仲思超 胡超 王占丰 摆亮
摘要:该文以江苏省电力行业网络安全态势为分析目标,主要对全省电力行业对外运营WEB网站和省内电力行业工业控制设备对外通联情况进行了分析,对发现的资产结合工业控制系统的典型漏洞,进行了WEB安全评估和漏洞安全评估,并对相关企业提出了安全建议,有效降低了省内电力行业的网络安全风险。
关键词:电力行业;关键信息基础设施;网络安全
中图分类号:TP393 文献标识码:A
文章编号:1009-3044(2019)09-0063-02
2016年4月19日,习近平在网络安全和信息化工作座谈会上指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。
电力行业是国民经济发展中最重要的基础能源产业,是经济发展和社会进步的基石。2017年6月1日正式施行的《网络安全法》明确提出“关键信息基础设施”的概念并对其范围进行了界定。近年来,关键基础设施领域已然成为网络攻击的重灾区,尤其是电力、交通、通信等行业受到黑客的格外“关注”。随着“互联网+”战略的深入实施,电力系统的信息网络规模越来越大,网络安全风险也随之增加。2018年9月,国家能源局印发了《关于加强电力行业网络安全工作的指导意见》,从多个方面对电力行业如何做好网络安全工作提出了要求。
1 背景
1.1行业发展情况
作为一种先进生产力的基础支撑产业,电力行业不仅在国民经济的发展中起到不可或缺的作用,而且与社会的稳定、人们的日常生活息息相关。江苏电力行业在我国电力行业中至关重要,它作为我国负荷最为密集、规模最大的省级电网,支撑着全国超过10%的经济体量。
2017年8月,江苏电网提出“要以欧美先进国家电网为标杆参照,建设世界一流电网,向国际高端迈进” 。 2018年,江苏省内电力已成交1845億千瓦时,规模居全国首位。目前,2019年江苏电力市场主体注册及绑定工作正式启动,申请市场主体已超过2.5万家,是今年的6倍多,预计电量规模达2577亿千瓦时,超过今年全年交易规模。
1.2面临的安全挑战
随着江苏电力业的网络化和智能化快速发展,其主要面临以下几个方面的网络安全威胁和挑战:
首先,电力企业发展带来的挑战。随着江苏电力交易品种的增加,注册入市的工商业用户数量增加,这会使其业务流程复杂化,以及管理权限复杂化,还有数据共享关系复杂化,这些都会对电力企业带来不可忽视的风险。
其次,系统的设计缺陷带来的安全问题。电力系统应用了大量IT通用软件以及电力专用软件,其涉及的操作系统、业务软件、数据库、以及中间件等都可能存在设计缺陷和漏洞。当管理系统尤其是生产管理系统与互联网连接时,攻击者可通过利用漏洞向电力系统植入病毒、木马等恶意软件进而窃取系统中的重要信息和数据,甚至尝试控制和破坏系统。
再次,管理机制不完善所引发的安全风险。由于管理制度不健全,仍有不少电力系统没有采用相关的安全防范手段将其隐蔽于内网,或通过防火墙等设施来进行防护,这些直接暴露在公网中的系统给黑客进行攻击和破坏带来了极大的便利。
2 电力行业互联网暴露资产
2.1工控设备暴露情况
通过对江苏省内相关设备的联网情况进行的多轮探测,发现江苏省内共12个电力设备暴露在互联网并存在CVE漏洞,且供应商均为Siemens,这些设备大部分使用S7comm、SNMP协议。设备分布在南京(3台)、苏州(3台)、常州(2台)、淮安(2台)、镇江(1台)和无锡(1台)等6个设区市,这些暴露在公网当中的设备,易导致恶意攻击行为的发生,具有较大的危险性。
2.2电力行业网站和系统
通过对江苏省电力行业相关关键字进行检索查找后,获得了1108个江苏省内电力行业相关网站,再通过自动化和人工双重验证,共发现暴露在公网上江苏省电力行业网站和系统有28个存在漏洞,其中暴露的各类电力门户网站15个、监控平台3个、OA系统2个、能源管理平台2个、需求侧管理平台2个,以及其他平台4个。这些网站和系统分布于江苏省内7个设区市,其中,南京市暴露的Web资产数量最多,总共包含8个门户网站、2个需求侧管理平台以及两个其他类型电力Web资产,具体数据如图1所示。
3 电力行业资产安全漏洞风险分析
3.1存在漏洞及其影响
我们对江苏省电力行业在互联网上暴露的资产进行分析,并对存在的漏洞进行了整理,共发现暴露资产主要存在以下几个类型的高危安全漏洞:
1)CVE-1999-1011漏洞(评分为10):其为IIS 3.x和4.x中的Microsoft数据访问组件(MDAC)的远程数据服务(RDS),该漏洞将允许远程攻击者执行任意命令。
2)CVE-2012-2379漏洞(评分为10):受该漏洞影响的Web主要是使用由IONA技术公司开发的服务引擎:Apache CXF,该漏洞会造成全面的信息泄露,利用该漏洞,攻击者可使受影响的资源完全不可用,而且,使用该漏洞并不需要很多的专业知识,且不需要身份验证。
3)CVE-2008-4114漏洞(评分为9.8):该漏洞允许远程攻击者导致拒绝服务(系统崩溃),或者可能通过SMB WRITE_ANDX数据包影响未指定的其他服务,其偏移量与数据包大小不一致,且与“未充分验证缓冲区大小”相关。
4)CVE-2008-0413 漏洞(评分为9.3):受该漏洞影响的Web主要是使用Mozilla Firefox 的引擎,该漏洞导致所有系统文件被泄露,系统保护完全丧失,导致整个系统受到损害。
3.2工控设备安全态势
在本次对江苏省电力设备的测试中,共发现6715个不同的CVE漏洞分布在12个电力设备中,我们将从漏洞危险等级以及漏洞出现次数,这两个维度对CVE漏洞在江苏省电力设备漏洞的分布情况进行分析。
首先,对CVE漏洞在12个工控设备中的出现频次进行分析发现,暴露出的漏洞在不同的工控设备中,重复频次高于20%的仅占24%,因而对于工控设备的漏洞处理,需要针对不同的工控设备进行有个性化的处理。
其次,分析各设区市暴露的工控设备后发现,尽管各设区市暴露的设备数仅有1-3台,但是常州、淮安及苏州暴露出的CVE漏洞数量很多,且对其CVE漏洞进行具体分析时,发现这几个城市的工控设备存在的中高危漏洞比例也较高。
从江苏省电力行业工控设备安全态势来看,安全威胁指数较高的主要集中于长江以南城市,这些城市经济较为发达,电力设备较为丰富,其电力工控设备安全威胁指数高。
3.3电力行业网站安全态势
对江苏省电力行业网站的检测发现,1722个不同的CVE漏洞分布于28个网站中,图2列出了网站暴露漏洞数量较多的前10个,其中****交易中心有限公司暴露CVE漏洞数高达7737个。
从江苏省电力行业网站和系统设区市分布来看,同样集中在省内较为发达城市。从****交易中心网站上可以得知江苏省各设区市城市的发电企业个数、电力用户个数以及售电公司个数,通过分析各设区市电力行业网站安全威胁指数与相关电力企业的关系,可以推断出,售电公司个数越多的城市,Web资产受威胁程度越高。
4 措施及实施效果
本次对江苏省电力行业相关网络设备和资产的探测发现了目前省内一些暴露在互联网中的漏洞,这些漏洞一旦被网络中的恶意攻击者利用,可能会对这些设备、网站甚至相关的电力系统带来严重的影响。为此,在对探测数据整理的基础上,将探测结果向相关企业进行了通告说明,并提出了相关的安全防护建议,这些建议包括:
隔离:江苏省目前有不少的电力网站或系统暴露在互联网上,特别是一些工控设备的指纹信息也都能通过探测工具扫描得到,针对这些工控设备和系统的最好处理方法是及时将其隔离出去,不再直接连接到互联网。
安全更新:目前探测得到的大部分CVE漏洞仅存在于特定的系统版本,建议通过部署最新的漏洞签名以获得更多保护。
安全评估和渗透测试:建议针对系统内包含敏感信息或是关键基础设施的环境进行测试,聘请或建设专业安全评估队伍和滲透测试专家长期对资产进行评估。
同时,为了避免在遭受攻击后无法溯源的状况,建议电力企业建立完善的日志和监测系统,用以识别攻击以及在安全事件发生后溯源、重构,监测能力应扩展到应用程序、操作系统和网络级别。
在实施上述工作措施之后,对前期发现的电力行业资产安全风险再次进行了评估,风险等级显著下降。目前所有发现的工控设备全部都进行了隔离,近1/3的电力行业网站进行了相应的安全更新或对系统进行下线,整体安全态势得到了极大提高。
5 总结
通过本次对江苏省电力行业的工控设备以及互联网网站的分析,发现在江苏电力工控设备中存在着不少危险等级较高的漏洞;同时,网站中也存在着许多出现次数频繁且危险等级较高的漏洞。针对上述暴露的问题,对相关企业进行了通告,并提出了相应的建议和改进措施。探测结果表明,这些措施的实施,有效提高了江苏省电力行业的网络安全态势水平,降低了安全风险。
参考文献:
[1] 唐旺,宁华.落实国家网络安全法 识别认定关键信息基础设施[J].西安电子科技大学学报:社会科学版,2016(6).
[2] 尹丽波.网络安全法将促进国家关键信息基础设施保护新局面[J].中国信息安全, 2015(8).
[3] 于浩.关键信息基础设施防护是网络安全的重中之重[J].中国人大,2017(23).
[4] 陈伟,鲍慧.电力系统网络安全体系研究[J].电力系统通信,2008(1).
[5] 宋璟.我国智能电网发展面临的威胁及建议[J].中国信息安全, 2015(9).
[6] 国家能源局.关于加强电力行业网络安全工作的指导意见[EB/OL]. http://zfxxgk.nea.gov.cn/auto93/201809/t20180927_3251.htm.
[7] 朱亚飞,杨文保,许强, 等.多层面探究电力系统信息网络安全问题的分析[J].通讯世界,2017(4).
【通联编辑:谢媛媛】