網絡防御技術安全防護論文

時間：2024-08-09 16:09:06 論文范文我要投稿

相關推薦

網絡防御技術安全防護論文

　　摘要：該文闡述了調度自動化系統安全防護現狀，依據動態信息安全P2DR模型，結合主動防御新技術設計了調度自動化系統安全防護模型，給出了具體實現的物理架構，討論了其特點和優越性。

網絡防御技術安全防護論文

　　關鍵詞：P2DR模型主動防御技術SCADA調度自動化

　　隨著農網改造的進行，各電力部門的調度自動化系統得到了飛快的發展，除完成SCADA功能外，基本實現了高級的分析功能，如網絡拓撲分析、狀態估計、潮流計算、安全分析、經濟調度等，使電網調度自動化的水平有了很大的提高。調度自動化的應用提高了電網運行的效率，改善了調度運行人員的工作條件，加快了變電站實現無人值守的步伐。目前，電網調度自動化系統已經成為電力企業的"心臟"[1]。正因如此，調度自動化系統對防范病毒和*客攻擊提出了更高的要求，《電網和電廠計算機監控系統及調度數據網絡安全防護規定》（中華人民共和國國家經濟貿易委員會第30號令）[9]中規定電力監控系統的安全等級高于電力管理信息系統及辦公自動化系統。各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。而從目前的調度自動化安全防護技術應用調查結果來看，不少電力部門雖然在調度自動化系統網絡中部署了一些網絡安全產品，但這些產品沒有形成體系，有的只是購買了防病毒軟件和防火墻，保障安全的技術單一，尚有許多薄弱環節沒有覆蓋到，對調度自動化網絡安全沒有統一長遠的規劃，網絡中有許多安全隱患，個別地方甚至沒有考慮到安全防護問題，如調度自動化和配網自動化之間，調度自動化系統和MIS系統之間數據傳輸的安全性問題等，如何保證調度自動化系統安全穩定運行，防止病毒侵入，已經顯得越來越重要。

　　從電力系統采用的現有安全防護技術方法方面，大部分電力企業的調度自動化系統采用的是被動防御技術，有防火墻技術和入侵檢測技術等，而隨著網絡技術的發展，逐漸暴露出其缺陷。防火墻在保障網絡安全方面，對病毒、訪問限制、后門威脅和對于內部的*客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防范*客攻擊與病毒入侵，本文基于傳統安全技術和主動防御技術相結合，依據動態信息安全P2DR模型，考慮到調度自動化系統的實際情況設計了一套安全防護模型，對于提高調度自動化系統防病毒和*客攻擊水平有很好的參考價值。

　　1威脅調度自動化系統網絡安全的技術因素

　　目前的調度自動化系統網絡如iES-500系統[10]、OPEN2000系統等大都是以Windows為操作系統平臺，同時又與Internet相連，Internet網絡的共享性和開放性使網上信息安全存在先天不足，因為其賴以生存的TCP/IP協議缺乏相應的安全機制，而且Internet最初設計沒有考慮安全問題，因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外，隨著調度自動化和辦公自動化等系統數據交流的不斷增大，系統中的安全漏洞或"后門"也不可避免的存在，電力企業內部各系統間的互聯互通等需求的發展，使病毒、外界和內部的攻擊越來越多，從技術角度進一步加強調度自動化系統的安全防護日顯突出。

　　2基于主動防御新技術的安全防護設計

　　2.1調度自動化系統與其他系統的接口

　　由于調度自動化系統自身工作的性質和特點，它主要需要和辦公自動化（MIS）系統[6]、配網自動化系統實現信息共享。為了保證電網運行的透明度，企業內部的生產、檢修、運行等各部門都必須能夠從辦公自動化系統中了解電網運行情況，因此調度自動化系統自身設有Web服務器，以實現數據共享。調度自動化系統和配網自動化系統之間由于涉及到需要同時控制變電站的10kV出線開關，兩者之間需要進行信息交換，而配網自動化系統運行情況需要通過其Web服務器公布于眾[5]，同時由于配網自動化系統本身的安全性要求，考慮到投資問題，可以把它的安全防護和調度自動化一起考慮進行設計。

　　2.2主動防御技術類型

　　目前主動防御新技術有兩種。一種是陷阱技術，它包括蜜罐技術（Honeypot）和蜜網技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統，通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務，拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐根據設計目的分為產品型和研究型。目前已有許多商用的蜜罐產品，如BOF是由MarcusRanum和NFR公司開發的一種用來監控BackOffice的工具。Specter是一種商業化的低交互蜜罐，類似于BOF，不過它可以模擬的服務和功能范圍更加廣泛。蜜網技術是最為著名的公開蜜罐項目[7],它是一個專門設計來讓人"攻陷"的網絡，主要用來分析入侵者的一切信息、使用的工具、策略及目的等。

　　另一種技術是取證技術，它包括靜態取證技術和動態取證技術。靜態取證技術是在已經遭受入侵的情況下，運用各種技術手段進行分析取證工作。現在普遍采用的正是這種靜態取證方法，在入侵后對數據進行確認、提取、分析，抽取出有效證據，基于此思想的工具有數據克隆工具、數據分析工具和數據恢復工具。目前已經有專門用于靜態取證的工具，如GuidanceSoftware的Encase,它運行時能建立一個獨立的硬盤鏡像，而它的FastBloc工具則能從物理層組織操作系統向硬盤寫數據。動態取證技術是計算機取證的發展趨勢，它是在受保護的計算機上事先安裝上代理，當攻擊者入侵時，對系統的操作及文件的修改、刪除、復制、傳送等行為，系統和代理會產生相應的日志文件加以記錄。利用文件系統的特征，結合相關工具，盡可能真實的恢復這些文件信息，這些日志文件傳到取證機上加以備份保存用以作為入侵證據。目前的動態取證產品國外開發研制的較多，價格昂貴，國內部分企業也開發了一些類似產品。

　　2.3調度自動化系統安全模型

　　調度自動化安全系統防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架，P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型，它主要包含4個部分：安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）[8]。模型體系框架如圖1所示。

　　在P2DR模型中，策略是模型的核心，它意味著網絡安全需要達到的目標，是針對網絡的實際情況，在網絡管理的整個過程中具體對各種網絡安全措施進行取舍，是在一定條件下對成本和效率的平衡[3]。防護通常采用傳統的靜態安全技術及方法來實現，主要有防火墻、加密和認證等方法。檢測是動態響應的依據，通過不斷的檢測和監控，發現新的威脅和弱點。響應是在安全系統中解決安全潛在性的最有效的方法，它在安全系統中占有最重要的地位。

　　2.4調度自動化系統的安全防御系統設計

　　調度自動化以P2DR模型為基礎，合理利用主動防御技術和被動防御技術來構建動態安全防御體系，結合調度自動化系統的實際運行情況，其安全防御體系模型的物理架構如圖2所示。

　　防護是調度自動化系統安全防護的前沿，主要由傳統的靜態安全技術防火墻和陷阱機實現。在調度自動化系統、配網自動化系統和公司信息網絡之間安置防火墻監視限制進出網絡的數據包，防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面，制造一個被入侵的網絡環境誘導入侵，引開*客對調度自動化Web服務器的攻擊，從而提高網絡的防護能力。

　　檢測是調度自動化安全防護系統主動防御的核心，主要由IDS、漏洞掃描系統、陷阱機和取證系統共同實現，包括異常檢測、模式發現和漏洞發現。IDS對來自外界的流量進行檢測，主要用于模式發現及告警。漏洞掃描系統對調度自動化系統、配網自動化主機端口的已知漏洞進行掃描，找出漏洞或沒有打補丁的主機，以便做出相應的補救措施。陷阱機是設置的蜜罐系統，其日志記錄了網絡入侵行為，因此不但充當了防護系統，實際上又起到了第二重檢測作用。取證分析系統通過事后分析可以檢測并發現病毒和新的*客攻擊方法和工具以及新的系統漏洞。響應包括兩個方面，其一是取證機完整記錄了網絡數據和日志數據，為攻擊發生系統遭破壞后提出訴訟提供了證據支持。另一方面是根據檢測結果利用各種安全措施及時修補調度自動化系統的漏洞和系統升級。

　　綜上所述，基于P2DR模型設計的調度自動化安全防護系統有以下特點和優越性：

　　（1）·在整個調度自動化系統的運行過程中進行主動防御，具有雙重防護與多重檢測響應功能；

　　（2）·企業內部和外部兼防，可以以法律武器來威懾入侵行為，并追究經濟責任。

　　（3）·形成了以調度自動化網絡安全策略為核心的防護、檢測和響應相互促進以及循環遞進的、動態的安全防御體系。

　　3結論

　　調度自動化系統的安全防護是一個動態發展的過程，本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合，在P2DR模型基礎上進行的設計，使調度自動化系統安全防御在遭受攻擊的時候進行主動防御，增強了系統安全性。但調度自動化系統安全防護并不是純粹的技術，僅依賴安全產品的堆積來應對迅速發展變化的攻擊手段是不能持續有效的。調度自動化系統安全防護的主動防御技術不能完全取代其他安全機制，尤其是管理規章制度的嚴格執行等必須長抓不懈。

　　參考文獻：

　　[1]梁國文.縣級電網調度自動化系統實現的功能.農村電氣化,2004,(12):33~34.

　　[2]丁杰,高會生,俞曉雯.主動防御新技術及其在電力信息網絡安全中的應用.電力系統通信,2004,(8):42~45.

　　[3]趙陽.電力企業網的安全及對策.電力信息化,2004,(12):26~28.

　　[4]阮曉迅,等.計算機病毒的通用防護技術.電氣自動化,1998,(2):53~54.

　　[5]郝印濤,等.配網管理與調度間的信息交換.農村電氣化,2004,(10):13~14.

　　[6]韓蘭波.縣級供電企業管理信息系統(MIS)的應用.農村電氣化,2004,(12):33~34.

　　[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..

　　[8]戴云,范平志.入侵檢測系統研究綜述[J].計算機工程與應用,2002,38(4):17~19.

　　[9]中華人民共和國國家經濟貿易委員會第30號令.電網和電廠計算機監控系統及調度數據網絡安全防護規定,2002,(5).

　　[10]潘光午.iES-500調度自動化系統在縣級電力企業中的應用.2004,(10).

【網絡防御技術安全防護論文】相關文章：