李祝紅+杜炳+趙燦明+馮紹興

摘要：針對于電力信息網(wǎng)絡(luò)日益猖獗的攻擊行為，利用目前企業(yè)中已有的安全防護設(shè)備，結(jié)合國內(nèi)外針對APT攻擊的安全研究技術(shù)，構(gòu)建一套新型縱深防御體系模型，形成安全威脅防護閉環(huán)。

關(guān)鍵詞：縱深防御；APT；大數(shù)據(jù)；威脅分析；威脅檢測

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）07-0192-02

1 電力信息安全新威脅

隨著信息安全[1]環(huán)境的惡化和安全威脅的日益嚴峻，攻擊者的目標方式和攻擊心理都正在發(fā)生快速變化。攻擊者的動機已不僅僅在于炫耀技術(shù)，已從自我滿足，無利益訴求轉(zhuǎn)向團隊化作戰(zhàn)、獲取商業(yè)、政治利益為目的的攻擊方式，受政治、經(jīng)濟等多方面影響更具有功利性，攻擊者形成利益群體，分工明確，目的性強，伴隨著地下黑色產(chǎn)業(yè)鏈的利益效應(yīng)，攻擊者群體更為明確、專注的攻擊目標，且行為更為隱藏，持續(xù)性時間可長達數(shù)年。此外，云計算、虛擬化、大數(shù)據(jù)、移動互聯(lián)網(wǎng)等新技術(shù)在電力行業(yè)迅速應(yīng)用，也不可避免的引入新的安全問題并對當前的信息安全防護能力[2]提出新的挑戰(zhàn)。

近些年來針對電力工控系統(tǒng)的攻擊事件日益頻繁，如席卷全球工業(yè)界的震網(wǎng)（Stuxnet）病毒攻擊使得伊朗核工業(yè)基礎(chǔ)設(shè)施遭到重創(chuàng)；代號夜龍（Night Dragon）的APT攻擊使得5家跨國能源公司遭到攻擊，超過千兆字節(jié)的敏感文件被竊，包括油氣田操作的機密信息、項目融資與投標文件等；blackenergy APT攻擊使得烏克蘭多家電廠設(shè)施被感染，造成大面積停電，整個城市陷入恐慌，損失慘重。這一系列的安全事件，凸顯了網(wǎng)絡(luò)新型攻擊的高威脅性，這里總結(jié)了新型網(wǎng)絡(luò)攻擊與企業(yè)防護能力[3]的關(guān)系。

2 新型縱深防御體系

2.1 安全需求

電力信息網(wǎng)絡(luò)系統(tǒng)具有復雜性、開放性、動態(tài)性等特點，這些特點使其具有天生的脆弱性，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)欺騙、病毒木馬、信息泄露等，讓安全事件的層出不窮，既有來自外部的惡意入侵，又有來自內(nèi)部的權(quán)限濫用，來自內(nèi)、外部的安全風險給信息安全工作帶來了不小的壓力與挑戰(zhàn)。面對嚴峻的信息安全形勢和復雜的信息安全挑戰(zhàn)，結(jié)合新型網(wǎng)絡(luò)攻擊的不斷演進，加上電力行業(yè)信息安全發(fā)展需要，新型電力系統(tǒng)縱深防御體系必須是從簽名式到行為分析，從單產(chǎn)品到多產(chǎn)品組合聯(lián)動，有效應(yīng)對高級威脅和未知風險的防護體系。

2.2 APT攻擊防御方案

在之前的部分，討論了當前的攻擊者類型，及由此而來的新一代威脅；同時由于傳統(tǒng)的安全技術(shù)很難應(yīng)這種新型的威脅，因此進一步討論了需要怎樣的技術(shù)來應(yīng)對。在這一章希望提供一些具體方案層面的建議。

正是因為傳統(tǒng)安全防御機制在APT攻擊下缺乏必要的監(jiān)測能力，因此近年來有大量的建立較完善傳統(tǒng)防御機制的企業(yè)被APT攻擊者成功得手，針對APT攻擊，國內(nèi)外安全界一直保持持續(xù)關(guān)注和研究，并提出了多種不同的檢測或預(yù)防技術(shù)，本文提出的威脅分析系統(tǒng)就是其中核心技術(shù)之一。

威脅分析系統(tǒng)可有效檢測通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風險，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。

系統(tǒng)共三個核心檢測組件：病毒檢測引擎、靜態(tài)檢測引擎（包含漏洞檢測及shellcode檢測）和動態(tài)沙箱檢測引擎，通過多種檢測技術(shù)的并行檢測，在檢測已知威脅的同時，可以有效檢測0day攻擊和未知攻擊，進而能夠有效地監(jiān)測高級可持續(xù)威脅，其主要功能如下：

2.2.1 動態(tài)沙箱檢測（虛擬執(zhí)行檢測）

動態(tài)沙箱檢測，也稱虛擬執(zhí)行檢測，它通過虛擬機技術(shù)建立多個不同的應(yīng)用環(huán)境，觀察程序在其中的行為，來判斷是否存在攻擊。這種方式可以檢測已知和未知威脅，并且因為分析的是真實應(yīng)用環(huán)境下的真實行為，因此可以做到極低的誤報率，而較高的檢測率。如圖1所示。

2.2.2 集成多種已知威脅檢測技術(shù)：AV、基于漏洞的靜態(tài)檢測

靜態(tài)漏洞檢測模塊，不同與基于攻擊特征的檢測技術(shù)，它關(guān)注與攻擊威脅中造成溢出等漏洞利用的特征，雖然需要基于已知的漏洞信息，但是檢測精度高，并且針對利用同一漏洞的不同惡意軟件，可以使用一個檢測規(guī)則做到完整的覆蓋，也就是說不但可以針對已知漏洞和惡意軟件，對部分的未知惡意軟件也有較好的檢測效果。

2.3 防御體系構(gòu)成組件

本文提出的新型縱深防御體系，包含未知威脅檢測模塊、威脅防護模塊、大數(shù)據(jù)安全分析模塊、綜合安全管理平臺。通過模塊間的關(guān)聯(lián)動作，檢測和防御進入企業(yè)的全部威脅，對網(wǎng)絡(luò)、郵件、終端等傳統(tǒng)安全威脅進行檢測防御，也對APT高級威脅進行檢測防御。

2.3.1 未知威脅檢測模塊

威脅分析系統(tǒng)作為該防御體系的未知威脅檢測模塊，是核心模塊。首先威脅分析系統(tǒng)對網(wǎng)絡(luò)流量進行文件還原，對惡意軟件進行識別；另外通過開放API接口，威脅分析系統(tǒng)還對郵件網(wǎng)關(guān)和終端的可疑文件進行檢測，并把檢測的結(jié)果進行反饋，實現(xiàn)對威脅的阻斷關(guān)聯(lián)。

2.3.2 威脅防護模塊

企業(yè)網(wǎng)絡(luò)中已部署的入侵防護系統(tǒng)、安全網(wǎng)關(guān)系統(tǒng)，是該防御體系的防護模塊。這些產(chǎn)品既發(fā)揮傳統(tǒng)安全產(chǎn)品的功能，又能與威脅分析系統(tǒng)關(guān)聯(lián)協(xié)同，組成安全防護體系。在該防御體系中，提交傳統(tǒng)防護模塊不能識別的可疑文件，有威脅分析系統(tǒng)進行分析，并根據(jù)分析結(jié)果進行阻斷。

2.3.3 大數(shù)據(jù)安全分析模塊

通過收集未知威脅檢測模塊和威脅防護模塊的告警信息，綜合網(wǎng)絡(luò)和主機的日志，進行數(shù)據(jù)索引和分析，抽絲剝繭，進行攻擊的蛛絲馬跡的洞察。

2.3.4 安全管理平臺

安全管理平臺負責管理各個模塊，下發(fā)檢測和防護策略，采集設(shè)備的狀態(tài)信息存儲告警日志，進行報表呈現(xiàn)等。

3 新型縱深防御體系的構(gòu)建措施（如圖2所示）

面對網(wǎng)絡(luò)高級威脅時建立的一個簡易安全防御體系模型，以此類推針對郵件高級威脅和終端高級威脅所構(gòu)建的防御體系模型與此類似，以上這些場景核心都是威脅分析系統(tǒng)加上一種專業(yè)安全防護系統(tǒng)的組合方案。還可以根據(jù)實際的業(yè)務(wù)需求，防護系統(tǒng)進行組合，比如網(wǎng)絡(luò)和郵件，郵件和終端等。根據(jù)防護通道的側(cè)重來選擇和組合不同的部署場景。

通過此縱深防御體系，可有效檢測和防御APT威脅，幫助企業(yè)建立安全防護的金鐘罩。

4 結(jié)語

本文提出的新型縱深防御體系，從網(wǎng)絡(luò)邊界到內(nèi)網(wǎng)終端，既能防御傳統(tǒng)安全威脅，還特別針對APT攻擊進行檢測和防御，形成預(yù)警、檢測、防護、清除的安全威脅防護閉環(huán)。

新一代威脅以及 APT 攻擊在近年逐漸被政府及企業(yè)重視起，從時間上看來，攻擊者在多年以前就開始使用新一代的手段和技術(shù)，但是到現(xiàn)今才被市場真正的重視，這似乎預(yù)示著防御總是會落后于攻擊。但是市場并沒有一致的認識，怎樣的方案是適合的，本文中提出的新型縱深防御體系模型希望能給大家一些啟發(fā)，幫助找到滿足業(yè)務(wù)需要的解決案。

參考文獻

[1]國家發(fā)展改革委員會.發(fā)改委14號令 電力監(jiān)控系統(tǒng)安全防護規(guī)定[S].2014.

[2]張曉兵.下一代網(wǎng)絡(luò)安全解決方案[J].電信工程技術(shù)與標準化，2014，27（6）：59-61.

[3]張擁軍，唐俊.基于云模型的網(wǎng)絡(luò)安全態(tài)勢分析與評估[J].計算機工程與科學，2014，36（1）：63-67.endprint