信通公司網(wǎng)絡(luò)安全運營室值班監(jiān)測人員發(fā)現(xiàn)國網(wǎng)天津市電力公司部分單位的網(wǎng)絡(luò)正在遭受大量惡意攻擊。網(wǎng)絡(luò)安全運營室第一時間啟動惡意攻擊現(xiàn)場應(yīng)急預案。班組員工迅速開展告警排查、封禁處置、分析溯源等工作。不到30分鐘，一場網(wǎng)絡(luò)安全風險就成功化解。

　　天津電力信通公司網(wǎng)絡(luò)安全運營室成立于2019年，現(xiàn)有員工6人，分為應(yīng)急處置組、溯源反制組和監(jiān)測分析組。目前，這6個人主要承擔國網(wǎng)天津電力本部網(wǎng)絡(luò)邊界、主機、終端和數(shù)據(jù)的安全防護工作，以及國網(wǎng)天津電力所屬28家基層單位的網(wǎng)絡(luò)邊界安全防護工作。

　　實戰(zhàn)攻防守好網(wǎng)絡(luò)安全防線

　　10月20日9時，網(wǎng)絡(luò)安全運營室班長張琛馨帶領(lǐng)5名班組員工、19名技術(shù)支撐人員正在處理來自境外的網(wǎng)絡(luò)攻擊。

　　張琛馨緊盯電腦監(jiān)控屏，手指在鍵盤上不停敲擊，逐條篩查網(wǎng)絡(luò)安全態(tài)勢感知數(shù)據(jù)采集設(shè)備上的流量信息。一條告警信息引起了她的注意。仔細查看信息后，她對應(yīng)急處置組組長范柏翔說：“我們監(jiān)測到攻擊方正對我方系統(tǒng)進行數(shù)據(jù)庫注入。系統(tǒng)已自動處置，請立刻分析研判！”應(yīng)急處置組成員對攻擊者的數(shù)據(jù)包開展流量分析和攻擊研判?！肮粽哚槍Φ氖敲酃尴到y(tǒng)（一種對攻擊方進行欺騙的系統(tǒng)），未對真實業(yè)務(wù)造成影響。目前，防火墻已自動阻斷攻擊源?！狈栋叵杌卮?。

　　隨后，溯源反制組組長馬嘉麟帶領(lǐng)組員分析從蜜罐系統(tǒng)中探測到的攻擊者消息，試圖查明攻擊者的詳細信息。“找到了！這就是攻擊者！”不到10分鐘，溯源反制組成員找到了攻擊者的身份證號碼和真實姓名，立即向天津市公安局網(wǎng)絡(luò)安全總隊匯報該情況。

　　這是網(wǎng)絡(luò)安全運營室保障國網(wǎng)天津電力網(wǎng)絡(luò)安全的常態(tài)。

　　近年來，網(wǎng)絡(luò)安全運營室通過多次參與重大活動網(wǎng)絡(luò)安全保障工作，建立了更為清晰的網(wǎng)絡(luò)安全布防圖及聯(lián)動機制。在今年國慶節(jié)期間，該班組成功攔截攻擊10.26萬次，封禁互聯(lián)網(wǎng)高危攻擊IP地址13.69萬個，部署20個蜜罐網(wǎng)站，誘騙攻擊方火力3.1萬次，確保國網(wǎng)天津電力網(wǎng)絡(luò)安全防線堅實穩(wěn)固。

　　網(wǎng)絡(luò)安全運營室共參與國家級網(wǎng)絡(luò)安全保障工作5次、天津市網(wǎng)絡(luò)安全保障工作8次、國家電網(wǎng)有限公司網(wǎng)絡(luò)安全保障工作22次。

　　利用“技能樹”實施人才培養(yǎng)

　　10月26日，在第二屆“指揮官杯”能源互聯(lián)網(wǎng)主動防御安全技能大賽總決賽現(xiàn)場，由網(wǎng)絡(luò)安全運營室3名員工組成的藍隊與其他29支藍隊一起對抗30支紅隊的攻擊。經(jīng)過激烈角逐，這支隊伍獲得團體獎藍方三等獎。三人表示，取得這樣的成績，得益于網(wǎng)絡(luò)安全運營室實施的“技能樹”人才培養(yǎng)機制。

　　2020年，網(wǎng)絡(luò)安全運營室為提高班組員工的專業(yè)技能水平，開始實施“技能樹”人才培養(yǎng)機制。班組采用樹式培養(yǎng)方法，將網(wǎng)絡(luò)安全技能分為三個層次，對班組員工開展初、中、高級培訓，有針對性地提升初級人才的基礎(chǔ)能力、中級人才的專業(yè)能力和高級人才的攻防對抗能力。在實戰(zhàn)方面，班組還組織員工參加網(wǎng)絡(luò)安全競賽，加強網(wǎng)絡(luò)安全監(jiān)測預警和協(xié)同處置演練，提升班組員工在重大活動保障和護網(wǎng)演習中網(wǎng)絡(luò)溯源、主機加固、漏洞利用等方面的實戰(zhàn)技巧。

　　網(wǎng)絡(luò)安全運營室6名班員每個星期輪流擔任講師，促進班組全員網(wǎng)絡(luò)安全防護技能水平提升。

　　“只有把實戰(zhàn)型人才培養(yǎng)出來，我們在應(yīng)對網(wǎng)絡(luò)攻擊威脅、保障網(wǎng)絡(luò)信息安全時才更有底氣?！碧旖螂娏π磐ü拘磐ㄕ{(diào)控中心副主任何金說。

　　依托“技能樹”人才培養(yǎng)方式，網(wǎng)絡(luò)安全運營室全體成員的專業(yè)技術(shù)和能力水平得到快速提升。2020年，張琛馨、范柏翔獲得注冊信息安全專業(yè)人員認證。

　　自主創(chuàng)新升級防御技術(shù)

　　10月13日15時，班組員工龔亞強突然聽到“鍵盤級”全景網(wǎng)絡(luò)安全運行監(jiān)測平臺系統(tǒng)發(fā)出警報聲。他迅速沖到監(jiān)控屏幕前查看，發(fā)現(xiàn)天津電力信通公司正在遭受敏感文件探測攻擊。龔亞強第一時間準備封禁攻擊來源，卻發(fā)現(xiàn)該地址早已被系統(tǒng)自行處置。不僅如此，系統(tǒng)還自行完成了對攻擊方的攻擊手法、威脅趨勢分析及資產(chǎn)安全態(tài)勢的分析。

　　“鍵盤級”全景網(wǎng)絡(luò)安全運行監(jiān)測平臺是網(wǎng)絡(luò)安全運營室于2020年自主設(shè)計開發(fā)的系統(tǒng)。該系統(tǒng)初步實現(xiàn)了全景態(tài)勢監(jiān)控，可以針對關(guān)鍵業(yè)務(wù)的關(guān)鍵指標實現(xiàn)邊界防護、終端防護和數(shù)據(jù)防護的一體化聯(lián)動，為國網(wǎng)天津電力提供可持續(xù)的主動安全運營服務(wù)。

　　從網(wǎng)絡(luò)安全層面來看，各企業(yè)均默認內(nèi)網(wǎng)是安全可靠的。但在今年4月份，網(wǎng)絡(luò)安全運營室洞察潛在危險，打破“內(nèi)網(wǎng)信任”的固有印象，在國網(wǎng)天津電力典型物聯(lián)業(yè)務(wù)中構(gòu)建內(nèi)網(wǎng)“零信任”安全防護體系，按照“統(tǒng)一身份認證、持續(xù)信任評估、動態(tài)訪問控制”的思路，打造了具有較強風險應(yīng)對能力的安全閉環(huán)。

　　在今年5月份舉辦的2021年天津市網(wǎng)絡(luò)攻防實戰(zhàn)演習中，網(wǎng)絡(luò)安全運營室成員依托“鍵盤級”全景網(wǎng)絡(luò)安全運行監(jiān)測平臺及內(nèi)網(wǎng)“零信任”安全防護體系，成功封堵了來自攻擊團隊的全部攻擊手段。

　　目前，網(wǎng)絡(luò)安全運營室正在探索如何構(gòu)建多維度的“鍵盤級”安全管控體系。