龍震岳等

摘 要： 隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動(dòng)化、電力設(shè)備智能化的不斷發(fā)展，電網(wǎng)企業(yè)信息安全愈發(fā)重要。在此針對(duì)網(wǎng)絡(luò)信息安全的嚴(yán)峻形勢，通過研究電網(wǎng)企業(yè)出現(xiàn)的新型攻防技術(shù)，包括高級(jí)持續(xù)威脅（APT）防護(hù)技術(shù)、漏洞掃描技術(shù)等的優(yōu)缺點(diǎn)，給出基于最小攻擊代價(jià)的防御有效性分析策略，并計(jì)算網(wǎng)絡(luò)的防御能力。

關(guān)鍵詞： 網(wǎng)絡(luò)信息安全； 計(jì)算機(jī)； APT； 安全防御； 惡意威脅

中圖分類號(hào)： TN711?34 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2015）21?0100?05

Threat to network information security and study on new defense

technologies in power grid enterprises

LONG Zhenyue1， 2， QIAN Yang1， 2， ZOU Hong1， 2， CHEN Ruizhong1， 2

（1. Key Laboratory of Information Testing， China Southern Power Grid Co.， Ltd.， Guangzhou 510000， China；

2. Information Center， Guangdong Power Grid Co.， Ltd.， Guangzhou 510000， China）

Abstract： With the continuous development of management informationization of the power grid enterprises， automatic power grid operation and intelligent electrical equipment， the information security has become more important. For the serious situation of network information security， the new?type defense technologies are studied， which are consisted of advanced persistent threat （APT） protection technology and vulnerability scanning technology. Combining with the advantages and disadvantages of these technologies， the strategy of defense effectiveness analysis based on the minimum attack cost is proposed， which can compute the defense capability of the network.

Keywords： network information security； computer； APT； safety defense； malicious threat

0 引 言

隨著電網(wǎng)企業(yè)管理信息化、電網(wǎng)運(yùn)行自動(dòng)化、電力設(shè)備智能化的不斷發(fā)展，電網(wǎng)企業(yè)信息安全愈發(fā)重要。信息化已成為電力企業(yè)工作中的重要組成部分，各類工作對(duì)網(wǎng)絡(luò)的高度依賴，各類信息以結(jié)構(gòu)化、非結(jié)構(gòu)化的方式儲(chǔ)存并流轉(zhuǎn)于網(wǎng)絡(luò)當(dāng)中，一旦信息網(wǎng)絡(luò)被攻破，則往往導(dǎo)致服務(wù)中斷、信息泄漏、甚至指令錯(cuò)誤等事件，嚴(yán)重威脅生產(chǎn)和運(yùn)行的安全。因此，保障網(wǎng)絡(luò)信息安全就是保護(hù)電網(wǎng)企業(yè)的運(yùn)行安全，保障網(wǎng)絡(luò)安全是電網(wǎng)企業(yè)的重要職責(zé)[1]。

目前的網(wǎng)絡(luò)信息安全形勢依然嚴(yán)峻，近年來，業(yè)務(wù)從單系統(tǒng)到跨系統(tǒng)，網(wǎng)絡(luò)從零星分散到大型化、復(fù)雜化，單純的信息安全防護(hù)技術(shù)和手段已經(jīng)不能滿足企業(yè)安全防護(hù)的需要，應(yīng)針對(duì)性地研究具有縱深防御特點(diǎn)的安全防護(hù)體系，以信息安全保障為核心，以信息安全攻防技術(shù)為基礎(chǔ)，了解信息安全攻防新技術(shù)，從傳統(tǒng)的“知防不知攻”的被動(dòng)防御向“知攻知防”的縱深積極防御轉(zhuǎn)變，建立全面的信息安全防護(hù)體系。

1 概 述

從廣義層面而言，網(wǎng)絡(luò)信息安全指的是保障網(wǎng)絡(luò)信息的機(jī)密性、完整性以及有效性，涉及這部分的相關(guān)網(wǎng)絡(luò)理論以及技術(shù)都是網(wǎng)絡(luò)信息安全的內(nèi)容。從狹義層面而言，網(wǎng)絡(luò)信息安全指的是網(wǎng)絡(luò)信息的安全，主要包括網(wǎng)絡(luò)軟硬件及系統(tǒng)數(shù)據(jù)安全[2]。網(wǎng)絡(luò)信息安全需要保證當(dāng)網(wǎng)絡(luò)受到惡意破壞或信息泄露時(shí)，網(wǎng)絡(luò)系統(tǒng)可以持續(xù)正常運(yùn)行，為企業(yè)提供所需的服務(wù)。

通過對(duì)我國某電網(wǎng)企業(yè)及其下轄電力單位的調(diào)研，以及對(duì)近5年電力信息資產(chǎn)信息安全類測評(píng)結(jié)果的統(tǒng)計(jì)得知，電網(wǎng)企業(yè)現(xiàn)存的網(wǎng)絡(luò)安全情況主要分為以下3類：網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、數(shù)據(jù)安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件、管理類安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)事件。整體上看，電網(wǎng)企業(yè)的信息安全問題仍不容樂觀，近年來隨著網(wǎng)絡(luò)的復(fù)雜化，攻擊的新型化和專業(yè)化，網(wǎng)絡(luò)安全防護(hù)的情況亟待加強(qiáng)?？傮w而言，首先要加強(qiáng)并提升網(wǎng)絡(luò)、應(yīng)用等方面安全水平，保證信息源頭的安全情況；其次加強(qiáng)管理類安全，特別是人員管理、運(yùn)維管理等方面；最后研究分析最新攻防技術(shù)的特點(diǎn)，結(jié)合電網(wǎng)實(shí)際現(xiàn)狀，構(gòu)建適用于現(xiàn)有網(wǎng)絡(luò)環(huán)境與架構(gòu)的信息安全縱深防御體系。

本文主要針對(duì)第三點(diǎn)展開論述，研究包括高級(jí)持續(xù)威脅（APT）防護(hù)技術(shù)、漏洞掃描技術(shù)等新型的攻擊及其防護(hù)技術(shù)，提取在復(fù)雜網(wǎng)絡(luò)系統(tǒng)中的防御共同點(diǎn)，并給出一類策略用于分析網(wǎng)絡(luò)信息安全防御的有效性。

2 信息安全的攻防新技術(shù)

電網(wǎng)企業(yè)所依賴的信息安全隔離與防御技術(shù)主要包括數(shù)據(jù)加密技術(shù)、安全隔離技術(shù)、入侵檢測技術(shù)、訪問控制技術(shù)等。一方面，通過調(diào)研與統(tǒng)計(jì)分析。目前電網(wǎng)的信息安全建設(shè)主要以防止外部攻擊，通過區(qū)域劃分、防火墻、反向代理、入侵檢測等手段對(duì)外部攻擊進(jìn)行防御，對(duì)內(nèi)部的防御手段往往滯后，電網(wǎng)內(nèi)部應(yīng)用仍然存在一定的安全風(fēng)險(xiǎn)與漏洞弱點(diǎn)。如果一道防線失效，惡意的攻擊者可能通過以內(nèi)部網(wǎng)絡(luò)為跳板威脅電網(wǎng)企業(yè)的安全；另一方面，電網(wǎng)企業(yè)中目前使用的防御技術(shù)一般是孤立的，未形成關(guān)聯(lián)性防御，而目前新型的攻擊往往會(huì)結(jié)合多個(gè)漏洞，甚至是多個(gè)0day漏洞進(jìn)行組合攻擊，使得攻擊的隱蔽性、偽裝性都較強(qiáng)。因此，要構(gòu)建信息安全防御體系，僅憑某單一的防護(hù)措施或技術(shù)無法滿足企業(yè)的安全要求，只有構(gòu)建完整的信息安全防護(hù)屏障，才能為企業(yè)提供足夠的信息安全保障能力。

經(jīng)過分析，目前針對(duì)電網(wǎng)企業(yè)的新型攻防技術(shù)有如下幾類：

2.1 高級(jí)持續(xù)威脅攻擊與防護(hù)技術(shù)

高級(jí)持續(xù)威脅（APT）是針對(duì)某一項(xiàng)有價(jià)值目標(biāo)而開展的持續(xù)性攻擊，攻擊過程會(huì)使用一切能被利用的手段，包括社會(huì)工程學(xué)攻擊、0day漏洞攻擊等，當(dāng)各攻擊點(diǎn)形成持續(xù)攻擊鏈后，最終達(dá)到攻擊目的。典型的APT攻擊案例如伊朗核電項(xiàng)目被“震網(wǎng)（Stuxnet）”蠕蟲病毒攻擊，通過攻擊工業(yè)用的可編程邏輯控制器，導(dǎo)致伊朗近[15]的核能離心機(jī)損壞。

根據(jù)APT攻擊的特性，企業(yè)可以從防范釣魚攻擊、識(shí)別郵件中的惡意代碼、識(shí)別主機(jī)上的惡意代碼、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)進(jìn)行檢測，主要涉及以下幾類新型技術(shù)。

2.1.1 基于沙箱的惡意代碼檢測技術(shù)

惡意代碼檢測中最具挑戰(zhàn)性的是檢測利用0day漏洞的惡意代碼，傳統(tǒng)的基于特征碼的惡意代碼檢測技術(shù)無法應(yīng)對(duì)0day攻擊。目前最新的技術(shù)是通過沙箱技術(shù)，構(gòu)造模擬的程序執(zhí)行環(huán)境，讓可疑文件在模擬環(huán)境中運(yùn)行，通過軟件所表現(xiàn)的外在行為判定是否是惡意代碼。

2.1.2 基于異常的流量檢測技術(shù)

傳統(tǒng)的入侵檢測系統(tǒng)IDS都是基于特征（簽名）的深度包檢測（DPI）分析，部分會(huì)采用到簡單深度流檢測（DFI）技術(shù)。面對(duì)新型威脅，基于DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?；诋惓５牧髁繖z測技術(shù)，是通過建立流量行為輪廓和學(xué)習(xí)模型來識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通信以及信息滲出等惡意行為。

2.1.3 全包捕獲與分析技術(shù)

由于APT攻擊的隱蔽性與持續(xù)性，當(dāng)攻擊行為被發(fā)現(xiàn)時(shí)往往已經(jīng)持續(xù)了一段時(shí)間；因此需要考慮如何分析信息系統(tǒng)遭受的損失，利用全包捕獲及分析技術(shù)（FPI），借助海量存儲(chǔ)空間和大數(shù)據(jù)分析（BDA）方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中特定場合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)，便于后續(xù)的歷史分析或者準(zhǔn)實(shí)時(shí)分析。

2.2 漏洞掃描技術(shù)

漏洞掃描技術(shù)是一種新型的、靜態(tài)的安全檢測技術(shù)，攻防雙方都會(huì)利用它盡量多地獲取信息。一方面，攻擊者利用它可以找到網(wǎng)絡(luò)中潛在的漏洞；另一方面，防御者利用它能夠及時(shí)發(fā)現(xiàn)企業(yè)或單位網(wǎng)絡(luò)系統(tǒng)中隱藏的安全漏洞。以被掃描對(duì)象分類，漏洞掃描主要可分為基于網(wǎng)絡(luò)與基于主機(jī)的安全漏洞掃描技術(shù)。

2.2.1 基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)

基于網(wǎng)絡(luò)的安全漏洞掃描技術(shù)通過網(wǎng)絡(luò)掃描網(wǎng)絡(luò)設(shè)備、主機(jī)或系統(tǒng)中的安全漏洞與脆弱點(diǎn)。例如，通過掃描的方式獲知OpenSSL心臟出血漏洞是否存在?；诰W(wǎng)絡(luò)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：易操作性，掃描在執(zhí)行過程中，無需目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)Root管理員的參與；維護(hù)簡便，若目標(biāo)網(wǎng)絡(luò)中的設(shè)備有調(diào)整或變化，只要網(wǎng)絡(luò)是連通的，就可以執(zhí)行掃描任務(wù)。但是基于網(wǎng)絡(luò)的掃描也存在一些局限性：掃描無法直接訪問目標(biāo)網(wǎng)絡(luò)或系統(tǒng)主機(jī)上的文件系統(tǒng)；其次，掃描活動(dòng)不能突破網(wǎng)絡(luò)防火墻[3]。

2.2.2 基于主機(jī)的安全漏洞掃描技術(shù)

基于主機(jī)的安全漏洞掃描技術(shù)是通過以系統(tǒng)管理員權(quán)限登錄目標(biāo)主機(jī)，記錄網(wǎng)絡(luò)或系統(tǒng)配置、規(guī)則等重要項(xiàng)目參數(shù)，通過獲取的信息與標(biāo)準(zhǔn)的系統(tǒng)安全配置庫進(jìn)行比對(duì)，最終獲知系統(tǒng)的安全漏洞與風(fēng)險(xiǎn)。

基于主機(jī)的安全漏洞掃描技術(shù)的優(yōu)點(diǎn)包括：可使用的規(guī)則多，掃描結(jié)果精準(zhǔn)度高；網(wǎng)絡(luò)流量負(fù)載較小，不易被發(fā)現(xiàn)。該技術(shù)也存在一些局限性：首先，基于主機(jī)的安全漏洞掃描軟件或工具的價(jià)格昂貴；其次，基于主機(jī)的安全漏洞掃描軟件或工具首次部署的工作周期較長。

3 基于最小攻擊代價(jià)的網(wǎng)絡(luò)防御有效性分析策略

惡意攻擊總是以某一目標(biāo)為導(dǎo)向，惡意攻擊者為了達(dá)到目標(biāo)會(huì)選擇各種有效的手法對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。在復(fù)雜網(wǎng)絡(luò)環(huán)境下，如果可以盡可能大地提高惡意攻擊者的攻擊代價(jià)，則對(duì)應(yīng)能達(dá)到提高有效防御的能力?；谶@個(gè)假設(shè)，這里展示一種在復(fù)雜網(wǎng)絡(luò)環(huán)境下分析攻擊有效性的策略，并依此計(jì)算從非安全區(qū)到目標(biāo)區(qū)是否存在足夠小的攻擊代價(jià)，讓惡意攻擊可以獲取目標(biāo)。如果存在，則可以被惡意攻擊利用的路徑將被計(jì)算出來；如果不存在，則證明從非安全區(qū)到目標(biāo)區(qū)的安全防御能力是可以接受的。

以二元組的形式描述網(wǎng)絡(luò)拓?fù)鋱D[4][C，]其中節(jié)點(diǎn)是網(wǎng)絡(luò)中的各類設(shè)備，邊表示設(shè)備間的關(guān)聯(lián)關(guān)系。假設(shè)非安全區(qū)域?yàn)閇Z，]目標(biāo)區(qū)域?yàn)閇D。]在網(wǎng)絡(luò)中，攻擊者如果能達(dá)到目標(biāo)，必然至少存在一條從非安全區(qū)節(jié)點(diǎn)到目標(biāo)節(jié)點(diǎn)[d]的通路[p，]且這條通路上的攻擊代價(jià)小于值[w。]其中，攻擊代價(jià)指攻擊者能夠利用攻擊工具、系統(tǒng)缺陷、脆弱性等信息，實(shí)現(xiàn)其對(duì)目標(biāo)的入侵行為所付出的代價(jià)。直觀地，由于攻擊行為往往會(huì)因遇到安全設(shè)備和安全策略的阻攔，而導(dǎo)致其成功實(shí)現(xiàn)其攻擊目的的時(shí)間、精力甚至資金成本提高，攻擊者為達(dá)到其攻擊目標(biāo)所付出的所有的行為成本即攻擊代價(jià)。

在圖[G]中，每一個(gè)節(jié)點(diǎn)[v]具有輸入權(quán)限[q]和獲利權(quán)限[q]（如表1所示）、本身的防護(hù)能力[pr]以及風(fēng)險(xiǎn)漏洞數(shù)L（L≥0）。攻擊者能力是指攻擊者通過輸入權(quán)限[q，]通過任意攻擊手段，在節(jié)點(diǎn)[v]上所能獲取的最高權(quán)限值（獲利權(quán)限）[q′。]直觀地，輸入權(quán)限代表攻擊者在對(duì)某節(jié)點(diǎn)進(jìn)行攻擊前所擁有的權(quán)限，如Web服務(wù)器一般均具有匿名訪問權(quán)限；獲利權(quán)限代表攻擊者最終可以利用的系統(tǒng)權(quán)限。

最短攻擊路徑是從非安全區(qū)域[Z]中任意節(jié)點(diǎn)[z]到目標(biāo)節(jié)點(diǎn)[d]所有攻擊路徑中，防護(hù)成功率最低的[Pr]所對(duì)應(yīng)的路徑。最短攻擊路徑所對(duì)應(yīng)耗費(fèi)的攻擊代價(jià)為最小攻擊代價(jià)[4]，也是該網(wǎng)絡(luò)的防護(hù)能力有效性分值。

攻擊代價(jià)閾值：一旦攻擊者付出的攻擊代價(jià)超過其預(yù)期，攻擊者很大程度上將會(huì)停止使得攻擊代價(jià)超限的某一攻擊行為，轉(zhuǎn)而專注于攻擊代價(jià)較小的其他攻擊路徑。攻擊代價(jià)閾值即攻擊者為達(dá)到目標(biāo)可接受的最大攻擊代價(jià)。如果防護(hù)能力有效性分值小于攻擊代價(jià)閾值，則說明攻擊目標(biāo)可以達(dá)到。

攻擊代價(jià)閾值一般可以通過人工方式指定，本文采用德爾斐法，也被稱為專家咨詢法的方式來確定。經(jīng)過專家分析和評(píng)判，將攻擊代價(jià)閾值設(shè)定為[t，]當(dāng)攻擊路徑防護(hù)能力小于[t]即認(rèn)為攻擊者會(huì)完成攻擊行為并能成功實(shí)施攻擊行為。

4 網(wǎng)絡(luò)防御有效性分析應(yīng)用

假設(shè)在電網(wǎng)企業(yè)復(fù)雜網(wǎng)絡(luò)環(huán)境場景下存在一類新型的APT攻擊，網(wǎng)絡(luò)中使用兩種策略A，B進(jìn)行攻擊防御。策略A采用了現(xiàn)有的隔離與防御技術(shù)，策略B是在現(xiàn)有基礎(chǔ)上增加應(yīng)用了APT防御技術(shù)。計(jì)算兩類策略下的最小攻擊代價(jià)，并進(jìn)而對(duì)APT防護(hù)效果進(jìn)行分析。

4.1 策略選取

4.1.1 策略A

圖1為一個(gè)簡化的復(fù)雜網(wǎng)絡(luò)環(huán)境實(shí)例拓?fù)洌渲蠨MZ區(qū)部署的Web服務(wù)器為內(nèi)、外網(wǎng)用戶提供Web服務(wù)，電網(wǎng)地市局局域網(wǎng)的內(nèi)部用戶不允許與外網(wǎng)直接連接，限網(wǎng)。各安全域之間具體訪問控制策略如下：

（1） 只允許地市局局域網(wǎng)用戶訪問DMZ區(qū)Host2（H2）上的IIS Web服務(wù)和Host3（H3）上的Tomcat服務(wù)；

（2） DMZ 區(qū)的H2 允許訪問H3上的Tomcat服務(wù)和IDC區(qū)Host4（H4）上的Oracle DB服務(wù)；

（3） 禁止H2和H3訪問Domino服務(wù)器Host5（H5）；

（4） H5允許訪問DMZ的H2和H3及IDC區(qū)的H4。

4.2 效果分析

通過上述計(jì)算結(jié)果表明，在應(yīng)用策略A與B情況下，局域網(wǎng)用戶到DMZ區(qū)域目標(biāo)主機(jī)存在的攻擊路徑的防護(hù)有效性分值分別是（0.3，0.3，0.51）與（0.93， 0.93，0.979）。在策略A的情況下，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，最短攻擊路徑的防護(hù)有效性分值只有0.51，說明局域網(wǎng)內(nèi)的攻擊者能在花費(fèi)較小代價(jià)的情況下，輕易地獲取內(nèi)網(wǎng)DMZ或IDC服務(wù)器的系統(tǒng)權(quán)限，從而造成較大的危害。而增加APT防護(hù)設(shè)備之后，通過DMZ區(qū)的H2為跳板，攻擊IDC的目標(biāo)主機(jī)H4，防護(hù)有效性分值提升為0.979，其他攻擊路徑的防護(hù)有效性也有明顯提高。

策略A與策略B的對(duì)比結(jié)果表明，在DMZ區(qū)域有APT防護(hù)技術(shù)情況下，網(wǎng)絡(luò)環(huán)境下整體的隔離與防御能力得到了明顯提升，從而驗(yàn)證了隔離與防御新技術(shù)的防護(hù)效果。

5 結(jié) 語

在新形勢、新技術(shù)下，我國電網(wǎng)企業(yè)網(wǎng)絡(luò)信息安全仍面臨著嚴(yán)峻的挑戰(zhàn)，應(yīng)當(dāng)高度重視網(wǎng)絡(luò)信息安全工作，不斷發(fā)展完善信息安全防御新技術(shù)，改善網(wǎng)絡(luò)信息安全的水平。單純使用某種防御技術(shù)，往往已無法應(yīng)對(duì)快速變化的安全防御需求，只有綜合運(yùn)用各種新型的攻防技術(shù)，分析其關(guān)聯(lián)結(jié)果，并通過網(wǎng)內(nèi)、網(wǎng)間各類安全設(shè)備、安全措施的互相配合，才能最終建立健全網(wǎng)絡(luò)信息安全防范體系，最大限度減少惡意入侵的威脅，保障企業(yè)應(yīng)用的安全、穩(wěn)定運(yùn)行。

參考文獻(xiàn)

[1] 高子坤，楊海洲，王江濤.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及防護(hù)策略分析[J].科技研究，2014，11（2）：155?157.

[2] 彭曉明.應(yīng)對(duì)飛速發(fā)展的計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)探索[J].硅谷，2014，15（11）：86?87.

[3] 范海峰.基于漏洞掃描技術(shù)的網(wǎng)絡(luò)安全評(píng)估方法研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2012，8（6）：9?11.

[4] 吳迪，馮登國，連一峰，等.一種給定脆弱性環(huán)境下的安全措施效用評(píng)估模型[J].軟件學(xué)報(bào)，2012，23（7）：1880?1898.

[5] 池水明，孫斌.無線網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及防范技術(shù)芻議[J].信息網(wǎng)絡(luò)安全，2012，9（3）：25?27.

[6] 馬紀(jì)豐，梁浩.物聯(lián)網(wǎng)感知層信息安全分析與建議[J].現(xiàn)代電子技術(shù)，2012，35（19）：76?78.