Labs 導讀

云計算、大數據、5G以及人工智能等新技術的發展帶動了千行百業的轉型，也讓運營商業務進入了下一個黃金時代。新時代背景下將會有大量的數據需要傳輸、處理和存儲，數據會如同水和電一樣，成為每個行業都離不開的東西，而數據中心就是數據相關技術的堅實底座。為順應5G技術的發展，運營商站點數將會爆發式增長，那么配套的站點電源也將深度覆蓋各站點。

[[355589]]

數字化、智能化、云化時代的今天，數據中心的運維和管理從簡單監控走向了智能運營運維，站點電源從啞設備進入了可管、可控、可運維時代，一切都變得更加智能和高效，一切都進入了軟件可定義時代。作為運營商業務發展的基石-能源基礎設施(數據中心、站點電源)，其數字化、智能化程度不斷提升，隨之面臨的網絡安全威脅也成倍增加，作為能源基礎設施的使用者，在選擇能源基礎設施解決方案和產品時，應將安全性作為與可靠性同等重要的因素來考慮。

1、背景

運營商業務的發展，離不開數據中心和站點電源的配套運行，5G時代來臨，將會有更多的數據需要處理和加工，將會有更多的站點需要電源的供應，這些配套設施的可靠性，安全性都將助力運營商業務蓬勃發展。

2、能源基礎設施未來的發展趨勢

趨勢一：數字化、智能化

過去，能源基礎設施的運維、檢修需要人工現場處理，整個能源基礎設施遠程不可維，不可視，不可管，發生問題一定靠人到現場去處理，且對于備電(鋰電)的壽命還不可預測，但是到了數字技術和能源技術相結合的今天，將會實現智慧鋰電、精準備電、整個能源基礎設施的設備可管，可視，可維，實現遠程實時監控，智能讀表，免巡檢，能源基礎設施的數字化，智能化的發展，將減少對人的依賴，成為未來發展趨勢。

趨勢二：彈性架構

數據中心的生命周期一般是10-15年，而IT設備的生命周期是3-5年，所以數據中心需要考慮怎樣用一代DC適配2-3代IT設備，需要有一定的模塊化的彈性架構設計。

趨勢三：模塊化、快速部署

疫情期間，火神山、雷神山短期內建成，遠程醫療和遠程辦公需求爆發式增長，對于能源基礎設施的建設周期也提出了新的要求，數據中心，供備電系統需要變成樂高式的模塊化的快速拼裝集成，模塊化、快速部署也是未來能源基礎設施的重要趨勢。

趨勢四：網絡安全/安全性(Security)

能源基礎設施智能化程度不斷提升，隨之面臨的網絡安全威脅成倍增加。對于數據中心基礎設施的業主來說考慮比較少。傳統會認為，網絡安全是云和IT設備等上層業務該考慮的事，未來是數字化，智能化時代，所有的基礎設施都將統一接入網管，通過網絡與網管通訊，通過網絡連接的設備，如果沒有網絡安全保護意識，惡意的網絡攻擊者都將有機可乘，通過云端、通過運維APP、WEB客戶端等對能源基礎設施進行攻擊，一旦遭受到攻擊，嚴重時會導致數據中心的數據泄露或丟失，多站點設備掉電，因此能源基礎設施的網絡安全是大勢所趨。

3、能源基礎設施在關鍵基礎設施行業中的位置及重要性

通訊、電力、醫療、交通等行業在我國屬于關鍵基礎設施行業，是關系到國計民生的重要行業，而能源基礎設施則是集通信、電力于一身的重中之重，是各關鍵基礎設施堅實的底座，為關鍵基礎設施提供穩定可靠的電源供應，為數據采集、分析、傳輸、存儲提供保障。

能源基礎設施智能化發展的同時，國內某能源設備領先企業提出“Bit管理Watt”的理念：Bit流主要聚焦軟件智能特性和網絡聯接，需重點關注系統的可靠性、可用性、網絡安全(安全性security)、韌性等方面，Watt流主要聚焦功率變換，這部分關注產品的可靠性、可用性及安全性safety，如果Bit受到攻擊會直接影響Watt的運行，所以選擇具備足夠網絡安全防御能力的能源基礎設施將成為運營商考慮的關鍵問題之一。

4、網絡安全與能源基礎設施的關系

4.1網絡安全的概念

所謂網絡安全是指：網絡系統的硬件、軟件及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。

4.2入侵不安全的能源基礎設施并不困難

網絡攻擊的手段很多，只要設備上存在漏洞，有組織的攻擊者就可以而易舉地突破。下面舉幾個常見的能源設備安全漏洞，讓大家看到部分能源基礎設施所使用的設備的脆弱性。

1)密碼簡單或存在隱藏口令

為了方便記憶，運維人員會將1111、1234、123456等簡單數字作為設備的密碼，甚至設備的缺省密碼就是如此，而缺省密碼在設備部署后并沒被修改。事實上，現在暴力破解123456密碼只需0.2毫秒(來源于BetterBuys測試)，可以說是瞬間破解。而將口令設置與賬戶名相同也曾在行業內盛行，黑客只需要知道產品型號或根據經驗嘗試就可以成功登錄。

早前，能源基礎設施廠家普遍使用隱藏的賬號或口令來防止用戶忘記密碼，但這也為黑客入侵帶來方便，因為這些賬號或口令往往擁有最高的操作權限。另外，允許用無鑒權的隱藏命令或參數，或采用隱藏的組合鍵訪問，都是安全漏洞。

2)未公開的端口、協議或服務

廠家普遍使用U盤通過USB接口來升級系統，但不是所有廠家都對所有接口功能進行了說明。有設備廠家為了方便維護，允許自己的工程師采用未公開的私有協議或遠程服務來進行高級設置。凡是未公開的看得見的接口或看不見的端口、協議或服務，對于無心者來說是失誤，對于有心者來說就是后門。

3)利用已知漏洞

當前能源基礎設施已經智能化，控制器內置操作系統。大家都有經常升級電腦操作系統的經驗，升級往往就是為了修補一些漏洞。能源設備中的操作系統也可能存在漏洞，而這些漏洞會由一些民間組織公開發布，用戶可能很少會關注能源設備的系統升級公告，黑客則可以利用這些漏洞進行攻擊。

4)缺少安全機制

國內外的安全標準都有規定：對于敏感數據的訪問需要有認證、授權或加密機制，對于認證的憑據需要有安全的存儲，口令文件、私鑰文件都要有權限控制，在不需要還原明文的場景，還必須使用不可逆算法加密。此外，HTTP、Telnet等都是不安全的遠程接入方式，但仍被廣泛地使用。很多能源產品的設計者并沒有意識到網絡攻擊的風險。

5)缺乏安全設計的DCIM、站點網管、動環監控系統

DCIM(數據中心基礎設施管理)、站點網管、動環監控系統通過網絡可以直接對能源基礎設施進行操作，包括設置參數、控制設備等。為了方便運維管理，這些系統往往還支持通過手機操作。如果系統沒有進行安全設計，如使用弱密碼、存在隱藏賬號、使用http非安全協議等，就存在被攻擊者利用的風險。

4.3多種途徑攻擊能源基礎設施可使網絡中斷

攻擊能源基礎設施至少有4種途徑，包括通過劫持操作系統獲取管理員及用戶賬戶和密碼、利用系統漏洞直接劫持、遠程登錄能源設備、通過U盤上載惡意代碼設置后門等。

一旦入侵成功，有組織的攻擊者就可以設計如何使攻擊最有效、持續時間更久且不易被發現，組合攻擊往往能達成這樣的效果，如同時攻擊其上游或下游設備使故障更難恢復，攻擊電話系統致盲，攻擊日志使事件不被記錄，攻擊門禁系統使搶修車輛不能出入。

又如，將電源系統、火災報警的告警全部屏蔽，禁用電源的各種保護功能，將溫度等可以識別問題的參數修改為不變的常規值，然后調高電池充電電壓或減少電池節數，使電池持續過流充電，直至發生火災。這種情況下，只能寄希望于消防系統沒有被攻擊而失效。

有組織的網絡攻擊者不會放過任何漏洞。通過網絡進行可視化管理給運營和維護帶來方便和高效的同時，也讓電源、UPS、空調等能源基礎設施暴露于網絡安全的風險之中。很多能源基礎設施缺乏安全設計，使得其安全風險增大。能源基礎設施具有更長的生命周期，在未來風險不可預知的情況下，需要對能源產品提出必要的安全要求。

5、網絡安全已被國家立法，各行各業應有效落實

2017年2月17日，習近平主席主持召開國家安全工作座談會強調：要筑牢網絡安全防線，提高網絡安全保障水平，強化關鍵信息基礎設施防護，加大核心技術研發力度和市場化引導，加強網絡安全預警監測，確保大數據安全，實現全天候全方位感知和有效防護。

2017年6月1日起《中華人民共和國網絡安全法》正式實施。

能源基礎設施是ICT網絡的基礎，但它們幾乎從未如IT、CT設備那樣受到攻擊對抗檢驗，一旦遭受攻擊，后果可能更為嚴重。同時，由于能源基礎設施生命周期相對較長，很多設備可能使用超過15年，因此對于能源基礎設施選用方面，應選用有安全保障的設備，降低風險，防止發生重大事故。

6、網絡安全應該關注哪些方面

一部分人會認為，能源基礎設施的設備部署在內網且設置了防火墻，又安裝了殺毒軟件就安全了，其實從應用場景上來看，設備和系統會面臨的安全威脅是多種多樣的，它不僅僅是病毒，還有如：仿冒、篡改、DDOS等的威脅，這些都是殺毒軟件和防火墻不能完全解決的。對于能源基礎設施的設備和系統來說，除了安裝安全軟件外，還需要考慮硬件的安全，軟件的安全以及軟件內生安全(指：代碼規范、軟件架構等)。這個范圍是遠大于防火墻及殺毒安全軟件，因此具備全生命周期端到端的安全管理非常重要。所以我們需要關注如下幾個重要方面：

1. 專職人員及專業技能：能源基礎設施的設備及軟件供應商應該有專職的、具備足夠專業能力的安全工程師及專家，負責研究和開發具備網絡安全防御能力的產品和系統。
2. 網絡安全基線：能源基礎設施的設備及軟件供應商應有網絡安全的設計、開發、測試、審計等基線，如：不能使用弱密碼、不能有未公開接口等，作為設備及軟件上市的基本要求。
3. 端到端的全生命周期管控流程：能源基礎設施的設備及軟件供應商必須具備完善的威脅建模和分析、安全設計、安全開發、安全測試及安全的生命周期管理流程和手段，需要有完善的威脅分析、設計、開發等文檔。
4. 驗證報告：能源基礎設施的設備及軟件供應商應提供網絡安全驗證報告，報告內容應有足夠專業性及權威性。
5. 應急響應能力：能源基礎設施的設備及軟件供應商應具備應急響應能力，發生安全事件時，有專業的團隊及流程處理安全事件。
6. 設備級安全能力：可信根、安全啟動、權限最小化、堆棧保護、OS加固、口令防暴力破解、多因素認證、主機入侵檢測、軟件包簽名、安全加密算法、最小系統等安全能力。
7. 網絡級安全能力：密鑰管理、證書管理、單點登錄、用戶管理、接口隔離、安全協議、網絡流量控制、態勢感知、安全自動響應等安全能力。

7、設備及網絡安全需求概要

1、接口安全

• 所有賬號都必須被用戶可見，不存在用戶未知的賬號。
• 所有能對系統進行管理的接口都需具備接入認證機制。
• 禁止存在繞過正常認證機制直接進入到系統的隱秘通道。
• 不得存在用戶無法修改的口令。

2、賬號和認證安全

• 應用系統人機帳號、機機帳號分離。
• 帳號默認不授予任何權限或者默認只指派最小權限的角色。
• 系統提供帳號鎖定策略可配置的功能。
• 系統對于不需要認證的用戶或通過認證前返回的提示信息應盡可能少。
• 對于重要的管理事務或重要的交易事務要進行重新認證。
• 認證通過后，給當前用戶顯示有關的訪問歷史記錄數據。

3、口令安全

• 口令要有復雜度要求，例如長度不少于6位，至少包含兩種字符等。
• 禁止使用弱口令, 系統提供維護弱口令字典的功能。
• 系統具備口令防暴力破解功能。
• 系統禁止明文顯示口令。
• 系統支持多因素認證。

4、關鍵數據保護

• 禁止使用業界已知不安全的加密算法。
• 禁止使用私有密碼算法。
• 在系統設計時，需識別出產品關鍵/敏感數據;在存儲、傳輸時應進行加密、權限控制等保護。

5、安全管理

• 系統應確保系統服務做到默認安全，涉及默認安全的安全參數應進行合理配置。
• 運行程序的帳號(OS帳號)不能擁有遠程登錄的權限。
• Unix/Linux操作系統中禁止存在缺乏權限控制的無屬主文件。
• 屬于低權限用戶的腳本或程序不能以高權限帳號運行。
• 對于每一個需要授權訪問的請求都必須核實用戶是否被授權執行這個操作。
• 對所有來自不可信數據源的數據進行校驗，拒絕任何沒有通過校驗的數據。
• 產品應使用業界主流漏洞掃描工具對產品進行漏洞掃描測試，并對掃描的告警確認無問題或者解決。
• 使用代碼靜態檢查工具進行掃描，并對掃描的告警確認無問題或者解決。

6、安全通道

• 系統開放的所有偵聽端口都必須在通信矩陣中有記錄，且是業務必須的。
• 不安全通信協議支持關閉，建議缺省關閉。同時要支持安全通信協議。

7、安全審計

• 日志記錄需涵蓋管理面上所有的用戶活動、控制操作和參數配置。
• 日志應包括時間、用戶、事件、對象、結果等。
• 日志文件要有相關的訪問控制機制，不能刪除指定某條或某批日志。

8、密鑰管理

• 密鑰的用途需單一化，即一個密鑰應只用于一種用途。
• 支持自動產生/派生密鑰或導入密鑰。
• 有分層的密鑰體系結構，至少有二層密鑰設計，建議三層密鑰設計。
• 密鑰更新過程中，支持多版本(如新舊版本)密鑰共存設計。

9、證書管理

• 支持證書替換功能，導入證書時，對證書的內容、長度、算法等進行校驗。
• 驗證對端證書時，必須驗證證書簽名有效性，證書是否過期以及證書狀態是否被吊銷等。
• 產品必須支持周期性檢查證書是否過期或即將過期并提示運維人員更新證書。

10、系統保護

• 產品對外發布的軟件需具備完整性保護機制(建議采用數字簽名)。
• 系統具備硬件可信根，并支持安全啟動能力。
• 系統有最小系統設計，在遭受攻擊時保護核心業務。

11、隱私保護

• 個人數據收集范圍、使用目的不得超出聲明的，且遵循最小化原則。
• 正常業務采集、處理、存儲個人數據，必須根據實際安全風險提供必要的安全保護機制，以防止個人數據被泄漏、丟失、破壞。
• 涉及個人數據，應支持在呈現界面上進行過濾，匿名化或假名化。

8、結語

作為關鍵基礎設施行業的參與者，只有始終秉承負責任的態度，致力于以最大程度保護(國家)關鍵基礎設施的安全。

危機和應對總是在賽跑，沒有萬無一失的防線，只有從不松懈的警覺。在這個不斷演變和充滿挑戰的問題上，我們還有很多工作要做，這將是一個持續努力的過程。

我們呼吁行業要增強網絡安全的意識，選擇有網絡安全設計的設備、軟件及解決方案，以應對網絡安全的挑戰，為行業數字化、智能化發展保駕護航。

【本文為51CTO專欄作者“移動Labs”原創稿件，轉載請聯系原作者】

戳這里，看該作者更多好文