隨著國家“雙碳”戰(zhàn)略的落實(shí)，浙江浙能電力股份有限公司(簡稱浙能電力)全面貫徹浙江省委省政府和省國資委數(shù)字化改革的要求，今年按照浙能集團(tuán)工作要求，深入開展浙能集團(tuán)數(shù)字化“132”工程建設(shè)，圍繞數(shù)字管理、數(shù)字生產(chǎn)、數(shù)字服務(wù)“三大應(yīng)用”和標(biāo)準(zhǔn)制度體系、網(wǎng)絡(luò)安全體系“兩個(gè)體系”建設(shè)，取得初步成效。

作為大型能源企業(yè)的浙能電力，隨著數(shù)字化改革進(jìn)入到深水區(qū)，針對(duì)電力監(jiān)控系統(tǒng)、信息系統(tǒng)的穩(wěn)定性、實(shí)時(shí)性、可靠性提出了更高要求，給網(wǎng)絡(luò)安全防護(hù)帶來了巨大的挑戰(zhàn)，企業(yè)安全能力亟需全面提升。

綜合防護(hù)體系護(hù)航數(shù)字化改革

為保障企業(yè)在數(shù)字化改革的進(jìn)程中全面應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，浙能電力以“推進(jìn)平戰(zhàn)結(jié)合的網(wǎng)絡(luò)安全綜合防護(hù)體系”為安全建設(shè)目標(biāo)，以“完善管理機(jī)制，處置工具，提升處置能力”為運(yùn)營體系建設(shè)抓手，并與深信服科技等網(wǎng)絡(luò)安全合作伙伴協(xié)同合作研究，為企業(yè)構(gòu)建“平戰(zhàn)結(jié)合”綜合防護(hù)體系，幫助浙能電力實(shí)現(xiàn)常態(tài)化、體系化、實(shí)戰(zhàn)化的網(wǎng)絡(luò)安全目標(biāo)。

“平戰(zhàn)結(jié)合”綜合防護(hù)體系包含企業(yè)日常與網(wǎng)絡(luò)被攻擊等多種場景的運(yùn)營模式，在網(wǎng)絡(luò)受到攻擊時(shí)，運(yùn)營模式與策略可快速“一鍵生成自動(dòng)響應(yīng)流程”，及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)攻擊情景。同時(shí)通過重點(diǎn)打造零信任對(duì)外業(yè)務(wù)發(fā)布模式、內(nèi)外網(wǎng)隔離架構(gòu)、外網(wǎng)虛擬專線、電力工控安全監(jiān)測、管理運(yùn)營流程等綜合安全防護(hù)體系，實(shí)現(xiàn)發(fā)電企業(yè)網(wǎng)絡(luò)狀態(tài)可監(jiān)測、邊界可防御、入侵可識(shí)別、態(tài)勢可感知、戰(zhàn)時(shí)可響應(yīng)的常態(tài)化安全防護(hù)目標(biāo)，幫助浙能電力實(shí)現(xiàn)了安全綜合防護(hù)服務(wù)能力的全面提升。

構(gòu)建零信任實(shí)戰(zhàn)五步法

“平戰(zhàn)結(jié)合”體系是浙能電力基于零信任理念構(gòu)建的安全防護(hù)體系，目的是建立“上下一體，分級(jí)分控，安全分區(qū)，網(wǎng)絡(luò)專用”的網(wǎng)絡(luò)安全綜合防護(hù)體系，保障企業(yè)內(nèi)外網(wǎng)業(yè)務(wù)的安全運(yùn)行，通過一年多的運(yùn)行磨合和升級(jí)加固，總結(jié)了零信任體系的動(dòng)態(tài)訪問實(shí)戰(zhàn)五步法。

首先是業(yè)務(wù)代理發(fā)布，升級(jí)訪問流程架構(gòu)。無論是移動(dòng)辦公，還是內(nèi)部業(yè)務(wù)訪問，需先通過零信任網(wǎng)關(guān)的認(rèn)證，然后由零信任網(wǎng)關(guān)代理訪問內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)，同時(shí)開啟內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)訪問審計(jì)功能。零信任控制器對(duì)接統(tǒng)一身份權(quán)限中心，可實(shí)現(xiàn)每個(gè)身份賬號(hào)訪問業(yè)務(wù)系統(tǒng)時(shí)只具備最小訪問權(quán)限。

其次是單包授權(quán)機(jī)制，實(shí)現(xiàn)業(yè)務(wù)發(fā)布隱身。傳統(tǒng)業(yè)務(wù)系統(tǒng)對(duì)外端口易遭受大量掃描攻擊，零信任系統(tǒng)利用本身最新一代的SPA單包授權(quán)技術(shù)，為每個(gè)員工分配唯一的SPA碼并與終端電腦綁定，采用“一人一碼”的全新管理模式，當(dāng)驗(yàn)證通過后才能與服務(wù)端建立安全隧道訪問業(yè)務(wù)，實(shí)現(xiàn)零信任邊界網(wǎng)關(guān)服務(wù)端口的隱身。

然后是多因子認(rèn)證鑒權(quán)。利用內(nèi)部APP結(jié)合短信碼的方式實(shí)現(xiàn)增強(qiáng)認(rèn)證，并基于終端所處的環(huán)境對(duì)登錄行為進(jìn)行分析。一方面按照規(guī)范化、最小化原則賦予用戶最小的資源訪問權(quán)限，避免暴露過多內(nèi)網(wǎng)業(yè)務(wù)。另一方面，引入動(dòng)態(tài)權(quán)限調(diào)整策略，用戶訪問業(yè)務(wù)系統(tǒng)的過程中，對(duì)訪問終端、訪問行為實(shí)時(shí)監(jiān)測，發(fā)現(xiàn)不符合的訪問策略能動(dòng)態(tài)調(diào)整用戶的訪問權(quán)限，同時(shí)通過二次認(rèn)證、安全警示等灰度處置方式，精細(xì)化控制訪問過程。

再然后是虛擬專線技術(shù)，拒絕一機(jī)兩網(wǎng)跨網(wǎng)訪問。在業(yè)務(wù)系統(tǒng)運(yùn)維中管理員強(qiáng)制開啟虛擬專線功能，開啟后將使終端僅能訪問內(nèi)網(wǎng)業(yè)務(wù)，不再具有外網(wǎng)資源的訪問權(quán)限，較大程度避免了一機(jī)兩網(wǎng)的跨網(wǎng)操作風(fēng)險(xiǎn)，避免了主機(jī)淪為跳板訪問的風(fēng)險(xiǎn)。

最后聯(lián)動(dòng)檢測技術(shù)，優(yōu)化攻擊溯源。為防止隱性信任訪問，浙能電力為實(shí)際攻防場景打造快速精準(zhǔn)匹配策略，匹配現(xiàn)有態(tài)勢感知工具，進(jìn)行高級(jí)威脅分析，抽象賬號(hào)分析、設(shè)備出向和入向行為分析三種精準(zhǔn)溯源場景，實(shí)現(xiàn)快速聯(lián)動(dòng)響應(yīng)。