摘要:随着我国互联网技术的飞速发展,国内的信号安全系统也随之逐渐被人们重视起来。长期以来电力公司信号系统网被视作一种专用网络不存在被入侵的风险,目前的防御手段大多为解决随机出现的软件或硬件故障问题,对于可能存在的信息安全隐患则缺乏防御。然而随着电力公司信号系统智能化,信息化建设程度的加深,电力公司信号系统面临的信息安全问题也越来越得到关注。电力公司信号系统的信息安全不仅仅影响到系统的控制性能甚至关系到电力系统的安全运行,因此分析电力公司信号系统面临的信息安全隐患,开展相应的防御研宄具有重要意义。
关键词:信号安全;数据网;信息安全;防御方案
引言
确保信号安全数据网的信息安全是电力公司信号系统正常运行的关键,考虑到信号安全数据网在安全方面的重要性,其面临的信息安全方面的问题也应得到重视。为了确保我国电力系统的安全运营,主动梳理信号安全数据网面临的信息安全风险问题并结合网络的具体特点有针对性地展开防御方案研究是十分有必要的。
1国内工业信息安全防御研究现状
早期国内将工业系统的生产安全问题放在首位,而忽略了信息安全问题。但随着乌克兰事件、“震网”病毒等由于工控系统导致的安全事件的发生,国内也开始注重工业控制系统的安全。近些年国内开展了大量关于工控系统信息安全相关的研宄工作。产品应用方面,己有国内厂商将传统IT系统的隔离网闸进行了工业应用改造,可以识别常见的几种工业协议,但是只适用于单向传输的环境。“震网”事件发生以后,国内工业领域相关科研机构也针对控制系统信息安全这一新课题开展了研究工作,例如工控系统隔离装置以及基于工业模型的入侵检测系统等。总之,工控系统信息安全己经成为国内工业领域关注的热点之一,但尚未形成统一的标准和成熟的产品。为了应对日益严峻的工业信息安全形势,各行业都在提出符合自身网络特点的解决方案。国内工控安全行业根据工控系统和信息安全背景分为两类。工控系统、信息安全背景的企业各具有优势,但都缺乏对方所具有的能力和人才储备。工控系统背景的厂商代表性企业、浙大中控等,信息安全背景的厂商代表性企业有绿盟科技、启明星辰、天融信、中科网威等,他们的优势在于多年的信息攻防、安全服务经验的积累以及完善的信息安全产品线。
2工控信息安全防御技术研究
2.1工控防火墙
防火墙是指隔离在本地网络与外界网络之间的一道执行访问控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。对于网络来说就像是一面墙,通常它是不同网络安全域之间信息的唯一出入口,它的作用是对经过墙的信息流进行分析、限制与分离,由于防火墙的这些保护机制,使得防火墙内部网络安全得到了保证。防火墙技术涉及到管理技术、密码技术、安全技术、安全协议和安全操作等。工业防火墙是针对工控网络进行边界防护的专用防火墙产品,支持对工控指令攻击、控制参数的篡改、病毒和蠕虫等恶意代码攻击、各类DOS攻击的防护。
2.2入侵检测系统
防火墙是一种重要的安全设备,但它是一种被动防御的工具,所以仅有防火墙是不够的,因为入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。防火墙对来自内部的攻击也无能为力,它所提供的服务要么拒绝,要么通过,这样无法满足复杂的应用请求。入侵检测技术是防火墙的补充。入侵检测系统能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。入侵检测系统一般包括3个部分:信息的收集和预处理、入侵分析引擎响应和恢复系统。国际计算机安全协会(ICSA)对入侵检测的定义是:通过从计算机网络或者计算机系统中的若干关键点收集信息并对其分析,从中发现网络或者系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。
期刊文章分类查询,尽在期刊图书馆违反安全策略的行为有入侵(非法用户的违规行为)和滥用(合法用户的违规行为)。入侵检测的原理是通过观察网络环境下的各种行为特征,对是否发生各种异常进行判断,在工业控制系统环境中,通过提取工业控制系统流量特征检测。
2.3审计系统
工控安全监测与审计平台包括工控安全监测与审计终端、统一安全管理平台,采用分布式部署和统一管理方式,多台工控安全监测与审计终端可以采用分布式方式旁路部署在工业交换机上,并由统一安全管理平台进行统一集中管理。检测引擎旁路部署在用户网络中,接入待检测的网络流量,对网络报文进行各项检测,将发现的安全报警信息上报。利用人工智能算法自学习建立工控通信模型基线,对当前工控协议通信行为与工控通信基线进行对比分析,对不符合与工控通信基线的异常行为进行告警,例如异常指令操作、新出现的设备(IP地址)、异常连接行为、异常通信地址、异常通信端口等告警,完备的审计功能能够跟踪记录所有的网络活动,并提供灵活、完备的分析和查询机制。
2.4态势感知系统
网络安全态势感知,是网络中各种软硬件的运行状况、网络行为以及用户行为等因素所构成的全网络当前状态和未来变化的趋势。该系统应用大数据技术架构,可实现用户全网海量数据规模的安全信息采集和集中存储,在此基础上对数据进行综合处理和关联分析,最终通过大量的态势呈现可视化技术,为用户展示面向全网业务资产防护的安全态势,帮助用户感知隐患和威胁,进而提供决策支撑。态势感知系统可覆盖全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息,并在此基础上综合分析呈现,形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析、安全风险态势等在内的多视角全方位的态势感知系统。
3信号安全数据网纵深防御方案设计
3.1信息采集
信息采集的目的是为了分析处理信息。采集的点可以是各个主机设备的信息,也可以是交换机,网管服务器等设备。这些信息都是未经处理或简单处理过的信息,防火墙,审计系统等防御工具需要收集这些信息。信息采集是后续处理的基础,因此在布置防御工具时,需要合理地选择信息采集的点。
3.2信息处理
通过对采集的信息数据进行综合分析,可以发现全网攻击行为信息、资产及业务脆弱性信息、异常流量信息、威胁情报及未知威胁等信息,并在此基础上综合分析呈现,形成包括被攻击对象和攻击源识别、脆弱性识别、攻击过程及影响分析等报告,传递到用户层面。
3.3信息使用
该环节将将处理的信息数据接入到人机界面、报警界面或应急策略决策系统接口供用户利用,从而使数据发挥最直接的作用。为了最大限度地降低风险,在信号安全数据网中获得最佳的安全性,必须深入应用安全策略。
结语
随着其信息化,智能化程度的提升,网络面临的信息安全问题也将逐渐增多。传统的观点认为信号安全数据网是一种封闭隔离的网络不存在被入侵的风险,网络的信息安全因此并没受到太多重视。信号安全数据网是电力系统信号系统的关键网络之一,另外还包括调度集中网、微机监测网以及GSM-R网,信号安全数据网与这些网络逻辑上相连,下一步的工作可以分析网络接口对信号安全数据网的信息安全影响。
参考文献:
[1]李娜娜.信号安全数据网信息安全防御方案研究[J].信号工程技术,2017,14(2):46-49.
[2]张连成.信号安全数据网信息安全防御方案[S].北京:中国电力出版社,2017.
[3]刘连光.地磁暴干扰轨道电路工作的仿真计算研究[J].电力学报,2015,37(8):48-52.
论文作者:谢静怡,张晓燕,谢毅,刘宇轩,刘程乐
论文发表刊物:《基层建设》2018年第35期
论文发表时间:2019/3/28
标签:信息安全论文; 系统论文; 工控论文; 信号论文; 信息论文; 网络论文; 数据论文; 《基层建设》2018年第35期论文;