主動(dòng)防御新技術(shù)及其在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

周亮

(國網(wǎng)湖北省電力有限公司電力科學(xué)研究院，湖北武漢，430077)

關(guān)鍵字：電力；信息網(wǎng)絡(luò)安全；主動(dòng)防御新技術(shù)

1 電力信息網(wǎng)絡(luò)安全存在的問題

1.1 系統(tǒng)漏洞

隨著國家經(jīng)濟(jì)建設(shè)的不斷發(fā)展，各個(gè)行業(yè)對電力的依存度和需求不斷提高。為了更好地服務(wù)于社會(huì)發(fā)展，電力系統(tǒng)要對電力信息網(wǎng)絡(luò)安全做出合理的分析以及對當(dāng)前的安全現(xiàn)狀進(jìn)行一定的了解和掌握。分析指出，我國當(dāng)前的信息網(wǎng)絡(luò)安全仍然存在一定的漏洞。首先，當(dāng)前的整體網(wǎng)絡(luò)環(huán)境是一個(gè)比較開放的狀態(tài)，及時(shí)電力信息網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)安全上已經(jīng)設(shè)置了很多的管卡以及各種類型的安全防御系統(tǒng)，但是整體的防御狀態(tài)仍然比較被動(dòng)。日常工組中，不能主動(dòng)地去尋找漏洞和隱患，只能等待問題發(fā)生之后再對問題做一些積極地處理，這種防御狀態(tài)不利于電力系統(tǒng)的長久穩(wěn)定發(fā)展。另外，在對漏洞進(jìn)行處理的時(shí)候也常常使用的是一種比較老舊的處理方法，對問題的解決沒有一個(gè)積極的突破，長此以往，容易造成比較大的隱患。

1.2 操作失誤

隨著計(jì)算機(jī)在工作場合的普及，大部分的工作人員都可以憑借一些基本的計(jì)算機(jī)操作技能來解決工作中出現(xiàn)的問題，但是經(jīng)研究發(fā)現(xiàn)，安全問題的產(chǎn)生往往是由于在工作中的操作失誤造成的。當(dāng)前我國電力信息系統(tǒng)網(wǎng)絡(luò)正處于一個(gè)比較關(guān)鍵的建設(shè)時(shí)期，想要使得電力信息網(wǎng)絡(luò)在運(yùn)行中安全可靠，就需要對技術(shù)操作展開持續(xù)健全的管理，使得數(shù)據(jù)信息可以為生產(chǎn)管理提供更多的支持。當(dāng)前，電力信息系統(tǒng)網(wǎng)絡(luò)安全中的一個(gè)關(guān)鍵問題就是受到傳統(tǒng)觀念的限制，新技術(shù)得不到及時(shí)的更新，或者對新技術(shù)的應(yīng)用只停留在表面而沒有一個(gè)深入的應(yīng)用研究，對實(shí)際問題的解決起不到非常好的作用。其次，在技術(shù)操作過程中，工作人員過于依賴單一的技術(shù)手段，而對于現(xiàn)代信息網(wǎng)絡(luò)而言，單一的技術(shù)手段無法解決網(wǎng)絡(luò)安全的問題，只會(huì)造成安全漏洞越來越嚴(yán)重，造成無法挽回的不良影響。

2 主動(dòng)防御技術(shù)

2.1 蜜罐技術(shù)

從這個(gè)名詞中我們就可以看出，蜜罐技術(shù)就是創(chuàng)造一種像蜜一樣的甜的溫柔陷阱，也就是說在系統(tǒng)中設(shè)置一個(gè)跟應(yīng)用系統(tǒng)比較類似的一張操作環(huán)境，當(dāng)出現(xiàn)攻擊的時(shí)候，攻擊者就會(huì)誤以為這是正常的系統(tǒng)而被欺騙。而技術(shù)人員通過對攻擊者的信息采集可以詳細(xì)地記錄攻擊者的入侵過程，從而獲取攻擊信息，對攻擊進(jìn)行一個(gè)深入的分析，將攻擊特征提取出來，以便發(fā)生類似的攻擊時(shí)，可以及時(shí)地識(shí)別并進(jìn)行相應(yīng)的處理。這是近幾年計(jì)算機(jī)防御中新型的技術(shù)也是一種動(dòng)態(tài)的防御體系。當(dāng)前已經(jīng)有很多的商用蜜罐產(chǎn)品。DTK就是一個(gè)有很多常見攻擊弱點(diǎn)的系統(tǒng)，能夠模仿很多的服務(wù)程序。

2.2 蜜網(wǎng)技術(shù)

蜜網(wǎng)技術(shù)是一種最為著名的公開的蜜罐項(xiàng)目，是蜜罐類型的典型代表，也是一種高交互式的蜜罐，用戶可以從中獲得更多的信息，但是相應(yīng)的也要承擔(dān)更大的風(fēng)險(xiǎn)性。蜜網(wǎng)不單是一個(gè)陷阱，專門設(shè)計(jì)用來被人攻擊的一個(gè)網(wǎng)絡(luò)，同時(shí)，它也擔(dān)當(dāng)著一個(gè)學(xué)習(xí)工具的作用。它會(huì)記錄下入侵者的一切信息，包括其使用的工具、策略以及目的等。技術(shù)人員可以對這些數(shù)據(jù)進(jìn)行相關(guān)的分析學(xué)習(xí)。蜜網(wǎng)的功能主要包括信息控制、信息捕獲、信息收集三個(gè)方面。信息控制指的是對入侵者的行為進(jìn)行規(guī)范，對于具有威脅性的入侵者，蜜網(wǎng)起到一個(gè)降低威脅性的作用。信息捕獲就是獲取攻擊者的所有信息并對信息進(jìn)行相應(yīng)的分析。信息收集是一個(gè)非常重要的功能，是針對分布式環(huán)境中具有多個(gè)蜜網(wǎng)的組織。信息收集功能也是提供了一種能夠從分布式蜜網(wǎng)中集中收集所捕獲信息的安全方法。

2.3 靜態(tài)取證

靜態(tài)取證指的是計(jì)算機(jī)已經(jīng)受到入侵的情況下，通過運(yùn)用各種技術(shù)手段進(jìn)行相關(guān)的分析取證。但是通常這時(shí)候系統(tǒng)已經(jīng)被入侵和破壞了，甚至入侵者對系統(tǒng)進(jìn)行了一些清理，使得靜態(tài)取證這種方式變得非常困難也比較費(fèi)時(shí)，這時(shí)候要想獲得一定的證據(jù)，更多的需要依賴取證者的經(jīng)驗(yàn)以及一些合理的取證步驟和原則。當(dāng)前大家普遍的一種取證方式就是靜態(tài)取證。基于靜態(tài)取證思想的一些工具包括克隆工具、數(shù)據(jù)分析工具和數(shù)據(jù)恢復(fù)工具。像Guidance Software的Encase，就屬于一種比較專業(yè)的靜態(tài)取證工具，它運(yùn)行時(shí)能夠建立一個(gè)比較獨(dú)立的硬盤鏡像，但是它的FastBloc工具則能夠從物理層阻止操作系統(tǒng)向硬盤上寫數(shù)據(jù)。SafeBack是當(dāng)前世界上很多政府部門廣泛應(yīng)用的一跨工具，也是世界上唯一的處理電子數(shù)據(jù)的工業(yè)標(biāo)準(zhǔn)，是NTI公司出的一款電子數(shù)據(jù)保護(hù)工具。

2.4 動(dòng)態(tài)取證

動(dòng)態(tài)取證技術(shù)是當(dāng)前計(jì)算機(jī)取證的一個(gè)發(fā)展趨勢。依靠靜態(tài)取證、蜜罐技術(shù)和蜜網(wǎng)技術(shù)相結(jié)合的方式，對入侵者的數(shù)據(jù)進(jìn)行實(shí)時(shí)獲取和分析，分析攻擊者的企圖，并及時(shí)采取相應(yīng)的措施，在確保自身計(jì)算機(jī)系統(tǒng)安全的情況下獲取攻擊者的大量證據(jù)。動(dòng)態(tài)取證需要在受保護(hù)的計(jì)算機(jī)上安裝上代理，當(dāng)系統(tǒng)被入侵的時(shí)候，對系統(tǒng)的操作以及對文件的修改、復(fù)制等行為，系統(tǒng)和代理都會(huì)對此進(jìn)行實(shí)時(shí)地記錄。再利用文件地特征以及相關(guān)地工具，真實(shí)地還原文件地內(nèi)容并對此進(jìn)行備份保存。當(dāng)檢測到一些惡意的行為和非法入侵的時(shí)候，可以利用靜態(tài)取證的方式收集一些相關(guān)的電子證據(jù)。將計(jì)算機(jī)取證技術(shù)跟入侵檢測以及網(wǎng)絡(luò)體系結(jié)構(gòu)進(jìn)行結(jié)合進(jìn)行動(dòng)態(tài)取證，會(huì)讓取證更加的及時(shí)、只能，也能夠靈活多樣，對取證進(jìn)行快速反應(yīng)，避免出現(xiàn)更大的損失。

3 主動(dòng)防御技術(shù)在電力信息網(wǎng)絡(luò)安全中的應(yīng)用

3.1 動(dòng)態(tài)安全防御系統(tǒng)

動(dòng)態(tài)安全防御系統(tǒng)主要是以P2DR模型為基礎(chǔ)，在電力信息網(wǎng)絡(luò)中主要是運(yùn)用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建的一個(gè)動(dòng)態(tài)安全防御體系。

防御系統(tǒng)的前線是防護(hù)，主要是由傳統(tǒng)的靜態(tài)安全技術(shù)防火墻和陷阱機(jī)實(shí)現(xiàn)。為了防范外對內(nèi)及內(nèi)對外的一些非法訪問，則需要安置一些防火墻監(jiān)視和限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，主要在電力信息網(wǎng)絡(luò)中心與上級(jí)Intranet、Internet，以及電力信息網(wǎng)絡(luò)中心與下級(jí)部門LAN之間進(jìn)行安裝。陷阱機(jī)的位置被放在防火墻的后面，主要是通過模擬常見漏洞，制造一個(gè)可以入侵的網(wǎng)絡(luò)環(huán)境對入侵者進(jìn)行相關(guān)的誘導(dǎo)。檢測是防御系統(tǒng)的核心機(jī)制，作為網(wǎng)絡(luò)監(jiān)視系統(tǒng)以監(jiān)視內(nèi)部網(wǎng)絡(luò)活動(dòng)，檢測內(nèi)部入侵。響應(yīng)是在攻擊發(fā)生之后的一個(gè)安全措施。綜上所述可以看出動(dòng)態(tài)安全防御機(jī)制具有一定的優(yōu)越性。

圖1 動(dòng)態(tài)安全防御系統(tǒng)物理模型架構(gòu)圖

3.2 漏洞掃描

在電力信息網(wǎng)絡(luò)安全中應(yīng)用主動(dòng)防御機(jī)制一個(gè)最基本的應(yīng)用就是漏洞掃描。在電力信息網(wǎng)絡(luò)安全中應(yīng)用漏洞掃描技術(shù)可以對網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的所有漏洞進(jìn)行相關(guān)的掃描和分析還會(huì)有針對性的出一份檢測報(bào)告和相應(yīng)的修補(bǔ)方式的建議，從而指導(dǎo)技術(shù)人員能夠及時(shí)地更有針對性地對漏洞進(jìn)行修補(bǔ)，提高網(wǎng)絡(luò)系統(tǒng)地安全性能。主動(dòng)防御技術(shù)在電力信息網(wǎng)絡(luò)中的運(yùn)用，除了可以對已出現(xiàn)的漏洞進(jìn)行相關(guān)的掃描和修復(fù)還可以對新出現(xiàn)的漏洞進(jìn)行分析，從而給相關(guān)的技術(shù)人員一些指導(dǎo)性的建議并進(jìn)行及時(shí)地修復(fù)，從而避免更大的網(wǎng)絡(luò)安全漏洞的出現(xiàn)。

3.3 攻防演練

隨著網(wǎng)絡(luò)信息系統(tǒng)的不斷發(fā)展和革新，電力信息網(wǎng)絡(luò)安全系統(tǒng)會(huì)不斷地提升但是相應(yīng)地網(wǎng)絡(luò)安全的破壞系統(tǒng)也會(huì)不斷地升級(jí)。因此，電力系統(tǒng)的網(wǎng)絡(luò)安全要與時(shí)俱進(jìn)，并對電力系統(tǒng)網(wǎng)絡(luò)安全進(jìn)行相關(guān)的模擬實(shí)際的演練，從而使得在面對真實(shí)的攻擊的時(shí)候可以及時(shí)地采取有效地的措施。主動(dòng)防御系統(tǒng)在電力信息網(wǎng)絡(luò)系統(tǒng)中的運(yùn)用，并對電力信息網(wǎng)絡(luò)安全的攻防演練就能夠?qū)崿F(xiàn)真是網(wǎng)絡(luò)攻擊環(huán)境的模擬和防御，對于新出現(xiàn)的網(wǎng)絡(luò)漏洞等都會(huì)有一個(gè)及時(shí)的反應(yīng)和應(yīng)對。傳統(tǒng)的電力信息網(wǎng)絡(luò)安全系統(tǒng)沒有對攻擊進(jìn)行過相應(yīng)的真實(shí)演練，在遭遇攻擊的時(shí)候缺乏相應(yīng)的經(jīng)驗(yàn)。利用主動(dòng)防御技術(shù)中的動(dòng)態(tài)取證技術(shù)，進(jìn)行實(shí)際的攻防演練，對攻擊的方式進(jìn)行分析和解決，提高電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全。