烽台科技(北京)有限公司
国核自仪系统工程有限公司
1 项目概况
1.1 项目背景
习近平总书记多次就网络安全发表重要讲话,并强调“没有网络安全就没有国家安全”,同时国家还做了一系列重大部署。国家和行业主管部门陆续出台多项法律政策和标准要求,为实现网络安全提供法治保障和指导原则。某发电集团依据电力网络安全形势,出台了《集团公司强化网络安全保障工作方案》,强化集团公司网络安全人才队伍与网络安全宣传工作,持续加强对基层单位、二级单位网络安全工作人员的专业知识及技能培训,建立“红蓝队”攻防实战演练机制,培养内部攻防队伍以及网络安全宣传。因此,该集团各级单位现阶段亟需提升关于网络安全方面的专业技术力量,用于支持开展应急演习、攻防演练、人才培养和测试验证等工作,加强该集团各级单位网络安全保障能力。
1.2 项目简介
国际网络安全形势日益严峻,针对电力系统的网络攻击事件频发、增长迅猛。该集团现有的网络安全支撑力量不足,每年的“HW行动”除两家实验室提供支持外,其他支持力量皆来自外包。虽然组建了集团“红蓝队”,但实际上掌握攻防技术的人员少之又少。此外,该集团外部培训条件有限,无法满足集团内部实时、常态化、灵活性、可支配的培训需求,使得集团急需构建网络安全人才保障体系,为实战化网络安全运营提供保障。
发电行业网络靶场平台结合该集团现有的电力系统和核能发电系统特点,搭建典型仿真应用场景,包括火力发电厂系统场景、风力发电厂系统场景、光伏发电厂系统场景、水力发电厂系统场景、核能发电厂系统场景和源网荷储系统场景,并基于上述场景部署安全攻防培训、攻防演练及攻防应急处置等数字化安全与能力培训内容,依托靶场实现网络安全保障能力建设及运营。
1.3 项目目标
(1)行业所面临的挑战
进入21世纪,国内外电力系统网络安全事件频发。伊朗“震网”病毒攻击、乌克兰“12.23”大停电、委内瑞拉大停电、南美五国大停电等事件表明:敌对势力利用网络攻击成功破坏电力等国家关键基础设施已成为现实。
2016年,国内个别型号配电终端被发现存在配置界面弱口令和权限绕过漏洞,安全专家模拟的攻击者可利用漏洞登录配电终端,进入配电自动化系统网络。2017年,国内部分充电桩使用的SIM卡被发现无线专网访问控制失效,且内置系统存在硬编码漏洞,攻击者可利用上述问题,远程访问充电桩内系统存储的文件和数据。2018~2020年,在“HW行动”实战攻防演练过程中发现,电力系统重要的安全防护措施——隔离装置存在漏洞,攻击者可绕过该装置攻击电力工控设施,此外,2021年“HW行动”期间还发现了某电力系统的网闸存在安全隐患等问题。
(2)主要目标
发电行业网络靶场平台作为该集团主要的网络安全保障能力建设手段和工具,推进了该集团网络安全攻防队伍、靶场及实训平台仿真资源池及支撑工具、网络安全人才培养体系建设等工作,提升了电力关键信息基础设施网络安全防护能力,保障电力系统安全稳定运行。其主要建设内容及目标如图1所示。
图1 项目主要建设内容及目标
(1)网络安全队伍建设
建设集团梯队化网络安全攻防队伍,形成对集团总部、各单位覆盖全部信息系统及工控系统的网络安全攻防能力配置,构筑支撑该集团网络安全防护的钢筋铁骨。同时,为该集团建立健全网络安全红蓝队演练机制,“红军”重点攻克,“蓝军”重点防御,实现“以攻击促防御、以攻击促整改、以实战促培评”的长远目标,最终达到网络安全“红军”“蓝军”相互促进、循环提升的目标,保证该集团网络安全攻防队伍在三至五年内具备自主完成HW任务的能力。在“十四五”末形成该集团的网络安全保障能力,建立500余人的基础攻防队伍,20人规模的红蓝队,可支撑集团总部、二三级单位具备独立引领团队进行网络安全实战攻防对抗和应急处置能力。
(2)靶场及实训平台仿真资源池及支撑工具建设
按照“理念超前、技术先进、功能实用、统筹规划”的总体原则,充分利用该集团各单位现有仿真环境资源,建设全业务、分布式、高仿真的贴合该集团发电业务的靶场环境及实训平台,支撑该集团网络安全保障能力建设工作。同时,面向该集团攻防队伍,构建靶场及实训攻防场景,检测评估攻防队伍安全能力。面向该集团组织内部实战化的攻防演练、应急演练资源支撑工具建设,开展漏洞挖掘、攻击方式研究、远程渗透、深度监测分析、网络安全事件调查处置等工作培训与演练,达到挖掘深层次安全隐患、提升该集团应对外界高危攻击能力的目的。
(3)网络安全人才培养体系建设
构建人才培养体系,通过该体系逐渐培养网络安全关键岗位继任者和集团网络安全攻防队伍后备人才,为集团提供网络安全人力资源保障。培养体系面向该集团不同业务板块人群,建立健全网络安全培训课程,并结合工业生产业务,针对各单位网络安全及工控安全从业人员掌握的背景知识、能力水平,有针对性地进行初、中、高级培训。人才培养体系基于该集团自身的实际情况,制定网络安全人才吸引、保留、培养、评价和激励机制,积极推动网络安全人才的迅速成长及合理流动,优化网络安全人才资源的合理使用,同时也促进发电行业网络安全人才培养的整体发展。
2 项目实施
发电行业网络靶场平台系统架构如图2所示。
图2 发电行业网络靶场平台系统架构图
靶场仿真装置结合该集团现有的电力系统和核能发电系统特点,搭建典型火力发电、核能发电等仿真应用场景,通过发电行业网络靶场平台虚实结合功能开发,实现各类工控软、硬件和虚拟化资源的接入,并支持虚实互联组网。
发电行业网络靶场平台将各类软、硬件资源注册为组件,并对其进行统一管理,基于Web页面的简单拖拽实现可视化拓扑组网,从而快速构建出无限贴近真实的核电站监控系统仿真环境,依托仿真开展攻防演练、人才培养、测试验证等一系列安全研究活动。
发电行业网络靶场平台安全分析系统,通过安全检测与分析输出数据和报告,配合发电行业网络靶场平台对攻击流量和攻击行为进行可视化展示。
演练验证专用客户端内置了专业渗透测试工具进行漏洞扫描,用于开展渗透测试活动。发电行业网络靶场平台可视化拼接屏为6.1×2.7m的工业级实验室拼接屏,用于呈现实验室的各种系统及界面。
网络安全人才培养体系框架如图3所示。
图3 网络安全人才培养体系框架
网络安全人才培养体系框架纵向分为五个层次,分别是体系管理层、培训载体层、培训形式层、培训内容层和培训对象层。体系结构层次分明,有利于体系化发展。横向分为知识建设、技能建设和经验建设三个阶段,每个阶段都包含网络安全人才培养体系框架纵向分层内容。
根据电力行业网络安全人才培养情况,网络安全人才培养体系设计培训方法包括自学、培训(面授)、带教(试验)、交流和实践(演练和竞赛)等学习和培养方式,首先在自学+培训的方式上,培训平台提供上述网络安全课程供集团员工进行自主学习,并辅助靶场平台提供的网络安全场景和靶场灵活组网场景构建的能力,提供基于实战化条件的网络安全培训,让学员掌握网络安全基础知识和工作技能。除此之外,借助集团其他优秀成长的网络安全管理与技术管理者,以传带教的方式,对集团其他网络安全学员进行带教,定期组织交流活动,以及带领他们参加网络安全比赛等,实践和锻炼集团网络安全人才队伍的技能,使其更好更快地胜任集团网络安全岗位并保持岗位层级的优先晋升。
网络安全人才培养体系主要阶段设计如图4所示。
图4 网络安全人才培养体系主要阶段
知识建设阶段主要通过实训平台等进行学习,达到为学员提供知识基础以促进技能发展并成功应用这些技能的目的。
技能建设阶段侧重于应用基于前一阶段所学基础知识的实践技术技能。主要通过实训平台等进行学习。
经验建设阶段培养在不断变化和陌生的环境中适应并成功应用技能的能力,实现个人在真实环境下知识和技能的运用。主要通过攻防演练、比赛、应急演习等进行学习。
评价阶段使用绩效指标来评估学员对培训内容的吸收程度并确定持续专业发展的改进领域。
3 案例亮点
3.1 应用情况
发电行业网络靶场平台目前已在该集团投入运行,除对该发电集团安全研究团队提供日常研究及检测业务支撑外,还针对全集团的网络安全保障及人才培训业务提供支撑。目前,发电行业网络靶场平台已在全集团实行如下应用推广:
(1)依托发电行业网络靶场平台,围绕该集团网络安全能力保障能力总体目标,通过基于发电行业网络靶场平台建设,构建该集团网络安全攻防队伍,并通过开展持续的网络安全基础能力培训、专业化的“红蓝队”技能培训和攻防演练实战培训,以集团内部网络安全大赛、护网行动等形式,建立健全的网络安全人才培养体系。
(2)依托发电行业网络靶场平台,为集团建立了网络安全“红蓝队”及演练机制,促进集团攻防演练、应急演练常态化演练机制。
(3)依托发电行业网络靶场平台与网络安全人才培养体系,在集团开展信息安全意识(通识)培训。
(4)发电行业网络靶场平台依托于该发电集团“工业控制系统信息安全技术-国家工程实验室-电力行业联合实验室”和“核电数字化仪控系统信息安全联合实验室”,进行三代核电数字化仪控系统信息安全解决方案研究、发电系统及网络架构信息安全技术研究。发电行业网络靶场平台将对满足通用技术要求的、不同品牌、不同类型的信息安全产品开展调研,将这些工控安全防护产品集成至仪控系统机柜中,开展各类环境试验、EMC、抗震试验等;通过在系列核电站的核电数字化仪控系统中集成信息安全设备并落实信息安全控制策略,实现对系列核电站数字化仪控系统的信息安全加固。
(5)发电行业网络靶场平台还支撑该发电集团发电系统信息安全应用中存在的问题,包括安全性检测研究和合规性检测研究。发电行业网络靶场平台搭建发电系统信息安全测试环境及相应装置,用于验证发电系统的信息安全特性、信息安全产品的功能及安全性,以及研究信息安全漏洞检测与挖掘技术、防护验证技术与符合性测评技术,制定符合性测试规范、安全性测试规范及风险评估等方案,为发电系统在开发调试、集成测试、运行维护等阶段的信息安全检测提供平台支撑。
3.2 商业价值及社会价值
发电行业网络靶场平台包括火力发电、风力发电、光伏发电、水力发电、核能发电、源网荷储六大发电仿真场景,并基于六大仿真场景建立了“风光水火储一体化场景”,为该集团各级单位提供安全人才培养并普及工业网络信息安全知识,进一步推动了各发电领域产需对接。发电行业网络靶场平台建设从人才、技术、产品、服务等多方面提升了工控系统产业供给能力,增强了产业链上下游协同互动,为该集团工控网络系统提供持久化安全性测试环境,有效解决了生产系统无法实时针对新的安全事件进行测试的问题。此外,发电行业网络靶场平台的建设为核电工控网络安全理论研究与试验提供支撑,可将各种攻防工具和方法放入发电行业网络靶场平台,试验攻防工具和方法的效果,最终实现对新攻防技术的有效性验证。
(1)为行业统计及监管提供依据
目前,随着信息服务行业的迅速发展,网络安全从业人员越来越多,但是由于缺乏统计依据,在行业发展过程中,对网络安全从业人员的摸底、统计以及监管工作都缺乏抓手。网络安全人才培养体系将为行业主管部门开展行业统计及监管工作提供有力的依据。
(2)有助于规范网络安全人才培训市场
伴随电力行业的迅速发展,IT培训市场的规模也逐渐扩大,但与整个行业的发展相比,网络安全实用型人才的培养效果和速度明显滞后。各类培训机构均会针对企业的需求和技术发展方向对人才进行培训,由于缺乏统一规范来进行指导,培训质量良莠不齐。网络安全人才培养体系的建设及在集团的推行,可对培训机构及培训师提出参考要求,有助于规范网
络安全人才培训市场。
(3)缩短高校教育与企业用人的差距
目前高校教学与企业人才需求有一定脱节,网络安全人才培养方向略显单一,高校对企业人才的知识、技能标准不清楚,学生毕业后在企业很难直接开展相关工作。网络安全人才培养体系提出的职业种类、人才能力模型、人才培养方法及能力地图,可以为高校设置相关专业及课程提供参考和依据,从而缩短高校教育与企业用人的差距。
(4)降低企业用人成本
网络安全人才培养体系的人才培养和评价体系都是为其业务发展服务的,其自身的职位等级划分均与其实际的业务方向密切挂钩,而业务种类繁多,即使在同类业务当中依然存在不同的技术分支,其中也存在很多细节上的不同,而这种情况并不利于网络安全人才在该集团间的流动。缺乏互认机制,造成人才资源的浪费和不合理使用,增加了企业的负担,大幅提高了企业用人成本。依据网络安全人才培养体系可实现网络安全人才资源整合与共享,可缩短该集团招聘及人员培养周期,从而降低该集团用人成本。