新闻中心

电力Web安全漏洞利用工具解决方案

创建时间:2020-03-11 16:35:00

 

背景与现状

 
近年来,在“两化”融合的行业发展需求下,为了更好的服务电力业务,实现与设备客户的连接,业务的贯通,数据的即时共享,挖掘数据价值;状态行为全感知、业务全穿透,实现电网上下游企业、客户的全时空泛在连接;大力培育发展新兴业务,在新的更高层次形成核心竞争力。国家电网有限公司提出“三型两网”建设目标 。
 
 

 

1

 

伴随着电力信息系统普及和数据不断积累,电力生产、调度、营销对信息系统的依赖度越来越高,越来越多的基于B/S架构的Web应用系统不断建成并投入使用。与之相伴随的,是基于应用层的攻击手段呈爆炸性增长趋势并不断翻新,为业务系统的安全性带来了严重隐患。

电力企业Web应用系统的主要风险源自于操作系统漏洞和系统自身开发上存在的漏洞和缺陷,攻击者可以借助这些漏洞和缺陷对应用系统发起攻击,当前主要的Web应用安全漏洞包括SQL注入、XSS跨站、Cookies漏洞、访问控制错误、PHP特有漏洞、变量滥用、上传漏洞等,根据这些漏洞和缺陷衍生和发展而来的主要攻击手段包括:SQL注入(SQL injection)、跨站脚本(XSS)攻击、Cookie 欺骗攻击、应用层DOS攻击、网页挂马攻击、恶意程序(后门)、缓冲区溢出等。

Web应用层安全已经引起了电力企业的高度重视,如何提高网站的安全防护能力,正确传递电力信息,维护电网的社会形象已成为电力企业门户网站安全建设的首要任务。目前,绝大部分电力企业已经构建了较为完善的信息安全防护体系,但随着通过Web传播的多形态、复合式攻击的数量越来越多,电力行业普遍采用的传统的防火墙、入侵检测、入侵防护系统等安全设备的防护效果也越来越差,无法有效地防御篡改网页、上传木马、注入攻击、跨站攻击等Web应用层攻击。近年来电力企业信息安全事故也逐渐增多,且呈爆发性增长趋势:

  • 2010 年6 月“震网”的蠕虫病毒入侵了伊朗布什尔核电站造成20%的离心机报废,伊朗大约3万个网络终端感染。

  • 2015年12月,乌克兰电力系统遭受黑客攻击,将可远程访问并控制工控系统的BlackEnergy(黑暗力量)恶意软件植入乌克兰电力部门,造成电网数据采集和监控系统崩溃,导致伊万诺—弗兰科夫斯克地区大约一半家庭停电数小时。

  • 2019年3月7日,委内瑞拉国内包括首都加拉加斯在内的大部分地区停电超过24小时,在委内瑞拉23个州中,一度有20个州全面停电,停电导致加拉加斯地铁无法运行,造成大规模交通拥堵,学校、医院、工厂、机场等都受到严重影响,手机和网络也无法正常使用。

  • 2019年6月19日,美国《纽约时报》报道,为遏制俄罗斯今后网络活动,美国网络部门已经渗透进入俄罗斯电网,植入美方恶意程序代码,但暂时没有激活。

 

 

这些事件均表明,针对电网控制系统的电力战可能发生,且网络攻击是可能性最大的手段。

 

 
 

问题分析

 
 

1.多数Web系统设计安全考虑不足

Web系统设计者更多地考虑满足应用需求,很少考虑Web系统开发过程中所存在的漏洞,在web系统使用过程中,即便存在安全漏洞,正常的使用者并不会察觉。但在黑客对漏洞敏锐的发觉和充分利用的动力下,网站存在的这些漏洞就被挖掘出来,且成为黑客们直接或间接获取利益的机会。

 

2.Web系统被入侵不能及时发现

通常攻击者在获取Web系统的控制权限之后,并不暴露自己,而是持续利用所控制Web系统产生直接利益。如网页挂马就是一种利用网站,给访问者种植其木马的一种非常隐蔽且直接获取利益的主要方式之一,Web系统本身虽然能够提供正常服务,但Web系统的访问者却遭受着持续的危害。

 

3.现有Web系统防御措施滞后

大多数传统访问控制、入侵防御设备,保护Web系统抵御黑客攻击的效果不佳,如对应用层的SQL注入、XSS攻击这种基于应用层构建的攻击束手无策,甚至是基于特征匹配技术的检测产品,也由于这类攻击特征不唯一性,不能精确阻断攻击。

 

4.发现安全问题不能彻底解决

Web系统技术发展较快、安全问题日益突出,但由于关注重点不同,绝大多数的Web系统开发团队对安全代码设计方面了解甚少,很难针对Web系统具体的漏洞原理对源代码进行优化。

 
 
 

解决方案

 

传统的被动防御手段防御黑客入侵越来越显得单薄无力,往往在被入侵后才发现问题,用户只能亡羊补牢式的修复漏洞,以防下次的入侵。Web安全漏洞利用系统是以主动检测代替被动防御,采用渗透测试的方式主动发现Web应用的安全漏洞,并验证漏洞被利用的可用性,在安全事件发生前进行主动防护的安全解决方案。

 

系统架构

 

产品采用B/S架构,有良好的UI界面,而且产品支持中文界面。

2

 

功能设计

 

资产管理

提供对各类软硬件资产的统一管理,包括服务器、实体机、虚拟机、路由器、交换机、安全设备、打印机、摄像头等硬件;Web应用、移动APP等软件系统。资产信息包含唯一标识、资产编号、联系人邮箱等信息。

 

3

 

智能渗透测试

可一键完成对目标的自动化信息收集、端口扫描、指纹识别、漏洞管理、漏洞利用等步骤,智能化发现漏洞并进行利用。

 

4

 

 

漏洞验证

利用关注漏洞验证工具对漏洞扫描结果中的关键漏洞进行触发验证,探测其关键漏洞是否存在,以减少误报率,确保整个漏洞攻击检测系统的准确性和可靠性。

 

 
漏洞库更新

支持基于CNVD漏洞库文件的漏洞导入。漏洞库功能模块用于导入CNVD漏洞信息,对CNVD漏洞库做了统计,方便用户随时检索查询漏洞信息,每周可以到CNVD官网下载漏洞更新xml文件,点击漏洞库更新,上传导入下载的xml文件即可更新漏洞信息。

 

5

 

报告管理

支持对自动化渗透测试结果的汇总,可自动化生成渗透测试报告。

 

6

 

 

系统优势

 

基于Web2.0爬虫的动态执行技术

 

使用真实的浏览器沙箱分析每个网页,应对Web2.0网页下的Ajax、Javascript、Render、Reflow、Painting and Event Flow等各种事件,并检测出隐藏在网页中的恶意代码和二进制漏洞,从而获取网站的所有链接和数据源。

 

 

 

基于动态内存沙箱检测技术识别Web2.0程序漏洞

 

漏洞判断技术决定了扫描器的误报率和漏报率,本系统采用动态内存沙箱技术对网站挂马、跨站脚本、XML注射等进行检测。通过使用动态沙箱技术,本系统能够动态地判断网站是否被恶意攻击,多个沙箱程序的并发独立执行不相互影响。本系统考虑了多层的沙箱检测实现,涉及应用层、系统层和内核层,跨层的设计能够更好地提供检测服务。

 

 

 

智能自动化渗透测试

 

在用户输入渗透检测目标后,自动获取目标相关的服务器,网站信息,提取出关联目标进行渗透测试检测。扫描探测出目标的网站服务相关信息后,精准定位验证漏洞,不影响目标业务正常运行。

 

 
 

定制化扫描引擎和扫描脚本

 

支持定制扫描引擎,能够集成到系统中,可以对扫描器及策略做配置;支持扫描脚本的定制,如新增Python扫描脚本。

 

 
 

设备联动

 

系统支持开放接口与第三方平台联动。包含图模信息交互、实时数据交互、控制命令交互和操作命令交互功能接口。

 

 

这里有最新的公司动态,这里有最新的网站设计、移动端设计、网页相关内容与你分享

首页    电力Web安全漏洞利用工具解决方案
浏览量:0