隨著電網(wǎng)企業(yè)信息化程度的不斷加深,以及“大云物移智鏈”等新技術(shù)的應(yīng)用,新業(yè)務(wù)�、新業(yè)態(tài)不斷涌現(xiàn),電網(wǎng)企業(yè)網(wǎng)絡(luò)安全邊界不斷擴(kuò)大,網(wǎng)絡(luò)安全暴露面也越來越廣。與此同時(shí),國際網(wǎng)絡(luò)安全環(huán)境持續(xù)緊張,企業(yè)內(nèi)外部的網(wǎng)絡(luò)安全威脅也在不斷高漲,各種網(wǎng)絡(luò)攻擊手段日益豐富、技術(shù)日趨成熟,面臨的總體網(wǎng)絡(luò)安全形勢(shì)十分嚴(yán)峻���。伊朗核電站“震網(wǎng)”事件�����、烏克蘭BlackEnergy病毒導(dǎo)致的大面積停電事件以及委內(nèi)瑞拉電網(wǎng)停電事件,無不預(yù)示著通過網(wǎng)絡(luò)空間入侵一國電力網(wǎng)絡(luò)并由此控制電力系統(tǒng)���、破壞電力基礎(chǔ)設(shè)施已由設(shè)想變?yōu)楝F(xiàn)實(shí)�����。電網(wǎng)作為關(guān)系到國計(jì)民生和國家能源安全的重要基礎(chǔ)設(shè)施,其網(wǎng)絡(luò)安全防護(hù)體系建設(shè)至關(guān)重要���。
一�����、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析
1�、互聯(lián)網(wǎng)暴露風(fēng)險(xiǎn)
電網(wǎng)企業(yè)分支機(jī)構(gòu)、下屬單位�����、變電站所�����、營業(yè)廳等遍布全國,電網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施覆蓋電力發(fā)�、輸、變�、配、用����、調(diào)等各環(huán)節(jié),對(duì)外開放的業(yè)務(wù)系統(tǒng)眾多且防護(hù)水平不一,互聯(lián)網(wǎng)暴露面過廣�����。與此同時(shí),網(wǎng)絡(luò)安全攻防雙方成本嚴(yán)重不對(duì)等,黑客的攻擊手段�����、攻擊目標(biāo)�����、攻擊時(shí)間都是不確定的,且只需一點(diǎn)突破就能造成一定程度的影響�。而電網(wǎng)企業(yè)的網(wǎng)絡(luò)安全防守面則過大,需要關(guān)注木桶短板效應(yīng),一旦某個(gè)薄弱環(huán)節(jié)的邊緣系統(tǒng)有缺陷��、有漏洞被黑客入侵,就有可能會(huì)以此為跳板,利用安全防護(hù)體系中的信任關(guān)系進(jìn)行橫向滲透,進(jìn)而造成更大范圍的破壞�。
2、供應(yīng)鏈風(fēng)險(xiǎn)
電網(wǎng)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施,其供應(yīng)鏈安全涉及網(wǎng)絡(luò)�、安全及應(yīng)用系統(tǒng)產(chǎn)品和服務(wù)從無到有再到廢棄的全生命周期,不僅包括傳統(tǒng)的生產(chǎn)、倉儲(chǔ)�、銷售、交付等環(huán)節(jié),還延伸到了產(chǎn)品設(shè)計(jì)��、開發(fā)、集成等生命周期,以及交付后的部署�����、運(yùn)維等�����。
近年來供應(yīng)鏈安全問題越來越突出,主要表現(xiàn)在:一是惡意篡改����。在供應(yīng)鏈的某一環(huán)節(jié)對(duì)產(chǎn)品�����、服務(wù)及其所包含的組件�、部件、元器件�、數(shù)據(jù)等進(jìn)行惡意篡改、植入�、替換、偽造,以嵌入包含惡意邏輯的軟件或硬件;二是存在遠(yuǎn)程控制后門���。產(chǎn)品或服務(wù)存在遠(yuǎn)程控制功能,但未告知用戶遠(yuǎn)程控制的目的�����、范圍和關(guān)閉方法,甚至采用隱蔽接口����、未明示功能模塊、加載禁用或繞過安全機(jī)制的組件等手段實(shí)現(xiàn)遠(yuǎn)程控制功能����。斯諾登事件以來,不斷有廠商產(chǎn)品被曝光存在后門,這些后門有的是無意遺留的,有的則是某些企業(yè)甚至國家組織有目的、有計(jì)劃的行為,嚴(yán)重危及電力企業(yè)的供應(yīng)鏈安全,存在嚴(yán)重的安全隱患���。尤其是在近年來的攻防實(shí)戰(zhàn)對(duì)抗演練中發(fā)現(xiàn)的的問題,部分網(wǎng)絡(luò)安全設(shè)備因自身存在的問題,未能充分發(fā)揮其應(yīng)有的作用,反而成為防護(hù)邊界被突破的切入點(diǎn)��。
3�����、企業(yè)內(nèi)部風(fēng)險(xiǎn)
隨著近年來電網(wǎng)企業(yè)對(duì)網(wǎng)絡(luò)安全建設(shè)的投入不斷加大,遵循安全分區(qū)���、網(wǎng)絡(luò)專用、橫向隔離���、縱向認(rèn)證的原則,按照可管可控�����、精準(zhǔn)防護(hù)���、可視可信��、智能防御的安全策略,電網(wǎng)企業(yè)網(wǎng)絡(luò)安全建設(shè)已從“十二五”期間的主動(dòng)防御體系發(fā)展至“十三五”期間的以大數(shù)據(jù)智能分析����、感知預(yù)警��、聯(lián)動(dòng)防御為主的智能防護(hù)體系,網(wǎng)絡(luò)安全技防水平不斷提升,通過傳統(tǒng)網(wǎng)絡(luò)攻擊突破網(wǎng)絡(luò)邊界入侵電力系統(tǒng)的難度越來越高,但來自內(nèi)部的威脅依然存在���。電網(wǎng)企業(yè)管理層級(jí)多、鏈條長,基層單位信息安全意識(shí)薄弱,習(xí)慣性違章���、越權(quán)訪問等現(xiàn)象屢禁不絕�����。與此同時(shí),惡意釣魚�����、物理侵入等社會(huì)工程學(xué)攻擊方式越來越成熟,欺騙性越來越強(qiáng),很容易借此繞過網(wǎng)絡(luò)安全防護(hù)體系直接進(jìn)入內(nèi)部網(wǎng)絡(luò),網(wǎng)絡(luò)安全風(fēng)險(xiǎn)極高�����。
二�、網(wǎng)絡(luò)安全防護(hù)體系建設(shè)
為有效應(yīng)對(duì)當(dāng)前面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),需強(qiáng)化網(wǎng)絡(luò)安全基礎(chǔ),梳理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)點(diǎn),優(yōu)化現(xiàn)有技防和管理措施,建設(shè)精準(zhǔn)可靠、立體全面的網(wǎng)絡(luò)安全防護(hù)體系�����。
1�、邊界防護(hù)
電網(wǎng)企業(yè)分支機(jī)構(gòu)眾多,因此需明確各單位互聯(lián)網(wǎng)邊界,按照最小化原則開放業(yè)務(wù)端口,完善邊界安全設(shè)備及策略,把好入口安全關(guān)。配置高強(qiáng)度的物理安全防護(hù)措施��、惡意代碼檢測(cè)和主動(dòng)防御����、控制區(qū)與非控制區(qū)的邏輯隔離、邊界入侵檢測(cè)(IDS)�、安全審計(jì)等其他常規(guī)安全保護(hù)措施?����;陔娏π袠I(yè)分區(qū)分域�、縱深防御的防護(hù)策略,加強(qiáng)橫向邊界�、縱向邊界的安全防護(hù)和綜合安全防護(hù),逐層設(shè)防,形成立體的縱深防御技術(shù)體系�����。繪制全場景網(wǎng)絡(luò)安全布防圖,明確重點(diǎn)區(qū)域的防御策略和攻擊動(dòng)態(tài),實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)可視��、可管����、可控。同時(shí)強(qiáng)化總部與各單位間的協(xié)同處置,共享威脅情報(bào),實(shí)現(xiàn)一處預(yù)警��、處處響應(yīng),提升安全處置效率��。
2�����、主機(jī)防護(hù)
傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)過于關(guān)注邊界防御,相對(duì)忽視了主機(jī)層面的防護(hù),而近年來的攻防實(shí)踐表明,網(wǎng)絡(luò)邊界被突破已成為必然事件,因此必須要考慮邊界被突破后的主機(jī)防護(hù)策略,對(duì)包括數(shù)據(jù)����、進(jìn)程����、服務(wù)等系統(tǒng)資源在內(nèi)的主機(jī)環(huán)境進(jìn)行全方位的立體防護(hù)����。主機(jī)防護(hù)內(nèi)容主要包括端口及服務(wù)最小化開放���、系統(tǒng)補(bǔ)丁更新��、基線策略配置,并輔以殺毒�����、入侵檢測(cè)系統(tǒng)(IDS)以及其它內(nèi)核級(jí)的安全防護(hù)工具����。比如基于“白名單”機(jī)制的主機(jī)防護(hù)系統(tǒng),只允許“白名單”內(nèi)的進(jìn)程���、服務(wù)運(yùn)行,未經(jīng)允許的軟件���、工具和進(jìn)程都不能運(yùn)行,從而確保系統(tǒng)免疫漏洞攻擊、惡意代碼執(zhí)行��、數(shù)據(jù)竊取等類型攻擊,提供內(nèi)核級(jí)安全保障,在邊界被突破后最大程度確保主機(jī)安全�。
3、全局態(tài)勢(shì)感知
網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)感知是主動(dòng)安全防御體系的“大腦”,結(jié)合企業(yè)IT資產(chǎn),可通過威脅情報(bào)���、機(jī)器學(xué)習(xí)����、用戶畫像等技術(shù)對(duì)海量的日志信息進(jìn)行深度分析,同時(shí)關(guān)聯(lián)企業(yè)IT資產(chǎn)漏洞、所面臨的威脅,自動(dòng)化��、可視化地實(shí)現(xiàn)全網(wǎng)的安全風(fēng)險(xiǎn)態(tài)勢(shì)感知����、事件響應(yīng)以及資源協(xié)同聯(lián)動(dòng)。建設(shè)全局網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系可有效降低企業(yè)內(nèi)部安全運(yùn)維人員的時(shí)間成本,有效提升對(duì)APT攻擊的發(fā)現(xiàn)和處置能力,以及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)事前�����、事中的應(yīng)對(duì)能力以及事后的分析及追蹤溯源能力��。
4���、構(gòu)建網(wǎng)絡(luò)安全紅藍(lán)對(duì)抗機(jī)制
構(gòu)建紅藍(lán)對(duì)抗機(jī)制,回歸到人和人的對(duì)抗���。在網(wǎng)絡(luò)安全領(lǐng)域,紅藍(lán)對(duì)抗中一方扮演黑客、另一方扮演防守者進(jìn)行網(wǎng)絡(luò)安全實(shí)戰(zhàn)演練�。紅藍(lán)對(duì)抗與傳統(tǒng)滲透測(cè)試相比有著明顯的不同,甚至較量的不僅僅是技法,還包括戰(zhàn)術(shù)����、心態(tài)與體力的考驗(yàn)���。在攻防演練中,紅軍模擬真實(shí)的攻擊來評(píng)估企業(yè)當(dāng)前防護(hù)體系的安全水平,藍(lán)軍對(duì)發(fā)現(xiàn)的問題進(jìn)行優(yōu)化整改。通過周期性的紅藍(lán)對(duì)抗,可持續(xù)性提高企業(yè)在攻擊防護(hù)�、威脅檢測(cè)、應(yīng)急響應(yīng)等方面的能力����。通過持續(xù)的對(duì)抗、復(fù)盤����、總結(jié),不斷優(yōu)化網(wǎng)絡(luò)安全防御體系的各個(gè)環(huán)節(jié),從而提升整體的網(wǎng)絡(luò)安全防護(hù)水平。
網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗,即攻防雙方的動(dòng)態(tài)平衡,在網(wǎng)絡(luò)安全實(shí)戰(zhàn)化����、常態(tài)化、體系化的背景下,“紅藍(lán)對(duì)抗”機(jī)制可幫助企業(yè)實(shí)現(xiàn)以攻促防�、以攻促改、以實(shí)戰(zhàn)促建設(shè)的目標(biāo),實(shí)現(xiàn)網(wǎng)絡(luò)安全“紅軍”和“藍(lán)軍”相互促進(jìn)����、循環(huán)提升的效果,在培養(yǎng)兼具攻防技能的高素質(zhì)網(wǎng)絡(luò)安全人才的同時(shí),從攻防雙方的角度審視企業(yè)網(wǎng)絡(luò)安全防護(hù)體系存在的不足,從而不斷提升企業(yè)的整體安全防護(hù)能力。
5��、網(wǎng)絡(luò)安全管理提升
做好信息系統(tǒng)全生命周期網(wǎng)絡(luò)安全管控。為有效提升企業(yè)網(wǎng)絡(luò)安全水平,網(wǎng)絡(luò)安全建設(shè)要“關(guān)口前移”,安全要素要滲透到系統(tǒng)規(guī)劃�、建設(shè)、運(yùn)維全生命周期,明確各環(huán)節(jié)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防護(hù)措施和責(zé)任,通過整體系統(tǒng)安全框架落實(shí)網(wǎng)絡(luò)安全能力�。
建立網(wǎng)絡(luò)安全督察通報(bào)體系。建立健全網(wǎng)絡(luò)安全督查通報(bào)機(jī)制,確保對(duì)安全威脅��、安全漏洞��、安全事件進(jìn)行閉環(huán)管理,加強(qiáng)電力企業(yè)內(nèi)部網(wǎng)絡(luò)安全信息共享和統(tǒng)一應(yīng)急處置,從而有效支撐網(wǎng)絡(luò)安全監(jiān)測(cè)����、通報(bào)預(yù)警、應(yīng)急處置和事件調(diào)查等工作�。
加強(qiáng)全員網(wǎng)絡(luò)安全宣傳。網(wǎng)絡(luò)安全工作通常側(cè)重于技防,而選擇性忽略或未足夠重視人防���。實(shí)際上人防與技防處于同等重要的位置,即使企業(yè)構(gòu)建了比較完善的網(wǎng)絡(luò)安全防線,但往往一個(gè)來自內(nèi)部人員的疏忽就可能將企業(yè)置于網(wǎng)絡(luò)安全威脅之中,因此需重視全員網(wǎng)絡(luò)安全意識(shí)培養(yǎng),開展網(wǎng)絡(luò)安全意識(shí)培訓(xùn)���、安全競賽等多種形式的宣傳,輔以考核等手段,引導(dǎo)全員強(qiáng)化網(wǎng)絡(luò)安全理念,提高全員安全防范能力,推動(dòng)網(wǎng)絡(luò)安全意識(shí)入腦入心,構(gòu)筑網(wǎng)絡(luò)安全的堅(jiān)固城墻。
電網(wǎng)作為關(guān)系到國計(jì)民生和國家能源安全的重要基礎(chǔ)設(shè)施,網(wǎng)絡(luò)安全至關(guān)重要�。隨著信息技術(shù)的快速發(fā)展及國內(nèi)外網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,電網(wǎng)企業(yè)網(wǎng)絡(luò)安全受到了來自各個(gè)方面的威脅。本文從多個(gè)角度分析了電網(wǎng)企業(yè)當(dāng)前面臨的主要風(fēng)險(xiǎn),并針對(duì)性地提出了應(yīng)對(duì)策略,探討電網(wǎng)企業(yè)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)思路,以提升電網(wǎng)企業(yè)的網(wǎng)絡(luò)安全防護(hù)水平。
文章來源:電力招標(biāo)采購網(wǎng)
0531-67800866