導(dǎo)語：電網(wǎng)信息安全建設(shè)論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：為應(yīng)對高級持續(xù)性威脅和針對性攻擊，海南電網(wǎng)應(yīng)用威脅發(fā)現(xiàn)設(shè)備加強信息安全建設(shè)，在實際應(yīng)用中取得了較好的效果，同時也對進一步提升安全管控進行了思考與總結(jié)。

關(guān)鍵詞：威脅發(fā)現(xiàn)設(shè)備；信息安全；安全管控

1引言

隨著海南電網(wǎng)有限責(zé)任公司信息化建設(shè)迅速發(fā)展，網(wǎng)絡(luò)覆蓋面不斷擴大，主機與終端接入數(shù)量日益增加，信息安全形勢也變得愈加嚴(yán)峻。近年來，國家對信息安全的重視程度不斷加強，同期的信息安全攻擊事件也不斷爆發(fā)，如2015年烏克蘭電網(wǎng)遭遇突發(fā)停電事故，以色列電力局遭受嚴(yán)重網(wǎng)絡(luò)攻擊等事件，對電網(wǎng)公司信息安全建設(shè)敲響了警鐘。電網(wǎng)信息安全防護主要包括網(wǎng)絡(luò)安全防護、主機安全防護和終端安全防護，目前網(wǎng)絡(luò)和主機由信通公司進行集中運維管理，管理規(guī)范，安全程度較高。終端安全防護由各供電局信息技術(shù)人員進行管理，由于終端數(shù)量較多，基層員工安全意識不足，終端的安全程度層次不齊，是目前安全防護方面的薄弱點。近年來，高級持續(xù)性威脅和針對性攻擊手段不斷出現(xiàn)，其具有抵御傳統(tǒng)安全防御、保持長期不被檢測到的能力。IT消費化和云計算等技術(shù)發(fā)展趨勢進一步加劇了這些攻擊的嚴(yán)重性，削弱了外圍安保的作用，從而使網(wǎng)絡(luò)更容易遭到攻擊。通過對高級持續(xù)性威脅惡意軟件和隱蔽式攻擊者行為的檢測和深入分析，威脅發(fā)現(xiàn)設(shè)備可以檢測高級持續(xù)性威脅和針對性攻擊，并提供可見的報告和情報，大大提升了攻擊前的預(yù)測能力。

2技術(shù)背景

如今，高級持續(xù)性攻擊使用多階段方式來竊取重要數(shù)據(jù)——獲取入口點，下載其他惡意軟件，打開后門程序訪問，找到并危害目標(biāo)系統(tǒng)，然后上傳數(shù)據(jù)。盡管終端電腦數(shù)據(jù)危害可快速發(fā)生，但從初始入侵到目標(biāo)數(shù)據(jù)受到危害通常需要幾天或幾周的時間。實際發(fā)現(xiàn)并完全抑制危害所用的時間可能為幾個月。在此期間，企業(yè)網(wǎng)絡(luò)中潛伏著入侵者，其目的是持續(xù)危害重要數(shù)據(jù)，整個過程如圖1所示。威脅實施者情報收集外部暫存服務(wù)器入口點C&C服務(wù)器橫向移動感興趣的數(shù)據(jù)文件存儲數(shù)據(jù)庫高級持續(xù)性威脅和針對性攻擊已證明可避開標(biāo)準(zhǔn)外圍、網(wǎng)絡(luò)和端點安全防御的能力。威脅發(fā)現(xiàn)設(shè)備專門用于檢測高級持續(xù)性威脅和針對性攻擊——在攻擊生命周期的各個階段識別反映高級惡意軟件或攻擊者活動的惡意內(nèi)容、通信和行為。威脅發(fā)現(xiàn)設(shè)備使用3個層面的檢測方案來執(zhí)行初始檢測，然后進行模擬和關(guān)聯(lián)，最后通過最終的交叉關(guān)聯(lián)發(fā)現(xiàn)隱蔽的高級持續(xù)性威脅活動以及其他只有通過長期觀察才能發(fā)現(xiàn)的隱蔽活動。

3應(yīng)用效果

采用威脅發(fā)現(xiàn)設(shè)備監(jiān)控外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的流量交互，從3個層面的檢測方案來執(zhí)行初始檢測，分別是惡意內(nèi)容、可疑通信和攻擊行為，其中惡意內(nèi)容檢測包含3個方面對包含嵌入文檔漏洞的電子郵件、隱蔽強迫下載鏈接和零日攻擊與已知惡意軟件進行檢測，采用解碼與解壓縮嵌入文件，對可疑文件進行沙盒模擬，對瀏覽器漏洞套件檢測和對惡意代碼掃描等技術(shù)；可疑通信檢測包含2個方面，分別是針對僵尸病毒、下載軟件、數(shù)據(jù)竊取、蠕蟲病毒和混合性威脅的對外連網(wǎng)通信和攻擊者實施的后門程序活動進行檢測，通過動態(tài)列入黑名單、白名單進行的目標(biāo)分析技術(shù)，云計算安全智能防護網(wǎng)絡(luò)URL信譽和通信行為識別規(guī)則技術(shù)實現(xiàn)；攻擊行為檢測包含3個方面，分別是惡意軟件活動（傳播、下載、發(fā)送垃圾郵件等），攻擊者活動（掃描、暴力攻擊、服務(wù)漏洞利用等），數(shù)據(jù)隱蔽泄露，通過基于規(guī)則的啟發(fā)式分析，對80多種協(xié)議和應(yīng)用程序的使用情況進行識別和分析。在海南電網(wǎng)投入使用以來，月均檢測高威脅惡意和攻擊行為約80條，高威脅可疑行為約1300條，為海南電網(wǎng)的安全防護體系起到了重大作用，對終端防護工作指明了問題點，大大提高了終端安全管控水平。

4結(jié)束語

威脅發(fā)現(xiàn)設(shè)備對海南電網(wǎng)安全防護水平的提升效果是顯著的，能夠有效指明安全隱患點和安全類型，隨著信息系統(tǒng)不斷建設(shè)和終端設(shè)備的不斷增加，現(xiàn)有的威脅發(fā)現(xiàn)設(shè)備逐漸達到性能極限，因此已針對這個情況，對威脅發(fā)現(xiàn)設(shè)備進行了采購補充，一定程度上緩解了這個問題，但是如何在不降低安全防護水平的基礎(chǔ)上，有效降低設(shè)備的運行負(fù)荷，是需要進一步思考的問題。另外雖然通過威脅發(fā)現(xiàn)設(shè)備能夠確定安全隱患點，但是由于基層信息技術(shù)人才匱乏，現(xiàn)場檢查確認(rèn)隱患設(shè)備的工作仍然巨大，如果僅完成高威脅惡意和攻擊行為的排查和確認(rèn)是在運維能力極限范圍內(nèi)，一旦將高威脅可疑行為納入排查清理范圍內(nèi)，將大大加劇基層運維人員工作壓力，如何進一步將高威脅可疑行為進行優(yōu)化分級是需要研究和思考的工作。

作者:陳習(xí) 覃巖巖 王寧 陳 寧 單位:海南電網(wǎng)有限責(zé)任公司信息通信分公司

參考文獻

[1]陳廣山．網(wǎng)絡(luò)與信息安全技術(shù)[J]．北京：機械工業(yè)出版社，2007

[2]張玉清．網(wǎng)絡(luò)攻擊與防御技術(shù)[J]．北京：清華大學(xué)出版社，2011

[3]吳銳．網(wǎng)絡(luò)安全技術(shù)[J]．北京：水利水電出版社，2012

[4]王輝，劉淑芬，張欣佳．信息系統(tǒng)“Insiderthreat”分析及其解決方案[J]．吉林大學(xué)學(xué)報(工學(xué)版)，2006(05)

[5]翁勇南．信息安全中內(nèi)部威脅者行為傾向研究[D]．北京交通大學(xué)，2007