为适应电力行业信息化和产业化发展的大趋势,电网大集体企业通过强强联合、充分发挥技术和资源优势,业务范围覆盖电力生产、调度、营销、信息管理等领域。随着电网大集体企业对网络的依赖程度越来越高,网络攻击也对企业的安全运转带来的非常大的威胁,但企业对网络安全的重视程度并不相同,部分企业存在安全管理不细、安全技术措施不全、终端内外网访问控制不严、资产台账不清、弱口令屡禁不止、私搭网络、代码违规托管在第三方开源平台、违规外联等问题。

在实战攻防演习任务中,存在通过收集大集体企业敏感信息,并以大集体企业系统和网络作为跳板进入到管理信息大区的攻击尝试。如何在常态化、覆盖全网的实战攻防演习背景下提升实战化网络安全保障能力是大集体企业网络安全管理者的重大挑战。经过奇安信在电力行业多年的实战化运营经验积累,建议在传统安全建设、运维体系的基础上,着重开展以下五方面工作。

一、互联网资产暴露面梳理

对互联网应用进行梳理,形成明确的资产清单,杜绝私搭私建行为,避免IT资产脱离管控。资产清单信息包括不限于所属单位、应用名称、访问方式、所属单位、内容描述、接入方式、域名、域名方式、外网IP、外网端口、内网IP、内网端口、上线时间、部署位置、服务器信息、中间件信息、数据库信息、运维信息、资产责任人等。要确实做到资产“底数清、情况明”,尤其对长期不维护不使用的“僵尸”系统务必确保全量关停下线,确保资产风险被发现和加固。

可采用web漏洞扫描技术、系统漏洞扫描技术、操作系统探测技术、端口探测技术、服务探测技术、Web爬虫技术等各类探测技术进行资产发现。

二、敏感信息泄漏探查

情报收集是攻击队开展工作的必要基础手段,其会通过搜索引擎、学术类网站、网盘、代码托管平台、招投标网站、文库、社交平台、漏洞通报平台等地探查与目标系统相关的资料、信息,作为防守单位有必要定期清理互联网上存在的敏感信息,包括系统技术方案、系统架构、软件源码、网络拓扑图、各类账号及口令等。

三、内网终端安全管控

针对部分大集体企业终端基数大、内外网访问未隔离、终端准入管控不严、违规外联的情况,可借助全流量分析和威胁情报能力进行全网终端病毒治理,把威胁域名进行逐一核实,依靠安全设备的威胁检测、终端安全管控系统的日志管理分析,结合对多个情报来源进行对比后,在安全设备和终端上阻断确认的恶意域名链接。

随着实战攻防演习对抗模式升级与变化,终端已经逐渐成为攻击的首选,终端对包括鱼叉攻击、系统文件白利用等终端攻击手段的精确检测发现变得尤其重要。通过持续终端行为采集、安全风险告警、威胁深度调查、多维度响应等手段,做好内网终端安全管控,尽可能压缩攻击者对内网终端的攻击时间,降低威胁通过内网终端达到攻击目的可能性。

四、社会工程学攻击防范

提高员工与第三方安全厂商人员保密意识,所有电网行业内部文件、信息(账号、密码、业务系统源代码、漏洞情况、系统域名、IP等)一律不得外泄;提高其网络安全意识,所有通过邮件、电话索要电网行业文件和信息的,一律不给;加强对电网行业数据的安全保护,梳理并彻底删除所有开发人员、运维人员、服务人员工作邮箱、个人邮箱(139、126、163、qq邮箱等)中与电网行业相关的邮件;落实办公和生产场所安全护卫工作,严格履行进站联系单审核制度,发现可疑人员,立即汇报区域安全代表,并主动实施行为管控。

由定期开展信息安全意识培训升级为信息安全意识实测,真实检验员工信息安全意识水平,检验各部门、各单位信息安全意识工作开展成效和应急处置能力;潜移默化地让员工接受信息安全观念,帮助员工减轻数据泄密、病毒攻击、违规操作等困扰,构筑牢固的信息安全意识防火墙、构建信息安全文化氛围;积极推进信息安全防御体系建设、执行企业信息安全防护标准要求,为提升网络与信息安全防范能力提供教培依据。

五、持续开展技术检测

制定年度网络安全工作计划,持续开展技术检测,尤其是要开展日常全流量威胁分析即查即改,确保安全设备策略有效,树立安全措施不到位是失职、安全设备用不好是渎职的理念,克服设备一买、万事大吉的倾向。网络安全整改通知单要责任到人、查缺补漏、稳步推进、落实保障形成闭环。

网络安全工作讲一百遍不如“打”一遍,要通过实战化场景审视电网大集体企业的网络安全体系。网络安全管理与运营水平的提高,离不开电网公司网络安全归口管理部门的指导和帮助,电网大集体企业应继续在电网公司网络安全归口管理部门的指导下,有效落实网络安全工作责任制,坚决把网络安全抓紧、抓细和抓实,坚持“科学发展、安全运营”的原则,进一步加强信息基础设施的网络安全建设,完善安全运营管理体系,完成年度网络安全管理目标任务。

声明:本文来自奇安信安全服务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。