威胁情报

数据泄露是数据安全领域的核心问题。在2023年全球公开报道的246起数据安全事件中，数据泄露事件占比高达67.5%，泄露数据超过51.8TB，共计103.8亿条。不过，媒体公开报道的数据泄露事件可能只是数据泄露问题的冰山一角。奇安信威胁情报中心监测显示，2023年1~11月，仅在暗网及黑产平台上交易的境内机构泄露数据就多达60.8TB，共计720.4亿条，两项指标双双超过全球媒体公开报道事件的统计数据。?数据勒索的高额收益可能进一步推高政企机构数据泄露安全风险。研究显示，越来越多的勒索团伙正在抛弃“加密勒索”这种传统攻击方式，而是转向单纯的“数据勒索”，即单纯的以窃取机密数据并威胁将之公开的方式向政企机构进行勒索。2023年，全球赎金最高的10起勒索组织攻击事件，平均勒索赎金高达2397万美元，其中7起事件都是单纯的数据勒索事件。数据勒索带来的巨大收益很有可能会吸引越来越多的黑产团伙参与其中。?个人信息是数据泄露和黑产交易的主要数据类型，严重危害公民和社会安全。在境内机构泄露的数据中，涉及个人信息的数据多达586.8亿条，相当于14亿中国人平均每人泄露了约42条个人信息数据。其中，互联网、IT信息技术和能源行业是泄露数据量最多的行业。?网盘、文库、代码托管等互联网知识共享平台也是数据泄露的重要渠道，但尚未得到绝大多数政企机构的充分重视。其中，金融行业对此类问题最为重视，而医疗卫生、互联网和教育行业，通过互联网知识共享平台泄露数据的风险相对于其他行业更高。研究显示，合作伙伴和内部人员是互联网知识共享平台数据泄露事件的主要“元凶”，二者之和占比达到54.6%。加强合作伙伴管理和员工安全意识培训，是数据安全的重要保障。?API安全是数据安全的重要一环，平均每家机构约有206个API接口会用来传输敏感数据。汽车制造业的“潜在”数据安全风险最大，其传输敏感数据的API接口数平均超过900个，传输敏感字段多达332个，这两项指标均是其他行业的3~7倍。同时，汽车制造业API接口传输的个人信息也最多，其中涉及的自然人的数量，是金融、能源、医疗等行业的30~70倍，可谓“遥遥领先”。由此可见，在智能网联汽车的发展中，数据安全至关重要。?解决数据跨境流转问题，需要科学的规划和必要的技术手段。调查显示，尽管很多存在海外业务的机构已经在积极开展跨境数据流转的治理工作，但仍普遍缺乏科学的、整体的数据安全规划，特别是严重缺乏必要的技术手段。而对于绝大多数没有海外分支机构的政企单位而言，往往没有意识到其可能存在的跨境数据流转风险。?数据安全建设，应当遵循内生安全原则，从设计规划之初就把数据分类分级、数据防泄露、防勒索、API安全、跨境数据治理等关键问题列入整体规划，确保数据安全工作与数字化建设同步规划、同步建设、同步运行，用系统性的方法解决数字系统的安全问题。

介绍了能源网络中加密流量的变化趋势及其检测的重要性，详细阐述了观成科技如何利用AI对抗AI，结合AI技术、深度指纹、行为分析和加密威胁情报，实现加密威胁检测、加密风险及异常检测、加密应用识别和加密业务识别。报告还深入分析了观成科技加密流量检测解决方案在能源网络中的应用，并分享了相关实践成果。

本项目构建了以漏洞验证为载体、网络安全监测为基础、以安全运营为核心的网络安全保障体系及创新解决方案，针对公司关键信息基础设施和重要信息系统专项特征在网络安全通用网络安全监测中存在的问题和风险研发，较好地解决了重要网络边界和等保三级系统安全运行状态的监控技术，深入分析各边界、关键系统的特征，构建专项监控体系，优化了安全威胁检测准确性和及时性，提升了安全事件应急处置的效率，填补了电网行业特殊网络布局和关键基础系统安全专项监控的空白。 本项目申请国家发明专利10余项，获软件著作权9项，发表论文10余篇，其中EI和 ISTP 检索论文3篇、中文核心期刊论文1篇。研究工作受到了来自国家电网和南方电网两大国有电网企业的高度关注与积极评价，成功入围云南省2019年电力科技创新成果推介会暨云南电网公司（第二届） 科技成果转化洽谈活动， 现场与云电同方科技有限公司签约达成成果转换意向，与国家电网思极检测技术公司达成合同共识，双方将分别在国家电网、南方电网推动成果应用落地。

本项目形成了一套面向运营的终端白名单运营实用化评价指标体系，本成果“终端软件白名单收敛率”、“终端软件白名单供给率”指标，可通过量化方式体现终端软件白名单运营水平，从而推动终端软件安全运营能力的提升。首次实现以网络区域维度构建安全业务场景本解决方案实践过程中，提出按网络区域构建安全业务场景，根据各类历史日志的关键特征训练自学习识别威胁日志，实现该区域内重点业务重点关注，共构建148个安全场景。多维度模式下开展攻击链分析的研究本解决方案通过攻击者视角、被攻击者视角、事件视角三种模式开展攻击实时监测，为运营人员提供溯源分析视图。实现针对威胁IP的全网在线联动封堵本解决方案在实时监测或威胁情报中发现的可疑威胁IP，可通过本平台与总部及分子公司安全设备的接口实现全网在线联动封堵，实现现场互联网对外自动隔离和内部主机之间的微隔离。

工业控制网络安全系统解决方案具体包括工业隔离网闸、工业防火墙、工业入侵检测系统、工业终端安全卫士、USB安全防御系统等。(1)工业隔离网闸。专门针对企业管理信息网络与工业生产网络之间数据交换等高安全应用场景的隔离安全防护产品，采用“2十1”系统架构(内端机、外端机、专用物理隔离单元)，在实现网络物理隔离、协议隔离的同时，进行高效率的安全数据交换。(2)工业防火墙。一款适用于工控网络的网络安全保护产品，用于网络边界安全防护，提供访问控制功能，防范未授权的访问，通过白名单控制功能实现对工业协议的深度解析与精确控制，通过黑名单防护功能实现对信息系统漏洞的防护。(3)工业入侵检测系统。通过对工业流量、工业通讯协议深度解析检测，并基于威胁情报、工控漏洞库等安全知识库信息，进行综合智能分析，高效准确地识别检测威胁和攻击行为，形成安全事件和告警，并支持与工业防火墙联动，对入侵行为及时进行拦截处理。(4)工业终端安全卫士。一款基于网络安全等级保护2.0标准研发的安全加固和审计系统，具备外设接入控制、安全审计、基线核查修复、病毒扫描、文件完整性监测、双因子认证、可信白名单和访问控制等功能，支持的平台包括Linux、window等。(5)USB安全防御系统。采用纯硬件设计，无需在保护计算机安装任何软件，实现对接入的UB存储设备认证管理、黑白名单安全策略配置、文件数据流向控制、病毒查杀及日志审计等功能。

本项目成果通过电网互联网大数据安全监控平台，实现安全大数据的分析和威胁情报共享，实现互联网资产和应用的动态的安全态势感知，为中国电力能源行业的互联网应用安全监控树立了典范，将在中国电力能源行业及其他中央直属企业进行示范推广。本项目互联网安全大数据分析与预警、全球互联网情报舆情监控，也将形成行业的典型示范，有助于在各行业内进行推广和复制。通过安全大数据分析对互联网业务的支撑作用，在此过程中带动一批具备业务实战能力的网络安全分析人员，发挥技术人员在数据分析、业务洞察中的潜力，解决工作中的各类深层次网络安全问题。随着南方电网互联网+战略的实施，所管理的互联网侧基础架构越来越庞大，业务应用越来越复杂，信息安全管控依赖手工操作和分析，不但耗费大量人员精力，降低运维生产效率，还容易误操作导致灾难后果。为了改变这种现状，通过电网互联网大数据安全监控平台建设，实现对互联网信息安全运行服务提出的建设规划，可最大限度的节约人力成本、降低管理风险、提升网络安全运维效率和服务满意度。

本项目立足于网络安全防护难题，构建“多源情报融合预警、漏洞自动闭环管控、未知威胁感知溯源、多域风险联动处置”于一体的网络安全全环节联动防御技术体系，为公司能源互联网建设提供坚实安全保障。主要创新点包括：率先建成国家电网特色多源威胁情报预警指挥平台。利用杀伤链和模糊聚类从海量告警日志中挖掘攻击场景，融合国家、商业等多源外部情报，构建多源威胁情报知识库。支撑安全设备威胁监测准确率提升5倍以上，协助发现多个国际黑客组织，支撑网络安全运营工作。创新设计电力行业信息系统状态转移自动机，提出基于情报驱动的漏洞闭环管理模型。基于情报建立漏洞修复优先级评估模型，以“互联网+”的形式改革漏洞管理流程，追踪管理漏洞4000余项，周均工作时间从1天降低到5分钟。填补0Day攻击监测空白，提出面向实战的未知威胁感知反制技术。基于半监督深度学习和异质图挖掘的离群点检测技术，实现样本匮乏状态下的0Day攻击识别，构建电力攻防对抗蜜网体系，精准定位黑客40余名，年均捕获恶意攻击地址2万余个，助力重特大保障圆满结束、国家专项演习获得佳绩。首创多域安全威胁智能联动处置模型。模型自动定位受威胁安全域，通过威胁处置策略调度引擎智能定位受威胁安全域，将安全策略分别自动推送至信通公司内部和全网处置设备，实现“一处监测、全网处置”，将威胁处置速率由小时级提升至秒级。 项目获得授权发明专利11项，发表论文21篇，规范4项，专著1部。该项目从情报预警、隐患管控、威胁感知、联动处置等方面进行联动防御技术体系的研究和实践，成果推广至全网，开拓了一体化防御局面。

电网互联网大数据安全监控平台完成了11家电网相关公司的部署，通过互联网安全监控平台，实现安全大数据的分析和威胁情报共享，实现互联网资产和应用的动态的安全态势感知，在运营方面，监控平台依据 SaaS 模型的服务模式，设计实现按需使用、按权限分配的 需求，整体的操作流程为用户申请开通互联网安全监控平台账号，并根据该用户具体需求和权限情况为该用户设置资源权限。用户的账号开通后，可以使用定制的安全监控服务。平台主要业务流程为用户管理流程、权限管理、资产录入等。

本成果基于拟态防御思想首次提出一套“内生安全拟态防御体系模型”，利用该模型策略性指导，创新研究漏洞威胁情报感知、安全开发、安全加固、安全检测、拟态防御、漏洞治理等技术手段，构建出移动应用全域安全技术体系，形成内生安全能力，达到电力移动应用安全一体化防御效果。成果获得授权专利15项、软著5项，发表论文13篇（EI论文10篇、核心期刊3篇）；研发出管控类系统2套（移动应用安全运营支撑平台、漏洞快速治理管控系统）；研发出安全类硬件装置3套（移动应用加固工具、检测工具、监测防御工具）；试制了硬件设备2套（资产识别雷达、漏洞验证雷达）；形成移动应用安全领域相关标准建议稿5份；签订了成果应用转化合同1份，已实现技术产品转化利润收益，取得了显著经济效益和社会效益，推广应用前景广泛。