在攻防实战中 守护网络安全

　　天津电力信通公司有一个由6名员工组成的网络安全保障班组——网络安全运营室。自2019年成立以来，该班组主要负责国网天津市电力公司网络安全监控保障、技防体系建设、蓝队运营等工作。今年5月，网络安全运营室获得天津市护网2020网络攻防实战演习优秀防守团队称号。

　　11月8日下午，天津电力信通公司网络安全运营室值班监测人员发现国网天津市电力公司部分单位的网络正在遭受大量恶意攻击。网络安全运营室第一时间启动恶意攻击现场应急预案。班组员工迅速开展告警排查、封禁处置、分析溯源等工作。不到30分钟，一场网络安全风险就成功化解。

　　天津电力信通公司网络安全运营室成立于2019年，现有员工6人，分为应急处置组、溯源反制组和监测分析组。目前，这6个人主要承担国网天津电力本部网络边界、主机、终端和数据的安全防护工作，以及国网天津电力所属28家基层单位的网络边界安全防护工作。

　　实战攻防守好网络安全防线

　　10月20日9时，网络安全运营室班长张琛馨带领5名班组员工、19名技术支撑人员正在处理来自境外的网络攻击。

　　张琛馨紧盯电脑监控屏，手指在键盘上不停敲击，逐条筛查网络安全态势感知数据采集设备上的流量信息。一条告警信息引起了她的注意。仔细查看信息后，她对应急处置组组长范柏翔说：“我们监测到攻击方正对我方系统进行数据库注入。系统已自动处置，请立刻分析研判！”应急处置组成员对攻击者的数据包开展流量分析和攻击研判。“攻击者针对的是蜜罐系统（一种对攻击方进行欺骗的系统），未对真实业务造成影响。目前，防火墙已自动阻断攻击源。”范柏翔回答。

　　随后，溯源反制组组长马嘉麟带领组员分析从蜜罐系统中探测到的攻击者消息，试图查明攻击者的详细信息。“找到了！这就是攻击者！”不到10分钟，溯源反制组成员找到了攻击者的身份证号码和真实姓名，立即向天津市公安局网络安全总队汇报该情况。

　　这是网络安全运营室保障国网天津电力网络安全的常态。

　　近年来，网络安全运营室通过多次参与重大活动网络安全保障工作，建立了更为清晰的网络安全布防图及联动机制。在今年国庆节期间，该班组成功拦截攻击10.26万次，封禁互联网高危攻击IP地址13.69万个，部署20个蜜罐网站，诱骗攻击方火力3.1万次，确保国网天津电力网络安全防线坚实稳固。

　　网络安全运营室共参与国家级网络安全保障工作5次、天津市网络安全保障工作8次、国家电网有限公司网络安全保障工作22次。

　　利用“技能树”实施人才培养

　　10月26日，在第二届“指挥官杯”能源互联网主动防御安全技能大赛总决赛现场，由网络安全运营室3名员工组成的蓝队与其他29支蓝队一起对抗30支红队的攻击。经过激烈角逐，这支队伍获得团体奖蓝方三等奖。三人表示，取得这样的成绩，得益于网络安全运营室实施的“技能树”人才培养机制。

　　2020年，网络安全运营室为提高班组员工的专业技能水平，开始实施“技能树”人才培养机制。班组采用树式培养方法，将网络安全技能分为三个层次，对班组员工开展初、中、高级培训，有针对性地提升初级人才的基础能力、中级人才的专业能力和高级人才的攻防对抗能力。在实战方面，班组还组织员工参加网络安全竞赛，加强网络安全监测预警和协同处置演练，提升班组员工在重大活动保障和护网演习中网络溯源、主机加固、漏洞利用等方面的实战技巧。

　　网络安全运营室6名班员每个星期轮流担任讲师，促进班组全员网络安全防护技能水平提升。

　　“只有把实战型人才培养出来，我们在应对网络攻击威胁、保障网络信息安全时才更有底气。”天津电力信通公司信通调控中心副主任何金说。

　　依托“技能树”人才培养方式，网络安全运营室全体成员的专业技术和能力水平得到快速提升。2020年，张琛馨、范柏翔获得注册信息安全专业人员认证。

　　自主创新升级防御技术

　　10月13日15时，班组员工龚亚强突然听到“键盘级”全景网络安全运行监测平台系统发出警报声。他迅速冲到监控屏幕前查看，发现天津电力信通公司正在遭受敏感文件探测攻击。龚亚强第一时间准备封禁攻击来源，却发现该地址早已被系统自行处置。不仅如此，系统还自行完成了对攻击方的攻击手法、威胁趋势分析及资产安全态势的分析。

　　“键盘级”全景网络安全运行监测平台是网络安全运营室于2020年自主设计开发的系统。该系统初步实现了全景态势监控，可以针对关键业务的关键指标实现边界防护、终端防护和数据防护的一体化联动，为国网天津电力提供可持续的主动安全运营服务。

　　从网络安全层面来看，各企业均默认内网是安全可靠的。但在今年4月份，网络安全运营室洞察潜在危险，打破“内网信任”的固有印象，在国网天津电力典型物联业务中构建内网“零信任”安全防护体系，按照“统一身份认证、持续信任评估、动态访问控制”的思路，打造了具有较强风险应对能力的安全闭环。

　　在今年5月份举办的2021年天津市网络攻防实战演习中，网络安全运营室成员依托“键盘级”全景网络安全运行监测平台及内网“零信任”安全防护体系，成功封堵了来自攻击团队的全部攻击手段。

　　目前，网络安全运营室正在探索如何构建多维度的“键盘级”安全管控体系。