电网网络安全员培训课件

电网网络安全员培训课件第一章电网网络安全概述电力行业网络安全的重要面临的主要挑战性当前电力行业网络安全面临着复杂的内外部威胁，包括境外攻击、勒索软电力系统作为国家关键信息基础设施，APT件传播、内部人员失误等多重风险同承担着保障国民经济和社会发展的重要时，电力系统数字化、智能化发展也带使命网络安全直接关系到电网的安全来了新的安全挑战稳定运行，任何安全事件都可能导致大面积停电，影响国家安全和社会稳定攻击手段日益复杂化••电力供应关系国计民生•工控系统漏洞频发网络攻击威胁日益严峻•数字化转型带来新挑战•电网网络安全的特殊性关键信息基础设施复杂的网络架构工控系统安全电力系统被列入国家关键信息基础设施范电力系统网络包括生产控制大区和管理信息电力监控系统、调度自动化系统等工业控制畴，受到最高级别的安全保护要求必须严大区，涉及发电、输电、变电、配电、用电系统直接关系电网运行，这些系统具有实时格执行网络安全等级保护、关键信息基础设等多个环节，网络架构复杂，安全防护难度性要求高、可用性优先的特点，安全防护需施安全保护等制度大要特殊考虑电力网络安全威胁现状常见攻击类型分析12病毒与恶意软件勒索软件攻击通过盘、邮件等途径传播，感染工控系统和办公网络，可能导致系加密关键数据并勒索赎金，近年来针对电力企业的勒索攻击呈上升趋U统瘫痪或数据泄露需要加强终端防护和移动介质管理势防范重点是数据备份和网络隔离34高级持续性威胁内部威胁APT境外组织针对电力系统发起的长期潜伏攻击，目标是窃取敏感信息或包括人员失误、违规操作、恶意破坏等需要加强权限管理、操作审破坏电网运行这类攻击隐蔽性强，危害极大计和安全意识培训近年来，全球多个国家的电力系统遭受网络攻击，造成大规模停电和严重经济损失我国电力行业也面临着严峻的网络安全形势，必须高度重视并加强防护电网网络攻击示意图上图展示了典型的电网网络攻击路径与关键防护点攻击者通常通过互联网边界、办公网络渗透到生产控制系统，最终影响电力调度和设备运行互联网入侵通过钓鱼邮件、漏洞利用等方式突破边界防护内网渗透横向移动，寻找薄弱环节，提升权限突破隔离尝试穿透安全区域隔离装置攻击目标第二章国家政策法规与标准解读我国高度重视网络安全工作，已建立起完善的网络安全法律法规体系电力行业作为关键信息基础设施领域，相关政策法规尤为严格和详细0102《中华人民共和国网络安全法》《电力行业网络安全管理办法》（版）2022国家网络安全基本法，明确了网络安全等级保护制度、关键信息基础设施保护制度针对电力行业特点制定的专项管理办法，等核心内容要求关键信息基础设施运营明确了电力企业网络安全责任、管理要者履行安全保护义务求、监督检查等内容，是电力网络安全工作的直接依据《电力网络安全事件应急预案》（版）2024电力网络安全等级保护管理办法五级安全等级划分等级保护实施流程定级备案确定信息系统安全等级，向公安机关备案安全建设按照等级要求进行安全建设和整改等级测评委托测评机构开展安全测评监督检查接受主管部门的监督检查持续改进根据测评结果持续改进安全措施重要提示电力调度系统、电力监控系统等核心业务系统通常定为三级或以上，必须每年开展等级测评第五级国家级关键系统第四级区域级重要系统第三级地方级一般系统第二级单位级辅助系统第一级自主防护系统相关法律法规汇总《关键信息基础设施安全保护条《电力安全事故应急处置和调查其他配套法规与标准例》处理条例》包括《数据安全法》《个人信息保护法》年月日起施行，明确了关键信息基国务院号令，规范电力安全事故（包《电力监控系统安全防护规定》等法律法202191599础设施的认定、保护要求、监督管理等内括网络安全事件导致的安全事故）的应急规，以及GB/T22239等国家标准，共同容电力系统作为重点领域，必须严格执处置和调查处理工作，明确各方责任构成电力网络安全法规标准体系行相关要求事故分级与报告•实施重点保护制度•应急响应与处置•开展安全检测评估•事故调查与处理•加强供应链安全管理•第三章电网网络安全职责与组织架构电力网络安全工作实行谁主管谁负责、谁运营谁负责的原则，建立了国家、行业、企业三级管理体系各级单位职责明确，协同配合，共同保障电网网络安全国家能源局行业监管1派出机构与电力调度机构2监督协调电力企业3主体责任基层单位与网络安全员4具体实施网络安全员岗位职责网络安全员是电力企业网络安全工作的重要执行者，承担着日常监测、风险防控、应急响应等关键任务岗位职责全面且重要，需要具备扎实的专业知识和实践能力日常监测与风险评估应急响应与事件报告安全培训与宣传负责网络安全监测系统的日常运维，实时监控网发现网络安全事件后，按照应急预案快速响应，组织开展网络安全培训和宣传活动，提升员工安络流量、系统日志、安全事件定期开展风险评采取隔离、处置等措施控制事件影响及时向上全意识和防护技能编制安全手册、案例材料，估和漏洞扫描，及时发现和消除安全隐患级报告事件情况，配合开展事件调查和恢复工营造人人参与安全的良好氛围作网络安全员是电网安全的守门人，岗位责任重大，使命光荣每一次认真的监测、每一次及时的响应，都是对电网安全的坚守第四章电力网络安全防护技术网络边界防护与访问控制电力专用安全设备边界防护是电力网络安全的第一道防线，通过防火墙、入侵防御系统等电力行业使用专门的安全防护设备，满足工控系统的特殊要求设备，严格控制内外网数据交换单向隔离装置在生产控制大区与管理信息大区之间部署，确保数据单防火墙部署在互联网出口、生产控制大区与管理信息大区之间部署防向传输，防止攻击反向渗透火墙加密认证装置保障电力调度数据传输的机密性和完整性访问控制策略实施最小权限原则，严格限制跨区域访问工控防火墙专门针对工控协议设计，深度检测工控流量安全接入远程访问必须通过加密通道VPN VPN安全审计系统记录所有操作行为，便于事后追溯身份认证采用多因素认证，防止身份冒用网络安全监测与预警机制监测系统架构与关键指标建立覆盖全网的安全监测体系，实现看得见、防得住、管得好的目标监测系统采用分层分级架构，从国家级到企业级实现数据互联互通流量监测日志审计实时分析网络流量特征，识别异常流量和攻击行为集中收集分析系统日志，发现可疑操作威胁情报漏洞监测对接国家级威胁情报平台，提前预警持续扫描系统漏洞，及时推送补丁预警等级划分及响应措施红色预警橙色预警特别重大威胁，启动Ⅰ级响应，24小时值守重大威胁，启动Ⅱ级响应，加强监测黄色预警蓝色预警第五章电力网络安全事件应急响应网络安全事件应急响应是将事件影响降到最低的关键环节必须建立完善的应急预案，开展定期演练,确保发生事件时能够快速、有效应对事件分类与分级事件报告与信息通报事件发现（分钟）10网络安全员发现异常，立即启动应急响应程序2初步研判（分钟内）15初步判断事件性质、级别和影响范围口头报告（分钟内）330向上级单位进行口头报告，说明基本情况4书面报告（小时内）1提交书面报告，包含详细信息和处置措施续报与终报5处置过程中续报进展，事件结束后提交总结报告各级单位职责与协同机制基层单位企业级行业级•第一时间发现报告•统筹协调处置工作•指导重大事件处置•采取初步处置措施•调配资源和技术力量•协调跨企业协同•配合上级开展工作•向行业监管部门报告•向上级部门报告案例2023年某省电网遭受勒索软件攻击，基层单位第一时间发现异常流量，立即隔离感染主机并上报省公司迅速启动Ⅱ级响应，调集技术力量开展处置，3小时内成功遏制攻击扩散，避免了更大损失这起事件体现了完善的应急响应机制和各级协同配合的重要性应急响应流程图完整的应急响应流程包括事件发现、研判分级、启动响应、处置控制、恢复重建、总结改进六个关键步骤事件发现监测告警、人工发现研判分级分析影响、确定等级启动响应成立指挥部、调动资源处置控制隔离遏制、清除威胁恢复重建系统恢复、验证测试总结改进复盘分析、完善措施第六章电力网络安全风险管理与自查风险管理是网络安全工作的基础，通过系统化的风险识别、评估和处置，实现防患于未然电力企业必须建立常态化的风险管理机制风险识别与评估方法01资产识别全面梳理网络资产，包括硬件、软件、数据等，建立资产清单02威胁分析识别可能面临的各类威胁，分析威胁来源和攻击手段03脆弱性评估通过漏洞扫描、渗透测试等手段发现系统弱点04风险计算综合威胁、脆弱性和影响，计算风险值05风险处置根据风险级别制定处置措施，降低风险网络安全产品采购与管理合规采购要求电力企业采购网络安全产品必须遵守国家相关规定，优先选用安全可控的国产产品关键设备和核心软件要经过安全审查产品选型1优先选用通过国家认证的产品，参考行业推荐目录，进行技术和商务评估安全审查2对关键产品开展安全审查，评估供应链风险，确保产品不存在后门和漏洞测试验证3产品采购后进行功能测试和安全测试，验证是否满足要求上线部署4按照安全规范进行部署配置，建立产品档案，纳入日常管理禁用存在安全风险设备清单国家和行业已明确禁止或限制使用存在安全风险的产品，包括某些国外厂商的网络设备、操作系统、数据库等企业必须严格执行，对在用产品开展排查，及时完成替代网络安全产品是保障电网安全的重要工具，产品选择直接关系到防护效果必须树立正确的安全观，不能只看价格和功能，更要关注产品的安全性和可控性第七章网络安全培训与意识提升人是网络安全的核心要素，以上的安全事件与人的因素有关加强培训、提升意识是网络安全工作的重要基础80%识别钓鱼邮件强化密码管理规范介质使用教育员工识别钓鱼邮件的特要求使用强密码，定期更换严格管理盘、移动硬盘等U征，不轻易点击可疑链接，密码，不同系统使用不同密移动存储介质，工作用和私不下载未知附件定期开展码推广使用密码管理工具人用必须分开，使用前必须模拟钓鱼演练，提升实战能和多因素认证进行病毒查杀力常见网络安全误区误区一认为安装了防病毒软件就绝对安全误区二认为内网不连互联网就没有风险误区三认为网络安全只是信息部门的事误区四认为复杂密码记不住，简单密码更方便第八章典型电力网络安全技术工具介绍工欲善其事必先利其器掌握常用网络安全技术工具的原理和使用方法，是网络安全员的基本功防火墙（）Firewall部署在网络边界，根据预定义的安全策略，对进出网络的数据包进行过滤可以阻止非授权访问，防止攻击流量进入内网电力系统常用的有硬件防火墙和工控防火墙入侵检测系统（）IDS实时监测网络流量和系统活动，识别异常行为和攻击特征发现攻击后发出告警，但不主动阻断IDS是重要的监测工具，帮助及时发现安全威胁安全信息与事件管理系统（）SIEM集中收集、存储和分析来自各类安全设备和系统的日志数据通过大数据分析和关联分析，发现隐藏的安全威胁SIEM是安全监测的大脑漏洞扫描与补丁管理工具定期扫描系统和应用的已知漏洞，生成漏洞报告补丁管理工具可以集中管理和分发安全补丁，确保系统及时修复漏洞，减少被攻击的风险第九章电力网络安全未来趋势新兴威胁与防护技术电力行业数字化转型挑战电力行业正在推进数字化转型，新技术应用带来新的安全挑战驱动的攻击与防御AI新型电力系统分布式电源、储能、电动汽车等新型主体接入，攻击面扩大攻击者利用AI技术提升攻击效率，防御方也在应用AI进行威胁检测和响应云计算应用部分业务上云，云安全成为新课题物联网设备大量智能设备接入，设备安全管理难度增加零信任架构5G网络5G切片、边缘计算等新技术引入新的安全风险永不信任、始终验证的安全理念，适应云化、移动化趋势量子安全威胁量子计算可能破解现有加密算法，需提前布局抗量子密码技术供应链安全软件供应链攻击增多，需加强对第三方产品和服务的安全管理案例分析一年某省电网勒索软件攻击事件2023攻击过程与影响2023年6月，某省电力公司办公网络遭受勒索软件攻击攻击者通过钓鱼邮件进入内网，横向移动至多台服务器，加密了办公系统和部分业务数据，并索要高额赎金初始入侵内网渗透员工点击钓鱼邮件附件，恶意软件植入终端利用弱口令横向移动，获取多台服务器权限数据加密勒索索要加密关键业务数据，投放勒索信息要求支付比特币赎金，否则公开数据应急响应与恢复措施•立即启动Ⅱ级应急响应•隔离受感染主机和服务器•调集技术力量开展分析处置•从备份恢复关键数据•全网开展漏洞排查和加固案例分析二电力监控系统安全防护成功实践某省级电力公司针对电力监控系统开展了全面的安全防护升级，取得显著成效，成为行业标杆防护技术应用纵深防御体系白名单机制部署了单向隔离装置、工控防火墙、入侵检测系统等多层防护设备，构建纵深防御体系在关键工控主机上实施应用白名单，只允许经过授权的程序运行态势感知平台身份认证加固建设了安全态势感知平台，实现对全网安全状况的实时监控和预警实施了基于数字证书的强身份认证，防止账号被盗用安全管理创新在技术防护的基础上，该公司创新管理机制，建立了技术+管理+人员三位一体的安全保障体系制定了严格的安全管理制度，明确了各级责任；组建了专业的网络安全团队，定期开展培训和演练；建立了常态化的自查自纠机制效果评估

099.9%100%安全事件数量系统可用率合规达标率防护升级后连续3年零安全事件监控系统稳定运行，可用率达到

99.9%通过等级保护测评和关基安全检查实操演练介绍实战演练是检验应急响应能力、提升安全技能的重要手段电力企业应定期组织网络安全攻防演练，模拟真实攻击场景，锻炼队伍网络安全事件模拟演练流程演练准备应急响应制定演练方案，明确演练目标、场景、参与人员发现攻击后启动应急预案，开展处置场景模拟总结评估红队模拟攻击，蓝队进行防守，裁判组评估演练结束后进行复盘，总结经验教训角色分工与协作红队（攻击方）蓝队（防守方）模拟真实攻击者，采用各种攻击手段尝试突破防护网络安全员及相关人员，负责监测、发现、处置攻击裁判组保障组监督演练过程，评估双方表现，记录问题提供技术和后勤保障，确保演练安全可控演练后要及时总结，针对暴露的问题制定改进措施，完善应急预案和防护体系通过持续演练，不断提升实战能力常见问题与解答网络安全员在日常工作中会遇到各种问题和挑战，以下是一些典型问题及解决建议问题一如何平衡安全与业务的关系？问题二监测到大量告警信息，如何处理？解答安全是为业务服务的，不能因为安全而影响业务正常运行解答首先要对告警进行分类和优先级排序，重点关注高危告警但也不能为了业务便利而降低安全要求要在充分评估风险的基础对于误报较多的告警规则，要及时优化调整建议建立告警处置流上，寻找平衡点例如，对于必须的跨区域访问，可以采用、程，明确不同级别告警的处置要求和时限同时，利用等工VPN SIEM堡垒机等技术手段，在保障安全的前提下满足业务需求具进行关联分析，减少告警数量，提高告警准确性问题三如何应对新型未知威胁？问题四如何提升员工安全意识？解答基于特征的传统防护方法难以应对未知威胁建议采用行为解答单纯的培训效果有限，要采用多种方式可以开展模拟钓鱼分析、沙箱检测、威胁情报等技术手段同时，要保持学习，关注演练，让员工亲身体验攻击；制作生动的安全宣传材料，通过案例安全动态，及时了解新型攻击手段建立应急响应预案，即使遇到说明安全的重要性；建立安全奖惩机制，对安全意识强的员工给予未知威胁也能有序应对表彰，对违规行为进行惩处重要参考资料与学习资源官方网站与政策文件推荐书籍与培训课程国家能源局官网《电力监控系统网络安全防护》-系统讲解电力监控系统安全《网络安全等级保护实践指南》-等级保护工作实务www.nea.gov.cn-获取最新政策法规和行业动态《工业控制系统安全》-工控系统安全基础知识国家网信办CISP-PTE注册信息安全专业人员-权威安全认证CISP-ICS工控安全专业人员-工控安全专项认证www.cac.gov.cn-网络安全法律法规和标准全国信息安全标准化技术委员会www.tc

260.org.cn-网络安全国家标准国家工业信息安全发展研究中心www.cics-cert.org.cn-工控安全资讯和威胁通报在线学习平台推荐关注电力网络安全微信公众号、参加行业组织的培训班、加入专业技术交流群，与同行交流学习持续学习是提升专业能力的关键培训总结与考核说明培训目标回顾通过本次培训,我们系统学习了电网网络安全的政策法规、技术防护、应急响应、风险管理等核心内容，分析了典型案例，开展了实操演练希望各位学员能够1掌握政策法规2提升技术能力熟悉网络安全法律法规和行业标准，明确职责要求掌握安全防护技术和工具，能够开展日常监测和应急处置3强化安全意识4提高实战能力树立正确的安全观，将安全意识融入日常工作能够应对实际安全事件，保障电网安全稳定运行考核内容与形式理论考核实操考核采用闭卷考试形式，考查对政策法规、基础知识的掌握程度通过情景模拟，考查实际操作能力和应急处置能力•考试时间90分钟•模拟安全事件场景•题型单选、多选、判断、简答•要求完成事件处置•合格标准≥80分•评估处置效果和响应时间后续学习与提升路径网络安全技术发展迅速，学习永无止境建议学员持续关注行业动态，参加专业培训和认证，积累实战经验，不断提升专业水平电网安全员的使命担当电网安全员是守护电网安全的第一道防线，肩负着保障电力供应、维护国家安全的重要使命每一次认真的监测、每一次及时的响应、每一次专业的处置，都是对这份使命的坚守万家灯火，安全为先我们的工作虽然在幕后，却关系着千家万户的光明让我们携手并进，共同守护电网安全！互动环节知识竞赛与案例讨论通过互动环节，巩固学习成果，加深对知识的理解和应用知识竞赛环节案例情景模拟讨论我们准备了一系列网络安全问题，涵盖政策法规、技术防护、应急响应等方面请各位学员积极参与抢答我们将给出一个真实的安全事件场景，请各小组讨论

1.事件性质和等级如何判断？

2.应该采取哪些应急响应措施？

3.如何向上级报告？

4.如何防止类似事件再次发生？20各小组将派代表分享讨论结果，专家进行点评指导题目数量精选20道经典题目3难度等级基础、进阶、高级10答题时间每题10秒钟未来展望共筑安全电网防线守护电网使命光荣电力网络安全工作任重道远，需要我们每一位网络安全员的共同努力面对日益严峻的网络安全形势，我们要保持高度警惕，不断学习进步，用专业的知识和技能守护电网安全保持警惕时刻关注安全态势持续学习与时俱进，掌握新技术团结协作加强沟通，形成合力勇担责任履职尽责，守护安全创新实践探索新方法，提升能力网络安全为人民，网络安全靠人民让我们携起手来，以更高的标准、更严的要求、更实的举措，筑牢电网网络安全防线，为保障国家能源安全、服务经济社会发展作出新的更大贡献！谢谢聆听欢迎提问与交流感谢各位学员的认真学习和积极参与！如有任何问题或建议，欢迎随时与我们交流培训咨询技术支持应急热线培训部门网络安全部24小时值班电话010-XXXX-XXXX电话010-XXXX-XXXX电话010-XXXX-XXXX邮箱training@powergrid.cn邮箱security@powergrid.cn紧急情况请随时联系祝各位工作顺利，守护电网安全，共创美好未来！。