盛明珺
電力信息化行業(yè)網(wǎng)絡(luò)涉及到的系統(tǒng)和應(yīng)用極其豐富,不同設(shè)備所應(yīng)用到的開發(fā)技術(shù)、自身的內(nèi)部結(jié)構(gòu)、系統(tǒng)設(shè)置、接口樣式都存在差異,這些設(shè)施集成起來就會出現(xiàn)漏洞,被病毒作為突破口,對網(wǎng)絡(luò)系統(tǒng)進行攻擊。傳統(tǒng)的防御方法不能對網(wǎng)絡(luò)系統(tǒng)進行動態(tài)監(jiān)管,更不能對系統(tǒng)所處的環(huán)境進行風(fēng)險分析和評估,因此,主動防御技術(shù)優(yōu)勢更加明顯,它不僅能對網(wǎng)絡(luò)系統(tǒng)進行檢測,同時還能主動找出危害因素并加以清除,極大提高了電力信息化行業(yè)網(wǎng)絡(luò)的安全性。
(一)勒索病毒
這種病毒從本質(zhì)上來講其實就變異式木馬,一旦被這種病毒攻擊,將無法對文件系統(tǒng)進行訪問。其可以大致分為兩種不同類型:加密型,這種類型的病毒利用加密算法對攻擊的電力通信系統(tǒng)進行加密,要想解密必須要支付費用才能操作;鎖定型,這類病毒是以遠程操控的形式將操作系統(tǒng)鎖定,使其他人無法對文件系統(tǒng)進行操作。
(二)DDOS攻擊
隨著電網(wǎng)智能化的加深和覆蓋面的不斷擴大,其中所應(yīng)用的設(shè)備、軟件、載入的數(shù)據(jù)、使用的用戶都不斷增多。在此基礎(chǔ)上,還利用移動通信等技術(shù)和傳感器攝像頭對電網(wǎng)進行動態(tài)監(jiān)控,這就使整個系統(tǒng)極易受到DDOS的攻擊。這種攻擊建立在多用戶同時在一個程序上登錄,占用各種相關(guān)資源的現(xiàn)象上。會使得正常用戶出現(xiàn)不能訪問服務(wù)器的情況,使系統(tǒng)處理速度極大地降低。近些年出現(xiàn)的類似例子數(shù)不勝數(shù),給我國電力通信系統(tǒng)造成了重大損失。
(三)數(shù)據(jù)盜竊
最常發(fā)生、也是威脅最大的一項,就是電力信息網(wǎng)絡(luò)系統(tǒng)遭到的數(shù)據(jù)盜竊。當(dāng)前電網(wǎng)中乘載的數(shù)據(jù)種類繁多、內(nèi)容復(fù)雜,無論是哪種數(shù)據(jù)類型都是歸類于機密信息的,不能輕易地向外界透露,或被其他用戶獲取,但是,當(dāng)前網(wǎng)絡(luò)上許多不法分子運用一些非法手段,對整個電網(wǎng)系統(tǒng)進行攻擊,盜取系統(tǒng)中的機密數(shù)據(jù)。這對電網(wǎng)數(shù)據(jù)造成的損失無疑是非常巨大的。
(一)陷阱技術(shù)
1、蜜罐技術(shù)
所謂的蜜罐技術(shù)是讓自身蜜罐系統(tǒng)存在一個明顯的漏洞,對攻擊者進行誘騙。其原理是系統(tǒng)對易受攻擊的主機進行模擬,讓攻擊者將此系統(tǒng)作為目標(biāo)。但蜜罐系統(tǒng)自身是沒有任何有價值的數(shù)據(jù)和服務(wù)的,所以但凡是嘗試對此系統(tǒng)進行鏈接動作都被視作不正常的動作,遭到攻擊時,系統(tǒng)會對攻擊方進行拖延,對攻擊源頭進行追蹤,找到線索并發(fā)送給管理員。
2、蜜網(wǎng)技術(shù)
蜜網(wǎng)不僅能夠模擬存在大漏洞的網(wǎng)絡(luò)系統(tǒng),來誘惑不法者進行攻擊,同時也是學(xué)習(xí)工具,通過這一技術(shù)能夠?qū)粽叩乃行畔⑦M行獲取,包括攻擊者所使用的工具和攻擊計劃,最終要達到的目的,并對這些信息進行分析、研究和學(xué)習(xí)。其功能主要可概括為三點:對信息進行控制,對頻繁攻擊主機并產(chǎn)生威脅的攻擊者,一定程度上降低其對系統(tǒng)威脅;對相關(guān)信息進行捕獲,攻攻擊者的行為信息,并對攻擊路徑進行研究,弄清攻擊動機、來源、計劃等;對相關(guān)信息進行收集,信息收集,指的是專門針對非單一蜜網(wǎng)存在的情況進行作用的功能,他能從中收集獲取數(shù)據(jù)的有效方法。
(二)取證技術(shù)
這里提到的取證是指網(wǎng)絡(luò)系統(tǒng)被入侵后對入侵信息進行分析取證的技術(shù),此技術(shù)可分為兩類。
1、靜態(tài)取證技術(shù)
在系統(tǒng)遭受到攻擊后,通常會經(jīng)過一系列技術(shù)手段對入侵痕跡進行取證并分析,但是在攻擊者入侵網(wǎng)絡(luò)系統(tǒng)后,會對整個系統(tǒng)進行清理,因此取證技術(shù)會花費很長的時間,并且難度較大。靜態(tài)取證技術(shù)是在入侵發(fā)生過程中,對數(shù)據(jù)進行提取、分析,保留有效成分。其應(yīng)用到工具種類較多,并通過這些復(fù)雜手段,對數(shù)據(jù)進行克隆、分析和恢復(fù)。有些通過建立一個單獨硬盤鏡像,有效地阻止數(shù)據(jù)被改寫,對保護電子證據(jù)起到很大的作用。
2、動態(tài)取證技術(shù)
動態(tài)取證技術(shù)與靜態(tài)取證技術(shù)相比,更具有一定的發(fā)展優(yōu)勢,靜態(tài)取證技術(shù)主要是對一個固定時間的數(shù)據(jù)信息進行分析取證,而動態(tài)取證技術(shù)則是實時地對數(shù)據(jù)進行相應(yīng)的分析。同時,這項技術(shù)也能夠?qū)θ肭终叩膭幼鬟M行分析和回應(yīng),通過自身分析的數(shù)據(jù),切斷入侵者的連接,或是設(shè)置相應(yīng)的陷阱,使入侵者更深層次進入,在這一過程中獲得攻擊者的信息。如果一些不法分子入侵了預(yù)先設(shè)置好這項技術(shù)的網(wǎng)絡(luò)系統(tǒng),動態(tài)取證技術(shù)就會對入侵者的所有動作,包括對文件數(shù)據(jù)的改動或傳送進行詳細記錄。并依照這些記錄,反過來對數(shù)據(jù)進行恢復(fù),同時將所記錄的信息傳輸?shù)饺∽C機上。除以上動作外,動態(tài)取證技術(shù)會取出相應(yīng)的記錄,與網(wǎng)絡(luò)數(shù)據(jù)進行比對分析,追蹤入侵者的相關(guān)信息,如來源、形式和入侵程度,從而研究出一系列的反擊技術(shù),防患于未然。
(一)網(wǎng)絡(luò)數(shù)據(jù)的采集
電力信息化行業(yè)數(shù)據(jù)存儲量非常的巨大,并且其來源渠道也種類繁多,大部分?jǐn)?shù)據(jù)存儲在應(yīng)用程序和數(shù)據(jù)庫中,其傳輸形式也有很多種,像硬件設(shè)施交換機、服務(wù)器等都屬于對數(shù)據(jù)進行傳輸交換的渠道,所以數(shù)據(jù)的采集也可以從多方面來進行,所應(yīng)用的技術(shù)靈活性也較大??梢詮臄?shù)據(jù)源頭數(shù)據(jù)傳輸過程和數(shù)據(jù)存儲位置進行抓取。在獲得這些信息后,對其進行分類整理,所分類型依照所抓取的數(shù)據(jù)進行定制,并將這些采集到的數(shù)據(jù)存儲在病毒數(shù)據(jù)庫,路徑可以按時間順序進行設(shè)計。最近獲得的數(shù)據(jù)放在優(yōu)先訪問的位置,以此方式來實現(xiàn)實時、快速的數(shù)據(jù)獲取,最后將獲得的數(shù)據(jù)進行風(fēng)險分析。
(二)網(wǎng)絡(luò)安全風(fēng)險分析
數(shù)據(jù)采集過程結(jié)束后,則要對其進行一定的分析和處理,建立相應(yīng)的風(fēng)險數(shù)據(jù)矩陣,從兩種不同的角度進行分析,一方面是數(shù)據(jù)來源分析,另一方面是分析風(fēng)險考量指標(biāo),按照指標(biāo)進行衡量,分析是否存在被攻擊的風(fēng)險及其風(fēng)險指數(shù)。安全風(fēng)險分析方法運用的數(shù)據(jù)挖掘技術(shù)多種多樣, 但無論哪種技術(shù)都遵循風(fēng)險最小化原則,對數(shù)據(jù)進行挖掘和分析,為保證網(wǎng)絡(luò)系統(tǒng)的安全提供了相應(yīng)的參考。
(三)網(wǎng)絡(luò)安全評估功能
評估結(jié)果可分為優(yōu)秀、良好、一般、輕度、重度幾個對應(yīng)級別。第一個等級是指各個軟硬件數(shù)據(jù)經(jīng)過分析過后,沒有發(fā)現(xiàn)任何安全威脅,基本沒有明顯的漏洞,能夠保證網(wǎng)絡(luò)安全系統(tǒng)的正常運行;第二個等級表示經(jīng)過各類數(shù)據(jù)分析評估之后,軟硬件設(shè)施狀態(tài)比較良好,可能稍微有些不夠穩(wěn)定的因素存在,因此需要偶爾對其進行檢測;第三個等級表示,經(jīng)過系統(tǒng)分析之后,軟硬件設(shè)施能夠基本正常運行,但是需要對其進行動態(tài)的監(jiān)控,以此來保護整個系統(tǒng)不會被一些風(fēng)險所威脅;第四個等級就說明網(wǎng)絡(luò)系統(tǒng)中已經(jīng)蘊涵著一定的危險因素。例如,系統(tǒng)中已經(jīng)出現(xiàn)一些明顯的漏洞,或是小的數(shù)據(jù)故障,這時就要對整個系統(tǒng)采取相應(yīng)的保護措施;第五個等級則是經(jīng)過系統(tǒng)分析之后,已經(jīng)檢測出明顯的系統(tǒng)漏洞,并且出現(xiàn)一些比較嚴(yán)重的病毒侵入,這些危險因素已經(jīng)嚴(yán)重阻礙了系統(tǒng)的正常運行。
(四)安全防御功能
最后一個功能,也是最主要的功能,就是對整個系統(tǒng)的安全防御。前面所提到的各項功能,只是在沒有受到不法分子入侵時的一個預(yù)防功能,只能實現(xiàn)降低網(wǎng)絡(luò)系統(tǒng)受到攻擊的風(fēng)險和找出威脅網(wǎng)絡(luò)安全的因素。但是在網(wǎng)絡(luò)安全遭到攻擊時,安全防御功能才是最主要的功能。整個防御功能非常的完整,分為多個層次。訪問控制列表,綜合前面功能所分析出的結(jié)果,其可以限制一些頻繁攻擊其他系統(tǒng)的用戶訪問服務(wù)器,降低這些用戶對整個系統(tǒng)進行數(shù)據(jù)盜取的幾率;Web安全服務(wù)器,該這一層次的防御過濾功能非常強大,可以對每個數(shù)據(jù)協(xié)議自動進行分析,一旦找到存在安全風(fēng)險的數(shù)據(jù)就將報告發(fā)送給殺毒軟件;最后一個層次則為各種病毒查殺軟件,接到安全服務(wù)器的報告之后,病毒查殺軟件會對其報告內(nèi)容所指的病毒進行查殺,及時的清除掉對計算機有威脅的因素。除此之外,安全防御系統(tǒng)還擁有數(shù)據(jù)實時監(jiān)控的功能。一旦發(fā)現(xiàn)可能對計算機安全,造成威脅的不穩(wěn)定因素就會采取以上步驟,對整個數(shù)據(jù)進行主動分析。這對整個網(wǎng)絡(luò)系統(tǒng)的安全有著非常重大的意義。
電力信息化行業(yè)網(wǎng)絡(luò)安全主動防御技術(shù)是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要載體,因此,為了使這部分的安全更加有保障,就必須要建立更加牢固的安全防御措施,應(yīng)用主動防御技術(shù)能更好地保障信息化行業(yè)的網(wǎng)絡(luò)安全。
作者單位:中國大唐集團科學(xué)技術(shù)研究院有限公司華東電力試驗研究院