《电力系统网络安全维护中入侵检测技术的应用分析.doc》由会员分享,可在线阅读,更多相关《电力系统网络安全维护中入侵检测技术的应用分析.doc(9页珍藏版)》请在金锄头文库上搜索。
1、电力系统网络安全维护中入侵检测技术的应用分析 摘 要:随着现代计算机网络技术的不断推广应用,通过利用网络信息系统可有效提升我国电力系统工作的效率,但是其中存在的信息安全问题则成为我们关注的焦点,如何采取有效措施保障电力系统信息网络系统安全已经成为我们未来研究的重要方向。入侵检测技术作为防范计算机网络信息系统入侵的有效手段之一,其以低风险、低成本以及高灵活性获得了广泛的应用。目前,入侵检测技术已经广泛应用于我国电力系统的网络维护中,本文将深入探讨与分析入侵检测技术在电力系统网络安全维护中的实践应用,以期能为相关同行提供一定的参考与借鉴。 【关键词】主动诱骗 电力网络安全 提升策略 设计 实现 最
2、近十几年,计算机网络技术获得了快速发展,其应用范围涉及政治军事、教育、经济金融、社会服务等行业之中,通过计算机网络信息系统,给人们提供了便利的生活、工作环境,从而实现现代化、高效化、共享化的社会发展环境。与此同时,网络信息系统在程序设计、自身建设以及操作过程等因素的影响下极易出现各种漏洞或者病毒,这将导致各种重要数据信息出现各种不可预测的复杂风险,若相关机密信息或者个人信息泄漏则将会造成严重的经济损失。 电力企业作为我国社会、经济发展的重要支柱产业,其自身拥有丰富的网络信息资源,而且电力系统的很多工作都与网络存在着密切关联,在高风险的网络信息系统中,我国电力系统网络信息系统如何确保信息资源的安
3、全性一直都是我们密切关注的问题。在本文研究中,笔者将深入分析常规网络信息系统入侵的方式以及目前我国电力系统中存在的网络安全风险,同时探讨分析入侵检测技术在电力系统网络安全维护中的意义和具体应用途径。 1 计算机网络信息系统入侵方式 1.1 病毒攻击 计算机病毒是一种可实现自我复制的计算机程序,其主要是用于特定系统资源目标的破坏,通过拒绝服务等方式来破坏数据的完整性。病毒攻击具有一定的潜伏性、隐蔽性、寄生性、传染性,目前病毒攻击主要是通过FTP 文件下载、网页浏览、电子邮件或者BBS等对信息系统实施攻击。 1.2 身份攻击 计算机身份攻击主要是利用网络服务需要对用户身份进行确认过程中存在的漏洞来
4、进行欺骗、窃取合法用户的身份进行网络攻击目标系统。身份攻击主要是通过口令攻击、漏洞攻击、收集信息攻击等等。身份攻击窃取信息资源主要是采取试探方式,如:通过扫描漏洞、扫描账户、ping以及端口与嗅探网络等方式对系统漏洞、权限以及服务进行探测,并使用公开协议和工具对网络系统主机中存储的信息资源进行窃取,同时还可以捕捉信息系统的漏洞,为后续攻击提供支持。若网络信息系统遭到身份攻击,其可能导致整个网络系统瘫痪、崩溃,从而导致用户遭受重大损失。 1.3 防火墙攻击 对于网络信息系统来说,防火墙的抗攻击能力一般比较强,因而不易被攻破。但是,在防火墙的设计和实现中仍然存在一定的缺陷问题,这是导致防火墙被攻击
5、的主要原因。 1.4 拒绝服务攻击 拒绝服务攻击可称为 DoS(Denial of Service),在攻击时攻击主体将一定序列和数量的资源上传至网络中,并令其大量恢复要求信息运行于服务器中,这样导致系统资源及网络宽带被不良消耗,从而导致网络系统无法实现正常访问,严重时可能导致出现死机、瘫痪等现象。 2 电力系统计算机网络中存在的网络安全风险 随着我国电力信息网络系统的广泛应用,电力系统在实现信息化发展的同时,网络信息系统的安全性则成为其正常运行的重要保障,因此在电力企业中一般都是将信息管理系统与生产控制系统进行分离,希望能够通过这种方法来避免各种外在因素对生产网络系统造成影响。 不管是管理网
6、络系统还是生产控制网络系统的安全风险,除了系统和软件漏洞或者人为、物理破坏等因素影响之外,各种入侵、病毒等网络攻击也是引起上述电力系统数据丢失或数据错误的主要原因之一,从而极大的降低了电力网络信息系统数据的保密性与完整性。因此,为了预防电力系统遭受网络攻击而造成严重损失,必须进一步加强电力系统的网络安全建设工作。 3 入侵检测技术的概念、系统结构及应用程序 3.1 什么是入侵检测 关于入侵检测的定义,主要利用相关技术对用户的操作行为、数据传输、安全日志以及其它网络信息进行操作,经检测发现有对网络系统进行非法进入或者攻击的行为并对其采取应对反应的整个过程。 入侵检测系统属于是一种建立在对上述行为
7、实施检测并完成相应功能的独立入侵检测系统。其中涵盖内容主要分为非法访问行为、系统外部入侵两类,其目的是为了报告、处理计算机信息网络异常操作行为的一种保护计算机信息安全的技术手段。在实践应用中与防火墙配合使用可形成一个强大的网络护盾,从而极大降低了计算机网络中存在的入侵安全事件。 3.2 入侵检测系统的系统结构 对于企业信息网络进行入侵检测时,首先需要对入侵检测系统总体结构进行一系列部署,主要功能是对企业信息网络管理信息区域进行入侵检测,具有部署结构详见图1。 入侵检测系统一般可以分为四个主要组成部分,即:数据收集、数据分析、数据响应以及数据结果处理。企业网络信息系统实现入侵检测的过程主要是通过
8、对数据模块在网络中抓取相关数据包,之后再对所抓取的数据进行处理分析、标记,最后将抓取的数据传输给数据响应模块。数据响应模块作为整个入侵检测最核心的部分,其主要功能是对所抓取数据进行详细分析、匹配,在此过程中若发现存在异常数据事件,数据响应模块则将异常数据传交给数据结果处理模块处理。 3.3 入侵检测技术在计算机网络安全维护中的应用 3.3.1 信息收集 在入侵检测过程中信息收集需要在所有网段中部署一个或者多个IDS代理,根据应用对象不同的网络结构形式而采取不同的数据采集连接方式,例如:若应用对象的网段用交换式为集线器相连,则可以将IDS 系统链接在交换机核心芯片上的调试端口上,然后再将入侵检测
9、系统置于交换机内部或者防火墙内部等相关数据流的关键入口、出口处,这样便可收集所有进入、输出数据信息。另外还需要在计算机网络系统中的其它不同关键点收集相关信息,尤其是一些薄弱环节,对于可疑行为或者判断入侵行为进行标识。 3.3.2 信息分析 信息分析主要是将上阶段收集数据信息通过模式匹配、异常发现分析模式来进行分析,以此来发现其中存在的异常行为,同时将异常报告发送至管理器。 在设计信息分析模块时,设计者应该对应用对象计算机系统的各种系统漏洞、网络协议有深入的研究,根据掌握的情况而制定完整的安全策略和安全规则库,同时分别建立异常检测模型和滥用检测模型,这样可以IDS自己模拟信息分析过程,并有效识别
10、、确定具有一定特征的异常或者攻击行为,并将分析结果形成报警信息及时发送至控制管理中心。 3.3.3 信息响应 IDS的核心任务就是对计算机入侵行为作出及时、有效响应。信息响应的过程需要在数据分析基础上对本地网段实施检测,并查找出隐藏于数据包中的恶意入侵行为,对于发现的入侵行为给予及时响应。信息响应主要包含:记录现场(即:记录整个会话、事件日志)、查看实时会话并通报其他控制台、网络引擎进行告警并告知控制台、SNMP trap、发 E-mail给安全管理员等等,之后便及时采取安全响应行为,例如:终止入侵连接行为、执行特定用户响应程序、调整网络设备配置等等。 3.3.4 入侵检测技术和防火墙的结合应
11、用 防火墙属于是一种周边安全机制,其虽然能够对网络层、应用层访问行为进行控制,但是对于内部网络的非法访问则无法起到有效的监控。因此,在计算机系统安全维护中需要将入侵检测技术与防火墙进行协同应用,进而形成一个相对有效的安全防护体系。 4 入侵检测技术在电力系统信息内网中的运用分析 4.1 入侵检测技术的实践运用 入侵检测系统安装的关键步骤是科学、合理部署检测器和控制台。对于电力系统企业网络特点,笔者认为可以先在内部路由器与内部网络连接处部署一个监测器,这样可以有效监测各种异常入侵行为;另外也可根据企业需要对其中某些重要的服务器、工作站按照基于主机的入侵检测软件,进而对重要的服务器、工作站实现有效
12、保护。 入侵检测系统运行过程中,入侵检测在提供实时检测时还需与管理员进行“实时”配合,系统安全管理员一方面需要做好处理各种警报事件的处理准备工作;另一方面对于入侵检测系统所发出的警报进行准确的判断,并给予正确的处理,同时决定是否继续监视入侵者收集证据或者关闭系统等等,只有系统安全管理员处理得当才能够真正发挥入侵检测系统的作用。 4.2 入侵检测技术安全体系的运行分析 计算机网络安全中运用防火墙虽然是被动防御,入侵检测系统是实时监控防御,但是计算机网络安全系统(其中涵盖单一主机自身的安全防御体系)是需要进行整体协同运作的。 目前,我国电力系统中的主机与网络设备都具备完整的安全审计功能,因此入侵检
13、测系统可以直接利用系统网络日志文件来作为信息数据的主要来源,当入侵检测系统发现可疑访问行为而需要其它主机或者防火墙采取及时的保护措施时,其可以及时通知防火墙对可疑IP地址发送的数据包进行有效过滤。 从网络安全技术角度来分析,计算机网络安全维护涉及的范围较为广泛,其中主要包括:操作系统、安全扫描、身份认证、信息加密、安全审计、灾难恢复、入侵检测、防火墙等的安全维护。在计算机网络安全维护中运用入侵检测系统和防火墙只能形成一个相对的安全防御体系,为了进一步增加网络系统安全防御有效性,同时还需要在整个系统运行过程中运用多种技术手段来完善安全体系的防御功能,如:向IDS添加新攻击方式、升级防火墙、定期查
14、找漏洞或者风险评估、配置扫描器等等措施。 对于电力系统计算机网络信息安全的维护,任何的机械防御体系都不能绝对保证计算机网络信息系统的安全,因此我们还需要切实提升电力系统企业网络管理员的技术水平、及时升级网络防御系统、密切关注网络安全发展形势,只有这样才能够有效提升电力系统计算机网络安全防御的水平及能力,保障电力系统计算机网络的信息安全。 5 入侵检测技术在电力系统网络安全维护中的意义 随着现代网络信息技术在我国电力系统中的普及应用,标准化、开放性以及互联性已经成为现代电力企业网络信息系统发展的必然趋势,而在很大程度上也增加了电力系统对网络信息系统的依赖性,而网络信息系统的安全问题也逐渐引起了人
15、们的高度关注。在信息全球化的影响下,我国电力系统为了能够提高自身的管理与生产效率,我们需要加强与外界信息进行不断交流,而开发性的网络环境也增加了电力网络信息系统遭受网络攻击的风险性。由于电力系统关系国民的生计问题,因此必须将电力系统网络信息安全作为一个重要的战略问题来研究。 目前,在我国电力系统的网络安全维护中已经普遍开始使用入侵检测技术。入侵检测技术对于从源头上抑制入侵方面独具高效性,现已成为我国电力系统网络安全维护系统中的一个重要的部分。电力系统计算机网络安全维护中的入侵检测技术,其贯穿于整个电力系统计算机安全维护中的每一个阶段中的每一项内容中,因此做好入侵检测技术,实现电力系统计算机网络
16、入侵检测技术的标准化、规范化运作,可保障入侵检测技术为电力系统计算机网络安全维护创造应有的实效。 6 结语 对于网络不良入侵行为的影响,一般是采取主动的防御措施防范网络入侵行为,入侵检测技术可以有效实现实时动态监控网络非法入侵行为,因此广泛应用于各种不同环境中并发挥着关键性作用。随着现代计算机网络技术的不断进步,电力系统的网络信息资源的安全问题则日益凸显,在我国电力系统的网络安全维护中运用入侵检测技术,实现防患于未然,将任何的攻击入侵行为影响扼杀在萌芽状态,进而有效控制了不良攻击实践的发生与扩大,进而为电力网络信息系统提供一个高效、可靠、优质的运行环境,这对于电力系统的网络信息安全来说具有十分重要的意义。
