提升電力系統(tǒng)現(xiàn)有網(wǎng)絡安全防御體系的解決方案

逢―一論文發(fā)表專家一畫腫國掌木酬網(wǎng).qikanwang,nel提升電力系統(tǒng)現(xiàn)有網(wǎng)絡安全防御體系的解決方案摘要：對電力系統(tǒng)現(xiàn)有的網(wǎng)絡安全防御技術(shù)進行了分析，得出當前的安全防御技術(shù)雖能夠解決絕大部分已知的惡意代碼攻擊，但卻處于對新型的和未知的惡意代碼攻擊無法識別的被動防御的狀態(tài)，并提出將現(xiàn)有的安全防御體系提升為主動防御體系，實現(xiàn)差異化、縱深防御的解決方案。關(guān)鍵詞：未知攻擊；同質(zhì)化；被動防御；主動防御；防御體系solutiontoupgradetheexistingpowersystemnetworksecuritydefensesystemliyongkang1,zhoujunpeng2,chenyunfeng1([.departmentoftechnologyinformation,panzhihuaelectricpowerbureau,sichuanelectricpowercorporation,panzhihua617000,china;2.departmentoftechnology,chengduchinatechhuichuangtechnologyco.,ltd,chengdu610041,china)abstract:analyzedtechnologiesoftheexistingpowersystemnetworksecuritydefense,itshowsthecurrentsecurityanddefensetechnologycansolvethevastmajorityofknownmaliciouscodeattacks,butitisinastateofpassivedefense,whichcannotrecognizethenewandunknownmaliciouscode,itproposedtoupgradetheexistingsecuritydefensesystemfortheactivedefensesystem,toachievethesolutionofdifferentiationanddefenseindepth.keywords:unknownattack;homogenization;passivedefense;activedefense;defensesystem一、前言（一） 電力行業(yè)簡介電力系統(tǒng)是由發(fā)電、輸電、變電、配電、用電設(shè)備及相應的輔助系統(tǒng)組成的電能生產(chǎn)、輸送、分配、使用的統(tǒng)一整體。由輸電、變電、配電設(shè)備及相應的輔助系統(tǒng)組成的聯(lián)系發(fā)電與用電的統(tǒng)一整體稱為電力網(wǎng)。電力工業(yè)是國民經(jīng)濟發(fā)展中最重要的基礎(chǔ)能源產(chǎn)業(yè)，是關(guān)系國計民生的基礎(chǔ)產(chǎn)業(yè)。電力行業(yè)對促進國民經(jīng)濟的發(fā)展和社會進步起到重要作用，與社會經(jīng)濟和社會發(fā)展有著十分密切的關(guān)系，它不僅是關(guān)系國家經(jīng)濟安全的戰(zhàn)略大問題，而且與人們的日常生活、社會穩(wěn)定密切相關(guān)。隨著我國經(jīng)濟的發(fā)展，對電的需求量不斷擴大，電力銷售市場的擴大又刺激了整個電力生產(chǎn)的發(fā)展。（二） 電力行業(yè)信息化it系統(tǒng)架構(gòu)電力行業(yè)it系統(tǒng)按照“sg186”體系部署，整體化分為一體化企業(yè)級平臺、八大業(yè)務應用系統(tǒng)和六個保障系統(tǒng)，形成“縱向貫通、橫向集成”的龐大信息網(wǎng)絡。八大業(yè)務應用分為建設(shè)財務（資金）管理、營銷管理、安全生產(chǎn)管理、協(xié)同辦公管理、人力資源管理、物資管理、項日管理、綜合管理等。六個保障體系為信息化安全防護體系、標準規(guī)范體系、管理調(diào)控體系、評價考核體系、技術(shù)研究體系和人才隊伍體系。二、當前電力系統(tǒng)網(wǎng)絡防御技術(shù)分析（一） 電力網(wǎng)絡行為與內(nèi)容的安全情況。電力網(wǎng)絡行為與內(nèi)容的安全主要是指建立在行為可信性、有效性、完整性和對電力資源管理與控制行為方面，面對的威脅應當屬于是戰(zhàn)略性質(zhì)的，即電力系統(tǒng)威脅不僅要考慮一般的信息犯罪問題，更主要是要考慮敵對勢力與恐怖組織對電力相關(guān)信息、通信與調(diào)度的攻擊，甚至要考慮戰(zhàn)爭與災害的威脅。（二） 電力網(wǎng)絡系統(tǒng)安全情況。對于電力行業(yè)主要考慮以下系統(tǒng)：各類發(fā)電企業(yè)、輸電網(wǎng)、配電網(wǎng)、電力調(diào)度系統(tǒng)、電力通信系統(tǒng)（微波、電力載波、有線、電力線含光纖）、電力信息系統(tǒng)等。這里主要考慮到電力調(diào)度數(shù)據(jù)網(wǎng)（spdnet）、電力通信網(wǎng)與電力信息網(wǎng)幾個方面的安全問題。電力系統(tǒng)的安全建設(shè)以資源可用和資源控制的安全為中心，必須保障電力系統(tǒng)暢通的24小時服務。日前，大多數(shù)規(guī)模較大的發(fā)電企業(yè)和很多省市的電力公司在網(wǎng)絡安全建設(shè)方面已經(jīng)做了很多工作，通過防火墻、入侵檢測系統(tǒng)、vpn設(shè)備等關(guān)鍵的安全產(chǎn)品的部署和實施已經(jīng)初步地建立起了基礎(chǔ)性的網(wǎng)絡安全防護系統(tǒng)，并取得一定的效果，應當說是有自主特色的。（三） 電力信息內(nèi)網(wǎng)安全防護體系。電力信息內(nèi)網(wǎng)屬于電力網(wǎng)絡的管理信息大區(qū)中，信息內(nèi)網(wǎng)定位為內(nèi)部業(yè)務應用系統(tǒng)承載網(wǎng)絡和內(nèi)部辦公網(wǎng)絡，部署了大量的應用服務器和數(shù)據(jù)庫服務器、以及不需要外聯(lián)的辦公主機。電力信息內(nèi)網(wǎng)對外連接包括：通過公用信息網(wǎng)與上下級電力公司的信息內(nèi)網(wǎng)相連接；通過vpn連接互聯(lián)網(wǎng)，以保障移動辦公終端的接入；通過邏輯強隔離設(shè)備與信息外網(wǎng)相連接；通過正/反向隔離裝置與生產(chǎn)控制大區(qū)相連。電力信息內(nèi)網(wǎng)部署有以下安全防護手段：防火墻系統(tǒng)。信息內(nèi)網(wǎng)內(nèi)部不同安全區(qū)域之間部署防火墻，增強區(qū)域隔離和訪問控制力度，嚴格防范越權(quán)訪問、病毒擴散等內(nèi)部威脅；信息內(nèi)網(wǎng)出口處部署防火墻系統(tǒng)，實現(xiàn)網(wǎng)絡邊界防護，同時保護web服務器域；vpn系統(tǒng)。信息內(nèi)網(wǎng)出口處部署vpn系統(tǒng)，為移動辦公、營銷系統(tǒng)遠程訪問等提供接入防護，客戶端應當采取硬件證書的方式進行接入認證；為了統(tǒng)一管理和維護，電力的移動辦公統(tǒng)一入口設(shè)在信息內(nèi)網(wǎng)的vpn網(wǎng)關(guān)處；入侵檢測系統(tǒng)。信息內(nèi)網(wǎng)核心交換機和重要網(wǎng)段部署入侵檢測系統(tǒng)，實現(xiàn)對網(wǎng)絡流量的動態(tài)監(jiān)視、記錄和管理、對異常事件進行告箜竺.警、等；日志審計系統(tǒng)。信息內(nèi)網(wǎng)部署一套日志審計系統(tǒng)，采用分級部署方式，實現(xiàn)全省信息內(nèi)網(wǎng)安全事件的集中收集和審計問題；主機管理系統(tǒng)。電力信息內(nèi)網(wǎng)統(tǒng)一部署主機管理系統(tǒng)，實現(xiàn)主機設(shè)備的統(tǒng)一管理和防護；防病毒系統(tǒng)。電力公司信息內(nèi)網(wǎng)部署一套防病毒系統(tǒng)，采用分級部署方式，控管中心設(shè)在電力公司本部，地隹?一論文發(fā)表專氯一畫腫國掌木酬網(wǎng).qikanwang.nel市供電公司分別安裝二級控管中心和防病毒服務器，接收控管中心的統(tǒng)一管理。安全管理分區(qū)。電力信息內(nèi)網(wǎng)依據(jù)業(yè)務系統(tǒng)保護等級，分為生產(chǎn)控制區(qū)（i、ii區(qū)）、管理信息區(qū)（iii區(qū)）和外部信息網(wǎng)，各分區(qū)進行相應等級的安全防護。（四）日前防御系統(tǒng)的防御弱點病毒檢測掃描類技術(shù)的防御弱點。從病毒到惡意代碼（木馬、蠕蟲、病毒、惡意腳本、shellcode、流氓間諜軟件），無論是種類還是數(shù)量都是海量增長，來自海量惡意代碼的海量攻擊使得基于以字符串crc效驗、散列函數(shù)值等特征碼檢測為主；采用加密變形的啟發(fā)式算法、仿真技術(shù)檢測為輔的病毒檢測技術(shù)已無法有效檢測每天如潮水般增長的惡意代碼。以超級病毒特征庫、超級白名單庫、超級惡意url庫、自動化分析流程為主要特點的云安全技術(shù)在一定程度上改善互聯(lián)網(wǎng)用戶安全的同時，存在分析時延、病毒特征庫更新時延、惡意url搜索時間間隔等問題，同時海量提交的文件帶來的極大分析壓力使得分析失誤的概率大大增加，從而給用戶帶來極大的風險，對于物理隔離的專網(wǎng)、內(nèi)網(wǎng)也無法使用云安全技術(shù)。該類產(chǎn)品的最大弱點是對未知惡意代碼缺乏有效的監(jiān)控和辨識能力。入侵檢測防御類技術(shù)的防御弱點。入侵檢測技術(shù)經(jīng)過多年發(fā)展，ids、ips、utm、應用防火墻、防毒墻等產(chǎn)品能應對大部分已知攻擊，對網(wǎng)絡安全起到了非常大的作用，但也存在辨識技術(shù)上的防御弱點。以基于規(guī)則描述的特征組合檢查為主，協(xié)議異常檢測、統(tǒng)計異常檢測為輔的入侵檢測引擎無法有效識別隱藏在合法應用流量中的攻隹?一論文發(fā)表專氯一畫腫國掌木酬網(wǎng).qikanwang.nel擊流量、基于未知漏洞的攻擊流量、加密變形的攻擊流量，更無法截斷潛伏在這些流量中的有經(jīng)驗黑客的深度攻擊。由ids（監(jiān)控報警子系統(tǒng)）+安全工程師（辨識和決策）+防火墻（處理子系統(tǒng)）構(gòu)成的防御系統(tǒng)，嚴重依賴安全工程師的經(jīng)驗和分析水平。對未知攻擊流量和隱藏在應用流量中的惡意流量缺乏辨識能力，使得試圖在網(wǎng)絡層完全阻擋入侵攻擊、惡意代碼的傳播是不現(xiàn)實的。其它非防御類安全產(chǎn)品的弱點。加密技術(shù)類安全產(chǎn)品可以解決泄密問題，卻無法阻御攻擊者和惡意代碼對加密信息的破壞。行為管理類安全產(chǎn)品能管理用戶的行為，卻無法阻擋有意者的惡意攻擊行為，對惡意代碼和黑客攻擊的后臺行為，更無法察覺和控制。身份認證類安全產(chǎn)品能解決身份可信問題，卻無法保證合法者偽造的惡意攻擊和對惡意代碼的滲透和傳播。防火墻類產(chǎn)品的訪問控制能力更適合作為處理控制手段，而不是攻擊和惡意代碼的識別工具，更無法解除流量中的威脅，桌面級的防火墻更是帶來網(wǎng)絡管理上的不方便。漏洞掃描類安全產(chǎn)品能發(fā)現(xiàn)存在的漏洞風險，卻沒有防御攻擊的手段。主機安全產(chǎn)品，偏重于主機使用者的行為控制，它本身不能防御惡意代碼的攻擊和破壞。以上安全類產(chǎn)品由于解決的主要問題是在安全的其它方面，從防御組成來看，本身缺乏防御能力，更需要安全防御系統(tǒng)來保護這類安全資產(chǎn)。（五）當前電力防御體系總結(jié)分析當前由防火墻、入侵檢測系統(tǒng)、殺毒軟件組成的防御體系已經(jīng)不隹?一論文發(fā)表專氯一畫腫國掌木酬網(wǎng).qikanwang.nel能阻擋每天如潮水般增長的惡意代碼，其技術(shù)壁壘也逐漸顯露，其被動性的原因主要有以下幾點：1.惡意樣本和攻擊的海量增長。據(jù)國內(nèi)安全廠商江民科技對近年來惡意代碼數(shù)量的統(tǒng)計，2011年上半年全年共增加病毒特征代碼48萬余條。2010年上半年及2011年上半年新增病毒特征數(shù)量示意圖［1］圖1對抗傳統(tǒng)防御體系的特征碼免殺技術(shù)、網(wǎng)絡攻擊逃避技術(shù)近年來不斷持續(xù)發(fā)展和傳播。攻擊方由以前那種單一作戰(zhàn)已經(jīng)逐漸演變?yōu)橐粋€集團利益團體甚至國家利益的團體，在經(jīng)濟、政治利益的驅(qū)使下，免殺、逃逸技術(shù)發(fā)展迅速。3.對攻擊和威脅的識別能力不足，對未知攻擊和威脅無法識別。要防御攻擊帶來的威脅，首先要解決對攻擊和威脅的識別，傳統(tǒng)的特征碼識別技術(shù)對未知的攻擊和威脅無法識別。4.同質(zhì)化技術(shù)構(gòu)成的防御體系容易導致技術(shù)一點被破、全局皆破。隨著電力系統(tǒng)在信息化建設(shè)方面的不斷加大，信息安全問題也逐漸凸顯，病毒、蠕蟲、木馬等惡意代碼在網(wǎng)絡中肆意傳播，嚴重威脅著電力系統(tǒng)的正常運行。而現(xiàn)有的防御體系則主要以協(xié)議過濾、特征簽名包和特征碼比對技術(shù)為主構(gòu)建的傳統(tǒng)的防御體系，能夠有效的防御已知的惡意代碼攻擊（已有的特征簽名包和特征碼），但對于多變的未知的惡意代碼攻擊卻顯得無能為力。因此，需要一種技術(shù)能夠?qū)崟r有效的防止未知的惡意代碼攻擊，從而提升整個網(wǎng)絡的安全防御體系。傳統(tǒng)的防御手段所采用的技術(shù)是導致其被動性的根源，面對當下如此嚴峻的安全形勢，亟需構(gòu)建一個實時主動的網(wǎng)絡防御體系。三、構(gòu)建主動防御體系（一） 防御系統(tǒng)的構(gòu)成標準在網(wǎng)絡信息對抗中，一個完善防御系統(tǒng)的防御鏈必須由監(jiān)控、辨識決策、處理三大子系統(tǒng)。防御系統(tǒng)的抗攻擊、反入侵能力高低取決于監(jiān)控能力強弱、辨識決策是否足夠智慧、處理子系統(tǒng)是否完善有效、三個子系統(tǒng)的自動化聯(lián)動程度四個方面，其中最核心的是辨識決策技術(shù)。日前的安全產(chǎn)品，能有效構(gòu)建防御系統(tǒng)主要是以病毒檢測掃描類技術(shù)和入侵檢測防御類技術(shù)為主，但這兩類技術(shù)都存在防御弱點。（二） 構(gòu)建電力系統(tǒng)主動防御體系在構(gòu)建主動防御體系之前，不防先回顧一下防御系統(tǒng)產(chǎn)生的原因：有了信任與欺騙的斗爭，于是便產(chǎn)生了可信任體系；出現(xiàn)了攻與防的斗爭，也就有了防御體系。那如何構(gòu)建一個防御體系，不防借鑒歷史戰(zhàn)爭，其無非分為三種：事前防御、事中防御和事后防御。于是建立如下的主動防御體系：主動防御中心圖2從圖中可以看出，防御體系的強弱取決于攻擊事件正在進行時防御系統(tǒng)的防御能力，也就是事中防御。而從傳統(tǒng)的防御體系可以看出，無論是漏洞檢測技術(shù)、網(wǎng)絡準入技術(shù)、特征碼掃描技術(shù)都偏向于事前防御，在事中實時防御上，特別是事中主機防御上存在嚴重不足。因此，要提升整體網(wǎng)絡的防御能力，必須加入主機事中防御的技術(shù)。四、主機主動防御技術(shù)的實現(xiàn)在主機層面要做到事中防御，必須摒棄傳統(tǒng)的特征碼比對技術(shù)，做到“敵動我動”的實時防御。經(jīng)過業(yè)界專家的研究，提出了基于行為檢測的主動防御技術(shù)。即不依賴于程序的特征，而是根據(jù)程序所表現(xiàn)出來的行為來預先判斷其合法性。這在理論上是可行的。給出主動防御的概念：在監(jiān)控、分析、偵測等環(huán)節(jié)中采用主動感知未知威脅行為識別、行為智能處理、行為防御加固等主動性技術(shù)來進行防御。（一）惡意程序行為的提取惡意代碼一般的行為包括注冊表操作、文件操作、進程的行為和網(wǎng)絡行為等；在windows操作系統(tǒng)上，可執(zhí)行文件基本上都是通過api的調(diào)用來執(zhí)行，以上任何行為都要通過導出函數(shù)或者系統(tǒng)調(diào)用接口[3]?？赏ㄟ^對惡意代碼行為進行搜集和數(shù)據(jù)挖掘，建立如下的行為算法模型：行為算法模型表1格式1行為行為描述危險等級格式2行為序列行為描述危險等級…說明1.格式1適用于單個行為的規(guī)則建模；2.格式2適用于由多個行為組成的行為序列的規(guī)則建模;m表示函數(shù)的參數(shù)個數(shù)，n表示行為序列包含的行為個數(shù)；四個危險等級：低、中、較高、極高，代表不同級別的惡意程序；“參數(shù)取值特征”表示對應的函數(shù)調(diào)用行為表現(xiàn)出惡意性時的參數(shù)的具體取值?！皡?shù)0”表示只識別函數(shù)的調(diào)用行為，不對調(diào)用參數(shù)進行分析；若“參數(shù)取值特征”為“null”，表示對應參數(shù)的值等于null；若“參數(shù)取值特征值”為“null”與“參數(shù)0”配合使用，表示不需要分析對應的實參。（二） 深層監(jiān)控實現(xiàn)主機層面的防御又可分為六個方面：內(nèi)核子系統(tǒng)、服務子系統(tǒng)、應用子系統(tǒng)、通信子系統(tǒng)、文件及資源子系統(tǒng)、賬號及認證子系統(tǒng)。每個子系統(tǒng)又按照p2dr（policy、protection、detectionandresponse）模型組成一個完整的、動態(tài)的安全威脅相應循環(huán)［4］。任何攻擊無非是攻擊操作系統(tǒng)以上的單個或者多個方面，因此通過對六大子系統(tǒng)實時監(jiān)控，最終達到對主機威脅行為識別。識別技術(shù)是辨識和處理的前提。主動防御引擎模型圖3（三） 辨識技術(shù)的實現(xiàn)操作系統(tǒng)向外提供豐富的系統(tǒng)api接口，方便上層應用程序?qū)ο到y(tǒng)資源的訪問，開發(fā)各類功能軟件，程序行為指程序或代碼對操作系統(tǒng)資源如文件系統(tǒng)、注冊表、內(nèi)存、內(nèi)核、網(wǎng)絡、服務、進程等隹?一論文發(fā)表專氯一畫腫國掌木酬網(wǎng).qikanwang.nel的訪問操作。惡意代碼行為特點：非授權(quán)性和破壞性，主要表現(xiàn)為惡意代碼對系統(tǒng)資源的非授權(quán)訪問或篡改，如信息竊取、建立后門、實施破壞等行為。了解程序行為和惡意代碼的行為后，通過對惡意代碼的行為分析，并將惡意代碼必經(jīng)的攻擊點進行記錄和分類，豐富到行為庫中，形成一套行為算法庫，通過行為算法庫來判別程序的合法性。其他子系統(tǒng)的行為引擎，也可建立相應的模型。識別技術(shù)是關(guān)鍵。（四）強大的處理能力.在判斷程序的危害性后，可通過取得操作系統(tǒng)底層權(quán)限，對惡意代碼進行處理，對無法及時處理的可通過隔離，重啟后刪除。采用系統(tǒng)級主動防御技術(shù)，在異常監(jiān)控技術(shù)上將監(jiān)控范圍擴大到操作系統(tǒng)上的六大子系統(tǒng)，包括內(nèi)核系統(tǒng)、應用系統(tǒng)、通訊系統(tǒng)、文件及資源系統(tǒng)、賬號及權(quán)限系統(tǒng)，采用分布式監(jiān)控技術(shù)實現(xiàn)對全系統(tǒng)的監(jiān)控。在辨識決策技術(shù)上是以程序行為算法庫分析判定、智能專家系統(tǒng)、程序可信性計算等技術(shù)為基礎(chǔ)，采用動態(tài)行為跟蹤技術(shù)，依據(jù)惡意程序行為特征算法庫，判定程序的性質(zhì)和邏輯，預先判斷程序的危害行為和風險，實現(xiàn)對惡意代