徐子超：能攻能防的電力網(wǎng)絡安全尖兵

　　人物簡介：徐子超，中共黨員，浙江電力信通公司網(wǎng)絡安全中心系統(tǒng)架構(gòu)專責，入選國家電網(wǎng)有限公司網(wǎng)絡安全尖兵部隊，曾獲“浙江金藍領”等榮譽。

　　人物心語：千里之行，始于足下;江海之聚，源于細流。

　　8月13日凌晨，浙江電力信通公司網(wǎng)絡安全中心系統(tǒng)架構(gòu)專責徐子超緊盯屏幕，指尖在鍵盤上飛速敲擊，打出一行行代碼……他正運用掃描腳本和數(shù)據(jù)包反向工程技術檢測系統(tǒng)漏洞，尋找黑客入侵點。自7月22日起，公安部組織開展為期兩個月的全國網(wǎng)絡安全攻防實戰(zhàn)演習。徐子超入選國家電網(wǎng)有限公司參與此次演習的網(wǎng)絡安全專家組，負責系統(tǒng)漏洞的挖掘和控制權(quán)限奪取工作。

　　成長為專業(yè)技術骨干，不僅需要理論知識，還需要豐富的實踐經(jīng)驗。徐子超參加工作時間不長，但已多次參與專業(yè)競賽、承擔重點任務，不斷在實戰(zhàn)中學習新技術、總結(jié)新方法。自2020年入職以來，他7次在全國性網(wǎng)絡安全大賽中取得優(yōu)異成績。在前不久結(jié)束的2024年能源網(wǎng)絡安全大賽中，他以個人賽第一名的成績獲評“卓越技能個人”，帶領的戰(zhàn)隊獲評“卓越技能戰(zhàn)隊”。

　　把實踐工作當課堂，積累經(jīng)驗增強技能

　　2月17～27日，第十四屆全國冬季運動會在內(nèi)蒙古呼倫貝爾舉行。“十四冬”開幕前，公司召集了來自系統(tǒng)多家單位的6名網(wǎng)絡安全專業(yè)骨干成立網(wǎng)絡安全保障團隊，徐子超就是其中一員。他們負責協(xié)助呼倫貝爾供電公司完成“十四冬”保電的網(wǎng)絡安全支撐保障工作。

　　徐子超和隊友認真分析呼倫貝爾電網(wǎng)網(wǎng)絡架構(gòu)、網(wǎng)絡安全防護體系、網(wǎng)絡邊界防線等情況，開展網(wǎng)絡安全防護工作。“十四冬”期間，他們24小時輪流值守，平均每天開展150次網(wǎng)絡邊界安全設備定點巡檢，全面分析網(wǎng)絡安全設備告警記錄和安全日志，及時消除潛在安全隱患，最終圓滿完成了任務。

　　除了重大活動保電的網(wǎng)絡安全保障工作，大大小小的網(wǎng)絡安全排查工作也是徐子超積累經(jīng)驗的課堂。

　　2022年7月，在浙江電力信通公司組織的營銷系統(tǒng)網(wǎng)絡安全日常排查工作中，徐子超發(fā)現(xiàn)了1個未授權(quán)訪問漏洞。黑客可直接通過該漏洞獲取客戶相關信息，如不及時修補，極易造成客戶隱私泄露。對此，徐子超和同事圍繞路徑限制、權(quán)限驗證、底層代碼修改等方面，開展了為期3個月的系統(tǒng)改造，全面修復漏洞隱患。

　　截至目前，徐子超牽頭完成了10余次重大活動保電的網(wǎng)絡信息安全保障工作，成功溯源2起網(wǎng)絡灰黑產(chǎn)業(yè)倒賣數(shù)據(jù)的證據(jù)和3起高級持續(xù)性威脅攻擊事件。

　　“以攻促防、攻防互補”，提升實戰(zhàn)反制能力

　　2022年8月，在一次國家級網(wǎng)絡安全演習活動中，徐子超運用浙江電力信通公司自研的蜜罐系統(tǒng)，成功捕獲了一起針對辦公自動化系統(tǒng)的零日漏洞攻擊。“徐子超融合運用了蜜罐技術、流量分析、終端檢測管理等多種監(jiān)測防御技術，復現(xiàn)了攻擊者的攻擊手法，為我們的網(wǎng)絡安全防御贏得了先機。”該公司網(wǎng)絡安全中心系統(tǒng)架構(gòu)組組長郭亞瓊說。當時，徐子超在一個隔離區(qū)域內(nèi)開放多種常用軟件，引誘攻擊隊發(fā)起攻擊，以此獲取攻擊隊針對不同軟件的攻擊方法，捕獲他們的攻擊習慣，從而溯源到攻擊隊的相關信息并成功反制。

　　“網(wǎng)絡安全風險內(nèi)控，就是‘以攻促防、攻防互補’的過程。”徐子超說，“在構(gòu)建網(wǎng)絡安全防線的同時，我們還得學會用攻擊手段驗證防線的穩(wěn)固性，排查防線潛在的安全漏洞和弱點，以此進一步提高信息系統(tǒng)的安全性。”

　　2022年7月，徐子超在國網(wǎng)浙江省電力有限公司組織的重大活動網(wǎng)絡信息安全專項排查中發(fā)現(xiàn)，該公司外網(wǎng)網(wǎng)站正遭受某個漏洞攻擊。黑客可通過這個漏洞直接控制服務器，外網(wǎng)信息系統(tǒng)存在全面癱瘓的風險。徐子超立刻報告上級請求啟動應急機制，隨后一邊反制傀儡機、捕捉攻擊樣本和攻擊者特征，一邊在系統(tǒng)中匹配攻擊者的信息，最終鎖定了高級持續(xù)性威脅黑客組織中的一名疑似實際攻擊者。他和同事立刻開展相關域名及IP地址的溯源和關聯(lián)情報分析，并聯(lián)合公司網(wǎng)絡安全中心消除了該風險。

　　徐子超在一次次突發(fā)網(wǎng)絡安全事件中不斷提升網(wǎng)絡安全反制能力。截至目前，他牽頭發(fā)現(xiàn)網(wǎng)絡安全漏洞風險590起，預防了多起潛在網(wǎng)絡安全風險事件。

　　完善流程開發(fā)工具，提升網(wǎng)絡安全防護水平

　　徐子超有個習慣，每次參加網(wǎng)絡信息安全保障活動后，將相關情況整理形成測試技術文檔。他的電腦里有一個名為“測試技術文檔”的文件夾，里面分門別類存放著這些報告。

　　“子超有股‘打破砂鍋問到底’的勁兒。他在工作中遇到難題，都會自己動手測試，研究明白了還會教給身邊的同事。”徐子超的師父、浙江電力信通公司網(wǎng)絡安全中心副主任戚偉強說。

　　2023年，徐子超整理了平日里積累的測試技術文檔，牽頭制訂了浙江電力信通公司網(wǎng)絡安全測試作業(yè)標準規(guī)范。規(guī)范提出了“一簽二報三執(zhí)行”的工作準則，要求相關專業(yè)人員在單位內(nèi)部網(wǎng)絡開展網(wǎng)絡安全測試前簽署保密承諾書，再向網(wǎng)絡安全中心及信息通信調(diào)度中心報備工作時間、工作范圍、工作人員和工作目標，獲得許可后才能執(zhí)行相關測試操作，進一步減少可能帶來的網(wǎng)絡安全風險。

　　為了提高網(wǎng)絡安全測試效率，徐子超還牽頭開發(fā)了網(wǎng)絡安全測試自動化排查工具。網(wǎng)絡安全專業(yè)人員只需點擊工具中的“一鍵排查”，即可找出任意系統(tǒng)中的全量弱口令密碼。“這個工具可使網(wǎng)絡安全測試工作的效率提升40%，將弱口令識別準確性提高53%。”徐子超介紹。目前，該成果全面應用于國網(wǎng)浙江電力所屬各單位的網(wǎng)絡安全測試工作中，提升了網(wǎng)絡安全防護水平。(章九鼎 徐梓沐)