1.引言
电力信息系统由网络、设备和数据等要素组成,其中每个要素都存在着各种可被攻击的弱点。网络线路有被窃听的危险;网络连接设备、操作系统和应用系统所依赖的各种软件在系统设计、协议设计、系统实现以及配置等各个环节都存在大量的安全弱点和漏洞,有被利用和攻击的危险。每天都有新的安全漏洞在网上公布,每天都有系统受到攻击和入侵,每天都有计算机犯罪的报道,每天都有人出于好奇或其他目的加入到网络黑客的行列中。而且攻击者的手段也越来越多,面对一个复杂性日益增长的网络环境进行安全需求分析,动态地、发展地认识安全隐患和威胁是安全需求分析的重要前提。只有深入了解电力信息系统的网络发展和应用现状,结合对其网络软硬件设备的基础和原理的专业分析,才能深入了解影响电力系统信息安全的、潜在的矛盾、隐患和现实状况,才能制定出一整套完整而科学的网络安全结构体系,才能从根本上解决电力信息系统的网络安全。
2.电力信息系统的安全风险
攻击电力信息系统的黑客既可能来自电力系统的内部,也可能来自外部。内部攻击通常来自员工、系统管理员等,据权统计,在所有破坏安全活动中占近80。外部攻击主要来自竞争对手、政府或任何不怀好意的组织和个人。也就是说,风险同时存在于Internet网络的两端。电力信息系统的主要安全风险包括:
(1)用户标识截取:标识截取是指暗中发现合法用户的身份验证信息,通常是用户名和口令,这是大多数电力信息系统采用的安全防护措施。如果入侵者知道了某个用户的用户名和口令,即使该用户并没有额外的特权,也可能危及网络的安全。如果用户名,更重要的是口令,以明文的形式通过网络发送,入侵者通过常用的协议分析软件监视网络通信,可以截取用户标识信息。如果口令仍以明文格式保存在用户计算机的内存中或硬盘上,入侵者有很多种方法可以发现这些口令。而且,如果口令被记在某处或很容易被猜到(如电话号码、生日、汽车牌照号码、配偶或孩子的名字等),就更容易受到入侵者的攻击。另外,各种广为传播的黑客工具都试图利用几种语言的常用词的词典来获得口令。
(2)伪装:当未经授权的用户假装成合法用户,进入电力信息系统时就发生了伪装。当未经授权的用户企图冒充系统超级用户和具有附加管理特权或系统管理特权的其他用户时,标识截取是最危险的。因为入侵者已经截取了某个合法用户的标识,或者因为入侵者已经设法误导系统相信其拥有更多的而实际上却没有的特权,所以伪装是可能发生的。地址欺骗是伪装一种形式,在这种伪装中,入侵者虚构一个可信系统的IP地址,然后使用该地址获取已授予的对被假冒的设备或系统的访问权限。
(3)重放攻击:当登录队列受到监视时,例如,使用协议分析程序,可以将登录队列记录下来,以便以后“回放”。入侵者使用这种技术设法哄骗网络登录服务器验证合法用户的身份,而入侵者无需知道该用户的用户名和口令。或者,入侵者将登录服务器过去已经接受过的相同的加密或散列名称或密码,传递给该服务器。
(4)数据截取:当应用程序以明文格式通过网络传递数据时,通过电缆的分接头和监视设备可以截取数据,使得未经授权的人员能够捕获和访问调度数据广域网传输中的控制命令、参数设置、用电营销、电力交易报价等敏感数据。
(5)非法使用:非授权使用计算机或网络资源时,网络系统的安全就受到了威胁。例如,未受到保护的财务数据可能会按照入侵者的利益被修改并使用。
(6)否认:大多数发生在基于网络的业务活动中,如对电量交易和所做的操作进行否认。
(7)病毒:病毒是一种进行自我复制、广泛传染,对计算机及其数据进行严重破坏的计算机程序。由于病毒具有隐蔽性与随机性的特点,使用户防不胜防。根据国际权威机构对美国的调查表明,98的企业遇到过计算机病毒问题,63被病毒破坏数据和系统,病毒给企业带来的影响是时间和人力的浪费,重要数据文件损失造成触目惊心的经济损失。
(8)拒绝服务:向电力系统网络发送大量雪崩数据,这些攻击使用大量的请求涌向服务器,从而达到消耗系统资源,并最终导致目标服务器崩溃或使其无法正常工作之目的。在一些情况下,这种攻击可以用来破坏系统。
(9)恶意移动代码:随着可自动执行的应用程序与InternetWeb站点的集成,出现了作为MicrosoftActiveX控件或Java小程序而传送的恶意移动代码的威胁。
(10)滥用特权:一个计算系统的管理员故意或错误地使用对该操作系统的特权来获得专用数据。
(11)误用:信息系统管理员、网络管理员、安全管理员、普通用户等由于计算机技术上不熟练,造成对系统的误操作,引起对系统保密性、完整性和可用性的损害。
(12)特权提升:用户利用系统漏洞提升自己的等级,获得本来不具备的系统权限。
(13)后门:系统开发人员出于恶意、或仅是为了维护的方便在系统中设置后门,使用后门可以绕过系统的安全控制措施。存在被人利用来控制、破坏系统的威胁。
(14)应用系统开发中的错误和不完善:包括对输入数据未作充分的检查、对业务逻辑的处理不准确、不完善,而如果这些错误没有通过充分的系统测试检查出来,便有可能在运行中导致错误数据引入系统,和破坏原有数据的完整性。
(15)特洛伊木马:是这样一种程序,它提供了一些有用的,或仅仅是有意思的功能。但是通常要做一些用户不希望的事,诸如在你不了解的情况下拷贝文件或窃取你的密码,或直接将重要资料转送出去,或破坏系统等等。木马程序带来一种很高级别的危险,因为它们很难被发现,在许多情况下,特洛依程序是在二进制代码中发现的,它们大多数无法直接阅读,并且特洛依程序可以作用在许许多多系统上,它的散播和病毒的散播非常相似。
(16)社会工程攻击:社会工程攻击是利用人的心里活动进行攻击的,不需要复杂的技术手段,也不依靠调查和扫描来寻找系统的漏洞,只通过向某个人询问口令就能够获得相关业务系统或数据库的访问权。在大多数情况下,社会工程攻击的主要目标是咨询接待人员及行政或技术支持人员。对这些对象发起社会工程攻击不需要是面对面的,经常只需通过打电话,电子邮件或聊天室等。如:入侵者把单位的新职员叫过来,告诉他您是IT部门来的并要求他们提供系统口令以便与您的记录核对。
3.电力信息系统威胁行为的分析
安全威胁来自各种与网络有关的、对电力信息系统正常运行带来负面影响的行为。其中包括,人为主观上的恶意行为,以及由于客观因素导致的概率性事故。
3.1主观恶意行为的分析
人为主观上的恶意行为,从行为目的上可分为:欺诈盗窃和破坏两种类型,当然许多的恶意行为可能涵盖上述两个目的。从可能采用的攻击手段,有些只具备欺诈盗窃或破坏能力。
下面,我们对各种可能的安全威胁手段进行分析。