美国关键基础设施安全防护策略与实践

典型关键基础设施安全事件

关键基础设施,指的是面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。这些系统一旦发生网络安全事故,可能影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境及人民生命财产等造成严重损失,严重危害国计民生、公共利益和国家安全。

1495020812(1)

图1 关键基础设施典型安全事件

 近年来,针对关键基础设施发起的高级持续性威胁(Advanced Persistent Threat,APT)网络攻击相继发生。Stuxnet,Duqu,Flame,Havex,BlackEnergy,Operation Choul等攻击目的性更强,攻击方式更加隐蔽,给社会带来的危害也更加严重。

✔2010年,伊朗核设施遭到Stuxnet的攻击,导致伊朗纳坦兹的浓缩铀工厂的20%离心机报废。

✔2011年的Duqu病毒,虽然从表面攻击行为上看,该病毒主要是收集系统密码、盗取系统文件以及抓取桌面截图,但是实际上Duqu能够窃取目标基础设施系统中的所有信息。

✔2012年的Flame病毒是一种专门针对政府、工业或企业等关键基础设施的病毒。与Duqu病毒相比,Flame病毒更加复杂,且具有更强的隐蔽性。

✔2014年的Havex是一种专门用来感染SCADA系统中的控制软件的恶意软件,攻击了欧美地区的一千多家能源企业。黑客们可以通过Havex成功访问到能源行业系统。

✔2015 年 12 月 23 日,乌克兰电力网络受到BlackEnergy攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电。

✔2016年6月,卡巴斯基实验室发现了Operation Choul网络攻击。该攻击影响了30多个国家,其目标是窃取重要商业数据。

与此同时,针对我国关键基础设施发起的安全攻击事件,也给我们敲响了警钟。“蓝莲花”(Oceanlotus)安全事件就是一个典型。据国内相关实验室报道,自2012年4月起,就有境外组织对我国政府、海事机构、航运企业、科研院所等领域发起了名为“蓝莲花”的APT攻击。攻击者主要是通过水坑和鱼叉攻击方式,结合多种社会工程学手段来向目标人群传播特定的木马程序,以此来感染目标人群的电脑,进而窃取机密资料。“蓝莲花”攻击持续了3年之久,攻击目标明确,攻击手段复杂,极有可能是由高度组织化和专业化的团队发起的。

美国关键基础设施主要政策

美国政府高度重视关键基础设施安全,国土安全部、能源部、国家标准与技术研究院(NIST)国家科学基金会、国防部先进研究项目局(DARPA)等部门都开展了一系列关键基础设施安全项目,推动关键技术研发进程。美国还通过一系列政府政策文件来从法律、政府层面引导、促进关键基础设施安全政策的制定与发展。

1495020919(1)

表1 美国关键基础设施安全对策

1495020974(1)

图2 美国网络风暴安全演习

美国关键基础设施安全实践

美国除了通过制定国家政策文件来加强关键基础设施的防护力度以外,还非常注重通过实战来提高防护能力。DHS自2006年开始组织开展“网络风暴”系列演习,迄今已经举行过5次。演习分为攻、防两组进行模拟网络攻防战。攻方通过网络技术甚至物理破坏手段,对能源、信息科技、金融、交通等关键基础设施,以及敏感民营公司网络等的模拟仿真环境,发起网络攻击。守方负责搜集攻击信息,及时协调,制定对策。

1495021054(1)

此外,由美国国土安全部及国家通信和网络集成中心(National Cybersecurity and Communications Integration Center,NCCIC)共同运营的工业控制系统网络应急响应小组(Industrial Control Systems Cybersecurity Emergency Response Team,ICS-CERT),负责协调联邦、州、地方、部落和特区政府开展控制系统相关的信息安全事件和信息分享工作,并提出如何减少针对国家关键基础设施的网络攻击的解决方案。

近几年,ICS-CERT除了在平时及时地发布与工业控制系统相关的安全事件、安全建议及解决方案外,每年都会发布一份报告,统计汇总分析每年的安全事件发展趋势。例如,2016年的年度报告统计了2014年,2015年和2016年16个关键基础设施行业在线安全评估情况。2016年与前两年相比,不管是在统计的行业数目还是总的评估次数上都是最多的。而且在2016年,ICS-CERT完成了对美国21个州的安全评估。

1495021100(1)

图3 ICS-CERT 2014-2016安全评估统计

1495021150(1)

图4  ICS-CERT 2016财年在不同的州开展安全评估情况

总结

关键基础设施安全已经逐渐上升为国家级保护目标。美国多个部门已经在制定国家政策、突破关键技术、开发攻防系统等方面形成了一个较为完整的体系,并且仍在通过实践演练来不断改进。

*来源:中国保密协会科学技术分会,MottoIN整理发布

 

原创文章,作者:中国保密协会科学技术分会,如若转载,请注明出处:http://www.mottoin.com/sole/view/101960.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code