电力行业网络安全防护体系的挑战与对策

当前，世界百年未有之大变局加速演进，网络空间的有组织高危攻击已成为严重危害我国关键信息基础设施安全稳定运行的主要因素。俄乌冲突等事件表明，电力行业是首要打击目标之一，面临着巨大的安全威胁。因此，深入分析当前的风险与挑战，针对性地开展网络安全布防设计、本质安全建设以及高强度的实战化演习，是确保电力行业关键信息基础设施安全稳定运行的重要举措。

一、网络安全防护体系的现状与挑战

网络空间已成为大国博弈的主战场之一，我国高度重视网络安全，近年来相继出台《网络安全法》《数据安全法》《个人信息保护法》等法律法规，构筑了网络空间治理的“四梁八柱”，网络安全治理能力有了质的飞跃。然而，国内外网络安全事件仍频繁发生，“西北工业大学遭受美国 NSA 网络攻击”等事件表明，网络攻击无处不在，攻击烈度持续升级。从实践中看，我国的网络安全面临着“带病运行”难以根除、“敌已在内”难以检验、“惊涛骇浪”难以模拟等诸多挑战。

（一）网络安全隐患长期存在，系统“带病运行”成为常态

漏洞、不当配置和人员安全意识问题是造成系统被入侵的主要原因，这些问题难以根除，导致系统实际上处于“带病运行”的状态。

第一，漏洞是客观存在的，自计算机技术诞生以来，漏洞便如附骨之疽，难以彻底根除。漏洞通常是信息不对称的典型，被称为网络空间的“军火”，并已成为网络空间安全的战略资源。实践表明，随着数字化技术的发展与广泛应用，漏洞不仅没有消除，而且加速增长。更为严重的是，由于业务系统自身设计或编码不当而引入的业务逻辑漏洞，这类漏洞不仅难以发现，而且其导致的攻击往往更加隐蔽。

第二，不当配置和人员安全意识低是为人因素造成的。不当配置可能导致系统暴露面扩大，或使系统无法安全运行，甚至导致安全防护设备未发挥应有作用；人员安全意识差，可能造成弱口令、社交工程钓鱼等重大风险隐患。而人的因素最难预测与控制，也最难根除。电力行业部分业务系统较为封闭，客观上存在漏洞发现难、修复难等风险。随着电力系统数字化、智能化转型，越来越多的代码运行在各类电力设备和系统中，成为电力行业网络安全的新风险。综上所述，基于“料敌从宽，御敌从严”的底线思维，系统“带病运行”应当是我们开展网络安全工作的假设前提。

（二）网络威胁泛化，网络攻击烈度、路径和技术全面升级

近年来，国际局势复杂多变，各类网络攻击事件层出不穷，我国面临的网络安全风险愈加严峻。根据北京安天网络安全技术有限公司的研究报告，主要有以下几个趋势。

一是恶意代码数量逐年增加。据统计，2023年新增恶意代码超 1.5 亿个；恶意代码的武器化趋势明显，同时具备攻击、采集、隐藏等多种复杂功能，体现了背后强大的工程支撑力量。

二是攻击路径多样化。供应链攻击、物理隔离攻击、手机攻击、固件攻击等呈增长趋势，涉及的暴露面不断扩展，使人顾此失彼、防不胜防。

三是攻击技战法专业化趋势明显。已有的攻击事件中所展现的技战法覆盖了 ATT&CK 模型中的全部策略类别和技术项。人工智能的滥用导致社会工程攻击进入视频语音等深度社交阶段，防范难度陡增；在攻防博弈中，攻击方常常故意暴露其他攻击组织的特征以误导防守方或栽赃他人，导致溯源变得更加困难。

电力行业是网络攻击的重要目标之一。据统计，我国能源系统每天遭受的网络攻击高达 1000 万次，某省电网公司监测数据显示，高危攻击的占比达到65%之多，且呈现大幅增长的迹象。

在系统“带病运行”的背景下，随着攻击方攻击能力的持续提升，如何检验“敌已在内”已成为亟需研究的重要课题。

（三）实战化演练强度不足，网络安全防御体系受检不深入

实战化演习是检验网络安全防御体系的重要手段，演习中攻击方的攻击能力直接决定了防御体系的检验效果。零日漏洞攻击是有组织的高危攻击手段之一，可以直接撕破防线，突入内网。由于零日漏洞属于一次性使用的资源，挖掘难度较大，尤其是操作系统、基础中间件等底层零日漏洞更难以发现；此外，漏洞难以采购，且难以针对演习场景量身定制。零日漏洞的稀缺性和不可预测性导致很多单位在网络攻防实战演习中较少使用，通常使用弱口令、业务逻辑漏洞等常规隐患，防守方难以在实战化演习中应对高强度的零日对抗攻击。

电力行业使用大量专有设备，既包括防火墙、交换机等网络设备，也包括继电保护装置等电力专用设备。这些设备的零日漏洞同样难以发现与使用，更加难以在实战化演习中使用零日漏洞对网络安全监测、发现和应急处置等能力进行全面深入的检验。

因此，如何模拟“风高浪急甚至惊涛骇浪的重大考验”是当前演习亟需解决的重要课题。

二、网络安全工作的思考与建议

深刻把握网络安全是整体的而不是割裂的、是动态的而不是静态的、是开放的而不是封闭的、是相对的而不是绝对的、是共同的而不是孤立的重要特征，全面系统科学分析暴露面，消除布防盲区。坚持问题导向、坚持源头治理，强化系统本质安全，提升监测发现能力。坚持实战导向，打造网络安全“朱日和”，揭示战斗力短板，推动实战化练兵深入进行。

（一）科学分析暴露面，消除网络安全防御体系布防盲区

网络安全布防应当遵循“暴露面分析-风险分析-布防设计-安全运营”的思路，其中，做好暴露面分析是打造优秀方法体系的关键。现有的暴露面分析大多仅指互联网暴露面，对来自其他路径的攻击缺少分析，导致在发生事件时才发现防线存在盲区。因此，有必要扩展暴露面的概念，将所有涉及被保护对象的路径全部包括在内，建立全面的暴露面分析方法。

基于这一理念，暴露面分析首先要明确需保护的业务、承载业务的系统及其承载系统的资产。然后，从资产的全生命周期、各类接口、物理环境和人员四个方面，构建从被保护资产至本单位责任边界的全面纵深的暴露面分析体系，如图1所示。接下来，针对各级暴露面进行风险分析和布防设计，消除盲区并做好源头的风险控制。

图1 暴露面分析方法示意图

在全生命周期方面，系统可分为设计、建设、运营和退役四大阶段。在设计阶段，各类规划和设计等相关文件构成暴露面。在建设阶段，系统源代码、安装包、开发和测试环境等均为暴露面；采购过程中，不仅要包括硬件和软件采购，还应包括产品的研发、检测、运输、维修等环节，全面分析与供应商的交互场景，梳理供应商设备和人员的行经过程，这些场景下的设备和信息均为暴露面。在运营阶段，各类运营数据构成暴露面。在退役阶段，资产及其遗留数据均是暴露面。

在资产接口方面，将资产全生命周期中的各阶段涉及的所有接口纳入分析。首先，梳理资产种类，除了传统的服务器、交换机、终端等设备外，还应纳入与系统连接的物联网等设备；接下来，分析上述资产的所有接口，包括有线网络接口和无线网络接口、USB 接口、console 口、音频接口、视频接口、蓝牙接口、串口、电源口等。针对每个接口，将已经连接或可能连接该接口的新的资产视为暴露面。此外，递进分析新的资产接口，直至溯源到责任边界，形成层层递进的暴露面体系；此外，分析运行在接口上的业务，以网络接口为例，通过网络传输给用户的客户端代码、暴露给用户的应用程序编程接口（API）、反馈给用户的报错信息等，也应视为暴露面。

在物理环境方面，将前述全生命周期和资产接口分析中所涉及的物理环境一并纳入分析。例如，机房和开发等场所的门禁系统、备品备件、供水供电、视频监控等，办公区的门禁、门锁、柜子抽屉等，变电站的门禁、供水供电、视频监控等均为暴露面。针对这些暴露面的设备，继续采用本分析方法进行递归分析，全面深入揭示潜在暴露面。若有存在于社会环境中的物联网设备，也应视为暴露面。对于密码应用等场景，电磁辐射等侧信息泄露同样属于暴露面。

在人员方面，将上述全生命周期、资产接口和物理环境中所涉及的人员一并纳入分析。资产运营阶段的人员是主要暴露面，包括运维人员、网络安全人员、内部用户、外部用户和外包人员等；此外，保洁人员、检验检测人员、供应商维修人员、外部交流参观人员等也应视为暴露面。在资产设计、建设和退役等环节，涉及的相关人员，尤其是供应链人员等，同样应视为暴露面。在物理环境分析中，涉及的人员，如门禁系统安装人员，也应视为暴露面。

以电力行业为例，如图2所示，某业务系统由部署在机房的主站和部署在变电站的设备组成，主站和变电站之间通过光纤连接。根据上述方法，分别分析主站和变电站的资产接口、物理环境和人员暴露面，然后从系统及设备全生命周期的角度，分析系统和设备在设计、建设、测试、运输和退役等环节中的资产接口、物理环境和人员暴露面。

图2 暴露面分析示意图

综上所述，上述暴露面分析是一种分析方法。在实践中，应根据实际情况，具体问题具体分析，构建全面立体的暴露面，确保从源头有效开展暴露面治理工作，避免防线出现盲区，进一步确保网络安全风险分析更加全面、网络安全布防更加深入。

（二）强化本质安全，在业务逻辑预设战场提升入侵发现能力

对于漏洞而言，攻击方通常比防守方更快更多地掌握信息，导致防守方总是处于被动的局面。然而，对于业务逻辑而言，攻击方通常比防守方掌握的信息要少，这是防守方可以用来监测发现入侵行为的有利主场。

电力行业的业务系统专业门槛较高，假设攻击者对电力行业的业务不熟悉，并且在成功入侵后需要对业务系统做手脚（即进行操控），那么，如果系统中的每个行为均受到监测，当系统行为出现异常时，就有理由认为系统可能遭受攻击，进而开展调查、处置和溯源追踪。为了更好地监测系统行为，应当在系统设计和建设之初即考虑系统具备自我监测功能，对系统的每个细微功能进行日志记录。这样不仅使得行为监测更加全面和深入，还可避免因外加“探针”侵入式监测方式而造成的系统不稳定和不安全。同时，通过制定标准等方式，推动所有业务系统兼具“类蜜罐”的监测发现功能，形成针对高危攻击的全面防护网。

综上所述，在业务系统建设过程中增加自我行为监测功能，通过构建业务行为模型识别异常业务行为，从而提升入侵发现能力。

（三）构造高危漏洞，提升“惊涛骇浪”模拟能力

实战演习的关键在于模拟真实性，“刀枪”的水平决定了模拟“风高浪急甚至惊涛骇浪”的能力。为了提升对防御体系的实战检验强度，本文提出了“主动制造漏洞”的方法，通过编写专门的漏洞程序和利用工具，在未告知防守方的情况下，将漏洞程序安装在真实生产环境下的服务器中，人为制造漏洞信息不对称，实现针对演习场景的“零日漏洞”定制，演习结束后再删除漏洞程序，恢复原貌。

对于电力系统而言，管理信息大区多为传统的信息系统，生产控制大区多为工控系统。对于传统的信息系统，可以编写漏洞程序并安装在服务器、终端等设备中，从而模拟零日漏洞的效果。对于工业控制系统等难以“安装”漏洞的场景，可采用“外挂”方式，在外挂设备上安装漏洞程序，并将外挂设备的控制端口与工控设备的控制口连接，从而模拟漏洞对工控设备的影响。

综上所述，通过“主动设计漏洞”的方式，可以在短时间内、低成本地针对已有场景批量化地实现操作系统、基础软件、基础应用、工控设备等不同层面的高危漏洞，显著提高演习的实战化程度和对抗强度。

三、结 语

网络安全防护体系是一个动态的、不断发展完善的过程，需通过“实践-认识-再实践-再认识”的循环，不断总结规律，凝练方法论，以理论指导实践，以实践深化理论。坚持问题导向，保持系统观念，强化源头治理，在系统建设过程中持续强化本质安全，在系统运行过程中持续加强实战化演习，从而切实提升网络安全治理能力。

（本文刊登于《中国信息安全》杂志2025年第1期）

南网电网科研研究院有限责任公司 杨祎巍