一、针对电力信息系统的网络攻击已成为现实危害
2015年12月23日,乌克兰国家电网系统遭到黑客攻击,首都基辅部分地区和乌克兰西部突遭大面积停电,成为全球首例针对电力系统导致大面积停电的网络攻击事件,引国内外舆论关注。一年后,2016年12月17日,乌克兰国家电力部门再次遭遇黑客攻击。2017年1月10日,美网络媒体援引参与调查乌克兰电网被黑事件的安全专家观点称,乌克兰电网遭遇两次攻击的始作俑者或为同一黑客组织。
2019年3月7日晚,委内瑞拉发生全国范围的大规模停电,全国23个州中有18个州电力供应中断,成为今年首例针对电力系统导致大面积停电的网络攻击事件。三个多月后的7月22日,委内瑞拉首都加拉加斯及10余个州再度发生大范围停电,引发国内外舆论的高度关注。
据调查,导致此次事件的原因可能是,委内瑞拉电力系统主要遭遇了针对国家电力公司位于玻利瓦尔州(南部)古里水电站的计算机系统中枢,以及连接到加拉加斯(首都)控制中枢的网络攻击。而后又遭对移动设备中断和逆转恢复过程的电磁攻击。委内瑞拉总统马杜罗声称攻击来自休斯敦和芝加哥,是在五角大楼的命令下由美军南方司令部直接执行,其请求俄罗斯等国协助调查。
6月16日,美国《纽约时报》爆料称,美国政府官员承认,早在2012年就已在俄罗斯电网中植入病毒程序,可随时发起网络攻击。这一惊人爆料立即引发世界关注,在今年的南美国家停电事件中,阿根廷政府也宣称不排除网络攻击。如果此次断电确为黑客所为,未来还有可能会造成一系列类似的断电事件,对于其他国家也会同样地产生威胁。
多国电网遭到网络攻击暴露出电力信息系统脆弱性,电力信息系统作为关系国计民生的信息系统,其网络安全风险所带来的,不再仅仅是信息泄露、信息系统无法使用等“小”问题,而是会对现实世界造成直接的、实质性的影响,如社会生产瘫痪、交通瘫痪、设备损坏、环境污染等。以网络攻击方式破坏对手的电力基础设施,造成对方国家的混乱,是成本最小的大国博弈手段,既削弱了对手,又规避了风险,电力网络威胁成为大国博弈的新手段。
二、我国应对电力信息系统网络安全风险的现有举措
我国政府从2007年开始逐步重视电力行业信息系统网络安全,并开展了一系列工作。
一是加强顶层设计推动电力信息系统的网络安全保障工作。2007年11月,原国家电力监管委员会印发《电力行业信息系统等级保护定级工作指导意见》,明确了电力行业各个信息系统在国家信息安全等级保护制度中所处的等级,2011年9月,工业和信息化部下发了《关于加强工业控制系统网络安全管理的通知》,指出加强工业控制系统网络安全管理的重要性和紧迫性、具体管理要求以及制度建设、组织领导方面的迫切需要。2012年5月,国务院通过《关于大力推进信息化发展和切实保障网络安全的若干意见》,明确指出要加强电力系统等重要领域工控系统,定期开展安全检查和评估。2014年8月发改委公布《电力监控系统安全防护规定》,提出电力监控系统安全防护工作应对落实国家信息安全等级保护制度,坚持“安全分区、网络专用、横向隔离、纵向认证”的原则,保障电力监控系统的安全。2015年国家能源局发布《关于加强电力行业网络安全工作的指导意见》,细化电力行业安全防护体系规范。2018年,国家能源局发布《关于印发电力监控系统安全防护总体方案等安全防护方案和评估规范的通知》,根据互联网态势加强了部分安全防护要求,落实安全主体责任、加强电力网络安全管理与保护措施。同年,国家能源局还发布《电力安全生产行动计划(2018-2020年)》,要求建立电力行业危险源辨识、风险分析、风险评估、风险控制为一体的闭环和分层次管理的安全风险管控体系。
二是以新技术新应用着力提升现有电网的技术层次。2018年,我国发布《5G助力智能电网应用白皮书》,阐述智能分布式配电自动化、用电负荷需求侧响应、分布式能源调控、高级计量、智能电网大视频应用等五大类5G智能电网典型应用场景的现状及未来通信需求,提供了智能电网端到端网络切片解决方案。2019年初,我国家电网提出泛在电力物联网概念, 计划到2021年,初步建成泛在电力物联网,实现初步的统一物联管理,到2024年,全面建设完成泛在电力物联网,形成能源互联网生态圈。泛在电力物联网实时连接能源生产、传输、消费各环节,通过智慧能源控制系统,实现多种能源状态的感知和优化,实现电力公司全业务数据统一管理,助推我国配电网的数字化、信息化和智能化的发展。同年5月,南方电网发布《数字化转型和数字南网建设行动方案(2019年版)》,《方案》提出,要建设公司新一代数字化基础平台,即建设统一的南网云平台、数字电网和全域物联网,南方电网明确将数字化作为发展战略路径之一,加快部署数字化建设和转型工作,
三是以专项攻防演习行动提升能源基础设施安全防御能力。2016年4月,习近平总书记在网络安全和信息化工作座谈会上发表重要讲话,总书记指出,“网络安全的本质是对抗,对抗的本质是攻防两端能力的较量”。同年,《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。因而,自2016年以来,我国贵州省已连续三年开展“贵阳大数据与网络安全攻防演练”活动,广东、浙江等省公安系统近几年也组织开展了网络攻防演练活动。今年,工信部举办“护网杯”——2019年网络安全防护赛暨第二届工业互联网安全大赛,配合建国70周年网络安全保障工作,持续促进网络安全技术创新,提升网络基础设施安全防护水平。在历次演练活动中,能源领域都是重点,攻防双方在真实网络环境中针对真实目标开展大数据与网络安全攻防演练。演练人员从整个电力监控系统的网络拓扑结构图入手,通过在现场的问、查、看、测等手段进行各种隐患排查。重点检查边界连接情况,找出边界安全风险,同时了解安全设备的部署,同时,对内外网边界、内网第三方边界等边界处突发安全事件的进行监测,对信息系统进行漏洞扫描与渗透测试,第一时间收集网络攻击信息,并进行重要策略的实时更新。
通过以上举措,我国积极进行电力信息系统安全防护,排查安全隐患和风险,有效预防、减少了重大网络安全事件的发生。
三、我国电力信息系统面临的网络安全风险及对策建议
随着信息化、网络化建设的持续推进,智能电表、物联网感知设备和感知终端等接入网络空间,既带来了诸多便利,又增加了网络安全风险。正反两方面的经验激发了电力信息系统网络安全风险的增比,我国电力信息系统存在着漏洞隐患,易被国内外敌对势力利用,攻击我关键基础设施。近日发生了一起安全事件,攻击者利用漏洞攻入国家电网东北公司发电生产实时数据平台,在其网站发布反动言论,虽未引起大面积停电事故,但仍在网民中造成了恶劣影响。
综合调研表明,我国关键基础设施系统目前普遍存在以下几个问题:
1. 供应链安全风险大。根据2019年6月CNCERT发布的《水电行业工控网络安全研究报告》,调查发现,水电信息系统使用了大量的第三方应用,例如Apache Struts2、JEECMS、Apache Tomcat、phpMyAdmin、Jboss、FCKeditor等,第三方应用存在默认页面泄漏、版本漏洞等,证明水电信息系统使用的第三方应用欠缺安全管理,可利用公开的应用信息或漏洞进行攻击,获取敏感数据等。另一方面,电力监控系统SCADA、电力厂站现地设备大量使用国外产品的情况普遍存在。2018年,西门子发布官方公告称其产品存在两个高危漏洞(CVE-2018 -11453和CVE-2018-11454)。该漏洞将对基于西门子产品的工业控制系统环境造成重大风险,该类设备在电力行业中大量使用。据国家工业信息安全发展研究中心监测发现,我国可能受到该漏洞影响的联网西门子STEP 7、Wincc产品达138个。
2.网络安全边界防护不足,存在失泄密风险。近年来,物联网技术的发展,使得远距离、大范围的监测控制成为可能,可帮助提高电网整体的控制管理能力;移动联网设备的普及,我国电力行业单位将移动联网设备大量用于远程监控电厂、电站等关键基础设施的运营,然而,联网设备存在的漏洞使之成为黑客攻击的对象,如无人值守的智能变电站,此类智能终端通常是处于无人看管或不可控的环境中,存在安全漏洞。攻击者可以通过物理接触的方式向终端植入恶意控制程序,随后将该终端作为跳板进入管理系统,从而控制整个设施,损害电网安全。
3. 漏洞隐患依然存在,威胁严重。根据CNCERT下属的工业互联网安全应急响应中心2018年发布的《联网电力系统网络安全态势分析报告》,“对暴露WEB资产进行抽样漏洞巡检,发现其中超过10%的系统存在明显的安全漏洞,漏洞类型主要分为弱口令漏洞、SQL注入漏洞、代码执行漏洞、逻辑漏洞四大类”,其中前三类漏洞属于高危漏洞,攻击者利用此类漏洞可获取WEB系统甚至服务器的控制权,破坏企业正常生产,造成严重的经济损失。
针对以上情况,建议积极跟踪信息安全动态,对美等国电力领域开展网络安全隐患的整理和信息收集工作,及时掌握行业安全事件及漏洞风险情报,提升自我防范的基础能力,具体举措有:
1. 开展常态化监测,全面监控网络设备。重点监测网络空间能源系统设备,全面掌握系统类别、类型、安全性现状,把握能源基础设施的安全基本态势。全面加强网络安全风险管控,保障能源信息系统安全,确保系统安全稳定运行。实现从基础结构安全、纵深防御、态势感知、积极防御再到威胁情报的网络安全能力,构建动态综合的网络安全防御体系。对网络空间内计算机、网络设备、安防设施等设备上的行为,进一步完善电网电力监控系统安全防护体系。加强现有能源系统的安全测评工作,尽早发现自身隐患并积极处置,如利用网络流量审计技术,对电网等基础设施IP 网络内外网流量进行收集、分析和检测,实时监测外部流入的流量是否存在可能导致控制系统异常的攻击行为和恶意代码,及时发现网络攻击行为并予以预警处置。
2. 强化供应链安全,加快推进国产自主可控替代计划。互联与智能已经成为我国能源系统的发展趋势,但我国工控系统技术发展与世界先进水平相比还存在差距,在高端控制系统领域还不能实现自主可控,核心技术依然受制于人。建议做好科技创新,实现国产化替代,打造自主可控的信息技术产品,同时,在政策机制上进行推进,对于自主研发的新技术、新产品要强制使用,为自主研发的产品提供发展空间;如确属需要进口国外产品,则要对能源系统进口供应商提供的产品进行严格的安全测评,防患于未然。
3. 提高企业自身信息安全防护意识。各企业应深入分析安全需求,建立安全规划,保障预算投入,提升风险“可发现”能力,积极开展网络安全检查工作,认真查找突出问题和薄弱环节,减少互联网“暴露面”,评估安全状况和防护水平,建立信息系统网络安全防护体系,包括设施安全、体系结构安全、系统本体安全、可信安全免疫、全面安全管理等,并通过制定完备的应急响应预案、威胁评估等相关措施,最大限度避免或减少对业务系统可能产生的影响,确保系统业务的弹性恢复能力。(卢英佳)
(本文刊登于《中国信息安全》杂志2019年第11期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。