電力信息網絡在安全新威脅下的防護思考

李祝紅+杜炳+趙燦明+馮紹興

摘要：針對于電力信息網絡日益猖獗的攻擊行為，利用目前企業中已有的安全防護設備，結合國內外針對APT攻擊的安全研究技術，構建一套新型縱深防御體系模型，形成安全威脅防護閉環。

關鍵詞：縱深防御；APT；大數據；威脅分析；威脅檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）07-0192-02

1 電力信息安全新威脅

隨著信息安全[1]環境的惡化和安全威脅的日益嚴峻，攻擊者的目標方式和攻擊心理都正在發生快速變化。攻擊者的動機已不僅僅在于炫耀技術，已從自我滿足，無利益訴求轉向團隊化作戰、獲取商業、政治利益為目的的攻擊方式，受政治、經濟等多方面影響更具有功利性，攻擊者形成利益群體，分工明確，目的性強，伴隨著地下黑色產業鏈的利益效應，攻擊者群體更為明確、專注的攻擊目標，且行為更為隱藏，持續性時間可長達數年。此外，云計算、虛擬化、大數據、移動互聯網等新技術在電力行業迅速應用，也不可避免的引入新的安全問題并對當前的信息安全防護能力[2]提出新的挑戰。

近些年來針對電力工控系統的攻擊事件日益頻繁，如席卷全球工業界的震網（Stuxnet）病毒攻擊使得伊朗核工業基礎設施遭到重創；代號夜龍（Night Dragon）的APT攻擊使得5家跨國能源公司遭到攻擊，超過千兆字節的敏感文件被竊，包括油氣田操作的機密信息、項目融資與投標文件等；blackenergy APT攻擊使得烏克蘭多家電廠設施被感染，造成大面積停電，整個城市陷入恐慌，損失慘重。這一系列的安全事件，凸顯了網絡新型攻擊的高威脅性，這里總結了新型網絡攻擊與企業防護能力[3]的關系。

2 新型縱深防御體系

2.1 安全需求

電力信息網絡系統具有復雜性、開放性、動態性等特點，這些特點使其具有天生的脆弱性，如拒絕服務攻擊、網絡掃描、網絡欺騙、病毒木馬、信息泄露等，讓安全事件的層出不窮，既有來自外部的惡意入侵，又有來自內部的權限濫用，來自內、外部的安全風險給信息安全工作帶來了不小的壓力與挑戰。面對嚴峻的信息安全形勢和復雜的信息安全挑戰，結合新型網絡攻擊的不斷演進，加上電力行業信息安全發展需要，新型電力系統縱深防御體系必須是從簽名式到行為分析，從單產品到多產品組合聯動，有效應對高級威脅和未知風險的防護體系。

2.2 APT攻擊防御方案

在之前的部分，討論了當前的攻擊者類型，及由此而來的新一代威脅；同時由于傳統的安全技術很難應這種新型的威脅，因此進一步討論了需要怎樣的技術來應對。在這一章希望提供一些具體方案層面的建議。

正是因為傳統安全防御機制在APT攻擊下缺乏必要的監測能力，因此近年來有大量的建立較完善傳統防御機制的企業被APT攻擊者成功得手，針對APT攻擊，國內外安全界一直保持持續關注和研究，并提出了多種不同的檢測或預防技術，本文提出的威脅分析系統就是其中核心技術之一。

威脅分析系統可有效檢測通過網頁、電子郵件或其他的在線文件共享方式進入網絡的已知和未知的惡意軟件，發現利用0day漏洞的APT攻擊行為，保護客戶網絡免遭0day等攻擊造成的各種風險，如敏感信息泄露、基礎設施破壞等。

系統共三個核心檢測組件：病毒檢測引擎、靜態檢測引擎（包含漏洞檢測及shellcode檢測）和動態沙箱檢測引擎，通過多種檢測技術的并行檢測，在檢測已知威脅的同時，可以有效檢測0day攻擊和未知攻擊，進而能夠有效地監測高級可持續威脅，其主要功能如下：

2.2.1 動態沙箱檢測（虛擬執行檢測）

動態沙箱檢測，也稱虛擬執行檢測，它通過虛擬機技術建立多個不同的應用環境，觀察程序在其中的行為，來判斷是否存在攻擊。這種方式可以檢測已知和未知威脅，并且因為分析的是真實應用環境下的真實行為，因此可以做到極低的誤報率，而較高的檢測率。如圖1所示。

2.2.2 集成多種已知威脅檢測技術：AV、基于漏洞的靜態檢測

靜態漏洞檢測模塊，不同與基于攻擊特征的檢測技術，它關注與攻擊威脅中造成溢出等漏洞利用的特征，雖然需要基于已知的漏洞信息，但是檢測精度高，并且針對利用同一漏洞的不同惡意軟件，可以使用一個檢測規則做到完整的覆蓋，也就是說不但可以針對已知漏洞和惡意軟件，對部分的未知惡意軟件也有較好的檢測效果。

2.3 防御體系構成組件

本文提出的新型縱深防御體系，包含未知威脅檢測模塊、威脅防護模塊、大數據安全分析模塊、綜合安全管理平臺。通過模塊間的關聯動作，檢測和防御進入企業的全部威脅，對網絡、郵件、終端等傳統安全威脅進行檢測防御，也對APT高級威脅進行檢測防御。

2.3.1 未知威脅檢測模塊

威脅分析系統作為該防御體系的未知威脅檢測模塊，是核心模塊。首先威脅分析系統對網絡流量進行文件還原，對惡意軟件進行識別；另外通過開放API接口，威脅分析系統還對郵件網關和終端的可疑文件進行檢測，并把檢測的結果進行反饋，實現對威脅的阻斷關聯。

2.3.2 威脅防護模塊

企業網絡中已部署的入侵防護系統、安全網關系統，是該防御體系的防護模塊。這些產品既發揮傳統安全產品的功能，又能與威脅分析系統關聯協同，組成安全防護體系。在該防御體系中，提交傳統防護模塊不能識別的可疑文件，有威脅分析系統進行分析，并根據分析結果進行阻斷。

2.3.3 大數據安全分析模塊

通過收集未知威脅檢測模塊和威脅防護模塊的告警信息，綜合網絡和主機的日志，進行數據索引和分析，抽絲剝繭，進行攻擊的蛛絲馬跡的洞察。

2.3.4 安全管理平臺

安全管理平臺負責管理各個模塊，下發檢測和防護策略，采集設備的狀態信息存儲告警日志，進行報表呈現等。

3 新型縱深防御體系的構建措施（如圖2所示）

面對網絡高級威脅時建立的一個簡易安全防御體系模型，以此類推針對郵件高級威脅和終端高級威脅所構建的防御體系模型與此類似，以上這些場景核心都是威脅分析系統加上一種專業安全防護系統的組合方案。還可以根據實際的業務需求，防護系統進行組合，比如網絡和郵件，郵件和終端等。根據防護通道的側重來選擇和組合不同的部署場景。

通過此縱深防御體系，可有效檢測和防御APT威脅，幫助企業建立安全防護的金鐘罩。

4 結語

本文提出的新型縱深防御體系，從網絡邊界到內網終端，既能防御傳統安全威脅，還特別針對APT攻擊進行檢測和防御，形成預警、檢測、防護、清除的安全威脅防護閉環。

新一代威脅以及 APT 攻擊在近年逐漸被政府及企業重視起，從時間上看來，攻擊者在多年以前就開始使用新一代的手段和技術，但是到現今才被市場真正的重視，這似乎預示著防御總是會落后于攻擊。但是市場并沒有一致的認識，怎樣的方案是適合的，本文中提出的新型縱深防御體系模型希望能給大家一些啟發，幫助找到滿足業務需要的解決案。

參考文獻

[1]國家發展改革委員會.發改委14號令 電力監控系統安全防護規定[S].2014.

[2]張曉兵.下一代網絡安全解決方案[J].電信工程技術與標準化，2014，27（6）：59-61.

[3]張擁軍，唐俊.基于云模型的網絡安全態勢分析與評估[J].計算機工程與科學，2014，36（1）：63-67.endprint