电网企业网络信息安全的威胁与攻防新技术研究
2015-11-09龙震岳等
龙震岳等
摘 要: 随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。在此针对网络信息安全的严峻形势,通过研究电网企业出现的新型攻防技术,包括高级持续威胁(APT)防护技术、漏洞扫描技术等的优缺点,给出基于最小攻击代价的防御有效性分析策略,并计算网络的防御能力。
关键词: 网络信息安全; 计算机; APT; 安全防御; 恶意威胁
中图分类号: TN711?34 文献标识码: A 文章编号: 1004?373X(2015)21?0100?05
Threat to network information security and study on new defense
technologies in power grid enterprises
LONG Zhenyue1, 2, QIAN Yang1, 2, ZOU Hong1, 2, CHEN Ruizhong1, 2
(1. Key Laboratory of Information Testing, China Southern Power Grid Co., Ltd., Guangzhou 510000, China;
2. Information Center, Guangdong Power Grid Co., Ltd., Guangzhou 510000, China)
Abstract: With the continuous development of management informationization of the power grid enterprises, automatic power grid operation and intelligent electrical equipment, the information security has become more important. For the serious situation of network information security, the new?type defense technologies are studied, which are consisted of advanced persistent threat (APT) protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies, the strategy of defense effectiveness analysis based on the minimum attack cost is proposed, which can compute the defense capability of the network.
Keywords: network information security; computer; APT; safety defense; malicious threat
0 引 言
随着电网企业管理信息化、电网运行自动化、电力设备智能化的不断发展,电网企业信息安全愈发重要。信息化已成为电力企业工作中的重要组成部分,各类工作对网络的高度依赖,各类信息以结构化、非结构化的方式储存并流转于网络当中,一旦信息网络被攻破,则往往导致服务中断、信息泄漏、甚至指令错误等事件,严重威胁生产和运行的安全。因此,保障网络信息安全就是保护电网企业的运行安全,保障网络安全是电网企业的重要职责[1]。
目前的网络信息安全形势依然严峻,近年来,业务从单系统到跨系统,网络从零星分散到大型化、复杂化,单纯的信息安全防护技术和手段已经不能满足企业安全防护的需要,应针对性地研究具有纵深防御特点的安全防护体系,以信息安全保障为核心,以信息安全攻防技术为基础,了解信息安全攻防新技术,从传统的“知防不知攻”的被动防御向“知攻知防”的纵深积极防御转变,建立全面的信息安全防护体系。
1 概 述
从广义层面而言,网络信息安全指的是保障网络信息的机密性、完整性以及有效性,涉及这部分的相关网络理论以及技术都是网络信息安全的内容。从狭义层面而言,网络信息安全指的是网络信息的安全,主要包括网络软硬件及系统数据安全[2]。网络信息安全需要保证当网络受到恶意破坏或信息泄露时,网络系统可以持续正常运行,为企业提供所需的服务。
通过对我国某电网企业及其下辖电力单位的调研,以及对近5年电力信息资产信息安全类测评结果的统计得知,电网企业现存的网络安全情况主要分为以下3类:网络安全风险与漏洞弱点事件、数据安全风险与漏洞弱点事件、管理类安全风险与漏洞弱点事件。整体上看,电网企业的信息安全问题仍不容乐观,近年来随着网络的复杂化,攻击的新型化和专业化,网络安全防护的情况亟待加强。总体而言,首先要加强并提升网络、应用等方面安全水平,保证信息源头的安全情况;其次加强管理类安全,特别是人员管理、运维管理等方面;最后研究分析最新攻防技术的特点,结合电网实际现状,构建适用于现有网络环境与架构的信息安全纵深防御体系。
本文主要针对第三点展开论述,研究包括高级持续威胁(APT)防护技术、漏洞扫描技术等新型的攻击及其防护技术,提取在复杂网络系统中的防御共同点,并给出一类策略用于分析网络信息安全防御的有效性。
2 信息安全的攻防新技术
电网企业所依赖的信息安全隔离与防御技术主要包括数据加密技术、安全隔离技术、入侵检测技术、访问控制技术等。一方面,通过调研与统计分析。目前电网的信息安全建设主要以防止外部攻击,通过区域划分、防火墙、反向代理、入侵检测等手段对外部攻击进行防御,对内部的防御手段往往滞后,电网内部应用仍然存在一定的安全风险与漏洞弱点。如果一道防线失效,恶意的攻击者可能通过以内部网络为跳板威胁电网企业的安全;另一方面,电网企业中目前使用的防御技术一般是孤立的,未形成关联性防御,而目前新型的攻击往往会结合多个漏洞,甚至是多个0day漏洞进行组合攻击,使得攻击的隐蔽性、伪装性都较强。因此,要构建信息安全防御体系,仅凭某单一的防护措施或技术无法满足企业的安全要求,只有构建完整的信息安全防护屏障,才能为企业提供足够的信息安全保障能力。
经过分析,目前针对电网企业的新型攻防技术有如下几类:
2.1 高级持续威胁攻击与防护技术
高级持续威胁(APT)是针对某一项有价值目标而开展的持续性攻击,攻击过程会使用一切能被利用的手段,包括社会工程学攻击、0day漏洞攻击等,当各攻击点形成持续攻击链后,最终达到攻击目的。典型的APT攻击案例如伊朗核电项目被“震网(Stuxnet)”蠕虫病毒攻击,通过攻击工业用的可编程逻辑控制器,导致伊朗近[15]的核能离心机损坏。
根据APT攻击的特性,企业可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、监测网络数据渗出等多个环节进行检测,主要涉及以下几类新型技术。
2.1.1 基于沙箱的恶意代码检测技术
恶意代码检测中最具挑战性的是检测利用0day漏洞的恶意代码,传统的基于特征码的恶意代码检测技术无法应对0day攻击。目前最新的技术是通过沙箱技术,构造模拟的程序执行环境,让可疑文件在模拟环境中运行,通过软件所表现的外在行为判定是否是恶意代码。
2.1.2 基于异常的流量检测技术
传统的入侵检测系统IDS都是基于特征(签名)的深度包检测(DPI)分析,部分会采用到简单深度流检测(DFI)技术。面对新型威胁,基于DFI技术的应用需要进一步深化。基于异常的流量检测技术,是通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通信以及信息渗出等恶意行为。
2.1.3 全包捕获与分析技术
由于APT攻击的隐蔽性与持续性,当攻击行为被发现时往往已经持续了一段时间;因此需要考虑如何分析信息系统遭受的损失,利用全包捕获及分析技术(FPI),借助海量存储空间和大数据分析(BDA)方法,FPI能够抓取网络中特定场合下的全量数据报文并存储,便于后续的历史分析或者准实时分析。
2.2 漏洞扫描技术
漏洞扫描技术是一种新型的、静态的安全检测技术,攻防双方都会利用它尽量多地获取信息。一方面,攻击者利用它可以找到网络中潜在的漏洞;另一方面,防御者利用它能够及时发现企业或单位网络系统中隐藏的安全漏洞。以被扫描对象分类,漏洞扫描主要可分为基于网络与基于主机的安全漏洞扫描技术。
2.2.1 基于网络的安全漏洞扫描技术
基于网络的安全漏洞扫描技术通过网络扫描网络设备、主机或系统中的安全漏洞与脆弱点。例如,通过扫描的方式获知OpenSSL心脏出血漏洞是否存在。基于网络的安全漏洞扫描技术的优点包括:易操作性,扫描在执行过程中,无需目标网络或系统主机Root管理员的参与;维护简便,若目标网络中的设备有调整或变化,只要网络是连通的,就可以执行扫描任务。但是基于网络的扫描也存在一些局限性:扫描无法直接访问目标网络或系统主机上的文件系统;其次,扫描活动不能突破网络防火墙[3]。
2.2.2 基于主机的安全漏洞扫描技术
基于主机的安全漏洞扫描技术是通过以系统管理员权限登录目标主机,记录网络或系统配置、规则等重要项目参数,通过获取的信息与标准的系统安全配置库进行比对,最终获知系统的安全漏洞与风险。
基于主机的安全漏洞扫描技术的优点包括:可使用的规则多,扫描结果精准度高;网络流量负载较小,不易被发现。该技术也存在一些局限性:首先,基于主机的安全漏洞扫描软件或工具的价格昂贵;其次,基于主机的安全漏洞扫描软件或工具首次部署的工作周期较长。
3 基于最小攻击代价的网络防御有效性分析策略
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑图[4][C,]其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为[Z,]目标区域为[D。]在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点[d]的通路[p,]且这条通路上的攻击代价小于值[w。]其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。直观地,由于攻击行为往往会因遇到安全设备和安全策略的阻拦,而导致其成功实现其攻击目的的时间、精力甚至资金成本提高,攻击者为达到其攻击目标所付出的所有的行为成本即攻击代价。
在图[G]中,每一个节点[v]具有输入权限[q]和获利权限[q](如表1所示)、本身的防护能力[pr]以及风险漏洞数L(L≥0)。攻击者能力是指攻击者通过输入权限[q,]通过任意攻击手段,在节点[v]上所能获取的最高权限值(获利权限)[q′。]直观地,输入权限代表攻击者在对某节点进行攻击前所拥有的权限,如Web服务器一般均具有匿名访问权限;获利权限代表攻击者最终可以利用的系统权限。
最短攻击路径是从非安全区域[Z]中任意节点[z]到目标节点[d]所有攻击路径中,防护成功率最低的[Pr]所对应的路径。最短攻击路径所对应耗费的攻击代价为最小攻击代价[4],也是该网络的防护能力有效性分值。
攻击代价阈值:一旦攻击者付出的攻击代价超过其预期,攻击者很大程度上将会停止使得攻击代价超限的某一攻击行为,转而专注于攻击代价较小的其他攻击路径。攻击代价阈值即攻击者为达到目标可接受的最大攻击代价。如果防护能力有效性分值小于攻击代价阈值,则说明攻击目标可以达到。
攻击代价阈值一般可以通过人工方式指定,本文采用德尔斐法,也被称为专家咨询法的方式来确定。经过专家分析和评判,将攻击代价阈值设定为[t,]当攻击路径防护能力小于[t]即认为攻击者会完成攻击行为并能成功实施攻击行为。
4 网络防御有效性分析应用
假设在电网企业复杂网络环境场景下存在一类新型的APT攻击,网络中使用两种策略A,B进行攻击防御。策略A采用了现有的隔离与防御技术,策略B是在现有基础上增加应用了APT防御技术。计算两类策略下的最小攻击代价,并进而对APT防护效果进行分析。
4.1 策略选取
4.1.1 策略A
图1为一个简化的复杂网络环境实例拓扑,其中DMZ区部署的Web服务器为内、外网用户提供Web服务,电网地市局局域网的内部用户不允许与外网直接连接,限网。各安全域之间具体访问控制策略如下:
(1) 只允许地市局局域网用户访问DMZ区Host2(H2)上的IIS Web服务和Host3(H3)上的Tomcat服务;
(2) DMZ 区的H2 允许访问H3上的Tomcat服务和IDC区Host4(H4)上的Oracle DB服务;
(3) 禁止H2和H3访问Domino服务器Host5(H5);
(4) H5允许访问DMZ的H2和H3及IDC区的H4。
4.2 效果分析
通过上述计算结果表明,在应用策略A与B情况下,局域网用户到DMZ区域目标主机存在的攻击路径的防护有效性分值分别是(0.3,0.3,0.51)与(0.93, 0.93,0.979)。在策略A的情况下,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,最短攻击路径的防护有效性分值只有0.51,说明局域网内的攻击者能在花费较小代价的情况下,轻易地获取内网DMZ或IDC服务器的系统权限,从而造成较大的危害。而增加APT防护设备之后,通过DMZ区的H2为跳板,攻击IDC的目标主机H4,防护有效性分值提升为0.979,其他攻击路径的防护有效性也有明显提高。
策略A与策略B的对比结果表明,在DMZ区域有APT防护技术情况下,网络环境下整体的隔离与防御能力得到了明显提升,从而验证了隔离与防御新技术的防护效果。
5 结 语
在新形势、新技术下,我国电网企业网络信息安全仍面临着严峻的挑战,应当高度重视网络信息安全工作,不断发展完善信息安全防御新技术,改善网络信息安全的水平。单纯使用某种防御技术,往往已无法应对快速变化的安全防御需求,只有综合运用各种新型的攻防技术,分析其关联结果,并通过网内、网间各类安全设备、安全措施的互相配合,才能最终建立健全网络信息安全防范体系,最大限度减少恶意入侵的威胁,保障企业应用的安全、稳定运行。
参考文献
[1] 高子坤,杨海洲,王江涛.计算机网络信息安全及防护策略分析[J].科技研究,2014,11(2):155?157.
[2] 彭晓明.应对飞速发展的计算机网络的安全技术探索[J].硅谷,2014,15(11):86?87.
[3] 范海峰.基于漏洞扫描技术的网络安全评估方法研究[J].网络安全技术与应用,2012,8(6):9?11.
[4] 吴迪,冯登国,连一峰,等.一种给定脆弱性环境下的安全措施效用评估模型[J].软件学报,2012,23(7):1880?1898.
[5] 池水明,孙斌.无线网络安全风险及防范技术刍议[J].信息网络安全,2012,9(3):25?27.
[6] 马纪丰,梁浩.物联网感知层信息安全分析与建议[J].现代电子技术,2012,35(19):76?78.