電力信息系統安全風險和威脅行為分析

2013-12-20 11:00:06 電力信息化　點擊量：評論 (0)

1 引言　　電力信息系統由網絡、設備和數據等要素組成，其中每個要素都存在著各種可被攻擊的弱點。網絡線路有被竊聽的危險；網絡連接設備、操作系統和應用系統所依賴的各種軟件在系統設計、協議設計、系統實現

1.引言
　　電力信息系統由網絡、設備和數據等要素組成，其中每個要素都存在著各種可被攻擊的弱點。網絡線路有被竊聽的危險；網絡連接設備、操作系統和應用系統所依賴的各種軟件在系統設計、協議設計、系統實現以及配置等各個環節都存在大量的安全弱點和漏洞，有被利用和攻擊的危險。每天都有新的安全漏洞在網上公布，每天都有系統受到攻擊和入侵，每天都有計算機犯罪的報道，每天都有人出于好奇或其他目的加入到網絡黑客的行列中。而且攻擊者的手段也越來越多，面對一個復雜性日益增長的網絡環境進行安全需求分析，動態地、發展地認識安全隱患和威脅是安全需求分析的重要前提。只有深入了解電力信息系統的網絡發展和應用現狀，結合對其網絡軟硬件設備的基礎和原理的專業分析，才能深入了解影響電力系統信息安全的、潛在的矛盾、隱患和現實狀況，才能制定出一整套完整而科學的網絡安全結構體系，才能從根本上解決電力信息系統的網絡安全。

　　2.電力信息系統的安全風險

　　攻擊電力信息系統的黑客既可能來自電力系統的內部，也可能來自外部。內部攻擊通常來自員工、系統管理員等，據權統計，在所有破壞安全活動中占近80%。外部攻擊主要來自競爭對手、政府或任何不懷好意的組織和個人。也就是說，風險同時存在于 Internet 網絡的兩端。電力信息系統的主要安全風險包括：

　　（1）用戶標識截取：標識截取是指暗中發現合法用戶的身份驗證信息，通常是用戶名和口令，這是大多數電力信息系統采用的安全防護措施。如果入侵者知道了某個用戶的用戶名和口令，即使該用戶并沒有額外的特權，也可能危及網絡的安全。如果用戶名，更重要的是口令，以明文的形式通過網絡發送，入侵者通過常用的協議分析軟件監視網絡通信，可以截取用戶標識信息。如果口令仍以明文格式保存在用戶計算機的內存中或硬盤上，入侵者有很多種方法可以發現這些口令。而且，如果口令被記在某處或很容易被猜到（如電話號碼、生日、汽車牌照號碼、配偶或孩子的名字等），就更容易受到入侵者的攻擊。另外，各種廣為傳播的黑客工具都試圖利用幾種語言的常用詞的詞典來獲得口令。

　　（2）偽裝：當未經授權的用戶假裝成合法用戶，進入電力信息系統時就發生了偽裝。當未經授權的用戶企圖冒充系統超級用戶和具有附加管理特權或系統管理特權的其他用戶時，標識截取是最危險的。因為入侵者已經截取了某個合法用戶的標識，或者因為入侵者已經設法誤導系統相信其擁有更多的而實際上卻沒有的特權，所以偽裝是可能發生的。地址欺騙是偽裝一種形式，在這種偽裝中，入侵者虛構一個可信系統的 IP 地址，然后使用該地址獲取已授予的對被假冒的設備或系統的訪問權限。

　　（3）重放攻擊：當登錄隊列受到監視時，例如，使用協議分析程序，可以將登錄隊列記錄下來，以便以后“回放”。入侵者使用這種技術設法哄騙網絡登錄服務器驗證合法用戶的身份，而入侵者無需知道該用戶的用戶名和口令。或者，入侵者將登錄服務器過去已經接受過的相同的加密或散列名稱或密碼，傳遞給該服務器。

　　（4）數據截取：當應用程序以明文格式通過網絡傳遞數據時，通過電纜的分接頭和監視設備可以截取數據，使得未經授權的人員能夠捕獲和訪問調度數據廣域網傳輸中的控制命令、參數設置、用電營銷、電力交易報價等敏感數據。

　　（5）非法使用：非授權使用計算機或網絡資源時，網絡系統的安全就受到了威脅。例如，未受到保護的財務數據可能會按照入侵者的利益被修改并使用。

　　（6）否認：大多數發生在基于網絡的業務活動中，如對電量交易和所做的操作進行否認。

　　（7）病毒：病毒是一種進行自我復制、廣泛傳染，對計算機及其數據進行嚴重破壞的計算機程序。由于病毒具有隱蔽性與隨機性的特點，使用戶防不勝防。根據國際權威機構對美國的調查表明，98%的企業遇到過計算機病毒問題，63%被病毒破壞數據和系統，病毒給企業帶來的影響是時間和人力的浪費，重要數據文件損失造成觸目驚心的經濟損失。

　　（8）拒絕服務：向電力系統網絡發送大量雪崩數據，這些攻擊使用大量的請求涌向服務器，從而達到消耗系統資源，并最終導致目標服務器崩潰或使其無法正常工作之目的。在一些情況下，這種攻擊可以用來破壞系統。

　　（9）惡意移動代碼：隨著可自動執行的應用程序與 Internet Web 站點的集成，出現了作為 Microsoft ActiveX 控件或 Java 小程序而傳送的惡意移動代碼的威脅。

　　（10）濫用特權：一個計算系統的管理員故意或錯誤地使用對該操作系統的特權來獲得專用數據。

　　（11）誤用：信息系統管理員、網絡管理員、安全管理員、普通用戶等由于計算機技術上不熟練，造成對系統的誤操作，引起對系統保密性、完整性和可用性的損害。

　　（12）特權提升：用戶利用系統漏洞提升自己的等級，獲得本來不具備的系統權限。

　　（13）后門：系統開發人員出于惡意、或僅是為了維護的方便在系統中設置后門，使用后門可以繞過系統的安全控制措施。存在被人利用來控制、破壞系統的威脅。

　　（14）應用系統開發中的錯誤和不完善：包括對輸入數據未作充分的檢查、對業務邏輯的處理不準確、不完善，而如果這些錯誤沒有通過充分的系統測試檢查出來，便有可能在運行中導致錯誤數據引入系統，和破壞原有數據的完整性。

　　（15）特洛伊木馬：是這樣一種程序，它提供了一些有用的，或僅僅是有意思的功能。但是通常要做一些用戶不希望的事，諸如在你不了解的情況下拷貝文件或竊取你的密碼, 或直接將重要資料轉送出去，或破壞系統等等。木馬程序帶來一種很高級別的危險，因為它們很難被發現，在許多情況下，特洛依程序是在二進制代碼中發現的，它們大多數無法直接閱讀，并且特洛依程序可以作用在許許多多系統上,它的散播和病毒的散播非常相似。

　　（16）社會工程攻擊：社會工程攻擊是利用人的心里活動進行攻擊的，不需要復雜的技術手段，也不依靠調查和掃描來尋找系統的漏洞，只通過向某個人詢問口令就能夠獲得相關業務系統或數據庫的訪問權。在大多數情況下，社會工程攻擊的主要目標是咨詢接待人員及行政或技術支持人員。對這些對象發起社會工程攻擊不需要是面對面的，經常只需通過打電話，電子郵件或聊天室等。如：入侵者把單位的新職員叫過來，告訴他您是 IT 部門來的并要求他們提供系統口令以便與您的記錄核對。

　　3.電力信息系統威脅行為的分析

　　安全威脅來自各種與網絡有關的、對電力信息系統正常運行帶來負面影響的行為。其中包括，人為主觀上的惡意行為，以及由于客觀因素導致的概率性事故。

　　3.1主觀惡意行為的分析

　　人為主觀上的惡意行為，從行為目的上可分為：欺詐盜竊和破壞兩種類型，當然許多的惡意行為可能涵蓋上述兩個目的。從可能采用的攻擊手段，有些只具備欺詐盜竊或破壞能力。
　　下面，我們對各種可能的安全威脅手段進行分析。

　　（1）系統探測和掃描

　　描述：攻擊者一般采用探針類程序，對目標系統進行系統信息收集，如：系統漏洞探測、無用用戶名嘗試等。

　　危害：行為本身對目標系統并不構成危害，但是，其目的主要是為了進一步入侵行動作準備。因此，本行為之后隨之而來的，往往是嚴重的安全威脅。

　　類型：欺詐盜竊（準備行為）、破壞（準備行為）。

　　（2）網絡信息截獲和監聽

　　描述：攻擊者主要通過使用網絡信息監聽程序（如：Sniffer）對網絡上傳輸的信息包進行截獲和監聽。如果被監聽的信息采用低強度加密甚至明文在網絡上傳輸，那么，一些安全敏感信息就有可能被竊取，如：用戶名、用戶密碼等。

　　危害：客戶級或者系統級的敏感信息被竊取，其中，客戶級敏感信息被竊取，只對被竊取客戶造成影響；但是，如果系統級敏感信息被竊取，則將引發進一步的主機入侵威脅，從而導致更大程度的安全危害。

　　類型：欺詐盜竊

　　（3）信息完整性破壞

　　描述：通過網上信息截獲手段，獲得信息后，對信息進行篡改、插入、刪除，然后再轉發出去。

　　危害：對于電力網絡，最有可能的是對控制、調度、信息系統的信息進行完整性破壞，從而騙取系統控制模塊和權限控制模塊進行錯誤的處理。

　　類型：欺詐盜竊

　　（4）非法訪問

　　描述：利用系統的安全漏洞，繞過系統的安全控管機制，獲得高級別的訪問權限。例如：利用Web服務器的ACL機制的邏輯錯誤，訪問服務器上的任意文件。

　　危害：非法訪問理論上可能訪問各種系統資源和數據，但是，從實際情況上分析，最大的可能是通過系統的入口：通訊服務器、應用服務器，進行非法訪問。另外，通過非法訪問獲得信息的分析，非法訪問可以作為進一步升級入侵的跳板。

　　類型：欺詐盜竊

　　（5）身份偽造

　　描述：攻擊者偽造身份，欺騙系統的信任，獲得非法的權限。
　　危害：如果攻擊者偽造的是客戶級身份，則只對具體客戶構成安全危害；但是，如果攻擊者偽造的是系統級身份，則能夠對整個系統構成安全危害。

　　類型：欺詐盜竊

　　（6）惡意代碼攻擊

　　描述：惡意代碼攻擊是指在通過目標主機上運行一段特殊代碼，從而達到控制主機或破壞系統的目的。在攻擊方式上，又可以有以下幾種方式：

　　緩沖區溢出攻擊
　　利用網絡服務程序的緩沖區溢出錯誤，攻擊者將惡意代碼夾在長信息包中傳送給網絡服務程序，從而導致網絡服務程序在溢出后運行這段惡意代碼。這是網絡上最為常見的攻擊手段。

　　特洛伊木馬攻擊
　　偽裝成正常程序，或隱藏在正常程序中，誘導管理員或操作員運行程序，從而獲得控制主機或破壞系統的權限。

　　病毒攻擊
　　病毒往往采用上述兩種攻擊手段，不同的是，病毒會自動進行自我復制傳播。例如：“紅色代號”病毒就是一個典型采用緩沖區溢出攻擊的病毒。

　　危害：惡意代碼攻擊一旦成功，惡意代碼能夠竊取、控制或破壞，運行時對應權限所能擁有的任何數據和資源，因此，危害性極大，危害程度難以估計，完全由惡意代碼的邏輯決定。
　　類型：欺詐竊取、破壞

　　（7）拒絕服務攻擊

　　描述：拒絕服務攻擊主要通過大量占用有限的系統資源（如：網絡帶寬、主機CPU/內存資源等），導致正常用戶無法訪問系統服務。拒絕服務攻擊并不以侵入主機、竊取數據為目的，是純粹的破壞型攻擊。
　　危害：拒絕服務攻擊成功發生時，系統可用性急劇下降，無法為正常用戶提供服務。
　　類型：破壞

　　（8）抵賴行為

　　描述：抵賴主要指用戶對一些網上操作行為事后進行否定，如：調度員對動作行為事后進行否認。
　　危害：抵賴行為成功后，電力二次系統將造成不可估量的損失。
　　類型：欺詐

　　3.2客觀因素導致的概率性事故分析

　　客觀因素導致的概率性事故，主要有以下幾種情況：
　　（1）關鍵組件失效
　　關鍵組件包括系統內部組件（主機節點、存儲、軟件構件等）和系統依賴的外部組件（路由器、網絡線路等）。關鍵組件失效可能是由于軟件設計錯誤、硬件故障、人為誤操作等原因引起。關鍵組件失效將造成服務中斷、數據丟失等危害。
　　據分析，2003年8月14日發生的美加大停電事故，原因是因為電力傳輸線路突然發生故障所致，這就屬于關鍵組件失效造成的安全事故。

　　（2）自然災害
　　自然災害（如：火災、臺風、水災、地震、海嘯等）造成系統故障、數據被破壞，從而導致服務不可用。

　　4.結束語
　　在深入分析了電力信息系統的安全風險和威脅后，可以采用防火墻、入侵檢測系統、漏洞掃描系統、防病毒系統、數據備份、主機防護等技術和產品進行縱深防御，并對員工進行定期的安全培訓，提高他們的技術水平和安全意識，從而保障電力信息系統的安全、穩定、優質運行。