电力企业网络信息安全漏洞管理分析孟令卓

电力企业网络信息安全漏洞管理分析孟令卓

孟令卓冀爽郝丽彤

国网吉林省电力有限公司四平供电公司吉林四平136000

摘要：漏洞作为网络威胁的根源之一，管理好漏洞做好安全防护措施，构建网络安全系统，是电力企业网络信息安全的基本要求。电力企业网络安全技术的应用和发展，需要明确考虑在安全系统设计中针对漏洞跟管理的缺陷，从漏洞情报收集、检测、危害评估和处置多个方面入手，设计新的漏洞管理系统，以满足漏洞管理工作的需要。本文在新型漏洞与攻击的不断增长的背景下，探究并研究现阶段防御与风险监控管理的要求，从漏洞管理现状入手，分析如何优化电力企业网络信息安全漏洞管理，综合提高电力企业网络信息安全漏洞管理水平。

关键词：电力企业；网络信息安全；漏洞管理

引言

2015年12月23日，乌克兰电力网络受到黑客攻击，导致伊万诺-弗兰科夫斯克州数十万户大停电，1个月后，安全专家证实这起停电源于黑客通过恶意软件攻击电网所造成。黑客造成大停电的情节不只存在于影视作品中，实际上电厂与电力设施每天都遭到黑客攻击。漏洞是网络信息安全“万恶之源”。由于软件缺陷、应用和IT设备的错误配置，以及常规的错误，每天都会有新的漏洞产生，漏洞没有得到有效处置就会一直累积，安全风险逐渐增大。网络安全问题成为电力企业信息化发展必须要考虑的重要议题，本文将从电力企业信息网络安全需求入手，从漏洞与漏洞管理的问题进行分析，探讨做好电力企业信息安全防护的有效措施，制定合理的安全策略，提升电力企业当前的信息系统漏洞管理水平。

1电力企业信息网络安全漏洞管理现状与问题

随着20世纪末的电力体制改革，电力信息化开始快速发展，电力企业的信息化建设开始重视统一化、集成化。在国家电网公司和南方电网公司智能电网建设的全面推开背景下，电力公司信息化业务也已经向互联网和移动应用发展，云计算和物联网技术得到广泛应用，促进电力行业信息系统的快速增长，但同时也造成大量安全漏洞出现，且由于软件缺陷、应用和IT设备的错误配置，以及常规的错误，每天都会有新的漏洞产生，漏洞没有得到有效处置就会一直累积，安全风险逐渐增大。在国家监管部门的强力监管要求下，电力企业建设了相对完善的信息系统安全保障体系，包括信息安全组织体系、信息安全管理体系、信息安全技术标准体系、信息安全服务与培训体系等，各项制度完善，管理理念相对领先。总体来说，电力企业各级领导高度重视信息安全建设与管理工作，漏洞管理水平得到有效提升[1]。受技术条件和人力资源限制，目前电力公司常用的方法采用漏洞扫描系统定期进行漏洞扫描，或定期开展安全检查来发现安全漏洞，然后进行修复加固工作。这种传统的漏洞管理方式，主要存在以下问题：（1）漏洞规则更新滞后。目前主流的漏洞扫描产品厂商，一般每1~2周更新一次漏洞扫描特征库，且不一定更新到最新发布的漏洞，这就意味着从漏洞被公布，到工具具备扫描能力至少需要1~2周或更长时间。（2）漏洞检测周期过长。针对电力行业信息网络规模庞大、资产数量多、资产类型复杂、软件种类众多的特点，资产管理和安全管理的任务繁重且复杂。对所有资产完成一轮次漏洞扫描工作需耗时数月；扫描完成需根据扫描结果分析资产的责任部门，将风险清单分别通报给各部门，经过流程流转到各资产负责人进行处置，这样的工作流程与方式，不仅耗时长，而且时效性不足，对漏洞处置效率影响较大。（3）漏洞处置效率低下。漏洞处置与漏洞检测一样，需要耗费较长时间。从风险清单流转到资产责任人，到完成整个风险整改，不仅流程复杂，而且效果不佳，远远不能适应当前严峻的网络安全形势。目前已有充分证据表明，网络攻击者已经尝试利用各类漏洞，通过自动化手段进行批量攻击。对于攻击者而言，公开披露的漏洞信息中有大量的高危易利用漏洞，“性价比”很高，通过这些漏洞可以获得系统或主机的高级权限。对于关键信息基础设施运营者而言，这是一场和时间赛跑的持久战，如何抢在攻击者发难之前修补漏洞成了当务之急，但目前所采用的传统模式已经很难有效应对这一急剧增加的网络安全风险[2]。

2提升电力企业网络信息安全漏洞管理水平的有效措施

2.1建立与漏洞管理需求相适配的IT资产管理机制

首先通过加强IT资产管理，识别资产的操作系统、应用、组件的类型、版本信息，当高危漏洞爆发时，根据漏洞影响的资产类型及版本等信息，快速定位漏洞影响范围，继而紧急开展漏洞处置工作。许多大型企业都建立了CMDB（配置管理系统）对IT资产信息进行管理，但是由于资产数据普遍依靠人工维护，数据信息与实际不一致、不准确、不完整的情况较为严重。单位引入了资产采集雷达，结合CMDB系统用于对比发现在线资产的动态变化，自动识别网络资产的类型和版本信息。由于目前资产采集雷达准确率普遍不高，为提高准确率，单位还进一步引入了资产审核流程，构建了新IT资产管理机制：当系统发现新增资产或已有资产发生变化时，自动发起变更确认流程，相关责任人完成资产的类型、版本等技术信息确认，并补充相关资产归属、资产用途等管理信息，通过技术与管理相结合，实现资产全生命周期动态管理，以适应快速定位漏洞影响的资产范围的需要[3]。

2.2建设实时漏洞情报采集和实时风险分析与验证系统

通过与第三方安全机构合作，共建漏洞情报库，能够实时获取国内外主流漏洞管理组织的漏洞情报信息，经过数据治理，掌握漏洞影响的资产类型和版本信息、漏洞风险等级和漏洞处置方案等关键数据。对实时漏洞库与实时资产库进行动态规则匹配，实时产出漏洞风险清单，并且根据资产的归属信息，快速流转到风险处置责任人进行处置，实现漏洞的快速定位与风险任务的快速派发。同时，漏洞情报库还将自动采集可用的POC程序，根据策略要求对风险清单所述风险进行自动验证，大大降低使用版本规则匹配造成的风险误判。

2.3设计电力企业漏洞危害评估标准，指导漏洞修复优先等级

当前漏洞风险等级评价方式，主要参考国内的《信息安全技术安全漏洞等级划分指南》（BT30279-2013）和国外的《通用漏洞评分指南》（CVSS），但漏洞管理组织对漏洞风险的等级划分，缺乏实际性的参考，对漏洞在特定资产中的风险危险分析不具备实质性的作用。例如一个对机密性和完整性造成重要影响的高危漏洞，对一个对机密性和完整性没有太多需求的信息系统而言，不一定造成高危风险。为此，单位与第三方安全机构合作研究，根据CVSS3.0标准，引入了系统安全防护能力这一评价指标用于指导环境度量指标的修正，结合信息资产的实际安全需求，重新评估每一个漏洞对具体信息资产的实际风险[4]。

结束语

电力企业网络安全信息漏洞管理，要针对目前漏洞管理存在的检测周期过长、处置效果不好等缺陷，构建与电力企业发展漏洞管理需求匹配的IT资产管理机制，构建漏洞快速治理管控平台，及时获取漏洞情报信息，结合内外网资源快速定位漏洞相关的信息资产，精准评估漏洞危害等级，指导资产相关部门快速消除漏洞或隔离利用条件，以实现有效管控网络安全风险的目的。

参考文献：

[1]杨博，汪文丽.电力企业网络信息安全防护体系的构建[J].中小企业管理与科技（下旬刊），2018（11）：134-135.

[2]肖鹏，苏永东，张睿，宋春.电力企业中网络信息安全管理的应用[J].现代工业经济和信息化，2018，8（03）：65-66+74.

[3]李天鹏，周莹.电力企业网络信息安全的管理策略[J].电子技术与软件工程，2018（05）：212.

[4]牛斐.电力企业网络信息安全的防范措施[J].大众用电，2017（S1）：166-167+178.