电力信息网络在安全新威胁下的防护思考.docVIP

精品论文 参考文献 电力信息网络在安全新威胁下的防护思考 （1.安徽省电力公司信息通信分公司 230061； 　　2.安徽省电力公司信息通信分公司 230061；3.北京中电普华信息技术有限公司 100085） 　　摘要：针对于电力信息网络日益猖獗的攻击行为，利用目前企业中已有的安全防护设备，结合国内外针对APT攻击的安全研究技术，构建一套新型纵深防御体系模型，形成安全威胁防护闭环。 　　关键词：纵深防御；APT；大数据；威胁分析；威胁检测 　　1.电力信息安全新威胁 　　随着信息安全环境的恶化和安全威胁的日益严峻，攻击者的目标方式和攻击心理都正在发生快速变化。攻击者的动机已不仅仅在于炫耀技术，已从自我满足，无利益诉求转向团队化作战、获取商业、政治利益为目的的攻击方式，受政治、经济等多方面影响更具有功利性，攻击者形成利益群体，分工明确，目的性强，伴随着地下黑色产业链的利益效应，攻击者群体更为明确、专注的攻击目标，且行为更为隐藏，持续性时间可长达数年。此外，云计算、虚拟化、大数据、移动互联网等新技术在电力行业迅速应用，也不可避免的引入新的安全问题并对当前的信息安全防护能力提出新的挑战。 　　1.1网络威胁新动态 　　近些年来针对电力工控系统的攻击事件日益频繁，如席卷全球工业界的震网（Stuxnet）病毒攻击使得伊朗核工业基础设施遭到重创；代号夜龙（Night Dragon）的APT攻击使得5家跨国能源公司遭到攻击，超过千兆字节的敏感文件被窃，包括油气田操作的机密信息、项目融资与投标文件等；blackenergy APT攻击使得乌克兰多家电厂设施被感染，造成大面积停电，整个城市陷入恐慌，损失惨重。这一系列的安全事件，凸显了网络新型攻击的高威胁性，这里总结了新型网络攻击与企业防护能力的关系。 　　1）变种多、传播快 　　新型网络攻击为了能够躲避安全检测、防护类设备的识别，往往会进行一定程度的伪装，通过对代码进行混淆处理、攻击包碎片化或者恶意软件加壳等方式进行防护绕过，由于攻击者具有较强的目的性和持续性，在针对某个系统的一次攻击未成功发生的前提下，攻击者一般会变换攻击方式，对攻击包或者恶意软件进行进一步混淆化处理以为了能够绕过安全防护设备达到攻击效果。据统计40%的攻击会在1小时之内对下一个组织机构发起攻击，可见新型网络攻击的传播速度之快。 　　2）目标唯一性 　　新型网络攻击会在攻击发动之前对攻击目标的安全现状进行扫描分析并制定针对该攻击目标特定的攻击方式和攻击数据包，以为了减少攻击过程被目标网络安全设备阻挡的可能性，最大程度上确保攻击的成功率。据统计70%—90%的恶意文件样本对组织来说是唯一的，这也说明攻击具有极强的目的性。 　　3）高级持续性威胁 　　高级持续性威胁也就是通常所说的APT攻击，对于目前传统常规防御体系内的系统而言是对安全性的最大挑战。对于高级持续性威胁而言，高级体现在可绕过目前的防御系统，攻击者的攻击变种多，手段丰富；持续性体现在攻击者会不断进行攻击尝试，直到攻击成功进入目标系统，并且一旦进入，就可以成功躲避目前的检测系统，直到实现其攻击目的；威胁体现在这种攻击可造成极大危害，如长期占领受害系统可持续获取敏感信息，对受害系统进行定时定点针对性破坏等等。 　　所以，就目前传统的安全防护系统而言，安全设备之间相对孤立，设备之间缺乏联动，安全孤岛现象突出，在高级持续性威胁（APT）攻击面前束手无策，无法形成真正的安全体系。 　　2.新型纵深防御体系 　　2.1APT攻击防御方案 　　在之前的部分，讨论了当前的攻击者类型，及由此而来的新一代威胁；同时由于传统的安全技术很难应这种新型的威胁，因此进一步讨论了需要怎样的技术来应对。在这一章希望提供一些具体方案层面的建议。 　　正是因为传统安全防御机制在APT攻击下缺乏必要的监测能力，因此近年来有大量的建立较完善传统防御机制的企业被APT攻击者成功得手，针对APT攻击，国内外安全界一直保持持续关注和研究，并提出了多种不同的检测或预防技术，本文提出的威胁分析系统就是其中核心技术之一。 　　威胁分析系统可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。 　　系统共三个核心检测组件：病毒检测引擎、静态检测引擎（包含漏洞检测及shellcode检测）和动态沙箱检测引擎，通过多种检测技术的并行检测，在检测已知威胁的同时，可以有效检测0day攻击和未知攻击，进而能够有效地监测高级可持续威胁，其主要功能如下： 　　1）动态沙箱检测（虚拟执行检测） 　　动态沙箱检测，也称虚拟执行检测，它通过虚拟机技术建立多个不同的应用环境，观察程序在其中