电力行业安全体系分析

电力行业安全体系分析

前几天参加了电力行业的安全培训，所以想总结一下学到的东西。我将以此文将了解到未来电力行业的安全整套体系除了涉密部分概括总结一下。朋友圈有很多朋友问我要ppt和资料，因为涉密部分分散在若干的ppt和word中，分享出来肯定是不行的。甚至有部分涉密内容都是讲师口头宣讲，具体文档都没发给我们，这里只能说一声抱歉，文档不能给你们，本文只做学术化的知识进行介绍。这里顺便给中国电科院打个广告，我做了这么多年了，除了金融保险行业外，最工程化的测试单位就是中国电科院的测试部门了，除非你有0day，否则他把边边角角的安全都给你考虑到了，对自己的产品安全没信心的朋友可以试一下去中国电科院进行安全测试，我可以给帮你介绍。本人写文章比较口语化，写的非常不书面化，请海涵。

正文

• 我经历的研发项目算是挺多的了，我自己发现一个问题，我估计在很多单位和部门都出现过这样的问题，就是快到上线了，工作量陡然巨增。而研发的过程中感觉不到这种压力。其实在pmp等此类的项目管理的科目内容中都对此有阐述，至于解决方案是什么？虽然书里有这个模型或者那种技术，但是我感觉说一千道一万就是前期立项目标要明确，研发过程中要持续追踪进度，用量化的手段将项目的延期控制在可控的范围内并在事后对出现的问题必须进行复盘避免下次再出现这种问题。

• 但是各位看官我这里问你们第一个问题：如果一个企业有数个项目研发部门，研发部门还分硬件、web应用、app应用、大数据分析若干大部门的时候，如果你作为一个研发质量的总负责，你会如何把控这么多研发部门和研发需求带来的延期、质量不平衡以及未知漏洞或者未知缺陷带来的风险？

• 很多ppt大神估计是会对我说的不屑一顾，这不是很简单吗？然后掏出一大堆ppt和我开始文斗，哈哈哈哈。什么SDL，什么devsecops，引得众人都哄笑起来，会场内外充满了快活的空气。

• 各位看官，那么我继续问你们第二个问题：请问是像电力这样分布在中国各个省市，拥有着大大小小无数新旧系统，用安全人员的话来说：战线实在太长了。现在由你设计全国电力系统的安全体系，保证全国的电力系统的安全生产，你又会如何设计呢？

• 我估计这会儿ppt大神的ppt肯定就不够用了，因为ppt大神的单位都是以集团或企业为上限的。

• 不过这里说一句，阿里的SDL做的是相当不错的，算是我甲方圈子里了解到的最好的研发安全管理体系了，尤其是这套体系对系统的可持续性迭代的兼容性堪称行业典范。去年面试的时候，某单位安全leader把这套思路给我介绍了下，从威胁建模开始kpi就开始紧追各级人员。威胁建模的安全人员在开发之前就需要讲安全问题进行分析建模，如果漏掉了风险，扣kpi。如果安全测试人员发现研发如果没有按照威胁建模人员设计的严格执行，研发要扣kpi。安全测试人员漏测或误测，安全测试人员扣kpi。迭代上生产以后利用src收集安全问题，利用发现的问题进行溯源，以问题驱动追溯到各个环节。

• 书归正传，开始聊聊电力行业的做法。其实电力行业的研发安全非常像传统的工程管理思路，甚至可以归纳为大道至简。中国电力行业的安全体系在联研院（属于全球能源互联网研究院有限公司）进行管控制定大的整体性的顶层设计以及安全标准，中国电科院则依据安全标准进行具体的技术细节和安全测试的用例编写。例如我们研发单位一个系统进入概要设计阶段，就会要求同步编写安全防护方案（安全防护方案其实就是威胁建模只是名字不同罢了，为了保证同步本文都称呼为安全防护方案），联研院会对防护方案进行审核并给出整改建议直到方案最终通过后研发流程才能开始。研发完成后，产品要送到中国电科院进行测试，而测试依据就是通过审核的安全防护方案和电科院自己的测试标准，通过若干轮的测试直到通过，系统才能拿到证明文书上线。

• 在联研院开展的课上，讲师举例很多项目的实际经验在和我们学员讲述自己审核安全防护方案的心得。我下面大致讲讲是怎么做的。

  • 大家都知道一个项目会由大量的系统组成，一个系统又由若干模块组成，而从这么多项目的实践经验中发现，安全防护最合理的设计对象不是项目，也不是模块，而是系统。在实践中对项目进行安全设计，落地后发现往往执行不到位，模块经常出现安全问题。而对模块进行管控会出现拖慢研发进度的问题。
  • 安全方案定位好设计对象后要联合业务人员、研发人员、安全人员三者共同设计安全防护方案，这都是随着系统的概要设计进行落实的。这里肯定很多人会头疼不已，设计各个功能细节就已经十分繁琐了，还要进行同步的安全防护方案。安全防护方案肯定是厚厚的一本。不过这里，多年实际经验总结下来：写的好的安全方案都是不多的，事实证明水平高的安全防护方案都是薄薄的一份，而在中国电科院的安全测试中反而都是通过率极高的。
  • 安全防护方案和业务的耦合度并不是从文字表面看出来的，安全细则的落实依赖于颗粒度，颗粒度越小则可执行力越强，从中也能看出防护方案设计者的功力。最近几年我们经常能看到很多大佬在喊安全要懂业务，也看到很多的理论都提到要针对业务设计，但是没有提到落地的一些东西，我觉得就是因为体量造成的（大概吧....），如果真的达到了电力行业的体量，就能充分搜集到攻防的安全数据。而那些颗粒度极细，测试充分到位的系统就能表现出极为优秀的强壮性，当然很多红队的大佬肯定都不屑一顾，张口闭口一个0day打穿什么的。对，0day可以打穿系统，可如果对比过测试数据和上线后的数据就会整体看出差异，去除0day这个因素，整体质量就是体现在安全细节的颗粒度是否真的合理。
  • 那么这些颗粒度的来源在哪里呢？这里我会再用一次这个词，大道至简。那就是合规，电力的安全基线基于等级保护上又增加了大量的技术细则。哇塞！无数的安全大佬肯定都是会露出鄙视的神情，我估计红队的大佬们会十分不屑一顾。不过我相信防守方的队友会有感触的，不管是密码弱口令的强制性规范，还是日志的格式、颗粒度、分类统计的重要性等等，在这次hw中都很明显的区分出了系统的自身安全高低水平。比如说弱口令，一个好友和我们讨论，遇到了一个历史项目由于没有弱口令规范，导致无法分辨系统内账号哪些是红队潜伏的账号，哪些是用户账号。日志能力就不用说了，一旦你开始溯源整个攻击行为，系统的日志审计能力直接影响到了追溯的反应速度。在hw中发现，溯源的朋友都在抱怨别说日志颗粒度够不够，甚至怀疑日志肯定被改过、日志文件都是不可信的、甚至有些日志上的时间都是完全对不上的。我这里提一句：很多攻击方安全大佬们不要轻视合规，合规中的很多要求都是国家级别的无数实战中总结出来的，你们发现了0day的确很厉害，那是水桶的短板，不过那只不过是一个水桶的短板而已。防守方需要花攻击方数倍的资源进行安全建设，攻击方其实应该花拿出数倍的攻击成果才能平衡防守方的付出，不要因为自己拿下了一个目标就沾沾自喜甚至言语上鄙视防守方的人员。其实这也和现在安全行业对攻防的氛围有关系，过度追捧挖漏洞的大佬，对防守方没有很好的评判标准，甲方做防御的普遍工作都很难找.....
  • 这里我也谈谈对行业标准以及合规自己的体悟，最近我看了几遍cissp的书，说实话之前我觉得cissp的内容和技术实战真的没啥关系，所以都不想去考了。不过这次上完课我有了新的体会：cissp教会你的是一种思想，当一个大的企业、集团甚至是电力行业的安全体系的顶层设计权力交给你，你会如何设计？没有仔细学过cissp，你还真的没有这种能力，cissp教会你的一种视野，一种胸襟。

• 听完了联研院的课程，主要的是描述从顶层设计到设计细则的思想，下面讲讲听完红蓝队课程中描述的安全监督体系。大家都知道安全行业中的固有属性就是监督能力，国网的核心监督工作都在红蓝军的手中得到落实的。为了开展这个话题，这里摘抄一段cissp的aio的中文翻译：在很多组织中 IT 安全人员和业务人员虽然可能工位彼此靠近，但通常，在如何看待自己所工作的单位方面有着天壤之别。技术仅仅是支撑业务的工具，但它不是业务本身。IT 环境类似于人体内的循环系统，它的存在是用来支持身体--而身体的存在不是为了支持循环系统。安全类似于身体的免疫系统--它的存在目的在于保护整体环境。如果这些关键系统（业务、IT、安全）不一起工作，齐心协力，那么将会出现缺陷和失调现象。人体中的不足和失调现象会导致体内疾病，而组织内的不足和失调现象可能会导致风险和遭受安全入侵。--翻译者（唐俊飞）

  • 国网的红蓝对抗应该是国内国企央企做的最好的已经是安全圈的共识了，例如在hw期间，很多0day技术细节没公布出来的情况下，国网红队都是第一时间溯源并复现0day（有几个是红队在没有日志的情况下自己硬生生挖出来的），然后设计防护方案，蓝队强制执行防护方案。而这种自查自纠的能力能很好的诠释人体免疫系统对人体的保护作用。再看看国内，很多甲方安全从业人员都有一种感觉：心累！我仔细琢磨了很久，不只是简单的安全要从上往下做一句话可以解释的清楚的。如果上顶层设计对安全本质的领悟出现了偏差，那就会出现中国甲方普遍两种情况：1.表面工夫为主 2.有力气无处使
  • 为何我要提这个问题，其实上面我也提出了国内安全行业注重攻击轻防御的问题，大量的甲方企业都是在招聘的时候喜欢问你有没有挖cve，自己有没有做漏洞跟踪，招聘到企业以后就开始一种神奇的操作：让安全人员漫无目的挖漏洞，兼顾做一点合规的事情。我说大兄弟啊！如果你预算不足，直接买乙方的渗透测试服务就好，招人干嘛呢？！我仔细算过了，其实在大多数情况下还是买乙方的服务更为便宜。长期的渗透交给乙方能获得技术长期积累的工程师的支撑，而且乙方公司还有资质，出的最终报告还能在等保评审中作为凭据，而等保合规直接找乙方的咨询服务团队做一轮正式审计前的整改就行了，比打造一个人的安全部便宜多了，效果也更好。
  • 这里聊聊反apt的知识，红队的老师将反apt作为着重的强调的知识域，这也是我最近在主要学习的知识，其实国内很多企业的安全基本上就是做一下web安全和app加固就算是做好安全建设了，但是针对apt的安全建设才是真正考验一个企业的核心安全强壮性的能力。hw期间有不少样本可都是在沙箱和杀软面前可以保持藏匿的免杀木马，请仔细想想，你管理的企业有大量这样的木马正在流窜，你为之奈何？？企业安全的内力可不是看挖漏洞的数量这种kpi就能衡量出来的，注重预防能力的设计能力才是正道。不要等出了事才说：emmmmm我们企业的抵抗能力不是很好，需要吃一点维生素C。

总结

• 电力的安全注重预防，也就是事前事中事后的事前工作，这也是安全成本最低的做法，但是国内企业普遍业务为上，导致一个很有意思的问题：事后去补充安全能力发现花的各方面资源太多了，就更不愿意做了，于是就小修小补，草草了事，最终导致前期补充安全能力花的资源最少不愿意做，越到后面做，成本越高越消费不起，恶性循环。还有一个问题是：随着企业的成长，安全能力没有对应的给予资源进行成长的空间，我见过某个单位前几年单位这么大，安全资源就这么点，几年后企业规模变大很多了，安全资源没变。这其实也是一种事前工作的缺失造成的，没有规划好安全的顶层设计。
• 如果甲方企业的安全从业人员都是救火队长，那基本上apt团队可以直接去试试了，以我的经验这种都是打一个成一个。
• 各位看官，你的单位呢？:-)

转载于:https://my.oschina.net/9199771/blog/3070429