电厂网络安全研究分析

摘要：随着网络信息技术飞速发展，网络安全面临着严峻挑战，黑客的攻击呈现出目标明确、手段多样、隐蔽性强等特点，仅仅依靠传统的边界安全防护技术，已无法满足当前网络安全的需求，迫切需要新的技术，网络欺骗防御技术就是目前受到广泛关注和讨论的一种安全防御手段，区别于传统被动式安全防护手段，这是一种主动式防御手段。本文围绕网络欺骗防御技术在电厂网络安全中的应用进行了研究。提出了通过网络欺骗防御系统建立网络欺骗防御体系，来加强电厂网络安全监控与管理的思想，并结合电厂网络的实际情况，给出了该系统在电厂中的实际应用方案。

关键词：网络安全；网络欺骗防御技术；电厂

电厂是国家重要的基础设施之一，随着国家电网建设与使用，电厂工控系统所面临的安全风险越来越突出，发电系统安全事关国家安全，影响国计民生。近些年国内外电力系统遭到网络攻击事件比比皆是，例如：乌克兰电网攻击事件、以色列电力供应系统遭重大网络攻击事件、委内瑞拉大停电事件等等，造成恶劣的影响与重大的经济损失。同时，从NAS方程式组织网络攻击武器的大规模泄露，到‘永恒之蓝’漏洞，再到被广泛应用的各类Web应用漏洞、IoT漏洞；从趋于定向化和敏捷化的勒索攻击，到各类挖矿攻击的全面铺开；从屡次的数据泄露事件曝光，到几乎每天曝光的APT攻击。不绝于耳的网络安全事件让我们深切感受到攻击手段更加武器化，经济利益驱使下的黑客的攻击更加理性化，网络攻击更加产业化，国与国之间的攻防对抗常态化，网络攻击面更加扩大化。“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”，高级威胁逐年呈上升趋势，APT攻击、0day漏洞等未知威胁攻击对传统安全防护手段带来极大挑战，攻防博弈不断升级，攻防不平衡的现状亟待新的防御方案，网络欺骗防御系统建设将进一步提升电厂系统安全防护水平，强化电厂网络安全防护体系，防范和遏制重大网络安全事件，确保电力生产安全稳定运行和电力可靠供应。

1安全建设现状

经过多年的网络安全建设，电厂网络安全防护系统已建立以防火墙、上网行为管理、入侵防御系统、正反向隔离等传统安全设备为主的网络安全防线，按照《电力监控系统安全防护总体方案》要求，坚持以“安全分区、网络专用、横向隔离、纵向认证”的总体防护原则，对业务系统进行全面的安全防护建设完善，已具备了应对多种网络安全威胁的防护能力，同时，通过网络安全隔离、网络结构调整和日志审计等技术手段，使得公司信息网络能够在满足网络安全要求的同时，实现办公网和生产网业务数据的安全稳定的交互，进一步强化公司网络抵御网络安全风险的能力，提高电力系统信息网络安全，促进网络信息技术更好地应用。部署安全设备的网络安全拓扑示意图如图1所示。图1中安全设备包括网络防火墙、上网行为管理、入侵防御系统和日志审计等，防火墙分别在边界上进行部署，通过策略控制访问权限，上网行为串联方式部署在防火墙与核心网络设备之间，同时在核心设备旁路部署入侵防御系统，对网络攻击流量进行检测，日志审计旁路部署服务器交换机上，杀毒软件由公司统一部署管控，生产控制大区通过正向隔离设备与管理信息大区进行单向隔离防护。

2电厂网络安全形势

随着我国电力系统的网络化和智能化发展，电力系统中应用的大量IT通用软件，以及电力专用软件，其涉及的操作系统、业务软件、数据库以及中间件等都可能存在设计缺陷和漏洞。当管理系统尤其是生产管理系统与互联网连接时，攻击者可通过利用漏洞向电力系统植入病毒、木马等恶意软件进而窃取系统中的重要信息和数据。同时，高级持续性威胁APT攻击、利用“0day”漏洞的先进的攻击手段，以及攻击者通过社会工程学方法对目标进行“鱼叉攻击”、“水坑攻击”，利用防御方人员安全意识淡薄，对电力行业特定目标进行长期持续性的网络攻击，可绕过传统安全设备的防线，成为当前电力网络安全所面临的最大威胁。欺骗防御技术是防守者得以观察攻击者行为的新型主动防御技术[1]，通过诱骗攻击者和恶意应用暴露自身，以便研究人员能够设计出有效防护措施。欺骗防御技术提供低误报、高质量的监测数据。因此，电厂安全人员在构建自身威胁检测能力时候，应将欺骗防御技术加入安全防御体系中。

3部署实现

电厂网络系统应用欺骗防御技术，首先要部署欺骗防御技术所需要的基础功能模块，包括：蜜罐服务管理、威胁日志分析、统计分析展现及系统概览展现。各模块的主要功能如下：

3.1蜜罐服务管理

蜜罐服务提供蜜罐管理、仿真溯源、诱饵设置，主要由各类蜜罐组成，其中包括低中高三类蜜罐，低交互蜜罐主要由常见网络协议组成，另外也包含常见工控网络协议。中交互蜜罐具备一定的交互性，可模拟电厂真实资产增加蜜罐甜度，如ssh、telnet可让用户登录并提供可操作终端；高交互蜜罐模拟真实的信息资产，如Linux、Windows设备、ERP系统等，并在系统内部放置虚假的敏感文件引诱攻击者触发捕获机制。蜜罐类型包括热点安全事件蜜罐，实现快速升级；支持中间件的仿真，包括tomcat、weblogic、JBoss等；支持OA系统等Web类应用的仿真，涵盖常见web漏洞仿真；常见数据库的仿真，包括mySQL、Redis、MogoDB等；系统服务包括常见文件传输服务FTP/TFTP、和运维服务SSH/Telnet等。

（1）蜜罐管理。欺骗防御系统蜜罐管理功能支撑自定义蜜罐分组，相同分组下的蜜罐组成隔离与生产网络的蜜网，蜜网内的蜜罐系统之间可进行网络访问和交互。蜜罐支撑重置、删除、查看蜜罐副本数量、创建时间和集群节点等详细信息。

（2）仿真溯源。欺骗防御系统提供仿真溯源蜜罐自定义功能，可灵活根据电厂需求仿真业务系统定制伪装业务系统。模板创建支持自定义业务系统展现元素，包括：模板名称、网页标题、版权信息，上传网站LOGO和标题栏图标等元素。同时支持仿真溯源蜜罐模板一键复制功能，为电厂快速实施蜜罐部署提供便利。

（3）诱饵管理。欺骗防御系统提供互联网诱饵（GitHub）是指在公开的网站中设置虚假信息，在黑客收集信息阶段对其造成误导，使其攻击目标转向蜜罐，间接保护其他资产。诱饵配置提供详细说明，填写信息并下载诱饵项目，然后登录到GitHub，新建仓库并上传诱饵即可。

（4）其他功能。欺骗防御系统提供邮件告警外发功能，支持内部可信扫描设备添加可信主机功能，支持syslog将详细日志发送给第三方平台，为网络安全整体决策提供有效数据。同时支持威胁情报联动，通过威胁情报实时查询恶意IP，将恶意文件上传至情报平台进行分析。

3.2威胁日志分析

威胁日志分析提供蜜罐会话日志、详细日志列表、攻击者溯源分析。蜜罐会话日志提供基于蜜罐访问的五元组的日志统一展现，可下钻查看从会话建立到会话结束全过程基于时间轴的操作日志；日志列表提供告警日志的统一展现，同时支持告警详细信息查看功能；攻击者溯源提供攻击者详细指纹，如攻击者五元组，浏览器信息，终端信息，扫描工具等信息，通过指纹信息以及情报系统的结合，准确定位攻击者位置或身份，达到溯源目的。

3.3统计分析展现

统计分析功能模块提供系统资源实时动态展现、攻击来源IP地图、攻击统计报表、攻击源分析。系统资源模块提供自身资源使用情况实时动态展现，包括：内存使用率、磁盘读取写入、网卡上传下载速率。每项性能指标均提供详细的动态实时展现。攻击来源IP地图提供攻击来源全球地图，提供攻击来源地理位置定位与分析展现。攻击统计报表提供自定义报表统计功能，可灵活定义导出近一个月、近三个月、近半年以及自定义开始和结束时间范围内的攻击统计报表功能。统计报表支持PDF报表、HTML报表下载与分析。攻击源分析提供围绕攻击源IP地址的基于时间轴的入侵次数分析和基于蜜罐服务的入侵次数分析能力，同时提供攻击源的入侵日志详情展现。

3.4系统概览展现

系统概览为电厂安全人员了解自身网络环境安全现状和趋势分析。提供每日入侵发现次数、历史入侵发现次数和当前诱捕蜜罐个数统计，以时间轴动态实时展现攻击告警数量趋势统计；提供蜜罐服务类型统计饼形图，被入侵蜜罐传感器TOP10以及攻击者来源IP统计。欺骗防御系统采用旁路接入模式，不改变电厂原有网络架构，无需镜像流量，适用于多种网络环境，可单机部署、分布式部署、集群部署。分别在管理信息区和生产控制区部署诱捕软件（探针）和业务仿真系统，捕获内网渗透和APT攻击等常规安全设备难以发现的攻击，并可对数据进行溯源，定位攻击来源和攻击者身份，溯源取证。

4应用效益

在电厂网络按照欺骗防御技术功能框架部署完成后，欺骗防御系统定制业务高仿真和组建蜜网，通过在入侵者必经之路上构造陷阱，混淆攻击目标，吸引攻击者进入蜜网，拖住攻击者，延缓攻击、保护电厂真实业务系统，为应急响应时间争取时间。欺骗防御系统获取攻击者的地址、样本、黑客指纹等信息，可掌握其详细攻击路径、攻击工具、终端指纹和行为特征，实现全面取证，精准溯源。欺骗防御系统是基于行为的检测，特征绕过攻击难以奏效，可有效发现未知攻击行为。通过和FW、IPS等防御设备联动，对攻击行为实时封堵。同时通过对未知攻击行为的特征提取用于IDS、IPS等产品进行特征升级，提高攻击检测能力，不断赋能安全防御体系。

5结语

欺骗防御系统通过蜜罐、蜜饵技术，组建具有迷惑、诱捕、监控能力的欺骗防御体系，实现当攻击者绕过或突破防御措施时隐藏其攻击目标、拖延其攻击节奏、捕获攻击行为及方法的目的。因此，利用欺骗防御技术构建具有高仿真度的诱捕网络，提供具有混淆防护目标的干扰能力，能够对攻击者攻击行为进行分析与告警，能够对攻击者身份进行溯源分析，能够与现有防护体系实现联动布控。既满足当前最新安全防护需求，又能够强化网络安全管控能力，提升各业务系统网络的可靠性和安全防护能力，对保障电力系统安全稳定运行具有重要意义。在当前网络安全形势日趋严峻的背景下，对各电力企业部署网络安全设备有很好的借鉴意义。

参考文献：

[1]何昊坤.蜜罐技术在网络安全领域的应用与研究[J].网络安全和信息化，2022（01）：128-133..

作者:裴辰晔 单位:国能浙江南浔天然气热电有限公司