張智慧 牛喜民 趙鳳偉
(1.華能濟(jì)寧高新區(qū)熱電有限公司,山東濟(jì)寧272000;2.華能新疆能源開發(fā)有限公司塔什店發(fā)電廠,新疆巴音郭楞841000;3.北京鎧撒信息技術(shù)有限公司,北京101199)
電力系統(tǒng)業(yè)務(wù)復(fù)雜、網(wǎng)絡(luò)連接復(fù)雜、相關(guān)運(yùn)維人員復(fù)雜,如何有效應(yīng)對(duì)APT攻擊?筆者認(rèn)為應(yīng)該從電力系統(tǒng)安全架構(gòu)設(shè)計(jì)入手,建立安全有彈性的符合等保體系的安全架構(gòu),加強(qiáng)企業(yè)安全策略,從項(xiàng)目建設(shè)階段到系統(tǒng)運(yùn)維階段全生命周期地做好網(wǎng)絡(luò)信息安全保障。如何建立有效的電力系統(tǒng)安全架構(gòu)?
圍繞以PKI/CA為中心的基于證書的安全認(rèn)證、通信機(jī)制,實(shí)現(xiàn)等保二級(jí)的審計(jì)系統(tǒng)、等保三級(jí)的強(qiáng)制訪問控制以及等保四級(jí)的可信任計(jì)算,通過安全架構(gòu)真正實(shí)現(xiàn)企業(yè)的安全層層支撐,最終滿足企業(yè)的業(yè)務(wù)目標(biāo)需求。通過安全加密算法和安全通信協(xié)議與Hash真正實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。
電力監(jiān)控系統(tǒng)的整體基礎(chǔ)設(shè)施的安全防御策略是縱向認(rèn)證、橫向隔離、網(wǎng)絡(luò)專用、安全分區(qū)。電力二次系統(tǒng)應(yīng)該提供保密性、完整性、可靠性等安全服務(wù),確保生產(chǎn)大區(qū)準(zhǔn)確無誤地運(yùn)轉(zhuǎn)。電力系統(tǒng)的獨(dú)特要求有別于其他行業(yè),相對(duì)于業(yè)務(wù)安全性,IT基礎(chǔ)設(shè)施的可靠性、可用性、連續(xù)性的要求更為重要。
通過應(yīng)用層的訪問控制、內(nèi)容過濾、惡意代碼防范等控制措施對(duì)應(yīng)用層的攻擊滲透進(jìn)行安全防護(hù),應(yīng)用層業(yè)務(wù)復(fù)雜、組件繁多,相應(yīng)安全漏洞更多、更嚴(yán)重,電力行業(yè)的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)都是被入侵的對(duì)象,很多漏洞是源代碼漏洞,通過簡(jiǎn)單漏洞掃描很難發(fā)現(xiàn),只有通過人工代碼審計(jì)才能發(fā)現(xiàn)真正的威脅。
通過安全協(xié)議和算法對(duì)數(shù)據(jù)進(jìn)行安全加密,與Hash真正實(shí)現(xiàn)數(shù)據(jù)的保密性、完整性、不可否認(rèn)性。PKI/CA體系的建設(shè)與應(yīng)用為電力系統(tǒng)的數(shù)據(jù)安全保障提供了必要的支撐。各種數(shù)字證書如加密證書、簽名證書都該提供自身的安全職能,在不影響系統(tǒng)性能的前提下,最大限度地提高安全性、可靠性。為了防止發(fā)生故障或?yàn)?zāi)難而帶來數(shù)據(jù)損壞,丟失各種備份策略應(yīng)該被定義、執(zhí)行和測(cè)量,如cold site(冷站)、warm site(暖站)、hot site(熱站)等。
通過層層防御的安全體系,最終保障業(yè)務(wù)目標(biāo)、業(yè)務(wù)戰(zhàn)略的安全,實(shí)現(xiàn)企業(yè)安全治理的終極目標(biāo)。電力系統(tǒng)的業(yè)務(wù)目標(biāo)關(guān)系到國(guó)家的安全,網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要定級(jí)在三級(jí)、四級(jí),以凸顯電力系統(tǒng)業(yè)務(wù)目標(biāo)的重要性。為了實(shí)現(xiàn)這個(gè)目標(biāo),構(gòu)建層層防御、縱深防御體系是毋庸置疑的。
真正實(shí)現(xiàn)企業(yè)的整體安全策略,通過身份鑒別、認(rèn)證、加密、最小特權(quán)、訪問控制、審計(jì)等關(guān)鍵技術(shù)實(shí)現(xiàn)企業(yè)安全保障體系。
很多滲透技術(shù)例如Hydra的弱口令暴力破解、緩沖區(qū)溢出都是所謂的“進(jìn)不來攻擊”,通過強(qiáng)身份驗(yàn)證,如多因素身份認(rèn)證可以提供安全保障。很多電廠的核心機(jī)房為了達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)的要求,設(shè)計(jì)的門禁系統(tǒng)滿足MAN-TRAP的原則,其雙層門身份鑒別,一旦第二道門驗(yàn)證失敗、第一道門自動(dòng)反鎖,真正實(shí)現(xiàn)了防止尾隨攻擊的目的。在系統(tǒng)層面,為了防止暴力猜解,限制了遠(yuǎn)程用戶的登錄次數(shù),然后進(jìn)行鎖定,進(jìn)一步保證了系統(tǒng)的登錄安全。電力系統(tǒng)的“橫向隔離、縱向認(rèn)證”基本就實(shí)現(xiàn)了“進(jìn)不來”的安全目標(biāo)。
“最小特權(quán)”是此技術(shù)的關(guān)鍵核心。通過漏洞提權(quán)是黑客典型的攻擊手段,尤其是工控系統(tǒng)SCADA/DCS自身的系統(tǒng)級(jí)別漏洞,能直接提取到系統(tǒng)權(quán)限。通過有效的漏洞檢測(cè)、安全補(bǔ)丁能有效防治黑客提權(quán)。
通過安全協(xié)議、算法、秘鑰進(jìn)行安全加密,實(shí)現(xiàn)通信的保密性。在電力系統(tǒng),數(shù)據(jù)默認(rèn)通信要強(qiáng)制使用加密的安全通信協(xié)議,例如:SSL實(shí)現(xiàn)端到端的安全通信,或ESP隧道封裝實(shí)現(xiàn)IP層網(wǎng)絡(luò)安全。
通過數(shù)字簽名訪問控制保障內(nèi)容和系統(tǒng)的完整性。著名的勒索病毒就是直接破壞了系統(tǒng)和文件的完整性,造成了嚴(yán)重?fù)p失。電力調(diào)度系統(tǒng)的指令需要在傳輸過程中保證絕對(duì)的完整性,保證在工程師站和操作員站準(zhǔn)確無誤地執(zhí)行命令。
審計(jì)技術(shù)起到了可追溯、事件行為可還原的作用。電力行業(yè)很多攻擊行為都是未知的,例如APT攻擊,很難通過單一設(shè)備如防火墻、IDS、IPS、防病毒等檢查深度攻擊,只有通過安全審計(jì)和大數(shù)據(jù)分析,才能真正形成態(tài)勢(shì)感知,加強(qiáng)自身的防御體系,提升防范效果和系統(tǒng)彈性。
安全的最終原則是對(duì)抗威脅與入侵。要通過威脅影響分析找到威脅的各種來源、動(dòng)機(jī)、機(jī)會(huì)、方法與手段,并對(duì)此做出科學(xué)合理的分析,找出電力系統(tǒng)面臨的關(guān)鍵威脅并計(jì)算評(píng)估出威脅產(chǎn)生的影響,以此作為輸入,為企業(yè)建立安全級(jí)別、安全體系提供決策支持。
威脅源被定義為任何可能危害電力網(wǎng)絡(luò)系統(tǒng)的環(huán)境或事件,常見的威脅源有自然、人或者環(huán)境。電力網(wǎng)絡(luò)系統(tǒng)根據(jù)自身的地理位置和重要性可能會(huì)面對(duì)不同的威脅源,在分析威脅源時(shí),要考慮電力網(wǎng)絡(luò)系統(tǒng)及其所處環(huán)境所有潛在的威脅源。自然因素是難以預(yù)見的危險(xiǎn)源,如雷電、地震、洪水、大風(fēng)等,都可能導(dǎo)致電力網(wǎng)絡(luò)系統(tǒng)的通信中斷;人為威脅主要是由人激發(fā)或者引發(fā)的事件,例如非故意的行為(疏忽或錯(cuò)誤)或者故意行為(黑客、恐怖分子、工業(yè)間諜甚至于被解雇或辭退的員工)帶來的破壞等;環(huán)境的威脅主要來源于長(zhǎng)時(shí)間的設(shè)備故障、液體泄漏等。雖然有的事件發(fā)生的概率很小,但一旦發(fā)生威脅很大,如水管爆裂這種威脅可能很快淹掉機(jī)房。
攻擊的動(dòng)機(jī)和資源使得人成為了潛在的危險(xiǎn)威脅源之一。在所有的威脅里面,人的威脅是最為復(fù)雜的。目前怎樣識(shí)別這些人為的威脅呢?審查系統(tǒng)的破壞歷史、安全違規(guī)報(bào)告、事故報(bào)告或者在信息收集過程中與系統(tǒng)管理員、技術(shù)人員面談等,這些方法不僅可以識(shí)別電力網(wǎng)絡(luò)系統(tǒng)的威脅源,也可能是系統(tǒng)的脆弱性所在。
電力系統(tǒng)最核心的安全問題在生產(chǎn)大區(qū)控制區(qū),如DCS/SCADA/PLC等系統(tǒng)的安全至關(guān)重要,一旦這些系統(tǒng)出故障或者被入侵,將會(huì)給企業(yè)帶來不可挽回的損失。
電力系統(tǒng)的很多設(shè)備都存在安全漏洞:有的設(shè)備還在用Windows XP系統(tǒng),本身的漏洞比較多;廠商停止了系統(tǒng)的升級(jí)支持;除了操作系統(tǒng)本身之外,還有一些通信協(xié)議,例如ModleBus、OPC等,在黑客看來,這是一種透明的協(xié)議,無論是在握手的過程中還是在協(xié)商的過程中,都可以輕松地進(jìn)行中間人攻擊,因此黑客經(jīng)常會(huì)攻擊這些操作系統(tǒng)和通信協(xié)議。
電力網(wǎng)絡(luò)系統(tǒng)要求“橫向隔離、縱向認(rèn)證”,控制區(qū)和管理信息大區(qū)之間是物理隔離,不能直接連接,但有時(shí)廠商的設(shè)備里會(huì)加入遠(yuǎn)程無線模塊,方便工程師或廠商人員進(jìn)行遠(yuǎn)程維護(hù),這些設(shè)備在我們的控制一區(qū)、二區(qū)植入了很多安全隱患,黑客也有可能操縱這些無線模塊惡意地下發(fā)指令或者篡改我們的指令,直接威脅到電力系統(tǒng)生產(chǎn)大區(qū)的安全運(yùn)行。
(1)APT攻擊是黑客組織最喜歡的攻擊方式,黑客對(duì)電力系統(tǒng)運(yùn)維人員的安全意識(shí)進(jìn)行踩點(diǎn),他會(huì)知道你打開郵件、附件的方式,然后肆意地捆綁惡意代碼,他們還有可能購買一些零碎的漏洞來攻擊電力系統(tǒng)的設(shè)備,這些遠(yuǎn)程控制都是通過加密通道來防止電力系統(tǒng)的IDS、IPS進(jìn)行實(shí)時(shí)檢測(cè)。面對(duì)這種APT攻擊,我們很難有效地建立防御體系,無論從運(yùn)維人員的防范意識(shí)還是從系統(tǒng)本身的安全或者技術(shù)架構(gòu)都是很難抵抗的。
(2)來自內(nèi)部人員的威脅是所有工控系統(tǒng)面臨的最大威脅之一,這些威脅可能是有意也可能是無意(誤操作)引起的,伊朗的核設(shè)施就是被工作人員通過U盤感染了惡意代碼,攻擊了工控系統(tǒng)。這種威脅防不勝防,檢測(cè)難度高。
(3)設(shè)備本身的故障。我們知道很多的廠商在設(shè)備出廠時(shí)會(huì)植入一些后門程序,美國(guó)國(guó)家安全局的爆料已經(jīng)證實(shí)了這一點(diǎn),在暗網(wǎng)里很多這種漏洞都可以進(jìn)行買賣,所以廠商的設(shè)備容易被廠商自己所控制。第二種就是設(shè)備本身故障,因?yàn)閷?duì)內(nèi)部黑盒子的這種方式很難從安全的角度進(jìn)行運(yùn)維,缺乏認(rèn)證、授權(quán)、審計(jì)模塊,也就是說,設(shè)備系統(tǒng)本身的設(shè)計(jì)就是不安全的,這種情況會(huì)導(dǎo)致安全故障的發(fā)生,我們的應(yīng)急預(yù)案在這方面需要加強(qiáng)。
(4)除以上威脅之外,還有來自于惡意代碼主要包括病毒、木馬、蠕蟲、腳本的移動(dòng)代碼攻擊。電力系統(tǒng)中惡意代碼的植入是很普遍的,因?yàn)橄到y(tǒng)和協(xié)議本身存在很多安全漏洞。同時(shí)系統(tǒng)是物理隔離的,防病毒軟件不能及時(shí)升級(jí),導(dǎo)致惡意代碼長(zhǎng)期存在于系統(tǒng)中,很難被發(fā)現(xiàn),這會(huì)導(dǎo)致系統(tǒng)受控,或者成為傀儡僵尸,去攻擊別的系統(tǒng)。去年出現(xiàn)的勒索病毒就是利用微軟的永恒之藍(lán)漏洞進(jìn)行滲透攻擊,不僅能加密服務(wù)器上的文件,甚至于導(dǎo)致了很多工控系統(tǒng)出現(xiàn)癱瘓。所以,在電力系統(tǒng)中防范惡意代碼的攻擊應(yīng)該被放在重中之重的位置。
針對(duì)以上電力網(wǎng)絡(luò)系統(tǒng)面臨的威脅,我們傳統(tǒng)的防御模式,無論是防火墻作為邊界安全,還是內(nèi)部的IDS、IPS作為有效的補(bǔ)充,都難以對(duì)抗這種APT攻擊和內(nèi)部人員的威脅攻擊。作為重要的能源行業(yè),安全對(duì)電力系統(tǒng)至關(guān)重要。我們要從戰(zhàn)略層面上加強(qiáng)管理體系的建設(shè);在戰(zhàn)術(shù)層面制定相應(yīng)的安全標(biāo)準(zhǔn),比如等級(jí)保護(hù),真正能實(shí)現(xiàn)三到四級(jí)的安全保護(hù);在運(yùn)維層,要制定相應(yīng)的安全基線、操作系統(tǒng)基線、各種協(xié)議的基線、服務(wù)器基線等等;同時(shí),還要加強(qiáng)管理人員和運(yùn)維人員的安全意識(shí)培養(yǎng),比如文件共享、最小特權(quán)、職責(zé)分離、輪崗、強(qiáng)制度假等,這些能有效防止社會(huì)工程學(xué)攻擊,減少內(nèi)部人員因?yàn)檎`操作帶來的極大的安全風(fēng)險(xiǎn)。
安全源自未雨綢繆,保障貴在風(fēng)雨同舟。只有合理地分析企業(yè)安全架構(gòu),了解安全支撐體系,并堅(jiān)持科學(xué)合理的安全原則方針,才能建立完善的安全架構(gòu)。通過識(shí)別、分析、評(píng)估安全威脅,企業(yè)才能建立針對(duì)電力行業(yè)和滿足企業(yè)自身需求的安全策略、安全基線,才能真正完成企業(yè)的安全目標(biāo)。