主動誘騙型電力網絡安全防御系統的應用

0 引 言

作為我國社會經濟發展的重要支柱產業，電力企業擁有豐富的網絡信息資源。在高風險的網絡信息系統中，電力系統的許多工作與網絡密切相關。筆者將著重分析傳統網絡信息系統的入侵模式和我國電力系統存在的網絡安全風險，討論入侵檢測技術在電網安全維護中的意義和應用。

1 新型電力系統防誘騙設置的必要性

近年來，隨著計算機技術應用范圍的不斷擴大，電力類企業已廣泛采用電力系統防誘騙這種新型技術手段。運用微機與網絡系統防誘騙模式，工程師可以開發自動調度系統、網絡通信控制系統、網絡能量控制系統、控制報文系統和網絡用戶服務系統，并將這些應用系統連接到廣域電網。

當前，以數據為基礎的網絡，在整個電力系統網絡安全防誘騙中凸顯了相應的價值，已成為電網不可替代的組成部分[1]。然而，全國和地方電網易遭受人為和自然的多重威脅，這決定了電網本身的脆弱性。若電網存儲信息出現問題，會引發電力領域的災難，給電力用戶帶來極大損失。因此，電力網絡安全需要進行高層次的約束，要求研究人員對電力網絡安全與電力信息安全進行更加深入的討論。例如，學者應分析數據管理和控制的總體狀況，對企業電網建設和分級監控提出相應的優化措施，保證整個電網的穩定。一些學者也提出了一種構建安全屬性網格的全新方法，即將入侵者檢查與防火墻的管理和控制結合起來[2]。此外，也應提出穩定電網的具體模式，結合市場上通用的安全保障策略與電網電量計量規則方案，總結出以防誘騙為主的解決電網安全隱患的各種辦法，并采用不同類型的技術來應對網格中的各個層次。

2 電力網絡安全防御體系設計

相關人員應深入分析防誘騙電力系統的安全理論與主動防御系統的具體操作實踐，力求設置一個基于主動誘騙策略的網絡安全防御系統，規范有價值的模塊與功能。

2.1 主動誘騙防御系統

電力網絡安全防御系統是以網絡安全為一個操作系統，依據現有的安全管理策略和相應的制度設計與檢測工具，設置并開發IDS管理入侵行為控制微系統的主動型防誘騙體系的結構。其具體結構如圖1所示。

主動型防誘騙電網安全防御系統的CPU是DIS入侵行為控制的一個下屬子系統，其主要功能是協調各子系統的關系。在具體操作過程中，應注意以下幾點。第一，應加強對入侵檢測子系統，對網絡上出現的特殊情況進行有力監控[3]；第二，如發現不正常的入侵行為或可疑的情形，應該結合檢測特征加強對系統性指令的布告，從而監測與管理定向子系統；第三，要根據測試結果向目標系統報告，并監控可疑行為；第四，應將復制好的數據傳輸到防誘騙電力網絡安全子系統。在遇到黑客攻擊時，防入侵的定向化微平臺會根據設計好的指令制止入侵者，并加強與目標系統的聯系，將關鍵信息傳達到誘騙方面的子系統[4]。

在安全防御系統運作期間，如遇可疑情況，會直接發布指令至服務器，網絡安全誘騙主機會作出科學的數據回應，對可疑的情形展開分析。如確認為入侵行為，服務器會在監視下實施攻擊，入侵記錄子系統也會詳細記錄系統的所有活動。

2.2 主動誘騙的保護功能

主動誘騙型網絡安全防御系統的頂層與基礎設計是最重要的核心技術。對其進行系統研究，有助于提升電網的防攻擊能力。加強主動誘騙系統安全保護功能的開發與研究力度，已刻不容緩。

科學創設防誘騙電力系統的物理環境，設置好科學的系統隔離層以及監控化的主機操作系統，是主動型誘騙保護系統構建的主要內容。鑒于防誘騙系統環境下的外來入侵口令有著偽裝且不易被發現的特點，應加強對防入侵和能查偽系統的研究和電網安全的保護力度。通常，要求系統提供安全的Web服務、遠程的FTP服務、管理化的Telnet服務、IP監控的DNS服務以及安全有效的文件與郵件服務[5]。

防誘騙保護系統利用誘騙機制建立系統隔離層，充當誘騙環境與系統內核之間的接口，使得誘騙環境中實施的行為不能直接訪問系統內核，因此具有良好的隔離作用[6]。此外，由于防誘騙的系統平臺與系統內核之間有相應的端口連接，在防誘騙情境下，要加強對不安全誘騙系統行為的管理與監測，形成智慧型防誘騙系統。

防誘騙保護系統可以保護控制程序的連接。限制誘騙系統的異化連接或被黑客攻擊，要求規范設置連接控制程序。為了防止有人以誘騙系統為中介攻擊其他良好的電力系統，應對連接系統進行科學設計、反復論證和常態試驗，等功能完善后再推廣到電力系統中使用，從而確保電力網絡的安全。采用連接控制方法能夠設置靜態型IP地址，控制電力網絡的連接頻率閥值，管理并計算好連接出現斷開的次數。Dynamic CIPtable Serit PS系統是一種用來檢查相關誘騙主機外部聯系的系統，若發現問題會自動報警，自動管理，斷開不安全的連接，促使不安全攻擊行為難以實現。同時，連接控制系統信息可以記錄所有外部連接和傳出連接，這些數據是誘騙系統進行攻擊分析和源分析的基礎。

在電網安全防御系統中存儲遠程日志和運行syslog服務，可以有效進行主動誘騙型保護。訪問日志數據采用的是改進后的推挽技術。當監視器檢測到事件發生時，會將加密的事件監視信息作為流定信息廣播到日志服務器[7]。當日志服務器需要獲取最新數據時，可使用查詢事件生成器進行反饋。管理日志服務器即是優化數據收集，屏蔽不安全的遠程日志的介入。

防誘騙保護系統可以優化遠程管理及安全控制。該系統利用隔離層的相關端口加強監視，收集證據，實施進一步跟蹤，并做好記錄工作，結合警報，實現全方位優化管理。利用此平臺系統，管理員能夠優化相關組件的數據設置，加強安全布置，升級系統，做到及時查看并處理相應事件。

2.3 主動誘騙型電力網絡安全防御系統的結構

根據電網的安全拓撲程序，規范主動型誘騙電網，需要加強相應邏輯算法的優化設計，促進結構化設計的實施。在電力網絡安全防御體系中，外部防火墻是第一道防線。由于大多數外部入侵是孤立的，可同時實現入侵檢測和入侵重定向。考慮到防火墻的性能，應利用IDS的日志函數記錄防火墻外部的入侵行為，且不要做太多的日志記錄。

網絡IDS系統可對電網中所有類型的數據實施全方位的實時監控。該系統是以“寬進而嚴出”的理念運行的。“寬進”的目的是使系統搜索到更多的證據來阻止并清除誘騙的惡意程序，“嚴出”則指加大對攻擊系統漏洞的黑客的管制力度。

3 結 論

防主動誘騙的電網安全與控制系統不僅能抵抗電網外的各種因素，還可以抵抗電網中常態化的的小微型攻擊。同時，這種防誘騙電力網絡安全管理策略的運用，可以彌補現有的檢測漏洞與不成熟的防火墻技術，有效修復現有的電網控制漏洞，使電網全面發揮自保功能，安全保障水平得到提升。