基于多维反向渗透的电力监控系统网络安全管理模式探索

苏生平，赵金朝

(1.国网青海省电力公司，青海 西宁 810008；2.国网青海省电力公司电力科学研究院，青海 西宁 810008)

0 引言

近年来，青海电网各单位采取技术和管理并重的方式快速提升了电力监控系统网络安全水平，电力监控系统通过多轮检查整治后，发现的问题大幅减少，导致部分人员满足于现状。面对这种情况，国网青海省电力公司调控中心(以下简称“省调”)确定了基于多维反向渗透的电力监控系统网络安全管理模式，组建渗透队伍，明确工作职责，开展多维度渗透测试、网络安全攻防演练和网络安全分析评估，以问题为导向，不断探索网络安全防护新举措。

1 实施背景

近年来，网络攻击技术发展迅速，呈现出接触手段隐蔽、实施速度快、综合打击能力强等特点。国际上网络安全事件频发，相继发生了乌克兰大面积停电事件、美国东部互联网服务瘫痪、勒索病毒全球爆发等网络安全事件。电力作为重要基础设施,已成为国际网络战的重要攻击目标。

2005年开始，青海电网省地两级调度机构、各厂站运维单位严格落实国家“安全分区、网络专用、横向隔离、纵向认证”的十六字方针要求，部署700余台防火墙、500余套横向隔离装置、2 000多台纵向加密认证装置，建成栅格状纵深防御体系；2018年后，在省地两级调度部署了网络安全管理平台及监测装置，青海电网内952座厂站全部部署了网络安全监测装置，实现网络安全事件的分布采集和集中监视，达到了“外部侵入有效阻断、外力干扰有效隔离、内部介入有效遏制、安全风险有效管控”的安全管控目标。

但从网络安全防护成效看，以往的电力监控系统安全防护工作仍存在以下问题：一是仅注重边界防护，对安全区内部风险重视不够，如通过渗透检查发现厂站端使用非安全操作系统且未加固的问题比较普遍；二是过于依赖管理措施，未考虑到管理措施执行是否到位，各单位是否一致等情况，如一直以来强调的账户口令问题，检查发现仍有很多单位存在默认账户权限、弱口令、账户公用等问题；三是各类检查注重汇报、查资料、人工手动检查系统配置等，不够全面和深入，如前期经过多次检查整改的主站系统，渗透检查中仍发现存在不少高危服务、高危端口；四是对安防设备过于信赖，很少开展对纵向加密装置、正/反向隔离装置、防火墙等安防设备本身的检查，盲目相信安防设备，如渗透测试中意外发现两个厂家的纵向加密装置存在默认转发设置问题，可导致边界防护措施失效；五是各类检查中，由于人员知识技能水平、责任心存在差异，检查结果不能真实放映存在的问题，导致后期采取的策略出现偏差，不能充分发挥网络安全措施效能。

2 主要做法

一名著名犯罪学家讲过，如果要了解罪犯的想法，最好是用罪犯的思维去思考问题。反向渗透检查就是以攻击者的角度，在授权且遵守一些约定前提下，利用安全扫描器、漏洞利用工具、人工渗透测试等方式，对电力监控系统进行非破坏性的模拟入侵和攻击测试，发现系统中存在的网络安全漏洞和隐患，并对发现的风险提出针对性的整改建议，提升电力监控系统安全性。

2.1 构建渗透队伍

2.1.1 构建渗透队伍

依托省电科院、网络安全运维厂商、第三方测评机构，抽选10名网络安全专业人员，组建青海电网电力监控系统网络安全渗透检查队伍，常态开展渗透检查工作，及时发布网络安全风险，做好网络安全运行保障。

2.1.2 配备渗透工具

渗透工具包括WEB渗透测试工具、基线核查工具、主机漏洞扫描工具、基于流量的被动漏洞挖掘工具、网络环境下工控资产识别工具，以及网上公开工具，包括WVS、Nessus、Netspark、Wireshark、巡风扫描系统、Fidder、ms17-010批量扫描工具、Kali、K8等系列工具。

2.2 多维度渗透测试

省调建立了以攻促防、以攻验防的常态化渗透工作机制，渗透队伍使用信息收集工具、漏洞核查与利用工具，开展以下两方面渗透检查工作：

1)将专用渗透设备接入调度控制系统、厂站自动化系统内部网络，对内部资产进行探测识别和漏洞检测。

2)将专用渗透设备接入被检查单位调度数据网，远程验证调管厂站及下级单位边界防护设备的防护能力，探测违规暴露在调度数据网的设备及存在的漏洞。重点检查项包括但不限于存活主机的端口及服务开放情况，存在的安全漏洞及弱口令等。

2.2.1 渗透测试方法

渗透测试分现场渗透和远程渗透，渗透测试步骤见图1。

图1 渗透测试步骤图

1)现场渗透

测试准备：确定安全Ⅰ区、Ⅱ区和Ⅲ区网络接入点，收集拓扑示意图及设备资产清单。

测试内容：①内部安全性测试，分别接入Ⅰ、Ⅱ、Ⅲ区核心交换机，对所在区域的服务器及相关应用发起渗透测试，探测是否开放不必要的端口服务，验证是否存在安全漏洞；②边界安全性测试，接入Ⅲ区、Ⅱ区分别向Ⅱ区、Ⅰ区进行跨越反向隔离装置和防火墙的渗透测试，验证是否触发相关告警。接入Ⅰ区、Ⅱ区分别向Ⅱ区、Ⅲ区进行跨越正向隔离装置和防火墙的渗透测试，验证是否触发相关告警。

2)远程渗透

测试准备：确定安全Ⅰ区、Ⅱ区调度数据网接入点，收集拓扑示意图及设备资产清单(含路由交换设备的IP地址列表、服务端口等)。

测试内容：接入Ⅰ区、Ⅱ区调度数据网交换机，向上下级单位发起渗透测试，下级单位要求覆盖总量的30%。验证纵向加密装置策略配置是否合规，验证是否触发纵向加密装置安全策略告警，以及暴露在调度数据网的业务主机，探测是否开放不必要的端口服务，验证是否存在安全漏洞。

2.2.2 注意事项

为防止渗透测试影响业务系统的正常运行，工作过程中须注意以下事项。

1)报备。在渗透工作开始前向相关调度机构、业务主管部门报备，办理检修手续，得到许可后再开展现场测试。

2)只测试，不利用。渗透测试以发现问题为主，测试工作遵循点到为止的原则，能验证漏洞存在即可，不宜对漏洞进行深入利用，以免破坏生产系统正常运行。

3)深度测试，提前沟通。对系统进行深度测试时需与工作负责人确认，例如使用Nmap T5参数进行强扫描、暴力破解弱口令等。

4)禁止重量级扫描。严禁使用重量级扫描工具(awvs、appscan等)进行扫描，严禁进行大数量级账号爆破，严禁进行拒绝服务、溢出类漏洞的深入利用，严禁嗅探等破坏网络运行的行为。

5)发现问题，及时取证。测试过程中对发现的问题及时取证，支撑自己最后的报告结论。

6)提高安全意识。测试过程中，渗透人员离开现场时，必须将渗透测试使用的笔记本电脑断网，人走拔网线、锁屏或关机等。

7)清理痕迹。测试结束后，清理渗透相关数据，严禁在系统或设备中驻留任何文件、程序。

2.3 攻防演练

攻防演练分为准备、实施、总结3个阶段。准备阶段主要是防守方开展包括隐患排查、风险分析、应急演练等防御准备工作。实施阶段，攻击方从不同路径对防守方开展渗透测试和网络攻击，防守方全面开展监测分析和应急处置。总结阶段，攻击方停止攻击，防守方有序撤防，总结演习经验并编制演习总结报告。

每年，除参加国家层面的护网演习外，省调组织开展青海电网范围内的电力监控系统网络安全攻防演练，全面检验网络安全防护体系、技防措施，增强应对重大网络安全威胁风险的能力，检验网络安全感知、应急处置等全程全网联动机制。

2.3.1 准备阶段

1)主站方面。对主站系统进行一次全面排查，检查内容包括安防设备接线是否正确、策略是否最小化、有无跨区接线，对发现问题及时整改，无法立即整改的采取应急措施。运维使用的系统、专用U盘等做好防护核查，杜绝弱口令。等保测评、安全评估及各类检查发现的电力监控系统漏洞、缺陷问题进行梳理确认，仍未完成整改的做好应急措施。

2)厂站方面。对前期各类检查发现的问题再次确认是否已整改，未整改的在演习前采取应急措施，对高风险联接、设备坚决予以断网隔离，无法断网隔离的采取应急措施。检查网络边界安防设备是否齐备、安防策略是否“最小化”，是否存在违规外联。windows主机设备是否安装杀毒软件，有无定期更新和杀毒。断开网络安全风险高的业务和网络连接，无法断开的务必做好应急措施。新能源电站等生产控制大区的业务延伸及网络延伸节点，违反规定的一律采取断开措施，减少不必要的网络暴露。加强人员进出管理，防止电厂成为网络攻击突破口。

2.3.2 实施阶段

1)各单位电力监控系统网络安全主管部门负责人及相关人员手机须保持通信畅通，执行“零汇报”要求。

2)若出现突发网络安全告警，立即电话联系所属调度机构相关人员，及时采取断网、隔离等措施。

3)暂停所有电力监控系统常规的检修工作，应急抢修等须在演练期间开展的，应做好应急措施，安排专人做好监护，并向所属调度机构进行书面报备。工作完毕后，及时对设备接线、设备安全策略等进行检查确认，并及时向所属调度机构反馈工作情况。

4)严格管控主站端自动化机房、调度室，厂站主控室、保护室等场所的人员出入，执行许可登记监护等措施，外部单位人员要求进入电力监控系统现场的务必进行身份确认，核实有无正规手续，并向所属调度机构报备。提高人员网络安全和保密意识，注意防范社会工程学攻击(如陌生人询问敏感信息、伪装运维或厂商人员进入生产场所、钓鱼邮件等)。

5)电力监控系统主管部门负责人及相关人员须保持通信畅通。调度机构做好网络安全管理平台的实时监视，严密关注安防设备运行状态和告警情况，对于安防设备离线、突发安防告警等情况要及时通知相关单位联系人。

2.3.3 总结阶段

演习结束后，对演习期间开展的工作情况进行梳理总结，对风险监测、预警、信息报送、应急处置等环节进行点评，提出改进措施。

从2017年起，省调每年组织1-2次电力监控系统网络安全攻防演练，较好地检验了青海电网电力监控系统网络安全防护和应急处置措施，锻炼了人员应急处置能力，为后期提升网络安全防护能力找准了方向。

2.4 全方位分析评估

从风险管理角度，系统分析网络与信息系统面临的威胁，评估危害程度，并提出针对性的防护和整改措施。

2.4.1 安全评估流程

通过访谈、检查和测试等方法，获取测评对象的安全证据，通过数据分析判断测评对象是否符合相应标准、规范、政策的要求，评估流程如图2所示。

图2 电力监控系统网络安全分析评估流程图

2.4.1 安全评估内容

1)技术层面

物理安全：机房等重点IT设施环境；

网络安全：网络架构、网络设备等；

主机安全：服务器、工作站等；

应用安全：应用业务系统、web应用等；

数据安全：数据通信安全、存储安全及备份等。

2)管理层面

安全管理机构：岗位设置、人员配备等；

安全管理制度：制定、发布、评审、修订、废止等；

人员安全管理：人员录用、日常管理、离岗等；

系统建设管理：安全定级、网络安全实施方案、验收把关等；

系统运维管理：环境管理、资产管理、数据管理等。

青海电网推行全方位开展安全分析评估，在电力监控系统的规划、设计、建设改造、运行维护和废弃阶段均要进行安全评估，确保系统全生命周期安全性。投入运行的电力监控系统，等保3级和4级系统结合等保测评每年开展一次安全评估，等保2级每两年开展一次安全评估，结合青海电网实际情况，要求各类电力监控系统安全评估工作均委托第三方评估机构开展，确保评估质量。

3 实施效果

3.1 发现和消除大量漏洞，有效夯实了网络安全防护基础

一是完成省地调自动化系统网络安全渗透检查，检查614台设备，发现和整治未授权访问漏洞、弱口令、Tomcat文件包含漏洞、反序列化远程代码执行漏洞等11类224个可验证漏洞，涉及网络安全管理平台、短期负荷预测管理系统、OMS等系统。二是对调度数据网3 076台网络设备和1 996台纵向加密装置进行了6轮渗透检查和整治，发现和整治纵向加密装置存在默认策略、设备高危端口未关闭等问题2 846项。有效夯实了青海电网电力监控系统网络安全防护基础。发现及整治问题统计如图3所示。

图3 2020-2021年渗透测试发现及整治问题统计情况

3.2 攻防对抗中查找出管理方式的不足，优化了网络安全管理模式

一直以来，电力行业坚持“安全分区、网络专用、横向隔离、纵向认证”方针开展电力监控系统网络安全工作，横向和纵向边界防护措施深入人心。以往各类检查，未曾发现过纵向加密装置、正/反向隔离装置存在任何问题，认为只要将横向和纵向边界做好就能确保万无一失，对电力专用安防设备过于信赖。通过多次渗透发现，电力监控系统中广泛使用的纵向加密装置和正/反向隔离装置不同程度地存在一些问题。如一部分科东、南瑞纵向加密装置中存在默认转发设置，这些设备能够将不符合安全策略的访问数据转发出去，导致边界防护失效。南瑞、卫士通纵向加密装置存在一些21、23等高危端口和服务未关闭问题。因此，通过多次渗透检查，促使电力监控系统网络安全重心从边界防护向边界防护和设备本体安全并重方向发展。

3.3 通过挖掘网络安全隐患问题，激发和强化了网络安全意识

通过多维渗透检查，将大量高危问题及其后果，真实暴露在网络安全管理人员面前，打破了长久以来形成的网络安全思维惯性，重新审视以往电力监控系统网络安全工作，进而激发和强化网络安全意识，转变工作方式，采取更加全面有效的网络安全措施，快速提升了电力监控系统网络安全防护水平。

4 结论

本文介绍了基于多维反向渗透的电力监控系统网络安全管理模式探索与实践，确定并树立了以渗透检查发现问题为导向的工作思路，组建渗透队伍，明确工作职责，开展多维度渗透测试、网络安全攻防演练和网络安全分析评估，不断探索管理新举措，健全了安全防护管理体系，实现了青海电网电力监控系统安全防护水平的快速提升。