張寶全+黃祖源+周楓+陳先富+張少泉

摘要：智能電網(wǎng)是傳統(tǒng)電網(wǎng)與信息技術(shù)融合的新型電網(wǎng)。隨著信息技術(shù)的快速發(fā)展，信息安全作為信息技術(shù)的一個重要組成部分正在深刻地影響著人們的工作和生活?？萍嫉陌l(fā)展給人們帶來方便的同時，也暴露出了很多安全問題，特別是近年來，如信息泄漏、SQL注入漏洞和網(wǎng)絡(luò)的滲透、黑客攻擊等信息安全事件頻發(fā)，給企業(yè)、社會和個人造成難以挽回的損失。電力行業(yè)作為一種能量供應(yīng)，涉及國有資產(chǎn)的絕大部分信息、商業(yè)價值和國家機密。但是龐大的信息數(shù)據(jù)有著巨大的價值，使得電網(wǎng)企業(yè)信息網(wǎng)絡(luò)容易遭受黑客攻擊、造成信息泄露風險的可能性是非常大的。根據(jù)電力行業(yè)的特點，本文探討了電力行業(yè)中網(wǎng)絡(luò)攻防演練的意義和價值，并針對電力行業(yè)信息網(wǎng)絡(luò)漏洞的特點提出了網(wǎng)絡(luò)攻防靶場的建設(shè)和實施方案，旨在提高電網(wǎng)企業(yè)從事信息安全工作的人員的信息安全意識和處理突發(fā)信息安全事件的應(yīng)急能力，間接地確保電網(wǎng)安全穩(wěn)定可靠運行。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)攻防；智能電網(wǎng)；安全漏洞；電力行業(yè)

O 引言

互聯(lián)網(wǎng)時代促使信息技術(shù)的飛速發(fā)展，隨之而來的是各種網(wǎng)絡(luò)攻擊和形式各異的網(wǎng)絡(luò)病毒，2017年5月爆發(fā)的“Wannacry”病毒就是一個很好的例子和教訓(xùn)。電力是國家“節(jié)能減排”和綠色發(fā)展的重要能源支撐，電力的穩(wěn)定供應(yīng)能夠保持社會的穩(wěn)定和發(fā)展。智能電網(wǎng)的快速發(fā)展依賴著信息技術(shù)的支持，沒有信息技術(shù)的支持，智能電網(wǎng)只是一個空談。然而，隨著智能電網(wǎng)的快速發(fā)展，其依賴的信息技術(shù)的安全問題也逐漸暴露出來。一旦發(fā)生嚴重的信息安全問題，后果不堪設(shè)想。電網(wǎng)信息網(wǎng)絡(luò)有一個特點，電網(wǎng)對信息的實時性和可靠性要求較高，所以必然要求信息集中化管理。電網(wǎng)的信息安全會直接或間接影響整個電網(wǎng)系統(tǒng)的安全，可想而知，要是控制信息出錯，那么“多諾米骨牌效應(yīng)”很可能發(fā)生，最終可能影響整個電力系統(tǒng)，造成難以挽回的損失。電網(wǎng)在發(fā)電、輸電、變電、配電和用電等方方面面都可能存在信息安全威脅，一旦爆發(fā)，后果不堪想象。電網(wǎng)企業(yè)作為國家能源戰(zhàn)略的企業(yè)，近年來智能電網(wǎng)的發(fā)展使得電力行業(yè)信息化程度變高，所以需要保證智能電網(wǎng)信息安全。面對惡意網(wǎng)絡(luò)攻擊的威脅，為了保證網(wǎng)絡(luò)空間信息安全和防止重大信息安全威脅的爆發(fā)，電力行業(yè)信息安全技術(shù)人員等必須搭建或者委托搭建網(wǎng)絡(luò)攻防靶場（演練平臺）進行攻防演練。針對各種常見的信息安全漏洞和黑客攻擊進行演練，對癥下藥，不斷提高信息系統(tǒng)的安全等級，提高電網(wǎng)抗黑客攻擊能力。

隨著電網(wǎng)公司信息系統(tǒng)的壯大發(fā)展和近年來快速增長的系統(tǒng)數(shù)量，針對信息系統(tǒng)的各種安全隱患也在不斷增多，為保證電網(wǎng)信息系統(tǒng)的安全穩(wěn)定運行，要求管理和維護人員都要與時俱進的掌握電網(wǎng)各類信息系統(tǒng)存在的安全隱患和相關(guān)的安全知識及必要技能。只有熟練掌握電網(wǎng)信息系統(tǒng)各類漏洞被攻擊的方法和原理，才能有針對性的做好真積身系統(tǒng)的安全防護。因此，通過對網(wǎng)絡(luò)攻防靶場實戰(zhàn)核心系統(tǒng)的研究及應(yīng)用，提升對電網(wǎng)新型漏洞的分析及攻防演練能力。

1 電力行業(yè)的信息安全漏洞及潛在的風險

2015年12月23日，烏克蘭電網(wǎng)遭遇突發(fā)停電事故，引起烏克蘭西部地區(qū)約70萬戶居民家中停電數(shù)小時。事后達拉斯信息安全公司iSight Partners的研究人員表示，這是由BlackEnergy（黑暗力量）惡意軟件代碼導(dǎo)致的破壞性事件。2016年12月17日，烏克蘭基輔北部330kV變電所發(fā)生停機，導(dǎo)致基輔地區(qū)大面積停電。在CyberTech2016大會上，以色列能源與水力基礎(chǔ)設(shè)施部部長披露稱，以色列電力局在2016年1月25日遭受了一次嚴重的網(wǎng)絡(luò)攻擊。事發(fā)后以色列當局被迫對電力設(shè)施中被感染的計算機進行了關(guān)閉。在2016全球十大互聯(lián)網(wǎng)安全事件中就有兩起事件與電網(wǎng)有直接關(guān)系。由此可見，在電網(wǎng)中，信息安全的重要性無可替代。

信息安全是一個古老而又現(xiàn)代化的詞匯，說其古老，是因為以前飛鴿傳書、郵驛書信已經(jīng)有之，說其現(xiàn)代化，是因為20世紀九十年代隨著電線技術(shù)、計算機技術(shù)的出現(xiàn)而不斷的更新發(fā)展，迎來的一個新的發(fā)展時代。信息安全要保證信息網(wǎng)絡(luò)中軟硬件資源和數(shù)據(jù)資源的安全性能，能夠持續(xù)可靠的為用戶提過你服務(wù)，不因為受到攻擊等中斷服務(wù)。信息安全主要實現(xiàn)目標包含：真實性、保密性、完整性、可用性、可控性、可審查性和抗抵賴性等。目前中國的網(wǎng)絡(luò)空間信息安全形勢嚴峻，圖1是中國各地互聯(lián)網(wǎng)網(wǎng)站的安全形勢狀態(tài)統(tǒng)計。

各種新技術(shù)，比如大數(shù)據(jù)與云計算、智能信息處理、人工智能、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)等信息通信技術(shù)的應(yīng)用，使得智能電網(wǎng)面臨著病毒、特洛伊木馬、系統(tǒng)漏洞、DDoS等各種攻擊，傳統(tǒng)以物理保護為主的電網(wǎng)安全防護體系帶來了挑戰(zhàn)。下文將介紹和分析電力行業(yè)可能的信息安全漏洞。

1.1 信息泄露

信息泄露是一個嚴峻的話題，國企和事業(yè)單位往往由于各項公共服務(wù)需要用戶提交各種信息，電網(wǎng)作為能源供應(yīng)的運營商，更不例外。同時，電網(wǎng)公司內(nèi)部有很多秘密信息需要確保安全。信息泄露是一項由于Web服務(wù)器權(quán)限設(shè)置不當、操作不規(guī)范以及沒有正確處理一些特殊的用戶請求和業(yè)務(wù)導(dǎo)致敏感信息如用戶名、秘密、后臺源代碼、服務(wù)器配置信息和其他文件路徑等等。泄露的信息容易遭受惡意人員利用，為后續(xù)的攻擊提供墊腳石。在企業(yè)級Web應(yīng)用中，信息泄露包含有：數(shù)據(jù)庫信息泄露、網(wǎng)站配置信息泄露、網(wǎng)站目錄結(jié)構(gòu)信息泄露等[10]。

1.2 跨站腳本漏洞

XSS跨站腳本（Cross-Site Scripting，XSS）白1996年誕生以來，如今已經(jīng)歷十多年的演化。由于和另一種網(wǎng)頁技術(shù)一層疊樣式表（ Cascading StyleSheets，CSS）的縮寫一樣，為了防止混淆，故把原本的CSS簡稱為XSS。在各種WEB應(yīng)用安全漏洞中，XSS跨站腳本攻擊漏洞一直被OWASP（ OpenWeb Application Security Project）組織評為十大應(yīng)用安全中的其中之一。

不發(fā)分子會利用跨站腳本將惡意代碼注入到用戶瀏覽的網(wǎng)頁上，是因WEB應(yīng)用程序?qū)τ脩糨斎脒^濾不足而產(chǎn)生的，當用戶瀏覽這些網(wǎng)頁時，就會執(zhí)行其中的惡意代碼。由于HTML代碼和客戶端JavaScript腳本可以在他人的瀏覽器上執(zhí)行，非法獲取用戶敏感信息或者控制Web客戶端的邏輯。在這個基礎(chǔ)上，黑客可以輕易地發(fā)起Cookie竊取，會話劫持，釣魚欺騙等各種各樣的攻擊。通常情況下，我們既可以把XSS理解成一種WEB應(yīng)用安全漏洞，也可以理解成一種攻擊手段。endprint

1.3 SQL注入漏洞

SQL是數(shù)據(jù)庫查詢和操作語言，SQL注入是將將SQL代碼插入或者添加到輸入?yún)?shù)中提交給服務(wù)器，服務(wù)器如果沒有對SQL語句檢測和過濾就解析和執(zhí)行，你們攻擊者的惡意目的也就得成。例如某網(wǎng)站的登錄系統(tǒng)需要輸入用戶名和密碼，將用戶名admin和密碼SdfG#345！提交給后臺SQL執(zhí)行.最終執(zhí)行Select * from table where user=‘a(chǎn)dmin，andpwd=‘SdfG#345！。但是如果用戶在密碼中輸入123，or ‘1=1，后臺運行Select * from table whereuser=‘a(chǎn)dmin，and pwd=‘123or ‘1=1。該語句where條件恒為true，可以登錄成功，其他用戶也可以用此密碼成功登錄，如圖2所示。如果管理員沒有對SQL語句參數(shù)審查，攻擊者就可以利用相應(yīng)的語言邏輯漏洞來越權(quán)非法操作。

1.4 任意文件包含漏洞

由于開發(fā)人員編寫源碼時將可重復(fù)使用的代碼寫入到單個的文件中，并在需要的時候?qū)⑺鼈儼谔厥獾墓δ艽a文件中，這樣被包含文件中的代碼就會被解釋執(zhí)行。如果沒有針對代碼中存在文件包含的函數(shù)入口做過濾，就會導(dǎo)致客戶端可以提交惡意構(gòu)造語句提交，并交由服務(wù)器端解釋執(zhí)行。文件包含攻擊可能存在于WEB服務(wù)器源碼里的include（）此類文件包含操作函數(shù)附近，通過客戶端構(gòu)造提交文件路徑，是該漏洞攻擊成功的最主要原因。

1.5 目錄遍歷漏洞

通常網(wǎng)頁URL地址由http：//力口域名再加路徑組成，攻擊者可以在URL中有意義的目錄中附加“../”、或者附加其他一些特殊字符來獲取其他目錄，完成目錄跳轉(zhuǎn)，獲取各個目錄的敏感文件。導(dǎo)致攻擊者能夠訪問授權(quán)之外的目錄和文件，甚至執(zhí)行命令，危害極大。

1.6 任意文件上傳漏洞

文件上傳漏洞是指允許用戶上傳任意文件，這樣網(wǎng)絡(luò)攻擊者可以上傳危險內(nèi)容或惡意代碼到服務(wù)器并執(zhí)行。任意文件上傳漏洞的技術(shù)門檻低、容易實施。例如，某PHP源代碼網(wǎng)站沒有嚴格限制上傳文件的后綴名和實際文件類型，這樣攻擊者就可以上傳PHP文件并傳遞給PHP解釋器執(zhí)行，就可以遠程執(zhí)行任意PHP腳本，實施不法入侵行為。

1.7 越權(quán)訪問漏洞

越權(quán)訪問（Broken Access Control，簡稱BAC）是指應(yīng)用在檢查授權(quán)（ Authorization）時存在紕漏，使得攻擊者可以利用一些方式繞過權(quán)限檢查，訪問或者操作到原本無權(quán)訪問的代碼或內(nèi)容。比如直接繞過網(wǎng)站登錄界面訪問后臺管理。Web系統(tǒng)在用戶進行后臺登陸時進行有效過濾，常見的過濾檢測技術(shù)有：JavaScript驗證、Cookies驗證、Session驗證和數(shù)據(jù)庫信息匹配驗證。攻擊者了解了驗證機制后，可以據(jù)其原理進行針對性繞過。例如：為了避過Web應(yīng)用程序進行JavaScript身份驗證，攻擊者可以使用瀏覽器關(guān)閉JavaScript函數(shù)，直接訪問后臺管理。

1.8 社會工程學

以上都是單純的技術(shù)層面的漏洞，而社會工程學更多的是利用心理學弱點、本能、好奇心、信任、貪婪的心理，通過欺騙他人獲取自身利益。社會工程學不同于一般的欺騙手段，特別是復(fù)雜的社會工程，即使是最警惕和小心的人，同樣會被精明的社會工程損害利益，近年來的網(wǎng)絡(luò)電信詐騙很多就是利用社會工程學。社會工程學具有以下特點：

社會工程通常是以交談、假冒或錄制他人說話，制作陷阱欺騙受害者，從合法用戶套取秘密和獲取利益。社會工程學是一種與普通詐騙不同層次技能的手法，社會工程需要根據(jù)對方的實際情況，收集大量的信息，利用人的弱點進行心理戰(zhàn)術(shù)攻擊，防不勝防。

2 信息安全攻防演練實戰(zhàn)

隨著電力信息系統(tǒng)的壯大發(fā)展，各類業(yè)務(wù)的復(fù)雜和信息系統(tǒng)的壯大，針對電力行業(yè)信息系統(tǒng)的各種安全隱患也在不斷增多，為保證電網(wǎng)信息系統(tǒng)的安全穩(wěn)定運行，要求管理和維護人員都要與時俱進的掌握電網(wǎng)各類信息系統(tǒng)存在的安全隱患和相關(guān)的安全知識及必要技能。但由于開發(fā)者技術(shù)水平的差異和安全意識的不足，使得電網(wǎng)企業(yè)線上信息系統(tǒng)仍存在較多安全風險和漏洞，一旦惡意攻擊蔓延開來，將給電力行業(yè)造成巨大的損失。故此需要信息安全技術(shù)人員熟練掌握電網(wǎng)信息系統(tǒng)各類漏洞被攻擊的方法和原理，有針對性的做好白身系統(tǒng)的安全防護，提高信息安全意識和突發(fā)網(wǎng)絡(luò)攻擊的應(yīng)急處理能力。因此，通過對網(wǎng)絡(luò)攻防靶場實戰(zhàn)核心系統(tǒng)的研究及應(yīng)用，提升對電網(wǎng)新型漏洞的分析及攻防演練能力，以滿足企業(yè)信息化發(fā)展的需要。

2.1 信息安全攻防演練的平臺環(huán)境

網(wǎng)絡(luò)攻防靶場總體構(gòu)架如圖3所示，通過電網(wǎng)行業(yè)的特點結(jié)合企業(yè)Web系統(tǒng)中常見的漏洞缺陷，采用高仿真的網(wǎng)絡(luò)攻防靶場進行信息安全攻防演練。

研究基于云平臺、支持遠程訪問和操作的網(wǎng)絡(luò)攻防靶場平臺，提供動態(tài)和可定制的培訓(xùn)課題庫及網(wǎng)絡(luò)攻防工具庫，保障網(wǎng)絡(luò)靶場的實時性及擴展性，靈活應(yīng)對新形勢下的各種網(wǎng)絡(luò)安全隱患，將電力行業(yè)實際安全問題進行定制性仿真復(fù)現(xiàn)，對實際安全脆弱點的攻防進行研究，提升信息安全管理人員和信息系統(tǒng)運維人員的信息安全技能。

2.2 信息安全攻防演練的實施

在攻防演練對抗實施過程可劃分為單兵作戰(zhàn)模式和紅藍對抗兩個階段。

（1）單兵作戰(zhàn)

在解題模式CTF賽制中，參賽隊伍可以通過互聯(lián)網(wǎng)或者現(xiàn)場網(wǎng)絡(luò)參與，這種模式的CTF競賽與ACM編程競賽、信息學奧賽比較類似，通過解決網(wǎng)絡(luò)信息安全攻防題目闖關(guān)。這些題目可能涉及到信息安全技術(shù)的方方面面，比如密碼技術(shù)、數(shù)字簽名技術(shù)、身份認證技術(shù)、漏洞滲透技術(shù)、腳本編程以及網(wǎng)絡(luò)空間安全法等相關(guān)法律規(guī)定。主要目的是考察電網(wǎng)信息安全技術(shù)人員的基本知識和對常見漏洞的實際操作，重點掌握黑客漏洞攻擊的最基本原理并且會使用常見的安全攻擊，如BurpSuit、AWVS、NMap等。同時，攻防演練中需要對漏洞和安令風險講行修補加固.單兵作戰(zhàn)界而如圖4所示.

（2）紅藍對抗

根據(jù)電網(wǎng)現(xiàn)實的安全漏洞情況，將信息安全設(shè)備及其軟件、網(wǎng)絡(luò)設(shè)備及其軟件、信息資產(chǎn)等進行仿真蜜罐技術(shù)復(fù)現(xiàn)，搭建模擬實際信息網(wǎng)絡(luò)的典型網(wǎng)絡(luò)攻防仿真平臺，提供紅對抗攻防演練，紅方發(fā)動對藍方網(wǎng)絡(luò)攻擊，挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對手服務(wù)來得分；藍方修補自身服務(wù)漏洞加固系統(tǒng)防守攻擊避免丟分。一個回合后，紅藍雙方對換角色繼續(xù)攻防對抗。紅藍對抗可以實時反映出賽進展的得分情況，競爭十分激烈。在紅藍對抗中，不僅考察個人技術(shù)能力，團隊成員之間的分工與合作也十分重要。紅藍對抗結(jié)合單兵作戰(zhàn)的個人攻防能力訓(xùn)練點，實時局域網(wǎng)漏洞滲透入侵，藍方結(jié)合網(wǎng)絡(luò)攻擊出現(xiàn)的異常情況應(yīng)急響應(yīng)，分析攻擊行為，修補漏洞和加固系統(tǒng)，抵抗攻擊并實時防守。圖5是一次團隊攻防演練的實施結(jié)果。

3 結(jié)論

智能電網(wǎng)是傳統(tǒng)電網(wǎng)與信息技術(shù)融合的新型電網(wǎng)。隨著信息技術(shù)的快速發(fā)展，信息安全作為信息技術(shù)的一個重要部分正在深刻地影響著人們的T作和生活?？萍嫉陌l(fā)展給人們帶來方便的同時，也暴露出了很多安全問題，特別是近年來，如信息泄漏，SQL注入漏洞和網(wǎng)絡(luò)的滲透、黑客攻擊等信息安全事件頻發(fā)，給互聯(lián)網(wǎng)界造成了難以挽回的損失。面對網(wǎng)絡(luò)技術(shù)的發(fā)展和網(wǎng)絡(luò)空間的復(fù)雜性，電力行業(yè)作為一種能量供應(yīng)，涉及國有資產(chǎn)的絕大部分信息、商業(yè)價值和國家機密。但是龐大的信息數(shù)據(jù)有著巨大的價值，使得電網(wǎng)企業(yè)信息網(wǎng)絡(luò)容易遭受黑客攻擊、造成信息泄露風險的可能性是非常大的。這些年來，攻擊智能電網(wǎng)信息系統(tǒng)和用戶數(shù)據(jù)的現(xiàn)象經(jīng)常發(fā)生，為電網(wǎng)的安全運行和供電的可靠性帶來了非同一般的影響。根據(jù)電力行業(yè)的特點，本文探討了電力行業(yè)中網(wǎng)絡(luò)攻防演練的意義和價值，通過分析電網(wǎng)信息系統(tǒng)中常見的安全風險和漏洞，并針對電力行業(yè)信息網(wǎng)絡(luò)漏洞的特點提出了網(wǎng)絡(luò)攻防靶場的建設(shè)和實施方案和處理突發(fā)信息安全事件的應(yīng)急處置能力，以保障電網(wǎng)企業(yè)信息系統(tǒng)安全，間接地確保電網(wǎng)安全穩(wěn)定可靠運行。endprint