行業(yè)動態(tài)

當(dāng)前位置：首頁 > 資訊中心 > 行業(yè)動態(tài)

烏克蘭電網(wǎng)被黑，能源網(wǎng)絡(luò)安全幾何

發(fā)布時間：2017-02-10 08:37:00 點擊：

日前，烏克蘭伊萬諾—弗蘭科夫斯克地區(qū)數(shù)十萬家庭遭遇大面積停電的新聞引發(fā)國際社會關(guān)注。很快，安全專家就證實，這是一起由黑客攻擊引發(fā)的事件。隨后，國外有安全公司聲稱已取得該事件的惡意代碼。據(jù)悉，這是有史以來首次導(dǎo)致電網(wǎng)大規(guī)模停電的網(wǎng)絡(luò)攻擊，可謂工業(yè)控制（以下簡稱工控）安全領(lǐng)域又一起大事件。

電網(wǎng)是怎樣被“黑”的？

國外安全公司研究人員證實，烏克蘭電力部門所感染的是一款名為BlackEnergy（黑暗力量）的惡意軟件，該軟件不僅能夠關(guān)閉電力設(shè)施中的關(guān)鍵系統(tǒng)，還能讓黑客遠(yuǎn)程控制目標(biāo)系統(tǒng)。據(jù)了解，Black Energy最初在2007年被發(fā)現(xiàn)，之后不斷更新功能，可針對新聞機構(gòu)、電力公司以及其他產(chǎn)業(yè)群體進(jìn)行間諜活動。

本次攻擊共包括3大部分：惡意軟件、停機后的證據(jù)清理、指向電話系統(tǒng)的拒絕服務(wù)攻擊。攻擊者先在微軟辦公文檔中嵌入惡意宏文件，再以郵件形式定向發(fā)送給目標(biāo)企業(yè)，并通過偽裝誘騙員工打開附件，從而將惡意代碼植入烏克蘭電力公司的SCADA（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)），獲得電力系統(tǒng)斷路器的控制權(quán)限。之后，該代碼又啟動了惡意代碼“KillDisk”(硬盤數(shù)據(jù)清除)，破壞計算機硬盤驅(qū)動器的關(guān)鍵部分，以此銷毀SCADA系統(tǒng)主機的數(shù)據(jù)。這一方面使電力設(shè)備的恢復(fù)變得更加艱難，另一方面使得后繼調(diào)查人員難以取證。隨后，黑客對電力企業(yè)的技術(shù)支持電話發(fā)起拒絕服務(wù)攻擊，使得各大電力公司的呼叫中心一直處于忙碌狀態(tài)，阻礙電力運營商遠(yuǎn)程修復(fù)工控系統(tǒng)主機。

分析整個事件，我們不難發(fā)現(xiàn)以下問題：

一、事件的罪魁禍?zhǔn)资菒阂廛浖募?。攻擊者同時使用了Black Energy與KillDisk攻擊電網(wǎng)工控系統(tǒng)，再加上對運營商遠(yuǎn)程修復(fù)所用的電話系統(tǒng)進(jìn)行拒絕服務(wù)攻擊，使打擊更徹底。目前，還出現(xiàn)了另一種解釋——最新的BlackEnergy還包括一個特殊后門，以幫助攻擊者遠(yuǎn)程訪問并感染電力系統(tǒng)。

二、工控安全領(lǐng)域缺乏理想的取證手段。在此類事件的調(diào)查中，最為關(guān)鍵的環(huán)節(jié)在于根據(jù)相關(guān)系統(tǒng)日志進(jìn)行溯源分析。但是，目前眾多工控系統(tǒng)缺少針對日志記錄的取證審計功能。因此，當(dāng)工控系統(tǒng)遭遇攻擊或意外事故時，取證能力非常有限。

三、SCADA系統(tǒng)安全方面的薄弱性。SCADA系統(tǒng)被廣泛應(yīng)用于電網(wǎng)、能源、交通以及通訊等多個領(lǐng)域，但是安全性卻相當(dāng)薄弱。根據(jù)NSS實驗室的漏洞威脅報告，2012年以來，有關(guān)重要基礎(chǔ)設(shè)施如電網(wǎng)、供水、電信、交通等SCADA系統(tǒng)的漏洞數(shù)量增長了600%。

不僅僅是停電那么簡單

工控系統(tǒng)是由計算機設(shè)備與工業(yè)過程控制部件組成的自動控制系統(tǒng)，是工業(yè)設(shè)施與自動化系統(tǒng)的中樞神經(jīng)。隨著互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，工控系統(tǒng)的網(wǎng)絡(luò)化浪潮正在澎湃式推進(jìn)。據(jù)美國某信息安全公司的研究報告，目前世界各國仍然有大量的工控系統(tǒng)接入互聯(lián)網(wǎng)。就經(jīng)濟(jì)角度而言，這是一種便捷有效的方法，但從安全角度看，卻是極其危險的行為。

一旦電力系統(tǒng)被黑客入侵，停電是較低級的危害，還可能導(dǎo)致信息外泄，甚至發(fā)生電力過載、電源故障、爆炸等可怕的后果，損失十分慘重。劍橋大學(xué)風(fēng)險研究中心與某保險公司聯(lián)合發(fā)布的報告顯示，每破壞50個向電網(wǎng)供電的發(fā)電機，就會導(dǎo)致2430億美元至1萬億美元的經(jīng)濟(jì)損失。

盡管此次烏克蘭電網(wǎng)事件看似是一起滋擾級別的攻擊活動，沒有人員傷亡亦沒有爆炸等后續(xù)狀況，但安全專家擔(dān)憂，對SCADA系統(tǒng)的攻擊或可演變?yōu)獒槍抑匾A(chǔ)設(shè)施進(jìn)行毀滅性打擊的現(xiàn)代軍事手段。一旦電力與通信體系被破壞，國家調(diào)動防御、組織反擊的能力必將受損。

當(dāng)前，國際形勢極為復(fù)雜，戰(zhàn)爭形態(tài)也發(fā)生了重大變化。有些國家專門成立了網(wǎng)軍司令部，除了配合軍隊進(jìn)行直接干擾和打擊外，還可針對國家關(guān)鍵基礎(chǔ)設(shè)施的指揮調(diào)度系統(tǒng)進(jìn)行干預(yù)和破壞。網(wǎng)絡(luò)武器很可能隱藏在政府機關(guān)、金融、航空航天、能源生產(chǎn)、化工車間等目標(biāo)網(wǎng)絡(luò)中，并在必要時發(fā)揮作用，達(dá)到電網(wǎng)瓦解、通信中斷、飛機鐵路無法正常運行、衛(wèi)星指揮調(diào)度系統(tǒng)失靈等目的。

面對如此可怕的后果，難道我們要坐以待斃嗎？答案顯然是否定的。工控系統(tǒng)網(wǎng)絡(luò)安全專家曾提出多項警告，指出整個行業(yè)亟須制定并實施防火墻、入侵檢測以及加密等技術(shù)方案。事實上，針對這起電網(wǎng)攻擊可以在3個階段進(jìn)行有效攔截。首先，對郵件內(nèi)包含的所有文件進(jìn)行動態(tài)行為鑒定，一旦判定為惡意行為就將其刪除或隔離。第二，對系統(tǒng)關(guān)鍵進(jìn)程進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)可疑操作立即阻斷其執(zhí)行。第三，阻斷惡意代碼對外連接，設(shè)置IP黑白庫，對系統(tǒng)外聯(lián)的IP地址進(jìn)行過濾，攔截與惡意服務(wù)器交互的所有網(wǎng)絡(luò)數(shù)據(jù)包。

隨著能源互聯(lián)網(wǎng)等概念的興起及電力市場改革的不斷推進(jìn)，未來大量的終端用戶可能會通過無線通信、互聯(lián)網(wǎng)等方式與能源系統(tǒng)產(chǎn)生信息互動。目前，中國智能電網(wǎng)建設(shè)正如火如荼地推進(jìn)，電網(wǎng)企業(yè)剛剛體驗到大數(shù)據(jù)、信息化的方便快捷。因此，國家相關(guān)部門應(yīng)當(dāng)盡早從國家安全的角度制定互聯(lián)網(wǎng)接入型電力工控服務(wù)方案的標(biāo)準(zhǔn)，推動制定國家電力行業(yè)信息安全戰(zhàn)略，盡快建立相對成熟的電網(wǎng)信息安全保護(hù)機制。至少，應(yīng)當(dāng)對電力工控系統(tǒng)中的危險因素深入了解，形成完整的應(yīng)急響應(yīng)預(yù)案。

上一篇：全國保密專項服務(wù)工作業(yè)務(wù)培訓(xùn)班在京舉辦

文章評論

行業(yè)動態(tài)

烏克蘭電網(wǎng)被黑，能源網(wǎng)絡(luò)安全幾何

烏克蘭電網(wǎng)被黑，能源網(wǎng)絡(luò)安全幾何