电力行业信息安攻防演练研究及应用

张宝全+黄祖源+周枫+陈先富+张少泉

摘要：智能电网是传统电网与信息技术融合的新型电网。随着信息技术的快速发展，信息安全作为信息技术的一个重要组成部分正在深刻地影响着人们的工作和生活。科技的发展给人们带来方便的同时，也暴露出了很多安全问题，特别是近年来，如信息泄漏、SQL注入漏洞和网络的渗透、黑客攻击等信息安全事件频发，给企业、社会和个人造成难以挽回的损失。电力行业作为一种能量供应，涉及国有资产的绝大部分信息、商业价值和国家机密。但是庞大的信息数据有着巨大的价值，使得电网企业信息网络容易遭受黑客攻击、造成信息泄露风险的可能性是非常大的。根据电力行业的特点，本文探讨了电力行业中网络攻防演练的意义和价值，并针对电力行业信息网络漏洞的特点提出了网络攻防靶场的建设和实施方案，旨在提高电网企业从事信息安全工作的人员的信息安全意识和处理突发信息安全事件的应急能力，间接地确保电网安全稳定可靠运行。

关键词：信息安全；网络攻防；智能电网；安全漏洞；电力行业

O 引言

互联网时代促使信息技术的飞速发展，随之而来的是各种网络攻击和形式各异的网络病毒，2017年5月爆发的“Wannacry”病毒就是一个很好的例子和教训。电力是国家“节能减排”和绿色发展的重要能源支撑，电力的稳定供应能够保持社会的稳定和发展。智能电网的快速发展依赖着信息技术的支持，没有信息技术的支持，智能电网只是一个空谈。然而，随着智能电网的快速发展，其依赖的信息技术的安全问题也逐渐暴露出来。一旦发生严重的信息安全问题，后果不堪设想。电网信息网络有一个特点，电网对信息的实时性和可靠性要求较高，所以必然要求信息集中化管理。电网的信息安全会直接或间接影响整个电网系统的安全，可想而知，要是控制信息出错，那么“多诺米骨牌效应”很可能发生，最终可能影响整个电力系统，造成难以挽回的损失。电网在发电、输电、变电、配电和用电等方方面面都可能存在信息安全威胁，一旦爆发，后果不堪想象。电网企业作为国家能源战略的企业，近年来智能电网的发展使得电力行业信息化程度变高，所以需要保证智能电网信息安全。面对恶意网络攻击的威胁，为了保证网络空间信息安全和防止重大信息安全威胁的爆发，电力行业信息安全技术人员等必须搭建或者委托搭建网络攻防靶场（演练平台）进行攻防演练。针对各种常见的信息安全漏洞和黑客攻击进行演练，对症下药，不断提高信息系统的安全等级，提高电网抗黑客攻击能力。

随着电网公司信息系统的壮大发展和近年来快速增长的系统数量，针对信息系统的各种安全隐患也在不断增多，为保证电网信息系统的安全稳定运行，要求管理和维护人员都要与时俱进的掌握电网各类信息系统存在的安全隐患和相关的安全知识及必要技能。只有熟练掌握电网信息系统各类漏洞被攻击的方法和原理，才能有针对性的做好真积身系统的安全防护。因此，通过对网络攻防靶场实战核心系统的研究及应用，提升对电网新型漏洞的分析及攻防演练能力。

1 电力行业的信息安全漏洞及潜在的风险

2015年12月23日，乌克兰电网遭遇突发停电事故，引起乌克兰西部地区约70万户居民家中停电数小时。事后达拉斯信息安全公司iSight Partners的研究人员表示，这是由BlackEnergy（黑暗力量）恶意软件代码导致的破坏性事件。2016年12月17日，乌克兰基辅北部330kV变电所发生停机，导致基辅地区大面积停电。在CyberTech2016大会上，以色列能源与水力基础设施部部长披露称，以色列电力局在2016年1月25日遭受了一次严重的网络攻击。事发后以色列当局被迫对电力设施中被感染的计算机进行了关闭。在2016全球十大互联网安全事件中就有两起事件与电网有直接关系。由此可见，在电网中，信息安全的重要性无可替代。

信息安全是一个古老而又现代化的词汇，说其古老，是因为以前飞鸽传书、邮驿书信已经有之，说其现代化，是因为20世纪九十年代随着电线技术、计算机技术的出现而不断的更新发展，迎来的一个新的发展时代。信息安全要保证信息网络中软硬件资源和数据资源的安全性能，能够持续可靠的为用户提过你服务，不因为受到攻击等中断服务。信息安全主要实现目标包含：真实性、保密性、完整性、可用性、可控性、可审查性和抗抵赖性等。目前中国的网络空间信息安全形势严峻，图1是中国各地互联网网站的安全形势状态统计。

各种新技术，比如大数据与云计算、智能信息处理、人工智能、物联网和移动互联网等信息通信技术的应用，使得智能电网面临着病毒、特洛伊木马、系统漏洞、DDoS等各种攻击，传统以物理保护为主的电网安全防护体系带来了挑战。下文将介绍和分析电力行业可能的信息安全漏洞。

1.1 信息泄露

信息泄露是一个严峻的话题，国企和事业单位往往由于各项公共服务需要用户提交各种信息，电网作为能源供应的运营商，更不例外。同时，电网公司内部有很多秘密信息需要确保安全。信息泄露是一项由于Web服务器權限设置不当、操作不规范以及没有正确处理一些特殊的用户请求和业务导致敏感信息如用户名、秘密、后台源代码、服务器配置信息和其他文件路径等等。泄露的信息容易遭受恶意人员利用，为后续的攻击提供垫脚石。在企业级Web应用中，信息泄露包含有：数据库信息泄露、网站配置信息泄露、网站目录结构信息泄露等[10]。

1.2 跨站脚本漏洞

XSS跨站脚本（Cross-Site Scripting，XSS）白1996年诞生以来，如今已经历十多年的演化。由于和另一种网页技术一层叠样式表（ Cascading StyleSheets，CSS）的缩写一样，为了防止混淆，故把原本的CSS简称为XSS。在各种WEB应用安全漏洞中，XSS跨站脚本攻击漏洞一直被OWASP（ OpenWeb Application Security Project）组织评为十大应用安全中的其中之一。

不发分子会利用跨站脚本将恶意代码注入到用户浏览的网页上，是因WEB应用程序对用户输入过滤不足而产生的，当用户浏览这些网页时，就会执行其中的恶意代码。由于HTML代码和客户端JavaScript脚本可以在他人的浏览器上执行，非法获取用户敏感信息或者控制Web客户端的逻辑。在这个基础上，黑客可以轻易地发起Cookie窃取，会话劫持，钓鱼欺骗等各种各样的攻击。通常情况下，我们既可以把XSS理解成一种WEB应用安全漏洞，也可以理解成一种攻击手段。endprint

1.3 SQL注入漏洞

SQL是数据库查询和操作语言，SQL注入是将将SQL代码插入或者添加到输入参数中提交给服务器，服务器如果没有对SQL语句检测和过滤就解析和执行，你们攻击者的恶意目的也就得成。例如某网站的登录系统需要输入用户名和密码，将用户名admin和密码SdfG#345！提交给后台SQL执行.最终执行Select * from table where user=‘admin，andpwd=‘SdfG#345！。但是如果用户在密码中输入123，or ‘1=1，后台运行Select * from table whereuser=‘admin，and pwd=‘123or ‘1=1。该语句where条件恒为true，可以登录成功，其他用户也可以用此密码成功登录，如图2所示。如果管理员没有对SQL语句参数审查，攻击者就可以利用相应的语言逻辑漏洞来越权非法操作。

1.4 任意文件包含漏洞

由于开发人员编写源码时将可重复使用的代码写入到单个的文件中，并在需要的时候将它们包含在特殊的功能代码文件中，这样被包含文件中的代码就会被解释执行。如果没有针对代码中存在文件包含的函数入口做过滤，就会导致客户端可以提交恶意构造语句提交，并交由服务器端解释执行。文件包含攻击可能存在于WEB服务器源码里的include（）此类文件包含操作函数附近，通过客户端构造提交文件路径，是该漏洞攻击成功的最主要原因。

1.5 目录遍历漏洞

通常网页URL地址由http：//力口域名再加路径组成，攻击者可以在URL中有意义的目录中附加“../”、或者附加其他一些特殊字符来获取其他目录，完成目录跳转，获取各个目录的敏感文件。导致攻击者能够访问授权之外的目录和文件，甚至执行命令，危害极大。

1.6 任意文件上传漏洞

文件上传漏洞是指允许用户上传任意文件，这样网络攻击者可以上传危险内容或恶意代码到服务器并执行。任意文件上传漏洞的技术门槛低、容易实施。例如，某PHP源代码网站没有严格限制上传文件的后缀名和实际文件类型，这样攻击者就可以上传PHP文件并传递给PHP解释器执行，就可以远程执行任意PHP脚本，实施不法入侵行为。

1.7 越权访问漏洞

越权访问（Broken Access Control，简称BAC）是指应用在检查授权（ Authorization）时存在纰漏，使得攻击者可以利用一些方式绕过权限检查，访问或者操作到原本无权访问的代码或内容。比如直接绕过网站登录界面访问后台管理。Web系统在用户进行后台登陆时进行有效过滤，常见的过滤检测技术有：JavaScript验证、Cookies验证、Session验证和数据库信息匹配验证。攻击者了解了验证机制后，可以据其原理进行针对性绕过。例如：为了避过Web应用程序进行JavaScript身份验证，攻击者可以使用浏览器关闭JavaScript函数，直接访问后台管理。

1.8 社会工程学

以上都是单纯的技术层面的漏洞，而社会工程学更多的是利用心理学弱点、本能、好奇心、信任、贪婪的心理，通过欺骗他人获取自身利益。社会工程学不同于一般的欺骗手段，特别是复杂的社会工程，即使是最警惕和小心的人，同样会被精明的社会工程损害利益，近年来的网络电信诈骗很多就是利用社会工程学。社会工程学具有以下特点：

社会工程通常是以交谈、假冒或录制他人说话，制作陷阱欺骗受害者，从合法用户套取秘密和获取利益。社会工程学是一种与普通诈骗不同层次技能的手法，社会工程需要根据对方的实际情况，收集大量的信息，利用人的弱点进行心理战术攻击，防不胜防。

2 信息安全攻防演练实战

随着电力信息系统的壮大发展，各类业务的复杂和信息系统的壮大，针对电力行业信息系统的各种安全隐患也在不断增多，为保证电网信息系统的安全稳定运行，要求管理和维护人员都要与时俱进的掌握电网各类信息系统存在的安全隐患和相关的安全知识及必要技能。但由于开发者技术水平的差异和安全意识的不足，使得电网企业线上信息系统仍存在较多安全风险和漏洞，一旦恶意攻击蔓延开来，将给电力行业造成巨大的损失。故此需要信息安全技术人员熟练掌握电网信息系统各类漏洞被攻击的方法和原理，有针对性的做好白身系统的安全防护，提高信息安全意识和突发网络攻击的应急处理能力。因此，通过对网络攻防靶场实战核心系统的研究及应用，提升对电网新型漏洞的分析及攻防演练能力，以满足企业信息化发展的需要。

2.1 信息安全攻防演练的平台环境

网络攻防靶场总体构架如图3所示，通过电网行业的特点结合企业Web系统中常见的漏洞缺陷，采用高仿真的网络攻防靶场进行信息安全攻防演练。

研究基于云平台、支持远程访问和操作的网络攻防靶场平台，提供动态和可定制的培训课题库及网络攻防工具库，保障网络靶场的实时性及扩展性，灵活应对新形势下的各种网络安全隐患，将电力行业实际安全问题进行定制性仿真复现，对实际安全脆弱点的攻防进行研究，提升信息安全管理人员和信息系统运维人员的信息安全技能。

2.2 信息安全攻防演练的实施

在攻防演练对抗实施过程可划分为单兵作战模式和红蓝对抗两个阶段。

（1）单兵作战

在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，通过解决网络信息安全攻防题目闯关。这些题目可能涉及到信息安全技术的方方面面，比如密码技术、数字签名技术、身份认证技术、漏洞渗透技术、脚本编程以及网络空间安全法等相关法律规定。主要目的是考察电网信息安全技术人员的基本知识和对常见漏洞的实际操作，重点掌握黑客漏洞攻击的最基本原理并且会使用常见的安全攻击，如BurpSuit、AWVS、NMap等。同时，攻防演练中需要对漏洞和安令风险讲行修补加固.单兵作战界而如图4所示.

（2）红蓝对抗

根据电网现实的安全漏洞情况，将信息安全設备及其软件、网络设备及其软件、信息资产等进行仿真蜜罐技术复现，搭建模拟实际信息网络的典型网络攻防仿真平台，提供红对抗攻防演练，红方发动对蓝方网络攻击，挖掘网络服务漏洞并攻击对手服务来得分；蓝方修补自身服务漏洞加固系统防守攻击避免丢分。一个回合后，红蓝双方对换角色继续攻防对抗。红蓝对抗可以实时反映出赛进展的得分情况，竞争十分激烈。在红蓝对抗中，不仅考察个人技术能力，团队成员之间的分工与合作也十分重要。红蓝对抗结合单兵作战的个人攻防能力训练点，实时局域网漏洞渗透入侵，蓝方结合网络攻击出现的异常情况应急响应，分析攻击行为，修补漏洞和加固系统，抵抗攻击并实时防守。图5是一次团队攻防演练的实施结果。

3 结论

智能电网是传统电网与信息技术融合的新型电网。随着信息技术的快速发展，信息安全作为信息技术的一个重要部分正在深刻地影响着人们的T作和生活。科技的发展给人们带来方便的同时，也暴露出了很多安全问题，特别是近年来，如信息泄漏，SQL注入漏洞和网络的渗透、黑客攻击等信息安全事件频发，给互联网界造成了难以挽回的损失。面对网络技术的发展和网络空间的复杂性，电力行业作为一种能量供应，涉及国有资产的绝大部分信息、商业价值和国家机密。但是庞大的信息数据有着巨大的价值，使得电网企业信息网络容易遭受黑客攻击、造成信息泄露风险的可能性是非常大的。这些年来，攻击智能电网信息系统和用户数据的现象经常发生，为电网的安全运行和供电的可靠性带来了非同一般的影响。根据电力行业的特点，本文探讨了电力行业中网络攻防演练的意义和价值，通过分析电网信息系统中常见的安全风险和漏洞，并针对电力行业信息网络漏洞的特点提出了网络攻防靶场的建设和实施方案和处理突发信息安全事件的应急处置能力，以保障电网企业信息系统安全，间接地确保电网安全稳定可靠运行。endprint