電力行業信息安攻防演練研究及應用

張寶全+黃祖源+周楓+陳先富+張少泉

摘要：智能電網是傳統電網與信息技術融合的新型電網。隨著信息技術的快速發展，信息安全作為信息技術的一個重要組成部分正在深刻地影響著人們的工作和生活。科技的發展給人們帶來方便的同時，也暴露出了很多安全問題，特別是近年來，如信息泄漏、SQL注入漏洞和網絡的滲透、黑客攻擊等信息安全事件頻發，給企業、社會和個人造成難以挽回的損失。電力行業作為一種能量供應，涉及國有資產的絕大部分信息、商業價值和國家機密。但是龐大的信息數據有著巨大的價值，使得電網企業信息網絡容易遭受黑客攻擊、造成信息泄露風險的可能性是非常大的。根據電力行業的特點，本文探討了電力行業中網絡攻防演練的意義和價值，并針對電力行業信息網絡漏洞的特點提出了網絡攻防靶場的建設和實施方案，旨在提高電網企業從事信息安全工作的人員的信息安全意識和處理突發信息安全事件的應急能力，間接地確保電網安全穩定可靠運行。

關鍵詞：信息安全；網絡攻防；智能電網；安全漏洞；電力行業

O 引言

互聯網時代促使信息技術的飛速發展，隨之而來的是各種網絡攻擊和形式各異的網絡病毒，2017年5月爆發的“Wannacry”病毒就是一個很好的例子和教訓。電力是國家“節能減排”和綠色發展的重要能源支撐，電力的穩定供應能夠保持社會的穩定和發展。智能電網的快速發展依賴著信息技術的支持，沒有信息技術的支持，智能電網只是一個空談。然而，隨著智能電網的快速發展，其依賴的信息技術的安全問題也逐漸暴露出來。一旦發生嚴重的信息安全問題，后果不堪設想。電網信息網絡有一個特點，電網對信息的實時性和可靠性要求較高，所以必然要求信息集中化管理。電網的信息安全會直接或間接影響整個電網系統的安全，可想而知，要是控制信息出錯，那么“多諾米骨牌效應”很可能發生，最終可能影響整個電力系統，造成難以挽回的損失。電網在發電、輸電、變電、配電和用電等方方面面都可能存在信息安全威脅，一旦爆發，后果不堪想象。電網企業作為國家能源戰略的企業，近年來智能電網的發展使得電力行業信息化程度變高，所以需要保證智能電網信息安全。面對惡意網絡攻擊的威脅，為了保證網絡空間信息安全和防止重大信息安全威脅的爆發，電力行業信息安全技術人員等必須搭建或者委托搭建網絡攻防靶場（演練平臺）進行攻防演練。針對各種常見的信息安全漏洞和黑客攻擊進行演練，對癥下藥，不斷提高信息系統的安全等級，提高電網抗黑客攻擊能力。

隨著電網公司信息系統的壯大發展和近年來快速增長的系統數量，針對信息系統的各種安全隱患也在不斷增多，為保證電網信息系統的安全穩定運行，要求管理和維護人員都要與時俱進的掌握電網各類信息系統存在的安全隱患和相關的安全知識及必要技能。只有熟練掌握電網信息系統各類漏洞被攻擊的方法和原理，才能有針對性的做好真積身系統的安全防護。因此，通過對網絡攻防靶場實戰核心系統的研究及應用，提升對電網新型漏洞的分析及攻防演練能力。

1 電力行業的信息安全漏洞及潛在的風險

2015年12月23日，烏克蘭電網遭遇突發停電事故，引起烏克蘭西部地區約70萬戶居民家中停電數小時。事后達拉斯信息安全公司iSight Partners的研究人員表示，這是由BlackEnergy（黑暗力量）惡意軟件代碼導致的破壞性事件。2016年12月17日，烏克蘭基輔北部330kV變電所發生停機，導致基輔地區大面積停電。在CyberTech2016大會上，以色列能源與水力基礎設施部部長披露稱，以色列電力局在2016年1月25日遭受了一次嚴重的網絡攻擊。事發后以色列當局被迫對電力設施中被感染的計算機進行了關閉。在2016全球十大互聯網安全事件中就有兩起事件與電網有直接關系。由此可見，在電網中，信息安全的重要性無可替代。

信息安全是一個古老而又現代化的詞匯，說其古老，是因為以前飛鴿傳書、郵驛書信已經有之，說其現代化，是因為20世紀九十年代隨著電線技術、計算機技術的出現而不斷的更新發展，迎來的一個新的發展時代。信息安全要保證信息網絡中軟硬件資源和數據資源的安全性能，能夠持續可靠的為用戶提過你服務，不因為受到攻擊等中斷服務。信息安全主要實現目標包含：真實性、保密性、完整性、可用性、可控性、可審查性和抗抵賴性等。目前中國的網絡空間信息安全形勢嚴峻，圖1是中國各地互聯網網站的安全形勢狀態統計。

各種新技術，比如大數據與云計算、智能信息處理、人工智能、物聯網和移動互聯網等信息通信技術的應用，使得智能電網面臨著病毒、特洛伊木馬、系統漏洞、DDoS等各種攻擊，傳統以物理保護為主的電網安全防護體系帶來了挑戰。下文將介紹和分析電力行業可能的信息安全漏洞。

1.1 信息泄露

信息泄露是一個嚴峻的話題，國企和事業單位往往由于各項公共服務需要用戶提交各種信息，電網作為能源供應的運營商，更不例外。同時，電網公司內部有很多秘密信息需要確保安全。信息泄露是一項由于Web服務器權限設置不當、操作不規范以及沒有正確處理一些特殊的用戶請求和業務導致敏感信息如用戶名、秘密、后臺源代碼、服務器配置信息和其他文件路徑等等。泄露的信息容易遭受惡意人員利用，為后續的攻擊提供墊腳石。在企業級Web應用中，信息泄露包含有：數據庫信息泄露、網站配置信息泄露、網站目錄結構信息泄露等[10]。

1.2 跨站腳本漏洞

XSS跨站腳本（Cross-Site Scripting，XSS）白1996年誕生以來，如今已經歷十多年的演化。由于和另一種網頁技術一層疊樣式表（ Cascading StyleSheets，CSS）的縮寫一樣，為了防止混淆，故把原本的CSS簡稱為XSS。在各種WEB應用安全漏洞中，XSS跨站腳本攻擊漏洞一直被OWASP（ OpenWeb Application Security Project）組織評為十大應用安全中的其中之一。

不發分子會利用跨站腳本將惡意代碼注入到用戶瀏覽的網頁上，是因WEB應用程序對用戶輸入過濾不足而產生的，當用戶瀏覽這些網頁時，就會執行其中的惡意代碼。由于HTML代碼和客戶端JavaScript腳本可以在他人的瀏覽器上執行，非法獲取用戶敏感信息或者控制Web客戶端的邏輯。在這個基礎上，黑客可以輕易地發起Cookie竊取，會話劫持，釣魚欺騙等各種各樣的攻擊。通常情況下，我們既可以把XSS理解成一種WEB應用安全漏洞，也可以理解成一種攻擊手段。endprint

1.3 SQL注入漏洞

SQL是數據庫查詢和操作語言，SQL注入是將將SQL代碼插入或者添加到輸入參數中提交給服務器，服務器如果沒有對SQL語句檢測和過濾就解析和執行，你們攻擊者的惡意目的也就得成。例如某網站的登錄系統需要輸入用戶名和密碼，將用戶名admin和密碼SdfG#345！提交給后臺SQL執行.最終執行Select * from table where user=‘admin，andpwd=‘SdfG#345！。但是如果用戶在密碼中輸入123，or ‘1=1，后臺運行Select * from table whereuser=‘admin，and pwd=‘123or ‘1=1。該語句where條件恒為true，可以登錄成功，其他用戶也可以用此密碼成功登錄，如圖2所示。如果管理員沒有對SQL語句參數審查，攻擊者就可以利用相應的語言邏輯漏洞來越權非法操作。

1.4 任意文件包含漏洞

由于開發人員編寫源碼時將可重復使用的代碼寫入到單個的文件中，并在需要的時候將它們包含在特殊的功能代碼文件中，這樣被包含文件中的代碼就會被解釋執行。如果沒有針對代碼中存在文件包含的函數入口做過濾，就會導致客戶端可以提交惡意構造語句提交，并交由服務器端解釋執行。文件包含攻擊可能存在于WEB服務器源碼里的include（）此類文件包含操作函數附近，通過客戶端構造提交文件路徑，是該漏洞攻擊成功的最主要原因。

1.5 目錄遍歷漏洞

通常網頁URL地址由http：//力口域名再加路徑組成，攻擊者可以在URL中有意義的目錄中附加“../”、或者附加其他一些特殊字符來獲取其他目錄，完成目錄跳轉，獲取各個目錄的敏感文件。導致攻擊者能夠訪問授權之外的目錄和文件，甚至執行命令，危害極大。

1.6 任意文件上傳漏洞

文件上傳漏洞是指允許用戶上傳任意文件，這樣網絡攻擊者可以上傳危險內容或惡意代碼到服務器并執行。任意文件上傳漏洞的技術門檻低、容易實施。例如，某PHP源代碼網站沒有嚴格限制上傳文件的后綴名和實際文件類型，這樣攻擊者就可以上傳PHP文件并傳遞給PHP解釋器執行，就可以遠程執行任意PHP腳本，實施不法入侵行為。

1.7 越權訪問漏洞

越權訪問（Broken Access Control，簡稱BAC）是指應用在檢查授權（ Authorization）時存在紕漏，使得攻擊者可以利用一些方式繞過權限檢查，訪問或者操作到原本無權訪問的代碼或內容。比如直接繞過網站登錄界面訪問后臺管理。Web系統在用戶進行后臺登陸時進行有效過濾，常見的過濾檢測技術有：JavaScript驗證、Cookies驗證、Session驗證和數據庫信息匹配驗證。攻擊者了解了驗證機制后，可以據其原理進行針對性繞過。例如：為了避過Web應用程序進行JavaScript身份驗證，攻擊者可以使用瀏覽器關閉JavaScript函數，直接訪問后臺管理。

1.8 社會工程學

以上都是單純的技術層面的漏洞，而社會工程學更多的是利用心理學弱點、本能、好奇心、信任、貪婪的心理，通過欺騙他人獲取自身利益。社會工程學不同于一般的欺騙手段，特別是復雜的社會工程，即使是最警惕和小心的人，同樣會被精明的社會工程損害利益，近年來的網絡電信詐騙很多就是利用社會工程學。社會工程學具有以下特點：

社會工程通常是以交談、假冒或錄制他人說話，制作陷阱欺騙受害者，從合法用戶套取秘密和獲取利益。社會工程學是一種與普通詐騙不同層次技能的手法，社會工程需要根據對方的實際情況，收集大量的信息，利用人的弱點進行心理戰術攻擊，防不勝防。

2 信息安全攻防演練實戰

隨著電力信息系統的壯大發展，各類業務的復雜和信息系統的壯大，針對電力行業信息系統的各種安全隱患也在不斷增多，為保證電網信息系統的安全穩定運行，要求管理和維護人員都要與時俱進的掌握電網各類信息系統存在的安全隱患和相關的安全知識及必要技能。但由于開發者技術水平的差異和安全意識的不足，使得電網企業線上信息系統仍存在較多安全風險和漏洞，一旦惡意攻擊蔓延開來，將給電力行業造成巨大的損失。故此需要信息安全技術人員熟練掌握電網信息系統各類漏洞被攻擊的方法和原理，有針對性的做好白身系統的安全防護，提高信息安全意識和突發網絡攻擊的應急處理能力。因此，通過對網絡攻防靶場實戰核心系統的研究及應用，提升對電網新型漏洞的分析及攻防演練能力，以滿足企業信息化發展的需要。

2.1 信息安全攻防演練的平臺環境

網絡攻防靶場總體構架如圖3所示，通過電網行業的特點結合企業Web系統中常見的漏洞缺陷，采用高仿真的網絡攻防靶場進行信息安全攻防演練。

研究基于云平臺、支持遠程訪問和操作的網絡攻防靶場平臺，提供動態和可定制的培訓課題庫及網絡攻防工具庫，保障網絡靶場的實時性及擴展性，靈活應對新形勢下的各種網絡安全隱患，將電力行業實際安全問題進行定制性仿真復現，對實際安全脆弱點的攻防進行研究，提升信息安全管理人員和信息系統運維人員的信息安全技能。

2.2 信息安全攻防演練的實施

在攻防演練對抗實施過程可劃分為單兵作戰模式和紅藍對抗兩個階段。

（1）單兵作戰

在解題模式CTF賽制中，參賽隊伍可以通過互聯網或者現場網絡參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，通過解決網絡信息安全攻防題目闖關。這些題目可能涉及到信息安全技術的方方面面，比如密碼技術、數字簽名技術、身份認證技術、漏洞滲透技術、腳本編程以及網絡空間安全法等相關法律規定。主要目的是考察電網信息安全技術人員的基本知識和對常見漏洞的實際操作，重點掌握黑客漏洞攻擊的最基本原理并且會使用常見的安全攻擊，如BurpSuit、AWVS、NMap等。同時，攻防演練中需要對漏洞和安令風險講行修補加固.單兵作戰界而如圖4所示.

（2）紅藍對抗

根據電網現實的安全漏洞情況，將信息安全設備及其軟件、網絡設備及其軟件、信息資產等進行仿真蜜罐技術復現，搭建模擬實際信息網絡的典型網絡攻防仿真平臺，提供紅對抗攻防演練，紅方發動對藍方網絡攻擊，挖掘網絡服務漏洞并攻擊對手服務來得分；藍方修補自身服務漏洞加固系統防守攻擊避免丟分。一個回合后，紅藍雙方對換角色繼續攻防對抗。紅藍對抗可以實時反映出賽進展的得分情況，競爭十分激烈。在紅藍對抗中，不僅考察個人技術能力，團隊成員之間的分工與合作也十分重要。紅藍對抗結合單兵作戰的個人攻防能力訓練點，實時局域網漏洞滲透入侵，藍方結合網絡攻擊出現的異常情況應急響應，分析攻擊行為，修補漏洞和加固系統，抵抗攻擊并實時防守。圖5是一次團隊攻防演練的實施結果。

3 結論

智能電網是傳統電網與信息技術融合的新型電網。隨著信息技術的快速發展，信息安全作為信息技術的一個重要部分正在深刻地影響著人們的T作和生活。科技的發展給人們帶來方便的同時，也暴露出了很多安全問題，特別是近年來，如信息泄漏，SQL注入漏洞和網絡的滲透、黑客攻擊等信息安全事件頻發，給互聯網界造成了難以挽回的損失。面對網絡技術的發展和網絡空間的復雜性，電力行業作為一種能量供應，涉及國有資產的絕大部分信息、商業價值和國家機密。但是龐大的信息數據有著巨大的價值，使得電網企業信息網絡容易遭受黑客攻擊、造成信息泄露風險的可能性是非常大的。這些年來，攻擊智能電網信息系統和用戶數據的現象經常發生，為電網的安全運行和供電的可靠性帶來了非同一般的影響。根據電力行業的特點，本文探討了電力行業中網絡攻防演練的意義和價值，通過分析電網信息系統中常見的安全風險和漏洞，并針對電力行業信息網絡漏洞的特點提出了網絡攻防靶場的建設和實施方案和處理突發信息安全事件的應急處置能力，以保障電網企業信息系統安全，間接地確保電網安全穩定可靠運行。endprint