聯(lián)動式電網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計(jì)

云南電網(wǎng)有限責(zé)任公司信息中心 李寒箬

現(xiàn)今網(wǎng)絡(luò)已經(jīng)普及化，且?guī)в虚_放性與復(fù)雜性的特征，隨之而來的是計(jì)算機(jī)病毒技術(shù)、網(wǎng)絡(luò)攻擊技術(shù)的快速發(fā)展，導(dǎo)致外部網(wǎng)絡(luò)環(huán)境存在較高的安全風(fēng)險(xiǎn)，單一的網(wǎng)絡(luò)安全防御體系已經(jīng)不適用于當(dāng)下的網(wǎng)絡(luò)大環(huán)境，需集成防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)等，制定聯(lián)動式的安全解決方案，才可促進(jìn)網(wǎng)絡(luò)安全系統(tǒng)防御水平的提升，保障用戶的網(wǎng)絡(luò)信息安全。

網(wǎng)絡(luò)安全系統(tǒng)中的防御體系具有防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的作用，由于目前外部網(wǎng)絡(luò)環(huán)境復(fù)雜，計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊行為層出不窮，不安全因素增多，使得網(wǎng)絡(luò)安全攻擊呈現(xiàn)出頻次多、技術(shù)水平高、隱蔽性等特點(diǎn)，簡單的防御體系無法起到有效的防護(hù)效用。聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)的防御體系，聯(lián)合采用了防火墻、入侵檢測、漏洞掃描等技術(shù)，構(gòu)建主機(jī)終端與網(wǎng)絡(luò)之間的三層聯(lián)動防御機(jī)制，可明顯提升保護(hù)的效果。本文從該防御體系結(jié)構(gòu)設(shè)計(jì)入手，打造聯(lián)動控制臺和終端主機(jī)系統(tǒng)，實(shí)現(xiàn)聯(lián)動控制臺各模塊與主機(jī)防火墻系統(tǒng)、主機(jī)入侵檢測系統(tǒng)、病毒檢測系統(tǒng)、審計(jì)集中系統(tǒng)等的聯(lián)動。

1 聯(lián)動式網(wǎng)絡(luò)安全防御體系結(jié)構(gòu)設(shè)計(jì)

防火墻在網(wǎng)絡(luò)安全系統(tǒng)中屬于防御與保護(hù)措施，安裝在內(nèi)網(wǎng)與外網(wǎng)之間，建立計(jì)算機(jī)終端與網(wǎng)絡(luò)之間的隔離屏障，在發(fā)生網(wǎng)絡(luò)攻擊后防火墻會啟動運(yùn)行保護(hù)機(jī)制。防火墻基于計(jì)算機(jī)終端的硬件與軟件運(yùn)行，可及時(shí)發(fā)現(xiàn)計(jì)算機(jī)在網(wǎng)絡(luò)運(yùn)行中的安全風(fēng)險(xiǎn)。但防火墻的功能不夠全面，實(shí)現(xiàn)的保護(hù)作用有限，將其與入侵檢測技術(shù)相結(jié)合，功能僅限于在防火墻中添加了入侵檢測模塊，只有在發(fā)生攻擊后才可檢測到攻擊行為并進(jìn)行攔截，安全防護(hù)前瞻性不夠[1]。本文基于以上原因，進(jìn)行聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計(jì)。

1.1 防御體系結(jié)構(gòu)設(shè)計(jì)

該防御體系結(jié)構(gòu)使用分布式防火墻，構(gòu)建網(wǎng)絡(luò)安全防護(hù)的第一道防線；網(wǎng)絡(luò)入侵檢測系統(tǒng)與網(wǎng)絡(luò)漏洞掃描系統(tǒng)并行，入侵檢測系統(tǒng)負(fù)責(zé)檢測來自于網(wǎng)絡(luò)的攻擊，漏洞掃描系統(tǒng)實(shí)現(xiàn)終端網(wǎng)絡(luò)設(shè)備的全覆蓋，查找自身網(wǎng)絡(luò)安全漏洞，為防御體系中主動防范措施，實(shí)現(xiàn)網(wǎng)絡(luò)安全工作的前移，做到防患于未然。Internet經(jīng)過三道防線，最終促使安全的網(wǎng)絡(luò)信息經(jīng)過交換機(jī)到達(dá)主機(jī)終端。

圖1 防御體系結(jié)構(gòu)設(shè)計(jì)圖

1.2 防御體系系統(tǒng)構(gòu)成設(shè)計(jì)

防御體系主要由兩個(gè)部分構(gòu)成，一是聯(lián)動控制臺，設(shè)有策略管理、關(guān)聯(lián)分析、事件收集三個(gè)模塊；二是終端主機(jī)系統(tǒng)，聯(lián)合運(yùn)用防火墻技術(shù)、入侵檢測技術(shù)、漏洞掃描技術(shù)，共設(shè)置防火墻、入侵檢測、病毒檢測、審計(jì)集中等四個(gè)系統(tǒng)，前三個(gè)系統(tǒng)通過檢測后，以日志警告的方式將信息傳遞至審計(jì)集中系統(tǒng)，最后反饋給聯(lián)動控制臺。策略管理模塊與防火墻系統(tǒng)之間通過軟件、內(nèi)網(wǎng)進(jìn)行連接，實(shí)現(xiàn)兩者之間的信息交互，由此形成防御體系的閉環(huán)，實(shí)現(xiàn)控制臺各模塊與終端主機(jī)各系統(tǒng)之間的聯(lián)動。

圖2 防御體系系統(tǒng)設(shè)計(jì)圖

2 聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系系統(tǒng)設(shè)計(jì)

2.1 主機(jī)防火墻系統(tǒng)

其設(shè)置在邊界路由器與主機(jī)終端之間，與聯(lián)動控制臺的策略管理模塊互聯(lián)，是防御體系中信息安全過濾程序（圖3）。網(wǎng)絡(luò)信息經(jīng)過IP包過濾模塊進(jìn)行網(wǎng)絡(luò)訪問安全控制；傳遞至IP安全模塊，進(jìn)行網(wǎng)絡(luò)不安全因素的偵聽，流經(jīng)兩個(gè)模塊的網(wǎng)絡(luò)信息都需進(jìn)入安全記錄模塊，記錄系統(tǒng)的運(yùn)行進(jìn)程。IP安全模塊將信息傳遞至網(wǎng)卡接口模塊，接著傳遞至IP包截取模塊，最后再進(jìn)入IP包過濾模塊，網(wǎng)絡(luò)信息完成一個(gè)傳遞循環(huán)。其中網(wǎng)卡接口模塊的功能是信息傳輸與通信，截取模塊采集接口模塊信息。在防火墻系統(tǒng)中設(shè)計(jì)IP模塊，對網(wǎng)絡(luò)信息進(jìn)行安全檢測，形成對內(nèi)部數(shù)據(jù)的保護(hù)作用。

圖3 主機(jī)防火墻系統(tǒng)結(jié)構(gòu)

2.2 主機(jī)入侵與病毒檢測系統(tǒng)

主機(jī)入侵檢測系統(tǒng)與病毒檢測系統(tǒng)在防御體系中采用相同的檢測機(jī)制，主要有四個(gè)部分組成：一是事件發(fā)生器，功能是采集網(wǎng)絡(luò)數(shù)據(jù)包，為其他模塊的運(yùn)行節(jié)約時(shí)間；二是事件分析器，基于已知集合開展深度的事件分析；三是事件數(shù)據(jù)庫，屬于數(shù)據(jù)存儲單元；四是響應(yīng)單元，是指功能實(shí)現(xiàn)單元，從事件數(shù)據(jù)庫中獲取事件分析結(jié)果進(jìn)行操作設(shè)置，比如說發(fā)出警告信息（圖4）。

圖4 主機(jī)入侵與病毒檢測系統(tǒng)運(yùn)行流程圖

主機(jī)入侵與病毒檢測系統(tǒng)根據(jù)不同用戶的場景，使用事件發(fā)生器來采集網(wǎng)絡(luò)數(shù)據(jù)包，經(jīng)事件分析器創(chuàng)建檢測基礎(chǔ)，并且將所有的數(shù)據(jù)特征化，與檢測系統(tǒng)中的行為特征表進(jìn)行比對與匹配，當(dāng)發(fā)現(xiàn)異常時(shí)，事件分析器將信息傳遞至響應(yīng)單元，然后由響應(yīng)單元進(jìn)行處理。事件分析器中包含了安全策略與攻擊模式，能為網(wǎng)絡(luò)安全系統(tǒng)提供可靠準(zhǔn)確的判斷依據(jù)，而事件數(shù)據(jù)庫進(jìn)行異常事件和其他數(shù)據(jù)的存儲，保持實(shí)時(shí)更新狀態(tài)，保障了檢測系統(tǒng)的安全可靠運(yùn)行。

2.3 審計(jì)集中系統(tǒng)

入侵檢測系統(tǒng)在長期的運(yùn)行過程中難免出現(xiàn)運(yùn)行錯(cuò)誤、發(fā)出錯(cuò)誤警報(bào)，影響到聯(lián)動控制臺的正常運(yùn)行。如果在這些警報(bào)中帶有防火墻方面的內(nèi)容，將增加防火墻防護(hù)的內(nèi)容、形成其規(guī)則冗余問題，降低防火墻的運(yùn)行質(zhì)效。所以，入侵系統(tǒng)在完成檢測后將警告信息傳遞至審計(jì)集中系統(tǒng)，由該系統(tǒng)進(jìn)行異常事件的分類與分析，獲取其中有用信息，然后才可進(jìn)入下一個(gè)處理環(huán)節(jié)，減輕防御體系的運(yùn)行壓力。異常事件信息經(jīng)過處理后，獲取異常事件的IP地址、發(fā)生的時(shí)間、事件類型、事件名稱等，最后防御系統(tǒng)做出警告反應(yīng)，防止重復(fù)警報(bào)與錯(cuò)誤警報(bào)問題，加快防御系統(tǒng)異常事件的處理速度。

2.4 通信協(xié)議

網(wǎng)絡(luò)通信協(xié)議是網(wǎng)絡(luò)安全系統(tǒng)防御體系運(yùn)行的基礎(chǔ)，其中包含了非常重要的安全事件描述方式。通信協(xié)議在防御體系中具有將共性抽象的作用，借助共性創(chuàng)建協(xié)議，滿足防御體系通信的要求。在聯(lián)動式防御體系中，各系統(tǒng)之間的數(shù)據(jù)交互，需要一個(gè)完善的通信協(xié)議做保障，本次設(shè)計(jì)采用了NAP協(xié)議，對以太網(wǎng)幀進(jìn)行控制，其在IP協(xié)議中組成結(jié)構(gòu)為源IP地址、IP協(xié)議號、目的IP地址，當(dāng)IP協(xié)議號為TCP時(shí)可進(jìn)行連接目標(biāo)的控制。如果是HttpClient發(fā)出POST請求時(shí)服務(wù)器處于開放狀態(tài)，借助TCP協(xié)議與客戶端進(jìn)行連接，實(shí)現(xiàn)客戶端與服務(wù)器之間的通信。一個(gè)通信連接可同時(shí)發(fā)送多條信息，連接關(guān)閉后雙方通信停止[2]。

客戶端在向服務(wù)器發(fā)送正常信息過程中服務(wù)器無需響應(yīng)，當(dāng)發(fā)送的信息錯(cuò)誤時(shí)服務(wù)器直接關(guān)閉，或是在一段時(shí)間內(nèi)客戶端無信息發(fā)出，服務(wù)器也會自行切斷通信。此外，兩端在借助TCP通信時(shí)，客戶端隨時(shí)向服務(wù)器發(fā)送信息，報(bào)告自身是否面臨安全風(fēng)險(xiǎn)?？蛻舳税l(fā)送信息為報(bào)文格式，主要有兩個(gè)部分組成：一是報(bào)文頭部，采用的是IAP協(xié)議；二是報(bào)文內(nèi)容，使用的是XML格式，主要用于信息傳輸，為了保證傳輸信息的安全，對報(bào)文內(nèi)容進(jìn)行加密處理，實(shí)現(xiàn)信息完整、安全傳輸。

3 聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系設(shè)計(jì)的優(yōu)化措施

3.1 深入挖掘防火墻的防護(hù)性能

防火墻是聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防護(hù)屏障，抵御外部網(wǎng)絡(luò)的入侵，在防御體系設(shè)計(jì)中需注意：外部信息進(jìn)入內(nèi)網(wǎng)前，防火墻提取并過濾信息，判斷信息是否合法，確定信息是否可以通過防火墻；敏感性。對外部信息中非法數(shù)據(jù)非常敏感，禁止未授權(quán)網(wǎng)絡(luò)與外部操作行為的進(jìn)入，保證內(nèi)部網(wǎng)絡(luò)的安全性；防火墻建立了內(nèi)網(wǎng)與外網(wǎng)之間的保護(hù)屏障，在防御體系設(shè)計(jì)中，針對主機(jī)使用頻次低的端口，采用限制措施設(shè)計(jì)，防止非法操作控制主機(jī)端口，危及到內(nèi)網(wǎng)信息的安全；防火墻具備警告功能，當(dāng)外網(wǎng)出現(xiàn)非法行為，防火墻立即進(jìn)行阻斷，并追蹤該非法行為，獲取攻擊行為的各項(xiàng)數(shù)據(jù)，生成非法攻擊警告，構(gòu)建數(shù)據(jù)分析模型，為聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系的調(diào)整改進(jìn)提供依據(jù)。

3.2 充分運(yùn)用入侵檢測技術(shù)優(yōu)勢

該技術(shù)為防御體系中的主動防御機(jī)制，與防火墻被動防御機(jī)制形成互補(bǔ)，進(jìn)一步增強(qiáng)系統(tǒng)防御能力。為提高入侵檢測技術(shù)應(yīng)用效果，在入侵檢測系統(tǒng)設(shè)計(jì)中需注重其應(yīng)用的實(shí)效性。

首先，采取分布式檢測。網(wǎng)絡(luò)攻擊行為多種多樣，分布式攻擊防御的難度大、破壞力極強(qiáng)，需采用分布式檢測技術(shù)進(jìn)行防御，提取分布攻擊的所有信息，以便于準(zhǔn)確及時(shí)發(fā)出入侵警報(bào)。

其次，加強(qiáng)智能化設(shè)計(jì)。采用專家系統(tǒng)法、機(jī)器學(xué)習(xí)檢測法、模式匹配法等提高入侵檢測的智能化水平，提升整個(gè)系統(tǒng)的自我防范能力。

最后，做好防御方案。入侵檢測系統(tǒng)為主動防御行為，應(yīng)基于防御方案運(yùn)行，才可完全發(fā)揮出自身的防御能力[3]。在方案制定中，從網(wǎng)絡(luò)風(fēng)險(xiǎn)防控入手，分析明確網(wǎng)絡(luò)的各項(xiàng)風(fēng)險(xiǎn)，以確保入侵檢測的全面性。還需注意聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)中其他系統(tǒng)的有效管理，對各個(gè)系統(tǒng)風(fēng)險(xiǎn)防御水平進(jìn)行評估，確定防御的薄弱處，然后進(jìn)行入侵檢測系統(tǒng)功能的調(diào)整，提高入侵檢測的精準(zhǔn)度。

3.3 融入人工智能設(shè)計(jì)

聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)的防御體系本身是一個(gè)自動運(yùn)行的程序，在其中應(yīng)用人工智能技術(shù)，可構(gòu)建出智慧型的防御體系，增強(qiáng)整個(gè)系統(tǒng)的防御水準(zhǔn)。人工智能具有自學(xué)習(xí)、自適應(yīng)能力，采用專家系統(tǒng)設(shè)計(jì)，防御體系可自動分析外網(wǎng)信息、然后給出處理決策，防御質(zhì)效更高；基于模糊理論構(gòu)建防御體系的信息處理模塊判斷信息的安全性，避免非法信息越過防御體系進(jìn)入到內(nèi)網(wǎng)；人工智能技術(shù)具有實(shí)時(shí)監(jiān)控功能，將該項(xiàng)功能融入于防御體系，實(shí)現(xiàn)系統(tǒng)對外網(wǎng)信息的實(shí)時(shí)篩查，提高安全系統(tǒng)實(shí)時(shí)防御能力，杜絕非法信息的進(jìn)入。比如，專家系統(tǒng)針對非法信息的檢測，使用安全專家的知識建立規(guī)則庫對外網(wǎng)信息進(jìn)行識別，當(dāng)發(fā)現(xiàn)信息為非法信息時(shí)直接進(jìn)行該信息的攔截。

4 結(jié)語

網(wǎng)絡(luò)安全問題一直以來受到社會各界的關(guān)注，網(wǎng)絡(luò)高速發(fā)展的同時(shí)網(wǎng)絡(luò)攻擊行為逐漸增多，攻擊的技術(shù)水平逐漸提高，使人們防不勝防。而單一的防火墻防御體系難以實(shí)現(xiàn)理想的網(wǎng)絡(luò)安全防御效果。因此，需設(shè)計(jì)更為有效的防御體系保證網(wǎng)絡(luò)的高度安全。聯(lián)動式網(wǎng)絡(luò)安全系統(tǒng)防御體系在構(gòu)建防火墻的同時(shí)，設(shè)置入侵檢測系統(tǒng)與漏洞掃描系統(tǒng)，從網(wǎng)絡(luò)接口開始進(jìn)行網(wǎng)絡(luò)攻擊的隔離、檢測，并采用漏洞掃描系統(tǒng)檢測網(wǎng)絡(luò)安全系統(tǒng)的安全性，實(shí)現(xiàn)前瞻性的防御，從而最大程度上提高網(wǎng)絡(luò)安全系統(tǒng)的防御水平。