数字化、智能化、云化时代的今天,数据中心的运维和管理从简单监控走向了智能运营运维,站点电源从哑设备进入了可管、可控、可运维时代,一切都变得更加智能和高效,一切都进入了软件可定义时代。作为运营商业务发展的基石-能源基础设施(数据中心、站点电源),其数字化、智能化程度不断提升,随之面临的网络安全威胁也成倍增加,作为能源基础设施的使用者,在选择能源基础设施解决方案和产品时,应将安全性作为与可靠性同等重要的因素来考虑。
1、背景
运营商业务的发展,离不开数据中心和站点电源的配套运行,5G时代来临,将会有更多的数据需要处理和加工,将会有更多的站点需要电源的供应,这些配套设施的可靠性,安全性都将助力运营商业务蓬勃发展。
2、能源基础设施未来的发展趋势
趋势一:数字化、智能化
过去,能源基础设施的运维、检修需要人工现场处理,整个能源基础设施远程不可维,不可视,不可管,发生问题一定靠人到现场去处理,且对于备电(锂电)的寿命还不可预测,但是到了数字技术和能源技术相结合的今天,将会实现智慧锂电、精准备电、整个能源基础设施的设备可管,可视,可维,实现远程实时监控,智能读表,免巡检,能源基础设施的数字化,智能化的发展,将减少对人的依赖,成为未来发展趋势。
趋势二:弹性架构
数据中心的生命周期一般是10-15年,而IT设备的生命周期是3-5年,所以数据中心需要考虑怎样用一代DC适配2-3代IT设备,需要有一定的模块化的弹性架构设计。
趋势三:模块化、快速部署
疫情期间,火神山、雷神山短期内建成,远程医疗和远程办公需求爆发式增长,对于能源基础设施的建设周期也提出了新的要求,数据中心,供备电系统需要变成乐高式的模块化的快速拼装集成,模块化、快速部署也是未来能源基础设施的重要趋势。
趋势四:网络安全/安全性(Security)
能源基础设施智能化程度不断提升,随之面临的网络安全威胁成倍增加。对于数据中心基础设施的业主来说考虑比较少。传统会认为,网络安全是云和IT设备等上层业务该考虑的事,未来是数字化,智能化时代,所有的基础设施都将统一接入网管,通过网络与网管通讯,通过网络连接的设备,如果没有网络安全保护意识,恶意的网络攻击者都将有机可乘,通过云端、通过运维APP、WEB客户端等对能源基础设施进行攻击,一旦遭受到攻击,严重时会导致数据中心的数据泄露或丢失,多站点设备掉电,因此能源基础设施的网络安全是大势所趋。
3、能源基础设施在关键基础设施行业中的位置及重要性
通讯、电力、医疗、交通等行业在我国属于关键基础设施行业,是关系到国计民生的重要行业,而能源基础设施则是集通信、电力于一身的重中之重,是各关键基础设施坚实的底座,为关键基础设施提供稳定可靠的电源供应,为数据采集、分析、传输、存储提供保障。
能源基础设施智能化发展的同时,国内某能源设备领先企业提出“Bit管理Watt”的理念:Bit流主要聚焦软件智能特性和网络联接,需重点关注系统的可靠性、可用性、网络安全(安全性security)、韧性等方面,Watt流主要聚焦功率变换,这部分关注产品的可靠性、可用性及安全性safety,如果Bit受到攻击会直接影响Watt的运行,所以选择具备足够网络安全防御能力的能源基础设施将成为运营商考虑的关键问题之一。
4、网络安全与能源基础设施的关系
4.1网络安全的概念
所谓网络安全是指:网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
4.2入侵不安全的能源基础设施并不困难
网络攻击的手段很多,只要设备上存在漏洞,有组织的攻击者就可以而易举地突破。下面举几个常见的能源设备安全漏洞,让大家看到部分能源基础设施所使用的设备的脆弱性。
1)密码简单或存在隐藏口令
为了方便记忆,运维人员会将1111、1234、123456等简单数字作为设备的密码,甚至设备的缺省密码就是如此,而缺省密码在设备部署后并没被修改。事实上,现在暴力破解123456密码只需0.2毫秒(来源于BetterBuys测试),可以说是瞬间破解。而将口令设置与账户名相同也曾在行业内盛行,黑客只需要知道产品型号或根据经验尝试就可以成功登录。
早前,能源基础设施厂家普遍使用隐藏的账号或口令来防止用户忘记密码,但这也为黑客入侵带来方便,因为这些账号或口令往往拥有最高的操作权限。另外,允许用无鉴权的隐藏命令或参数,或采用隐藏的组合键访问,都是安全漏洞。
2)未公开的端口、协议或服务
厂家普遍使用U盘通过USB接口来升级系统,但不是所有厂家都对所有接口功能进行了说明。有设备厂家为了方便维护,允许自己的工程师采用未公开的私有协议或远程服务来进行高级设置。凡是未公开的看得见的接口或看不见的端口、协议或服务,对于无心者来说是失误,对于有心者来说就是后门。
3)利用已知漏洞
当前能源基础设施已经智能化,控制器内置操作系统。大家都有经常升级电脑操作系统的经验,升级往往就是为了修补一些漏洞。能源设备中的操作系统也可能存在漏洞,而这些漏洞会由一些民间组织公开发布,用户可能很少会关注能源设备的系统升级公告,黑客则可以利用这些漏洞进行攻击。
4)缺少安全机制
国内外的安全标准都有规定:对于敏感数据的访问需要有认证、授权或加密机制,对于认证的凭据需要有安全的存储,口令文件、私钥文件都要有权限控制,在不需要还原明文的场景,还必须使用不可逆算法加密。此外,HTTP、Telnet等都是不安全的远程接入方式,但仍被广泛地使用。很多能源产品的设计者并没有意识到网络攻击的风险。
5)缺乏安全设计的DCIM、站点网管、动环监控系统
DCIM(数据中心基础设施管理)、站点网管、动环监控系统通过网络可以直接对能源基础设施进行操作,包括设置参数、控制设备等。为了方便运维管理,这些系统往往还支持通过手机操作。如果系统没有进行安全设计,如使用弱密码、存在隐藏账号、使用http非安全协议等,就存在被攻击者利用的风险。
4.3多种途径攻击能源基础设施可使网络中断
攻击能源基础设施至少有4种途径,包括通过劫持操作系统获取管理员及用户账户和密码、利用系统漏洞直接劫持、远程登录能源设备、通过U盘上载恶意代码设置后门等。
一旦入侵成功,有组织的攻击者就可以设计如何使攻击最有效、持续时间更久且不易被发现,组合攻击往往能达成这样的效果,如同时攻击其上游或下游设备使故障更难恢复,攻击电话系统致盲,攻击日志使事件不被记录,攻击门禁系统使抢修车辆不能出入。
又如,将电源系统、火灾报警的告警全部屏蔽,禁用电源的各种保护功能,将温度等可以识别问题的参数修改为不变的常规值,然后调高电池充电电压或减少电池节数,使电池持续过流充电,直至发生火灾。这种情况下,只能寄希望于消防系统没有被攻击而失效。
有组织的网络攻击者不会放过任何漏洞。通过网络进行可视化管理给运营和维护带来方便和高效的同时,也让电源、UPS、空调等能源基础设施暴露于网络安全的风险之中。很多能源基础设施缺乏安全设计,使得其安全风险增大。能源基础设施具有更长的生命周期,在未来风险不可预知的情况下,需要对能源产品提出必要的安全要求。
5、网络安全已被国家立法,各行各业应有效落实
2017年2月17日,习近平主席主持召开国家安全工作座谈会强调:要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护。
2017年6月1日起《中华人民共和国网络安全法》正式实施。
能源基础设施是ICT网络的基础,但它们几乎从未如IT、CT设备那样受到攻击对抗检验,一旦遭受攻击,后果可能更为严重。同时,由于能源基础设施生命周期相对较长,很多设备可能使用超过15年,因此对于能源基础设施选用方面,应选用有安全保障的设备,降低风险,防止发生重大事故。
6、网络安全应该关注哪些方面
一部分人会认为,能源基础设施的设备部署在内网且设置了防火墙,又安装了杀毒软件就安全了,其实从应用场景上来看,设备和系统会面临的安全威胁是多种多样的,它不仅仅是病毒,还有如:仿冒、篡改、DDOS等的威胁,这些都是杀毒软件和防火墙不能完全解决的。对于能源基础设施的设备和系统来说,除了安装安全软件外,还需要考虑硬件的安全,软件的安全以及软件内生安全(指:代码规范、软件架构等)。这个范围是远大于防火墙及杀毒安全软件,因此具备全生命周期端到端的安全管理非常重要。所以我们需要关注如下几个重要方面:
- 专职人员及专业技能:能源基础设施的设备及软件供应商应该有专职的、具备足够专业能力的安全工程师及专家,负责研究和开发具备网络安全防御能力的产品和系统。
- 网络安全基线:能源基础设施的设备及软件供应商应有网络安全的设计、开发、测试、审计等基线,如:不能使用弱密码、不能有未公开接口等,作为设备及软件上市的基本要求。
- 端到端的全生命周期管控流程:能源基础设施的设备及软件供应商必须具备完善的威胁建模和分析、安全设计、安全开发、安全测试及安全的生命周期管理流程和手段,需要有完善的威胁分析、设计、开发等文档。
- 验证报告:能源基础设施的设备及软件供应商应提供网络安全验证报告,报告内容应有足够专业性及权威性。
- 应急响应能力:能源基础设施的设备及软件供应商应具备应急响应能力,发生安全事件时,有专业的团队及流程处理安全事件。
- 设备级安全能力:可信根、安全启动、权限最小化、堆栈保护、OS加固、口令防暴力破解、多因素认证、主机入侵检测、软件包签名、安全加密算法、最小系统等安全能力。
- 网络级安全能力:密钥管理、证书管理、单点登录、用户管理、接口隔离、安全协议、网络流量控制、态势感知、安全自动响应等安全能力。
7、设备及网络安全需求概要
1、接口安全
- 所有账号都必须被用户可见,不存在用户未知的账号。
- 所有能对系统进行管理的接口都需具备接入认证机制。
- 禁止存在绕过正常认证机制直接进入到系统的隐秘通道。
- 不得存在用户无法修改的口令。
2、账号和认证安全
- 应用系统人机帐号、机机帐号分离。
- 帐号默认不授予任何权限或者默认只指派最小权限的角色。
- 系统提供帐号锁定策略可配置的功能。
- 系统对于不需要认证的用户或通过认证前返回的提示信息应尽可能少。
- 对于重要的管理事务或重要的交易事务要进行重新认证。
- 认证通过后,给当前用户显示有关的访问历史记录数据。
3、口令安全
- 口令要有复杂度要求,例如长度不少于6位,至少包含两种字符等。
- 禁止使用弱口令, 系统提供维护弱口令字典的功能。
- 系统具备口令防暴力破解功能。
- 系统禁止明文显示口令。
- 系统支持多因素认证。
4、关键数据保护
- 禁止使用业界已知不安全的加密算法。
- 禁止使用私有密码算法。
- 在系统设计时,需识别出产品关键/敏感数据;在存储、传输时应进行加密、权限控制等保护。
5、安全管理
- 系统应确保系统服务做到默认安全,涉及默认安全的安全参数应进行合理配置。
- 运行程序的帐号(OS帐号)不能拥有远程登录的权限。
- Unix/Linux操作系统中禁止存在缺乏权限控制的无属主文件。
- 属于低权限用户的脚本或程序不能以高权限帐号运行。
- 对于每一个需要授权访问的请求都必须核实用户是否被授权执行这个操作。
- 对所有来自不可信数据源的数据进行校验,拒绝任何没有通过校验的数据。
- 产品应使用业界主流漏洞扫描工具对产品进行漏洞扫描测试,并对扫描的告警确认无问题或者解决。
- 使用代码静态检查工具进行扫描,并对扫描的告警确认无问题或者解决。
6、安全通道
- 系统开放的所有侦听端口都必须在通信矩阵中有记录,且是业务必须的。
- 不安全通信协议支持关闭,建议缺省关闭。同时要支持安全通信协议。
7、安全审计
- 日志记录需涵盖管理面上所有的用户活动、控制操作和参数配置。
- 日志应包括时间、用户、事件、对象、结果等。
- 日志文件要有相关的访问控制机制,不能删除指定某条或某批日志。
8、密钥管理
- 密钥的用途需单一化,即一个密钥应只用于一种用途。
- 支持自动产生/派生密钥或导入密钥。
- 有分层的密钥体系结构,至少有二层密钥设计,建议三层密钥设计。
- 密钥更新过程中,支持多版本(如新旧版本)密钥共存设计。
9、证书管理
- 支持证书替换功能,导入证书时,对证书的内容、长度、算法等进行校验。
- 验证对端证书时,必须验证证书签名有效性,证书是否过期以及证书状态是否被吊销等。
- 产品必须支持周期性检查证书是否过期或即将过期并提示运维人员更新证书。
10、系统保护
- 产品对外发布的软件需具备完整性保护机制(建议采用数字签名)。
- 系统具备硬件可信根,并支持安全启动能力。
- 系统有最小系统设计,在遭受攻击时保护核心业务。
11、隐私保护
- 个人数据收集范围、使用目的不得超出声明的,且遵循最小化原则。
- 正常业务采集、处理、存储个人数据,必须根据实际安全风险提供必要的安全保护机制,以防止个人数据被泄漏、丢失、破坏。
- 涉及个人数据,应支持在呈现界面上进行过滤,匿名化或假名化。
8、结语
作为关键基础设施行业的参与者,只有始终秉承负责任的态度,致力于以最大程度保护(国家)关键基础设施的安全。
危机和应对总是在赛跑,没有万无一失的防线,只有从不松懈的警觉。在这个不断演变和充满挑战的问题上,我们还有很多工作要做,这将是一个持续努力的过程。
我们呼吁行业要增强网络安全的意识,选择有网络安全设计的设备、软件及解决方案,以应对网络安全的挑战,为行业数字化、智能化发展保驾护航。
【本文为51CTO专栏作者“移动Labs”原创稿件,转载请联系原作者】
![[[355589]]](https://m.528045.com/file/upload/202412/02/cwxqy52k03j.jpg){kind=link}