【最新word论文】基于主动防御技术的安全防护【电力专业论文】
|
基于主动防御技术的安全防护摘要:该文阐述了调度自动化系统安全防护现状,依据动态信息安全P2DR模型,结合主动防御新技术设计了调度自动化系统安全防护模型,给出了具体实现的物理架构,讨论了其特点和优越性。关键词:P2DR模型主动防御技术SCADA调度自动化随着农网改造的进行,各电力部门的调度自动化系统得到了飞快的发展,除完成SCADA功能外,基本实现了高级的分析功能,如网络拓扑分析、状态估计、潮流计算、安全分析、经济调度等,使电网调度自动化的水平有了很大的提高。调度自动化的应用提高了电网运行的效率,改善了调度运行人员的工作条件,加快了变电站实现无人值守的步伐。目前,电网调度自动化系统已经成为电力企业的"心脏"[1]。正因如此,调度自动化系统对防范病毒和黑客攻击提出了更高的要求,《电网和电厂计算机监控系统及调度数据网络安全防护规定》(中华人民共和国国家经济贸易委员会第30号令)[9]中规定电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。而从目前的调度自动化安全防护技术应用调查结果来看,不少电力部门虽然在调度自动化系统网络中部署了一些网络安全产品,但这些产品没有形成体系,有的只是购买了防病毒软件和防火墙,保障安全的技术单一,尚有许多薄弱环节没有覆盖到,对调度自动化网络安全没有统一长远的规划,网络中有许多安全隐患,个别地方甚至没有考虑到安全防护问题,如调度自动化和配网自动化之间,调度自动化系统和MIS系统之间数据传输的安全性问题等,如何保证调度自动化系统安全稳定运行,防止病毒侵入,已经显得越来越重要。 从电力系统采用的现有安全防护技术方法方面,大部分电力企业的调度自动化系统采用的是被动防御技术,有防火墙技术和入侵检测技术等,而随着网络技术的发展,逐渐暴露出其缺陷。防火墙在保障网络安全方面,对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率和误报率[4]。这些都必须要求有更高的技术手段来防范黑客攻击与病毒入侵,本文基于传统安全技术和主动防御技术相结合,依据动态信息安全P2DR模型,考虑到调度自动化系统的实际情况设计了一套安全防护模型,对于提高调度自动化系统防病毒和黑客攻击水平有很好的参考价值。威胁调度自动化系统网络安全的技术因素目前的调度自动化系统网络如iES-500系统[10]、OPEN2000系统等大都是以Windows为操作系统平台,同时又与Internet相连,Internet网络的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议缺乏相应的安全机制,而且Internet最初设计没有考虑安全问题,因此它在安全可靠、服务质量和方便性等方面存在不适应性[3]。此外,随着调度自动化和办公自动化等系统数据交流的不断增大,系统中的安全漏洞或"后门"也不可避免的存在,电力企业内部各系统间的互联互通等需求的发展,使病毒、外界和内部的攻击越来越多,从技术角度进一步加强调度自动化系统的安全防护日显突出。 基于主动防御新技术的安全防护设计2.1调度自动化系统与其他系统的接口由于调度自动化系统自身工作的性质和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度,企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况,因此调度自动化系统自身设有Web服务器,以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要通过其Web服务器公布于众[5],同时由于配网自动化系统本身的安全性要求,考虑到投资问题,可以把它的安全防护和调度自动化一起考虑进行设计。2.2主动防御技术类型目前主动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机主动防御技术,给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品,如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。 Specter是一种商业化的低交互蜜罐,类似于BOF,不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人"攻陷"的网络,主要用来分析入侵者的一切信息、使用的工具、策略及目的等。另一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法,在入侵后对数据进行确认、提取、分析,抽取出有效证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具,如GuidanceSoftwareEncase,它运行时能建立一个独立的硬盘镜像,而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上代理,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代理会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多,价格昂贵,国内部分企业也开发了一些类似产品。 2.3调度自动化系统安全模型调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架,P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模型体系框架如图1所示。在P2DR模型中,策略是模型的核心,它意味着网络安全需要达到的目标,是针对网络的实际情况,在网络管理的整个过程中具体对各种网络安全措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及方法来实现,主要有防火墙、加密和认证等方法。检测是动态响应的依据,通过不断的检测和监控,发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法,它在安全系统中占有最重要的地位。2.4调度自动化系统的安全防御系统设计调度自动化以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,结合调度自动化系统的实际运行情况,其安全防御体系模型的物理架构如图2所示。防护是调度自动化系统安全防护的前沿,主要由传统的静态安全技术防火墙和陷阱机实现。 在调度自动化系统、配网自动化系统和公司信息网络之间安置防 火墙监视限制进出网络的数据包,防范对内及内对外的非法访问。陷阱机隐藏在 防火墙后面,制造一个被入侵的网络环境诱导入侵,引开黑客对调度自动化 Web 服务器的攻击,从而提高网络的防护能力。 检测是调度自动化安全防护系统主动防御的核心,主要由 IDS、漏洞扫描系 统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。IDS 来自外界的流量进行检测,主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描,找出漏洞或没有打补丁的主 机,以便做出相应的补救措施。陷阱机是设置的蜜罐系统,其日志记录了网络入 侵行为,因此不但充当了防护系统,实际上又起到了第二重检测作用。取证分析 系统通过事后分析可以检测并发现病毒和新的黑客攻击方法和工具以及新的系统 漏洞。响应包括两个方面,其一是取证机完整记录了网络数据和日志数据,为攻 击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各 种安全措施及时修补调度自动化系统的漏洞和系统升级。 综上所述,基于P2DR 模型设计的调度自动化安全防护系统有以下特点和优越 在整个调度自动化系统的运行过程中进行主动防御,具有双重防护与多重检测响应功能; 企业内部和外部兼防,可以以法律武器来威慑入侵行为,并追究经济责任。 形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以 及循环递进的、动态的安全防御体系。3 结论 调度自动化系统的安全防护是一个动态发展的过程,本次设计的安全防护模 型是采用主动防御技术和被动防御技术相结合,在P2DR 模型基础上进行的设计, 使调度自动化系统安全防御在遭受攻击的时候进行主动防御,增强了系统安全性。 但调度自动化系统安全防护并不是纯粹的技术,仅依赖安全产品的堆积来应对迅 速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御 技术不能完全取代其他安全机制,尤其是管理规章制度的严格执行等必须长抓不 化,2004,(12):33~34.[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息网络安全中的应用. 电力系统通信,2004,(8):42~45. [3]赵阳.电力企业网的安全及对策.电力信息化,2004,(12):26~28. [4]阮晓迅,等.计算机病毒的通用防护技术.电气自动化,1998,(2):53~54. 县级供电企业管理信息系统(MIS)的应用. 农村电气 化,2004,(12):33~34. [7]Honeynt Project. Know Your Enemy:Hnoeynet[DB/OL]. 入侵检测系统研究综述[J]. 算机工程与应用,2002,38(4):17~19. [9]中华人民共和国国家经济贸易委员会第 30 号令.电网和电厂计算机监控 系统及调度数据网络安全防护规定,2002,(5). [10]潘光午.iES-500 调度自动化系统在县级电力企业中的应用.2004,(10). 劳德诺又道:“当时我问师父:‘林家这辟邪剑法威力很大么?青城派为甚么这样用心修习?’师父不 答,闭眼沉思半晌,才道:‘德诺,你入我门之前,已在江湖上闯荡多年,可曾听得武林之中,对福威镖局总镖头林震南的武功,如何评论?’我道:‘武林中朋友们说,林震南手面阔,交朋友够义气,大家都买他的帐,不去动他的镖。 至于手底下真实功夫怎样,我不大清楚。’师父道:‘是了!福威镖局这些年来兴旺发达,倒是江湖上朋友给面子的居多。你可曾听说,余观主的师父长青子少年之时,曾栽在林远图的辟邪剑下?’我道:‘林??林远图?是林震南的父亲?’师父道:‘不,林远图是林震南的祖父,福威镖局是他一手创办的。当年林远图以七十二路辟邪剑法开创镖局,当真是打遍黑道无敌手。其时白道上英雄见他太过威风,也有去找他比试武艺的,长青子便因此而在他辟邪剑法下输了几招。’我道:‘如此说来,辟邪剑法果然是厉害得很了?’师父道:‘长青子输招之事,双方都守口如瓶,因此武林中都不知道。长青子前辈和你师祖是好朋友,曾对你师祖说起过,他自认这是他毕生的奇耻大辱,但自忖敌不过林远图,此仇终于难报。你 师祖曾和他拆解辟邪剑法,想助他找出这剑法中的破绽,然而这七十二路剑法看似平平无奇,中间却藏有许多旁人猜测不透的奥妙,突然之间会变得迅速无比。两人钻研了数月,一直没破解的把握。那时我刚入师门,还只是个十来岁的少年,在旁斟茶侍候,看得熟了,你一试演,便知道这是辟邪剑法。唉,岁月如流,那是许多年前的事了。’”林平之自被青城派弟子打得毫无招架之功,对家传武功早已信心全失,只盼另投明师,再报此仇,此刻听得劳德诺说起自己曾祖林远图的威风,不由得精神大振,心道:“原来我家的辟邪剑法果然非同小可,当年青城派和华山派的首脑人物尚且敌不过。 然则爹爹怎么又斗不过青城派的后生小子?多半是爹爹没学到这剑法的奥妙厉害之处。” 只听劳德诺道:“我问师父:‘长青子前辈后来报了此仇没有?’师父道:‘比武输招,其实也算不得是甚么仇怨。何况那时候林远图早已成名多年,是武林中众所钦服的前辈英雄,长青子却是个刚出道的小道士。后生小子输在前辈手下,又算得了甚么?你师祖劝解了他一番, 此事也不再提了。后来长青子在三十六岁上便即逝世,说不定心中放不开此事,以此郁郁而终。事隔数十年,余沧海忽然率领群弟子一起练那辟邪剑法,那是甚么缘故?德诺,你想那是甚么缘故?’“我说:‘瞧着松风观中众人练剑情形,人人神色郑重,难道余观主是要大举去找福威镖局的晦气,以报上代之仇?’师父点头道:‘我也这么想。长青子胸襟极狭,自视又高,输在林远图剑底这件事,一定令他耿耿于怀,多半临死时对余沧海有甚么遗命。林远图比长青子先死,余沧海要报师仇,只有去找林远图的儿子林仲雄,但不知如何,直挨到今日才动手。余沧海城府甚深,谋定后动,这一次青城派与福威镖局可要有一场大斗了。’“我问师父:‘你老人家看来,这场争斗谁胜谁败?’师父笑道:‘余沧海的武功青出于蓝而胜于蓝,造诣已在长青子之上。 林震南的功夫外人虽不知底细,却多半及不上乃祖。一进一退,再加上青城派在暗而福威镖局在明,还没动上手,福威镖局已输了七成。 倘若林震南事先得知讯息,邀得洛阳金刀王元霸相助,那么还 可斗上一斗。德诺,你想不想去瞧瞧热闹?’我自是欣然奉命。师父便教了我几招青城派的得意剑法,以作防身之用。”陆大有道:“咦,师父怎地会使青城派剑法?啊,是了,当年长青子跟咱们祖师爷爷拆招,要用青城派剑法对付辟邪剑法,师父在旁边都见到了。”劳德诺道:“六师弟,师父他老人家武功的来历,咱们做弟子的不必多加推测。师父又命我不可和众同门说起,以免泄露了风声。但小师妹毕竟机灵,却给她探知讯息,缠着师父许她和我同行。我二人乔扮改装,假作在福州城外卖酒,每日到福威镖局去察看动静。别的没看到,就看到林震南教他儿子林平之练剑。小师妹瞧得直摇头,跟我说:‘这哪里是辟邪剑法了?这是邪辟剑法,邪魔一到,这位林公子便得辟易远避。’”在华山群弟子哄笑声中,林平之满脸通红,羞愧得无地自容,寻思:“原来他二人早就到我局中来窥看多次,我们却毫不知觉,也真算得无能。” 劳德诺续道:“我二人在福州城外耽不了几天,青城派的弟子们就陆续到了。最先来的是方人智和于人豪二人。 他二人每天 到镖局中踹盘子,我和小师妹怕撞见他们,就没再去。 那一日也是真巧,这位林公子居然到我和师妹开设的大宝号来光顾,小师妹只好送酒给他们喝了。当时我们还担心是给他瞧破了,故意上门来点穿的,但跟他一搭上口,才知他是全然蒙在鼓里。这纨裤弟子甚么也不懂,跟白痴也差不了甚么。便在那时,青城派中两个最不成话的余人彦和贾人达,也到我们大宝号来光顾??” 陆大有鼓掌道:“二师哥,你和小师妹开设的大宝号,当真是生意兴隆通四海,财源茂盛达三江。你们在福建可发了大财哪!”那少女笑道:“那还用说么?二师哥早成了大财主,我托他大老板的福,可也捞了不少油水。”众人尽皆大笑。劳德诺笑道:“别瞧那林少镖头武功稀松平常,给咱们小师妹做徒儿也还不配,倒是颇有骨气。余沧海那不成材的小儿了余人彦瞎了眼睛,向小师妹动手动脚,口出调笑之言,那林公子居然伸手来抱打不平??” 林平之又是惭愧,又是愤怒,寻思:“原来青城派处心积虑,向我镖局动手,是为了报上代败剑之辱。来到福州的其实远不止方人 智等四人。我杀不杀余人彦,可说毫不相干。” 他心绪烦扰,劳德诺述说他如何杀死余人彦,就没怎么听进耳去,但听得劳德诺一面说,众人一面笑,显是讥笑他武功甚低,所使招数全不成话。 只听劳德诺又道:“当天晚上,我和小师妹又上福威镖局去察看,只见余观主率领了侯人英、洪人雄等十多个大弟子都已到了。我们怕给青城派的人发觉,站得远远的瞧热闹,眼见他们将局中的镖头和趟子手一个个杀了,镖局派出去求援的众镖头,也都给他们治死了,一具具尸首都送了回来,下的手可也真狠毒。当时我想,青城派上代长青子和林远图比剑而败,余观主要报此仇,只须去和林震南父子比剑,胜了他们,也就是了,却何以下手如此狠毒?那定是为了给余人彦报仇。可是他们偏偏放过了林震南夫妻和林平之三人不杀,只是将他们逼出镖局。林家三口和镖局人众前脚出了镖局,余观主后脚就进去,大模大样的往大厅正中太师椅上一坐,这福威镖局算是教他青城派给占了啦。”陆大有道:“他青城派想接手开镖局了,余沧海要做总镖头!”众人都是 哈哈一笑。 劳德诺道:“林家三口乔装改扮,青城派早就瞧在眼里,方人智、于人豪、贾人达三人奉命追踪擒拿。小师妹定要跟着去瞧热闹,于是我们两个又跟在方人智他们后面。到了福州城南山里的一家小饭铺中,方人智、于人豪、贾人达三个露脸出来,将林家三口都擒住了。 小师妹说:‘林公子所以杀余人彦,是由我身上而起,咱们可不能见死不救。’我极力劝阻,说道咱们一出手,必定伤了青城、华山两家的和气,何况余观主便在福州,我二人别要闹个灰头土脸。 ”陆大有道:“二师哥上了几岁年纪,做事自然把细稳重,那岂不扫了小师妹的兴致?” 劳德诺笑道:“小师妹兴致勃勃,二师哥便要扫她的兴,可也扫不掉。当下小师妹先到灶间中去,将那贾人达打得头破血流,哇哇大叫,引开了方于二人,她又绕到前面去救了林公子,放他逃生。”陆大有拍手道:“妙极,妙极!我知道啦,小师妹可不是为了救那姓林的小子。她心中却另有一番用意。很好,很好。”那少女道:“我另有甚么用意?你又来胡说八道。”陆大有道:“我为了青城派而挨 师父的棍子,小师妹心中气不过,因此去揍青城派的人,为我出气,多谢啦??”说着站起身来,向那少女深深一揖。那少女噗哧一笑,还了一礼,笑道:“六猴儿师哥不用多礼。”那手拿算盘的人笑道:“小师妹揍青城弟子,确是为人出气。是不是为你,那可大有研究。挨师父棍子的,不见得只你六猴儿一个。”劳德诺笑道:“这一次六师弟说得对了,小师妹揍那贾人达,确是为了给六师弟出气,日后师父问起来,她也是这么说。”陆大有连连摇手,说道:“这??这个人情我可不敢领,别拉在我身上,教我再挨十下八下棍子。”那高个儿问道:“那方人智和于人豪没追来吗?”那少女道:“怎么没追?可是二师哥学过青城派的剑法,只一招‘鸿飞冥冥’,便将他二人的长剑绞得飞上了天。只可惜二师哥当时用黑布蒙上了脸,方于二人到这时也不知是败在我华山派 (编辑:武汉站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
