近年来，新型攻击组织化、目标定向化、手段专业化，让用户往往防不胜防，新型信息安全事件频发。典型事件如乌克兰电网遭受APT攻击，造成整个城市电力供应中断，为整个电力行业敲响了警钟。电力行业调度系统原有的二次安全防护侧重分区隔离、数据加密和边界防护，这些传统的防护措施在有针对性的攻击中存在缺陷，急需引入新型检测与防护技术。经过调研发现，目前热门技术网络安全态势感知比较契合电力行业需求。国家电网公司华东分部，积极探索前沿技术，对态势感知技术深入展开研究并在华东分部试点运行，为电力行业全面建设面向未来的新型安全防御体系做战略技术储备。

华东电网亟待解决的问题

在将态势感知应用于华东电网进行试点运行前，我们发现了其存在的几大主要问题：

1．数据采集单一，无法支撑有效决策

华东电网安全数据采集分析采用传统模式，数据来源单一，无法支持多维度的大数据分析，不能支撑有效决策。虽然华东电网已经构建了边界防御为主、兼顾纵深防护的网络安全防护体系，并且内网安全监视平台也将安全设备告警日志进行了收集，但由于使用传统的技术架构、存储的数据量和数据类型限制，防御系统数据源主要以单纯的安全设备为主，没有实现全网流量采集和分析，仅依靠安全设备的日志数据，很难发现潜在风险和未知威胁。

2．数据分析能力不足

随着网络规模的爆发式增长，网络安全爆发出来的问题越来越多，但网络安全分析还是局限于传统的规则库和黑名单技术，缺乏大数据关联分析和机器学习技术，效率低，费时费力，主要表现在：对重要资产的监控遗漏将导致宕机或业务中断；重要资产出现故障时很难从海量运维指标中迅速找到故障根因；对资产的海量告警信息极大地干扰了故障资产定位问题的速度。

目前资产的故障恢复速度基本依赖于人工操作速度，如何有效地对网络中的资产进行异常检测、精准告警、故障定位和故障预测成为亟待解决的问题。

3．可视化能力不足

网络流量可视化与安全可视化能力不足，不能直观高效地展示、呈现问题。比如，实时了解哪些用户是最活跃，最活跃用户访问了哪些业务系统，访问的流量趋势，需要展示的TOP20关键用户流量，关键业务系统TOP流量及户访问流量趋势，并高亮显示用户访问的业务系统及其流量趋势和任一业务系统高亮显示其被访问的用户，这样用户就可以一目了然看到其内网用户的访问情况。

项目建设目标

为了解决当前电力行业面临的安全问题并在技术上有一定的前瞻性，为未来5年电力安全防护做技术储备，本项目建设目标需要包含如下几个内容：

1．试点研究全新的安全智能分析系统。在传统数据分析的基础上，构建融合新一代分析技术的安全智能引擎，将机器学习等技术在安全领域落地，实现智能化检测，提升深度安全防护能力。

2．多维度监测并预测安全态势。通过态势多维预测，实现从被动防御到主动监测的跨越，建立主动防御体系，基于机器学习/人工智能和专家系统，对大范围样本数据进行安全分析，发现威胁并预判趋势。

3．全面监控流量态势并对异常流量进行预警。一方面可以实现对用户和业务访问的精细化管理，建立网络流量的多种流量基线，从而为后续的链路、带宽和服务器扩容提供技术支撑。另一方面，通过对多维度实时流量的监控，可以有效发现网络中的异常攻击流量，用户访问异常行为，以及诸如DDOS攻击和病毒蠕虫攻击的信息，提升对于流量攻击的风险进行预警和防御。

4．实现安全运维。对用户、资产和业务进行关联，聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法，全面感知和监控资产的运营状态和安全指数，为运维决策并联动响应处置提供可视化的呈现和简易化的操作。

项目建设效果

在态势感知服务于华东电网后，通过智能化的分析、多维度的预测、最终结果的可视化呈现，实现了华东电网信息安全运维管理的需求，具体成果如下：

1．全网资产安全监控

围绕着用户、资产、和业务的关联，聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法，全面感知和监控资产的运营状态和安全指数，为运维决策和联动响应提供可视化的呈现和简易化的操作；同时也可以实现对用户的远程代维代管，为后续的安全云运维增值业务的开展提供帮助。

为了有效监控在网资产运行及风险状态，快速处置故障及风险事件，系统基于云计算和容器技术进行微服务的自动部署和动态管理，对关键对象状态进行实时监控，对重要资产进行风险分析，能够快速生成配置策略和任务工单，实现运维的响应和处置；同时支持工单的作业化管理，实现工单的自动触发、派发、跟踪、提醒和关闭。

态势感知技术应用后有效收敛了安全攻击事件。通过自定义关联规则，对特定攻击、核心资产重点监控，有效收敛安全事件，提出合理处理建议，自动化处置响应。

网络安全态势感知通过采集大量的、多种类型的安全传感器的安全日志信息，结合外部情报，来监测目标网络系统的安全状态。通过采集这些传感器提供的信息，并加以分析、处理，明确所受攻击的特征，包括攻击的来源、规模、危害性等，准确地描述网络的安全状态，并在安全告警事件的基础上提供统一的网络安全高层视图，使安全管理员能够快速准确地把握网络当前的安全状态，从而支持对安全态势的全局理解和及时做出正确的响应。

系统从多个维度对这些威胁形势进行呈现，实现对整网安全攻击情况的可视化呈现和趋势预测。除了攻击类型、攻击趋势、攻击源和攻击目的TOP分析呈现外，还可展示安全漏洞利用、病毒、蠕虫、木马和恶意代码等风险检测情况，同时结合外部情报信息实现对未知安全风险进行分析判断和预警，为后续的响应决策赢得时间。

2．采集系统流量，基于动态流量基线对异常流量进行检测

流量分析是态势感知的重要内容，围绕用户、业务、关键链路和互联网访问等多个维度的流量分析，一方面可以实现对用户和业务访问的精细化管理，建立网络流量的多种流量基线，从而为后续的链路、带宽、和服务器扩容提供技术支撑。另一方面，通过对多维度实时流量的监控，可以有效发现网络中的异常攻击流量，用户访问异常行为，以及诸如DDOS攻击和病毒蠕虫攻击的信息，提升对于流量攻击的风险把控和防御。

基于动态流量基线对异常流量进行检查，是提升网络安全的重要手段，通过分析主机流量访问、内网流量访问、互联网出口用户的流量访问以及用户主机的各种流量传输行为，结合机器学习和人工智能算法，准确找到用户与流量之间的基线关系，通过机器学习等算法对潜在的流量异常行为进行挖掘和判断，确保安全合规和信息泄露防护的需求。

3．及时查看用户与业务访问关系，辅助高效安全运维

聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断，结合大数据的分析方法，全面感知和监控资产的运营状态和安全指数，为运维决策和联动响应提供可视化的呈现和简易化的操作；同时也可以实现对用户的远程代维代管，为后续的安全云运维增值业务的开展提供帮助。

通过对用户网络安全策略体系与业务系统进行针对性分析，建立安全域间的安全策略矩阵、系统间的安全策略矩阵、用户与系统间的安全策略矩阵，实现安全策略合规矩阵的可视化展示，主要包括基础设备与安全域可视，业务与数据访问路径可视和安全策略基线矩阵可视等。

效果综述，通过智能化的分析，多维度的预测，最终结果的可视化呈现，在满足华东电网信息安全运维管理的需求的同时，提升信息安全防护水平，降低运维人员工作负担。