入侵容忍技術在電力企業(yè)網(wǎng)絡安全中應用

周湘根

摘要：隨著計算機網(wǎng)絡及電網(wǎng)自動化水平的提高，電力企業(yè)對信息系統(tǒng)的依賴性越來越強，同時面臨的安全問題也越來越大。在口新月異的攻擊手段面前，依靠傳統(tǒng)安全技術來維護系統(tǒng)安全遠遠不夠。本文針對電力企業(yè)信息網(wǎng)絡的特點，探討了如何運用入侵容忍技術來保護信息系統(tǒng)的正常運行。

關鍵詞：入侵容忍技術電力企業(yè)網(wǎng)絡

0 引言

隨著計算機網(wǎng)絡的不斷發(fā)展，聯(lián)入網(wǎng)絡的設備越來越多，各種應用和系統(tǒng)也越來越多，功能和實現(xiàn)越來越復雜。對一個復雜的網(wǎng)絡來說，沒有人能找出其中所有的安全漏洞。而當某個系統(tǒng)是由復雜的操作系統(tǒng)和多種復雜的應用所構成，更是不可能找出所有的安全漏洞。新發(fā)現(xiàn)的或者是潛在的安全漏洞都可以被黑客所利用，傳統(tǒng)安全技術此時無力應付由此帶來的攻擊。在復雜網(wǎng)絡環(huán)境下，區(qū)分合法用戶和假冒的合法用戶變得非常困難。一個復雜的應用往往包括許多合法的用戶，但很難保證所有用戶都遵守安全管理的規(guī)定。比如有些用戶無意中泄露了自己的用戶名和密碼,而有些用戶為了方便可能和別人共用一個用戶口令等等。所有這些，都使得系統(tǒng)辨認一個真正的合法用戶變得困難。復雜網(wǎng)絡環(huán)境下信息安全必須考慮的另一個問題是如何應對內部人員的惡意攻擊。出于種種目的，內部用戶可能利用合法渠道對系統(tǒng)實施攻擊，利用現(xiàn)有的防攻擊手段很難抵制這樣的攻擊。在現(xiàn)實復雜的網(wǎng)絡環(huán)境中,網(wǎng)絡攻擊是不可完全避免的，因此必須有新的途徑來應對這些新的安全問題。入侵容忍技術就是在這種背景下提出的，與傳統(tǒng)安全技術不同，它的主要思想是用硬件或者軟件容錯技術屏蔽任何入侵或者攻擊對系統(tǒng)功能的影響，主要研究如何在遭受攻擊的情況下繼續(xù)保護系統(tǒng)的服務能力，同時還要保證關鍵數(shù)據(jù)和服務的機密性和完整性。一個入侵容忍系統(tǒng)是指這樣的一個系統(tǒng)：在系統(tǒng)遭到入侵或發(fā)生故障的情況下，整個系統(tǒng)具有自我診斷、修復和重構的能力，同時提供全部或者降級地服務。在一個容侵系統(tǒng)中，攻擊者即使攻破系統(tǒng)中的多個組件，也不會危害整個系統(tǒng)的安全和服務，機密數(shù)據(jù)不會泄漏，同時保證迅速恢復入侵所造成的損害，這對大量的核心系統(tǒng)是非常關鍵的。

1 入侵容忍技術在電力企業(yè)中的應用

入侵容忍根據(jù)被保護的對象分為對服務的入侵容忍和對數(shù)據(jù)的入侵容忍。在電力企業(yè)信息系統(tǒng)中，保障提供服務的連續(xù)性和數(shù)據(jù)的安全性對電力系統(tǒng)的正常運行起著至關重要的作用。本章在研究電力系統(tǒng)中的服務和數(shù)據(jù)的基礎上，提出相應的入侵容忍解決方案。隨著電力數(shù)據(jù)網(wǎng)絡網(wǎng)絡覆蓋面的擴大,網(wǎng)上電力信息資源不斷豐富,各種應用也在不斷發(fā)展和深入,發(fā)電廠與變電站自動化監(jiān)控系統(tǒng)、電網(wǎng)調度自動化系統(tǒng)、電力負荷管理系統(tǒng)、電力CAD系統(tǒng)、管理信息系統(tǒng)(MIS)等均作為電力信息化重大工程投入了大量人力和物力。電力系統(tǒng)網(wǎng)絡的許多關鍵應用要求24×7的不間斷服務，在日新月異的攻擊手段面前，現(xiàn)有的網(wǎng)絡系統(tǒng)有時顯得非常脆弱，不能提供人們所期望的服務。在這種情況下，對各種服務器的保護顯得尤為重要。對服務的入侵容忍就是研究系統(tǒng)在面臨攻擊的情況下，仍能為預期的合法用戶提供有效服務的方法和機制。對服務的入侵容忍設計如圖所示：

該設計方案中，通過5個功能模塊的協(xié)同工作實現(xiàn)容侵功能，下面分別討論：①常規(guī)安全技術模塊：包括防火墻、身份驗證、訪問控制等常見的安全措施。②復制模塊：包括服務器組和復制管理器。對應于不同的應用服務類型，服務器組由一組運行在不同操作系統(tǒng)上的服務器組成；復制管理器對復制品進行復制和管理。③表決模塊：包括表決器和表決管理器。表決器對由復制模塊傳遞過來的息序列進行表決，并產(chǎn)生出一個最可靠的輸出值；表決管理器對表決器進行監(jiān)督管理，并配合復制管理器識別有故障的復制品。④入侵檢測模塊：采用基于移動Agent的分布式入侵檢測系統(tǒng)。⑤狀態(tài)轉移控制模塊：在狀態(tài)轉移模型的基礎上，根據(jù)設計和實現(xiàn)的需要將系統(tǒng)的安全狀態(tài)劃分為四種安全狀態(tài)級別：正常狀態(tài)、易受攻擊狀態(tài)、服務退化狀和被攻擊狀態(tài)，并根據(jù)具體的安全狀態(tài)進行不同的系統(tǒng)重配置策略。四種安全級別狀態(tài)之間的相互轉換如圖所示:

四種安全級別的具體劃分和轉換過程如下：①正常狀態(tài)：系統(tǒng)能夠安全并正常運行的狀態(tài)，即沒有檢測到任何可疑的故障/入侵。②易受攻擊狀態(tài):即系統(tǒng)己經(jīng)檢測到存在某些可疑的故障/入侵，但還不能確認是否為真正的網(wǎng)絡攻擊或系統(tǒng)故障，在這個狀態(tài)下系統(tǒng)不采取較強的響應措施，只是通過狀態(tài)轉移控制模塊延遲相關服務對象請求的處理或資源分配的限制。③服務退化狀態(tài):服務器的服務功能受到較大影響，服務器處理響應延遲明顯加大，狀態(tài)轉移控制模塊或表決管理器通知各服務器拋棄部分此類服務的數(shù)據(jù)包，并由狀態(tài)轉移控制模塊把可疑服務(請求)遷移分配到同一臺服務器上，進行服務隔離。④被攻擊狀態(tài):狀態(tài)轉移控制模塊根據(jù)表決管理器或其它模塊提供的分析結果，確認可疑服務屬于某種故障/入侵或者相應服務器幾乎陷于癱瘓，系統(tǒng)進入被攻擊狀態(tài)。此時，復制管理器從對象組中刪除有故障的復制品，切斷有故障請求與服務器的連接；如果服務器己經(jīng)被攻破，則由狀態(tài)轉移控制模塊把所有合法用戶服務進程分配和遷移到其他相同功能的服務器對象上；同時把被攻破的服務器及時從系統(tǒng)中刪除，若對及進行修復好后也可重新加入到系統(tǒng)中。對服務的入侵容忍整體工作流程如下：服務器啟動成功，開始提供服務，系統(tǒng)進入正常狀態(tài)。用戶要調用服務器的服務，向系統(tǒng)發(fā)送請求，若通過常規(guī)安全技術模塊的檢測，系統(tǒng)將請求傳送給各對象組中相應的復制品。服務器對象然后檢查此消息的合法性。如果合法，則執(zhí)行請求，若不合法，對此請求非法性進行分析，確定是否是故障/入侵，以決定系統(tǒng)的安全狀態(tài)級別。請求執(zhí)行后，產(chǎn)生執(zhí)行結果或應答消息，此時，所有的結果將成為表決器的輸入序列。表決器首先要判斷是否構成大數(shù)，只有達到時才能進行表決。當表決器接收到一致響應結果大于大數(shù)時，它認定所有的響應結果在數(shù)值上是相等的，并產(chǎn)生唯一的輸出結果，遞交給表決管理器。表決管理器再將其作為最終的結果傳遞給目標客戶對象。

2 結語

隨著計算機網(wǎng)絡及電網(wǎng)自動化水平的提高，電力企業(yè)對信息系統(tǒng)的依賴性越來越強，同時面臨的安全問題也越來越大。另一方面，在日新月異的攻擊手段目前，依靠傳統(tǒng)安全技術來維護系統(tǒng)安全遠遠不夠，而入侵容忍技術，做為第三代信息安全技術－信息生存技術的核心，在全世界范圍內的研究方興未艾。研究入侵容忍技術在電力信息系統(tǒng)中的應用，具有非常重要的理論和現(xiàn)實意義。

參考文獻：

[1]韓君.網(wǎng)絡容侵技術.信息網(wǎng)絡安全.2003.（3）.

[2]張險峰.入侵容忍技術現(xiàn)狀與發(fā)展.計算機科學.2004.（10）.

[3]牛建坤，容忍入侵的Web服務器系統(tǒng)設計.電子科技，2005.（1）.