江蘇省電力行業網絡安全態勢分析

仲思超 胡超 王占豐 擺亮

摘要：該文以江蘇省電力行業網絡安全態勢為分析目標，主要對全省電力行業對外運營WEB網站和省內電力行業工業控制設備對外通聯情況進行了分析，對發現的資產結合工業控制系統的典型漏洞，進行了WEB安全評估和漏洞安全評估，并對相關企業提出了安全建議，有效降低了省內電力行業的網絡安全風險。

關鍵詞：電力行業；關鍵信息基礎設施；網絡安全

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）09-0063-02

2016年4月19日，習近平在網絡安全和信息化工作座談會上指出：“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標”。

電力行業是國民經濟發展中最重要的基礎能源產業，是經濟發展和社會進步的基石。2017年6月1日正式施行的《網絡安全法》明確提出“關鍵信息基礎設施”的概念并對其范圍進行了界定。近年來，關鍵基礎設施領域已然成為網絡攻擊的重災區，尤其是電力、交通、通信等行業受到黑客的格外“關注”。隨著“互聯網+”戰略的深入實施，電力系統的信息網絡規模越來越大，網絡安全風險也隨之增加。2018年9月，國家能源局印發了《關于加強電力行業網絡安全工作的指導意見》，從多個方面對電力行業如何做好網絡安全工作提出了要求。

1 背景

1.1行業發展情況

作為一種先進生產力的基礎支撐產業，電力行業不僅在國民經濟的發展中起到不可或缺的作用，而且與社會的穩定、人們的日常生活息息相關。江蘇電力行業在我國電力行業中至關重要，它作為我國負荷最為密集、規模最大的省級電網，支撐著全國超過10%的經濟體量。

2017年8月，江蘇電網提出“要以歐美先進國家電網為標桿參照，建設世界一流電網，向國際高端邁進” 。 2018年，江蘇省內電力已成交1845億千瓦時，規模居全國首位。目前，2019年江蘇電力市場主體注冊及綁定工作正式啟動，申請市場主體已超過2.5萬家，是今年的6倍多，預計電量規模達2577億千瓦時，超過今年全年交易規模。

1.2面臨的安全挑戰

隨著江蘇電力業的網絡化和智能化快速發展，其主要面臨以下幾個方面的網絡安全威脅和挑戰：

首先，電力企業發展帶來的挑戰。隨著江蘇電力交易品種的增加，注冊入市的工商業用戶數量增加，這會使其業務流程復雜化，以及管理權限復雜化，還有數據共享關系復雜化，這些都會對電力企業帶來不可忽視的風險。

其次，系統的設計缺陷帶來的安全問題。電力系統應用了大量IT通用軟件以及電力專用軟件，其涉及的操作系統、業務軟件、數據庫、以及中間件等都可能存在設計缺陷和漏洞。當管理系統尤其是生產管理系統與互聯網連接時，攻擊者可通過利用漏洞向電力系統植入病毒、木馬等惡意軟件進而竊取系統中的重要信息和數據，甚至嘗試控制和破壞系統。

再次，管理機制不完善所引發的安全風險。由于管理制度不健全，仍有不少電力系統沒有采用相關的安全防范手段將其隱蔽于內網，或通過防火墻等設施來進行防護，這些直接暴露在公網中的系統給黑客進行攻擊和破壞帶來了極大的便利。

2 電力行業互聯網暴露資產

2.1工控設備暴露情況

通過對江蘇省內相關設備的聯網情況進行的多輪探測，發現江蘇省內共12個電力設備暴露在互聯網并存在CVE漏洞，且供應商均為Siemens，這些設備大部分使用S7comm、SNMP協議。設備分布在南京（3臺）、蘇州（3臺）、常州（2臺）、淮安（2臺）、鎮江（1臺）和無錫（1臺）等6個設區市，這些暴露在公網當中的設備，易導致惡意攻擊行為的發生，具有較大的危險性。

2.2電力行業網站和系統

通過對江蘇省電力行業相關關鍵字進行檢索查找后，獲得了1108個江蘇省內電力行業相關網站，再通過自動化和人工雙重驗證，共發現暴露在公網上江蘇省電力行業網站和系統有28個存在漏洞，其中暴露的各類電力門戶網站15個、監控平臺3個、OA系統2個、能源管理平臺2個、需求側管理平臺2個，以及其他平臺4個。這些網站和系統分布于江蘇省內7個設區市，其中，南京市暴露的Web資產數量最多，總共包含8個門戶網站、2個需求側管理平臺以及兩個其他類型電力Web資產，具體數據如圖1所示。

3 電力行業資產安全漏洞風險分析

3.1存在漏洞及其影響

我們對江蘇省電力行業在互聯網上暴露的資產進行分析，并對存在的漏洞進行了整理，共發現暴露資產主要存在以下幾個類型的高危安全漏洞：

1）CVE-1999-1011漏洞（評分為10）：其為IIS 3.x和4.x中的Microsoft數據訪問組件（MDAC）的遠程數據服務（RDS），該漏洞將允許遠程攻擊者執行任意命令。

2）CVE-2012-2379漏洞（評分為10）：受該漏洞影響的Web主要是使用由IONA技術公司開發的服務引擎：Apache CXF，該漏洞會造成全面的信息泄露，利用該漏洞，攻擊者可使受影響的資源完全不可用，而且，使用該漏洞并不需要很多的專業知識，且不需要身份驗證。

3）CVE-2008-4114漏洞（評分為9.8）：該漏洞允許遠程攻擊者導致拒絕服務（系統崩潰），或者可能通過SMB WRITE_ANDX數據包影響未指定的其他服務，其偏移量與數據包大小不一致，且與“未充分驗證緩沖區大小”相關。

4）CVE-2008-0413 漏洞（評分為9.3）：受該漏洞影響的Web主要是使用Mozilla Firefox 的引擎，該漏洞導致所有系統文件被泄露，系統保護完全喪失，導致整個系統受到損害。

3.2工控設備安全態勢

在本次對江蘇省電力設備的測試中，共發現6715個不同的CVE漏洞分布在12個電力設備中，我們將從漏洞危險等級以及漏洞出現次數，這兩個維度對CVE漏洞在江蘇省電力設備漏洞的分布情況進行分析。

首先，對CVE漏洞在12個工控設備中的出現頻次進行分析發現，暴露出的漏洞在不同的工控設備中，重復頻次高于20%的僅占24%，因而對于工控設備的漏洞處理，需要針對不同的工控設備進行有個性化的處理。

其次，分析各設區市暴露的工控設備后發現，盡管各設區市暴露的設備數僅有1-3臺，但是常州、淮安及蘇州暴露出的CVE漏洞數量很多，且對其CVE漏洞進行具體分析時，發現這幾個城市的工控設備存在的中高危漏洞比例也較高。

從江蘇省電力行業工控設備安全態勢來看，安全威脅指數較高的主要集中于長江以南城市，這些城市經濟較為發達，電力設備較為豐富，其電力工控設備安全威脅指數高。

3.3電力行業網站安全態勢

對江蘇省電力行業網站的檢測發現，1722個不同的CVE漏洞分布于28個網站中，圖2列出了網站暴露漏洞數量較多的前10個，其中****交易中心有限公司暴露CVE漏洞數高達7737個。

從江蘇省電力行業網站和系統設區市分布來看，同樣集中在省內較為發達城市。從****交易中心網站上可以得知江蘇省各設區市城市的發電企業個數、電力用戶個數以及售電公司個數，通過分析各設區市電力行業網站安全威脅指數與相關電力企業的關系，可以推斷出，售電公司個數越多的城市，Web資產受威脅程度越高。

4 措施及實施效果

本次對江蘇省電力行業相關網絡設備和資產的探測發現了目前省內一些暴露在互聯網中的漏洞，這些漏洞一旦被網絡中的惡意攻擊者利用，可能會對這些設備、網站甚至相關的電力系統帶來嚴重的影響。為此，在對探測數據整理的基礎上，將探測結果向相關企業進行了通告說明，并提出了相關的安全防護建議，這些建議包括：

隔離：江蘇省目前有不少的電力網站或系統暴露在互聯網上，特別是一些工控設備的指紋信息也都能通過探測工具掃描得到，針對這些工控設備和系統的最好處理方法是及時將其隔離出去，不再直接連接到互聯網。

安全更新：目前探測得到的大部分CVE漏洞僅存在于特定的系統版本，建議通過部署最新的漏洞簽名以獲得更多保護。

安全評估和滲透測試：建議針對系統內包含敏感信息或是關鍵基礎設施的環境進行測試，聘請或建設專業安全評估隊伍和滲透測試專家長期對資產進行評估。

同時，為了避免在遭受攻擊后無法溯源的狀況，建議電力企業建立完善的日志和監測系統，用以識別攻擊以及在安全事件發生后溯源、重構，監測能力應擴展到應用程序、操作系統和網絡級別。

在實施上述工作措施之后，對前期發現的電力行業資產安全風險再次進行了評估，風險等級顯著下降。目前所有發現的工控設備全部都進行了隔離，近1/3的電力行業網站進行了相應的安全更新或對系統進行下線，整體安全態勢得到了極大提高。

5 總結

通過本次對江蘇省電力行業的工控設備以及互聯網網站的分析，發現在江蘇電力工控設備中存在著不少危險等級較高的漏洞；同時，網站中也存在著許多出現次數頻繁且危險等級較高的漏洞。針對上述暴露的問題，對相關企業進行了通告，并提出了相應的建議和改進措施。探測結果表明，這些措施的實施，有效提高了江蘇省電力行業的網絡安全態勢水平，降低了安全風險。

參考文獻：

[1] 唐旺，寧華.落實國家網絡安全法 識別認定關鍵信息基礎設施[J].西安電子科技大學學報：社會科學版，2016（6）.

[2] 尹麗波.網絡安全法將促進國家關鍵信息基礎設施保護新局面[J].中國信息安全， 2015（8）.

[3] 于浩.關鍵信息基礎設施防護是網絡安全的重中之重[J].中國人大，2017（23）.

[4] 陳偉，鮑慧.電力系統網絡安全體系研究[J].電力系統通信，2008（1）.

[5] 宋璟.我國智能電網發展面臨的威脅及建議[J].中國信息安全， 2015（9）.

[6] 國家能源局.關于加強電力行業網絡安全工作的指導意見[EB/OL]. http：//zfxxgk.nea.gov.cn/auto93/201809/t20180927_3251.htm.

[7] 朱亞飛，楊文保，許強， 等.多層面探究電力系統信息網絡安全問題的分析[J].通訊世界，2017（4）.

【通聯編輯：謝媛媛】