鱼进：站在攻击者角度完善安全体系不足

来源： 时间：2021-08-27 16:50

站在攻击者角度完善安全体系不足

——访西安四叶草信息技术有限公司电力行业高级安全咨询顾问鱼进

邓恢平

　　当前，针对能源电力领域关键信息基础设施的网络攻击日益多发，电力网络安全面临巨大的挑战。近日，西安四叶草信息技术有限公司电力行业高级安全咨询顾问鱼进就补强电力网络安全短板等问题接受《中国电力报》记者专访。

　　中国电力报：您认为从国外发生的一些电网遭受网络攻击的案例中，我们应该得到哪些警示？

　　鱼进：从以往安全事件来看，攻击者通常对定向目标采取高隐蔽性、高专业程度、强破坏性的综合攻击手段，逐步实现对电网架构由外到内、由内到内的突破。另外，各类事件也不难看出国家级黑客组织的影子。这意味着电网数字化转型过程将会迎来前所未有的安全挑战，面对的网络攻击也将呈集团化、自动化和复杂化趋势。

　　中国电力报：您如何评价当前我国电力行业网络安全水平？

　　鱼进：在相关部门与电力企业的高度重视下，我国电力行业的安全技术体系建设、运行体系建设以及管理体系建设相对于国内外多数企业要更加完善，形成了较为完善的综合防护体系与纵深防御能力。如果借助信息安全建设的“马斯洛需求层次”来评价网络安全成熟度，电力企业网络安全水平已经步入持续改进级。

　　中国电力报：目前电力行业网络安全防御的难点是什么？下一阶段，电力网络安全还应从哪些方面加强？

　　鱼进：随着电网数字化建设的推进，各专业、各业务在新技术带来的复杂业务场景下将面临更大安全挑战。如网络边界的模糊、大量异构终端的接入、数据共享的治理、大量资产上云的隐患等。对于以上问题，传统的技术防护手段已经无法满足在全场景下的“面”覆盖以及业务颗粒度的“点”防范。此外，人防的“木桶效应”或将成为攻击的新突破口。从以往境外组织的攻击路径或者国家级“攻防演练”攻击成果来看，供应链攻击、社会工程学、钓鱼攻击、近源与物理渗透成为了潜入“技术城堡”的有效手段。

　　应对上述挑战，我们首先应抛弃传统的“堆盒子”的思路，要站在攻击者的角度去完善自身安全体系的不足之处，这也是建设红蓝一体化队伍的重要性之一，所谓未知攻、焉知防。其次，应弥补网络安全设备台账全生命周期以及数据全生命周期的全过程、全环节安全管控措施，解决数字化资产的深度和自动管理，推进数据安全合规管控措施，保护电力数据与用户隐私。

　　再者，我们对于网络末梢与边缘终端、信息主机之间的东西向流量，应能做到点的行为监测能力，利用大数据去自适应地学习出一套匹配自身业务流的安全基线，实现末端异常扰动的实时监测和预警能力，有效防止终端、主机失陷后的横向移动攻击行为。

　　同时，需要持续对供应链厂商展开风险评估、对项目参与人员进行详细背调与权限管控，逐步形成供应链生态安全管控体系。

　　最后，安全意识的宣贯内容应与时俱进，宣贯范围应全面下沉，形成共同安全责任。这里其实回到安全的本质，安全实质是人与人之间的对抗。

责任编辑：周小博　 投稿邮箱：网上投稿