“平战结合”体系筑牢数字化改革基石——浙能电力开展网络安全防护体系建设实战

随着国家“双碳”战略的落实，浙江浙能电力股份有限公司（简称浙能电力）全面贯彻浙江省委省政府和省国资委数字化改革的要求，今年按照浙能集团工作要求，深入开展浙能集团数字化“132”工程建设，围绕数字管理、数字生产、数字服务“三大应用”和标准制度体系、网络安全体系“两个体系”建设，取得初步成效。

作为大型能源企业的浙能电力，随着数字化改革进入到深水区，针对电力监控系统、信息系统的稳定性、实时性、可靠性提出了更高要求，给网络安全防护带来了巨大的挑战，企业安全能力亟需全面提升。

综合防护体系护航数字化改革

为保障企业在数字化改革的进程中全面应对复杂的网络安全风险，浙能电力以“推进平战结合的网络安全综合防护体系”为安全建设目标，以“完善管理机制，处置工具，提升处置能力”为运营体系建设抓手，并与深信服科技等网络安全合作伙伴协同合作研究，为企业构建“平战结合”综合防护体系，帮助浙能电力实现常态化、体系化、实战化的网络安全目标。

“平战结合”综合防护体系包含企业日常与网络被攻击等多种场景的运营模式，在网络受到攻击时，运营模式与策略可快速“一键生成自动响应流程”，及时应对网络攻击情景。同时通过重点打造零信任对外业务发布模式、内外网隔离架构、外网虚拟专线、电力工控安全监测、管理运营流程等综合安全防护体系，实现发电企业网络状态可监测、边界可防御、入侵可识别、态势可感知、战时可响应的常态化安全防护目标，帮助浙能电力实现了安全综合防护服务能力的全面提升。

构建零信任实战五步法

“平战结合”体系是浙能电力基于零信任理念构建的安全防护体系，目的是建立“上下一体，分级分控，安全分区，网络专用”的网络安全综合防护体系，保障企业内外网业务的安全运行，通过一年多的运行磨合和升级加固，总结了零信任体系的动态访问实战五步法。

首先是业务代理发布，升级访问流程架构。无论是移动办公，还是内部业务访问，需先通过零信任网关的认证，然后由零信任网关代理访问内部业务网络，同时开启内部业务网络访问审计功能。零信任控制器对接统一身份权限中心，可实现每个身份账号访问业务系统时只具备最小访问权限。

其次是单包授权机制，实现业务发布隐身。传统业务系统对外端口易遭受大量扫描攻击，零信任系统利用本身最新一代的SPA单包授权技术，为每个员工分配唯一的SPA码并与终端电脑绑定，采用“一人一码”的全新管理模式，当验证通过后才能与服务端建立安全隧道访问业务，实现零信任边界网关服务端口的隐身。

然后是多因子认证鉴权。利用内部APP结合短信码的方式实现增强认证，并基于终端所处的环境对登录行为进行分析。一方面按照规范化、最小化原则赋予用户最小的资源访问权限，避免暴露过多内网业务。另一方面，引入动态权限调整策略，用户访问业务系统的过程中，对访问终端、访问行为实时监测，发现不符合的访问策略能动态调整用户的访问权限，同时通过二次认证、安全警示等灰度处置方式，精细化控制访问过程。

再然后是虚拟专线技术，拒绝一机两网跨网访问。在业务系统运维中管理员强制开启虚拟专线功能，开启后将使终端仅能访问内网业务，不再具有外网资源的访问权限，较大程度避免了一机两网的跨网操作风险，避免了主机沦为跳板访问的风险。

最后联动检测技术，优化攻击溯源。为防止隐性信任访问，浙能电力为实际攻防场景打造快速精准匹配策略，匹配现有态势感知工具，进行高级威胁分析，抽象账号分析、设备出向和入向行为分析三种精准溯源场景，实现快速联动响应。