電力信息網(wǎng)絡(luò)系統(tǒng)漏洞掃描分析

李曉宇

【摘 ?要】隨著社會(huì)的快速發(fā)展，我國(guó)的科學(xué)技術(shù)不斷進(jìn)步，我國(guó)逐漸進(jìn)入信息化時(shí)代，針對(duì)電力信息網(wǎng)絡(luò)系統(tǒng)存在的安全漏洞帶來(lái)安全隱患的問(wèn)題，進(jìn)行了信息安全漏洞掃描工作的需求分析。對(duì)內(nèi)蒙古電力（集團(tuán)）有限責(zé)任公司電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)站程序及承載應(yīng)用系統(tǒng)的主機(jī)、中間件等系統(tǒng)軟件進(jìn)行了漏洞掃描，并對(duì)掃描結(jié)果進(jìn)行統(tǒng)計(jì)分析，據(jù)此提出漏洞掃描工作的加固方案，以確保電力信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。

【關(guān)鍵詞】信息安全;電力信息網(wǎng)絡(luò)系統(tǒng);漏洞掃描;Web漏洞;主機(jī)漏洞

引言

電力系統(tǒng)信息化進(jìn)程的加快，使得電力行業(yè)智能化發(fā)展迅速，從控制大區(qū)的配電自動(dòng)化到信息大區(qū)智能辦公系統(tǒng)，信息技術(shù)帶給電力行業(yè)的不僅僅是高效、方便，也帶來(lái)了安全隱患。近年來(lái)，針對(duì)電力行業(yè)的信息安全事件也逐漸增多，如烏克蘭的大范圍停電事件，黑客攻擊了7個(gè)110kV變電站和23個(gè)35kV變電站，導(dǎo)致80000用戶斷電，造成了惡劣影響。2015年，美國(guó)國(guó)防部高級(jí)研究計(jì)劃局（DARPA）啟動(dòng)了一項(xiàng)名為“快速攻擊檢測(cè)、隔離和表征（RADICS）”的計(jì)劃，針對(duì)有可能導(dǎo)致全美電力系統(tǒng)癱瘓的安全威脅，以建立能應(yīng)對(duì)電力損失的自動(dòng)化系統(tǒng)?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》也在2017-06-01實(shí)施，標(biāo)志著我國(guó)對(duì)網(wǎng)絡(luò)安全的重視程度提高到了法律層面。為了確保信息系統(tǒng)網(wǎng)絡(luò)安全，國(guó)家電網(wǎng)公司于2013年已全面開(kāi)展了信息系統(tǒng)漏洞掃描工作，包括信息系統(tǒng)在架構(gòu)、標(biāo)準(zhǔn)、功能、性能、安全、運(yùn)行、應(yīng)用等方面的指標(biāo)和要求，具體包括信息通信機(jī)房和基礎(chǔ)設(shè)施、通信設(shè)備、通信鏈路、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫(kù)、中間件、安全設(shè)備、存儲(chǔ)設(shè)備、基礎(chǔ)平臺(tái)、業(yè)務(wù)應(yīng)用、安全監(jiān)控系統(tǒng)、災(zāi)備系統(tǒng)、監(jiān)控管理系統(tǒng)等設(shè)備、設(shè)施和系統(tǒng)的漏洞挖掘工作。本文對(duì)內(nèi)蒙古電力（集團(tuán)）有限責(zé)任公司（以下簡(jiǎn)稱內(nèi)蒙古電力公司）8個(gè)盟市的電力信息網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描，并對(duì)掃描結(jié)果進(jìn)行分析，據(jù)此提出漏洞掃描加固方案，以確保電力信息網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

1漏洞掃描工作需求分析

某電力公司負(fù)責(zé)建設(shè)運(yùn)營(yíng)自治區(qū)中西部電網(wǎng)，供電區(qū)域72萬(wàn)km2，承擔(dān)著8個(gè)盟市農(nóng)牧業(yè)生產(chǎn)及城鄉(xiāng)1388萬(wàn)居民生活供電任務(wù)。包括500kV變電站24座，220kV變電站141座，110kV及以下電壓等級(jí)變電站906座。涉及大小信息系統(tǒng)上百個(gè)，網(wǎng)絡(luò)、通信設(shè)備幾千臺(tái)，用戶終端4萬(wàn)余臺(tái)。2016年，電網(wǎng)完成售電量146.464TWh，統(tǒng)調(diào)裝機(jī)63.6436GW。在信息化建設(shè)的過(guò)程中，信息安全問(wèn)題也逐漸顯現(xiàn)出來(lái)，如某信息系統(tǒng)存在目錄遍歷漏洞;某信息系統(tǒng)缺乏驗(yàn)證碼檢查，有被暴力破解風(fēng)險(xiǎn)。多年養(yǎng)成的信息終端使用習(xí)慣，使得大部分人員疏于對(duì)操作系統(tǒng)的漏洞更新，這也成為2017年5月Wanna?Cry病毒大規(guī)模爆發(fā)的原因之一，甚至眾多內(nèi)外網(wǎng)隔離后的企業(yè)內(nèi)部網(wǎng)絡(luò)也沒(méi)有逃脫病毒的攻擊。從終端安全，到網(wǎng)絡(luò)設(shè)備安全、信息系統(tǒng)安全甚至物理環(huán)境的安全，整個(gè)電力信息網(wǎng)絡(luò)系統(tǒng)對(duì)信息漏洞掃描工作的需求迫在眉睫。

2生成漏洞數(shù)據(jù)庫(kù)

在掃描到網(wǎng)絡(luò)安全漏洞的基礎(chǔ)上，生成漏洞數(shù)據(jù)庫(kù)。該數(shù)據(jù)庫(kù)是整個(gè)系統(tǒng)中最重要的設(shè)計(jì)，為網(wǎng)絡(luò)漏洞系統(tǒng)的正常運(yùn)行提供有力支持。該漏洞數(shù)據(jù)庫(kù)中除了包含漏洞庫(kù)外，還包括插件庫(kù)和修補(bǔ)庫(kù)。漏洞庫(kù)主要用于存放漏洞檢測(cè)時(shí)目標(biāo)的操作系統(tǒng)類別和漏洞信息。當(dāng)發(fā)現(xiàn)有新漏洞信息后，自動(dòng)插入漏洞庫(kù)。插件庫(kù)中主要包括漏洞驗(yàn)證模塊所需的相關(guān)信息，能夠提供拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等攻擊手法的相關(guān)信息。修補(bǔ)庫(kù)主要存放漏洞修補(bǔ)方案的相關(guān)信息，提供相關(guān)修補(bǔ)方案。當(dāng)掃描到漏洞后，數(shù)據(jù)庫(kù)端的信息為整個(gè)判斷和處理提供有力依據(jù)，并提供漏洞解決方案。其原理是數(shù)據(jù)庫(kù)中包含各種檢測(cè)到的漏洞信息和常見(jiàn)漏洞信息，掃描方法庫(kù)中包含針對(duì)不同漏洞的模擬攻擊插件，掃描到網(wǎng)絡(luò)漏洞后，采用漏洞匹配算法，與數(shù)據(jù)庫(kù)中的解決插件匹配，經(jīng)網(wǎng)絡(luò)漏洞處理，完成網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)軟件設(shè)計(jì)。通過(guò)該軟件能夠有效處理漏洞信息，提高網(wǎng)絡(luò)安全程度。

3外網(wǎng)信息系統(tǒng)存在漏洞情況

2017年，對(duì)某電力公司13個(gè)外網(wǎng)信息系統(tǒng)進(jìn)行了漏洞掃描安全檢測(cè)工作。首先收集了信息系統(tǒng)的基本情況，包括應(yīng)用系統(tǒng)的系統(tǒng)名稱、資產(chǎn)類型、編號(hào)、設(shè)備名稱、主機(jī)位置、應(yīng)用說(shuō)明、產(chǎn)品型號(hào)、內(nèi)網(wǎng)IP地址、外網(wǎng)IP地址、登錄方式、登錄端口、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、URL等，并采用Web漏洞掃描工具進(jìn)行檢測(cè)。檢測(cè)共發(fā)現(xiàn)Web安全漏洞41個(gè)，其中高危漏洞11個(gè)。該電網(wǎng)信息系統(tǒng)對(duì)外提供的Web服務(wù)中，在信息泄露和客戶端攻擊類型存在漏洞較多，說(shuō)明該信息系統(tǒng)在開(kāi)發(fā)全過(guò)程中對(duì)信息安全重視程度不夠，存在較嚴(yán)重的典型漏洞;高危漏洞存在概率較高，包括內(nèi)容欺騙、拒接服務(wù)、資源位置可預(yù)測(cè)、認(rèn)證不充分、SQL注入、系統(tǒng)命令執(zhí)行、跨站腳本攻擊等，說(shuō)明信息系統(tǒng)在開(kāi)發(fā)全過(guò)程中缺乏信息安全測(cè)試及上線安全測(cè)試工作。雖然電力信息網(wǎng)絡(luò)系統(tǒng)在經(jīng)過(guò)內(nèi)外網(wǎng)隔離后，暴露在外網(wǎng)的信息系統(tǒng)數(shù)量已經(jīng)大幅度減少，信息安全風(fēng)險(xiǎn)有了一定程度的減少，但企業(yè)的門戶、新聞等網(wǎng)站不可避免地仍要對(duì)外提供信息，由于電力行業(yè)的特殊性，營(yíng)銷、客服等系統(tǒng)也必須對(duì)外提供服務(wù)，造成了較大的信息安全隱患。

4漏洞掃描加固方案

通過(guò)本次漏洞掃描，發(fā)現(xiàn)電力信息網(wǎng)絡(luò)系統(tǒng)存在較大的安全隱患，為更好地提高系統(tǒng)的安全性，對(duì)漏洞掃描工作進(jìn)行改進(jìn)，提出了漏洞掃描的加固方案。針對(duì)漏洞掃描檢查出的信息應(yīng)用系統(tǒng)漏洞分布情況，采取專項(xiàng)信息應(yīng)用系統(tǒng)加固方式，Web應(yīng)用漏洞由建設(shè)廠家在維護(hù)人員協(xié)助下負(fù)責(zé)加固;普通漏洞由維護(hù)人員負(fù)責(zé)加固。加固完成后繼續(xù)使用漏洞掃描工具進(jìn)行掃描，形成加固—掃描—加固的閉環(huán)模式。在掃描結(jié)果中無(wú)高危漏洞后，組織第三方專業(yè)人員進(jìn)行滲透測(cè)試，進(jìn)一步對(duì)信息應(yīng)用系統(tǒng)的安全性進(jìn)行探究，檢測(cè)邏輯漏洞和0day漏洞等，模擬黑客對(duì)信息應(yīng)用系統(tǒng)的滲透破壞過(guò)程，從而制定更加完善的加固方案。

結(jié)語(yǔ)

漏洞掃描可以提高信息應(yīng)用系統(tǒng)的安全性，使其達(dá)到等級(jí)保護(hù)的相關(guān)要求。本文提出的漏洞掃描加固方案可以持續(xù)增強(qiáng)應(yīng)用系統(tǒng)的健壯性，保證信息應(yīng)用系統(tǒng)在建設(shè)技術(shù)水平不斷革新的同時(shí)，其安全性也滿足基本的企業(yè)需求。

參考文獻(xiàn)：

[1]姜成斌.論漏洞掃描技術(shù)與網(wǎng)絡(luò)安全[J].中國(guó)信息界，2012（3）：58-62.

[2]司群.信息安全漏洞分類研究[J].鐵路計(jì)算機(jī)應(yīng)用，2015（2）：13-16

（作者單位：國(guó)網(wǎng)太原供電公司）