基于多維反向滲透的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理模式探索

蘇生平，趙金朝

(1.國網(wǎng)青海省電力公司，青海 西寧 810008；2.國網(wǎng)青海省電力公司電力科學研究院，青海 西寧 810008)

0 引言

近年來，青海電網(wǎng)各單位采取技術(shù)和管理并重的方式快速提升了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全水平，電力監(jiān)控系統(tǒng)通過多輪檢查整治后，發(fā)現(xiàn)的問題大幅減少，導致部分人員滿足于現(xiàn)狀。面對這種情況，國網(wǎng)青海省電力公司調(diào)控中心(以下簡稱“省調(diào)”)確定了基于多維反向滲透的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理模式，組建滲透隊伍，明確工作職責，開展多維度滲透測試、網(wǎng)絡(luò)安全攻防演練和網(wǎng)絡(luò)安全分析評估，以問題為導向，不斷探索網(wǎng)絡(luò)安全防護新舉措。

1 實施背景

近年來，網(wǎng)絡(luò)攻擊技術(shù)發(fā)展迅速，呈現(xiàn)出接觸手段隱蔽、實施速度快、綜合打擊能力強等特點。國際上網(wǎng)絡(luò)安全事件頻發(fā)，相繼發(fā)生了烏克蘭大面積停電事件、美國東部互聯(lián)網(wǎng)服務(wù)癱瘓、勒索病毒全球爆發(fā)等網(wǎng)絡(luò)安全事件。電力作為重要基礎(chǔ)設(shè)施,已成為國際網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標。

2005年開始，青海電網(wǎng)省地兩級調(diào)度機構(gòu)、各廠站運維單位嚴格落實國家“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”的十六字方針要求，部署700余臺防火墻、500余套橫向隔離裝置、2 000多臺縱向加密認證裝置，建成柵格狀縱深防御體系；2018年后，在省地兩級調(diào)度部署了網(wǎng)絡(luò)安全管理平臺及監(jiān)測裝置，青海電網(wǎng)內(nèi)952座廠站全部部署了網(wǎng)絡(luò)安全監(jiān)測裝置，實現(xiàn)網(wǎng)絡(luò)安全事件的分布采集和集中監(jiān)視，達到了“外部侵入有效阻斷、外力干擾有效隔離、內(nèi)部介入有效遏制、安全風險有效管控”的安全管控目標。

但從網(wǎng)絡(luò)安全防護成效看，以往的電力監(jiān)控系統(tǒng)安全防護工作仍存在以下問題：一是僅注重邊界防護，對安全區(qū)內(nèi)部風險重視不夠，如通過滲透檢查發(fā)現(xiàn)廠站端使用非安全操作系統(tǒng)且未加固的問題比較普遍；二是過于依賴管理措施，未考慮到管理措施執(zhí)行是否到位，各單位是否一致等情況，如一直以來強調(diào)的賬戶口令問題，檢查發(fā)現(xiàn)仍有很多單位存在默認賬戶權(quán)限、弱口令、賬戶公用等問題；三是各類檢查注重匯報、查資料、人工手動檢查系統(tǒng)配置等，不夠全面和深入，如前期經(jīng)過多次檢查整改的主站系統(tǒng)，滲透檢查中仍發(fā)現(xiàn)存在不少高危服務(wù)、高危端口；四是對安防設(shè)備過于信賴，很少開展對縱向加密裝置、正/反向隔離裝置、防火墻等安防設(shè)備本身的檢查，盲目相信安防設(shè)備，如滲透測試中意外發(fā)現(xiàn)兩個廠家的縱向加密裝置存在默認轉(zhuǎn)發(fā)設(shè)置問題，可導致邊界防護措施失效；五是各類檢查中，由于人員知識技能水平、責任心存在差異，檢查結(jié)果不能真實放映存在的問題，導致后期采取的策略出現(xiàn)偏差，不能充分發(fā)揮網(wǎng)絡(luò)安全措施效能。

2 主要做法

一名著名犯罪學家講過，如果要了解罪犯的想法，最好是用罪犯的思維去思考問題。反向滲透檢查就是以攻擊者的角度，在授權(quán)且遵守一些約定前提下，利用安全掃描器、漏洞利用工具、人工滲透測試等方式，對電力監(jiān)控系統(tǒng)進行非破壞性的模擬入侵和攻擊測試，發(fā)現(xiàn)系統(tǒng)中存在的網(wǎng)絡(luò)安全漏洞和隱患，并對發(fā)現(xiàn)的風險提出針對性的整改建議，提升電力監(jiān)控系統(tǒng)安全性。

2.1 構(gòu)建滲透隊伍

2.1.1 構(gòu)建滲透隊伍

依托省電科院、網(wǎng)絡(luò)安全運維廠商、第三方測評機構(gòu)，抽選10名網(wǎng)絡(luò)安全專業(yè)人員，組建青海電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全滲透檢查隊伍，常態(tài)開展?jié)B透檢查工作，及時發(fā)布網(wǎng)絡(luò)安全風險，做好網(wǎng)絡(luò)安全運行保障。

2.1.2 配備滲透工具

滲透工具包括WEB滲透測試工具、基線核查工具、主機漏洞掃描工具、基于流量的被動漏洞挖掘工具、網(wǎng)絡(luò)環(huán)境下工控資產(chǎn)識別工具，以及網(wǎng)上公開工具，包括WVS、Nessus、Netspark、Wireshark、巡風掃描系統(tǒng)、Fidder、ms17-010批量掃描工具、Kali、K8等系列工具。

2.2 多維度滲透測試

省調(diào)建立了以攻促防、以攻驗防的常態(tài)化滲透工作機制，滲透隊伍使用信息收集工具、漏洞核查與利用工具，開展以下兩方面滲透檢查工作：

1)將專用滲透設(shè)備接入調(diào)度控制系統(tǒng)、廠站自動化系統(tǒng)內(nèi)部網(wǎng)絡(luò)，對內(nèi)部資產(chǎn)進行探測識別和漏洞檢測。

2)將專用滲透設(shè)備接入被檢查單位調(diào)度數(shù)據(jù)網(wǎng)，遠程驗證調(diào)管廠站及下級單位邊界防護設(shè)備的防護能力，探測違規(guī)暴露在調(diào)度數(shù)據(jù)網(wǎng)的設(shè)備及存在的漏洞。重點檢查項包括但不限于存活主機的端口及服務(wù)開放情況，存在的安全漏洞及弱口令等。

2.2.1 滲透測試方法

滲透測試分現(xiàn)場滲透和遠程滲透，滲透測試步驟見圖1。

圖1 滲透測試步驟圖

1)現(xiàn)場滲透

測試準備：確定安全Ⅰ區(qū)、Ⅱ區(qū)和Ⅲ區(qū)網(wǎng)絡(luò)接入點，收集拓撲示意圖及設(shè)備資產(chǎn)清單。

測試內(nèi)容：①內(nèi)部安全性測試，分別接入Ⅰ、Ⅱ、Ⅲ區(qū)核心交換機，對所在區(qū)域的服務(wù)器及相關(guān)應(yīng)用發(fā)起滲透測試，探測是否開放不必要的端口服務(wù)，驗證是否存在安全漏洞；②邊界安全性測試，接入Ⅲ區(qū)、Ⅱ區(qū)分別向Ⅱ區(qū)、Ⅰ區(qū)進行跨越反向隔離裝置和防火墻的滲透測試，驗證是否觸發(fā)相關(guān)告警。接入Ⅰ區(qū)、Ⅱ區(qū)分別向Ⅱ區(qū)、Ⅲ區(qū)進行跨越正向隔離裝置和防火墻的滲透測試，驗證是否觸發(fā)相關(guān)告警。

2)遠程滲透

測試準備：確定安全Ⅰ區(qū)、Ⅱ區(qū)調(diào)度數(shù)據(jù)網(wǎng)接入點，收集拓撲示意圖及設(shè)備資產(chǎn)清單(含路由交換設(shè)備的IP地址列表、服務(wù)端口等)。

測試內(nèi)容：接入Ⅰ區(qū)、Ⅱ區(qū)調(diào)度數(shù)據(jù)網(wǎng)交換機，向上下級單位發(fā)起滲透測試，下級單位要求覆蓋總量的30%。驗證縱向加密裝置策略配置是否合規(guī)，驗證是否觸發(fā)縱向加密裝置安全策略告警，以及暴露在調(diào)度數(shù)據(jù)網(wǎng)的業(yè)務(wù)主機，探測是否開放不必要的端口服務(wù)，驗證是否存在安全漏洞。

2.2.2 注意事項

為防止?jié)B透測試影響業(yè)務(wù)系統(tǒng)的正常運行，工作過程中須注意以下事項。

1)報備。在滲透工作開始前向相關(guān)調(diào)度機構(gòu)、業(yè)務(wù)主管部門報備，辦理檢修手續(xù)，得到許可后再開展現(xiàn)場測試。

2)只測試，不利用。滲透測試以發(fā)現(xiàn)問題為主，測試工作遵循點到為止的原則，能驗證漏洞存在即可，不宜對漏洞進行深入利用，以免破壞生產(chǎn)系統(tǒng)正常運行。

3)深度測試，提前溝通。對系統(tǒng)進行深度測試時需與工作負責人確認，例如使用Nmap T5參數(shù)進行強掃描、暴力破解弱口令等。

4)禁止重量級掃描。嚴禁使用重量級掃描工具(awvs、appscan等)進行掃描，嚴禁進行大數(shù)量級賬號爆破，嚴禁進行拒絕服務(wù)、溢出類漏洞的深入利用，嚴禁嗅探等破壞網(wǎng)絡(luò)運行的行為。

5)發(fā)現(xiàn)問題，及時取證。測試過程中對發(fā)現(xiàn)的問題及時取證，支撐自己最后的報告結(jié)論。

6)提高安全意識。測試過程中，滲透人員離開現(xiàn)場時，必須將滲透測試使用的筆記本電腦斷網(wǎng)，人走拔網(wǎng)線、鎖屏或關(guān)機等。

7)清理痕跡。測試結(jié)束后，清理滲透相關(guān)數(shù)據(jù)，嚴禁在系統(tǒng)或設(shè)備中駐留任何文件、程序。

2.3 攻防演練

攻防演練分為準備、實施、總結(jié)3個階段。準備階段主要是防守方開展包括隱患排查、風險分析、應(yīng)急演練等防御準備工作。實施階段，攻擊方從不同路徑對防守方開展?jié)B透測試和網(wǎng)絡(luò)攻擊，防守方全面開展監(jiān)測分析和應(yīng)急處置。總結(jié)階段，攻擊方停止攻擊，防守方有序撤防，總結(jié)演習經(jīng)驗并編制演習總結(jié)報告。

每年，除參加國家層面的護網(wǎng)演習外，省調(diào)組織開展青海電網(wǎng)范圍內(nèi)的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全攻防演練，全面檢驗網(wǎng)絡(luò)安全防護體系、技防措施，增強應(yīng)對重大網(wǎng)絡(luò)安全威脅風險的能力，檢驗網(wǎng)絡(luò)安全感知、應(yīng)急處置等全程全網(wǎng)聯(lián)動機制。

2.3.1 準備階段

1)主站方面。對主站系統(tǒng)進行一次全面排查，檢查內(nèi)容包括安防設(shè)備接線是否正確、策略是否最小化、有無跨區(qū)接線，對發(fā)現(xiàn)問題及時整改，無法立即整改的采取應(yīng)急措施。運維使用的系統(tǒng)、專用U盤等做好防護核查，杜絕弱口令。等保測評、安全評估及各類檢查發(fā)現(xiàn)的電力監(jiān)控系統(tǒng)漏洞、缺陷問題進行梳理確認，仍未完成整改的做好應(yīng)急措施。

2)廠站方面。對前期各類檢查發(fā)現(xiàn)的問題再次確認是否已整改，未整改的在演習前采取應(yīng)急措施，對高風險聯(lián)接、設(shè)備堅決予以斷網(wǎng)隔離，無法斷網(wǎng)隔離的采取應(yīng)急措施。檢查網(wǎng)絡(luò)邊界安防設(shè)備是否齊備、安防策略是否“最小化”，是否存在違規(guī)外聯(lián)。windows主機設(shè)備是否安裝殺毒軟件，有無定期更新和殺毒。斷開網(wǎng)絡(luò)安全風險高的業(yè)務(wù)和網(wǎng)絡(luò)連接，無法斷開的務(wù)必做好應(yīng)急措施。新能源電站等生產(chǎn)控制大區(qū)的業(yè)務(wù)延伸及網(wǎng)絡(luò)延伸節(jié)點，違反規(guī)定的一律采取斷開措施，減少不必要的網(wǎng)絡(luò)暴露。加強人員進出管理，防止電廠成為網(wǎng)絡(luò)攻擊突破口。

2.3.2 實施階段

1)各單位電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全主管部門負責人及相關(guān)人員手機須保持通信暢通，執(zhí)行“零匯報”要求。

2)若出現(xiàn)突發(fā)網(wǎng)絡(luò)安全告警，立即電話聯(lián)系所屬調(diào)度機構(gòu)相關(guān)人員，及時采取斷網(wǎng)、隔離等措施。

3)暫停所有電力監(jiān)控系統(tǒng)常規(guī)的檢修工作，應(yīng)急搶修等須在演練期間開展的，應(yīng)做好應(yīng)急措施，安排專人做好監(jiān)護，并向所屬調(diào)度機構(gòu)進行書面報備。工作完畢后，及時對設(shè)備接線、設(shè)備安全策略等進行檢查確認，并及時向所屬調(diào)度機構(gòu)反饋工作情況。

4)嚴格管控主站端自動化機房、調(diào)度室，廠站主控室、保護室等場所的人員出入，執(zhí)行許可登記監(jiān)護等措施，外部單位人員要求進入電力監(jiān)控系統(tǒng)現(xiàn)場的務(wù)必進行身份確認，核實有無正規(guī)手續(xù)，并向所屬調(diào)度機構(gòu)報備。提高人員網(wǎng)絡(luò)安全和保密意識，注意防范社會工程學攻擊(如陌生人詢問敏感信息、偽裝運維或廠商人員進入生產(chǎn)場所、釣魚郵件等)。

5)電力監(jiān)控系統(tǒng)主管部門負責人及相關(guān)人員須保持通信暢通。調(diào)度機構(gòu)做好網(wǎng)絡(luò)安全管理平臺的實時監(jiān)視，嚴密關(guān)注安防設(shè)備運行狀態(tài)和告警情況，對于安防設(shè)備離線、突發(fā)安防告警等情況要及時通知相關(guān)單位聯(lián)系人。

2.3.3 總結(jié)階段

演習結(jié)束后，對演習期間開展的工作情況進行梳理總結(jié)，對風險監(jiān)測、預警、信息報送、應(yīng)急處置等環(huán)節(jié)進行點評，提出改進措施。

從2017年起，省調(diào)每年組織1-2次電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全攻防演練，較好地檢驗了青海電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護和應(yīng)急處置措施，鍛煉了人員應(yīng)急處置能力，為后期提升網(wǎng)絡(luò)安全防護能力找準了方向。

2.4 全方位分析評估

從風險管理角度，系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)面臨的威脅，評估危害程度，并提出針對性的防護和整改措施。

2.4.1 安全評估流程

通過訪談、檢查和測試等方法，獲取測評對象的安全證據(jù)，通過數(shù)據(jù)分析判斷測評對象是否符合相應(yīng)標準、規(guī)范、政策的要求，評估流程如圖2所示。

圖2 電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全分析評估流程圖

2.4.1 安全評估內(nèi)容

1)技術(shù)層面

物理安全：機房等重點IT設(shè)施環(huán)境；

網(wǎng)絡(luò)安全：網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)設(shè)備等；

主機安全：服務(wù)器、工作站等；

應(yīng)用安全：應(yīng)用業(yè)務(wù)系統(tǒng)、web應(yīng)用等；

數(shù)據(jù)安全：數(shù)據(jù)通信安全、存儲安全及備份等。

2)管理層面

安全管理機構(gòu)：崗位設(shè)置、人員配備等；

安全管理制度：制定、發(fā)布、評審、修訂、廢止等；

人員安全管理：人員錄用、日常管理、離崗等；

系統(tǒng)建設(shè)管理：安全定級、網(wǎng)絡(luò)安全實施方案、驗收把關(guān)等；

系統(tǒng)運維管理：環(huán)境管理、資產(chǎn)管理、數(shù)據(jù)管理等。

青海電網(wǎng)推行全方位開展安全分析評估，在電力監(jiān)控系統(tǒng)的規(guī)劃、設(shè)計、建設(shè)改造、運行維護和廢棄階段均要進行安全評估，確保系統(tǒng)全生命周期安全性。投入運行的電力監(jiān)控系統(tǒng)，等保3級和4級系統(tǒng)結(jié)合等保測評每年開展一次安全評估，等保2級每兩年開展一次安全評估，結(jié)合青海電網(wǎng)實際情況，要求各類電力監(jiān)控系統(tǒng)安全評估工作均委托第三方評估機構(gòu)開展，確保評估質(zhì)量。

3 實施效果

3.1 發(fā)現(xiàn)和消除大量漏洞，有效夯實了網(wǎng)絡(luò)安全防護基礎(chǔ)

一是完成省地調(diào)自動化系統(tǒng)網(wǎng)絡(luò)安全滲透檢查，檢查614臺設(shè)備，發(fā)現(xiàn)和整治未授權(quán)訪問漏洞、弱口令、Tomcat文件包含漏洞、反序列化遠程代碼執(zhí)行漏洞等11類224個可驗證漏洞，涉及網(wǎng)絡(luò)安全管理平臺、短期負荷預測管理系統(tǒng)、OMS等系統(tǒng)。二是對調(diào)度數(shù)據(jù)網(wǎng)3 076臺網(wǎng)絡(luò)設(shè)備和1 996臺縱向加密裝置進行了6輪滲透檢查和整治，發(fā)現(xiàn)和整治縱向加密裝置存在默認策略、設(shè)備高危端口未關(guān)閉等問題2 846項。有效夯實了青海電網(wǎng)電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護基礎(chǔ)。發(fā)現(xiàn)及整治問題統(tǒng)計如圖3所示。

圖3 2020-2021年滲透測試發(fā)現(xiàn)及整治問題統(tǒng)計情況

3.2 攻防對抗中查找出管理方式的不足，優(yōu)化了網(wǎng)絡(luò)安全管理模式

一直以來，電力行業(yè)堅持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認證”方針開展電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作，橫向和縱向邊界防護措施深入人心。以往各類檢查，未曾發(fā)現(xiàn)過縱向加密裝置、正/反向隔離裝置存在任何問題，認為只要將橫向和縱向邊界做好就能確保萬無一失，對電力專用安防設(shè)備過于信賴。通過多次滲透發(fā)現(xiàn)，電力監(jiān)控系統(tǒng)中廣泛使用的縱向加密裝置和正/反向隔離裝置不同程度地存在一些問題。如一部分科東、南瑞縱向加密裝置中存在默認轉(zhuǎn)發(fā)設(shè)置，這些設(shè)備能夠?qū)⒉环习踩呗缘脑L問數(shù)據(jù)轉(zhuǎn)發(fā)出去，導致邊界防護失效。南瑞、衛(wèi)士通縱向加密裝置存在一些21、23等高危端口和服務(wù)未關(guān)閉問題。因此，通過多次滲透檢查，促使電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全重心從邊界防護向邊界防護和設(shè)備本體安全并重方向發(fā)展。

3.3 通過挖掘網(wǎng)絡(luò)安全隱患問題，激發(fā)和強化了網(wǎng)絡(luò)安全意識

通過多維滲透檢查，將大量高危問題及其后果，真實暴露在網(wǎng)絡(luò)安全管理人員面前，打破了長久以來形成的網(wǎng)絡(luò)安全思維慣性，重新審視以往電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全工作，進而激發(fā)和強化網(wǎng)絡(luò)安全意識，轉(zhuǎn)變工作方式，采取更加全面有效的網(wǎng)絡(luò)安全措施，快速提升了電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護水平。

4 結(jié)論

本文介紹了基于多維反向滲透的電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全管理模式探索與實踐，確定并樹立了以滲透檢查發(fā)現(xiàn)問題為導向的工作思路，組建滲透隊伍，明確工作職責，開展多維度滲透測試、網(wǎng)絡(luò)安全攻防演練和網(wǎng)絡(luò)安全分析評估，不斷探索管理新舉措，健全了安全防護管理體系，實現(xiàn)了青海電網(wǎng)電力監(jiān)控系統(tǒng)安全防護水平的快速提升。