電力局域網(wǎng)APT攻擊技術(shù)以其安全防護(hù)措施

摘 要：本文首先對(duì)APT的技術(shù)特點(diǎn)進(jìn)行分析，并結(jié)合電力局域網(wǎng)的特點(diǎn)，提出了適用于電力局域網(wǎng)的抵御APT攻擊的策略。分別從技術(shù)層面和人為層面對(duì)防護(hù)策略進(jìn)行的分析。

關(guān)鍵詞：電力局域網(wǎng)；APT防護(hù)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TM732 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 （2014） 22-0000-01

近年來，關(guān)于APT攻擊電力局域網(wǎng)的事件不斷發(fā)生，攻擊者一般采用較為先進(jìn)的手段，對(duì)目標(biāo)進(jìn)行長(zhǎng)期、持續(xù)、深入的調(diào)查和滲入，對(duì)目標(biāo)系統(tǒng)中的數(shù)據(jù)進(jìn)行竊取和破壞，給電力行業(yè)帶來很大的危害。因此，如何針對(duì)電力局域網(wǎng)對(duì)APT攻擊進(jìn)行防護(hù)是現(xiàn)如今電力企業(yè)研究熱點(diǎn)。本文將首先對(duì)APT攻擊的技術(shù)特點(diǎn)進(jìn)行分析，從而提出有效防御APT攻擊的策略。

一、APT攻擊技術(shù)簡(jiǎn)介

（一）APT全名是Advanced Persistent Threat，叫做高級(jí)持續(xù)性威脅。作為一種網(wǎng)絡(luò)攻擊方式，APT攻擊具有很強(qiáng)的潛伏性。該攻擊的主要工作原理是，利用企業(yè)或組織的網(wǎng)絡(luò)中一些被授權(quán)的應(yīng)用程序中存在的漏洞，透過漏洞將木馬種植到企業(yè)的計(jì)算機(jī)之中，只是最終形成CC網(wǎng)絡(luò)。APT攻擊具有較強(qiáng)的針對(duì)性，在攻擊之前先對(duì)目標(biāo)主機(jī)的使用情況進(jìn)行信息的收集，一般采用各類零日方式進(jìn)行搜集；此外，APT攻擊還針對(duì)目標(biāo)用戶的業(yè)務(wù)流程進(jìn)行全方位的信息搜集，此類信息的收集一般通過社工工程技術(shù)來實(shí)現(xiàn)。

（二）APT攻擊過程。APT攻擊過程一般分為三個(gè)階段，分別是攻擊準(zhǔn)備、外部滲透和內(nèi)部攻擊。其中攻擊準(zhǔn)備始終利用網(wǎng)絡(luò)釣魚或社會(huì)工程學(xué)方法對(duì)目標(biāo)的信息進(jìn)行搜集，并對(duì)信息進(jìn)行分類和處理，對(duì)之后的階段的攻擊做好準(zhǔn)備。在攻擊的準(zhǔn)備工作做好之后，攻擊者就要通過各種方法滲透到目標(biāo)的內(nèi)部網(wǎng)絡(luò)之中，這一過程稱為外部滲透。外部滲透一般分為兩種情況，一是目標(biāo)內(nèi)網(wǎng)沒有與因特網(wǎng)進(jìn)行連接，對(duì)于這種情況，APT攻擊一般采用U盤或一些存儲(chǔ)介質(zhì)來進(jìn)行滲透；對(duì)于另一種內(nèi)網(wǎng)與因特網(wǎng)相連的情況，APT攻擊可以采用數(shù)據(jù)庫(kù)注入、惡意鏈接、惡意郵件等方式進(jìn)行外部滲透。在滲透過程實(shí)現(xiàn)之后，APT攻擊就進(jìn)入了第三個(gè)階段，對(duì)目標(biāo)進(jìn)行內(nèi)部攻擊。一般是對(duì)內(nèi)網(wǎng)中的信息進(jìn)行竊取、篡改和破壞等行動(dòng)。

二、電力局域網(wǎng)APT防護(hù)措施

局域網(wǎng)技術(shù)已經(jīng)深入到電力生產(chǎn)和管理的全過程之中，電力生產(chǎn)和管理的各個(gè)方面都用到了局域網(wǎng)的技術(shù)，都需要在電力公司局域網(wǎng)內(nèi)進(jìn)行數(shù)據(jù)傳輸。因此一旦電力系統(tǒng)的局域網(wǎng)受到APT的攻擊，使得局域網(wǎng)的運(yùn)行出現(xiàn)了故障，不僅對(duì)電力企業(yè)正常的工作和管理產(chǎn)生影響，同時(shí)也會(huì)造成數(shù)據(jù)的流失和破壞，極易發(fā)生信息泄漏事件。因此，有效抵制APT對(duì)電力局域網(wǎng)的攻擊將具有非常重要的意義。下面將會(huì)針對(duì)電力局域網(wǎng)內(nèi)對(duì)APT的防御策略進(jìn)行描述和分析。

首先面對(duì)如APT這類經(jīng)過攻擊者精心設(shè)計(jì)的攻擊，要對(duì)其有一個(gè)全面的可視性，了解APT的攻擊途徑，存在哪些風(fēng)險(xiǎn)，現(xiàn)在局域網(wǎng)處于什么狀態(tài)等，其次要有快速準(zhǔn)確的分析性，即局域網(wǎng)被APT攻擊之后，要利用相應(yīng)的工具來快速準(zhǔn)確的定位和分析問題。具體的策略和方法有以下幾種：

（一）安裝網(wǎng)頁過濾器和系統(tǒng)補(bǔ)丁。由于APT攻擊的主要途徑之一就是利用因特網(wǎng)與電力局域網(wǎng)的連接，通過系統(tǒng)漏洞及具有隱蔽性釣魚技術(shù)等手段進(jìn)行攻擊。由于如今電力企業(yè)的日常工作和管理過程中，需要接入因特網(wǎng)，同時(shí)也需要通過局域網(wǎng)來進(jìn)行網(wǎng)內(nèi)成員數(shù)據(jù)的交流。這就使得APT攻擊者利用一些釣魚技術(shù)在網(wǎng)頁以及郵件中加入惡意鏈接，使得電力系統(tǒng)人員在瀏覽網(wǎng)站或是郵件的時(shí)候很有可能點(diǎn)擊這些惡意鏈接，從而使得APT病毒滲入到了電力局域網(wǎng)之中。那么通過對(duì)電力企業(yè)人員的計(jì)算機(jī)和服務(wù)器中安裝網(wǎng)頁過濾器，可以有效地將帶有惡意鏈接的網(wǎng)站和郵件進(jìn)行攔截和屏蔽。同時(shí)定期給內(nèi)部員工的計(jì)算機(jī)安裝補(bǔ)丁，對(duì)電腦系統(tǒng)的漏洞進(jìn)行修復(fù)，不給APT病毒滲入局域網(wǎng)的機(jī)會(huì)，有效的防御了APT的攻擊。

（二）利用日志文件對(duì)APT攻擊進(jìn)行識(shí)別。由于APT攻擊在局域網(wǎng)中一般采用協(xié)調(diào)的方式運(yùn)行，具有較強(qiáng)的隱蔽性，如果基于某個(gè)孤立的事件進(jìn)行對(duì)APT攻擊進(jìn)行識(shí)別難度較大，但是如果將各系統(tǒng)的信息管理起來的話，就會(huì)發(fā)現(xiàn)各個(gè)看似孤立的事件之間存在著很多的聯(lián)系，而這些信息聯(lián)系起來對(duì)APT攻擊的識(shí)別具有很大的指導(dǎo)意義。例如，在電力局域網(wǎng)中，防火墻、DNS、網(wǎng)頁過濾器、Web網(wǎng)關(guān)代理等一系列模塊的日志文件中都有關(guān)于APT攻擊的痕跡，可以通過設(shè)立APT攻擊確定的基準(zhǔn)線，來表示對(duì)APT攻擊的敏感度，當(dāng)達(dá)到基準(zhǔn)線時(shí)，即調(diào)取各模塊的日志文件，對(duì)APT攻擊進(jìn)行確定。

（三）分層防御策略。在電力局域網(wǎng)中，針對(duì)APT具有潛伏性、隱蔽性等攻擊特性，采用分層防御策略可以對(duì)生命周期各階段對(duì)威脅進(jìn)行防護(hù)，是對(duì)APT攻擊進(jìn)行抵御的有效的方法。具體工作流程是：（1）首先對(duì)現(xiàn)電力局域網(wǎng)中已經(jīng)存在的防火墻、入侵防護(hù)系統(tǒng)、反惡意軟件包和入侵檢測(cè)系統(tǒng)等控制定期進(jìn)行審計(jì)和整理，確保部署一致；（2）根據(jù)公司內(nèi)各單位業(yè)務(wù)需求，實(shí)行內(nèi)外網(wǎng)隔離措施，有外網(wǎng)業(yè)務(wù)聯(lián)系的單位，實(shí)行專門電腦上網(wǎng)，做好安全防護(hù)，沒有外網(wǎng)業(yè)務(wù)的單位斷開與互聯(lián)網(wǎng)的連接，最大限度的保護(hù)內(nèi)網(wǎng)數(shù)據(jù)的安全運(yùn)行，防止APT對(duì)內(nèi)網(wǎng)的攻擊和破壞；（3）在電力局域網(wǎng)中部署安全事件和事故管理系統(tǒng)，此管理系統(tǒng)可以從不同的來源對(duì)安全數(shù)據(jù)進(jìn)行搜集和關(guān)聯(lián)，對(duì)APT攻擊的痕跡進(jìn)行檢測(cè)；（4）在電力局域網(wǎng)中加入數(shù)據(jù)丟失防護(hù)系統(tǒng)，由于電力系統(tǒng)中關(guān)于用戶的信息數(shù)據(jù)的量很大，若發(fā)生數(shù)據(jù)流失和破壞，對(duì)電力企業(yè)的影響很大。數(shù)據(jù)丟失系統(tǒng)就能檢測(cè)出將敏感信息在局域網(wǎng)內(nèi)的移除，并此行為進(jìn)行阻止。另外，由于電力系統(tǒng)中的人員對(duì)于互聯(lián)網(wǎng)安全的安全知識(shí)存在匱乏，可以在電力局域網(wǎng)中加入內(nèi)容過濾系統(tǒng)，進(jìn)一步防止電力人員的失誤導(dǎo)致APT病毒的滲入。

上述三種方法是從技術(shù)方面對(duì)APT攻擊進(jìn)行防御。然而，應(yīng)對(duì)APT攻擊最困難的地方不是技術(shù)層面的，而是電力系統(tǒng)內(nèi)成員是否具有應(yīng)對(duì)APT威脅的決心，這就要求電力局域網(wǎng)內(nèi)所有成員規(guī)范自己上網(wǎng)習(xí)慣，提高警惕。大家共同協(xié)作，團(tuán)結(jié)一心定會(huì)抵擋住APT攻擊的入侵。保護(hù)電力局域網(wǎng)的數(shù)據(jù)安全和正常運(yùn)行。

三、結(jié)束語

本文針對(duì)電力局域網(wǎng)防御APT的攻擊從技術(shù)層面和人為層面進(jìn)行分析，針對(duì)APT攻擊的技術(shù)特點(diǎn)提出三種應(yīng)對(duì)APT攻擊的技術(shù)策略，同時(shí)實(shí)現(xiàn)方面，需要所有電力成員彼此協(xié)作，共同建立起抵御APT攻擊的堅(jiān)實(shí)護(hù)盾，保證對(duì)電力局域網(wǎng)的數(shù)據(jù)安全和正常運(yùn)行。對(duì)促進(jìn)整個(gè)電力行業(yè)的健康快速發(fā)展都有著重要意義。

參考文獻(xiàn)：

[1]張帥，對(duì)APT攻擊的檢測(cè)與防御[J].信息安全與通信保密，2011（09）：125-127.

[2]江原.APT攻擊的那些事[J].信息安全與通信保密，2011（11）：22-23.