(铠撒团队项目总负责人赵凤伟老师在总结会上发言)
在攻防实战之前,北京铠撒团队针对**集团对各电厂提出的“生产控制大区不能被攻破,内外网边界和内网服务不被攻破,控制对互联网边界和服务的渗透”这个目标,严格落实电力监控系统防护规定,坚持“安全分区、网络专用、横向隔离、纵向认证”的方针。
铠撒团队对**电厂生产大区的物理安全、网络边界安全、主机安全的整体架构重新规划部署,排查生产大区所辖信息系统的网络安全隐患,不留死角;对所有安全设备防护策略进行梳理,迭代进行整改加固、内部攻防检测,把**电厂的各项安全防御措施做实、做到位,全面筑牢**电厂的网络安全防线,最终实现了**行动的工作目标,胜利完成了**行动。
(赵凤伟老师现场指导工作)
此次行动是对**电厂网络安全防护体系的重大考验,现将**行动的整体过程总结:
一、 **行动之前的整体规划及部署
1. 坚持并落实**电厂**行动的安全目标
“进不来、看不懂、改不了、拿不走、跑不掉”,此目标和国家等保2.0的目标一致,正如铠撒的理念一样,“安全源自未雨绸缪”,安全防患于未然。
2. 分析生产大区的安全架构
从**电厂的整个电力监控系统的网络拓扑结构图入手,通过在现场的问、查、看、测等手段进行各种隐患排查。重点检查各个大区之间的边界连接情况,找出边界安全风险,排查有无跨区互联的情况,同时了解安全设备的部署,整个过程共用时五天。
3. 对网络和安全设备进行检查部署
1) 对于防火墙的规则配置要狠。
通过排查,发现防火墙策略存在any到any允许的情况,根据安全基线要求,必须的业务采用白名单策略,最后部署禁止any to any。通过抓包,确定该业务使用的通信协议和端口,在防火墙上精确配置此策略,保证了业务的可用性和系统的安全性。
2)入侵检测IDS作为防火墙最有力的补充,其配置要准确,尽量避免漏报、误报。
3)日志审计服务作为事后事件追溯的重要依据,部署在最后,对防火墙和重要的服务器的所有操作都记录在案,所以对其策略的部署要做到细致。
4)对于生产大区边界的单项隔离配置要做到绝对安全,
单项隔离号称电力生产大区边界的命门。通过登陆信息大区和环保专线与生产大区之间的隔离发现,目前电厂单向隔离的配置并不规范,存在极大的安全隐患。通过单项隔离的安全基线确保其策略的安全性。
4. 对**电厂的信息系统进行漏洞扫描与渗透测试
1)电力系统的等级保护2.0规定,不允许信息系统出现高危漏洞,然而漏扫报告显示共计六百多个漏洞中,高危漏洞占据漏洞的三分之一,大部分系统都有永恒之蓝漏洞,而对于上级单位的某些应用系统,甚至发现了CSRF跨站脚本攻击,工业电视监控和安全管理平台系统中存在STRUCTS2漏洞。
2)铠撒团队针对这些典型漏洞做了渗透测试,很快能够拿到所在系统的管理员权 限以及远程控制的权限。通过漏扫和渗透测试我们对电厂的生产大区的安全风险做到了心中有数。
3)对于这些漏洞风险我们分成了四类:
I.在对于操作系统级别的漏洞,采用官方网站下载补丁修补漏洞,针对微软已停止补丁的更新,比如:sever2003升级到2012。
Ⅱ.针对数据库漏洞,官方网站进行补丁的下载和更新。
III.是针对网站漏洞,涉及到源代码审计,靠补丁已经不能解决问题,只能采取前端部署应用防火墙(WAF),或者对其开发程序进行升级改造。
IV.配置漏洞,开发商或者供应商在给甲方做项目是没有遵循安全配置基线。基线是最小化的安全配置。建议电厂在以后的项目开发之前做出自己数据库基线、应用系统基线、安全设备基线等。
二、**行动期间的保障措施的落实
“保障贵在风雨同舟”,**行动期间,针对电厂信息人员的应急处置能力薄弱这一现状,铠撒团队安排具有渗透和安全加固能力的工程师入驻**电厂,进行内外网边界、内网第三方边界等边界处突发安全事件的监测,第一时间收集网络攻击信息,并进行重要策略的实时更新。期间充分保障了**电厂的网络安全。
三、**行动结束后的安全整改建议
**行动结束之后认真提炼攻防演练过程中的先进管理经验及暴露出的问题,对之前下线关停的设备进行漏洞扫描和渗透测试,同时对发现问题的设备和系统进行补丁更新及重新加固。
此次**行动因时间紧迫,采取的措施是部分薄弱系统断电断网停设备,然而这并不能解决我们电力系统网络安全的根本问题。后续有大量的工作需要进行,铠撒团队将发现问题进行分类归纳总结,汇总如下:
1、网络安全核心人才的培养
1)培养电力系统网络安全架构师
生产大区是电力系统的心脏,而目前电力系统现状是缺乏既懂信息安全又懂电厂生产的综合性安全人才,那么如何避免电力系统的网络安全人才被边缘化,如何做到保障电力系统整体架构的安全,如何实现我们的预防检测响应恢复,如何建立电力系统的纵深防御体系,如何把等保2.0的安全架构思想落实到电力系统,这些问题的出现让培养电力系统的安全架构师迫在眉睫。安全架构师能够站在全局考虑安全部署,他把电力系统的各个安全组件有机的整合在一起,充分的发挥各自的作用。
2)培养电力系统网络安全渗透工程师
俗话说,知己知彼百战不殆,通过学习渗透技术,才能从黑客的角度去思考安全问题。
3)培养网络安全内审员(测评师)
让安全评估常态化,每个月进行一次漏洞检测和安全评估。
2. 制定电厂整体的安全解决方案
立足于全局,保障电力系统横向和纵向的架构安全;各个大区之间的边界安全;在管理和流程上防止像伊朗这种内部人员违规因优盘问题导致的恶性事件,避免出现人的风险;制定“三分技术,七分管理”,以人为核心,流程为关键,技术为保障的管理体系,建立电力系统网络安全纵深防御体系(P2DR2)。
3. 电厂培养自己的安全核心人员
掌握电力系统的核心技术,同时建立电厂新业务上线审查流程,对新上线的业务系统,必须通过第三方安全测评,拿到安全测评报告,才可以运行上线运行。
总之,通过这次**行动,铠撒团队对电力系统安全现状可谓是喜忧参半,**行动已结束,而我们的网络安全保卫战才刚刚打响,结束即开始!
安全源自未雨绸缪、保障贵在风雨同舟
铠撒网安学院(北京铠撒信息技术有限公司)
