聚焦电力监控系统内控安全,防范恶意代码“触电”
2020-10-09
电力监控系统包括调度主站、发电厂、变电站、输配电和电量采集等业务环节,具备“点多、线长、面广”等特点,以下类别恶意代码在传播、活跃期间常会“触电”。
电力监控系统的安全防护是复杂的系统工程,其总体安全防护水平取决于其最薄弱点的安全水平。虽然电力企业已具备传统的恶意代码基础防范能力,但普遍对电力监控系统的适用性不强,无法满足电力监控系统内控安全需求,如:电力监控系统工业控制场景下的恶意代码监测分析能力;国产操作系统自身安全免疫能力提升;以及针对电力监控系统特有网络协议(如IEC104、IEC61850等)的恶意文件样本分析还原能力。
1. 恶意代码防护防范现状分析
信息技术应用创新带来的新一轮更替
电力企业建立基于自主可控的底层架构和标准,陆续开展软硬件更新迭代进程。传统的存量安全产品兼容性、协议适配、底层生态无法满足未来发展需求,如何促进安全产品底层能力提升,上层业务拓展已成需要思考的新问题。
网络架构的天然局限性
由于电力监控系统的网络封闭性,导致防恶意代码系统的病毒库和行为规则库等更新依赖于人工,存在更新升级时效性慢、运行维护效率低等问题。亟待需要实现统一集中管控,迈向简单化、智能化的更新升级模式。
聚焦内控安全,完善防范机制
电力监控系统业务稳定性往往直接关系到安全生产,一旦出现故障,后果极其严重。亟待形成事前预警、事中防控、事后溯源分析能力。统一规范安全设备上线前的检验和业务影响范围检验是非常关键的环节。
2. 如何防范恶意代码“触电”
结合电力监控系统恶意代码防范现状,构建预防为主、防杀结合的恶意代码长效管理与应急处理机制,全面落实“早发现、早报告、早隔离、早防杀”的防恶意代码工作原则,提高快速反应和应急处理能力。
海王捕鱼恶意代码防护体系聚焦内控安全,从事前、事中、事后三个阶段防范恶意代码“触电”。在终端侧针对多种类型的国产操作系统进行恶意代码防范,增加系统自身免疫能力;在网络侧进行恶意代码流量检测分析,确保防护工作不留死角;并设计安全分析中心、安全管理中心,强化终端、网络威胁关联分析,综合分析攻击源头,快速定位受害区域,动态展示恶意代码攻击事件的分布情况。
事前监测预警
1)恶意流量监测分析:监测分析网络流量中的恶意入侵行为,发现并还原电力监控系统网络流量中的宏病毒、木马程序、蠕虫病毒、恶意脚本、后门软件、勒索病毒等。
2)高级威胁分析:进行未知威胁分析,能够有效检测网络流量中未知的恶意软件,发现利用0day漏洞的APT攻击行为。如敏感信息泄露、基础设施破坏等。对于保障电力监控系统的运行连续性和完整性有着极为重要的意义。
事中威胁防护
1)采用终端免疫查杀防护:对主机中的程序、文件、病毒样本等进行恶意代码检测,并具有实时防护功能,主动阻止恶意代码的访问、传输和运行。
2)安全管理中心:根据电力监控系统管理职能需求,配套实现多级安全管理模式。根据分析中心关联分析结果,能够对终端免疫防护程序进行集中配置、策略下发和文件防护配置,可动态调整安全防护策略,实现“事中”威胁事件防护统一管理。
事后追踪溯源
安全分析中心:恶意代码防护体系的中枢大脑,能够对恶意代码事件实时监视和在线分析,利用大数据分析技术,为恶意代码事件追踪溯源提供技术支撑。
3. 恶意代码监测系统部署意义
3.1 满足安全合规
海王捕鱼的恶意代码技术指标满足电力监控系统安全规范要求,可以协助电力企业加强对恶意代码的防范。
加强对恶意代码的防范,可避免遭受电力监控系统主机感染而造成的经济损失,提高业务系统稳定性。同时也规避电力监控系统主机遭受攻击后带来大规模停电,造成社会秩序混乱和影响居民用电等恶劣影响。
3.2 恶意代码防范必要性分析
聚焦电力监控系统内控安全,贴合业务特点,进行电力监控系统场景深度融合,融入电力专有协议识别及文件还原能力;利用大数据技术,形成恶意代码威胁事件关联分析;采用未知威胁检测等持续可运营的安全防护理念,最大限度保障电力监控系统的稳定、高效、安全运行。
4. 总结
对电力监控系统而言,恶意代码防范将成为未来重点工作。“十四五”期间需进一步规范电力监控系统恶意代码建设,覆盖各级调度机构和厂站,全面提升电力监控系统恶意代码防护能力。
