電網企業網絡安全防護體系建設探討
隨著電網企業信息化程度的不斷加深,以及“大云物移智鏈”等新技術的應用,新業務、新業態不斷涌現,電網企業網絡安全邊界不斷擴大,網絡安全暴露面也越來越廣。與此同時,國際網絡安全環境持續緊張,企業內外部的網絡安全威脅也在不斷高漲,各種網絡攻擊手段日益豐富、技術日趨成熟,面臨的總體網絡安全形勢十分嚴峻。伊朗核電站“震網”事件、烏克蘭BlackEnergy病毒導致的大面積停電事件以及委內瑞拉電網停電事件[1],無不預示著通過網絡空間入侵一國電力網絡并由此控制電力系統、破壞電力基礎設施已由設想變為現實。電網作為關系到國計民生和國家能源安全的重要基礎設施,其網絡安全防護體系建設至關重要。
一、網絡安全風險分析
1、互聯網暴露風險
電網企業分支機構、下屬單位、變電站所、營業廳等遍布全國,電網關鍵信息基礎設施覆蓋電力發、輸、變、配、用、調等各環節,對外開放的業務系統眾多且防護水平不一,互聯網暴露面過廣。與此同時,網絡安全攻防雙方成本嚴重不對等,黑客的攻擊手段、攻擊目標、攻擊時間都是不確定的,且只需一點突破就能造成一定程度的影響。而電網企業的網絡安全防守面則過大,需要關注木桶短板效應,一旦某個薄弱環節的邊緣系統有缺陷、有漏洞被黑客入侵,就有可能會以此為跳板,利用安全防護體系中的信任關系進行橫向滲透,進而造成更大范圍的破壞。
2、供應鏈風險
電網作為國家關鍵信息基礎設施,其供應鏈安全涉及網絡、安全及應用系統產品和服務從無到有再到廢棄的全生命周期,不僅包括傳統的生產、倉儲、銷售、交付等環節,還延伸到了產品設計、開發、集成等生命周期,以及交付后的部署、運維等。
近年來供應鏈安全問題越來越突出,主要表現在:一是惡意篡改。在供應鏈的某一環節對產品、服務及其所包含的組件、部件、元器件、數據等進行惡意篡改、植入、替換、偽造,以嵌入包含惡意邏輯的軟件或硬件;二是存在遠程控制后門。產品或服務存在遠程控制功能,但未告知用戶遠程控制的目的、范圍和關閉方法,甚至采用隱蔽接口、未明示功能模塊、加載禁用或繞過安全機制的組件等手段實現遠程控制功能。斯諾登事件以來,不斷有廠商產品被曝光存在后門,這些后門有的是無意遺留的,有的則是某些企業甚至國家組織有目的、有計劃的行為[3],嚴重危及電力企業的供應鏈安全,存在嚴重的安全隱患。尤其是在近年來的攻防實戰對抗演練中發現的的問題,部分網絡安全設備因自身存在的問題,未能充分發揮其應有的作用,反而成為防護邊界被突破的切入點。
3、企業內部風險
隨著近年來電網企業對網絡安全建設的投入不斷加大,遵循安全分區、網絡專用、橫向隔離、縱向認證的原則,按照可管可控、精準防護、可視可信、智能防御的安全策略,電網企業網絡安全建設已從“十二五”期間的主動防御體系發展至“十三五”期間的以大數據智能分析、感知預警、聯動防御為主的智能防護體系,網絡安全技防水平不斷提升,通過傳統網絡攻擊突破網絡邊界入侵電力系統的難度越來越高,但來自內部的威脅依然存在。電網企業管理層級多、鏈條長,基層單位信息安全意識薄弱,習慣性違章、越權訪問等現象屢禁不絕。與此同時,惡意釣魚、物理侵入等社會工程學攻擊方式越來越成熟,欺騙性越來越強,很容易借此繞過網絡安全防護體系直接進入內部網絡,網絡安全風險極高。
二、網絡安全防護體系建設
為有效應對當前面臨的網絡安全風險,需強化網絡安全基礎,梳理網絡安全風險點,優化現有技防和管理措施,建設精準可靠、立體全面的網絡安全防護體系。
1、邊界防護
電網企業分支機構眾多,因此需明確各單位互聯網邊界,按照最小化原則開放業務端口,完善邊界安全設備及策略,把好入口安全關。配置高強度的物理安全防護措施、惡意代碼檢測和主動防御、控制區與非控制區的邏輯隔離、邊界入侵檢測(IDS)、安全審計等其他常規安全保護措施。基于電力行業分區分域、縱深防御的防護策略,加強橫向邊界、縱向邊界的安全防護和綜合安全防護,逐層設防,形成立體的縱深防御技術體系。繪制全場景網絡安全布防圖,明確重點區域的防御策略和攻擊動態,實現網絡安全監測可視、可管、可控。同時強化總部與各單位間的協同處置,共享威脅情報,實現一處預警、處處響應,提升安全處置效率。
2、主機防護
傳統網絡安全防護過于關注邊界防御,相對忽視了主機層面的防護,而近年來的攻防實踐表明,網絡邊界被突破已成為必然事件,因此必須要考慮邊界被突破后的主機防護策略,對包括數據、進程、服務等系統資源在內的主機環境進行全方位的立體防護。主機防護內容主要包括端口及服務最小化開放、系統補丁更新、基線策略配置,并輔以殺毒、入侵檢測系統(IDS)以及其它內核級的安全防護工具。比如基于“白名單”機制的主機防護系統,只允許“白名單”內的進程、服務運行,未經允許的軟件、工具和進程都不能運行,從而確保系統免疫漏洞攻擊、惡意代碼執行、數據竊取等類型攻擊,提供內核級安全保障,在邊界被突破后最大程度確保主機安全。
3、全局態勢感知
網絡安全風險態勢感知是主動安全防御體系的“大腦”,結合企業IT資產,可通過威脅情報、機器學習、用戶畫像等技術對海量的日志信息進行深度分析,同時關聯企業IT資產漏洞、所面臨的威脅,自動化、可視化地實現全網的安全風險態勢感知、事件響應以及資源協同聯動。建設全局網絡安全態勢感知體系可有效降低企業內部安全運維人員的時間成本,有效提升對APT攻擊的發現和處置能力,以及網絡安全風險事前、事中的應對能力以及事后的分析及追蹤溯源能力。
4、構建網絡安全紅藍對抗機制
構建紅藍對抗機制,回歸到人和人的對抗。在網絡安全領域,紅藍對抗中一方扮演黑客、另一方扮演防守者進行網絡安全實戰演練。紅藍對抗與傳統滲透測試相比有著明顯的不同,甚至較量的不僅僅是技法,還包括戰術、心態與體力的考驗。在攻防演練中,紅軍模擬真實的攻擊來評估企業當前防護體系的安全水平,藍軍對發現的問題進行優化整改。通過周期性的紅藍對抗,可持續性提高企業在攻擊防護、威脅檢測、應急響應等方面的能力。通過持續的對抗、復盤、總結,不斷優化網絡安全防御體系的各個環節,從而提升整體的網絡安全防護水平。
網絡安全的本質是對抗,即攻防雙方的動態平衡,在網絡安全實戰化、常態化、體系化的背景下,“紅藍對抗”機制可幫助企業實現以攻促防、以攻促改、以實戰促建設的目標,實現網絡安全“紅軍”和“藍軍”相互促進、循環提升的效果,在培養兼具攻防技能的高素質網絡安全人才的同時,從攻防雙方的角度審視企業網絡安全防護體系存在的不足,從而不斷提升企業的整體安全防護能力。
5、網絡安全管理提升
做好信息系統全生命周期網絡安全管控。為有效提升企業網絡安全水平,網絡安全建設要“關口前移”,安全要素要滲透到系統規劃、建設、運維全生命周期,明確各環節的網絡安全風險及防護措施和責任,通過整體系統安全框架落實網絡安全能力。
建立網絡安全督察通報體系。建立健全網絡安全督查通報機制,確保對安全威脅、安全漏洞、安全事件進行閉環管理,加強電力企業內部網絡安全信息共享和統一應急處置[4],從而有效支撐網絡安全監測、通報預警、應急處置和事件調查等工作。
加強全員網絡安全宣傳。網絡安全工作通常側重于技防,而選擇性忽略或未足夠重視人防。實際上人防與技防處于同等重要的位置,即使企業構建了比較完善的網絡安全防線,但往往一個來自內部人員的疏忽就可能將企業置于網絡安全威脅之中,因此需重視全員網絡安全意識培養,開展網絡安全意識培訓、安全競賽等多種形式的宣傳,輔以考核等手段,引導全員強化網絡安全理念,提高全員安全防范能力,推動網絡安全意識入腦入心,構筑網絡安全的堅固城墻。
三、結語
電網作為關系到國計民生和國家能源安全的重要基礎設施,網絡安全至關重要。隨著信息技術的快速發展及國內外網絡安全形勢日益嚴峻,電網企業網絡安全受到了來自各個方面的威脅。本文從多個角度分析了電網企業當前面臨的主要風險,并針對性地提出了應對策略,探討電網企業網絡安全防護體系建設思路,以提升電網企業的網絡安全防護水平。
