前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電廠網(wǎng)絡安全研究分析范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:隨著網(wǎng)絡信息技術飛速發(fā)展,網(wǎng)絡安全面臨著嚴峻挑戰(zhàn),黑客的攻擊呈現(xiàn)出目標明確、手段多樣、隱蔽性強等特點,僅僅依靠傳統(tǒng)的邊界安全防護技術,已無法滿足當前網(wǎng)絡安全的需求,迫切需要新的技術,網(wǎng)絡欺騙防御技術就是目前受到廣泛關注和討論的一種安全防御手段,區(qū)別于傳統(tǒng)被動式安全防護手段,這是一種主動式防御手段。本文圍繞網(wǎng)絡欺騙防御技術在電廠網(wǎng)絡安全中的應用進行了研究。提出了通過網(wǎng)絡欺騙防御系統(tǒng)建立網(wǎng)絡欺騙防御體系,來加強電廠網(wǎng)絡安全監(jiān)控與管理的思想,并結(jié)合電廠網(wǎng)絡的實際情況,給出了該系統(tǒng)在電廠中的實際應用方案。
關鍵詞:網(wǎng)絡安全;網(wǎng)絡欺騙防御技術;電廠
電廠是國家重要的基礎設施之一,隨著國家電網(wǎng)建設與使用,電廠工控系統(tǒng)所面臨的安全風險越來越突出,發(fā)電系統(tǒng)安全事關國家安全,影響國計民生。近些年國內(nèi)外電力系統(tǒng)遭到網(wǎng)絡攻擊事件比比皆是,例如:烏克蘭電網(wǎng)攻擊事件、以色列電力供應系統(tǒng)遭重大網(wǎng)絡攻擊事件、委內(nèi)瑞拉大停電事件等等,造成惡劣的影響與重大的經(jīng)濟損失。同時,從NAS方程式組織網(wǎng)絡攻擊武器的大規(guī)模泄露,到‘永恒之藍’漏洞,再到被廣泛應用的各類Web應用漏洞、IoT漏洞;從趨于定向化和敏捷化的勒索攻擊,到各類挖礦攻擊的全面鋪開;從屢次的數(shù)據(jù)泄露事件曝光,到幾乎每天曝光的APT攻擊。不絕于耳的網(wǎng)絡安全事件讓我們深切感受到攻擊手段更加武器化,經(jīng)濟利益驅(qū)使下的黑客的攻擊更加理性化,網(wǎng)絡攻擊更加產(chǎn)業(yè)化,國與國之間的攻防對抗常態(tài)化,網(wǎng)絡攻擊面更加擴大化。“網(wǎng)絡安全的本質(zhì)是對抗,對抗的本質(zhì)是攻防兩端能力的較量”,高級威脅逐年呈上升趨勢,APT攻擊、0day漏洞等未知威脅攻擊對傳統(tǒng)安全防護手段帶來極大挑戰(zhàn),攻防博弈不斷升級,攻防不平衡的現(xiàn)狀亟待新的防御方案,網(wǎng)絡欺騙防御系統(tǒng)建設將進一步提升電廠系統(tǒng)安全防護水平,強化電廠網(wǎng)絡安全防護體系,防范和遏制重大網(wǎng)絡安全事件,確保電力生產(chǎn)安全穩(wěn)定運行和電力可靠供應。
1安全建設現(xiàn)狀
經(jīng)過多年的網(wǎng)絡安全建設,電廠網(wǎng)絡安全防護系統(tǒng)已建立以防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)、正反向隔離等傳統(tǒng)安全設備為主的網(wǎng)絡安全防線,按照《電力監(jiān)控系統(tǒng)安全防護總體方案》要求,堅持以“安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證”的總體防護原則,對業(yè)務系統(tǒng)進行全面的安全防護建設完善,已具備了應對多種網(wǎng)絡安全威脅的防護能力,同時,通過網(wǎng)絡安全隔離、網(wǎng)絡結(jié)構調(diào)整和日志審計等技術手段,使得公司信息網(wǎng)絡能夠在滿足網(wǎng)絡安全要求的同時,實現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)業(yè)務數(shù)據(jù)的安全穩(wěn)定的交互,進一步強化公司網(wǎng)絡抵御網(wǎng)絡安全風險的能力,提高電力系統(tǒng)信息網(wǎng)絡安全,促進網(wǎng)絡信息技術更好地應用。部署安全設備的網(wǎng)絡安全拓撲示意圖如圖1所示。圖1中安全設備包括網(wǎng)絡防火墻、上網(wǎng)行為管理、入侵防御系統(tǒng)和日志審計等,防火墻分別在邊界上進行部署,通過策略控制訪問權限,上網(wǎng)行為串聯(lián)方式部署在防火墻與核心網(wǎng)絡設備之間,同時在核心設備旁路部署入侵防御系統(tǒng),對網(wǎng)絡攻擊流量進行檢測,日志審計旁路部署服務器交換機上,殺毒軟件由公司統(tǒng)一部署管控,生產(chǎn)控制大區(qū)通過正向隔離設備與管理信息大區(qū)進行單向隔離防護。
2電廠網(wǎng)絡安全形勢
隨著我國電力系統(tǒng)的網(wǎng)絡化和智能化發(fā)展,電力系統(tǒng)中應用的大量IT通用軟件,以及電力專用軟件,其涉及的操作系統(tǒng)、業(yè)務軟件、數(shù)據(jù)庫以及中間件等都可能存在設計缺陷和漏洞。當管理系統(tǒng)尤其是生產(chǎn)管理系統(tǒng)與互聯(lián)網(wǎng)連接時,攻擊者可通過利用漏洞向電力系統(tǒng)植入病毒、木馬等惡意軟件進而竊取系統(tǒng)中的重要信息和數(shù)據(jù)。同時,高級持續(xù)性威脅APT攻擊、利用“0day”漏洞的先進的攻擊手段,以及攻擊者通過社會工程學方法對目標進行“魚叉攻擊”、“水坑攻擊”,利用防御方人員安全意識淡薄,對電力行業(yè)特定目標進行長期持續(xù)性的網(wǎng)絡攻擊,可繞過傳統(tǒng)安全設備的防線,成為當前電力網(wǎng)絡安全所面臨的最大威脅。欺騙防御技術是防守者得以觀察攻擊者行為的新型主動防御技術[1],通過誘騙攻擊者和惡意應用暴露自身,以便研究人員能夠設計出有效防護措施。欺騙防御技術提供低誤報、高質(zhì)量的監(jiān)測數(shù)據(jù)。因此,電廠安全人員在構建自身威脅檢測能力時候,應將欺騙防御技術加入安全防御體系中。
3部署實現(xiàn)
電廠網(wǎng)絡系統(tǒng)應用欺騙防御技術,首先要部署欺騙防御技術所需要的基礎功能模塊,包括:蜜罐服務管理、威脅日志分析、統(tǒng)計分析展現(xiàn)及系統(tǒng)概覽展現(xiàn)。各模塊的主要功能如下:
3.1蜜罐服務管理
蜜罐服務提供蜜罐管理、仿真溯源、誘餌設置,主要由各類蜜罐組成,其中包括低中高三類蜜罐,低交互蜜罐主要由常見網(wǎng)絡協(xié)議組成,另外也包含常見工控網(wǎng)絡協(xié)議。中交互蜜罐具備一定的交互性,可模擬電廠真實資產(chǎn)增加蜜罐甜度,如ssh、telnet可讓用戶登錄并提供可操作終端;高交互蜜罐模擬真實的信息資產(chǎn),如Linux、Windows設備、ERP系統(tǒng)等,并在系統(tǒng)內(nèi)部放置虛假的敏感文件引誘攻擊者觸發(fā)捕獲機制。蜜罐類型包括熱點安全事件蜜罐,實現(xiàn)快速升級;支持中間件的仿真,包括tomcat、weblogic、JBoss等;支持OA系統(tǒng)等Web類應用的仿真,涵蓋常見web漏洞仿真;常見數(shù)據(jù)庫的仿真,包括mySQL、Redis、MogoDB等;系統(tǒng)服務包括常見文件傳輸服務FTP/TFTP、和運維服務SSH/Telnet等。
(1)蜜罐管理。欺騙防御系統(tǒng)蜜罐管理功能支撐自定義蜜罐分組,相同分組下的蜜罐組成隔離與生產(chǎn)網(wǎng)絡的蜜網(wǎng),蜜網(wǎng)內(nèi)的蜜罐系統(tǒng)之間可進行網(wǎng)絡訪問和交互。蜜罐支撐重置、刪除、查看蜜罐副本數(shù)量、創(chuàng)建時間和集群節(jié)點等詳細信息。
(2)仿真溯源。欺騙防御系統(tǒng)提供仿真溯源蜜罐自定義功能,可靈活根據(jù)電廠需求仿真業(yè)務系統(tǒng)定制偽裝業(yè)務系統(tǒng)。模板創(chuàng)建支持自定義業(yè)務系統(tǒng)展現(xiàn)元素,包括:模板名稱、網(wǎng)頁標題、版權信息,上傳網(wǎng)站LOGO和標題欄圖標等元素。同時支持仿真溯源蜜罐模板一鍵復制功能,為電廠快速實施蜜罐部署提供便利。
(3)誘餌管理。欺騙防御系統(tǒng)提供互聯(lián)網(wǎng)誘餌(GitHub)是指在公開的網(wǎng)站中設置虛假信息,在黑客收集信息階段對其造成誤導,使其攻擊目標轉(zhuǎn)向蜜罐,間接保護其他資產(chǎn)。誘餌配置提供詳細說明,填寫信息并下載誘餌項目,然后登錄到GitHub,新建倉庫并上傳誘餌即可。
(4)其他功能。欺騙防御系統(tǒng)提供郵件告警外發(fā)功能,支持內(nèi)部可信掃描設備添加可信主機功能,支持syslog將詳細日志發(fā)送給第三方平臺,為網(wǎng)絡安全整體決策提供有效數(shù)據(jù)。同時支持威脅情報聯(lián)動,通過威脅情報實時查詢惡意IP,將惡意文件上傳至情報平臺進行分析。
3.2威脅日志分析
威脅日志分析提供蜜罐會話日志、詳細日志列表、攻擊者溯源分析。蜜罐會話日志提供基于蜜罐訪問的五元組的日志統(tǒng)一展現(xiàn),可下鉆查看從會話建立到會話結(jié)束全過程基于時間軸的操作日志;日志列表提供告警日志的統(tǒng)一展現(xiàn),同時支持告警詳細信息查看功能;攻擊者溯源提供攻擊者詳細指紋,如攻擊者五元組,瀏覽器信息,終端信息,掃描工具等信息,通過指紋信息以及情報系統(tǒng)的結(jié)合,準確定位攻擊者位置或身份,達到溯源目的。
3.3統(tǒng)計分析展現(xiàn)
統(tǒng)計分析功能模塊提供系統(tǒng)資源實時動態(tài)展現(xiàn)、攻擊來源IP地圖、攻擊統(tǒng)計報表、攻擊源分析。系統(tǒng)資源模塊提供自身資源使用情況實時動態(tài)展現(xiàn),包括:內(nèi)存使用率、磁盤讀取寫入、網(wǎng)卡上傳下載速率。每項性能指標均提供詳細的動態(tài)實時展現(xiàn)。攻擊來源IP地圖提供攻擊來源全球地圖,提供攻擊來源地理位置定位與分析展現(xiàn)。攻擊統(tǒng)計報表提供自定義報表統(tǒng)計功能,可靈活定義導出近一個月、近三個月、近半年以及自定義開始和結(jié)束時間范圍內(nèi)的攻擊統(tǒng)計報表功能。統(tǒng)計報表支持PDF報表、HTML報表下載與分析。攻擊源分析提供圍繞攻擊源IP地址的基于時間軸的入侵次數(shù)分析和基于蜜罐服務的入侵次數(shù)分析能力,同時提供攻擊源的入侵日志詳情展現(xiàn)。
3.4系統(tǒng)概覽展現(xiàn)
系統(tǒng)概覽為電廠安全人員了解自身網(wǎng)絡環(huán)境安全現(xiàn)狀和趨勢分析。提供每日入侵發(fā)現(xiàn)次數(shù)、歷史入侵發(fā)現(xiàn)次數(shù)和當前誘捕蜜罐個數(shù)統(tǒng)計,以時間軸動態(tài)實時展現(xiàn)攻擊告警數(shù)量趨勢統(tǒng)計;提供蜜罐服務類型統(tǒng)計餅形圖,被入侵蜜罐傳感器TOP10以及攻擊者來源IP統(tǒng)計。欺騙防御系統(tǒng)采用旁路接入模式,不改變電廠原有網(wǎng)絡架構,無需鏡像流量,適用于多種網(wǎng)絡環(huán)境,可單機部署、分布式部署、集群部署。分別在管理信息區(qū)和生產(chǎn)控制區(qū)部署誘捕軟件(探針)和業(yè)務仿真系統(tǒng),捕獲內(nèi)網(wǎng)滲透和APT攻擊等常規(guī)安全設備難以發(fā)現(xiàn)的攻擊,并可對數(shù)據(jù)進行溯源,定位攻擊來源和攻擊者身份,溯源取證。
4應用效益
在電廠網(wǎng)絡按照欺騙防御技術功能框架部署完成后,欺騙防御系統(tǒng)定制業(yè)務高仿真和組建蜜網(wǎng),通過在入侵者必經(jīng)之路上構造陷阱,混淆攻擊目標,吸引攻擊者進入蜜網(wǎng),拖住攻擊者,延緩攻擊、保護電廠真實業(yè)務系統(tǒng),為應急響應時間爭取時間。欺騙防御系統(tǒng)獲取攻擊者的地址、樣本、黑客指紋等信息,可掌握其詳細攻擊路徑、攻擊工具、終端指紋和行為特征,實現(xiàn)全面取證,精準溯源。欺騙防御系統(tǒng)是基于行為的檢測,特征繞過攻擊難以奏效,可有效發(fā)現(xiàn)未知攻擊行為。通過和FW、IPS等防御設備聯(lián)動,對攻擊行為實時封堵。同時通過對未知攻擊行為的特征提取用于IDS、IPS等產(chǎn)品進行特征升級,提高攻擊檢測能力,不斷賦能安全防御體系。
5結(jié)語
欺騙防御系統(tǒng)通過蜜罐、蜜餌技術,組建具有迷惑、誘捕、監(jiān)控能力的欺騙防御體系,實現(xiàn)當攻擊者繞過或突破防御措施時隱藏其攻擊目標、拖延其攻擊節(jié)奏、捕獲攻擊行為及方法的目的。因此,利用欺騙防御技術構建具有高仿真度的誘捕網(wǎng)絡,提供具有混淆防護目標的干擾能力,能夠?qū)粽吖粜袨檫M行分析與告警,能夠?qū)粽呱矸葸M行溯源分析,能夠與現(xiàn)有防護體系實現(xiàn)聯(lián)動布控。既滿足當前最新安全防護需求,又能夠強化網(wǎng)絡安全管控能力,提升各業(yè)務系統(tǒng)網(wǎng)絡的可靠性和安全防護能力,對保障電力系統(tǒng)安全穩(wěn)定運行具有重要意義。在當前網(wǎng)絡安全形勢日趨嚴峻的背景下,對各電力企業(yè)部署網(wǎng)絡安全設備有很好的借鑒意義。
參考文獻:
[1]何昊坤.蜜罐技術在網(wǎng)絡安全領域的應用與研究[J].網(wǎng)絡安全和信息化,2022(01):128-133..
作者:裴辰曄 單位:國能浙江南潯天然氣熱電有限公司