◆杨浩 张建 陈丽
(国网甘肃省电力公司信息通信公司甘肃 730050)
随着时代的发展,电力企业的信息化应用已经越来越普及,随之而来的,网络信息系统的安全性也受到越来越高的关注,电力信息网络系统主要包含配电、传输和用电资料、管理信息业务资料等,一旦出现信息泄密、篡改或停机的情况,会造成较大范围的社会影响,影响国民生活甚至引发国民恐慌,因此,对于电力企业的网络信息安全的防范至关重要。
(1)时代背景
随着时代的发展,电力企业的网络信息化应用越来越普及,信息化的应用能够让工作效率更高,计算机能够通过自动化、智能化的系统实现电子业务、智能输电等,对配电数据的存储和调用也会更加方便,可以说网络信息化的应用是时代趋势,是大前提。在这种大前提下,也要看出我国关于电力信息网络安全的防护并不是非常出色,受限于网络技术的发展,大部分电力企业的网络信息安全仍有不足之处。
(2)防范内容[1]
这一点可以从小方向和大方向分析,从小方向上分析,互联网大环境并不良好,在使用计算机时很可能在不知不觉间感染上网络病毒,这些网络病毒就像是生物病毒一样,挂载在文件、网页、邮件上,传播性较广,不过现在的电力企业多采用“安全分区、横向隔离”的方式,将信息系统进行内、外网分离,内网与外网的连接主要通过认证后加密的移动储存介质和逻辑强隔离设备,能够有效保护内网的信息安全,同时,这些传播性很广的网络病毒解决起来相对简单,基本上防火墙就可以抵消掉大多数病毒攻击。而从大方向上分析,对电力企业网络信息安全最大的威胁更多的来自黑客攻击,电力企业网络信息系统和现代社会生活紧密相连,一旦出现断电情况后果不堪设想,轻者影响国民生活,重者造成社会恐慌,不法分子以此为要挟进行非法攻击,造成破坏或盗取电力企业的高度机密,网络攻击对电力企业的运营主要有勒索病毒、DDoS攻击、APT攻击、漏洞、恶意软件等,很可能造成员工及用户资料泄露,商业机密信息泄露,核电站无法工作等等。
(3)电力企业网络信息安全事故实例
2019年3 月,黑客利用思科防火墙中的已知漏洞针对美国犹他州的可再生能源电力公司发起了拒绝服务(DDoS)攻击,导致该电力企业的控制中心和其各个站点的现场设备之间的通信中断。
2019年7 月,南非最大的城市约翰内斯堡发生了一起针对City Power电力公司的勒索软件攻击,该病毒加密了所有数据库、应用程序、Web Apps、以及官方网站,攻击使得预付费用户无法买电、充值、办理发票或访问City Power的官方网站,影响了数周时间。
2019年7 月,乌克兰南部的核电站出现严重安全事故,数名雇员将核电厂内部网络连上了公共网络,以供其挖掘加密货币。
2020年4 月,葡萄牙跨国能源公司(天然气和电力)EDP(Energias de Portugal)遭Ragnar Locker勒索软件攻击,勒索者以葡萄牙跨国能源公司10TB的敏感数据文件做要挟,意图获取非法赎金。
2020年6 月,巴西的电力公司Light S.A被黑客勒索1400万美元的赎金,分析为 Sodinokibi勒索软件,可利用Windows Win32k组件中 CVE-2018-8453漏洞来提升特权,该勒索软件系列没有全局解密器,这意味着需要攻击者的私钥才能解密文件。
这些都是最近才发生的例子,可以看出电力公司的网络信息安全防护已经迫在眉睫。
在2019年5月,我国发布了《网络安全等级保护制度(简称等保)2.0标准》(简称等保),如下图1 所示,就是对网络信息安全的最根本要求,本文以等保2.0标准为基础来解读电力企业信息系统的构建,将更有说服力。
图1 等保2.0示意图
可以看出,电力企业网络信息安全可以从“技术要求”和“管理要求”两方面来构成基本框架,技术要求范围广泛,分了“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”、“安全管理中心”五项,逐一分析:
(1)安全物理环境:安全物理环境指系统所在的自然环境,保护网络信息系统不受到火灾、漏水、雷击、静电、温湿度、等物理因素对设备电路的破坏,同样也包括人为损坏或偷窃等现象;
(2)安全通信网络[2]:安全物理环境主要从网络和安全设备硬件、软件以及网络通信协议三个方面来说,是安全性的主体,是交换机、路由器、防火墙等网络基础设施的结构,是对资源的监视与控制,如下图2所示;
(3)安全区域边界:指在网络架构安全层面上,应对网络划分安全域,为各区域分配不同的网络地址,对不同的安全域采取不同等级的保护措施,对重要网络区域做出重点保护,架构设计应考虑业务高峰时期网络承载力,并提供通信线路、关键网络设备的硬件冗余,保证系统的可用性;
(4)安全计算环境:这一点主要指身份验证和访问权限控制,控制访问权限,入侵防范,封闭不需要的系统服务和高危端口或账户,防止网络设备非法登录,应采用口令、密码技术、生物技术两种或两种以上的鉴别技术,在检测到对重要节点的入侵时,应能够给出严重入侵时间报警;
(5)安全管理中心:即是对全局的统筹规划,建立专项部门实现统一管理、统一监控、统一审计、综合分析且协同防护,如下图3所示。
图2 信息系统防护常用软件
图3 安全管理中心
而“管理要求”则是包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,简单来说就是建立优秀的管理机构和管理人员,创建完善的管理制度,以维持对网络信息系统的安全性管理,这一点不再详细介绍。
(1)技术层面安装防护软件:在技术层面,安装网络信息安全的防护软件,可参考图2,能满足各方面的要求,鉴于电力企业并非专业的网络从业者,有必要和社会上先进的网络信息企业合作。
(2)安全防护逐步升级:首先,电力企业基础的网络安全设备、防火墙、防病毒等措施能过滤到非常多的病毒,其次,黑客攻击要么通过数据库触发器、要么通过网络旁路,都会在网络上留下操作痕迹,电力企业细化登录账户、检测和权限,完善用户操作行为链,是重中之重,最后,通过对登录账户大数据的处理,持续开发访问信息的价值,分析操作用户的行为,对不合理行为检测和报警,并采取专项防护手段。
(3)加强“管理要求”:电力企业成立网络信息安全部门,对部门员工乃至于全体员工加强网络安全教育,普及相关知识,提高网络安全保密意识,制定网络信息安全制度,要求严格遵守[3]。
(4)网络安全漏洞扫描:根据模拟网络攻击的方式,提前获取可能会被攻击的薄弱环节,为系统安全提供可信的分析报告,发现未知漏洞并且及时修补已发现的漏洞。
(5)文件加密:对所有文件包括进行加密,再使用时需要用采用口令、密码技术、生物技术两种或两种以上的鉴别技术才能获取使用。
(6)数据备份与恢复:对网络信息数据进行备份,将备份数据存储在其他安全区域,实行最高权限保护,确保系统或数据受损时,能够迅速和安全地将系统和数据恢复,避免电力企业因系统攻击而瘫痪无法正常工作[4]。
电力企业的网络信息安全非常重要,近几年不断发生电力企业受到网络攻击的安全事故,基于此,本文围绕等保标准2.0进行分析,分析了网络信息安全应该注意的几个方面,并结合实际工作经验给出了几点建议,希望能对我国的电力企业网络信息安全有所帮助。