2019, Vol. 37 
表 1(Table 1)
电力信息网络系统漏洞扫描分析
引用本文
王鹏, 李秀芬, 韩俊飞. 电力信息网络系统漏洞扫描分析[J]. 内蒙古电力技术, 2019, 37(02): 33-35.[doi:10.3969/j.issn.1008-6218.2019.02.024]
WANG Peng, LI Xiufen, HAN Junfei. Analysis of Vulnerability Scanning in Power Information Network System[J]. Inner Mongolia Electric Power, 2019, 37(02): 33-35.[doi:10.3969/j.issn.1008-6218.2019.02.024]
电力信息网络系统漏洞扫描分析
内蒙古电力科学研究院, 呼和浩特 010020
摘要:针对电力信息网络系统存在的安全漏洞带来安全隐患的问题,进行了信息安全漏洞扫描工作的需求分析。对内蒙古电力(集团)有限责任公司电力信息网络系统的网站程序及承载应用系统的主机、中间件等系统软件进行了漏洞扫描,并对扫描结果进行统计分析,据此提出漏洞扫描工作的加固方案,以确保电力信息网络系统安全运行。
关键词:信息安全
电力信息网络系统
漏洞扫描
Web漏洞
主机漏洞
Analysis of Vulnerability Scanning in Power Information Network System
Inner Mongolia Power Research Institute, Hohhot 010020, China
Abstract:
Based on the security vulnerability of power information network system, this paper analyzes the need of information security vulnerability scanning. In Inner Mongolia Power(Group) Co., Ltd., electric power information network system of site procedures and bearing application system of host software, middleware, and other system vulnerability scanning, and the scan results are statistically analyzed, on the basis of which the reinforcement scheme of vulnerability scanning work is put forward to ensure the safe operation of electric power information network system.
Key words:
information security
power information network system
vulnerability scanning
web vulnerability
host vulnerability
0 引言
4 漏洞扫描加固方案
电力系统信息化进程的加快,使得电力行业智能化发展迅速,从控制大区的配电自动化到信息大区智能办公系统,信息技术带给电力行业的不仅仅是高效、方便,也带来了安全隐患。近年来,针对电力行业的信息安全事件也逐渐增多,如乌克兰的大范围停电事件,黑客攻击了7个110 kV变电站和23个35 kV变电站,导致8万用户断电,造成了恶劣影响。2015年,美国国防部高级研究计划局(DARPA)启动了一项名为“快速攻击检测、隔离和表征(RADICS)”的计划,针对有可能导致全美电力系统瘫痪的安全威胁,以建立能应对电力损失的自动化系统。《中华人民共和国网络安全法》也在2017-06-01实施,标志着我国对网络安全的重视程度提高到了法律层面。
为了确保信息系统网络安全,国家电网公司于2013年已全面开展了信息系统漏洞扫描工作,包括信息通信机房和基础设施、通信设备、通信链路等设备、设施和系统的漏洞挖掘工作[1-2]。
本文对内蒙古电力(集团)有限责任公司(以下简称内蒙古电力公司)8个盟市的电力信息网络系统进行漏洞扫描及其结果分析,据此提出漏洞扫描加固方案,以确保电力信息网络系统的安全运行。
1 信息安全漏洞定义及分类信息安全漏洞是1982年由美国计算机专家D. Denning博士提出的,其将漏洞定义为:导致操作系统执行的操作和访问控制矩阵所定义的安全策略之间相冲突的所有因素。现如今,信息系统漏洞的定义为:应用软件或操作系统软件在逻辑设计上的缺陷或错误,被不法者利用,通过网络植入木马、病毒等方式来攻击或控制整个电脑,窃取电脑中的重要资料和信息,甚至破坏系统。
信息安全漏洞按照危险级别可分为高危漏洞、中危漏洞和低危漏洞。中高危漏洞极易被黑客利用,且危害范围广,网上也容易找到中高危漏洞的利用工具,可直接获得系统管理员权限,进行系统的数据修改或删除,对信息应用系统影响大。
信息安全漏洞按照产生来源可分为Web安全漏洞和普通安全漏洞,分别对应的是Web应用系统的中间件所暴露的漏洞,主要包括Apache、Openssh等操作系统和应用系统之间的通用服务漏洞;普通安全漏洞主要是操作系统存在的漏洞,包括未安装的系统补丁漏洞,操作系统安全配置漏洞等。
2 漏洞扫描工作需求分析内蒙古电力公司负责建设运营自治区中西部电网,供电区域72万km2,承担着8个盟市农牧业生产及城乡1388万居民生活供电任务。包括500 kV变电站24座,220 kV变电站141座,110 kV及以下电压等级变电站906座。涉及大小信息系统上百个,网络、通信设备几千台,用户终端4万余台。2016年,电网完成售电量146.464 TWh,统调装机63.6436 GW。
在信息化建设的过程中,信息安全问题也逐渐显现出来,如某信息系统存在目录遍历漏洞;某信息系统缺乏验证码检查,有被暴力破解风险。多年养成的信息终端使用习惯,使得大部分人员疏于对操作系统的漏洞更新,这也成为2017年5月Wanna-Cry病毒大规模爆发的原因之一,甚至众多内外网隔离后的企业内部网络也没有逃脱病毒的攻击。从终端安全,到网络设备安全、信息系统安全甚至物理环境的安全,整个电力信息网络系统对信息漏洞扫描工作的需求迫在眉睫。
3 漏洞扫描及结果分析 3.1 外网信息系统存在漏洞情况2017年,对内蒙古电力公司13个外网信息系统进行了漏洞扫描安全检测工作。首先收集了信息系统的基本情况,包括应用系统的系统名称、资产类型、编号、设备名称、主机位置、应用说明、产品型号、内网IP地址、外网IP地址、登录方式、登录端口、操作系统、数据库、中间件、URL等,并采用Web漏洞扫描工具进行检测,结果如表 1所示。检测共发现Web安全漏洞41个,其中高危漏洞11个。从表 1可以看出,该电网信息系统对外提供的Web服务中,在信息泄露和客户端攻击类型存在漏洞较多,说明该信息系统在开发全过程中对信息安全重视程度不够,存在较严重的典型漏洞;高危漏洞存在概率较高,包括内容欺骗、拒接服务、资源位置可预测、认证不充分、SQL注入、系统命令执行、跨站脚本攻击等,说明信息系统在开发全过程中缺乏信息安全测试及上线安全测试工作[3]。
|
表 1 Web漏洞统计表 |
虽然电力信息网络系统在经过内外网隔离后,暴露在外网的信息系统数量已经大幅度减少,信息安全风险有了一定程度的减少,但企业的门户、新闻等网站不可避免地仍要对外提供信息,由于电力行业的特殊性,营销、客服等系统也必须对外提供服务,造成了较大的信息安全隐患。
3.2 应用系统漏洞存在情况对于部署在电力信息网络系统中的应用系统,测试人员对搭载信息系统的主机进行了普通漏洞扫描工作,主要针对主机的操作系统(Windows、Unix、Linux)、中间件(IIS、Tomcat、Apache等)、数据库(Aqlserver、Mysql等)进行扫描,主机漏洞分类情况如表 2所示。本次扫描共发现漏洞61个,其中高危漏洞6个,中危漏洞38个。
|
|
表 2 主机漏洞分类表 |
从表 2可以看出中间件Apache漏洞较多,说明在应用系统运行维护过程中,缺乏主动对中间件补丁的升级工作[4]。漏洞扫描结果表明,在应用系统后期运维过程中,建设方只考虑了功能的需求,并未考虑安全性的需求,造成中间件设备只要“可用”就行,只有当功能达不到要求时,才进行升级工作。
表 3为公共漏洞(CVE)年份分类表,由表 3可以看出新的漏洞出现情况较多,说明新的漏洞升级不及时,这也是内外网隔离后带来的信息安全隐患之一[5]。内网虽然与外界环境接触减少,但在减少外来攻击风险的同时,也使得操作系统、中间件等漏洞的升级不及时,统一安装的内网杀毒软件,可以大面积覆盖办公用操作系统的升级工作,但对于搭载应用系统的服务器主机、中间件以及应用系统本身的漏洞都无法及时升级更新,这就需要运维人员对其进行及时更新。
|
|
表 3 CVE年份漏洞统计分类 |
通过本次漏洞扫描,发现电力信息网络系统存在较大的安全隐患,为更好地提高系统的安全性,对漏洞扫描工作进行改进。针对漏洞扫描检查出的信息应用系统漏洞分布情况,采取专项信息应用系统加固方式,Web应用漏洞由建设厂家在维护人员协助下负责加固;普通漏洞由维护人员负责加固。加固完成后继续使用漏洞扫描工具进行扫描,形成加固—扫描—加固的闭环模式。在扫描结果中无高危漏洞后,组织第三方专业人员进行渗透测试,进一步对信息应用系统的安全性进行探究,检测逻辑漏洞和0day漏洞等,模拟黑客对信息应用系统的渗透破坏过程,从而制订更加完善的加固方案。
5 结语漏洞扫描可以提高信息应用系统的安全性,使其达到等级保护的相关要求。本文提出的漏洞扫描加固方案可以持续增强应用系统的健壮性,保证信息应用系统在建设技术水平不断革新的同时,其安全性也满足基本的企业需求。
参考文献
| [1] |
娄一艇. 电力系统信息安全漏洞运维管理的研究[J]. 网络空间安全, 2017(8): 61-64. |
| [2] |
姜成斌. 论漏洞扫描技术与网络安全[J]. 中国信息界, 2012(3): 58-62. DOI:10.3969/j.issn.1671-3370.2012.03.017 |
| [3] |
王旭. 漏洞扫描技术在电网信息安全中的作用与实践[J]. 电力信息安全, 2011(9): 157-160. |
| [4] |
司群. 信息安全漏洞分类研究[J]. 铁路计算机应用, 2015(2): 13-16. DOI:10.3969/j.issn.1005-8451.2015.02.007 |
| [5] |
秦强. 互联网网络的安全漏洞及防御体系研究[J]. 信息安全与技术, 2015(5): 24-30. DOI:10.3969/j.issn.1674-9456.2015.05.009 |