行業實踐 | 網路安全2.0時代,電力行業如何有效建設下一代安全防禦體系
行業實踐:網路安全2.0時代,電力行業如何有效建設下一代安全防禦體系
文 | 孟偉莎
電力行業作為一種先進的生產力和基礎產業,不僅關係國家經濟安全戰略,而且與人們的日常生活、社會穩定密切相關,其重要性毋庸置疑。作為技術、資金密集型行業,電力行業對信息安全工作歷來重視,且起步早,取得了一定的成效。
一、電力行業信息安全發展階段
1.1 專網專用防護
2000年,中華人民共和國國家經濟貿易委員會發布第30號令《電網和電廠計算機監控系統及調度數據網安全防護規定》(2002年5月8日發布),規定電力調度數據網路實現物理層面上與公用信息網路的安全隔離,奠定了國內電力監控系統「結構性安全」的重要技術基礎,成為中國電力監控系統信息安全防護體系建設啟動的標誌。
1.2 基於邊界安全的縱深防護
2002年,國家科技部啟動了國家高技術研究發展計劃(863計劃),提出了中國電力監控系統第一個全面的安全防護總體策略,即「安全分區、網路專用、橫向隔離、縱向認證」。形成了以邊界防護為要點、多道防線構成的縱深防護體系。該體系以國家電力監管委員會5號令《電力二次系統安全防護規定》等相關配套技術文件形式發布,成為中國電力監控系統第1階段安全防護體系全面形成的標誌。
1.3 信息安全等級保護
2007年,國家電力監管委員會印發了《關於開展電力行業信息系統安全等級保護定級工作的通知》等系列文件,啟動電力行業信息安全等級保護定級工作。2012年印發了《電力行業信息系統安全等級保護基本要求》,全面推進行業等級保護建設工作。在基於邊界安全縱深防護的基礎上,依據《電力行業信息系統安全等級保護基本要求》,構建層次化的等級保護體系,包括信息安全技術體系及信息安全管理體系。
1.4 全面體系落實階段
2014年8月,國家發改委印發了(2014)第14號令《電力監控系統安全防護規定》及《電力監控系統安全防護總體方案》等配套技術文件。《電力監控系統安全防護規定》2014年9月1日起施行,《電力二次系統安全防護規定》同時廢止。電力行業進入全面落實「安全分區、網路專用、橫向隔離、縱向認證」及其他信息安全相關工作時期。
二、當前電力行業信息安全面臨的問題
電力行業雖然在信息安全方面的工作起步早、效果好,取得了一定的成效,但由於網路安全發展水平不平衡、等級保護基線防護工作開展不到位、部分核心技術和關鍵設備受制於人等原因,電力行業信息安全工作仍存在不足或薄弱環節:
1)信息安全建設標準滯後,難以適應當前信息安全形勢。信息安全工作以合規為主,忽視以業務視角為主線的風險管理方法。
2)傳統安全防禦體系,管理成本持續升高,效率越來越低。信息安全策略落地參差不齊,安全狀態不持續、不可視。
3)傳統的安全防護手段,難以應對當下新型的各種安全威脅。安全建設過多強調防禦,安全預測、檢測及快速響應不足。
4)網路安全問題「頭痛醫頭,腳痛醫腳」,未從全局角度考慮全網安全能力的調度及安全策略的配置及可視。
5)電力行業企業大多應用系統眾多,系統之間的數據交互頻繁,在對全網業務管理方面存在欠缺。
6)電力行業信息安全防護體系在抵禦APT攻擊方面的能力還有待進一步提升。
7)電力行業部分企業的網路安全從業人員的專業素養和技能不能滿足崗位職責要求。
8)信息安全意識薄弱、風險認識不足、教育培訓工作滯後等。
三、電力行業下一代安全防禦體系防禦重點
在我國《網路安全法》正式施行的大背景下,結合電力行業存在的安全問題及內部安全需求,筆者認為在縱深防禦體系建設相對完善的前提下,開展新防禦體系的建設,重點關注專項安全能力的的提升,既順應國家網路安全2.0的發展要求,又能從剛需角度保障自身信息安全,應對層出不窮的網路攻擊。
筆者認為新防禦體系防禦重點即建設重點包括如下幾個方面:
3.1 全景網路流量監控、審計與取證能力建設
電力行業企業互聯網出口統一,建立全景網路流量監控、審計與取證能力,實現對企業全網的流量數據進行長期統計分析,主動分析網路和應用運行規律、網路行為規律,以及運行的趨勢,及時發現網路異常及安全異常行為,並進行預警。從而實現對網路流量突發異常的檢測、分析及告警,對關鍵業務非正常訪問、非法數據下載等網路行為進行檢測、分析、預警,避免由該行為造成的業務系統性能影響。
3.2 主機深度檢測與自適應安全分析能力建設
電力行業信息系統複雜、伺服器規模比較大,利用主機深度檢測與自適應安全分析系統,能夠自動清點業務資產,並跟隨變化、深入發現暴露的問題和潛在風險,滿足合規性檢查以及自定義安全基線;通過設立特徵錨點、分析行為模式、建立關係模型等手段,在第一時間發現入侵,並與其他功能模塊聯動,迅速做出響應處理;梳理清楚業務角色,給不同的業務角色開通不同的安全防禦功能組件,根據業務需要制定合理的安全策略來構建安全防禦體系。
3.3 全網安全策略可視化動態分析與管理能力建設
電力行業企業網路大多比較龐大,且有很大可能跨地域,通過以業務為核心的安全策略分析及可視能力的建設,對全網資產進行管理,實現安全域基礎架構的分析及可視、核心關鍵數據流分析及可視、重要信息系統訪問路徑分析及可視、業務生產用戶與運維人員許可權可視、安全策略配置變更可視。並結合運維流程,實現對安全策略的管理和變更工作流的分析與展示。
3.4 大規模拒絕服務攻擊防禦與清洗能力建設
隨著信息化的深入發展,近年來電力行業的業務系統與外網的介面不斷增加,網上電力服務、三網融合、數據大集中,應用、內部各系統間的互聯互通等需求的發展,電力系統的安全問題開始跨越網路出現。網路內外的惡意攻擊流量,已經成為電力系統網路不可忽視的威脅來源。通過構建「雲+端」的抗暴力拒絕攻擊能力,以抵禦來自網路層(SYN Flood攻擊、UDP Flood攻擊等)、應用層(C&C攻擊)等不同類型的暴力攻擊,並運用虛擬化技術,形成可調度、可計費的體系化的運營方式,為各個系統提供靈活、動態的抗DDOS防禦能力。
3.5 核心數據資產監控與保護能力建設
電力行業信息系統中保存了大量的客戶數據、業務數據、企業敏感數據,這些數據是電力行業體系競爭力的重要關鍵資產。通過部署數據防泄漏產品,綜合分析敏感數據在網路中的流轉情況,定義不同級別數據的訪問及使用規則和防護體系,並提供相關的保護措施,確保數據資源的可管、可控。
對敏感信息超範圍流轉提供管控,避免信息批量泄露,保護數據資源域、業務終端的敏感信息。在關鍵數據離開網路之前對其進行檢測,能夠限定和量化數據丟失風險。通過分析數據流和訪問路徑,利用審計工具,從網路、主機、應用和數據層面進行安全審計。
3.6 高可持續攻擊威脅預警(APT)能力建設
電力行業企業因其企業性質,極易作為攻擊目標受到攻擊,應建立深度用戶行為異常分析與APT高可持續攻擊威脅預警能力,實現對用戶異常行為的檢測、位置威脅的分析及攻擊行為的識別及預警。
站在黑客的視角,運用大數據分析技術,通過構建惡意代碼檢測、沙箱防禦及用戶行為分析能力對網路流量中的數據進行層層過濾與分析,實現對合法用戶非法訪問、非法用戶合法訪問以及非法用戶非法訪問的快速發現與預警。
3.7 業務安全態勢感知監控預警平台建設
電力行業信息網路結構的日益複雜且日益開放,在信息安全能力建設到一定成熟度階段後,通過業務安全態勢感知監控預警平台建設,梳理基礎設施安全基線,獲取網路、主機、安全設備、應用支撐系統等安全態勢。基於日常流量、威脅情報、日誌、用戶行為等數據,結合業務現狀及特性,梳理業務應用的角色許可權,測試業務應用可用性,發現應用漏洞,繪製並監測業務拓撲,實現業務安全態勢的感知。多維度感知數據分布情況,梳理數據的操作角色與許可權,監測APT、數據泄露等攻擊威脅,發現資料庫漏洞,實現對數據的安全態勢的感知,保障數據完整性,防止數據泄露、丟失、篡改等。
四、總結
通過專題化的新防禦體系能力的建設,使電力行業網路具備風險預測能力、攻擊防禦能力、事件響應能力、威脅檢測能力;實現信息安全防禦主動化、智能化,安全策略可視、可管、可控、可持續的目標,解決電力企業實際安全問題,具有可操作性。
長按圖片關注「踏實實驗室(微信ID:WeYanXPJ)」,獲得後續更多精彩更新:
推薦閱讀:
※那些年我們一起追逐過的安全工具
※PHPMyWind存儲型xss漏洞說明及復現
※歷時兩周,總算把開源堡壘機的坑給填了
※數據泄露(Day017)