《提升电力系统现有网络安全防御体系的解决方案》由会员分享,可在线阅读,更多相关《提升电力系统现有网络安全防御体系的解决方案(16页珍藏版)》请在金锄头文库上搜索。
1、论文发衷专家一 中国学木期刊网 www.qikanwang.nel 提升电力系统现有网络安全防御体系的解决方案摘要:对电力系统现有的网络安全防御技术进行了分析,得出当 前的安全防御技术虽能够解决绝大部分已知的恶意代码攻击,但却 处于对新型的和未知的恶意代码攻击无法识别的被动防御的状态, 并提出将现有的安全防御体系提升为主动防御体系,实现差异化、 纵深防御的解决方案。关键词:未知攻击;同质化;被动防御;主动防御;防御体系solution to upgrade the existing power system network security defense systemli yongkangl
2、,zhou junpeng2,chen yunfengl(l.depar tmen t of t echnology informa tio n,panzhihua elec trie power bureau,sichuan electrie power corporation,panzhihua 617000,china;2.department of technology,chengdu chinatech huichuang technology co. ,ltd,chengdu 610041,china)abstract:analyzed technologies of the ex
3、isting power system network security defense, it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code, it proposed to upgrade the existing secur
4、ity defense system for the active defense system,to achieve the solution of differentiation and defense in depth.崖鼻一论文发表专家一趣I中国学木斛网 .qikanwang.nelkeywords:unknown attack;homogenization;passivedefense;active defense;defense system一、前言(一)电力行业简介电力系统是由发电、输电、变电、配电、用电设备及相应的辅助 系统组成的电能生产、输送、分配、使用的统一整体。由输电、变
5、 电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体 称为电力网。电力工业是国民经济发展中最重要的基础能源产业,是关系国计 民生的基础产业。电力行业对促进国民经济的发展和社会进步起到 重要作用,与社会经济和社会发展有着十分密切的关系,它不仅是 关系国家经济安全的战略大问题,而且与人们的日常生活、社会稳 定密切相关。随着我国经济的发展,对电的需求量不断扩大,电力 销售市场的扩大又刺激了整个电力生产的发展。(二)电力行业信息化it系统架构电力行业it系统按照“sgl86”体系部署,整体化分为一体化企 业级平台、八大业务应用系统和六个保障系统,形成“纵向贯通、 横向集成”的庞大信息网络。八大
6、业务应用分为建设财务(资金) 管理、营销管理、安全生产管理、协同办公管理、人力资源管理、 物资管理、项目管理、综合管理等。六个保障体系为信息化安全防 护体系、标准规范体系、管理调控体系、评价考核体系、技术研究 体系和人才队伍体系。二、当前电力系统网络防御技术分析(一)电力网络行为与内容的安全情况。电力网络行为与内容的 安全主要是指建立在行为可信性、有效性、完整性和对电力资源管 理与控制行为方面,面对的威胁应当属于是战略性质的,即电力系 统威胁不仅要考虑一般的信息犯罪问题,更主要是要考虑敌对势力 与恐怖组织对电力相关信息、通信与调度的攻击,甚至要考虑战争 与灾害的威胁。(二)电力网络系统安全情况
7、。对于电力行业主要考虑以下系统: 各类发电企业、输电网、配电网、电力调度系统、电力通信系统(微 波、电力载波、有线、电力线含光纤)、电力信息系统等。这里主 要考虑到电力调度数据网(spdnet)、电力通信网与电力信息网几 个方面的安全问题。电力系统的安全建设以资源可用和资源控制的 安全为中心,必须保障电力系统畅通的24小时服务。目前,大多数规模较大的发电企业和很多省市的电力公司在网络 安全建设方面已经做了很多工作,通过防火墙、入侵检测系统、vpn 设备等关键的安全产品的部署和实施已经初步地建立起了基础性 的网络安全防护系统,并取得一定的效果,应当说是有自主特色的。(三)电力信息内网安全防护体系
8、。电力信息内网属于电力网络 的管理信息大区中,信息内网定位为内部业务应用系统承载网络和 内部办公网络,部署了大量的应用服务器和数据库服务器、以及不 需要外联的办公主机。电力信息内网对外连接包括:通过公用信息网与上下级电力公司 的信息内网相连接;通过vpn连接互联网,以保障移动办公终端的 接入;通过逻辑强隔离设备与信息外网相连接;通过正/反向隔离 装置与生产控制大区相连。电力信息内网部署有以下安全防护手 段:防火墙系统。信息内网内部不同安全区域之间部署防火墙,增强 区域隔离和访问控制力度,严格防范越权访问、病毒扩散等内部威 胁;信息内网出口处部署防火墙系统,实现网络边界防护,同时保护 web服务
9、器域;vpn系统。信息内网出口处部署vpn系统,为移动办公、营销系统 远程访问等提供接入防护,客户端应当采取硬件证书的方式进行接 入认证;为了统一管理和维护,电力的移动办公统一入口设在信息内网的 vpn网关处;入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系 统,实现对网络流量的动态监视、记录和管理、对异常事件进行告 警等警 等;日志审计系统。信息内网部署一套日志审计系统,采用分级部署 方式,实现全省信息内网安全事件的集中收集和审计问题;主机管理系统。电力信息内网统一部署主机管理系统,实现主机 设备的统一管理和防护;防病毒系统。电力公司信息内网部署一套 防病毒系统,采用分级部署方式,控
10、管中心设在电力公司本部,地崖鼻一论文发表专家一 趣I中国学木斛网.qikanwang.nel市供电公司分别安装二级控管中心和防病毒服务器,接收控管中心 的统一管理。安全管理分区。电力信息内网依据业务系统保护等级, 分为生产控制区(i、ii区)、管理信息区(iii区)和外部信息网, 各分区进行相应等级的安全防护。(四)目前防御系统的防御弱点病毒检测扫描类技术的防御弱点。从病毒到恶意代码(木马、蠕 虫、病毒、恶意脚本、shellcode、流氓间谍软件),无论是种类还 是数量都是海量增长,来自海量恶意代码的海量攻击使得基于以字 符串crc效验、散列函数值等特征码检测为主;采用加密变形的启 发式算法、
11、仿真技术检测为辅的病毒检测技术已无法有效检测每天 如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超 级恶意url库、自动化分析流程为主要特点的云安全技术在一定程 度上改善互联网用户安全的同时,存在分析时延、病毒特征库更新 时延、恶意url搜索时间间隔等问题,同时海量提交的文件带来的 极大分析压力使得分析失误的概率大大增加,从而给用户带来极大 的风险,对于物理隔离的专网、内网也无法使用云安全技术。该类 产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入 侵检测防御类技术的防御弱点。入侵检测技术经过多年发展,ids、 ips、utm、应用防火墙、防毒墙等产品能应对大部分已知攻击,
12、对 网络安全起到了非常大的作用,但也存在辨识技术上的防御弱点。 以基于规则描述的特征组合检查为主,协议异常检测、统计异常检 测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻崖鼻一论文发表专家一 趣I中国学木斛网.qikanwang.nel击流量、基于未知漏洞的攻击流量、加密变形的攻击流量,更无法 截断潜伏在这些流量中的有经验黑客的深度攻击。由ids (监控报警子系统)+安全工程师(辨识和决策)+防火墙(处 理子系统)构成的防御系统,严重依赖安全工程师的经验和分析水 平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能 力,使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现 实的
13、。其它非防御类安全产品的弱点。加密技术类安全产品可以解 决泄密问题,却无法阻御攻击者和恶意代码对加密信息的破坏。行 为管理类安全产品能管理用户的行为,却无法阻挡有意者的恶意攻 击行为,对恶意代码和黑客攻击的后台行为,更无法察觉和控制。 身份认证类安全产品能解决身份可信问题,却无法保证合法者伪造 的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制 能力更适合作为处理控制手段,而不是攻击和恶意代码的识别工 具,更无法解除流量中的威胁,桌面级的防火墙更是带来网络管理 上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险,却没有 防御攻击的手段。主机安全产品,偏重于主机使用者的行为控制, 它本身
14、不能防御恶意代码的攻击和破坏。以上安全类产品由于解决 的主要问题是在安全的其它方面,从防御组成来看,本身缺乏防御 能力,更需要安全防御系统来保护这类安全资产。(五)当前电力防御体系总结分析当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不崖鼻一论文发表专家一 趣I中国学木斛网 .qikanwang.nel能阻挡每天如潮水般增长的恶意代码,其技术壁垒也逐渐显露,其 被动性的原因主要有以下几点:1.恶意样本和攻击的海量增长。据 国内安全厂商江民科技对近年来恶意代码数量的统计,2011年上半 年全年共增加病毒特征代码48万余条。2010年上半年及2011年上半年新增病毒特征数量示意图1图12.
15、 对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年 来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变 为一个集团利益团体甚至国家利益的团体,在经济、政治利益的驱 使下,免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足, 对未知攻击和威胁无法识别。要防御攻击带来的威胁,首先要解决 对攻击和威胁的识别,传统的特征码识别技术对未知的攻击和威胁 无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、 全局皆破。随着电力系统在信息化建设方面的不断加大,信息安全 问题也逐渐凸显,病毒、蠕虫、木马等恶意代码在网络中肆意传播, 严重威胁着电力系统的正常运行。而现有的防御体系则主要以
16、协议 过滤、特征签名包和特征码比对技术为主构建的传统的防御体系, 能够有效的防御已知的恶意代码攻击(已有的特征签名包和特征 码),但对于多变的未知的恶意代码攻击却显得无能为力。因此, 需要一种技术能够实时有效的防止未知的恶意代码攻击,从而提升 整个网络的安全防御体系。传统的防御手段所采用的技术是导致其 被动性的根源,面对当下如此严峻的安全形势,亟需构建一个实时 主动的网络防御体系。朋一论文发表专家一邂(中国学木斛网.qikanwang.nel三、构建主动防御体系(一)防御系统的构成标准在网络信息对抗中,一个完善防御系统的防御链必须由监控、辨 识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取 决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善 有效、三个子系统的自动化联动程度四个方面,其中最核心的是辨 识决策技术。目前的安全产品,能有效构建防御系
