公務(wù)員期刊網(wǎng) 論文中心 正文

電廠網(wǎng)絡(luò)安全研究分析

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電廠網(wǎng)絡(luò)安全研究分析范文,希望能給你帶來靈感和參考,敬請閱讀。

電廠網(wǎng)絡(luò)安全研究分析

摘要:隨著網(wǎng)絡(luò)信息技術(shù)飛速發(fā)展,網(wǎng)絡(luò)安全面臨著嚴(yán)峻挑戰(zhàn),黑客的攻擊呈現(xiàn)出目標(biāo)明確、手段多樣、隱蔽性強(qiáng)等特點(diǎn),僅僅依靠傳統(tǒng)的邊界安全防護(hù)技術(shù),已無法滿足當(dāng)前網(wǎng)絡(luò)安全的需求,迫切需要新的技術(shù),網(wǎng)絡(luò)欺騙防御技術(shù)就是目前受到廣泛關(guān)注和討論的一種安全防御手段,區(qū)別于傳統(tǒng)被動(dòng)式安全防護(hù)手段,這是一種主動(dòng)式防御手段。本文圍繞網(wǎng)絡(luò)欺騙防御技術(shù)在電廠網(wǎng)絡(luò)安全中的應(yīng)用進(jìn)行了研究。提出了通過網(wǎng)絡(luò)欺騙防御系統(tǒng)建立網(wǎng)絡(luò)欺騙防御體系,來加強(qiáng)電廠網(wǎng)絡(luò)安全監(jiān)控與管理的思想,并結(jié)合電廠網(wǎng)絡(luò)的實(shí)際情況,給出了該系統(tǒng)在電廠中的實(shí)際應(yīng)用方案。

關(guān)鍵詞:網(wǎng)絡(luò)安全;網(wǎng)絡(luò)欺騙防御技術(shù);電廠

電廠是國家重要的基礎(chǔ)設(shè)施之一,隨著國家電網(wǎng)建設(shè)與使用,電廠工控系統(tǒng)所面臨的安全風(fēng)險(xiǎn)越來越突出,發(fā)電系統(tǒng)安全事關(guān)國家安全,影響國計(jì)民生。近些年國內(nèi)外電力系統(tǒng)遭到網(wǎng)絡(luò)攻擊事件比比皆是,例如:烏克蘭電網(wǎng)攻擊事件、以色列電力供應(yīng)系統(tǒng)遭重大網(wǎng)絡(luò)攻擊事件、委內(nèi)瑞拉大停電事件等等,造成惡劣的影響與重大的經(jīng)濟(jì)損失。同時(shí),從NAS方程式組織網(wǎng)絡(luò)攻擊武器的大規(guī)模泄露,到‘永恒之藍(lán)’漏洞,再到被廣泛應(yīng)用的各類Web應(yīng)用漏洞、IoT漏洞;從趨于定向化和敏捷化的勒索攻擊,到各類挖礦攻擊的全面鋪開;從屢次的數(shù)據(jù)泄露事件曝光,到幾乎每天曝光的APT攻擊。不絕于耳的網(wǎng)絡(luò)安全事件讓我們深切感受到攻擊手段更加武器化,經(jīng)濟(jì)利益驅(qū)使下的黑客的攻擊更加理性化,網(wǎng)絡(luò)攻擊更加產(chǎn)業(yè)化,國與國之間的攻防對抗常態(tài)化,網(wǎng)絡(luò)攻擊面更加擴(kuò)大化?!熬W(wǎng)絡(luò)安全的本質(zhì)是對抗,對抗的本質(zhì)是攻防兩端能力的較量”,高級威脅逐年呈上升趨勢,APT攻擊、0day漏洞等未知威脅攻擊對傳統(tǒng)安全防護(hù)手段帶來極大挑戰(zhàn),攻防博弈不斷升級,攻防不平衡的現(xiàn)狀亟待新的防御方案,網(wǎng)絡(luò)欺騙防御系統(tǒng)建設(shè)將進(jìn)一步提升電廠系統(tǒng)安全防護(hù)水平,強(qiáng)化電廠網(wǎng)絡(luò)安全防護(hù)體系,防范和遏制重大網(wǎng)絡(luò)安全事件,確保電力生產(chǎn)安全穩(wěn)定運(yùn)行和電力可靠供應(yīng)。

1安全建設(shè)現(xiàn)狀

經(jīng)過多年的網(wǎng)絡(luò)安全建設(shè),電廠網(wǎng)絡(luò)安全防護(hù)系統(tǒng)已建立以防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)、正反向隔離等傳統(tǒng)安全設(shè)備為主的網(wǎng)絡(luò)安全防線,按照《電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》要求,堅(jiān)持以“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的總體防護(hù)原則,對業(yè)務(wù)系統(tǒng)進(jìn)行全面的安全防護(hù)建設(shè)完善,已具備了應(yīng)對多種網(wǎng)絡(luò)安全威脅的防護(hù)能力,同時(shí),通過網(wǎng)絡(luò)安全隔離、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和日志審計(jì)等技術(shù)手段,使得公司信息網(wǎng)絡(luò)能夠在滿足網(wǎng)絡(luò)安全要求的同時(shí),實(shí)現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)業(yè)務(wù)數(shù)據(jù)的安全穩(wěn)定的交互,進(jìn)一步強(qiáng)化公司網(wǎng)絡(luò)抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力,提高電力系統(tǒng)信息網(wǎng)絡(luò)安全,促進(jìn)網(wǎng)絡(luò)信息技術(shù)更好地應(yīng)用。部署安全設(shè)備的網(wǎng)絡(luò)安全拓?fù)涫疽鈭D如圖1所示。圖1中安全設(shè)備包括網(wǎng)絡(luò)防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)和日志審計(jì)等,防火墻分別在邊界上進(jìn)行部署,通過策略控制訪問權(quán)限,上網(wǎng)行為串聯(lián)方式部署在防火墻與核心網(wǎng)絡(luò)設(shè)備之間,同時(shí)在核心設(shè)備旁路部署入侵防御系統(tǒng),對網(wǎng)絡(luò)攻擊流量進(jìn)行檢測,日志審計(jì)旁路部署服務(wù)器交換機(jī)上,殺毒軟件由公司統(tǒng)一部署管控,生產(chǎn)控制大區(qū)通過正向隔離設(shè)備與管理信息大區(qū)進(jìn)行單向隔離防護(hù)。

2電廠網(wǎng)絡(luò)安全形勢

隨著我國電力系統(tǒng)的網(wǎng)絡(luò)化和智能化發(fā)展,電力系統(tǒng)中應(yīng)用的大量IT通用軟件,以及電力專用軟件,其涉及的操作系統(tǒng)、業(yè)務(wù)軟件、數(shù)據(jù)庫以及中間件等都可能存在設(shè)計(jì)缺陷和漏洞。當(dāng)管理系統(tǒng)尤其是生產(chǎn)管理系統(tǒng)與互聯(lián)網(wǎng)連接時(shí),攻擊者可通過利用漏洞向電力系統(tǒng)植入病毒、木馬等惡意軟件進(jìn)而竊取系統(tǒng)中的重要信息和數(shù)據(jù)。同時(shí),高級持續(xù)性威脅APT攻擊、利用“0day”漏洞的先進(jìn)的攻擊手段,以及攻擊者通過社會(huì)工程學(xué)方法對目標(biāo)進(jìn)行“魚叉攻擊”、“水坑攻擊”,利用防御方人員安全意識(shí)淡薄,對電力行業(yè)特定目標(biāo)進(jìn)行長期持續(xù)性的網(wǎng)絡(luò)攻擊,可繞過傳統(tǒng)安全設(shè)備的防線,成為當(dāng)前電力網(wǎng)絡(luò)安全所面臨的最大威脅。欺騙防御技術(shù)是防守者得以觀察攻擊者行為的新型主動(dòng)防御技術(shù)[1],通過誘騙攻擊者和惡意應(yīng)用暴露自身,以便研究人員能夠設(shè)計(jì)出有效防護(hù)措施。欺騙防御技術(shù)提供低誤報(bào)、高質(zhì)量的監(jiān)測數(shù)據(jù)。因此,電廠安全人員在構(gòu)建自身威脅檢測能力時(shí)候,應(yīng)將欺騙防御技術(shù)加入安全防御體系中。

3部署實(shí)現(xiàn)

電廠網(wǎng)絡(luò)系統(tǒng)應(yīng)用欺騙防御技術(shù),首先要部署欺騙防御技術(shù)所需要的基礎(chǔ)功能模塊,包括:蜜罐服務(wù)管理、威脅日志分析、統(tǒng)計(jì)分析展現(xiàn)及系統(tǒng)概覽展現(xiàn)。各模塊的主要功能如下:

3.1蜜罐服務(wù)管理

蜜罐服務(wù)提供蜜罐管理、仿真溯源、誘餌設(shè)置,主要由各類蜜罐組成,其中包括低中高三類蜜罐,低交互蜜罐主要由常見網(wǎng)絡(luò)協(xié)議組成,另外也包含常見工控網(wǎng)絡(luò)協(xié)議。中交互蜜罐具備一定的交互性,可模擬電廠真實(shí)資產(chǎn)增加蜜罐甜度,如ssh、telnet可讓用戶登錄并提供可操作終端;高交互蜜罐模擬真實(shí)的信息資產(chǎn),如Linux、Windows設(shè)備、ERP系統(tǒng)等,并在系統(tǒng)內(nèi)部放置虛假的敏感文件引誘攻擊者觸發(fā)捕獲機(jī)制。蜜罐類型包括熱點(diǎn)安全事件蜜罐,實(shí)現(xiàn)快速升級;支持中間件的仿真,包括tomcat、weblogic、JBoss等;支持OA系統(tǒng)等Web類應(yīng)用的仿真,涵蓋常見web漏洞仿真;常見數(shù)據(jù)庫的仿真,包括mySQL、Redis、MogoDB等;系統(tǒng)服務(wù)包括常見文件傳輸服務(wù)FTP/TFTP、和運(yùn)維服務(wù)SSH/Telnet等。

(1)蜜罐管理。欺騙防御系統(tǒng)蜜罐管理功能支撐自定義蜜罐分組,相同分組下的蜜罐組成隔離與生產(chǎn)網(wǎng)絡(luò)的蜜網(wǎng),蜜網(wǎng)內(nèi)的蜜罐系統(tǒng)之間可進(jìn)行網(wǎng)絡(luò)訪問和交互。蜜罐支撐重置、刪除、查看蜜罐副本數(shù)量、創(chuàng)建時(shí)間和集群節(jié)點(diǎn)等詳細(xì)信息。

(2)仿真溯源。欺騙防御系統(tǒng)提供仿真溯源蜜罐自定義功能,可靈活根據(jù)電廠需求仿真業(yè)務(wù)系統(tǒng)定制偽裝業(yè)務(wù)系統(tǒng)。模板創(chuàng)建支持自定義業(yè)務(wù)系統(tǒng)展現(xiàn)元素,包括:模板名稱、網(wǎng)頁標(biāo)題、版權(quán)信息,上傳網(wǎng)站LOGO和標(biāo)題欄圖標(biāo)等元素。同時(shí)支持仿真溯源蜜罐模板一鍵復(fù)制功能,為電廠快速實(shí)施蜜罐部署提供便利。

(3)誘餌管理。欺騙防御系統(tǒng)提供互聯(lián)網(wǎng)誘餌(GitHub)是指在公開的網(wǎng)站中設(shè)置虛假信息,在黑客收集信息階段對其造成誤導(dǎo),使其攻擊目標(biāo)轉(zhuǎn)向蜜罐,間接保護(hù)其他資產(chǎn)。誘餌配置提供詳細(xì)說明,填寫信息并下載誘餌項(xiàng)目,然后登錄到GitHub,新建倉庫并上傳誘餌即可。

(4)其他功能。欺騙防御系統(tǒng)提供郵件告警外發(fā)功能,支持內(nèi)部可信掃描設(shè)備添加可信主機(jī)功能,支持syslog將詳細(xì)日志發(fā)送給第三方平臺(tái),為網(wǎng)絡(luò)安全整體決策提供有效數(shù)據(jù)。同時(shí)支持威脅情報(bào)聯(lián)動(dòng),通過威脅情報(bào)實(shí)時(shí)查詢惡意IP,將惡意文件上傳至情報(bào)平臺(tái)進(jìn)行分析。

3.2威脅日志分析

威脅日志分析提供蜜罐會(huì)話日志、詳細(xì)日志列表、攻擊者溯源分析。蜜罐會(huì)話日志提供基于蜜罐訪問的五元組的日志統(tǒng)一展現(xiàn),可下鉆查看從會(huì)話建立到會(huì)話結(jié)束全過程基于時(shí)間軸的操作日志;日志列表提供告警日志的統(tǒng)一展現(xiàn),同時(shí)支持告警詳細(xì)信息查看功能;攻擊者溯源提供攻擊者詳細(xì)指紋,如攻擊者五元組,瀏覽器信息,終端信息,掃描工具等信息,通過指紋信息以及情報(bào)系統(tǒng)的結(jié)合,準(zhǔn)確定位攻擊者位置或身份,達(dá)到溯源目的。

3.3統(tǒng)計(jì)分析展現(xiàn)

統(tǒng)計(jì)分析功能模塊提供系統(tǒng)資源實(shí)時(shí)動(dòng)態(tài)展現(xiàn)、攻擊來源IP地圖、攻擊統(tǒng)計(jì)報(bào)表、攻擊源分析。系統(tǒng)資源模塊提供自身資源使用情況實(shí)時(shí)動(dòng)態(tài)展現(xiàn),包括:內(nèi)存使用率、磁盤讀取寫入、網(wǎng)卡上傳下載速率。每項(xiàng)性能指標(biāo)均提供詳細(xì)的動(dòng)態(tài)實(shí)時(shí)展現(xiàn)。攻擊來源IP地圖提供攻擊來源全球地圖,提供攻擊來源地理位置定位與分析展現(xiàn)。攻擊統(tǒng)計(jì)報(bào)表提供自定義報(bào)表統(tǒng)計(jì)功能,可靈活定義導(dǎo)出近一個(gè)月、近三個(gè)月、近半年以及自定義開始和結(jié)束時(shí)間范圍內(nèi)的攻擊統(tǒng)計(jì)報(bào)表功能。統(tǒng)計(jì)報(bào)表支持PDF報(bào)表、HTML報(bào)表下載與分析。攻擊源分析提供圍繞攻擊源IP地址的基于時(shí)間軸的入侵次數(shù)分析和基于蜜罐服務(wù)的入侵次數(shù)分析能力,同時(shí)提供攻擊源的入侵日志詳情展現(xiàn)。

3.4系統(tǒng)概覽展現(xiàn)

系統(tǒng)概覽為電廠安全人員了解自身網(wǎng)絡(luò)環(huán)境安全現(xiàn)狀和趨勢分析。提供每日入侵發(fā)現(xiàn)次數(shù)、歷史入侵發(fā)現(xiàn)次數(shù)和當(dāng)前誘捕蜜罐個(gè)數(shù)統(tǒng)計(jì),以時(shí)間軸動(dòng)態(tài)實(shí)時(shí)展現(xiàn)攻擊告警數(shù)量趨勢統(tǒng)計(jì);提供蜜罐服務(wù)類型統(tǒng)計(jì)餅形圖,被入侵蜜罐傳感器TOP10以及攻擊者來源IP統(tǒng)計(jì)。欺騙防御系統(tǒng)采用旁路接入模式,不改變電廠原有網(wǎng)絡(luò)架構(gòu),無需鏡像流量,適用于多種網(wǎng)絡(luò)環(huán)境,可單機(jī)部署、分布式部署、集群部署。分別在管理信息區(qū)和生產(chǎn)控制區(qū)部署誘捕軟件(探針)和業(yè)務(wù)仿真系統(tǒng),捕獲內(nèi)網(wǎng)滲透和APT攻擊等常規(guī)安全設(shè)備難以發(fā)現(xiàn)的攻擊,并可對數(shù)據(jù)進(jìn)行溯源,定位攻擊來源和攻擊者身份,溯源取證。

4應(yīng)用效益

在電廠網(wǎng)絡(luò)按照欺騙防御技術(shù)功能框架部署完成后,欺騙防御系統(tǒng)定制業(yè)務(wù)高仿真和組建蜜網(wǎng),通過在入侵者必經(jīng)之路上構(gòu)造陷阱,混淆攻擊目標(biāo),吸引攻擊者進(jìn)入蜜網(wǎng),拖住攻擊者,延緩攻擊、保護(hù)電廠真實(shí)業(yè)務(wù)系統(tǒng),為應(yīng)急響應(yīng)時(shí)間爭取時(shí)間。欺騙防御系統(tǒng)獲取攻擊者的地址、樣本、黑客指紋等信息,可掌握其詳細(xì)攻擊路徑、攻擊工具、終端指紋和行為特征,實(shí)現(xiàn)全面取證,精準(zhǔn)溯源。欺騙防御系統(tǒng)是基于行為的檢測,特征繞過攻擊難以奏效,可有效發(fā)現(xiàn)未知攻擊行為。通過和FW、IPS等防御設(shè)備聯(lián)動(dòng),對攻擊行為實(shí)時(shí)封堵。同時(shí)通過對未知攻擊行為的特征提取用于IDS、IPS等產(chǎn)品進(jìn)行特征升級,提高攻擊檢測能力,不斷賦能安全防御體系。

5結(jié)語

欺騙防御系統(tǒng)通過蜜罐、蜜餌技術(shù),組建具有迷惑、誘捕、監(jiān)控能力的欺騙防御體系,實(shí)現(xiàn)當(dāng)攻擊者繞過或突破防御措施時(shí)隱藏其攻擊目標(biāo)、拖延其攻擊節(jié)奏、捕獲攻擊行為及方法的目的。因此,利用欺騙防御技術(shù)構(gòu)建具有高仿真度的誘捕網(wǎng)絡(luò),提供具有混淆防護(hù)目標(biāo)的干擾能力,能夠?qū)粽吖粜袨檫M(jìn)行分析與告警,能夠?qū)粽呱矸葸M(jìn)行溯源分析,能夠與現(xiàn)有防護(hù)體系實(shí)現(xiàn)聯(lián)動(dòng)布控。既滿足當(dāng)前最新安全防護(hù)需求,又能夠強(qiáng)化網(wǎng)絡(luò)安全管控能力,提升各業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)的可靠性和安全防護(hù)能力,對保障電力系統(tǒng)安全穩(wěn)定運(yùn)行具有重要意義。在當(dāng)前網(wǎng)絡(luò)安全形勢日趨嚴(yán)峻的背景下,對各電力企業(yè)部署網(wǎng)絡(luò)安全設(shè)備有很好的借鑒意義。

參考文獻(xiàn):

[1]何昊坤.蜜罐技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用與研究[J].網(wǎng)絡(luò)安全和信息化,2022(01):128-133..

作者:裴辰曄 單位:國能浙江南潯天然氣熱電有限公司