《碗米坡水电厂生产控制大区入侵检测系统改造》由会员分享,可在线阅读,更多相关《碗米坡水电厂生产控制大区入侵检测系统改造(2页珍藏版)》请在金锄头文库上搜索。
1、容错能力:综合采用专用高速硬件平台,专用底层硬件驱动优化的底层抓包加速引擎,双网卡分流重组技 术,增强直接用户空间访问(EDUA )技术,多线程分散式重组引擎等多层加速技术,即使在高强度攻击下 也能保证系统正常运行。集中与分级管理:支持集中管理和多级分布式管理模式,通过配置下级管理中心,可实现无限制多 层次分级管理,上级管理中心可以对下级管理中心进行检测策略的分发与应用,下级管理中心可向上级管 理中心实时反馈检测到的安全事件。安全策略管理:内置多种安全策略模板,用户可根据实际网络环境灵活选择、应用,可以添加新的 策略集,并可以对具体策略项进行编辑处理。系统内置默认策略包括:Email策略、FT
2、P策略、WWW策略、 缺省策略、最大化策略。用户管理:管理员帐户分为管理员、审计员和普通用户三种,其中管理员可执行所有操作,审计员 可管理审计数据,普通用户只可察看而没有修改权限。数据管理:支持管理员对系统在运行中产生的数据进行管理,如删除、备份和恢复数据等。报表内容:报表内容包含了系统所检测到的信息的详细记录,如入侵时间、攻击内容描述、攻击事 件类型、攻击分布、攻击源/目的IP / MAC地址、攻击事件发生次数等。报表分析和汇总:各级管理中心均提供强大灵活的汇总、统计和分析功能,可提供多种形式的统计 分析报表。支持对发生的网络事件记录日志。提供的分析方式包括特征分析、异常分析、智能协议分析、
3、 会话状态分析、关联分析等。4 入侵检测系统改造方案1、考虑到入侵检测系统投运后,不能影响生产控制大区正常的网络数据交换,同时为便于该系统的日常维 护、规程升级,将该系统设备布置于电厂监控机房内。2、在监控机房网络柜内新安装一套天融信TS-2404-IDS型入侵检测装置,采用超五类双绞线连接计算机监 控系统入侵检测装置与计算机监控系统入侵检测服务器。改造后网络拓扑图。3、采用超五类双绞线将监控机房网络柜内的原弧门监控从站光电转换器与思科SF100D-08型号八口交换机 相连,然后采用超五类双绞线将弧门监控从站、通讯站均连接至此八口交换机上,新安装一套天融信 TS-2404-IDS型号入侵检测装
4、置于网络柜内,用超五类双绞线连接入侵检测装置、入侵检测服务器及弧门 监控通讯站。改造后网络拓扑图。5 入侵检测系统改造实践1、电厂生产大区入侵检测系统配置两台联想扬天A4600t服务器,均安装天融信IDS控制台,根据天融信 官网入侵检测规则升级情况,定期下载升级包对控制台进行规则升级。两台IDS (TS-2404-IDS)分别部署 于机电设备监控0#、1#网络及弧门监控网络中,对所接入的网络进行入侵检测。2、设备投运后,IDS能够监听并检测网络内所有端口的数据流,当检测到网络异常攻击时会记录到控制台 并显示报警。为方便异常事件处置,在IDS服务器上配置了一套报警喇叭,并在控制台内将严重、较严重 入侵报警设置为音响报警,报警音定义为防空警报声音,当监测到入侵行为时可及时提醒电厂设备维护人 员,对网络攻击进行应急处置。6 结束语随着计算机和网络技术的快速扩展,网络安全已经成为现代计算机系统面临的最重要的问题之一。 入侵检测系统作为不同于防火墙和防病毒软件的主动防御的最后一道防线,能够用于监控网络或计算机系 统的动态行为特征,并采取主动防御措施来阻止入侵的发生。随着碗米坡水电厂监控系统生产控制大区入 侵检测系统改造完成以及成功投运,对计算机和网络中的非法行为进行主动防御和有效抑制将发挥越来越 大的作用,对当今计算机网络及信息安全方面亟待解决的重要问题具有借鉴意义。
