程睿 李浩天
国网天津市电力公司城西供电分公司,国网天津市电力公司检修公司,天津 300193
摘要:近年来,社会经济的不断发展,技术的不断提高,电网企业也在不断进步。因此,新业务、新业态不断涌现,电网企业网络安全边界不断扩大,网络安全暴露面也越来越广。与此同时,国际网络安全环境持续紧张,企业内外部的网络安全威胁也在不断高涨,各种网络攻击手段日益丰富、技术日趋成熟,面临的总体网络安全形势十分严峻。电网作为关系到国计民生和国家能源安全的重要基础设施,其网络安全防护体系建设至关重要。
关键词:电网企业;网络安全;防护体系建设
引言
据统计,全世界平均每10分钟就会发生一次网络安全事件,网络安全正在面临前所未有的挑战。当前,电网企业都在加强自身网络建设,以适应信息化的要求,然而由于各种因素影响,外加网络自身的开放性,使得该类企业更容易受到网络威胁,造成各方面受损,因此需要企业明晰网络现状和安全常见漏洞,掌握防范措施,及时有效地规避可能受到的网络威胁,确保电网和企业稳定正常运行。
1网络安全风险及现状
1.1互联网暴露风险
电网企业分支机构、下属单位、变电站所、营业厅等遍布全国,电网关键信息基础设施覆盖电力发、输、变、配、用、调等各环节,对外开放的业务系统众多且防护水平不一,互联网暴露面过广。与此同时,网络安全攻防双方成本严重不对等,黑客的攻击手段、攻击目标、攻击时间都是不确定的,且只需一点突破就能造成一定程度的影响。而电网企业的网络安全防守面则过大,需要关注木桶短板效应,一旦某个薄弱环节的边缘系统有缺陷、有漏洞被黑客入侵,就有可能会以此为跳板,利用安全防护体系中的信任关系进行横向渗透,进而造成更大范围的破坏。
1.2供应链风险
电网作为国家关键信息基础设施,其供应链安全涉及网络、安全及应用系统产品和服务从无到有再到废弃的全生命周期,不仅包括传统的生产、仓储、销售、交付等环节,还延伸到了产品设计、开发、集成等生命周期,以及交付后的部署、运维等。近年来供应链安全问题越来越突出,主要表现在:一是恶意篡改。在供应链的某一环节对产品、服务及其所包含的组件、部件、元器件、数据等进行恶意篡改、植入、替换、伪造,以嵌入包含恶意逻辑的软件或硬件;二是存在远程控制后门。产品或服务存在远程控制功能,但未告知用户远程控制的目的、范围和关闭方法,甚至采用隐蔽接口、未明示功能模块、加载禁用或绕过安全机制的组件等手段实现远程控制功能。斯诺登事件以来,不断有厂商产品被曝光存在后门,这些后门有的是无意遗留的,严重危及电力企业的供应链安全,存在严重的安全隐患。尤其是在近年来的攻防实战对抗演练中发现的的问题,部分网络安全设备因自身存在的问题,未能充分发挥其应有的作用,反而成为防护边界被突破的切入点。
1.3网络安全防范意识淡薄
当前,电网企业使用了防火墙、探针、物理隔离等网络安全措施,有的企业使用物理隔离,使得负责人员产生了麻痹心理,认为内网安全;有的员工认为网络安全比较遥远,不会轻易发生;有的员工缺乏安全防范意识和技术,随意下载各类软件,形成网络漏洞;涉密电脑与连接互联网电脑交叉使用,感染病毒和木马,给了不明人员有了可乘之机,使得企业网络安全时时面临严峻挑战和各类风险。
2网络安全防护体系建设及意见
2.1边界防护
电网企业分支机构众多,因此需明确各单位互联网边界,按照最小化原则开放业务端口,完善边界安全设备及策略,把好入口安全关。
配置高强度的物理安全防护措施、恶意代码检测和主动防御、控制区与非控制区的逻辑隔离、边界入侵检测(IDS)、安全审计等其他常规安全保护措施。基于电力行业分区分域、纵深防御的防护策略,加强横向边界、纵向边界的安全防护和综合安全防护,逐层设防,形成立体的纵深防御技术体系。绘制全场景网络安全布防图,明确重点区域的防御策略和攻击动态,实现网络安全监测可视、可管、可控。同时强化总部与各单位间的协同处置,共享威胁情报,实现一处预警、处处响应,提升安全处置效率。
2.2完善网络基础设施
网络基础设施安全包括物理和环境安全、网络与通信安全,应用与数据安全,其中物理环境安全重点加强各网络设备物理环境的安全、计算机硬件设备的安全和传输介质安全等,要尽可能采取国产化设备,时时在线升级系统。网络与通信安全如路由器、交换机、防火墙等,尽可能进行加密处理或加装网络安全设备,网络传输协议尽可能采取SSH协议、SSL协议等安全性较高的协议规范进行处理。应用与数据安全要采用网络准入控制技术,要将未使用端口断开或关闭设备,要进行了IP/MAC地址绑定等必要措施。
2.3主机防护
传统网络安全防护过于关注边界防御,相对忽视了主机层面的防护,而近年来的攻防实践表明,网络边界被突破已成为必然事件,因此必须要考虑边界被突破后的主机防护策略,对包括数据、进程、服务等系统资源在内的主机环境进行全方位的立体防护。主机防护内容主要包括端口及服务最小化开放、系统补丁更新、基线策略配置,并辅以杀毒、入侵检测系统(IDS)以及其它内核级的安全防护工具。比如基于“白名单”机制的主机防护系统,只允许“白名单”内的进程、服务运行,未经允许的软件、工具和进程都不能运行,从而确保系统免疫漏洞攻击、恶意代码执行、数据窃取等类型攻击,提供内核级安全保障,在边界被突破后最大程度确保主机安全。
2.4完善安全管理体系
要立足企业实际,健全管理体系,包括安全管理机构与人员、安全策略和管理制度、安全运维管理等。如建立网络安全小组,设置信息安全管理岗位,选定专业人士担任;定期进行安全检查,开展网络安全意识培训;制定信息安全管理制度,教育人员严格遵守各项规定,确保制度到位、有章可依等。
2.5全局态势感知
网络安全风险态势感知是主动安全防御体系的“大脑”,可通过威胁情报、机器学习、用户画像等技术对海量的日志信息进行深度分析,自动化、可视化地实现全网的安全风险态势感知、事件响应以及资源协同联动。建设全局网络安全态势感知体系可有效降低企业内部安全运维人员的时间成本,有效提升对攻击的发现和处置能力,以及网络安全风险事前、事中的应对能力以及事后的分析及追踪溯源能力。
2.6完善安全技术体系
要建立立体性安全防护体系,在关键网络节点部署安全检测设备,部署网络攻击行为分析设备,及时掌握网络攻击行为规律,及时对攻击源、类型、目的、时间进行记录,提供报警功能;要建立漏洞补丁分发系统和防病毒系统,及时修补各类终端存在的漏洞,查杀木马和病毒;要建立信息流基线,采取抓包等手段实施监控信息流线;要加强恶意代码、垃圾邮件防范,部署恶意代码与垃圾邮件防护机制,及时检测并清除。
结语
电网作为关系到国计民生和国家能源安全的重要基础设施,网络安全至关重要。随着信息技术的快速发展及国内外网络安全形势日益严峻,电网企业网络安全受到了来自各个方面的威胁。网络安全工作永远在路上,只有不断提高网络安全防护水平,方能为电网的安全稳定运行保驾护航。
参考文献
[1]黄飞娟.计算机网络安全漏洞及防范措施研究[J].电子技术与软件工程,2019.
[2]黎明.校园网络安全的分析、防范与展望[J].电子技术与软件工程,2019(09):198.