導(dǎo)語(yǔ)：電網(wǎng)信息安全建設(shè)論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：為應(yīng)對(duì)高級(jí)持續(xù)性威脅和針對(duì)性攻擊，海南電網(wǎng)應(yīng)用威脅發(fā)現(xiàn)設(shè)備加強(qiáng)信息安全建設(shè)，在實(shí)際應(yīng)用中取得了較好的效果，同時(shí)也對(duì)進(jìn)一步提升安全管控進(jìn)行了思考與總結(jié)。

關(guān)鍵詞：威脅發(fā)現(xiàn)設(shè)備；信息安全；安全管控

1引言

隨著海南電網(wǎng)有限責(zé)任公司信息化建設(shè)迅速發(fā)展，網(wǎng)絡(luò)覆蓋面不斷擴(kuò)大，主機(jī)與終端接入數(shù)量日益增加，信息安全形勢(shì)也變得愈加嚴(yán)峻。近年來(lái)，國(guó)家對(duì)信息安全的重視程度不斷加強(qiáng)，同期的信息安全攻擊事件也不斷爆發(fā)，如2015年烏克蘭電網(wǎng)遭遇突發(fā)停電事故，以色列電力局遭受嚴(yán)重網(wǎng)絡(luò)攻擊等事件，對(duì)電網(wǎng)公司信息安全建設(shè)敲響了警鐘。電網(wǎng)信息安全防護(hù)主要包括網(wǎng)絡(luò)安全防護(hù)、主機(jī)安全防護(hù)和終端安全防護(hù)，目前網(wǎng)絡(luò)和主機(jī)由信通公司進(jìn)行集中運(yùn)維管理，管理規(guī)范，安全程度較高。終端安全防護(hù)由各供電局信息技術(shù)人員進(jìn)行管理，由于終端數(shù)量較多，基層員工安全意識(shí)不足，終端的安全程度層次不齊，是目前安全防護(hù)方面的薄弱點(diǎn)。近年來(lái)，高級(jí)持續(xù)性威脅和針對(duì)性攻擊手段不斷出現(xiàn)，其具有抵御傳統(tǒng)安全防御、保持長(zhǎng)期不被檢測(cè)到的能力。IT消費(fèi)化和云計(jì)算等技術(shù)發(fā)展趨勢(shì)進(jìn)一步加劇了這些攻擊的嚴(yán)重性，削弱了外圍安保的作用，從而使網(wǎng)絡(luò)更容易遭到攻擊。通過(guò)對(duì)高級(jí)持續(xù)性威脅惡意軟件和隱蔽式攻擊者行為的檢測(cè)和深入分析，威脅發(fā)現(xiàn)設(shè)備可以檢測(cè)高級(jí)持續(xù)性威脅和針對(duì)性攻擊，并提供可見(jiàn)的報(bào)告和情報(bào)，大大提升了攻擊前的預(yù)測(cè)能力。

2技術(shù)背景

如今，高級(jí)持續(xù)性攻擊使用多階段方式來(lái)竊取重要數(shù)據(jù)——獲取入口點(diǎn)，下載其他惡意軟件，打開(kāi)后門程序訪問(wèn)，找到并危害目標(biāo)系統(tǒng)，然后上傳數(shù)據(jù)。盡管終端電腦數(shù)據(jù)危害可快速發(fā)生，但從初始入侵到目標(biāo)數(shù)據(jù)受到危害通常需要幾天或幾周的時(shí)間。實(shí)際發(fā)現(xiàn)并完全抑制危害所用的時(shí)間可能為幾個(gè)月。在此期間，企業(yè)網(wǎng)絡(luò)中潛伏著入侵者，其目的是持續(xù)危害重要數(shù)據(jù)，整個(gè)過(guò)程如圖1所示。威脅實(shí)施者情報(bào)收集外部暫存服務(wù)器入口點(diǎn)C&C服務(wù)器橫向移動(dòng)感興趣的數(shù)據(jù)文件存儲(chǔ)數(shù)據(jù)庫(kù)高級(jí)持續(xù)性威脅和針對(duì)性攻擊已證明可避開(kāi)標(biāo)準(zhǔn)外圍、網(wǎng)絡(luò)和端點(diǎn)安全防御的能力。威脅發(fā)現(xiàn)設(shè)備專門用于檢測(cè)高級(jí)持續(xù)性威脅和針對(duì)性攻擊——在攻擊生命周期的各個(gè)階段識(shí)別反映高級(jí)惡意軟件或攻擊者活動(dòng)的惡意內(nèi)容、通信和行為。威脅發(fā)現(xiàn)設(shè)備使用3個(gè)層面的檢測(cè)方案來(lái)執(zhí)行初始檢測(cè)，然后進(jìn)行模擬和關(guān)聯(lián)，最后通過(guò)最終的交叉關(guān)聯(lián)發(fā)現(xiàn)隱蔽的高級(jí)持續(xù)性威脅活動(dòng)以及其他只有通過(guò)長(zhǎng)期觀察才能發(fā)現(xiàn)的隱蔽活動(dòng)。

3應(yīng)用效果

采用威脅發(fā)現(xiàn)設(shè)備監(jiān)控外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的流量交互，從3個(gè)層面的檢測(cè)方案來(lái)執(zhí)行初始檢測(cè)，分別是惡意內(nèi)容、可疑通信和攻擊行為，其中惡意內(nèi)容檢測(cè)包含3個(gè)方面對(duì)包含嵌入文檔漏洞的電子郵件、隱蔽強(qiáng)迫下載鏈接和零日攻擊與已知惡意軟件進(jìn)行檢測(cè)，采用解碼與解壓縮嵌入文件，對(duì)可疑文件進(jìn)行沙盒模擬，對(duì)瀏覽器漏洞套件檢測(cè)和對(duì)惡意代碼掃描等技術(shù)；可疑通信檢測(cè)包含2個(gè)方面，分別是針對(duì)僵尸病毒、下載軟件、數(shù)據(jù)竊取、蠕蟲(chóng)病毒和混合性威脅的對(duì)外連網(wǎng)通信和攻擊者實(shí)施的后門程序活動(dòng)進(jìn)行檢測(cè)，通過(guò)動(dòng)態(tài)列入黑名單、白名單進(jìn)行的目標(biāo)分析技術(shù)，云計(jì)算安全智能防護(hù)網(wǎng)絡(luò)URL信譽(yù)和通信行為識(shí)別規(guī)則技術(shù)實(shí)現(xiàn)；攻擊行為檢測(cè)包含3個(gè)方面，分別是惡意軟件活動(dòng)（傳播、下載、發(fā)送垃圾郵件等），攻擊者活動(dòng)（掃描、暴力攻擊、服務(wù)漏洞利用等），數(shù)據(jù)隱蔽泄露，通過(guò)基于規(guī)則的啟發(fā)式分析，對(duì)80多種協(xié)議和應(yīng)用程序的使用情況進(jìn)行識(shí)別和分析。在海南電網(wǎng)投入使用以來(lái)，月均檢測(cè)高威脅惡意和攻擊行為約80條，高威脅可疑行為約1300條，為海南電網(wǎng)的安全防護(hù)體系起到了重大作用，對(duì)終端防護(hù)工作指明了問(wèn)題點(diǎn)，大大提高了終端安全管控水平。

4結(jié)束語(yǔ)

威脅發(fā)現(xiàn)設(shè)備對(duì)海南電網(wǎng)安全防護(hù)水平的提升效果是顯著的，能夠有效指明安全隱患點(diǎn)和安全類型，隨著信息系統(tǒng)不斷建設(shè)和終端設(shè)備的不斷增加，現(xiàn)有的威脅發(fā)現(xiàn)設(shè)備逐漸達(dá)到性能極限，因此已針對(duì)這個(gè)情況，對(duì)威脅發(fā)現(xiàn)設(shè)備進(jìn)行了采購(gòu)補(bǔ)充，一定程度上緩解了這個(gè)問(wèn)題，但是如何在不降低安全防護(hù)水平的基礎(chǔ)上，有效降低設(shè)備的運(yùn)行負(fù)荷，是需要進(jìn)一步思考的問(wèn)題。另外雖然通過(guò)威脅發(fā)現(xiàn)設(shè)備能夠確定安全隱患點(diǎn)，但是由于基層信息技術(shù)人才匱乏，現(xiàn)場(chǎng)檢查確認(rèn)隱患設(shè)備的工作仍然巨大，如果僅完成高威脅惡意和攻擊行為的排查和確認(rèn)是在運(yùn)維能力極限范圍內(nèi)，一旦將高威脅可疑行為納入排查清理范圍內(nèi)，將大大加劇基層運(yùn)維人員工作壓力，如何進(jìn)一步將高威脅可疑行為進(jìn)行優(yōu)化分級(jí)是需要研究和思考的工作。

作者:陳習(xí) 覃巖巖 王寧 陳 寧 單位:海南電網(wǎng)有限責(zé)任公司信息通信分公司

參考文獻(xiàn)

[1]陳廣山．網(wǎng)絡(luò)與信息安全技術(shù)[J]．北京：機(jī)械工業(yè)出版社，2007

[2]張玉清．網(wǎng)絡(luò)攻擊與防御技術(shù)[J]．北京：清華大學(xué)出版社，2011

[3]吳銳．網(wǎng)絡(luò)安全技術(shù)[J]．北京：水利水電出版社，2012

[4]王輝，劉淑芬，張欣佳．信息系統(tǒng)“Insiderthreat”分析及其解決方案[J]．吉林大學(xué)學(xué)報(bào)(工學(xué)版)，2006(05)

[5]翁勇南．信息安全中內(nèi)部威脅者行為傾向研究[D]．北京交通大學(xué)，2007