能源企业每天被网络攻击达1000万次！边界安全该如何建设？

“2023年我国建成的能源行业态势感知系统显示，我国能源系统每天遭受的网络攻击高达1000万次。”这是国家能源局电力安全监管司原司长苑舜在2024年北京网络安全大会分享的一组数据。来自能源企业的安全专家证实，我国能源企业每天都面临着不断渗透和网络攻击，对生产运行造成极大的威胁。

某能源央企集团为国资委下属98家央企之一，系中央管理的关系国家安全和国民经济命脉的国有重要骨干企业。经过数十年的发展积淀，公司形成了以水电、核电、煤电、气电、风电、船舶动力装置、电气驱动设备、电力工程总承包、金融服务和投资业务等为主，涵盖发电设备研究制造、工程建设和制造服务产业布局的大型综合企业。

近年来，该能源央企在加速数字化智能化转型，以及向国产化平台迁移的过程中，面临的来自勒索攻击、数据泄露、业务中断、合规监管等挑战也越来越严峻。

为此，该能源央企2023年正式启动了网络安全升级项目，通过和奇安信集团合作，采用典型的上网行为管理+防火墙+IPS的完整部署方案，在网络出口出入向安全防护、网络威胁发现与阻断等多个领域实现了全面覆盖，有效保护自身网络边界安全，同时满足国资委等上级单位的监管要求，打造了央企信创安全建设的新标杆。

传统设备性能不足、安全薄弱，

升级势在必行

据介绍，在项目升级之前，该能源央企已经具备了一定的网络安全基础，然而随着数字化转型深入和国产化替代的要求，原有边界安全方案逐渐无法满足未来需求，具体表现在技术、管理和运行三个层面：

首先是性能、稳定性、安全性不足，技术升级迫在眉睫。

由于历史原因，该能源央企使用的是较早时期的网络设备，这些设备的技术水平、稳定性已不能满足当前业务发展的需求，特别是在面对高流量、大数据量的处理时，容易出现响应迟缓、服务中断等问题，严重影响了业务的连续性和用户体验。

同时，原有平台安全防护效果严重不足，重保和实战攻防演习期间均需要重新部署安全设备。过去该能源央企的安全防护主要依赖于网络设备厂商提供的融合安全一体机，这些产品在面对新型攻击时显得力不从心。尤其在重要保障时期，为了加强防护力度，不得不频繁地调整或新增安全设施，增加了运维成本的同时也带来了安全隐患。

其次是国产化大势所趋，新方案需适应新政策监管需求。

近年来，国家针对信创产业提出了“2+8+n”体系，“2”是指党、政，“8”是指关于国计民生的八大关键行业：金融、电信、电力、石油、交通、教育、医疗、航空航天。作为国民经济的支柱产业之一，能源行业的国产化替代浪潮已经全面掀起。根据国资委对下属央企国产化的建设要求，对网络出口改造中涉及的安全设备全面采用国产化产品，这意味着该央企需要逐步淘汰国外品牌的关键设备，转而采用国产化产品和服务。

最后是需要强化安全运行，保障业务连续性。

能源企业承担着保障国家安全、经济发展和社会民生的重任，一旦业务中断，将给社会带来严重影响。然而，传统网络安全策略多以被动防御为主，缺乏预见性和主动性。面对不断演变的网络威胁，能源央企需转变思路，构建一套集监测、预警、响应于一体的综合防护体系，实现从“事后补救”到“事前预防”的转变，向主动防御迈进。

此外，该能源央企还面临数字化升级带来的性能挑战。本次互联网出口升级亟需提高系统的可靠性和可用性，并提升出口数据的传输效率，满足日益增长的数据处理需求。

性能提升4倍以上，

主动防御应对新型威胁

奇安信基于该央企集团的数字化、智能化发展战略规划，为实现客户总体规划战略目标提供强有力的信息安全支撑保障，保证各种应用特别是关键业务应用的稳定、高效运行，出口安全设备的性能指标。其中性能提升至少是现有设备性能的4倍以上，接口满足未来几年扩容。

在落地实施方面，奇安信结合该央企互联网应用需求和发展趋势，构建一个高性能、高可靠、高安全、虚拟化、性能易扩展和易管理的互联网出口安全解决方案，保障互联网业务系统的高可用性与服务质量，并满足该央企业务系统至少未来5-8年的业务发展的需求。具体建设内容包括以下几个方面:

首先是构建网络安全综合防御防护体系。

凡事预则立不预则废，体系化规划是网络安全建设的第一步。该能源央企与奇安信合作，结合等级保护2.0相关标准和要求，以及国内外最新的安全防护体系模型，以《网络安全滑动标尺》模型为建设思路，以保障用户业务安全高效运行为根本出发点，为用户构建以技术、管理和运营三大安全体系为目标的网络安全综合防御防护体系。

其次是推动常态化的安全运营。

当前，网络安全威胁来源愈发复杂，网络安全不能依靠“兵来将挡、水来土掩”，“临时抱佛脚式”的被动应对，常态化的安全运营，是安全能力持续提升的基础。该央企遵循国家及监管机构相关合规性要求，以提升性能、提升威胁防护、降低互联网暴露面为基础，把技术和管理体系融合，帮助用户建立被动防御和主动防御相结合的安全运营体系。

最后是全局化的安全管理。

习总书记曾指出，网络安全是整体的而不是割裂的、是共同的而不是孤立的。该央企梳理原有管理和防护策略，基于最小化安全防护原则，重构集团边界防护体系，加强对集团及下属公司的业务安全防护，提升集团整体网络安全管理能力。

具体工作包括，对现有的安全策略进行全面审查，提前发现识别其中存在的漏洞或薄弱环节。基于分析结果，调整优化现有防护措施，确保每一层防护都能发挥最大效能。对于涉及敏感信息处理的关键业务流程，确保其在整个生命周期内得到充分保护。同时通过组织培训、开展演练等活动提高全体员工的安全意识，建立健全跨部门协作机制，提升整体管理水平。

此次方案改造共涉及防火墙，上网行为管理、IPS等，从功能上完全覆盖原有设备一体机设备，每台设备各司其职，重新构建网络安全边界。

其中，上网行为管理通过设置应用、URL、IP白名单，严格管控网络出口，除非白名单允许应用外默认禁止所有应用。智慧防火墙串接在网络出口，提供接入NAT能力，访问控制能力，聚焦从外网向内网的防护策略。IPS主要针对安全漏洞、安全威胁、网络攻击等行为实时检测与阻断。

合规、性能与安全兼顾

打造央企信创建设新标杆

经过项目的部署实施和落地，奇安信基于信创平台的边界安全解决方案，充分体现了技术的领先性，以及对于合规、性能和安全能力的全方位兼顾。

在技术领先方面

上网行为管理提供白名单能力严控网络出口，减少互联网暴露面，防止内部触发的网络安全威胁。高性能防火墙提供精细化的网络访问权限控制和高效的威胁封堵策略，提高网络安全处置与接入控制能力。同时，全面国产化产品替代，满足高吞吐、高带宽、高可靠性的要求。

在政策合规方面

该方案在满足《网络安全法》、《等保2.0》、《数据安全法》等政策要求下，符合国资委对央企单位信创技术应用要求，提升网络传输性能和安全防护效果。符合国家网络安全相关政策要求，实现信创技术应用的落地，为后续IPV6、5G、商密改造等提供可扩展、高可靠性的网络安全防护体系。

在性能和可扩展性方面

项目显著提升边界设备的承载性能，满足未来5-10年的业务发展，为云平台等业务提供高效稳定的网络传输通道。完善网络安全隔离管理，引入新型安全防护技术，由传统被动防御逐步将主动防御、深度防御演进，加强威胁情报能力的应用，收缩互联网暴露面，提升网络安全防护水平。

总体来看，该项目中采用典型的上网行为管理+防火墙+IPS的完整部署方案，在网络出口出入向安全防护、网络威胁攻击检测等多个领域实现了全面覆盖，有效保护客户网络边界安全，同时满足国资委等上级单位的监管要求。