重保主题公开课：能源企业的安全建设和实战分享原创

面对不断迭代的技术战法，企业原有的安全体系建设应该如何应对升级？二场长期缺乏专业安全人才来做安全建设，该如何破局？能源企业在有限安全投入的情况下，如何实现降本增效？本次会议。直播，我们邀请到了腾讯云安全专家工程师刘志高、南瑞集团网络安全专家朱江两位安全行业的专家为大家讲解如何结合新趋势、新技术、新方向，为您揭秘企业安全升级、降本增效的双赢之道。在本次直播中，大家有任何问题欢迎在评论区留言，积极参加互动交流的网友们将会有机会获得鹅厂的虎年公仔，也欢迎大家扫描屏幕右下方的二维码申领PPT和入群交流。

话不多说，首先有请腾讯云安全专家工程师刘志高为我们带来的主题演讲，快速构建高效云端一体化的安全运营体系。现在有请刘志高为我们演讲。好的，谢谢主持人。好的，那接下来的话，呃，由我来跟大家去介绍一下，快速构建高效一体化的安全运营体系，那么首先在开始之前自我介一下，那我叫刘志高，那目前的话是来自腾讯安全云底实验室，那主要是在那么之前，那目前已经安全有实年的安全从业经验，主要是在蒙呃以及腾讯相应负责相应安全体系建设，情报和安全运营相关的一些工作，那目前是腾讯云安全运营的技术负责人。

那今天跟大家分享的内容呢，其实包含三方面，第一方面我就呃近期刚结束的国家官方演练的一些热点事件，来跟大家做一下那个回顾和分享，那么第二块的话，我介绍一下，就是有很多的朋友也在问说腾讯的安全重保的解决方案是怎么来做的，他是怎么来做安全重保的，那么第二块围绕这一块来跟大家去做一些分享。那么第三块的话，就是我们会分享一些典型的这种案例。嗯，首先我们开始呃学我们知道就是第一部分大家可以看一下，就是我们知道就是在今年的攻防演练的过程中的话，其实有很多的这种热点事件，这里我简单列举了三个，第一个就是的漏洞，那么其实这个漏洞的话，最早是由get的一名用户去发布的这样一个截图，然后之后在行业里面引起了一个广泛的讨论。那么最终证明说这个漏洞其实是并不是N本身的漏洞，而是它的一个生态，生态LDAP组件的一个漏洞，呃，其实影响并不大，而且应用难度也挺高，那么第二块是look for的一个零，那这个其实在某社区报出来之后，呃。

风传这个漏洞说利用难度很很低，而且危害危害极其严重，那么实际上在经过一个分析确认之后，其实这个漏洞的利用难度挺高的，并且的话很多新版本已经把它的一个漏洞的特性叫是已经给已经给除掉了。那么第三个的话就是多个厂商被爆出了安全漏洞，那这个包括大家呃知道的一些各个厂商的。设备基本上都中招了，像那个齐安信啊，安恒啊，内蒙啊，以及这个启明启明等等，那么呃，这是在漏洞这一块的，那除了这一个，那么除了这个之外的话，还有一个就是呃，关于这个人这一块的和企业组织这一块的，我们知道今年其实有一些这个今年的社工教育手段相对于往年的话，真的是花样百出。

并且它是几个热点的，像左边这个图，我们其实可大呃，可能大家也可能是是我们实际经过的一个呃案例，见过的一个案例就是有攻击队其实是提前注册了一个HR的账号，而且这个号还了很久，那么他拿这个号的话去发送了一封offer给目给目标的这个呃候选人，那么这个候选人其实就是大调鱼的对象，那么最后是成功顺利的拿下了这个候选人。这个机器电脑的权限，那么来进行内网的一个呃，入侵尝试。那么这是第一个钓鱼的case，应该说是用心良用心良久，那么另外其实还有很多我们到的其他的一些钓鱼的case，像一些财运相关的，还有跟薪资相关的，包括一些社保的，还有一些这个热点漏洞的一些修复的解决方案等等，那么这些都成了调鱼者所频繁使用的一个话术，那当然下面还有一些其他的，我不做一一过多介绍，那另外就是除了针对我们呃社工，我们内部员工社工这一块的调研之外，还有一部分是针对这种企业供应链的这种供给，那么应该来说，相对于往年的话，今年的供应链供给的供应链相对更大，那怎么说呢？其实我们知道往年的供给可能更多是供给。

靶标公司所在的这个供应商。而今年我们。根据我们所了解，就是今年的工具，其实涉及到的法标公司就是目标公司的关联公司，可以理解为子公司、分公司，甚至子公司跟分公司的这个供应商也都成为了他攻击的一个对象。那这里有一个比较典型的case，是这样一个case。那另外的话就是，嗯，从我们企业自身的防护视角来看，其实我们企业其实面临的三大块的压力，第一块我们方面是要保证这个呃保镖不倒，另外一方面是希望防御手势和溯源多得分，那么在这种情况下的话，其实我们自身会面临很大的一些挑战，很多企业可能会依赖于安全产品，但是我们知道今年安全产品也成为了一个突破口。那么另外一方面的话就是。

我们的这个呃资产企业的很多资产，现在除了自研的机房之外，可能还有一些这个呃公共公有云的，或者说合作机房的，那么这些不同的资产，它安全设施，安全的这种配备其实也不太一样，那么另外的话就是我们的这个，包括组织部门，还有我们的供队的数量和手段等等，那么这些其实都成为了我们今年做呃攻防演练一个比较大的一个挑战。那么除了我们的攻击之外的话，还有分是我们的外部的。呃，还有一部分是我们外部的这种呃影子的对手，那么这些对手其实我们知道呃包括了一些有有组织的黑客，有组织的这种黑客团体，还有一些商业性言，那么这个报告其实是呃美国跟中国的一些安全公司和专业的这种呃国家的安全机构来统计的，那么我们知道就是针对我们可以看到针对这种国家关键技术，就是像能源，交通，金融和通信这几个关键行业，都会有一些专门的这个组织持续对他进行一些渗。

OK，那么在这里面的话，其实他们都是以盈利来为目的的。呃，那么OK，我们讲完了前面的呃，我们面临的一些用户的挑战和问题之外，那么我们说腾讯的安全是怎么来去解决上面的内外部的这种安全的风险和攻击手段的呢？那这里的话，我们在这个过程中也思考了很多的解决方案，那我们发现其实我们如果传统的像安传统安全厂商一样去做一些基本的这种扫描，然后加固和这个呃监控对手之外，可能这个事情根本没可能，还是并没有很好的去达到这个防守的效果。那比较好的解决方案。我们觉得是站在。公益者的视角去思考防守方案，那在这里的话，我简单跟大家去分享一个模型，可能有部分人已经知道了，叫做呃，钻石模型，那么这个钻石模型其实是安全事件的一个分析模型，他其实作者这个这个模型的发明者其实提供了两个观念，第一个就是说他明确提出了这个攻防其实是最终是人的一个对抗，那么另外的话就是说。

这个钻石模型是帮助我们去了解每一次事件背后的攻击者的基战数和目的的，也就是说每一个事件，从呃这个钻石模型来看，它是可以分总结成四个要素，包括呃攻击的对手，他使用的这个攻击的方法和手段，以及呃攻击所使用的这种传递的载体和受害者，那么这这个整个，也就是说我们每一个事件最终归根结底安全事件归根结底会包含这四个要素，那因此我们的防御工作，其实在我们整思考整个重保的这个防护架构的时候，我们也是围绕这样一个防护模型来构建相应的能力。那么在我刚刚提到的这个攻击的钻石模型里面，一方面是人。

也就是我们的竞争对手有我们的攻击对手有哪些，那在这一块我们构建的是一个情报的能力，通过情报去了解我们攻击者有哪些攻击手段和方法，那这样一点的话，我们提前去呃了解和去做布局，那另外的话就是呃，我们在第二块建设能力是规划能力，所以规划就是说我们在了解了工业者的防守的能力和手段之后，这个时候我们需要去构建自己的重保团队或者梯队，来帮助我们一方面去构建合理的一个组织架构，那么另外一方面去引入，去补齐我们的一些不足，针对我们一些薄弱点来去加强这个防水，加这个呃防护的水准，那么第三块的话就是技防，也就是我们平常平平常所说的公房。那在这个阶段的话了，除了传统的这种安全的区域，呃，利用我们已有的基础安全产品之外，我们还有还有还有很几个关键的事情可能需要去考虑到的，就是我们安全产品本身的这个有效性，以及相应的这个针对钓鱼供给这个终端管控能力，和在业务变更期间可能有的一些数据泄露的一些监测能力，包括我们可能针对一些未知的逻辑业务存在的逻辑漏动，我们需要构建一些攻防的渗透测试能力，那么这几块能力是，呃，目的就是为了在攻击期间，我们能够对针对攻具人的攻击能够见招拆招，知道说怎么去化解它的攻击，那OK，那到了这一步的时候，其实我们都知道，在这种情况下，我们经跟攻击队可以说是打的有来有回的，但是决定着整个重宝成败的关键。

可能并不是说呃就这样，呃你你出一招，我出一招，那么对于一些高级的工具，对这个时候我们可能需要去呃做一些管理方面的一些呃工作，那这个里面觉得包含两块，也就是说在这个时候，一方面要提升我们攻击的这个防护的这个效能，也就是速度，当我们的出装，当我们的防护速度越快的时候，那么我们的我们就能及时去阻断工益的这个攻击行为，那么另外一块就是我们的安全意识的提升，我们可以理解为就是要提升我们整个工具的团队的防护的意识，来去避免我们的某个人员会成为。

在攻防后阶段的一个标，或者是他成为一个来入侵到我们的这个目标的一个系统，所以在这里面管理这里面重点考虑两个两个点，一个就是我们的自动化的快速的闭环能力。那么第二个的话，就是我们的呃事件的这个就是我们人员的安全的意识的提升，那么只有有有只有团队的士气提升呢，我们安全意识提高了，同时的话，我们的呃反应的速度提升了，那么这种情况下的话，才能更好的去一些高级的这种攻击率的一些。呃，供给，那这个是我们的整个的一个重房的一个核心的思路，那么具体来说就是人防联防和技防，那后面我会简单介绍一下，就是我们具体腾讯是怎么来去做这几块的事情的。首先是情报，那情报可能大家都比较清楚，我们目前呃情报的目的是了解我们的攻击对手，那这个阶段的话就是呃会包含三块，一块是漏洞情报，那它核心的目的是我们会呃监测我们目标资产上有哪些脆弱点，那金融来去做一些呃加固和修复的动作。那另外一块情报就是威胁情报，那这个可能大家听的会比较多一点，那威胁情报的目的是帮助我们去呃了解攻击者的画像，比如他用了哪些IP，以及他的域名是哪些等，这个时候我们能够及时去对他的攻击行为，或者他的这攻击的这个呃去做一些或者拦截。

那么第三步的话就是事件情报，那所谓事件情报，也就是说我们通过呃，我们的这个圈子，各个圈子，或者说我们的一些自己的渠道去了解行业里面我们的同行A客户造成了什么样的一个攻击行为，同时我们把这个作为一个呃信息整理完之后，去同步给我们的B用户，来达到一个安全的协防的一个目的，那他因为用户也可以用此来去呃教育内部的一些员工来避免呃遭受同样的一个攻击，那么这是情报这一块的，那我们说这些情报从哪里获取的，那腾讯的话是目前把最近六年的呃所有的漏洞相关的一些情报，包括包括一些这个林队相关的一些情报的情报员做了一下梳理，我们把一手情报员梳理完成之后，大概有400多个，这400多个最后我们分布，我们梳理一下，大概会有20多个类别，那么这20多个类别当。

同一个作者在同一个渠道去发布类似的漏洞的时候，我们下一次就能够快速去捕获到，这样一来的话，当出现的同样的零被漏洞的时，我们就能够及时感知到，那另外那这是一个比较典型的案例，那么通过这个图我们可以看到，就是我们在漏洞，我们捕获的一个漏洞情报，那呃，互网期间其实有很多情报，它本身的话是呃存在这种虚假情报，因此我们其实在这几年的运营过程中，我们把一些情报的作者去做了一个权威值的划分，也就是说当这个作者提供的情报越精准，越真实和越严重的时候，我们这个作者的权威值就越高，那么这样一来的话，我们能够从海量的情报里面去识别对于用户而言真正需要关心的有价值的情报，然后做高度升级的处理，那么其实在这设计这套这个情报证明的时候，其实我们也参照了提出的一个思漏洞优的一个思。

去分析对用户而言需要优先处理的一些漏洞，那另外的话，除了我们刚刚提到的漏洞情况之外，还有是事件情况，那事件情报其实来源于我们，我们知道有些作用，其实可能不会在公开场合去发布，或者媒体去发布，那这种情况下的话，我们会有大量的工程师，他有自己的这种呃情报群，或者有自己的安全的圈子，那么他们在微信群啊，这些安全圈子里面会去。把这些情报统一收集起来，由我们的这种情报中心的同学来去做统一的研判和识别，那么识别完之后，我们会把这些情报同步给我们的呃呃用户，让他知道说现在最近有什么漏洞，能够第一时间去做一个快速的响应，那么这个是在攻防实战前场的情报，相对而言它的时效性和真实性都会比较高。

那么还有最后一块就是我们的威胁情报，那么威胁情报可能大家的比较多，其实腾讯的威胁情报主要包含两块，一块是是通过腾讯的这种平台会捕获到针对整个云的，或者针对整个腾讯集团的一些供给，我们对他做一些这个达标。那么另外一块的话就是由呃供方引期间，由我们的各个工程师去从呃人工收集到，或者通过外部的一个平台收集到，或者公众号等等收集到的一些情况来录入到我们这个公防的平台里面去，那么登录的时候会自动去做一些这个IP的这个甄别，比如这个IP是不是基站的，是不是网关的，以及是不是专线的等等，这样一来的话，我们会自动去排除掉一些可能引发误拦截的IP。那从实际来看，今年我们是呃呃捕获II拦截实施效果是非常不错的。

那我们刚刚谈判的威胁情报，其实还有一个场景，就是说我们的钓鱼场景，那威胁情报的实际应用，我们知道很多时候的话，我们会有捕获到一些C或者说空击者所使用的鱼样本，那这里的话，腾讯解决这种或者说社工，呃，核心是利用这个的防护能力，那么这个防护能力主要包含三大块的功能，第一块就是。离信任网关，那么它的，那么这个信任网关的目的是解决我们整个攻防每年期间的。办公网的这种曝光面的问题，这样一来的话，我们把大量的公的资产能收敛到我的安全网关的后面。这样一来的话，可以。大大降低了我的这个售攻击面，那么除了这一块的功能之外，还有另外一块就是VPN的这个功能，就多元素认证的功能，那么这个功能我们知道就是在密的互网中，里面都会有不同安全厂商的VN设备成为工具的，呃，那么从而导致企业内部大门户开，那包括今年的的V出的零和V出的一些问漏洞，那因此的话，腾讯目前的这个呃。

那第三块的话就是动态的访问控制能力，那么这个我们可以理解为就是在攻防演练期间有很多的钓鱼供给，我们在威胁情报捕捉到了之后，我们怎么我们一方面可以利用这个功能去做一些快速的内部的自查，知道我们哪些用户的终端可能会中招了，那么另外一方面的话，可以做动态的控制，所谓动态的控制的话，就是我们能够把受影响的这个主机能够管理起来，这样一来的话，可以避免它成为。攻击，对对靶标攻击的一个跳板，那么最终通过这三个组合的话，能够很好的去实现里面之间的一些社工的一些安全的这个防护。那么综合而言的话，就是我们在实际的各个呃呃业界互网中历界攻方演中所达到的一些案例，案例一方面是我们给客户去在捕获到情报之后，我们会把情报的这个真实性，以及情报所呃需要进行的一个自查手段和修复方案告诉给用户，因为有些名对或者N他其实并没有修复方案，那这里我们会提供一些临时的修复方案。那么另外的话就是我们的威胁情报，威胁情报的话，其实我们利用，因为我们知道每天会有大量的IP，那在这种情况下的话，腾讯已经呃将相应的流程做了一些固化，并且利用编排的能力去做了一个剧本，也就是说每次在捕捉到这种情报之后，我们自动去筛选真正的有威胁的IP，然后自动的话来去对它进行一个拦截，包括在网络应用以及我们的主机侧来达到一个协同防御的一个目的。

那么第三块的话就是事件情报，刚刚我也提到了，就是说我们会在不同的这个，呃，微信群或者安全的圈子里面去采集，人工去捕获这些情报，然后交我们的共情报中心的同学来做一个分析处理，最终去获到这个情报之后来告诉用户去怎么做一些资产和规定。

那除了我们刚刚说的情报是帮助我们了解别人之外，那么第二块就是我们怎么样去做一些这个组织架构的建设的事情，因为我们可能呃，很多时候我们我们企业的组织的人力并没有很好的去应用起来，所以一方面我们需要建立一个比较好的组织架构来去应对各种类型的一些工程，那另外一方面就是组织架构之间的协同也很重要，也就是我们需要去构建相应这个组织重的一些流程，那么这些流程最终不是说停留在一个纸面上，或者说文档里面，而是我们通过平台去固化，去明确每个负责人去是负责哪个小组的，并且他的责任在哪里，最终通过这个平台做一个自动化的流转，这样一来的话，能确保相应的流程能够通过平台能真正的去落地。那么这是我们的这个，呃，第三块的一个就是就是在人力这一块的一个，第三块的能力，就是我们会构建三级的这个，呃呃，人力模型，第层的人力模型是帮助我们的用户去识别，就是在前场会帮会做一些安全的技术的研判，那么针对一些复杂的供给，比如说一些零备的研判，或者说涉及到一些这个攻击样本需要调类，攻击样本需要去做溯源的话，或者用户做得分的话，我们会有二级的专家帮帮助做一些专门的溯源工作。那么第三块是针对一些复杂的，您需要去做确认的时候，会做威胁收费的时候，我们会有第三级的专家来做一些分析，那么这是在第三块的一个能力，就是帮助企业的用户去构建，他们可能目前不具备的一些能力，去补齐企业的一些在安全防守上一些组织上的一些弱点。

那么第三块的话就是攻防，那么为什么提到重点提到攻防，因为其实呃前面的我们的情报和我们的组织构建了一些人和某的对手，那么怎么样去真正去防，防住攻益者的供给呢？那这个阶段其实我们会围绕几个层面，一个层面就是保障我们的呃，构建我们的安全产品的这个监测体系，那么这个监测机会监测，比如说我们的主机安全的覆盖率啊，我们的挖的策略的有效性呢，以及我们的防火墙的策略的有效性啊等等，是不是存在一些输入的情况，能保障我们的基础的安全产品是以最佳的状态来运行的，那么除了安全产品之外，另外一块是业务本身的这个呃支撑组件，包括我们的一些呃主机的安全防火墙，或者说我们的一些数据库等等，有没有一些配置不当的问题，可能会导致攻击者，呃直接去访问到我们的一些敏感信息，那么这一块针对组件这块也会有一些相应的这个呃验证，那么第三块的话就是。

针对我们业务系统的一些。呃，复杂的供给，比如说呃我们的这种逻辑漏洞，那么我们会帮助用户做一些全性的测试，那么包括我们会从研发网公司的子子公司的网络，包括办办公网和呃公有云，以及呃我们的企业的人员去进行一个针对性的供给，从不同的路径来去贡献网标服务器来去验证。

有没有一些我们在前期的防守过程中没有考虑的到的一些点，那最终的话我们会把这些呃，最终的话构建一套这个异常的呃拦截模型，当发现有一些针对目标的一些异常的访问的时候，我们会自动去做一些拦截的操作，那么这个就是我们整个在防期间的一些关键的一些技术。那这个是一个典型的案例，就是在针对呃社工场景，我们会去从不同的路径，比如说办公网的钓鱼，进源的渗透，还有一些这个WiFi的一些工具来去验证企业的网络有没有交流，那这个是我们的实际的一个化工类的客户的一个典型的case。那另外的话，我们也会围绕把造系统呃做一些呃事前的防里面的评估，包括会针对子公司V供应商和打卡等去做一些这个呃入侵的这个模拟，来看一下有没有存在这块的一个风险点。

那呃，针对攻防这块，第三块的一个保底的解决方案，就是我们会。帮用户，假如说通过前面的手段，攻击者仍然进来了，那这个阶段我们其实为用户提供的是一个溯源平台，那么这个也意味着说，当攻击者攻击队他进来之后，他其实进到的时候，我们的一个溯源的一个环境里面，相当于一个黑屋子，同时的话，我们会有一些这个呃，预认默认的一个剧本，比如说我们会有一个logic的一个剧本场景去提供给他，在这个过程中，我们会不断的去呃识别到攻击者的一个会引，回传攻击者的一些数据，然后后台会做一个画画像的生成，那么这里一个关键点就是我们我们知道每年的工具，其实它给你的数量是有限的，而这些数量的信息其实在我们后台的这个黑画像库里面是已经有积累的，所以在这块的话，能够帮助我们在失分的情况下，很好的去做一个反制的操，反制的加分的一个操作。

那么最后就是我们通过前面的情报，以及我们的组织的规划和我们的呃攻防，我们达到了一个跟工地月的很好的一个攻防持平的一个状态，那么接下来就是决定的攻防胜的关键就是在管理，在管理这块我们我们其实在呃整个攻防演练过程中，面临比较大的一问题就是很多用户他有不同的事件会有不同的处理流程，他可能呃在攻防里面些有大量的事件可能来不及处理，或者处理流程很不规范，那这种情况下的话，会导致移漏很多的事件，从而被攻击者入侵。那这个阶段的话，其实想着，那这里的话，其实在今年的七月份，呃有一个概，就是刚才也发布了一个so的这个概念，我相信so的概念其实很多年前都有呃企业提过了，但是直到今年的话高才发布这样一个所有的这个呃炒作呃运营安全，安全运营成熟度的一个呃曲线，比较炒作曲线，也就是说从呃今年开始的话，所有这个技术或者说这个能力开始在行业里面进入成熟期的话，不是在之前的这种炒作，或者说这个呃停留在一个吹吹的一个阶段。

包括像已经很成熟了，所以意味着这个将在安全领域挥重要作用，那也因此的话，其实我们把上面的这些工作，我们考虑到的，就把所有的这种安全的工作重保的一些流程来形成原则化，借助S这样的一个思路来实现安全的自动化，那么这种方式的话，一方面能避免我们整个在攻防里面期间出现人员失，就是出错的一种情况，那么另外一方面的话，也能很好的去解决我们的呃，安全处置的一个呃延迟问题，因为我们的工作人员，我们或者我们的工程师在做研判的过程中，他实际上是有一个延迟的。那这个延迟如果超过一个小时以上的话，那攻击队很有可能是已经拿下了发表发票的权限的，所以在这里的话，基于自有去会员这样自动化的一个方式，能够帮助我们很好的去提升我们对抗的一个效率，避免说预留一个时间窗口，让工地对得成。

那这是我们实战的一个案例，就是说呃，一方面我们可以针对这个用户的这个，在整个演练期间，如果有一些资产的这个变动，我们能够去及时监控到，并且把它加入到我们的这个评估的列表里面去，另外一方面的话，我们会针对这个借助这个呃做的这种编排的这个引擎，来对它做自动化的这个。扫描，定期的扫描，这样一来的话，有一些可能在安全产品操作过程中有一些物配置的情况，我们能够及时去捕获到，让安全产品处于一个相对比较呃这个有效的一个状态，那么第三个的话，就是在实际的这种封禁拦截这一块的，我们通过这个我们的工作流引擎的话，能够自动化去把IP从发现识别到分析，分析完成之后的威胁情报的这个研判，以及之后的这个加白虚报等等我们。

包括这个从望和主机网络整个各个层面去做一些这个拦截，完全实现的一个自动化，这样一讲的话，整个流程可能如果是我们的工程师去实现，可能需要至少十五十五可能到20分钟左右。那可是，但是如果在这种I可操作，这样一来的话，其实能达到一个跟攻击队一个比较高效的一个对抗。那这是，呃，另外一个案例就是我们把我们在做互网，呃，每年我们会做超过十十多次的这种国家级的攻防演练，为为国家具领导人，或者说为国家重大会议去提供保障，我们把这些工作保障的重保的一些内容，我们做了一下拆分，也就是原则化的拆分，比如每个环节需要做什么事情，那么之后的话，把每一个模块做了一些这个，呃。剧本，那么每个模块每可能每块工作都需要一个比较长的一个工作，呃，工作流，我们把它做成一个自动化的剧本来去跑，跑完之后呢，会生成相应的一个可视化的报告，给到相应的团队来进行一个分析处理，那么这种情况下的话，其实我们整个下来的效果还是非常不错的，目前的话我们也保障了包括像广交会等客户的一些，呃，安全的云商的安全的重。

那么最终的话，我们的达到了一个效果，就是说我们通过一些底层的这个安全的自动化的能力，以及安全的功能模块，那么最终可以把我们重保服务常见的一些工作流程实现一个基本化的编排和自动运行，那么最终的话需要一些人可以达到人工，让人工犯错的概率大大降低，那么同时的话，执行的效防护的效率更高，那么最终的话，我们实现的结果会通过这种，呃。的一些情况。

这是我们呃一个的一个全景图，那么一些的这种骤的这个呃错呃流程其实都在备战，实战检验和实战阶段，包括统计阶段都会有一些覆盖，那么这样来的话，基本上我们能够很好的去覆盖整个中广期间的每一个环节可能存在的一些风险点。那这是针对这一块的一个，每个阶段我们都做一些能力的这个，呃拆解，也就是说每一块我们都会有一些相应的这种流程或剧本来去实现，呃，整个重工的一个落地。那这是那前面讲的就是关于我们的整个安全的中保的一个建设的思，那接下来我分享一下就是我们的一些中保的案例，那这个是从去年的五暂到今年的二月二暂，我们呃在利用这套公房就是重保的防护思。我们支撑的一些重点的活动，包括我们呃重点的一些客户的618的大促，包括我们呃100重点的国家领导人的这种会议保障，还有一些这个亚运会呃双11进出口博览会等等一些重点呃客户的这种保障，都是采用这套方案来去实施的，并且呃实现了一个事故的发生。

另外的话就是我们在不同的行业，像政府呃，互联网以及能源等金融等各个行业都会都有大量的这种重的案例的case落地。OK，那我的分享就到这结束了。看看各位有没有什么问题或者。好的，感谢刘士高工程师的分享，如果大家有相关的问题，欢迎在评论区留言，稍后我们会大家进行解答。下面有请南瑞集团网络安全专家朱江先生为我们讲解电力网络安全防护体系的实践，下面有请那个朱总给我们做演讲。

好，各位来宾大家好。我叫朱江，来自南京南瑞信息通信科技有限公司。我给大家跟跟各位来宾一起分享一下力网络安全防护体系的实践。主要分为三个部分，第一个部分主要讲一下网络安全，就是能源领域网络安全防护的这个背景和形式，第二个部分是电力安防的相关的时间，第三个部分是针对当前比较热门的这个新型电力系统。安全防护提出的我们的一些思考。就是能源领域了，网络安全防护的这个首，首先它这个起源，或者说为什么要做这件事情，主要是因为在能源领域发生了一系列的网络安全的这个事件，我们当时从里边抽取了一些认为比较典型的有代表的这个事件，给大家简单的这个分析一下，首先呢，就是从这个。

2000年开始啊，在这个二滩水电站生产控制系统呢，遭受了这个恶意攻击，导致七秒钟甩出力呢八十九万千瓦，四川独立电网呢几乎瓦解，造成川渝电网呢大范围这个停电，经调查这个监控系统呢，与办公网络呢，是那个直连，是本次事故的这个直接原因，就是说在当时呢，这个监控系统和正常的这个上，正常的这个办公网络呢，它是没有任何的这个防护措施的。然后它是直接相连的，然后这个办公网络里的有一些这个信号呢，可能进入了这个监控系统，导致了发生了这个事故，然后在零一年的时候呢。

全国呢，有146套故障录播器出现时间逻辑炸弹，这个呢，最后查明了是因为当时的这个技术人员啊，他跳槽了，跳槽之前呢，他在自己的这个公司的产品里边预先设置了这个逻辑炸弹。嗯。或者也叫做这个恶意恶意代码，然后在固定的这个时间里边呢，进行爆发，然后导致了了一系列的这个就是就是网，就是导致了这个网络安全事件，然后在零三年的时候呢，三峡送出工程龙泉正平换流站的控制系统啊，发现了有这个Windows的蠕虫病毒，然后在鹅城换流站新安开关站呢，也发现该病毒，经核查该事件是源于IB工程师在的，在这个进行调试的时候呢，他这个调试电脑。违规外联就是连了个联网被植入的毒，就可能他这个操作的这个电网啊，它本身可能也携带这个病毒，所以导致的这个换流站的这个监控系统中的Windows系统啊受到感染。

然后在这个零八年的时候呢，就是我们国家举举办的奥运会，然后在这个期间呢，涉奥的这个电网啊，受到这个外部的网络攻击啊，达到8939次，这个是当时的一个统计。然后在一零年的时候呢，就是大名鼎鼎的震网病毒，这个相关呢，就是可能大家都有所了解，然后就是这个攻击者，他将这个利用U盘将病毒植入这个目标系统，然后并利用设备共享协议中的漏洞打印后台服务漏洞在内部网络里面啊迅速扩散。然后进一步感染了设备中的门子的这个CC软件达到控制。达到控制离心机设备转速的这样一个这个这个目，这个这个目的目标，然后破坏了那个设施的正常运行的这个目的，就是具体的呢，它是让这个主力心机啊，然后这个运转啊，就是可能是一为高速运转，一一就是反复的起停，就是说这个通过这个对这个设备反复停呢，本来是起停的一个正常操作，但他用这个不正常的这个违规的这个频率呢，最终使得这个设备啊出现了这个故障。

然后2011年的时候呢，美国的NS实验室啊，研究人员啊，重了这个，利用西门子的S300 S400和S2000等PLC产品的这个后门植入目标设备，并且呢，通过这个串改。P呢门经查是发现这个系统里边它有一个t SI po TCP的这样一个协议，在1102端口呢，进行通信的时候呢，缺乏必要的访问控制机制，所以呢容易被黑客攻击。

然后在一二年的时候呢，国家的这个有关部啊，对重点电力用户的安全排查中发现就是多家这个知名的工业以太网交换机啊，其中发现了这个缺乏生份验证，或者密码完整性缺乏等安全漏洞和后门，这些安全漏洞呢，加大了电力自动化系统的这个安全隐患和风险。黑客呢？可以通过安装恶意固件的方案。对这些交换机啊，进行这个中间操作，导致这个工厂设备停止运作，或者是设备进入一未知的这个危险状态。虽然这个事情呢，就是。当时查的是2012年，现在是2022年，但是可能我们还有好多这种现场的有一些这种交换机啊，或者其他的一些控设备，也不能说到现在为止这个问题呢，就已经解决了，其实这种缺乏身份认证，或者说这种。

缺乏这个授权管理的这样一些问题啊，其实就是现在很多这个系统，就是特别公共系统里面可能还大量存在。然后这个212013年呢，他这个斯爆发的这个。那个冷静文，然后全球情报监监听事件，这个呢，大家可能作为一个新闻看了一下，但其实这个事件呢，它反映了两方面的问题，一个呢，就是说各国政府它对于英美的这种情报机构的这个监听啊，它这个缺乏一定的安全防护，就是各国政府在数据安全防护层面上呢，它有缺失。就是说。没有能及时发现敌对势力对他的监听，另外一个呢，斯洛登能够把这些情报给出了，这也说明就是美国等情报机构在他自身的这个数据管理或者用户权限等方面，他可能也存在漏洞，导致对他来说，相对来说这么重要的这个数据呢，也被泄露出去。

所以说正好结合最近比较这个热门的这个数据安全法，然后所以数据安全这个。非常重要，就是说之前多次的这个也有好多互联网上的安全时间，也跟数据安全密切相关。然后在一五年的时候呢，乌克兰因网络攻击引发大面积停电事故，导致这个七座一百一十千伏变电站，23座三十五千伏变电站停运八万一百四十多万呢供电，然后调度中心的系统到攻，就是没办法恢。然后一六年的时候呢，以色列的电力供应系统啊，遭受了重大网络攻击，就是说经排查呢，认为是这个勒索病毒造成的。就是说这个事件呢，虽然没造成停电，但是呢，使这个以色列的电力供应系统啊，相关计算机设备关闭了近两天。

一六年的时候呢，就是有超过百万台的物联网设备储存的僵尸网络，对美的域名服务商发起了缔造式攻击。然后。大量的这个这个。其其实原因呢，就是大量的物联网设备啊，比如说是网络摄像头啊，智能开关，它进行比较弱的这个用户密码，甚至都是有好多采用出厂时候设置的默认密码，然后极容易呢，被这个病毒给侵入和攻击，然后被病毒操作以后呢，就形成一个加速网络，以便开展其他的这个网络攻击。一七年的时候呢，就是勒索病毒攻击了这个去统攻击了全球呢上百个国家，然后在一九年的时候呢，主要有这个。大概有三个事情。一个是委内瑞拉大停电，它国家宣称是这个内外网，就是网络安全的，这个事件意在颠覆国家，当然也不排除了是他这个国家自身的这个信息网络建设上的一些问题。

一九年的时候呢，美国就是媒体报道了，美国伊二年也开始对俄罗斯电网呢，植入这个木马病毒，然后一九年时候呢，美国电网也遭受了伊朗的攻击呢，曼哈顿停电，就是最后确定是伊朗的网络攻击造。然后一直到今年，今年这个三暂呢，德国这个风机整机制造商啊，他这个表示，由于这个欧洲卫星通信啊，受到网络攻击中断，导致了这个。中欧和东欧近6000台装机容量11瓦的这个风力发电机的监控啊和控制系统这个失去作用，所以造成了这个一系列的这个这个。嗯，对，能源供应出现的这个问题，所以我们基本上盘点呢，就是说这个网络安全事件，基本上从有记录以来的这个2000年开始，基本上伴随着计算机在国的这个兴起和发展，一直到它其实是层出不穷，五花八门。

然后呢，而且呢，它有一个比较明显的这个趋势，就是这个之前的一些这种。网络攻击啊，包括一些能能源系统的，这个就是换流量的有一些攻击啊，他好多呢，可能是个人或者说有一些这种经济利益，或者因为其他一些个人恩怨，他对这个网络进行这个破坏，但是随着这个网络与社会生产各个方面的结合越来越紧密啊，就是这个政治因素越来越成为网络攻击的重要动机，就是国际网，国际安全形势的益杂呢，国家地区冲突，网络战，信息战呢，就成为了这个政治军事对抗的主要的组成部分。然后这种全球化的这个。

美国前前两年政府这种全球化的这种思维啊，导致了网络空间呢，信用环境恶化，信息系统呢，全球供应链产业风险呢显著提升。然后这个有那个，特别是近期这种有组织的这种网络攻击频发。就是除了前面讲的这个网络对抗呈现国家化的这个趋势以外呢，然后这个以病为代表的这种经济利益的这个啊，也逐步抬头，就是有大量的这个勒索病毒，然后在各个行业，特别是能源行业，作为这种可能主要的一个重要目标。会被这个勒索病毒攻击。然后同时呢，就是这个。关键基电力等关键信息基础设施啊，就是也逐渐成为攻击的重要目标，近期国家公安机关公布的这个典型案件显示呢，就是2020年起呢，我国部分骨干节点网络设备呢，这个核心业务系统服务被植入这个特种木马，导致电信、航空等单位的内网和信息系统出现这种越权登录、数据外传等行为。

然后一方面是这种网络安全这个形式愈发严峻，另一方面呢，就是相对于这个其他行业而言啊，就是工业控制系统的网络安全防护能力呢，相对来说呢，还是有所欠缺，或者说相对来说是不足的，这个呢有历史上的一些原因，就是长期以来啊，工业控制系统设备及通信规约呢，它具有专有性，然后它的系统呢，也有一定的这个封闭性。就是使得一般的互联网黑客或者黑客组织啊，很难获得相应的防系统进行攻防研究，也没有，缺乏也缺乏相应的这个系统资料进行支持。然后而且以往的单人单个的。

的这个黑客呢，他对这个。工业网络或者攻击他的这个兴趣不大。但是现在呢，随着这种工业互联网的这个兴起，以及这个就是各种系统的那个公共系统，公共设备的这个智能化的提升啊，然后就像系统数据讲的，这个信息技术变化越来越快，过去分享独立的网络呢，变得高度互联，相互依赖，网络安全的这个来威胁来源和攻击手段不断变化。然后就是这个工业控制系统呢，它连入它连与互联网或者外网呢，这个连连接这个加深，但是呢，因为公共系统安全水平呢，相对较低，就是漏洞比较多，这些漏洞呢，之前就是可能也没有被发布过，然后极易被这个黑客利用。然后成为这种系统的这个主要的安全问题，然后同时呢，我国这个工业控制领域啊，也使用了大量的这种国外的这个元器件芯片，还使用了大量的国外的这个开源产开源组件，一方面呢，存在这种。

断供卡脖的这种安全风险，另一方面呢，也存在被恶意植入软硬件的这个风险。而且最近就是说2022年五暂呢，美国颁布的新的规定，对包括中国在内的48个国家和地区的这个政府最终用户啊，实行网络安全出口管制要求，具体包括漏洞信息披露啊，漏洞修复服务等项目，就说我们已经没办法很及时的第一时间获取美国提供的各种产品的这个软硬件漏洞。这个也带来给网络安全，公共系统网络安全带来很大的这个风险。就是但是针对就是目前这种复杂的这个国内外形势呢，党的18大以来呢，我们国家呢，高度重视网络安全，习总书记呢，多次就网络安全发表重要讲话，出重。

国家呢，陆续发布了网络安全三法条例，主要是网络安全法、数据安全法、个人信息保护法和关键基础设施保护条例等法律法规，网络安全监管的形式呢，愈加严峻。就是这个相关的这个法律法规呢，可能就是乍看起来呢，可能以为是对这个网络攻击者的这个惩罚约束，就约束大家这个。不要去攻击这个相关的网网络，就是说对这种相当于潜在的攻击者的一个政策，但其实另一方面呢，就是在相关的法律法规的法律法规，对相关的这个系统运营者或者系统管理者也提出了很高的这个这个监管的要求和网络安全防护的这个要求，这个呢，可能之前就是说在媒体报道啊，或者其他相关的一些里边呢，会得到忽视。

而且呢，就是说我们国家其实在一七年之前。就是网络安全法出台之前，2015年的这个刑法修正案第九条里面就已经对网络安全这个管理啊，提出了这个明确的要求，新增了这个拒不履行息网络安全管理义务。规定了网络服务提供的，不履行法律、行政法规规定了网络安全管理义务，可处三年以下有期徒刑的刑事责任。这个其实就是对。网那个网络啊，包括其他一些系统啊，运行的这个提出了一个那个形式要求。然后这个一七呢，网络安全法呢，对关键基础设施，就是特别是一些电力网络啊，或者电力监控系统，它的这样，或者能源的这样一些系统啊，他的这个安全运行安全呢，进行了明确规定，运营者如果未履行网络安全保护义务，将被处于行政将被处罚。

并罚款，并将构成犯罪的呢，将会这个依据前面的刑法拘案处这个进行了刑事处罚。二零的密码法呢，也进一步要了，这个就是相关关键基础设施的运营者要按要求来这个使用商用密码。就是如果商用的密码，使用的商用密码未经这个安全性的，就是将会受到这个行政处罚，并罚，构成犯罪的，将处这个刑事处罚。210的这个数据安全法呢，对这个。直接负责的主管人员和其他直接责任人啊，进行了这个一方面数据安全保护义务的这个要求，就是对他们呢，未履行义务的呢，最高处200万以下的罚款。构成犯罪的，依法追究刑事责任。然后这个21年九份的这个关键信息基础设施保护，对这个主要的这个关键基础设施的主管人员和这个直接责任人员，提出了这个1万以上10万以下的罚款，情节严重的追究法律责任。

就是说相应的这个法律法规啊，他就是说对这个运营者，管理者或者建设者，甚至对我们有一些这种网络安全从业的这种开发者，其实都提出了一些比较严峻，比较严格的要求。嗯。下面呢，我们来讲一下，就是就是这个从两年开始吧，这个电力安防的相关的一些实践的一些工作。电力网络那个电力那个电力系统呢，网络安全防护呢，大概可以分为三个阶段，第一个阶段呢，大概是从两到零。然后电力系统，其实这个从上个世纪90年代啊，就开始启动这个信息化建设，并且在发展过程中呢，持续优化这种网，那个网安全就是就就就在这个，嗯，发展过程中呢，也进行了一些网络安这个防护的这个工作，但是呢，在信息化建设起步之初啊，它相当于构建了一网，实现了电力企业内部啊和电网电厂的这个互联互通。

就是。所以说呢，在这个2000年的时候啊，这个二变电站啊，他就是收收到这个监控系统，收到外网信号，这个引发相应的这个网络安全事件，就是说这个事件一张网的这种呢，引起了国家有关部门对电力安全的这个关注。也是为了加强。电控系统这个络护后，上下单位进行这个探索研究，然后零九呢，就是原调中主任，新主任就是牵了国家863的这个计划课题。

对这个电力安防，嗯，就是那个对电力二次系统啊，安全防护内容啊开展了研究，然后同年呢，这个零三年的时候呢，电力系统啊，这个网络安全防护的内容啊，被纳入了电力系统安全性评价体系。然后零四年呢，该项目通过验收，获得了国家科技进步奖啊，然后相关的一些荣誉，就这个课题呢，首次提出了这个安全分区网络专用横向隔离纵向认证的16方针，就是为构建电力监控系统重防护体系呢，指明了这个方向，代表了当时国际上的安全防护的先进理念和发展趋势，具有很强的科学性、先进性和实用性。可以说呢，这个安全分网络专用横向隔离16针呢，在大概20前提出的，但直到今天呢，我觉得对现在的网络安全防护呢，依然是一个相当重要的一个网络防护的基，大量的安全防护的这个措施啊，规范要求啊，也还是基于这个16制方针展开。

然后在第二阶段呢，就是这个。零七年以后啊，随着这个I技术的发展和广泛应用，网络空间和现实空间的连接更加紧密，这个时候呢，就网络开始出现了，针对这种防控啊交通啊，控电力等系统的武器化的网络攻击，然后典型的就是这个网病毒，于此同时呢，网络安全。就是说之前的这个网络攻击呢，可能是个的小规模的，这个从零七年基本上开始以后呢，就是国家的这种研发力量啊，开始进入网络攻击武器的这个那个研制过程中，网络攻击的这个威力呢，就更加强大啊，然后就针对这个情况呢，就是网络安全等级保护制度呢，开始。逐步融入电力监控系统的防护体系，并且产生了具有电网特色的信息安全保护防御体系。

然后零七的时候呢，国家安呢密局。然后。颁布了这个信息系统等级保护管理办法，就是标志着我国等级保护了。建设了，正式拉开序幕。然后一直到这个一四呢，就是中心发布了这个统安护规定，控安全入全体系。然后这个随着这个网络安全防护体系的完善了，这个本体安全，自主可控防等安全理念啊，这个相继产生，并且在安全防护体系中得到了这个应用。然后相关的一些这种其实从零八年开始呢，相关的一些。

专用的电力安防设备啊，比如正反隔离装置啊，就是。纵向加密认证装置开始在这个系统里面进行这个广泛的这个部署。然后这个。电力络细致区以外呢，对管理信息大区也进了内外网这个划分，跟互联网呢，也进行了这个隔离，就是说从最初的这个两年的账网，现在它大概变成了。两个和三个大区这样。然后第三安全防护的第三个阶段呢，就是这个从一四年开始，一四年至今呢，这种形式啊，这个复杂多变，前面也讲就是网络攻击的这个组织化呢，就是专业化趋势进一步凸显。电力系统成为网络攻击的重要目标。

然后国家层面呢，相继出台了多项法律法规，就是前面讲这个三法条例，然后并且呢，就是持续提升这个实战演习，就像前面的老师讲的，就是现在就是的这个护网啊，就实战演习啊这个。规模啊和这个规模越来越大，就是全这个体系呢，开始实这个方向转变，然后这个电行业呢，也基本成了为强的电力监控系的这个安全防护体系。然后在这个边界防护的这个基础上呢，就是。电力系统啊，对本体安全防护啊，也提出了一系列的这个要求，主要是对电力相关的这个本电力监控系统相关的这个本体设备啊，设备本体安全啊，主要从这个软硬件的国产化，基础转件安全定制和系统安全等三个方面提升这个自主可控的水平，防范啊这个国外的这个原器件门啊，漏洞啊造成的这种网络安全，由产生的恶意代码的这个网络安全威胁。

然后在这个安全可供上呢，其实主要是采用一些国产的器件，就是和纯国产的一些技术，开展一些这个设备和基础设施的一些研制研发，比如开展了这个。国产安全操作系统的这呃，研发研制和这个这个这个安装部署，然后国产数据库，然后。国产可信的就是国产新创的一些计算机，还有纯国产的一些网络，网络设备这部分呢，是最基础设施的，基础软件设施的一些这种安全，其次呢，国内主要的这个电网企业，它也对这个通用的这个。这个软硬件础件啊，提出了一些安全定的要求。

把这个就是不相关的一些组件呢，或者说多余的一些端口啊，通过统一的定制把它给裁剪掉，然后有部分呢，进行了这个加强，使得呢，安全防护的这个要求啊，进一步规范和统一。然第三部分呢，就是这个安全免疫，主要是采用一些可行啊防病毒的方式呢，对这个和操作系统使它能够防一些未知的这个。那个网络，那个网络安全风险。然后相关的安全，相关的安全免疫。主要是采用可行验证和代码相结合的安全免技术，在核心设备上呢部署可行模块，在其他设备上部恶意代码防范措施，防止呢恶意程序对系统的关键程序啊，关键数据进行篡改、窃取和破坏。

就可信计算呢，它其实最主要是基于一个可信更，然后如如如果是一个硬可信呢，可信更就是以板卡或者其他硬件模块的方式这个存在，当这个整个计算机启动的时候呢，它首先对计算机的这个boss啊UT等这个部件，它进行一些这种在启动的时候进行度量，判断这些固件呢，是不是当时就是。安装经过认证的这个固件。然后如果。度量通过以后呢，这个时候再启动。加载操作系统的引导程序，然后通过基本信呢对这个操作系统引导程序进行，这个导程序有没有被更篡改，然后再启动起来以后呢，再通过可行软件机对这个操作系统及应用程序进行量。然后判断这个操作系统和应用程序有没有被篡改，然后再来上支撑可信的网络连接。

还有包括一些远程可信证明啊，来判断这个业务网络是不是可信，就是采用可信计算这种方式呢，它可以就是说防范一些未知的网络安全风险，主要判断的呢，就是说你这个现在运行的这个程序与当时认证过的，就是设置配置好的这个程序有没有改动，当然也可以针对一些数据啊，或者文件进行这样相关的一些操作。也就是说那个回顾一下前面的这个网络安全防护的这个历程啊，基本上可以讲是从2000起步，然后这个。国家主管部门呢，先后发布了三个强制，经这个防护本、安可免疫等三个阶形成了。以电力监控系统安全防护规定、实施号令以及36号文为基础的安全防护架构，按照这个16的方针，建成了较为完善的这个三个的防护体系，构建了网络安全的三道防线，就是有效的保障的生产控制、经营管理等核心业务安全这个稳定运行。

前面讲的主要是一些技术层面的这个安全防护，然后其实呢，在这个此外呢，这个整体的网络安全防护呢，它其实是多个维度的，它还有应急备用和这个安全管理，应急备用呢，相对来说呢，可能是这个。相对来说我们认为是会比较通一点，就是说与其他的信息系统啊，这个业务系统啊，应该是比较类似，采用一些备用啊调啊，然后应急响应啊多啊，高可高啊这样一些方式进行这个处理，然后安全管理呢，安全管理呢，它就是说有一些自身的一些特色。首先呢，它要这个网络安全呢，要融入啊电力安全生产的管理体系，因为电力本身呢，它就是说网络安全之外，它也有一些比较详细的的一些电力生产安全的这样一些管理体系，之前呢，网络安全防护和电力的常规的这个安全防护是割裂的，是分开的，但是按现在管理的趋势呢，它两个要相互融合。

就各电力企业呢，也逐渐都在探索把这个电力监控系统的这个网络安全管理啊，融入安全生产管理体系中，按照谁主管谁负责，谁运营谁负责，谁使用谁负责的原则呢，建立这种组织保障体系。立个全全全。就是电力的这个电力安全生产是这个跟全体员工都密切相关的，但电力网络安全管理呢，电力网络安全这个管理其实也是与全体员工相关的，就是说除了对这种重要的这个安全管理员啊，相关的一些节点系统管理员，一些节点人员要进行。

那个比较明确的配那个培培训配备，然后审查管理，对其他的人员呢，也应该具备一些这种网络安全，网络安全安全或者网络安全的这个相关的这个意意识。就防范一些社啊，被这个被防范一些社工攻击啊，或者其他的一些这种攻击手段，注意了个人计算机的一些这种使用安全，避免作为跳板这个攻击者利用，然后还有一个要全设备和系统安全管，就电力系统是一个整有的这个系统和设备呢，其实它都应该建立相应的网络安全防护的这样一个。机制就是说避免因为电力系统防止被，就是从短板网络安全防护短板被到内部进来，产生比较大的这个安全风险。然后最后是应该要建立一个全生命周期的这种安全管理，在就是目前主要的有一些是三同步或者五同步这样的一些方式，在电力系统的这个规划设计啊，研究开发、施工建设、安装调试、系统改造、运行、退报废等生命周期都应该采取相应的这个管理措施。

来加强这种网络安全防护，这个呢，就是一个比较完备的这个网络安全防护的这个体系。下面呢，我们来重点讲一下新的这个目前比较比较这个比较流行的新型电力系统安全防护的一些思考。首先呢，就是是那个那个信息系统这个概念呢，主要也是在国家这个。战略目标的这个制定和实施的基础上产生，就是到了这个2060年呢，风光水等能源消费占比呢，会从目前的约15%提升到80%，新能源发电呢，将会由30%提升到90%。

其中风光发电呢约占50%，传统火电呢约占10%，目前呢，就是风光装机呢，占总装机容量百分之二十四二零六零呢，可控荷呢将占全社会最大负荷的10%-15%。说这个行呢，能可调性将比较大的这个比例，就或者在现有的基础上有很比较大的比例的提升，而且这个碳目标呢，目前来说呢，能源行业呢，碳排。量的40%。然后目前全社会碳排放总量约100亿的，也就是说目前来说电力系统或者电力行业，它基本上是双碳目标的实现的一个，或者双碳战略执行的一个主战场，电力行业能不能实现这个双碳，其实对整个国家的这个双碳目标的能否圆满这个执行呢？有起到很。

比较大的影响，然后在这个目标的这个驱动。将加速。就是提这电力系，电力系主原心电力在驱传。化石、发电、风光等新能源储能、油气、热等。将形成这个多人互联互网和储呢深度深度交互。大云、物自链等技术呢，加入应用能源流、业务流、数据流呢，将会多流融合，电力内网、互联网之间的互动会日益频繁，电力系统呢，会有相对比较封闭，走向开放。

就是说电力系统之前呢，是有传统的这种，比如说私有电力系统有传统的，比如煤煤那个发发电厂就传统的这个。通过传统的这个封闭的电网，还有传统的这个合，然后构成了这个相对比较比较封闭的这样一系统，像呢，这个新型电力系统进行化，在新电力系统里呢，它这个传统电源的这个这个占比将下降，新能源电厂储啊，然后这个微网这些相对的这个比例呢，将会上升。然后同时呢，就是相对于以往的这种控的这样一些这种传统符合就是新符合呢，要求可调，有些呢，是通过电力市场，通过一些这种商，通过一些商业化的流程呢，进行这个调解调控，或者是这个签约。

邀样呢，就是电系统电源这发生较大网容易产生影响，另一方面呢，这个符荷本身也会产生一个比较大的变。就是在网两端呢，都会产生明显的互动，进一步。所以在这样的一个情况下，将会给未来电网呢，将会将会给电网带来所未有的网络安全风险和挑战。然后新型电力系统的这个业务发展的这个趋势呢，就是前面讲的这个布式电源和可调节合大量接电网网呢，协同调度合聚合等新业态的蓬勃发展，就在业务系统上面呢，越来越多的控系统啊，它就没办法采用面讲的这个网，网络专用，是通过专网的方式来传输这个数据指令控控制指令，它要使用呢，这个4G5G这种无线通信网络。

并且呢，随着这个微网啊，虚拟电厂等和一些这个业务的开展，就是电网控制功能呢，会有传统的这个调控中心向配电负合以及第三方平台前移，电网的这个攻击暴露面呢，大幅增加电网风险呢，也这个随之前移。就是在这个电网首先是有一个纵向的，它可能是采用4G5G加光纤的方式进行传输，在横向对互联网的时候，它也有可能是采用这样4G5G的这个网络，所以首先是有一个4G5G无线承载控业务的这样一个风险。另外一个呢，就是这个第三方的平台啊，因为随着新电力系统啊，那个电，那个电力货市场等一些业务的这个开展，它与第三方系统的这个口会变，第三方系统呢，比如合聚合商等这样一些这个系统极易被。

很有可能被这种非法入侵那个那个群控群条，像类似那个前面讲的这种驾驶网络啊，物联网的一些驾驶网络这样一些这种情况。然后第三个风险呢，是与传统的电力系统的这个网络，这个业务终端呢，都是电网自己的这个资产，在可信的物理环境下不同，新型电力系统部分终端呢，有可能是用户的，或者说这个终端是部署在用户侧，它基本上属于一种非可信空间的这个终端，它接入网络呢，存在被篡改，被这个。被这个伪造被侵入的这样一些风险。然后第四个呢，是这个数据安全风，就前面讲，就之前传统的这个电力系统相对来说还在，主要在电力系统网行，然后随着新业务的发展呢，系统内外部交互呢，更加繁，就是一些比较重要的数据呢，有可能会被外部的一些电商平台啊，或者接口啊，或者其他的一些数据啊，或者产生数据泄露，或者数据被改造的这样一些风险，像建立市场的有一些报价敏感数据呢，这个泄露也容易产生一些经济上的这样一些损失。

第五个呢，是一些供应链安全，就是说随着这个。有一些系统啊，还在使用开源组件，国外芯片，然后包括一些这种第三方厂家的一些运维人员，它如果是被这个装置会被安装，这个后门被它也会在供应链层面上呢，产生这种安全风险，新型电力系统它可能面临的这样一些新的安全风险。那么信电力系统它这个整体的这个安全技术趋势呢，是随着这个电网数化啊，传统的就是前面讲的以边界防护为主的这个安全体系啊，得难以适应，安全防护理念和技术呢，正在同步演变，呈现出呢，加强本体安全，内控安全，是智能防御，网络弹性等发展趋势。

主要是呢，在本体安全上呢，就从外挂式向内生式转变，应用可信计算等本体安全技术呢，开展数据安全CPS全强非信全信全障4G5G控业务的这个安全。在控安全上呢，主要是强调核心产品设计研发阶段呢，强调这个硬件软件的这个。自主可控。就是可能要有一。这个国产化的替代，然后运维阶段呢，应该加强内控防护，防范内部人员这个蓄意。然后同时对第三方一些开源组件，然后要进行一些安全管控和这个测试，响应国家的这个信战略，开展原器件国产化，替代防范硬件的这个供应链。

然后在智能御上呢，应该从传统的基于这个规则名单的这个护，向人工能的这个防护转变，升知的威胁，提提升对未知威胁，高级高等级威胁的检测能力。建设了这个安全编程和自动化响应的能力，就是前面刘老师也讲了这样一些采用。现在呢，也就是逐步开始实。然后实现了安全风险事件的这个自动化。在这个网络弹性上，因为电网它是一个公共网络，个人网络，或者说互联网网络呢，它有一些。有一定的区别，在安全性上，实时性要更所网要具有大的这弹性要全面提升呢，隔离加密等专用安防装置的这个防护能力强化，抵集团是有组织工具的能力确保核心区域啊，就是生产控制直接相关的这个区域的这个业务安全，然后互联网大区呢，边端侧的这个业务呢，要要要要要要追求这个安全与这个。

要要追求与安全，与业务的有机融合，不能去不能不能追求绝对的安全，就是要接受一定的这个安全风险，能够及时发现呢，进行处置。然后我们对电力系统网络安全防护的建议呢，大概是有这几个方面，首先是在这个前面讲的实施号，然后16方针的基础上呢，重点开展下面个方面的这个工作，大概可以分为四个，四个一个是主要是加强系统本体安全、内控安全、运数据安全合规。第二个是这个墙外围。然后数据可。

接控业务安全，然后第三个是就是安全，这个建立安全的缓冲区，自主可控，第四个是全监控，全监控建立全景，全景感知与联动响应，进行这个安全运维服务，大概通过这个方面，在新型电力系统下呢，加强网络安全防护。好，谢谢大家，我的分享到此结束。好的，感谢朱江先生的分享，如果大家有相关的问题，欢迎在评论区积极留言，稍后也会有专家为大家进行解答，因为本次这个我们这个直播的这个途径会比较多啊，这个由于时间关系，我刚才这个看了一下，我出几个网友的这个问题，请两位专家予以解答吧。

我看有一个网友叫的。M。好的，呃，我大概说一下就是呃，腾讯的服务它其实是呃。包含的服务有三大区别。第一的话就是个能力刚。在情报这一块，比较关键的是我们能了解攻击者他有什哪些攻击手段，包括的话最近行业里内外部有哪些攻击的这种漏洞，那么这个的话能帮助我们及时去做好相应的这种防范工作，比如说做一些修补加固，或者做一些内部的这种威胁狩猎或者安全的检查，那么这种是呃很核心的，那腾讯其实在情报这一块的话是呃，目前有收集，目前有在全球部署了400多个监测的这个节点。

那在出现漏洞之后，能够一时间去的应度监是比较除情报之，还有两个二的话就是防，那大家都知道就是腾讯其实本身有很多的这种。呃呃业务放在放在云上，那其实腾讯的业务对要腾讯呃公司的业务很多都是互联网业务，它对安全的实时性要求，可用性要求和安全性要求一般比一般的这种行业要求高很多，所以在这个过程中的话，为了保障业务的可用性，那我们其实有呃大量的这种安全的攻防团队的人员去做这个安全的测试，或做一些安全的防护拦截的工作，所以在攻防这块的经验，我们更多的是来源于实实实战我们的这个防护的这个呃经验和防护的工具也都会用到这个M上去，这样一来的话，就是能够在整个实战过程中达到更好的更快速的一个防护的效果。

这是我们在攻防这一块的一个呃呃优势，那第三块的优势的话就是自动化，刚我也提到，就是其实在SOSO这个安全编排动化实践发现很多用户不同的需求。或者安全运营的事情，那为了提升这个效率，我们自己内部在三年前就已经开发了一个安全编排的一个工作引擎，那么专他专门为安全而生，就是能够把我们日常的安全的呃，接口安全的能力，能够通过这个工作流的引擎能够串联起来，相当于我只要把相当于我只要把流程图画好，那这个流程里面配一下参数，它自动化能够去完成一系列的安全的运营，安全的这个监控，或者说封禁拦截等一些操作能够。很快去提升效率，所以这个是应用到我们的MS服务里面的时候，能够使这个服务的效率大大提升，而且呃高它的那个不容易出现疏漏，相对而会比较更完整和迅速，那这是这三大一个就是情报攻防和高效的自动化的能力。

OK。好的好的，两位两位专家也打开摄像头吧，这个我看到这个网友也都非常热情，热情啊，这个我再提一个问题，志高这边有一位叫那个c rai。Courage的一个一个网友提的，他说护网期间针对我们社工，我们如何有效防护，这个您看是不是能够尝试的，这个回答一下，OK，这是一个非常好的问题，其实呃，在攻防演练期间，我们在刚开始的时候，其实也有很多这样的一个疑问，因为其实呃。在人防这一块，是我们在整个重保服务方案里面会重点考虑的，因为大家平常的安全防护手段，加固啊漏啊，更多的是防范这个系统的漏洞或技术上的一些缺失，策略的一些不足。但是呃在社工钓鱼这一块，其实我们的呃防护的话，一般来说很多用户其实不会关注，这里我简单提三个点，也是腾讯公司内部在做每年的购防演练过程中，我们重点做的三个方面的工作，第一块就是建立一个联防的机制，所谓联防的机制就是我们通过呃构建一些情报能力，能掌握到刚才我也提了，提到的就是包括事件情报和威胁情报，我们知道说攻击者使用的什么钓鱼样本。

以及他使用了什么样的这种呃钓鱼手段或者话术，来去吸引我们内部的员工去呃点击它，那如果我提前掌握了，我能在内部去发送这样一些预警的通知，或者群里发送这样一些通知，告诉大家不要轻意去点击，或者说注意这样一些行为，那么这样一个能达到很好的一个呃安全宣导的一个作用，这是在联防这一块，借助情报来做内部的这个安全的教育和宣导，那么第二块就叫人防，我们知道就所有的社工钓鱼供给他的攻击对象是人，就是我们人员的意识的缺失，所以在这一块的话，我们有必要在每次的供房里面前去提供一些安全的意识的教育培训，告诉他需要有哪些点需要注意的。举个例子，比如说我们一般在给用户做的时候会告诉他们，比如说你需要注意不要随便点击不明的链接，包括邮件的，包括小红书的，包括微信的，然后有哪些工具的方式会告诉给他们，那么他们会很感兴趣。然后。

他在内部会做一些这个案例的这个分享。或者案例的一些这个报，那另外一方面的话，还有一些像us可能在公司门口了一个插后，直接做一记录，能够呃监控你输入的一些任何的这个信息，然后回传到它的这个呃，这个呃呃，他搭建的这个WiFi站点里面去，然后进而去，或者或或者他搭建那个服务器里面去，所以这里面的话，针对人防有哪些技术手段，有哪些这个攻击的这个方式，这些安全这些案例，我们需要在内部去多多做一些宣导，做一些安全意识的提升，这是在安全意识这一块的，那第三块的话就是技法。

那么技防它的核心就是在于我前面两层都突破的情下，攻击者攻击队都突破的情况下，我怎么样去做一些呃，这个技术上的防护，那么。假如说我做了内部的宣导，我同时我内部我也捕获到了这样一个情报，我还是有员工被攻击了，这个事候已经比较晚了，该怎么去解决，那就是地方要解决的，我们呃的解推荐的解决方案就是通过LV，也就是内，就是腾讯现在自己内部用的信任的这套安全体系，他的思路就是说我所有的我，我本身包含三个点，第一个点的话就是我，我在掌握了这个工具的情报之后，我知道说工具者用的是什么钓鱼的邮件，他用的是什么的这个木马。或者说这个文档，那么我在识别这个文档的MDMD档这个同，那我把这个MD档别出来之后，通过这呃你信的这个系统能够快速去识别哪些机器中招了，那么中招之后呢，接下来我可以通过这个你信的系统去控制它，对它进行信息隔离，避免这些用户的主机被远控制，后来作为跳板区去攻击靶标系统，所以这个终端的隔离和后续的这个审计也是您信任系统一些关键的功能，那么通过零信任这样一些机制，我们就能很好的去切断这个已经，就是识别哪些员工中招，并且去切断这些员工的主机或者他的终端，来避免对靶标系统做成呃，造成一些横向的移动或者说击。

大概就是分为这三块，就是呃联防、人防、技防，分别通过情报安全识提升和我们的呃生系统来去做一个协同。

好的好的，那个志高你打开摄像头吧，这个这个这个网友提出来看不到您了，这个然后因为今天时间比较有限啊，我们再安排三到四个问题吧，下面我看有一个网友提的一个问题，这个我看尝试回答一下吧，就是目前能源行业全护体系的对零怎么看，那个老师看回答一。跟网友回答的，嗯，好的，然后这个问题呢，其实也有一定也有一定的这个代代表性就是现在呢，这个随着能源互联网啊，然后包括这个新型电力系统的这样一个蓬勃发展，然后各种业务呢，这个就是不断新业务不断涌现，就是一方面云大致电呢，这样一些新的技术呢，也逐渐进入到这个。电力系统的网络安全防护中，然后有一些新的安全防护理念也被引入进来。

然后那个就是相关的主要的电力企业呢，对零信任这个防护的这个理念啊，和相关的技术啊，也进行了一定的这个研究和探讨。然后与这个。互联网中，比如说以谷歌为代表的这种零信任，这个有有有一些比较大的差异在于呢，电网企业中的，它有很大一部分的这个使用人员，他这个身份呢，其实是固定的，就是说。它相关的一些权限呢，在开通和使用的时候啊，它有比较严格的这个限制，比如说各个公司的有一些管理生产的这个专啊，一些网安专，包括一些自动化的专，然后他对18大系统的这样一些使用权限，事先是通过一些离线的方式进行申请的，经过批准的，所以说呢。在零性案例中，其中呢，他这个就是说处在这个初始化的阶段呢，其实就是说他不会说一开始就就拒绝这个人员的登录，然后应该在新型电力系统中和相关的这个行业的这样一些业务系统里，它初始化的登录和人员的权限呢，它是按原始的来的。

但是零信任，它其中一个持续的这个认证，持续的这个信任评估呢，这一点呢，可以用在这个信电力系统里来，就是说在这个正常的人员使用和操作电力监控系统等业务系统的时候呢，可以根据他操作和使用的环境，具体相关的业行为进行智能的分析和判断，如果发现他操作的这个时间有这个就是异常，然后可以相应的降低他的权限。就是说对他的这个权限进行一些这种限制，也可以产生一些报警，比如说正常的一个正常的这个操作人员，他可能是在白天上班的时间，在机房内进行一些正常的操作，如果突然他是在凌晨或者说在比较晚晚的时间段进行一些大量的恶意的，大量的密集的这样一些操作呢，又没有与特定的业务相关联，那么这时候可以有一定的几率判断他这个员工使用是不是有一些异常，是不是是因为远程的一些这种。

网络攻击啊，或者其他的一些形式产生的就可以，这时候可以进一步要求他再进行自己相应的一些认证，还包括一些重要的一些这个控制指令的这个下还包括一些操作，如果说能够判断出来。距离当时的登录呢，已经有一定的时间了，当这个重要的一些控制指令要下的时候呢，还可以要求他进行再次认证，如果说判断他这个操作的终端和环境有异常，也可以对他这种。有那个控制的一些指令了，提出进一步认证的要求，比如说可以要求他经过一些线下的人工确认，然后才来满足他进一步操作的这样一些要求，所以说零等一些互联网的新的一些防护理念呢，可能在进入电力系统这样一些，就是实时性要求比较强，生产性的这样一些，这个行业里边呢，需要进行一些一定的调整和这个优化，嗯。

好的好的那个我看这个这个本来还想再再提问的，我看有一个本来想那个毛万峰网友提了几个问题，我看都已经，我们会务组已经说是恭喜获得虎年公仔一份，那您的问题就私下跟我们再再联系吧，这个建立联系了，我们这个私下帮您解决好吧，然后我再看看还有没有什么网友的这个提问啊。还有一个志高，你看回答一下，这个能源网络安全攻防系统和技术开发周期有多长啊？好的，嗯，从我们呃对一些黑产组织和一些这个呃就是攻击攻击团队的一些分析来看的话，一般而言其实分两类，针对煤行业的一类的话是漏洞供给，那漏洞供给的话，现在科武器化的漏洞供给，按照去年和前年的一个呃呃统计到的一个量的话，大概是在去年有一个翻倍的增长，去年有58个。

这58个漏洞的话，其实综合算下来的话，平均呃六点二天，也就接近一周的时间，会有一个新的这个呃在野攻击你这个黑被5G化的漏洞出现，并且影响还比较大，所以漏洞这一块大概是周期是七天左右，呃六到七天，而另外一块是针对能源行业比较呃增长比较快速的一个供给，就是钓鱼供给，那么呃，根据现在一些我们了解到的外部的一些报告，它显示现在针对亚太区的这种能源行业的员工的钓鱼，然后在去年和前年的时候有非常大的一个变化么，去年达到了30%，那么这欧洲整个供击量也才百分之呃16到17左右。所以呃从这个角度来看的话，我们也分析了一下，就是漏洞钓鱼这样估计的一个频率周期，他们大概呃可能不同的黑客组织会有一些关注点，有的这个呃有黑客团体，它可能是一个月会针对一个行业，比如说我们知道我们关注一个呃黑客组织叫A，它是针对呃电呃这个人员和那个通信行业，他们会定会轮流的来，就是针对这些行业，会按照一个月的维度去做一些呃供给大概是这样的一个一个一个情况。

漏洞呢，大概是一周左右，钓鱼工他们可能是不同的黑客组织，会招募不同的团队，一般是以以月为度，呃，正常情况下是一到两个月左右。嗯，好的好的，这个我看我们今天时间关系，时间也比较紧啊，我再看再再回答一个问题啊，我看有一个叫思想的尾草，提了一想咨询电网络安全护和网护什么。这个我看朱总是不是经验更多一点，帮我们再分享一下朱总。

嗯，好，这个其实其实在核电这个领，在这个核电这个领域里面啊，它相对来说，其实呢，我我老家是连云港，我有幸呢，就是去过一次连云港的那个核电站。然后呢，就是其实我因为那个时候去的时候呢，就是时间还比还比较长，然后其实相对来说核电的这个管理啊，它是非常严格的，就是核电厂，其实它不是说跟电网就是有可比性，它主要是跟电电厂。它其实是一种就是特殊的一个电厂，它是一个做一个电电源部分电网的这个防护呢，相对来说呢，考虑的这个问题呢，会比较多一点，因为它这个会考虑发生发出变配用它整个这个全流程的这个这个这个考虑啊，各个环节的考虑会会相对来说比比较多一点，然后这个对电厂来说呢，普通的这个发电厂呢，它其实有一定的这个等保护的这样一些要求。

就是按等的这个三级或者四级的这个要求进，但是呢，这个核电厂呢，应该不是按照就是简单的这样一种方式来的，就是我们我我这边呢，虽然去过，但是没有就是详细那个详细就是说非常详细的研那个研究过，他这边这个安全防护呢，是应该有它这一套更加严格的安全防护的体系，就是对他这个网那个网络的一些使用的，它包括一些我们就是大家知道的这个横向的一些正反向隔离置，就物理的横向的这个可以业界可能叫网闸，也可能叫这个。正反向隔那个叫物理隔，物理隔隔离装置，它的逻它的逻辑呢，就是把这个两边的这个数据啊，进行完全切断，只进行这个数据的百度就离任何的这个TCP啊，Udp的数据是没办法通过网的，它不是像防火墙一样，在逻辑上把它给隔断，就目前来说，我们正常的电厂，包括电网用的这个正反向的隔离装置呢，它基本上是属于这种。

单项数据过去是有少量比特级别的这个那个响应的这个报文回来，但是在核电这个领域呢，它是纯单向的，就是一个数据由这个有一当有当有一个数据从这个高安全等级的低安全等级去传输的时候，它是不进行任何的这个返回的。因为他如果返回以后，意思就是有可能打通它高低，就是高低等级之间数据的通信，所以说他是不进行任何的这个返，所以可见它这个网络防护的这个等级啊，是非常高的，就基本上应该是我们觉得应该是高于电网现有的，就是或者普通电厂现有的这个防护等级，它基本上是在自己独立的内网里边进行工作，然后它的这个网络环境呢，就是也不会存在新型电力系统里这种暴露在不可信的一些空间里边去。

因为我记得我当时去的时候，进入他那边这种参观区域，都是有两三层的这种进行防卫，所以它大量的设备是不会暴露在这种开放的环境下，它它不存在，就是说物理防护不到位的这样一些设备设施存在。所以说防护等级很高，然后同样有一些我们的防护的这个手段呢，可能对他来说也不适用。但是对他来说呢，他本体安全防护呢，我认为是有一定关联性，比如他的一些自主可控，现在应该都是用的是一些纯国产化的这样一些设备，包括一些操作系统啊，技术软件这样一些呢，它应该是就是说跟我我们电网的这个相关的一些要求啊，其实原则上是一致的。

就是电网也在这种，就是本体安全防护，自主可控这个方向去走，但目前应该还没做到这个程度。大概是这。好的，由于时间关系啊，我们今天的这个直播和分享就到结束了。感谢所有嘉宾的精彩生动的演讲，也感谢大家热情的参与和聆听，希望今日的分享能够给您提供帮助，希望在下一次的直播中再次看到大家的身影。袁能量。能源业视角下全能力实上播此结束，再呢分钟时间吧，我再投一个屏，我看今天的网友的这个提问也比较多，我们也没有办法这个有限的时间内一一回答，这个我们投个屏可能加一个一个什么样的一个方式啊对。

这个给给个二维码，大家进来，这个加进来之后，可以再把你们的问题重新再提一下，然后我们就会有专家给您耐心的解答和分享。好吧，我我投个屏吧。各位能看到吗？我们投屏。好，我们投屏两分钟好吧。

好的，我们本次的直播，呃，告一段落，下次再见，谢谢。好，谢谢大家。嗯，感谢。