隨著國家“雙碳”戰略的落實,浙江浙能電力股份有限公司(簡稱浙能電力)全面貫徹浙江省委省政府和省國資委數字化改革的要求,今年按照浙能集團工作要求,深入開展浙能集團數字化“132”工程建設,圍繞數字管理、數字生產、數字服務“三大應用”和標準制度體系、網絡安全體系“兩個體系”建設,取得初步成效。
作為大型能源企業的浙能電力,隨著數字化改革進入到深水區,針對電力監控系統、信息系統的穩定性、實時性、可靠性提出了更高要求,給網絡安全防護帶來了巨大的挑戰,企業安全能力亟需全面提升。
綜合防護體系護航數字化改革
為保障企業在數字化改革的進程中全面應對復雜的網絡安全風險,浙能電力以“推進平戰結合的網絡安全綜合防護體系”為安全建設目標,以“完善管理機制,處置工具,提升處置能力”為運營體系建設抓手,并與深信服科技等網絡安全合作伙伴協同合作研究,為企業構建“平戰結合”綜合防護體系,幫助浙能電力實現常態化、體系化、實戰化的網絡安全目標。
“平戰結合”綜合防護體系包含企業日常與網絡被攻擊等多種場景的運營模式,在網絡受到攻擊時,運營模式與策略可快速“一鍵生成自動響應流程”,及時應對網絡攻擊情景。同時通過重點打造零信任對外業務發布模式、內外網隔離架構、外網虛擬專線、電力工控安全監測、管理運營流程等綜合安全防護體系,實現發電企業網絡狀態可監測、邊界可防御、入侵可識別、態勢可感知、戰時可響應的常態化安全防護目標,幫助浙能電力實現了安全綜合防護服務能力的全面提升。
構建零信任實戰五步法
“平戰結合”體系是浙能電力基于零信任理念構建的安全防護體系,目的是建立“上下一體,分級分控,安全分區,網絡專用”的網絡安全綜合防護體系,保障企業內外網業務的安全運行,通過一年多的運行磨合和升級加固,總結了零信任體系的動態訪問實戰五步法。
首先是業務代理發布,升級訪問流程架構。無論是移動辦公,還是內部業務訪問,需先通過零信任網關的認證,然后由零信任網關代理訪問內部業務網絡,同時開啟內部業務網絡訪問審計功能。零信任控制器對接統一身份權限中心,可實現每個身份賬號訪問業務系統時只具備最小訪問權限。
其次是單包授權機制,實現業務發布隱身。傳統業務系統對外端口易遭受大量掃描攻擊,零信任系統利用本身最新一代的SPA單包授權技術,為每個員工分配唯一的SPA碼并與終端電腦綁定,采用“一人一碼”的全新管理模式,當驗證通過后才能與服務端建立安全隧道訪問業務,實現零信任邊界網關服務端口的隱身。
然后是多因子認證鑒權。利用內部APP結合短信碼的方式實現增強認證,并基于終端所處的環境對登錄行為進行分析。一方面按照規范化、最小化原則賦予用戶最小的資源訪問權限,避免暴露過多內網業務。另一方面,引入動態權限調整策略,用戶訪問業務系統的過程中,對訪問終端、訪問行為實時監測,發現不符合的訪問策略能動態調整用戶的訪問權限,同時通過二次認證、安全警示等灰度處置方式,精細化控制訪問過程。
再然后是虛擬專線技術,拒絕一機兩網跨網訪問。在業務系統運維中管理員強制開啟虛擬專線功能,開啟后將使終端僅能訪問內網業務,不再具有外網資源的訪問權限,較大程度避免了一機兩網的跨網操作風險,避免了主機淪為跳板訪問的風險。
最后聯動檢測技術,優化攻擊溯源。為防止隱性信任訪問,浙能電力為實際攻防場景打造快速精準匹配策略,匹配現有態勢感知工具,進行高級威脅分析,抽象賬號分析、設備出向和入向行為分析三種精準溯源場景,實現快速聯動響應。