大唐托克托发电：从被动防御向主动智能防御跃升

（来源：中国电力报）

转自：中国电力报

从被动防御向主动智能防御跃升

——访内蒙古大唐国际托克托发电有限责任公司网络安全部副主任王凯民

9月15日至21日，是2025年国家网络安全宣传周。电力基础设施作为关键信息基础设施网络安全保护单位，是国家网络安全的重要组成部分。近日，中能传媒记者就行业网络安全相关问题专访了内蒙古大唐国际托克托发电有限责任公司网络安全部副主任王凯民。

中能传媒：当前发电企业单独设立网络安全部门较为少见，托克托发电此举有何深远考虑？

王凯民：托克托发电作为全国最大的火力发电基地之一，年发电量超过400亿千瓦时，直接保障京津冀蒙地区的电力供应。我们单独设立网络安全部门，基于三方面核心考量：

首先是关键基础设施的战略定位。电力系统已成为数字时代的“神经中枢”，更警示我们网络安全已直接关系能源安全。单独设立部门正是将防护级别提升至与生产安全同等重要的战略高度。

其次是法规合规与责任落实的必然要求。根据《关键信息基础设施安全保护条例》，我们作为“能源领域关键信息基础设施运营者”，必须建立独立的安全管理体系。相较于传统依附于IT部门的模式，专职部门能更高效地落实“同步规划、同步建设、同步使用”的三同步原则。

最后是攻防对抗的现实需要。当前攻击呈现“生态化协作”特征，从钓鱼邮件投递到工控系统破坏形成完整产业链，分散式防护已无法应对专业化攻击。而独立部门能实现“监测—分析—处置—改进”的闭环管理，这是应对高级威胁的组织保障。

中能传媒：据了解，托克托发电构建了“天眼”“天枢”“天兵”防御架构，在实战中，他们各自发挥了怎样的作用？取得了哪些成绩？

王凯民：我们构建的“三体系”防御架构，已在实战中形成有机协同：“天眼”系统是全网态势感知中枢，实现对异常流量、恶意代码的实时捕捉。“天枢”平台承担智能决策功能，整合了漏洞管理、资产测绘和应急响应模块。通过建立电力系统专用攻击链模型，将传统依赖人工分析的威胁研判时间从平均4小时缩短至15分钟。“天兵”应急团队则是实战处置力量，由兼具电力系统知识和网络安全技能的复合型人才组成。

展开全文

中能传媒：随着国际竞争日益激烈，针对电力等关键单位的攻击愈演愈烈，目前主要的攻击手段有哪些？防范重点在哪？

王凯民：从近年监测数据看，针对电力企业的攻击手段呈现三大趋势：一是勒索软件与数据泄露双重威胁。攻击者采用“加密+泄密”的双重勒索模式，传统备份恢复机制面临挑战。二是APT组织的精准化渗透，攻击者通过鱼叉钓鱼邮件（伪装成“调度通知”“检修文件”）突破边界，潜伏6~12个月后再实施破坏。三是供应链攻击常态化，第三方设备和软件已成为重要攻击入口。我们在供应商审计中发现，部分供应链系统/组件存在默认密码未修改等低级漏洞，这为攻击提供了可乘之机。

针对这些威胁，我们的防范重点是构建“三道防线”：第一道防线是技术防线，实施OT/IT网络物理隔离，对10万余个资产实行“白名单”管理；第二道防线是管理防线，推行“最小权限原则”，对调度员、运维人员等关键岗位实行双因素认证和操作审计；第三道防线是预警防线，建立7×24小时网络安全全天候值守机制，实现及时发现、快速闭环。

中能传媒：AI等新技术的出现，给电力网络安全带来了新挑战，托克托发电怎么看待这一挑战，又有什么经验可以分享？

王凯民：AI技术是一把“双刃剑”。一方面，AI为攻击者提供了更加广阔的想象空间，例如，现在市面上已经出现了多款基于AI+MCP的自动化渗透工具，获取成本已经低至200元左右；基于AI声音克隆、AI换脸等技术的新型诈骗、钓鱼攻击，使得社会工程学攻击的成功率显著提高；另一方面，AI也正在成为防守方的“新基建”，可在威胁检测、流量分析、态势感知中发挥巨大作用。

从挑战角度看，AI加速了攻防对抗的迭代，传统“黑名单式”防御思想在AI时代显得越来越不适用，我们需要构建更加侧重于整体行为动机研判的安全体系。从赋能角度看，AI可以帮助我们在秒级内发现异常流量、在海量日志中快速锁定威胁，显著提升网络安全监测的效率。

托克托发电已在探索AI与网络安全的深度融合。例如，我们实施了以“AI大模型道德底线突破诱发的舆情事件”为场景的应急演练，同时我们是集团内首个实现DeepSeek模型本地化部署的单位，也是第一个引入AI智能员工的单位。

在AI浪潮之下，我们应该顺势而为，以“可信、可控、可用”为原则，实现从被动防御向主动智能防御的跃升，为电力行业数字化转型提供更具智慧的安全保障。