国家电网：全场景强化风险防控 提升网络安全防护水平

编者按：随着电力业务不断向数字化、智能化转型，数据交互场景越来越多，电力信息系统也面临更多网络安全方面的挑战。国家电网有限公司各单位强化技术、管理创新，推进全场景网络安全防护体系建设，在北京冬奥会、冬残奥会和全国两会电力保障期间确保了电力信息系统安全稳定运行。本报特分享相关单位经验做法。

国网河北电力:搭平台 建体系 强队伍

庞彦娟 申培培

4月25日，国网河北省电力有限公司网络安全预警平台发布一条信息网络红色告警信息，并自动追踪攻击源的IP地址。该公司网络安全分析室值班员程凯盯紧屏幕，快速操作，在平台辅助下拦截了攻击。

信息系统及企业网络是保障企业运转的关键基础设施。国网河北电力搭建网络安全预警平台，建立网络攻防指挥体系，强化网络安全人员队伍建设，保障近百万亿字节电力数据的安全。

国网河北电力总结多年网络安全保障经验，收集梳理12类100余套安全设备的告警数据，创新性地提出了基于元数据的异构海量数据时空治理算法。今年1月中旬，该公司在河北电力信通公司成功搭建了网络安全预警平台，归并不同网络防护设备针对同一时刻、同一攻击源的同类告警，使告警数据压缩率达到79.2%。同时，该公司构建网络智能防御框架，从攻击源、攻击类型、被攻击目标3个维度分析攻击数据，开发网络安全攻击聚类分析模型，将1400多条攻击处置逻辑固化在平台中，利用自动化联动处置技术开展处置。通过这些技术手段，平台能够快速识别网络攻击行为并自动决策，一键封禁网络攻击者IP地址。

“该平台对安全态势感知很敏锐，对网络攻击事件处置快、准、狠，大幅减少了反复溯源和核对网络攻击行为所用的时间。”国网河北电力互联网部平台及运行安全处处长卢宁介绍。该平台上线运行至今，该公司网络告警处置准确率达98.3%，网络告警平均处置时长由原来的5分钟缩短至15秒以内，攻击溯源平均周期由之前的8个工作日缩短至2个工作日，网络安全保障能力显著提高。

依托该平台，在2月份开展的国家电网有限公司2022年第一期实战攻防演练中，由河北电力信通公司牵头组建的国网河北电力网络攻防队成功溯源到5名境外网络攻击者的真实身份信息，并在41支队伍中取得第4名。在北京冬奥会、冬残奥会和全国两会电力保障期间，国网河北电力累计拦截网络攻击14.83万次，封禁高危IP地址8611个，确保了网络安全“三个不发生”（不发生网络边界防护失效、不发生信息系统被入侵控制、不发生数据批量泄露）。

在此基础上，国网河北电力摸索建立了一套网络攻防指挥体系。该公司与5家国内顶尖网络安全情报机构和31个资讯网站实现网络安全数据对接，累计采集网络安全情报790万条。通过对大量网络攻击源信息的收集和研究，该公司从攻击方式、攻击工具属性等多个维度对黑客组织进行画像，构建了“黑客DNA知识图谱”，摸清网络攻击关系链。通过“黑客DNA知识图谱”，该公司能够快速识别攻击者身份，迅速应对，为所属各单位挂图作战、精准反制网络攻击提供技术支撑。

在日常工作中，国网河北电力加大网络安全人才培养力度，以赛代练，积极参加各类高级别网络安全赛事，打造红蓝一体网络安全人才队伍；强化“以用促学”，持续锤炼安全人员技能。北京冬奥会、冬残奥会电力保障期间，该公司的网络安全专家队伍赴公司总指挥部和北京、张家口赛区参与网络安全保障，累计发布预警79项并及时协助处置相关情况，阻断高危攻击1590余万次。目前，该公司已有2人入选公司网络安全蓝队指挥官队伍，10人晋级公司级红队，其中1人入选公司网络安全尖兵部队。

国网冀北电力：重攻防 练技术 提能力

李慧 曾婧

4月28日，国网冀北电力有限公司网络安全值班员徐相森通过全场景网络安全态势感知平台发现有攻击者正对该公司外网门户网站发起恶意攻击。徐相森迅速封禁该IP，经过技术分析很快溯源定位到了恶意攻击源头。

面临日益复杂的网络安全防护态势，国网冀北电力不断深化网络安全防御体系，筑牢电力系统网络安全屏障。2017年，该公司作为国家电网公司试点单位，率先上线应用全场景网络安全态势感知平台，对网络威胁进行全面监控、实时预警、及时处置。

全场景网络安全态势感知平台汇集了安全设备、系统等资源，结合大数据分析技术及框架体系，采集互联网出口、内网核心业务流量镜像，以日志信息的形式展现电力网络运行状态。“这个平台能让运维人员快速定位网络告警来源，有助于缩短安全隐患处置时间，还可以实现通知、情报、攻击等信息的上传下达。”冀北电力信通公司安全专责张实君介绍。

截至目前，该平台已监测冀北电力信通公司负责运维的42台网络设备、23台安全设备、7套安全系统、182套应用系统、572台主机，累计监测处置网络攻击1740万余次、资产脆弱性告警18万余次、违规行为32万余次。

2021年，国网冀北电力在全场景网络安全态势感知平台的基础上建设冬奥保障实时态势感知微应用，整合展示攻击整体态势、资产明细、预警单、公告信息，深化平台监控能力，提升网络安全人员监测处置效率。北京冬奥会、冬残奥会电力保障期间，该公司依托该平台及微应用，7×24小时实时监控网络安全情况，快速溯源、及时处置网络安全预警，累计完成了326条共性攻击源IP情报和599个域名情报的自动化批量封禁，平均处置时间少于1分钟，误报率低于0.5%。

网络安全对抗的实质是人与人的对抗。国网冀北电力聚焦网络安全人才培养，通过攻防演练磨炼网络安全技术，综合提升网络安全防护能力。

2021年2月5～9日，国网冀北电力从本部、所属市级供电公司、所属县级供电公司中挑选网络安全红蓝队员，联合公司网络安全尖兵部队，以内网中涉及冬奥保电的系统和外网核心业务应用为靶标，开展了为期5天的不定时“背靠背”实战攻防演习。演习过后，网络安全队员对演习期间的监控数据进行统计、分析和复盘，总结演习经验及发现的问题，累计发现并整改高危漏洞12项201例、中危漏洞8项20例。

今年2月，国网冀北电力参加公司2022年第一期实战攻防演练。为做好安全防守，演练前，该公司提前自查整改，重点加强网络安全薄弱环节隐患排查整改。演练期间，该公司共封禁IP地址2044个，报送检测数据4338份、溯源报告3份，进一步完善了应急处置机制，提升了网络安全突发事件处理能力。

为了及时发现、处置网络安全攻击威胁，国网冀北电力构建了纵横一体的联动化沟通处理机制。网络安全保障组一旦发现恶意攻击、隐患和威胁，会第一时间通过联络群、内网邮件等在国网冀北电力内部发出全覆盖通告，各单位收到信息后会按要求加强防护处理。同样，各单位如发现恶意攻击和隐患，在立即阻断攻击源同时也会将情况报送至国网冀电力网络安全保障组。北京冬奥会、冬残奥会电力保障期间，该公司累计收到通知预警14个、漏洞预警8个，借助纵横一体的联动化沟通处理机制快速完成排查处置，缩短联动时间，提升漏洞闭环整改效率。

国网山东电力：夯基础 全监控 快处置

韩兴旺 任晓文

4月29日，山东电力信通公司调度运行中心的信息调度值班员桑林发现一条系统黄色告警信息，马上通过数字监控工具定位故障，发现有一台服务器的磁盘损坏。他快速指挥相应责任人进行维护。1小时内，损坏的磁盘更换完成，告警随即解除。

1～4月，面对北京冬奥会、冬残奥会和全国两会等重大活动电力保障任务，以及电网春检、疫情防控等重点工作，国网山东省电力公司提前部署、主动作为，实施信息系统稳定运行保障新举措，强化工具、技术、人员支撑，提升系统运行、调度监控、应急处置三方面能力，确保山东电网信息系统安全稳定运行。

要做到有效预防信息系统故障，提前发现故障隐患十分重要。国网山东电力建立了横向到边、纵向到底的双维度巡检机制。“横向巡检”对各业务操作系统、中间件和数据库等基础软件开展统一管控监测，并在此基础上开展有针对性的专业技术巡检和性能优化，及时整改基础软件安全漏洞和隐患。“纵向巡检”即按照系统物理架构和逻辑架构，深度开展漏洞扫描、代码渗透测试，从细节上严格把控对外开放接口的安全。

“基础软件和对外开放接口是信息系统的故障多发点。对此，我们重点加强对重要系统、薄弱环节的运维保障，开展双维度巡检。”国网山东电力互联网部建设管理专责徐康说，该公司在北京冬奥会、冬残奥会电力保障期间，面向全专业信息系统开展双维度巡检4590次，整改隐患102项，优化数据库备份149套，重点加强对应急指挥系统等重要系统的保障工作，实现了业务系统安全稳定运行。

加强调度监控的全面性和及时性对于增强系统运行稳定性来说同样重要。国网山东电力创新采用流程机器人、人工智能等数字化技术，推进信息通信调度指挥、调度监控、检修作业等工作的智能替代，实现对内外网全部边界、系统、设备的监测，确保调度监控有点有面、由点及面，系统运行监视“无死角”。

从2021年开始，国网山东电力开发具备“智慧大脑、敏锐眼睛、安全双手”的“数字值班员”。“数字值班员”投入应用后，每天自动统计前一日的电网信息系统运行中出现的缺陷故障，发布调度运行早报。根据“数字值班员”的运维值班结果，管理人员能够有针对性地提出相应系统缺陷的整改意见，补齐电网信息系统运行的短板。

“‘数字值班员’自动运行、不易出错，又可以24小时工作，符合信息业务调度工作的需求，也是我们之后业务开发的重点方向。”徐康说，在北京冬奥会、冬残奥会电力保障期间，“数字值班员”自动监控信息系统运行情况1.4万余次，汇总上报各类报告信息1700余次，节省了大量人工成本，在确保了信息系统调度监控工作准确性的同时促进基层减负。

调度监控的智能化进程推动了信息系统运行实时监控效率的提升，但是要确保及时处置发现的问题，还需要一支召之即来、来之能战的应急处置队伍。为此，国网山东电力提出“专人专班”，选拔互联网专业骨干组建了系统运行保障专班，形成了柔性保障团队和贯通省、市、县级单位的三级指挥机制，实现了对信息调度、运行、检修、客服、网络安全等系统管理各分支专业的高度协同指挥。

每次开展信息系统特巡，系统运行保障专班都会逐一核查关键信息系统的运行方式，确保各类设备、组件、节点均设置了冗余备份策略，及时甄别可能存在的薄弱环节，同时有针对性地优化现有应急预案、完善相应规程，确保故障情况下操作有章可循。

国网山东电力聚焦突发事件应急响应能力，强化实战演练，快速提升保障团队综合素质。北京冬奥会、冬残奥会电力保障期间，该公司开展3轮次实战演练，优化应急预案23套，储备保障设备102台，应急措施保障到位。4月下旬，针对疫情防控期间部分员工居家办公需求，该公司组建专项攻关团队，两天内完成云文档代码研发，优化居家办公服务系统，满足员工居家办公的内外网文件共享服务需求和突发移动应用硬件需求，同时开展信息系统24小时深度运维，保障员工居家办公期间正常开展工作。