李祝红+杜炳+赵灿明+冯绍兴

摘要：针对于电力信息网络日益猖獗的攻击行为，利用目前企业中已有的安全防护设备，结合国内外针对APT攻击的安全研究技术，构建一套新型纵深防御体系模型，形成安全威胁防护闭环。

關键词：纵深防御；APT；大数据；威胁分析；威胁检测

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2017）07-0192-02

1 电力信息安全新威胁

随着信息安全[1]环境的恶化和安全威胁的日益严峻，攻击者的目标方式和攻击心理都正在发生快速变化。攻击者的动机已不仅仅在于炫耀技术，已从自我满足，无利益诉求转向团队化作战、获取商业、政治利益为目的的攻击方式，受政治、经济等多方面影响更具有功利性，攻击者形成利益群体，分工明确，目的性强，伴随着地下黑色产业链的利益效应，攻击者群体更为明确、专注的攻击目标，且行为更为隐藏，持续性时间可长达数年。此外，云计算、虚拟化、大数据、移动互联网等新技术在电力行业迅速应用，也不可避免的引入新的安全问题并对当前的信息安全防护能力[2]提出新的挑战。

近些年来针对电力工控系统的攻击事件日益频繁，如席卷全球工业界的震网（Stuxnet）病毒攻击使得伊朗核工业基础设施遭到重创；代号夜龙（Night Dragon）的APT攻击使得5家跨国能源公司遭到攻击，超过千兆字节的敏感文件被窃，包括油气田操作的机密信息、项目融资与投标文件等；blackenergy APT攻击使得乌克兰多家电厂设施被感染，造成大面积停电，整个城市陷入恐慌，损失惨重。这一系列的安全事件，凸显了网络新型攻击的高威胁性，这里总结了新型网络攻击与企业防护能力[3]的关系。

2 新型纵深防御体系

2.1 安全需求

电力信息网络系统具有复杂性、开放性、动态性等特点，这些特点使其具有天生的脆弱性，如拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等，让安全事件的层出不穷，既有来自外部的恶意入侵，又有来自内部的权限滥用，来自内、外部的安全风险给信息安全工作带来了不小的压力与挑战。面对严峻的信息安全形势和复杂的信息安全挑战，结合新型网络攻击的不断演进，加上电力行业信息安全发展需要，新型电力系统纵深防御体系必须是从签名式到行为分析，从单产品到多产品组合联动，有效应对高级威胁和未知风险的防护体系。

2.2 APT攻击防御方案

在之前的部分，讨论了当前的攻击者类型，及由此而来的新一代威胁；同时由于传统的安全技术很难应这种新型的威胁，因此进一步讨论了需要怎样的技术来应对。在这一章希望提供一些具体方案层面的建议。

正是因为传统安全防御机制在APT攻击下缺乏必要的监测能力，因此近年来有大量的建立较完善传统防御机制的企业被APT攻击者成功得手，针对APT攻击，国内外安全界一直保持持续关注和研究，并提出了多种不同的检测或预防技术，本文提出的威胁分析系统就是其中核心技术之一。

威胁分析系统可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件，发现利用0day漏洞的APT攻击行为，保护客户网络免遭0day等攻击造成的各种风险，如敏感信息泄露、基础设施破坏等。

系统共三个核心检测组件：病毒检测引擎、静态检测引擎（包含漏洞检测及shellcode检测）和动态沙箱检测引擎，通过多种检测技术的并行检测，在检测已知威胁的同时，可以有效检测0day攻击和未知攻击，进而能够有效地监测高级可持续威胁，其主要功能如下：

2.2.1 动态沙箱检测（虚拟执行检测）

动态沙箱检测，也称虚拟执行检测，它通过虚拟机技术建立多个不同的应用环境，观察程序在其中的行为，来判断是否存在攻击。这种方式可以检测已知和未知威胁，并且因为分析的是真实应用环境下的真实行为，因此可以做到极低的误报率，而较高的检测率。如图1所示。

2.2.2 集成多种已知威胁检测技术：AV、基于漏洞的静态检测

静态漏洞检测模块，不同与基于攻击特征的检测技术，它关注与攻击威胁中造成溢出等漏洞利用的特征，虽然需要基于已知的漏洞信息，但是检测精度高，并且针对利用同一漏洞的不同恶意软件，可以使用一个检测规则做到完整的覆盖，也就是说不但可以针对已知漏洞和恶意软件，对部分的未知恶意软件也有较好的检测效果。

2.3 防御体系构成组件

本文提出的新型纵深防御体系，包含未知威胁检测模块、威胁防护模块、大数据安全分析模块、综合安全管理平台。通过模块间的关联动作，检测和防御进入企业的全部威胁，对网络、邮件、终端等传统安全威胁进行检测防御，也对APT高级威胁进行检测防御。

2.3.1 未知威胁检测模块

威胁分析系统作为该防御体系的未知威胁检测模块，是核心模块。首先威胁分析系统对网络流量进行文件还原，对恶意软件进行识别；另外通过开放API接口，威胁分析系统还对邮件网关和终端的可疑文件进行检测，并把检测的结果进行反馈，实现对威胁的阻断关联。

2.3.2 威胁防护模块

企业网络中已部署的入侵防护系统、安全网关系统，是该防御体系的防护模块。这些产品既发挥传统安全产品的功能，又能与威胁分析系统关联协同，组成安全防护体系。在该防御体系中，提交传统防护模块不能识别的可疑文件，有威胁分析系统进行分析，并根据分析结果进行阻断。

2.3.3 大数据安全分析模块

通过收集未知威胁检测模块和威胁防护模块的告警信息，综合网络和主机的日志，进行数据索引和分析，抽丝剥茧，进行攻击的蛛丝马迹的洞察。

2.3.4 安全管理平台

安全管理平台负责管理各个模块，下发检测和防护策略，采集设备的状态信息存储告警日志，进行报表呈现等。

3 新型纵深防御体系的构建措施（如图2所示）

面对网络高级威胁时建立的一个简易安全防御体系模型，以此类推针对邮件高级威胁和终端高级威胁所构建的防御体系模型与此类似，以上这些场景核心都是威胁分析系统加上一种专业安全防护系统的组合方案。还可以根据实际的业务需求，防护系统进行组合，比如网络和邮件，邮件和终端等。根据防护通道的侧重来选择和组合不同的部署场景。

通过此纵深防御体系，可有效检测和防御APT威胁，帮助企业建立安全防护的金钟罩。

4 结语

本文提出的新型纵深防御体系，从网络边界到内网终端，既能防御传统安全威胁，还特别针对APT攻击进行检测和防御，形成预警、检测、防护、清除的安全威胁防护闭环。

新一代威胁以及 APT 攻击在近年逐渐被政府及企业重视起，从时间上看来，攻击者在多年以前就开始使用新一代的手段和技术，但是到现今才被市场真正的重视，这似乎预示着防御总是会落后于攻击。但是市场并没有一致的认识，怎样的方案是适合的，本文中提出的新型纵深防御体系模型希望能给大家一些启发，帮助找到满足业务需要的解决案。

参考文献

[1]国家发展改革委员会.发改委14号令 电力监控系统安全防护规定[S].2014.

[2]张晓兵.下一代网络安全解决方案[J].电信工程技术与标准化，2014，27（6）：59-61.

[3]张拥军，唐俊.基于云模型的网络安全态势分析与评估[J].计算机工程与科学，2014，36（1）：63-67.endprint