庞大复杂的电力系统始终缺乏安全感
2020年6月,REvil勒索软件攻击巴西电力公司Light S.A,被黑客勒索1400万美元赎金;2020年4月,欧洲能源巨头EDP公司遭Ragnar Locker勒索软件攻击,面临10TB的敏感数据泄露风险和支付近千万欧元赎金;2019-2020年,委内瑞拉电力系统两年内遭遇多次网络攻击,导致全国大规模停电事故……骇人听闻的网络安全事件频频在电力行业上演,庞大复杂的电力系统始终缺乏安全感。
乘着数字化浪潮,电力行业作为国家关键信息基础设施,在积极拥抱数字化转型的过程中,由于自身网络复杂、业务特殊、系统繁多等特性,迎来了前所未有的网络安全风险与挑战。
“不同于普通的操作系统出现安全隐患通过打补丁的方式就可以应对,电力行业对生产系统连续性要求极高,当遭遇网络安全风险时几乎不可能停机进行检修,更不支持在实网中开展攻防实训、技术验证、病毒样本采集分析、模拟风险预警演练等工作。这使得建设具有电力行业特性的网络靶场,全场景构建网络安全仿真验证环境的需求日益迫切”。某电力集团相关负责人总结了电力行业网络靶场建设的必要性,并概括了以下三点需求。
- 贴合行业特点,全场景仿真:对电力行业重要信息系统和关键信息基础设施的网络架构、业务行为、数据联动、工业区网络架构、业务逻辑等进行模拟仿真,建立安全可控,覆盖发、输、变、配、用、调度全环节的网络安全仿真验证环境。
- 立足实际需求,持续性运营:贴合电力行业场景和安全防护需求,持续运营靶场,不间断进行靶标的更新、攻防手段的丰富、漏洞的迭代,以及场景的变换等资源库的升级和扩充,常态化训练全网人员实战防御水平和应急响应能力,定期组织开展软硬件测试、协同演练、方案推演验证、安全技术与研究、效能评估、实战风控等任务。
- 数据资源共享,全空域联动:解决行业已有的攻防靶场、培训靶场、网络安全仿真验证环境等各类不同架构、不同模块资源共享问题,建立靶场综合管理体系和靶标资源管控等系统,实现集团与行业共享共用。
作为网络空间业务的基础科学装置,网络靶场成为电力行业提高防控能力、防范化解重大风险、构建全场景网络安全防护体系的重要基础设施。
经过对多家主流安全厂商的比较,该电力集团最终从至少15家竞标企业中选择了在专有云网络靶场构建方面更具独特优势,在平行仿真技术上取得突破创新应用的永信至诚达成合作。
双方基于对电力行业和集团网络安全防护体系建设的共同理解和认知,实战化构建电力行业大规模、多层次、高仿真、高柔性、全场景的网络靶场,形成“平台+内容+运营”三位一体的服务模式,全面支撑网络安全研究、人才培养、实战演练、安全测试、效能分析及战术推演等,“让错发生在靶场”,让安全感在实战化检验、试验中提升。
建设基础环境:采用虚实结合技术路线,从物理环境、网络环境和计算环境等维度建设仿真靶场。物理环境建设,从整体上进行场地规划建设,划分调度指挥展示区、技能培训教学区、练兵比武竞技区、模拟演练仿真区等功能区域,并部署功能化系统及虚实仿真环境,分场景、分主题、灵活性开展靶场任务演练。网络环境建设,根据电力信息系统典型网络拓扑结构,建设满足“安全分区、网络专用、横向隔离、纵向认证”总体原则的网络环境,为常态化的网络攻防演练提供接近于真实的实训试验基地。计算环境建设,利用虚拟化技术,将由多台计算服务器与存储组成的计算集群与存储集群,构建成覆盖全区域的计算资源池,实现计算资源的弹性可伸缩和集中管理,以支撑应用系统部署。
部署专有云平台:部署符合靶场大规模、高频次特点的专有云管理平台,支撑底层虚拟化技术对计算、网络、虚拟、存储等海量资源的平滑调度和分配,实现网络靶场的底层统一、多区域协同演练和靶场数据互联互通,贯穿于数据管理、共享服务管理、插件与接口、数据分析等各大功能,并从业务流程、人员、资源、网络链路等多角度进行统一管理。
构建高仿真场景:基于10 万+节点网络环境的平行仿真系列技术,快速对管理信息类、生产控制类、电力监控等关键信息基础设施范畴的信息系统,从级别、数量以及规模上进行全场景模拟,包括复杂网络架构、数据逻辑、人员行为等。同时利用平台海量的靶标库、场景库、攻防工具库、漏洞库、攻防及业务流量库等资源内容,在同一基础设施上,根据实际需求灵活组建不同业务场景,最大限度优化实体资源使用效率,在有效控制成本的前提下,实现从简单到复杂的多场景快速迭代。
支撑全流程任务:从资源管理、任务规划、任务准备、任务实施和任务结束,全流程支撑靶场任务高效完成。任务进行时,系统会实时采集靶场中的任务流量、带外数据、内部行为、系统状态、交互信息等各方数据,基于多维度多层次的网络攻防评估模型,进一步完善人才质量管理体系,更加科学地培养、选拔和评价网络安全专业人员,并为科技研发、检验检测、应急演练、事故复盘等提供更加全面的支撑。
持续运营让网络靶场用起来
建设网络靶场只是第一步,作为支撑国家网络安全战略建设的重要基础设施,网络靶场是一个系统化的工程行为,除了要有贴近实战需求的功能、专业的技术支持,还要真正把靶场用起来,让网络靶场和电力业务相互融合促进,为企业和社会创造价值。关于靶场运营的需求,该电力集团与永信至诚达成高度一致。
持续积累靶标等资源:在靶场的使用过程中,运维人员既可以针对实体设备接口和特定信息系统定制开发靶标,也可以通过网络空间探测技术和平行仿真自动构建技术,智能获取和分析目标网络信息,进而自动创建靶标,并定期对靶标库、场景库、攻防工具库、漏洞库、流量库等进行迭代升级,由此不断在运营实践中积累靶标等内容资源;
组织靶场任务开展:基于网络靶场完备易用的平台功能和丰富的靶标等内容资源,组织分公司级、集团级和行业级的安全技术研究与验证、软硬件安全测评等工作,规划演习演练、人才实训等方案,制定人才培养、内容教学等计划。实现集团内部、集团与行业的互联互通和靶场共享共用,提升全行业业务安全防护能力。
构建靶场运营能力:运维人员经过靶场使用培训以及一系列关于任务逻辑、角色分工等经验和方法的传递,构建靶场运营能力,能够自主基于平台的人机交互界面、各应用子系统之间的松耦合设计和完善的功能流程,通过仿真拓扑图和靶标,搭建适合自身业务需求的仿真环境,并根据实际任务的开展,快速调整靶场环境,建立与更新符合自身业务的各种应用场景。
“目前,依托于网络靶场平台,集团已经组织了一次面向集团级的实战攻防演练和两期人才培养实训及网络安全竞赛演练”,该电力集团相关负责人表示。“随着电力行业网络靶场的深入建设与持续运营,复盘历史重大网络安全停电事故,开展安全研发和技术检测,检验方案、设备、技术有效性,提升集团乃至全行业人员安全意识和防护技能,降低重大网络安全事故发生的可能性等等,这些基于网络靶场进行的系统化测试检验活动也正在一一提上日程。保障电力可靠供应,保护国家关键信息基础设施的安全防御能力,正在这片大规模、实战化的演练场上得到历练和提升。”