小心“触电”!给电力行业插上数据安全“大脑”
电力行业数据安全
电力安全攸关国家安全、社会稳定和经济发展。近年来,随着互联网在工业控制系统中的广泛应用,针对电力行业的各种网络攻击事件日益增多。
行业案例
真实案例:
2020年上半年,能源、电网、水利等关键基础设施领域多次成为网络攻击靶心。今年2月,美国电力公司受到黑客组织攻击;5月,委内瑞拉国家电网再遇网络攻击,造成全国大面积停电……
上述案例还只是冰山一角,但是造成的损失和社会影响面非常之大。充分了解电力系统所面临的安全威胁,可以帮助我们认识到电力行业网络安全的重要性。
业务场景再复杂也要保障万无一失
电力系统遭受攻击造成的影响:社会生产瘫痪、交通瘫痪、人员伤亡、设备损坏、环境污染等。
正因为以上特点,让我国电力行业信息安全建设在起步较早情景下,最先提出了“安全分区、专网专用、横向隔离、纵向认证”的行业要求。电力行业涉及发电、变电、输电、配电、送电、售电等众多环节,业务场景非常复杂,但是电力无小事,电力行业的数据安全要确保万无一失,是我们面临的紧迫问题。
为何时常会被动“挨打”?
电力数据主要有二大类。一类是电网运行、设备检测或监测产生的大数据,主要有能量管理系统、配网管理系统、广域量测管理系统、电网调度管理系统、图像监控系统等;另一类是电力企业营销产生的大数据,如95598客户服务系统、电能量计量系统、用电信息采集系统等。
电力大数据具有数据体量大、数据类型多、价值密度低、处理速度快的特点,在大数据管理中主要存在以下几个问题:
1、数据分类分级不明确
目前电力行业缺少对各类数据分类、定级的指导标准和治理工具,造成敏感数据定义不清、位置不明等情况,在数据管理时眉毛胡子一把抓,造成巨大的人力、物力和财力的浪费。
2、用户行为检测不智能
电力企业终端多,2大电网员工约180多万人,同时存在大量无人机、智能电表等物联网智能终端设备,每天产生以TB级为单位的数据量。如果依赖传统的IDS、IPS、FW、S6000等系统对已知的规则进行安全检测和防护,缺乏灵活性自学习能力,容易引起误判和失判,很难精确定位到人或终端。
3、数据流转交换难管控
随着电力大数据的广泛应用和云管平台的建设,在大数据共享、交换过程中,涉及到敏感数据和个人隐私数据的使用,缺乏相应的大数据安全保障机制、数据信任体系和手段等,存在数据共享难、安全保障难等问题。
4、安全运维监管不到位
电力企业的应用系统、业务系统、数据库等IT系统多且复杂,有大量的外包及开发人员,系统运维人员能力参次不齐,出现非法查询、非法导出、误删除等违规行为,给数据安全带来较大风险。
5、恶意行为攻击难溯源
在日常安全运营中,现有的技术和措施难以对攻击行为进行捕获和分析,较难推测出攻击者的意图和动机。由于防守方信息不对称,导致在安全运营中处于被动挨打局面。
安全防护体系建设思路与方案
1、建设数据全生命周期安全风险管理的平台
在总部或省公司信息管理大区部署数据风险管理平台,实现对数据的分类、分级和标识的自动化处理。通过用户实体行为的分析、用户个人隐私数据的识别、数据防泄漏、数据防篡改、数据脱敏等一系列安全能力,实现对S6000系统的赋能和数据资产的动态管理。做到多层次、智能化的安全防护。后续可陆续部署到生产管理大区。
2、部署基于机器学习的用户实体行为分析系统(UEBA)
UEBA系统以用户为中心,通过对系统日志、安全日志、网络流量、威胁情报等数据进行处理、分析和整合,完成用户、实体、行为三要素关联,形成用户的行为基线,通过用户画像和资产画像,检测出诸如账号失陷、主机失陷、数据泄漏、权限滥用等风险,发现网络中周期长、频率低、隐蔽强的安全事件,以极高的准确率定位异常的用户。
3、提升基于堡垒机的人员准入和安全管控能力
在技术上要进一步完善堡垒机的安装部署,管理上要对堡垒机的策略进行优化,实行最小权限管理和进行命令级别的权限控制,如禁止全盘执行“rm-fr/”这样的操作等。对管理员和运维人员的权限进行细粒度管理,进行登记造册,并定期检查和优化运维人员的权限。或对远程运维人员的IP、MAC地址进行绑定,实现全程记录和监控,避免“删库跑路”的事件发生。尤其是即将离职人员,要及时收回或降低其管理权限。
4、完善欺骗式防御系统弥补传统安全防护短板(蜜罐)
通过蜜罐系统对攻击方进行“欺骗”,达到反制的目的。布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,实现对攻击行为的捕获和分析,来了解攻击方所使用的工具与方法,以此推测攻击意图和动机,对其攻击进行溯源,甚至可以实施反击。在合规层面,满足《网络安全法》中提出的“通过实战攻防提升攻防实战水平”的要求。
总结
面对电力行业数据体量大、类型多、防范难的特点。建议在管理方面健全现有制度、优化管理流程、提升人员能力和做好常态化安全意识教育。在技术方面聚焦敏感数据保护,通过数据风险管理、用户实体行为分析、蜜罐等新安全技术的研究和部署,形成全面的数据安全管理防护体系。