摘要:当今云计算、大数据和互联网技术的快速发展,促进了电力公司信息化系统的开发和建设,有效提高了电力公司信息化水平。互联网在为电力公司带来便利的同时,也带来了潜在的威胁,比如互联网病毒、木马和黑客等,严重破坏了系统安全的运行,给电力公司带来了许多不可挽回的损失。因此,提高网络安全防御能力,具有重要的作用。
关键词:电力网络;安全性能;网络系统;防御手段
随着计算机技术的快速发展,网络已经逐渐走进了千家万户。对于企业来说更是如此,计算机网络技术给企业的运营带来了巨大便利。然而网络的快速发展也带来了一些安全问题,一些不法黑客常常会利用一些系统漏洞进入企业单位,有的甚至肆意攻击企业网络,给企业带来了巨大损失,对于电力系统更是如此,一旦电力网络被攻击,将危机整个电网的持续稳定运行,对城市的正常运转带来不可估量的灾害。
一、电力系统安全防御体系
本文通过对主动诱骗系统理论的深人研究在参考已有主动防御系统原型的基础上,结合实际需求,初步实现了一个基于主动诱骗策略的电力网络安全防御体系(简称主动诱骗电力网络安全防御体系),并完成相应的系统和功能设计。
防御体系功能。这一防御体系主要以保障电力系统网络安全为目的,通过结合现有的网络安全手段和工具,以IDS作为网络防御中心的体系性结构。它的控制中心是IDS防入侵系统,IDS通过统筹安排其他系统的协调合作实现网络安全的最大化。首先,当网络中出现异常现象时,系统会将可以身份进行追踪,并将这一行为通知子系统,子系统可以定向对可疑人士进行追踪控制,并将其浏览痕迹进行记录复制,以便于以后的查证。复制的数据会由总系统控制被诱骗子系统接收,子系统再通过之前的判断对可以人员的网络使用进行控制,必要时甚至可以对可疑人士的网络使用进行全面监控,并针对攻击者的情况给以有力还击。整个系统通过合理有序运行,及时发现并将情况分别传递给不同子系统,使得整体系统的安全性更强,对于电力系统的网络保护能力更强。
二、电力公司网络安全现状分析
随着网络技术的发展和改进,电力公司网络信息化系统防御技术有所提升,但是网络病毒、木马和黑客攻击技术也大幅度改进,并且呈现出了攻击渠道多样化、威胁智能化、范围广泛化等特点。
2.1供给渠道多样化。电力公司网络系统接入渠道较多,按照内外网划分为内网接入、外网接入;按照有线、无线可以划分为有线接入、无线接入;按照接入设备可以划分为PC接入、移动智能终端接入等多种类别,接入渠道较多,也为攻击威胁提供了较多的入侵渠道。
2.2威胁智能化。攻击威胁程序设计技术的提升,使得病毒、木马隐藏的周期更长,行为更加隐蔽,传统的网络木马、病毒防御工具无法查杀。
2.3破坏范围更广。随着电力公司网络信息系统的集成化增强,不同类型的系统管理平台都通过SOA架构、ESB技术接入到电力公司门户网集群平台上,一旦某个系统受到攻击,病毒可以在很短的时间内传播到其他子系统,破坏范围更广。
三、主动诱骗策略及诱骗系统
诱骗系统主要包括诱骗环境、系统隔离层和主机操作系统,其中,主机操作系统占据主导地位,通过它的统一控制实现各个系统的分工合作,协调有序运行,充分保障电力系统的网络安全。
诱骗环境中的一些机器可以通过伪装成其他的服务器进而躲过系统的检测,然而进入系统通过对目录、数据和文件等的伪装,或通过其他的诱骗策略,例如模拟操作系统的各种漏洞、产生仿真网络流量、配置有吸引力的名字、连接有吸引力的服务等策略,将人侵攻击引入诱骗环境中,诱骗系统通过诱骗机制创建了一个系统隔离层,作为诱骗环境和系统内核的接口,使诱骗环境中的系统行为不能直接访问到系统内核,起到很好的隔离作用。
期刊文章分类查询,尽在期刊图书馆
四、主动诱骗电力网络安全防御体系逻辑结构
结合电力网络的拓扑结构,主动诱骗电力网络安全防御体系逻辑结构中,外防火墙作为外部网络的第一道防线,采用“严进宽出”的配置策略,将大部分外部的入侵行为进行隔离,同时实现人侵检测和人侵行为重定向功能,出于防火墙的性能考虑,在外防火墙上利用IDS的日志功能有针对性地对人侵行为做记录,不宜做太详细的日志记录。IDS采用基于网络的IDS,可实时监视电力网络中所有的数据包。内防火墙采用“宽进严出”的设置策略。“宽进”是为了迷惑人侵者,使其在里面乐不思蜀,以收集更多数据、证据;“严出”则是为了防止人侵者利用该系统作为跳板,对其他电力信息系统进行进一步的攻击。在内防火墙上,由于出人数据都是可疑的,入侵行为记录子系统应该对系统的所有活动做严格、详细的记录。
五、路由控制
这一点主要是指通过路由器的访问权限对外来用户加以控制,防止一些诱骗系统的路由IP进入,并且对内部系统进行实时监管,防止有内部产生的系统漏洞威胁到整个体系的安全和稳定。同时,还可以将路由控制与连接控制相结合,利用路由控制的诊断功能,对外来入侵者进行监控,一旦发现可疑目标立刻采取相应措施和手段加以回应,进而保护电力系统网络的安全。
六、远程管理控制台
这一系统独立于主系统之外,主要通过隔离层接口对于外来人员的浏览加以记录,必要时可以利用自身所带功能报警,出现问题时也可以及时跟管理人员进行沟通,也可以帮助修改系统各个部分的配置和部署,还有系统的升级完善、处理收集数据等工作都由控制台完成。远程控制台的存在帮助管理人员更好地对系统进行管理和监控,使得系统运行的灵活性更强。
七、电力公司网络安全防御关键技术
电力公司网络安全设计过程中,采用纵深化、层次化和主动式的安全防御原则,构建了一个强大的安全防御系统。这个系统主要包括安全预警、安全监测和安全保护技术,详细描述如下:
7.1安全预警。电力公司网络安全预警技术主要包括漏洞预警、行为预警和攻击趋势预警功能。电力公司网络集成了多种异构应用软件,这些软件采用不同的架构、开发语言和环境实现,集成过程中使用接口进行通信,容易产生各类型漏洞,为安全攻击提供渠道。漏洞预警可以及时地为用户提供打补丁的机会,抵御外来威胁;行为预警或攻击趋势预测可以通过观察网络不正常流量,使用支持向量机、遗传算法、K均值、关联规则等算法来预测网络中存在的攻击行为,进一步提高预警能力,保证系统具备初步的安全性。
7.2安全监测。电力公司网络实施安全监测是非常必要的,其可以采用网络流量抓包技术、网络深度包过滤技术、入侵检测技术等实时获取网络流量,利用软件或硬件关联规则分析技术进行挖掘,将挖掘的结果报告给下一层,由安全保护功能进行清除威胁。目前,电力公司网络已经引入了漏洞扫描技术,能够实时地扫描系统中存在的漏洞,及时进行补丁,防止系统遭受非法入侵。
7.3安全保护。电力公司网络采用的安全措施较多,这些安全防御措施包括杀毒工具、防火墙防御系统、系统安全访问控制列表、虚拟专用网络等多个内容。这些防御工具或软件采用单一部署、集成部署等模式,可以有效地保证电力公司网络数据的完整性。目前,随着电力公司网络的普及和推广,安全防御措施又引入了先进的数字签名等防御技术,防止数据通信过程中存在的抵赖行为。因此,安全防御系统将多种网络安全防御技术整合在一起,实现网络病毒、木马查杀,避免网络木马和病毒蔓延,防止电力公司网络被攻击和感染,扰乱电力公司网络正常使用。
结语:
电力公司网络安全防御是一个动态的、系统的工程,其需要在使用中逐渐完善,与网络安全攻击威胁技术一起提升,做魔高一尺道高一丈,强化电力公司网络安全防御能力,改进防御成效。
参考文献:
[1]程渤,张新有,浮花玲,杨国纬.基于主动诱骗的电力网络安全提升策略设计与实现[J].电力系统自动化,2014,8.
[2]李俊娥,罗剑波,刘开培.电力系统数据网络安全性设计[J].电力系统自动化,2013,27(11):56-60.
[3]赵志强.电力信息网络安全分析及解决方案探究[J].网络安全技术与应用,2015(7):13-13.
论文作者:白永庆
论文发表刊物:《基层建设》2019年第7期
论文发表时间:2019/6/25
标签:系统论文; 电力论文; 网络论文; 网络安全论文; 公司论文; 技术论文; 子系统论文; 《基层建设》2019年第7期论文;