摘 要:对网络入侵、网络攻击和网络袭击的概念进行描述,阐述了网络袭击的发展趋势,对网络袭击的常用手段进行简要分析。根据电力企业自身的实际情况和对信息安全方面的发展要求,参照信息安全领域的相关管理制度、管理规范和技术手段,结合电力行业的信息安全管理制度和行业规范,从制度及管理程序、等级保护、信息安全管理体系、生产控制大区、重要系统和相关技术等方面提出一些管控要求,供各行业参考。
0 引言
在网络技术发达的今天,网络袭击成为一种没有硝烟的战争。袭击方只需电脑、可用网络技术即可实施攻击,成本极低。但被袭击方在遭受损失后,要进行全面调查需付出很大的代价。
贾古玛教授在与商界对话时,以星展银行电脑系统瘫痪为例,说明网络袭击的严重性,发人深省。2009 年7 月韩国和美国众多网站曾遭受长达数天的网络袭击而瘫痪。那次袭击虽未造成严重经济损失,却导致政府政策信息流失和网上服务严重受阻。韩国国情院曾对韩美互联网实施大规模攻击的“网络袭击事件”发表公开讲话。韩国媒体认为“网络袭击可毁灭一个国家的时代正在到来”。英国时政期刊《经济学家》通过《各国开始谈判网络裁军的时机到了》一文,呼吁世界各国正视网络袭击的危险性,通过加强国际合作避免网络战,保证网络安全。据美国国防部官员称,美国在所受网络袭击中失窃的数据数量相当于国会图书馆信息量的数倍。在一次网络袭击问题*估会上,吉姆·米勒(Jim Miller)表示,有100 多个外国间谍机构正在试图侵入美国计算机系统。《华盛顿邮报》报道,美国国务卿希拉里在就“互联网自由”发表的演讲中,强烈谴责危及美国经济和国家安全利益的网络袭击事件。
电力设施是国家最重要的公共基础设施,有效制定电力企业生产控制大区与管理信息大区的总体安全防护策略和管控要求,提高电力企业的信息安全保障能力和总体防护水平,防止网络袭击产生破坏具有十分重要的意义。
1 相关概念
1.1 网络入侵
网络入侵是指利用网络非法进入计算机系统,即攻击者通过非法手段、程序或相关工具取得使用系统资源的权限。
网络入侵的目的大致可分为:取得使用系统的存储能力、处理能力或访问其存储内容的权限,破坏这个系统,使其丧失服务能力,或作为进入其他系统的跳板等。
1.2 网络攻击
网络攻击是利用系统存在的漏洞、脆弱性或安全缺陷对系统和资源进行攻击,对网络系统的机密性、完整性、可用性、可控性和抗抵赖性产生危害的行为。
网络攻击可分为:信息泄漏攻击、完整性破坏攻击、拒绝服务攻击、非法使用攻击、被动攻击、主动攻击、无力临近攻击、内部人员攻击和分发攻击。
网络攻击的全过程是:攻击者发起并应用一定的攻击工具(包括攻击策略与方法),对目标网络系统进行攻击操作,达到一定的攻击效果,实现攻击者预设的攻击目的。
1.3 网络袭击
网络袭击是一种大规模的网络攻击行为,其概念基本上等同于网络攻击。但二者在侧重点上有所区别,网络袭击侧重于突然性和规模化,而网络攻击没有那么突然,不成规模。
从某种意义上来说,网络袭击是一种带有政治色彩的网络破坏行为,其目的主要是给被袭击者造成严重的破坏性,造成不良社会后果。
2 网络袭击发展趋势
随着网络技术的快速发展,信息安全事件愈演愈烈,各类网络攻击事件层出不穷,从技术精湛的网络注入到隐蔽性更强钓鱼式攻击,从利用系统脆弱性和系统漏洞到使用各种木马程序,其破环性也越来越大。
网络袭击作为一种规模化的网络攻击,其发展趋势[1]大体有:①发现并挖掘系统安全漏洞的速度越来越快,覆盖面越来越广;②攻击工具和攻击手段越来越复杂和难以被检测到;③自动化攻击程度大幅提高,攻击速度越来越快,破坏性和杀伤力在快速提高;④有越来越高的防火墙渗透率;⑤对网络基础设施形成越来越大的威胁;⑥规模化程度越来越高,目的性十分明确;⑦政治化色彩越来越浓。
3 网络袭击常用手段
网络袭击是一种规模化的网络攻击,其常用手段主要有:软件漏洞、内部植入威胁、逻辑炸弹、特洛伊木马、伪造硬件、盗版软件、隧道攻击、后门程序、连续扫描、字典式扫描、数字扫描、数据回收、僵尸网络、电磁脉冲武器、细菌*、欺骗式攻击、分布式拒绝服务、野兔*和社会工程学。
4 电力企业信息安全管控要求
4.1 制度及管理程序要求
优化企业相关制度文件,进一步完善企业网络与信息安全相关管理程序,将对网络袭击的管控要求及应对策略融入到企业文件体系当中。把针对网络袭击的管控要求首先从文件层面进行落实,再逐步达到从执行层面进行落实。
4.2 等级保护要求
根据公安部颁发的《信息安全技术信息系统安全等级保护基本要求》[2],结合《信息安全技术信息系统安全等级保护定级指南》、《信息安全技术信息系统安全等级保护实施指南》、《信息安全技术信息系统安全等级保护测*准则》和《信息安全技术信息系统等级保护安全设计技术要求》等,采取分区、分域,重点防范和纵深防御相结合的原则,从总体上规划出适合本企业的信息系统等级保护总体防护方案,再根据各信息系统的定级情况和业务重要程度,制定相应的专项安全防护方案并落实,从而使信息系统的安全防护水平达到相应等级保护要求,从整体上提升信息系统的安全防范水平。
4.3 信息安全管理体系要求
信息安全管理体系要求:
①依据ISO 27001 标准和国标《信息技术-安全技术-信息安全管理体系-要求》[3],全面建立ISMS 信息安全管理体系;②提升企业对网络袭击危害的重视程度,从反恐的高度审视网络袭击可能产生的危害;③明确网络袭击、网络攻击、恐怖袭击间的关系与区别,强化网络袭击与企业保密工作间的异同;④从战略的高度提升企业网络与信息安全工作的重要性,让信息安全融合到企业文化中;⑤开展全员信息安全培训,将信息安全培训工作纳入企业员工入职培训体系和电厂基本安全授权培训体系中,全面培养员工的信息安全意识,尽可能地从根本上杜绝人因失误导致信息安全事件的发生。
4.4 生产控制大区要求
生产控制大区要求:①执行《电力二次系统安全防护规定(电监会5 号令)》;②利用网闸[4]在生产控制大区与管理信息大区之间实施逻辑强隔离;③采取“安全分区、网络专用、横向隔离、纵向认证”的原则;④加强生产控制大区(含DCS 系统)的网络边界安全防护,制定有效的控制策略,提高内部安全防护能力;⑤禁止对生产控制大区通过远程访问进行维护。
4.5 重要系统管控要求
对企业的重要信息系统,在保证系统的业务正常访问的前提下,可加强实施一些安全管理策略,如:①ERP 该系统。
该系统禁止对ERP 系统进行远程维护。必要时,可在保证安全的条件下,在有监管的同时可适当进行远程维护操作。②OA 系统。该系统因OA 系统中有保存有大量的企业密秘文件,要加强对OA 系统的安全控制和授权。同时,对公文实施加密传输与存储。③外部门户网站系统。该系统按照信息系统等级保护基本要求(三级)对外部门户网站系统开展等级测*和整改建设工作。禁止使用外部IP 地址进行远程管理、禁止信息明文传输、加强日志审计措施、建立网站挂马监控机制等。
4.6 相关技术管控要求
相关技术管控要求:①实施网络准入制度,开展网络准入系统建设;②完善网络防*、恶意软件监测与查杀系统建设,加强检测和阻止僵尸网络和后门程序力度;③布署网络蜜罐系统[5]、IDS/IPS 系统,提升抵抗网类攻击的能力;④布署流量统计与控制系统、上网行为管理系统、UTM 系统;⑤加强服务器、数据库和桌面终端的安全防护水平;⑥布署Web安全网关,利用防火墙实施逻辑隔离;⑦加强应用层安全防护、网站防篡改能力建设;⑧加强系统备份、容灾体系建设,制定业务连续性计划;⑨加强应急体系建设,定期开展应急演练工作;⑩开展IT 审计工作,完善IT 审计体系建设工作;提升集团网络与信息安全软件研发能力,制定软件开发安全管理规范; 加强文档安全建设,布署实施文档加密系统,从根源上控制文档泄密事件的发生; 提升IT 新技术、新产品应用研究能力,及时掌握信息安全领域新技术发展动向;加强与外部专业信息安全组织和机构的战略合作。
5 结语
随着网络技术的快速发展和社会信息化程度的提高,网络袭击所产生的社会破坏力将愈发严重。从技术、管理、保障体系、等级保护等方面提出一系列的管控要求,从整体上提升电力企业的信息安全保障水平。然而,随着IT 新技术的发展及应用,网络袭击的攻击方式、攻击手段必然会产生新的变化。对未来网络袭击可能产生的新变化,如何进一步提出合理的、有效的信息安全管控要求,保障电力企业安全,还有待于进一步的研究。