电网信息安全建设论文
时间:2022-10-01 08:10:48
摘要:为应对高级持续性威胁和针对性攻击,海南电网应用威胁发现设备加强信息安全建设,在实际应用中取得了较好的效果,同时也对进一步提升安全管控进行了思考与总结。
关键词:威胁发现设备;信息安全;安全管控
1引言
随着海南电网有限责任公司信息化建设迅速发展,网络覆盖面不断扩大,主机与终端接入数量日益增加,信息安全形势也变得愈加严峻。近年来,国家对信息安全的重视程度不断加强,同期的信息安全攻击事件也不断爆发,如2015年乌克兰电网遭遇突发停电事故,以色列电力局遭受严重网络攻击等事件,对电网公司信息安全建设敲响了警钟。电网信息安全防护主要包括网络安全防护、主机安全防护和终端安全防护,目前网络和主机由信通公司进行集中运维管理,管理规范,安全程度较高。终端安全防护由各供电局信息技术人员进行管理,由于终端数量较多,基层员工安全意识不足,终端的安全程度层次不齐,是目前安全防护方面的薄弱点。近年来,高级持续性威胁和针对性攻击手段不断出现,其具有抵御传统安全防御、保持长期不被检测到的能力。IT消费化和云计算等技术发展趋势进一步加剧了这些攻击的严重性,削弱了安保的作用,从而使网络更容易遭到攻击。通过对高级持续性威胁恶意软件和隐蔽式攻击者行为的检测和深入分析,威胁发现设备可以检测高级持续性威胁和针对性攻击,并提供可见的报告和情报,大大提升了攻击前的预测能力。
2技术背景
如今,高级持续性攻击使用多阶段方式来窃取重要数据——获取入口点,下载其他恶意软件,打开后门程序访问,找到并危害目标系统,然后上传数据。尽管终端电脑数据危害可快速发生,但从初始入侵到目标数据受到危害通常需要几天或几周的时间。实际发现并完全抑制危害所用的时间可能为几个月。在此期间,企业网络中潜伏着入侵者,其目的是持续危害重要数据,整个过程如图1所示。威胁实施者情报收集外部暂存服务器入口点C&C服务器横向移动感兴趣的数据文件存储数据库高级持续性威胁和针对性攻击已证明可避开标准、网络和端点安全防御的能力。威胁发现设备专门用于检测高级持续性威胁和针对性攻击——在攻击生命周期的各个阶段识别反映高级恶意软件或攻击者活动的恶意内容、通信和行为。威胁发现设备使用3个层面的检测方案来执行初始检测,然后进行模拟和关联,最后通过最终的交叉关联发现隐蔽的高级持续性威胁活动以及其他只有通过长期观察才能发现的隐蔽活动。
3应用效果
采用威胁发现设备监控外部网络与内部网络的流量交互,从3个层面的检测方案来执行初始检测,分别是恶意内容、可疑通信和攻击行为,其中恶意内容检测包含3个方面对包含嵌入文档漏洞的电子邮件、隐蔽强迫下载链接和零日攻击与已知恶意软件进行检测,采用解码与解压缩嵌入文件,对可疑文件进行沙盒模拟,对浏览器漏洞套件检测和对恶意代码扫描等技术;可疑通信检测包含2个方面,分别是针对僵尸病毒、下载软件、数据窃取、蠕虫病毒和混合性威胁的对外连网通信和攻击者实施的后门程序活动进行检测,通过动态列入黑名单、白名单进行的目标分析技术,云计算安全智能防护网络URL信誉和通信行为识别规则技术实现;攻击行为检测包含3个方面,分别是恶意软件活动(传播、下载、发送垃圾邮件等),攻击者活动(扫描、暴力攻击、服务漏洞利用等),数据隐蔽泄露,通过基于规则的启发式分析,对80多种协议和应用程序的使用情况进行识别和分析。在海南电网投入使用以来,月均检测高威胁恶意和攻击行为约80条,高威胁可疑行为约1300条,为海南电网的安全防护体系起到了重大作用,对终端防护工作指明了问题点,大大提高了终端安全管控水平。
4结束语
威胁发现设备对海南电网安全防护水平的提升效果是显著的,能够有效指明安全隐患点和安全类型,随着信息系统不断建设和终端设备的不断增加,现有的威胁发现设备逐渐达到性能极限,因此已针对这个情况,对威胁发现设备进行了采购补充,一定程度上缓解了这个问题,但是如何在不降低安全防护水平的基础上,有效降低设备的运行负荷,是需要进一步思考的问题。另外虽然通过威胁发现设备能够确定安全隐患点,但是由于基层信息技术人才匮乏,现场检查确认隐患设备的工作仍然巨大,如果仅完成高威胁恶意和攻击行为的排查和确认是在运维能力极限范围内,一旦将高威胁可疑行为纳入排查清理范围内,将大大加剧基层运维人员工作压力,如何进一步将高威胁可疑行为进行优化分级是需要研究和思考的工作。
作者:陈习 覃岩岩 王宁 陈 宁 单位:海南电网有限责任公司信息通信分公司
参考文献
[1]陈广山.网络与信息安全技术[J].北京:机械工业出版社,2007
[2]张玉清.网络攻击与防御技术[J].北京:清华大学出版社,2011
[3]吴锐.网络安全技术[J].北京:水利水电出版社,2012
[4]王辉,刘淑芬,张欣佳.信息系统“Insiderthreat”分析及其解决方案[J].吉林大学学报(工学版),2006(05)
[5]翁勇南.信息安全中内部威胁者行为倾向研究[D].北京交通大学,2007
