随着国家“双碳”战略的落实,浙江浙能电力股份有限公司(简称浙能电力)全面贯彻浙江省委省政府和省国资委数字化改革的要求,今年按照浙能集团工作要求,深入开展浙能集团数字化“132”工程建设,围绕数字管理、数字生产、数字服务“三大应用”和标准制度体系、网络安全体系“两个体系”建设,取得初步成效。
作为大型能源企业的浙能电力,随着数字化改革进入到深水区,针对电力监控系统、信息系统的稳定性、实时性、可靠性提出了更高要求,给网络安全防护带来了巨大的挑战,企业安全能力亟需全面提升。
综合防护体系护航数字化改革
为保障企业在数字化改革的进程中全面应对复杂的网络安全风险,浙能电力以“推进平战结合的网络安全综合防护体系”为安全建设目标,以“完善管理机制,处置工具,提升处置能力”为运营体系建设抓手,并与深信服科技等网络安全合作伙伴协同合作研究,为企业构建“平战结合”综合防护体系,帮助浙能电力实现常态化、体系化、实战化的网络安全目标。
“平战结合”综合防护体系包含企业日常与网络被攻击等多种场景的运营模式,在网络受到攻击时,运营模式与策略可快速“一键生成自动响应流程”,及时应对网络攻击情景。同时通过重点打造零信任对外业务发布模式、内外网隔离架构、外网虚拟专线、电力工控安全监测、管理运营流程等综合安全防护体系,实现发电企业网络状态可监测、边界可防御、入侵可识别、态势可感知、战时可响应的常态化安全防护目标,帮助浙能电力实现了安全综合防护服务能力的全面提升。
构建零信任实战五步法
“平战结合”体系是浙能电力基于零信任理念构建的安全防护体系,目的是建立“上下一体,分级分控,安全分区,网络专用”的网络安全综合防护体系,保障企业内外网业务的安全运行,通过一年多的运行磨合和升级加固,总结了零信任体系的动态访问实战五步法。
首先是业务代理发布,升级访问流程架构。无论是移动办公,还是内部业务访问,需先通过零信任网关的认证,然后由零信任网关代理访问内部业务网络,同时开启内部业务网络访问审计功能。零信任控制器对接统一身份权限中心,可实现每个身份账号访问业务系统时只具备最小访问权限。
其次是单包授权机制,实现业务发布隐身。传统业务系统对外端口易遭受大量扫描攻击,零信任系统利用本身最新一代的SPA单包授权技术,为每个员工分配唯一的SPA码并与终端电脑绑定,采用“一人一码”的全新管理模式,当验证通过后才能与服务端建立安全隧道访问业务,实现零信任边界网关服务端口的隐身。
然后是多因子认证鉴权。利用内部APP结合短信码的方式实现增强认证,并基于终端所处的环境对登录行为进行分析。一方面按照规范化、最小化原则赋予用户最小的资源访问权限,避免暴露过多内网业务。另一方面,引入动态权限调整策略,用户访问业务系统的过程中,对访问终端、访问行为实时监测,发现不符合的访问策略能动态调整用户的访问权限,同时通过二次认证、安全警示等灰度处置方式,精细化控制访问过程。
再然后是虚拟专线技术,拒绝一机两网跨网访问。在业务系统运维中管理员强制开启虚拟专线功能,开启后将使终端仅能访问内网业务,不再具有外网资源的访问权限,较大程度避免了一机两网的跨网操作风险,避免了主机沦为跳板访问的风险。
最后联动检测技术,优化攻击溯源。为防止隐性信任访问,浙能电力为实际攻防场景打造快速精准匹配策略,匹配现有态势感知工具,进行高级威胁分析,抽象账号分析、设备出向和入向行为分析三种精准溯源场景,实现快速联动响应。
