新闻资讯
全部分类

从乌克兰电力事件看我国电力安全

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2016-03-15 11:03
  • 访问量:

【概要描述】

从乌克兰电力事件看我国电力安全

【概要描述】

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2016-03-15 11:03
  • 访问量:
详情

  2015年12月,乌克兰电力公司设备遭到黑客攻击,并导致大规模停电事件,已引起公众极大的恐慌。本文结合目前我国电力行业的工业控制网络结构及APT攻击的主要环节,分析我国电力系统面临的威胁,并给出相应的安全防护措施。

  乌克兰电力攻击事件概述

  2015年12月23日

  乌克兰的伊万诺-弗兰科夫斯克州地区发生多处同时停电事件,攻击者控制了电力系统,并远程关闭了电网,导致140万居民在黑暗中度过。

  2015年12月27日

  黑客使用高度破坏性的恶意软件,感染了至少3个地区的电力部门的基础设施,导致了发电设备产生故障,引起了公众恐慌。

  2016年1月4日

  ESET公司发表文章称,乌克兰境内的多家配电公司设备中监测到的KillDisk,由此怀疑使用了BlackEnergy后门,攻击者能够利用它来远程访问并控制电力控制系统。

  本次攻击主要采用社会工程学的方式针对乌克兰电力部门工作人员,以钓鱼邮件方式,附带木马XLS文件,诱惑用户打开这个文件,从而运行木马,安装SSH后门。攻击者可以针对目标下发工业控制指令,运行killdisk组件进行系统自毁,导致电网失效并延长系统恢复时间。本次攻击过程的时间周期不长,但明显符合当下APT攻击的行为方式,与几年前的伊朗核电站“震网”病毒事件有着惊人的相似度。

  下面结合目前我国电力行业的工业控制网络结构及APT攻击的主要环节,分析我国电力系统面临的威胁,并给出相应的安全防护措施。

  国内电力行业工控系统安全风险及应对

  风险分析

  从乌克兰事件不难看出,对于电力系统的攻击导致的断电的情况已经真实发生。从实际攻击的手法来看,无论对于电网的控制系统还是电厂的控制系统都是存在一定风险的。尽管国内工控系统多以封闭网络为主,通过横向隔离装置进行单比特的校验和单比特的回送确认,像乌克兰电力攻击事件这样的恶意代码,很难通过管理信息大区渗透到生产控制大区中。纵向边界处,通过纵向加密认证的方式,来保障通道的安全;通过通信劫持的方式,很难植入恶意代码,来影响电厂的厂站侧和发电厂控制系统的运行。但是,在电力系统的整个运行周期上来观察,仍然存在着诸多的由脆弱性结合内外部导入的威胁所带来的潜在风险,厂站侧无论是变电站还是电厂都存在外部运维人员管理措施不足和内部介质随意使用的情况。在乌克兰事件中,如果在其恶意代码中加入相关的控制指令,或者加入DOS攻击的代码,攻击者只需要诱使内部或者外部运维人员把恶意代码带入的厂站环境中,在打开文件或者调用动态链接库时,就可能触发恶意代码的执行,如果恶意代码中有相关的定时器,在与本地时钟同步后,就可能在特定的时间对厂站的系统发起攻击,影响电力工控系统的运行。

  应对措施

  综合上述目前乌克兰电力的攻击事件的特点,同时结合我国电力的特点,我们从主机、网络和管理三个维度来提出应对电力工控安全防护的建议。

  A、工控主机安全防护建议

  ·关闭系统中不必要的应用和服务,不给类乌克兰电力攻击的恶意代码提供潜在的渗透机会。

  ·修改系统缺省的用户名和密码,适当增强密码的配置强度,加大类乌克兰电力攻击的恶意代码提供攻击的难度。

  ·禁止外接设备,必要的情况下使用专用的安全U盘,阻断潜在的攻击路径。

  B、工控网络安全防护建议

  ·部署工控审计系统,全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型,对采集到的信息进行综合分析,识别发现业务中可能存在的异常流量与异常操作行为;

  ·部署工控堡垒机对运维过程进行有效的监控,监控运维过程中的操作行为,并发现其中恶意的操作行为。

  ·在控制站和控制器之间采用工控防火墙和白名单,防止恶意指令的控制下发和恶意软件的配置下装。

  管理措施

  ·在工业控制系统的日常运行阶段,应建立相应的人员安全管理制度及安全意识培训机制,明确系统操作、管理人员的职责及授权,建立相关人员的操作行为监管及审计机制;

  ·运维人员对生产大区范围内的上位机及操作员站进行操作时,要遵从严格的审批流程,填写操作票及工作票,并在有监督人员在场的情况下按照操作流程进行操作。

扫二维码用手机看

天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号