主動(dòng)誘騙型電力網(wǎng)絡(luò)安全防御系統(tǒng)的應(yīng)用

0 引 言

作為我國社會(huì)經(jīng)濟(jì)發(fā)展的重要支柱產(chǎn)業(yè)，電力企業(yè)擁有豐富的網(wǎng)絡(luò)信息資源。在高風(fēng)險(xiǎn)的網(wǎng)絡(luò)信息系統(tǒng)中，電力系統(tǒng)的許多工作與網(wǎng)絡(luò)密切相關(guān)。筆者將著重分析傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)的入侵模式和我國電力系統(tǒng)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，討論入侵檢測技術(shù)在電網(wǎng)安全維護(hù)中的意義和應(yīng)用。

1 新型電力系統(tǒng)防誘騙設(shè)置的必要性

近年來，隨著計(jì)算機(jī)技術(shù)應(yīng)用范圍的不斷擴(kuò)大，電力類企業(yè)已廣泛采用電力系統(tǒng)防誘騙這種新型技術(shù)手段。運(yùn)用微機(jī)與網(wǎng)絡(luò)系統(tǒng)防誘騙模式，工程師可以開發(fā)自動(dòng)調(diào)度系統(tǒng)、網(wǎng)絡(luò)通信控制系統(tǒng)、網(wǎng)絡(luò)能量控制系統(tǒng)、控制報(bào)文系統(tǒng)和網(wǎng)絡(luò)用戶服務(wù)系統(tǒng)，并將這些應(yīng)用系統(tǒng)連接到廣域電網(wǎng)。

當(dāng)前，以數(shù)據(jù)為基礎(chǔ)的網(wǎng)絡(luò)，在整個(gè)電力系統(tǒng)網(wǎng)絡(luò)安全防誘騙中凸顯了相應(yīng)的價(jià)值，已成為電網(wǎng)不可替代的組成部分[1]。然而，全國和地方電網(wǎng)易遭受人為和自然的多重威脅，這決定了電網(wǎng)本身的脆弱性。若電網(wǎng)存儲(chǔ)信息出現(xiàn)問題，會(huì)引發(fā)電力領(lǐng)域的災(zāi)難，給電力用戶帶來極大損失。因此，電力網(wǎng)絡(luò)安全需要進(jìn)行高層次的約束，要求研究人員對(duì)電力網(wǎng)絡(luò)安全與電力信息安全進(jìn)行更加深入的討論。例如，學(xué)者應(yīng)分析數(shù)據(jù)管理和控制的總體狀況，對(duì)企業(yè)電網(wǎng)建設(shè)和分級(jí)監(jiān)控提出相應(yīng)的優(yōu)化措施，保證整個(gè)電網(wǎng)的穩(wěn)定。一些學(xué)者也提出了一種構(gòu)建安全屬性網(wǎng)格的全新方法，即將入侵者檢查與防火墻的管理和控制結(jié)合起來[2]。此外，也應(yīng)提出穩(wěn)定電網(wǎng)的具體模式，結(jié)合市場上通用的安全保障策略與電網(wǎng)電量計(jì)量規(guī)則方案，總結(jié)出以防誘騙為主的解決電網(wǎng)安全隱患的各種辦法，并采用不同類型的技術(shù)來應(yīng)對(duì)網(wǎng)格中的各個(gè)層次。

2 電力網(wǎng)絡(luò)安全防御體系設(shè)計(jì)

相關(guān)人員應(yīng)深入分析防誘騙電力系統(tǒng)的安全理論與主動(dòng)防御系統(tǒng)的具體操作實(shí)踐，力求設(shè)置一個(gè)基于主動(dòng)誘騙策略的網(wǎng)絡(luò)安全防御系統(tǒng)，規(guī)范有價(jià)值的模塊與功能。

2.1 主動(dòng)誘騙防御系統(tǒng)

電力網(wǎng)絡(luò)安全防御系統(tǒng)是以網(wǎng)絡(luò)安全為一個(gè)操作系統(tǒng)，依據(jù)現(xiàn)有的安全管理策略和相應(yīng)的制度設(shè)計(jì)與檢測工具，設(shè)置并開發(fā)IDS管理入侵行為控制微系統(tǒng)的主動(dòng)型防誘騙體系的結(jié)構(gòu)。其具體結(jié)構(gòu)如圖1所示。

主動(dòng)型防誘騙電網(wǎng)安全防御系統(tǒng)的CPU是DIS入侵行為控制的一個(gè)下屬子系統(tǒng)，其主要功能是協(xié)調(diào)各子系統(tǒng)的關(guān)系。在具體操作過程中，應(yīng)注意以下幾點(diǎn)。第一，應(yīng)加強(qiáng)對(duì)入侵檢測子系統(tǒng)，對(duì)網(wǎng)絡(luò)上出現(xiàn)的特殊情況進(jìn)行有力監(jiān)控[3]；第二，如發(fā)現(xiàn)不正常的入侵行為或可疑的情形，應(yīng)該結(jié)合檢測特征加強(qiáng)對(duì)系統(tǒng)性指令的布告，從而監(jiān)測與管理定向子系統(tǒng)；第三，要根據(jù)測試結(jié)果向目標(biāo)系統(tǒng)報(bào)告，并監(jiān)控可疑行為；第四，應(yīng)將復(fù)制好的數(shù)據(jù)傳輸?shù)椒勒T騙電力網(wǎng)絡(luò)安全子系統(tǒng)。在遇到黑客攻擊時(shí)，防入侵的定向化微平臺(tái)會(huì)根據(jù)設(shè)計(jì)好的指令制止入侵者，并加強(qiáng)與目標(biāo)系統(tǒng)的聯(lián)系，將關(guān)鍵信息傳達(dá)到誘騙方面的子系統(tǒng)[4]。

在安全防御系統(tǒng)運(yùn)作期間，如遇可疑情況，會(huì)直接發(fā)布指令至服務(wù)器，網(wǎng)絡(luò)安全誘騙主機(jī)會(huì)作出科學(xué)的數(shù)據(jù)回應(yīng)，對(duì)可疑的情形展開分析。如確認(rèn)為入侵行為，服務(wù)器會(huì)在監(jiān)視下實(shí)施攻擊，入侵記錄子系統(tǒng)也會(huì)詳細(xì)記錄系統(tǒng)的所有活動(dòng)。

2.2 主動(dòng)誘騙的保護(hù)功能

主動(dòng)誘騙型網(wǎng)絡(luò)安全防御系統(tǒng)的頂層與基礎(chǔ)設(shè)計(jì)是最重要的核心技術(shù)。對(duì)其進(jìn)行系統(tǒng)研究，有助于提升電網(wǎng)的防攻擊能力。加強(qiáng)主動(dòng)誘騙系統(tǒng)安全保護(hù)功能的開發(fā)與研究力度，已刻不容緩。

科學(xué)創(chuàng)設(shè)防誘騙電力系統(tǒng)的物理環(huán)境，設(shè)置好科學(xué)的系統(tǒng)隔離層以及監(jiān)控化的主機(jī)操作系統(tǒng)，是主動(dòng)型誘騙保護(hù)系統(tǒng)構(gòu)建的主要內(nèi)容。鑒于防誘騙系統(tǒng)環(huán)境下的外來入侵口令有著偽裝且不易被發(fā)現(xiàn)的特點(diǎn)，應(yīng)加強(qiáng)對(duì)防入侵和能查偽系統(tǒng)的研究和電網(wǎng)安全的保護(hù)力度。通常，要求系統(tǒng)提供安全的Web服務(wù)、遠(yuǎn)程的FTP服務(wù)、管理化的Telnet服務(wù)、IP監(jiān)控的DNS服務(wù)以及安全有效的文件與郵件服務(wù)[5]。

防誘騙保護(hù)系統(tǒng)利用誘騙機(jī)制建立系統(tǒng)隔離層，充當(dāng)誘騙環(huán)境與系統(tǒng)內(nèi)核之間的接口，使得誘騙環(huán)境中實(shí)施的行為不能直接訪問系統(tǒng)內(nèi)核，因此具有良好的隔離作用[6]。此外，由于防誘騙的系統(tǒng)平臺(tái)與系統(tǒng)內(nèi)核之間有相應(yīng)的端口連接，在防誘騙情境下，要加強(qiáng)對(duì)不安全誘騙系統(tǒng)行為的管理與監(jiān)測，形成智慧型防誘騙系統(tǒng)。

防誘騙保護(hù)系統(tǒng)可以保護(hù)控制程序的連接。限制誘騙系統(tǒng)的異化連接或被黑客攻擊，要求規(guī)范設(shè)置連接控制程序。為了防止有人以誘騙系統(tǒng)為中介攻擊其他良好的電力系統(tǒng)，應(yīng)對(duì)連接系統(tǒng)進(jìn)行科學(xué)設(shè)計(jì)、反復(fù)論證和常態(tài)試驗(yàn)，等功能完善后再推廣到電力系統(tǒng)中使用，從而確保電力網(wǎng)絡(luò)的安全。采用連接控制方法能夠設(shè)置靜態(tài)型IP地址，控制電力網(wǎng)絡(luò)的連接頻率閥值，管理并計(jì)算好連接出現(xiàn)斷開的次數(shù)。Dynamic CIPtable Serit PS系統(tǒng)是一種用來檢查相關(guān)誘騙主機(jī)外部聯(lián)系的系統(tǒng)，若發(fā)現(xiàn)問題會(huì)自動(dòng)報(bào)警，自動(dòng)管理，斷開不安全的連接，促使不安全攻擊行為難以實(shí)現(xiàn)。同時(shí)，連接控制系統(tǒng)信息可以記錄所有外部連接和傳出連接，這些數(shù)據(jù)是誘騙系統(tǒng)進(jìn)行攻擊分析和源分析的基礎(chǔ)。

在電網(wǎng)安全防御系統(tǒng)中存儲(chǔ)遠(yuǎn)程日志和運(yùn)行syslog服務(wù)，可以有效進(jìn)行主動(dòng)誘騙型保護(hù)。訪問日志數(shù)據(jù)采用的是改進(jìn)后的推挽技術(shù)。當(dāng)監(jiān)視器檢測到事件發(fā)生時(shí)，會(huì)將加密的事件監(jiān)視信息作為流定信息廣播到日志服務(wù)器[7]。當(dāng)日志服務(wù)器需要獲取最新數(shù)據(jù)時(shí)，可使用查詢事件生成器進(jìn)行反饋。管理日志服務(wù)器即是優(yōu)化數(shù)據(jù)收集，屏蔽不安全的遠(yuǎn)程日志的介入。

防誘騙保護(hù)系統(tǒng)可以優(yōu)化遠(yuǎn)程管理及安全控制。該系統(tǒng)利用隔離層的相關(guān)端口加強(qiáng)監(jiān)視，收集證據(jù)，實(shí)施進(jìn)一步跟蹤，并做好記錄工作，結(jié)合警報(bào)，實(shí)現(xiàn)全方位優(yōu)化管理。利用此平臺(tái)系統(tǒng)，管理員能夠優(yōu)化相關(guān)組件的數(shù)據(jù)設(shè)置，加強(qiáng)安全布置，升級(jí)系統(tǒng)，做到及時(shí)查看并處理相應(yīng)事件。

2.3 主動(dòng)誘騙型電力網(wǎng)絡(luò)安全防御系統(tǒng)的結(jié)構(gòu)

根據(jù)電網(wǎng)的安全拓?fù)涑绦?，?guī)范主動(dòng)型誘騙電網(wǎng)，需要加強(qiáng)相應(yīng)邏輯算法的優(yōu)化設(shè)計(jì)，促進(jìn)結(jié)構(gòu)化設(shè)計(jì)的實(shí)施。在電力網(wǎng)絡(luò)安全防御體系中，外部防火墻是第一道防線。由于大多數(shù)外部入侵是孤立的，可同時(shí)實(shí)現(xiàn)入侵檢測和入侵重定向?？紤]到防火墻的性能，應(yīng)利用IDS的日志函數(shù)記錄防火墻外部的入侵行為，且不要做太多的日志記錄。

網(wǎng)絡(luò)IDS系統(tǒng)可對(duì)電網(wǎng)中所有類型的數(shù)據(jù)實(shí)施全方位的實(shí)時(shí)監(jiān)控。該系統(tǒng)是以“寬進(jìn)而嚴(yán)出”的理念運(yùn)行的?！皩掃M(jìn)”的目的是使系統(tǒng)搜索到更多的證據(jù)來阻止并清除誘騙的惡意程序，“嚴(yán)出”則指加大對(duì)攻擊系統(tǒng)漏洞的黑客的管制力度。

3 結(jié) 論

防主動(dòng)誘騙的電網(wǎng)安全與控制系統(tǒng)不僅能抵抗電網(wǎng)外的各種因素，還可以抵抗電網(wǎng)中常態(tài)化的的小微型攻擊。同時(shí)，這種防誘騙電力網(wǎng)絡(luò)安全管理策略的運(yùn)用，可以彌補(bǔ)現(xiàn)有的檢測漏洞與不成熟的防火墻技術(shù)，有效修復(fù)現(xiàn)有的電網(wǎng)控制漏洞，使電網(wǎng)全面發(fā)揮自保功能，安全保障水平得到提升。