作為最基本的能源之一，電是現代社會穩定運行的基礎。云南電網有限責任公司(簡稱“云南電網”，下同)不僅承擔著為省內超4600多萬常住居民的供電任務，還肩負著極其重要的“西電東送”任務。云南電網積極探索云計算、大數據等新技術在電力行業的應用，在數字化轉型過程中，云南電網不斷遭遇網絡攻擊的襲擾，并意識到在現有網絡安全體系下，應對新型網絡威脅的準確性、及時性、有效性還有進一步提升的空間。

結合云南電網安全建設現狀，云南電網信息中心提出了四點新的安全建設需求：

1、針對安全設備多、告警多現象，需降噪聚焦真實威脅，并進一步提升檢測能力;

2、分公司多，地域分布廣，要統一運營，需精準發現威脅并及時處置;

3、面對新型未知威脅，需更加高效的工具和手段，以保證隔離內網安全無虞;

4、重視重保，需更廣泛也更詳細的攻擊團伙情報數據，以深入溯源分析。

針對云南電網的網絡安全需求，微步在線提出以威脅情報切入的思路獲得云南電網信息中心認可，確定了以本地威脅情報管理平臺TIP+威脅感知平臺TDP+OneRisk的組合方案，這一方案不僅幫助云南電網增強了應對新型威脅所需的檢測與響應能力，還助力云南電網通過了國家級攻防演練活動的考驗，并在冬奧、兩會等國家重大活動期間，順利保障了云南居民用電和西電東送兩大任務。

云南電網信息中心網絡安全架構示意圖

情報賦能 讓安全團隊“抓住”真實威脅

很早之前，云南電網信息中心就構建了安全大數據平臺，用以接收包括來自防火墻、網關、IPS等網絡安全設備、系統發出的各類日志與告警信息，但每天收到的告警信息中有大量無效告警，只能靠安全管理員人工排除，費時費力。

從2019年開始，云南電網信息中心將TIP接入安全大數據平臺，利用TIP內置威脅情報和多源情報管理等功能進行告警降噪，讓安全管理員可以將精力聚焦在真實威脅之上，極大地提升了日常安全運營的效率。在2022年，南網總部也使用TIP平臺作為情報生產下發統一平臺，云南電網迅速無縫接入，利用TIP本地情報生產能力共享行業情報，實現聯防聯控，成為電力行業網絡安全技術標桿。

在國家級攻防演練中，云南電網綜合利用TIP、 TDP、OneRisk以及微步安服等服務提供的不同安全能力，順利通過了攻防演練的考驗。并且，在冬奧、兩會等國家重大活動期間，還通過TDP發現了境外黑客攻擊事件，基于威脅情報進行拓線分析，完整還原了黑客團伙的攻擊過程，并進行身份關聯分析，迅速鎖定了目標，然后形成事件溯源分析報告，為行業內聯防聯控做出了表率。

加強辦公網防護 提升整體安全水平

辦公網正成為企業網絡安全的薄弱環節。

一方面由于辦公終端使用者的安全意識參差不齊，容易被黑客利用，比如最典型的就是釣魚，尤其是結合了社工的釣魚，歷來是安全管理員比較頭疼的難題;另一方面，如云南電網分公司眾多，且地域分散，分公司防范新型威脅的需求與集團總部同樣強烈，但預算、人員水平缺很難與總部持平。且分公司辦公網一旦被黑客突破，其后續影響可能并不亞于數據中心被突破。

云南電網信息中心在辦公網的網絡出口部署TDP，并與TIP聯動。基于高質量的威脅情報，TDP針對網絡流量進行雙向檢測，利用情報、流量、規則、機器學習等檢測引擎對流量、日志進行監測，并從多個維度綜合分析，由此精準識別威脅。

在部署TDP后，有效檢出了云南電網辦公網內的挖礦、釣魚、惡意軟件等違規外聯，并自動鎖定內網失陷主機，極大地方便了安全管理員處置動作。通過TIP與TDP的聯動，不僅極大地提升了云南電網辦公網的安全防護能力，還有效降低了日常安全運營人員的壓力。

資產清點 讓攻擊面收斂到最小

網絡攻防本質上是人與人的較量。防守方要做到“無懈可擊”，必然要將可供黑客利用的攻擊面收斂到最小，并覆蓋所有攻擊敞口。而這進行這一切的基礎是資產清點，讓所有資產都了然于胸。

云南電網信息中心利用TDP的資產清點功能，通過流量監聽實現對企業業務資產的識別，自動化構建資產臺賬，幫助安全團隊摸清家底。并且這種非侵入式被動監聽方式不會對企業主機和網絡帶來壓力和負擔，對業務零影響。除資產清點，TDP還能發現內網中弱密碼、開放端口、應用漏洞等風險，及時提醒安全管理員進行整改。

云南電網信息中心的相關負責人表示：“微步提供的解決方案和服務，能夠快速檢測、發現針對性攻擊，高質量的本地情報生產更好地支撐了聯防聯控戰略，讓我們能夠集中精力快速響應重大安全事件;同時，微步解決方案所具備的實戰能力，能夠快速定位攻擊、還原攻擊路徑、迅速鎖定攻擊者。尤其是在攻防演練期間，微步在線不僅幫助我們提升了安全防護能力，還極大地降低了安全人員壓力，讓我們能夠以更佳的狀態去迎接攻擊隊的挑戰，從而在演練中提升自身實戰水平和安全運營能力。”