(国网西藏电力有限公司电力科学研究院西藏拉萨850000)
摘要:这些年来,在人类的生产生活中,信息技术扮演着非常重要作用,随之而来信息安全问题也会影响国家安全、经济发展以及社会稳定。伴随着电网企业信息化建设的不断推进,提出了智能电网的概念,电网企业是国家战略型的能源企业,信息化程度要求很高,电网信息系统运行能否可以安全稳定,会直地影响国家安全以及社会的稳定。由于企业网络内外恶意攻击压力,企业内部要开展相应的信息安全攻防演练可以使电网网络空间信息安全得以保障,信息安全运维人员的攻防安全意识以及应对突发事件的应急处置能力可以提高。基于此本文针对信息安全攻防演练进行了分析。
关键词:信息安全;信息泄露;漏洞;攻防演练;电网
引言
随着信息安全技术的日益发展,网络新型攻击和病毒形式日益恶化,特别是近年来,诸如信息泄露、SQL注入、网络渗透、漏洞扫描、网络攻击等安全事件在国内外愈演愈烈,给企业、社会和个人造成了巨大损失。因此以安全运维、快速响应为目标,以信息网络技术为主要手段,提高在网络空间开展信息监察、预防、提高突发事件的处理能力显得尤为重要。
1、电网企业信息系统中存在的漏洞及安全风险
1.1、文件上传漏洞
文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接、有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。常见的文件上传漏洞检测技术主要有:JavaScript验证、文件扩展名检测、MIME文件类型检测等。
1.2、暴力破解
在Web应用中,常常会存在登陆管理弱口令漏洞,究其主要原因是管理人员对日常信息系统维护管理工作的不重视或安全意识不足,普遍存在设置密码强度低,多个密码雷同,甚至采用厂家出厂设置时的默认密码等。该漏洞为恶意人员暴力破解信息系统提供了便利。在典型的暴力破解攻击技术中,利用字典进行攻击最为常见。
1.3、信息泄露
信息的泄露漏洞因为Web服务器没有对一些特殊请求进行正确的处理,系统管理员在应用设置和操作上没有按照规范进行,而且服务器或应用敏感信息遭到泄露,如用户名、源代码、密码、物理路径信息利用、配置信息以及服务器信息等。泄露此类信息较易会被恶意的人员利用,就会引起进一步攻击系统。企业级Web在应用中,信息的泄露有:网站配置信息泄露、网站目录结构信息泄露以及数据库信息泄露等。
2、针对信息系统漏洞及安全风险的信息安全攻防演练
随着电网企业信息化的不断推进,各类满足业务需求的信息系统在企业内部陆续上线推广应用。由于开发者技术水平的差异和安全意识的不足,使得电网企业线上信息系统仍存在较多安全风险和漏洞。为提升信息安全运维人员的安全意识,提高面对突发网络攻击的应急响应能力。电网企业需要适时开展针对其业务系统特点的信息安全攻防演练,以满足企业信息化发展的需要。
2.1、基于私有云架构虚拟化网络攻防环境
将计算资源和攻防仿真环境进行分离,底层采用虚拟化技术,建立由虚拟主机、虚拟交换机、虚拟防火墙等虚拟资源的虚拟拓扑连接,实现网络安全靶场,所有的攻防实验均在靶场上进行。网络攻防仿真训练模块为所有的虚拟主机提供限定的网络资源和敏感信息给“攻击者”,通过这种方式诱骗攻击者对靶机发起攻击。一方面系统监控所有攻击操作和行为,并记录下来,以便防御者更方便地追对攻击行为进行分析,包括端口、漏洞、后门、服务等;另一方面系统如果发现攻防双方在实战中使用了系统限定之外的工具资源或利用了虚拟机资源泄漏,将在分析评估资源使用的正当性和危害性后,给出资源使用权限并记录在数据库中,供其他系统功能模块使用。
2.2、信息安全能力提升方案
2.2.1、构思环节形成“实战导向”的信息安全教学总体指导思想
信息安全学习最终目的是提高学习者的主动防御技能,网络攻防实战是全面锻炼和考核的最佳平台,通过模拟实战环境,提供网络渗透和网络防御的想定编辑、过程控制和态势展现,实现交互式、实战化模拟攻防实战或应急演练。
2.2.2、设计环节改革“面向全体、基于专业”的信息安全模式
优异信息安全人才是复合型的人才,仅仅局限在信息安全相关学习中培养优秀的信息安全人才是困难的,员工仅仅通过学习远远达不到对信息安全人才的技能要求。因此我企业从相对应的员工一入职就开始进行选拔以及培养,改革传统“灌输式”的学习培训模式,利用信息安全基础知识在线学习、在线考核平台,满足其员工的自主学习需求以及自足岗位任职需求,构建信息安全攻防实训平台和网络设备实操体验环境,强化与纳贡专业技能的培养。
2.2.3、实现信息安全“四位一体”教学模式的效果评估,同时将评估结果作为信息安全教学模式修正和完善的依据
信息安全教育贯穿员工的整个锻炼阶段,在与纳贡成长初期自足于培养员工的信息安全基本素养,提高信息安全保密意识;员工成长中期专注于提高信息安全相关专业员工的任职能力,选拔优秀员工加入信息安全俱乐部;学员成长后期通过实战演练和参加国内外比赛锤炼信息安全竞技水平。
2.3、信息安全攻防演练的实施
2.3.1、团队攻防对抗阶段
团队攻防的对抗阶段可以在演练中用搭建物理环境进行,以确保其模拟的攻防过程真实而且有效。演练开始之前:第一,要分组信息安全运维人员,一方进行恶意攻击者或者黑客(红方)模拟,另一方企业内的信息安全运维人员(蓝方)进行模拟。第二,攻击方利用物理环境搭建局域网外部主机,根据个人攻防能力阶段训练点,实施入侵内部的局域网,而且,信息安全的运维人员应急响应网络攻击中出现异常情况,对攻击行为进行分析,阻击其恶意攻击,并进行防护。
2.3.2、个人攻防能力提升阶段
个人攻防能力提升阶段,就是信息安全运维人员演练攻防基本功。模拟的演练环境在企业内部搭建第三方攻防演练平台进行,如“天阶”平台。此阶段对信息安全运维人员有要求,实操电网企业信息系统常见漏洞以及安全风险,对漏洞的基本攻击原理以及常见攻击工具的使用进行重点地掌握。同时,对于演练场景中对应的安全漏洞要技术的防护训练。
结束语
总之,由于网络技术发展以及网络空间很复杂,这几年,窃取企业的信息数据为导向网络攻击事件经常发生,影响了企业的经营以及发展。由于电网企业是大型能源央企,内部的信息数据会牵涉到商业价值以及国家秘密,价值巨大。但是,网络恶意攻击不仅来源企业局域网外部,也来源于内部网络攻击风险。对电网信息系统中常见安全风险和漏洞进行分析,本论文目的是对信息安全攻防演练在电网企业信息化进程中的必要性进行探讨,提出了针对电网企业信息系统中出的漏洞和安全风险的攻防演练平台搭建和实施方案,主要是为了对企业信息安全运维人员的安全意识以及面对突发事件的应急处置能力进行提高,以使电网企业信息系统更安全,电网系统运行可以更安全稳定。
参考文献:
[1]么利中,文伟平.电力信息安全实验室攻防演练平台的设计与应用[J].信息网络安全,2014,(06):78-83.
[2]刘冬兰,马雷,刘新,张展,于灏,井俊双.基于B/S架构的电力信息安全攻防演练系统设计与实现[J].山东电力技术,2015,42(10):27-30.
[3]黄慷.浅谈信息安全攻防演练在电网企业中的必要性[J].通讯世界,2017,(03):138-139.