電力信息化行業(yè)網(wǎng)絡(luò)安全主動防御技術(shù)研究

盛明珺

電力信息化行業(yè)網(wǎng)絡(luò)涉及到的系統(tǒng)和應(yīng)用極其豐富，不同設(shè)備所應(yīng)用到的開發(fā)技術(shù)、自身的內(nèi)部結(jié)構(gòu)、系統(tǒng)設(shè)置、接口樣式都存在差異，這些設(shè)施集成起來就會出現(xiàn)漏洞，被病毒作為突破口，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊。傳統(tǒng)的防御方法不能對網(wǎng)絡(luò)系統(tǒng)進(jìn)行動態(tài)監(jiān)管，更不能對系統(tǒng)所處的環(huán)境進(jìn)行風(fēng)險分析和評估，因此，主動防御技術(shù)優(yōu)勢更加明顯，它不僅能對網(wǎng)絡(luò)系統(tǒng)進(jìn)行檢測，同時還能主動找出危害因素并加以清除，極大提高了電力信息化行業(yè)網(wǎng)絡(luò)的安全性。

一、電力信息化行業(yè)網(wǎng)絡(luò)面臨的安全威脅分析

（一）勒索病毒

這種病毒從本質(zhì)上來講其實就變異式木馬，一旦被這種病毒攻擊，將無法對文件系統(tǒng)進(jìn)行訪問。其可以大致分為兩種不同類型：加密型，這種類型的病毒利用加密算法對攻擊的電力通信系統(tǒng)進(jìn)行加密，要想解密必須要支付費用才能操作；鎖定型，這類病毒是以遠(yuǎn)程操控的形式將操作系統(tǒng)鎖定，使其他人無法對文件系統(tǒng)進(jìn)行操作。

（二）DDOS攻擊

隨著電網(wǎng)智能化的加深和覆蓋面的不斷擴(kuò)大，其中所應(yīng)用的設(shè)備、軟件、載入的數(shù)據(jù)、使用的用戶都不斷增多。在此基礎(chǔ)上，還利用移動通信等技術(shù)和傳感器攝像頭對電網(wǎng)進(jìn)行動態(tài)監(jiān)控，這就使整個系統(tǒng)極易受到DDOS的攻擊。這種攻擊建立在多用戶同時在一個程序上登錄，占用各種相關(guān)資源的現(xiàn)象上。會使得正常用戶出現(xiàn)不能訪問服務(wù)器的情況，使系統(tǒng)處理速度極大地降低。近些年出現(xiàn)的類似例子數(shù)不勝數(shù)，給我國電力通信系統(tǒng)造成了重大損失。

（三）數(shù)據(jù)盜竊

最常發(fā)生、也是威脅最大的一項，就是電力信息網(wǎng)絡(luò)系統(tǒng)遭到的數(shù)據(jù)盜竊。當(dāng)前電網(wǎng)中乘載的數(shù)據(jù)種類繁多、內(nèi)容復(fù)雜，無論是哪種數(shù)據(jù)類型都是歸類于機(jī)密信息的，不能輕易地向外界透露，或被其他用戶獲取，但是，當(dāng)前網(wǎng)絡(luò)上許多不法分子運用一些非法手段，對整個電網(wǎng)系統(tǒng)進(jìn)行攻擊，盜取系統(tǒng)中的機(jī)密數(shù)據(jù)。這對電網(wǎng)數(shù)據(jù)造成的損失無疑是非常巨大的。

二、主動防御技術(shù)類型

（一）陷阱技術(shù)

1、蜜罐技術(shù)

所謂的蜜罐技術(shù)是讓自身蜜罐系統(tǒng)存在一個明顯的漏洞，對攻擊者進(jìn)行誘騙。其原理是系統(tǒng)對易受攻擊的主機(jī)進(jìn)行模擬，讓攻擊者將此系統(tǒng)作為目標(biāo)。但蜜罐系統(tǒng)自身是沒有任何有價值的數(shù)據(jù)和服務(wù)的，所以但凡是嘗試對此系統(tǒng)進(jìn)行鏈接動作都被視作不正常的動作，遭到攻擊時，系統(tǒng)會對攻擊方進(jìn)行拖延，對攻擊源頭進(jìn)行追蹤，找到線索并發(fā)送給管理員。

2、蜜網(wǎng)技術(shù)

蜜網(wǎng)不僅能夠模擬存在大漏洞的網(wǎng)絡(luò)系統(tǒng)，來誘惑不法者進(jìn)行攻擊，同時也是學(xué)習(xí)工具，通過這一技術(shù)能夠?qū)粽叩乃行畔⑦M(jìn)行獲取，包括攻擊者所使用的工具和攻擊計劃，最終要達(dá)到的目的，并對這些信息進(jìn)行分析、研究和學(xué)習(xí)。其功能主要可概括為三點：對信息進(jìn)行控制，對頻繁攻擊主機(jī)并產(chǎn)生威脅的攻擊者，一定程度上降低其對系統(tǒng)威脅；對相關(guān)信息進(jìn)行捕獲，攻攻擊者的行為信息，并對攻擊路徑進(jìn)行研究，弄清攻擊動機(jī)、來源、計劃等；對相關(guān)信息進(jìn)行收集，信息收集，指的是專門針對非單一蜜網(wǎng)存在的情況進(jìn)行作用的功能，他能從中收集獲取數(shù)據(jù)的有效方法。

（二）取證技術(shù)

這里提到的取證是指網(wǎng)絡(luò)系統(tǒng)被入侵后對入侵信息進(jìn)行分析取證的技術(shù)，此技術(shù)可分為兩類。

1、靜態(tài)取證技術(shù)

在系統(tǒng)遭受到攻擊后，通常會經(jīng)過一系列技術(shù)手段對入侵痕跡進(jìn)行取證并分析，但是在攻擊者入侵網(wǎng)絡(luò)系統(tǒng)后，會對整個系統(tǒng)進(jìn)行清理，因此取證技術(shù)會花費很長的時間，并且難度較大。靜態(tài)取證技術(shù)是在入侵發(fā)生過程中，對數(shù)據(jù)進(jìn)行提取、分析，保留有效成分。其應(yīng)用到工具種類較多，并通過這些復(fù)雜手段，對數(shù)據(jù)進(jìn)行克隆、分析和恢復(fù)。有些通過建立一個單獨硬盤鏡像，有效地阻止數(shù)據(jù)被改寫，對保護(hù)電子證據(jù)起到很大的作用。

2、動態(tài)取證技術(shù)

動態(tài)取證技術(shù)與靜態(tài)取證技術(shù)相比，更具有一定的發(fā)展優(yōu)勢，靜態(tài)取證技術(shù)主要是對一個固定時間的數(shù)據(jù)信息進(jìn)行分析取證，而動態(tài)取證技術(shù)則是實時地對數(shù)據(jù)進(jìn)行相應(yīng)的分析。同時，這項技術(shù)也能夠?qū)θ肭终叩膭幼鬟M(jìn)行分析和回應(yīng)，通過自身分析的數(shù)據(jù)，切斷入侵者的連接，或是設(shè)置相應(yīng)的陷阱，使入侵者更深層次進(jìn)入，在這一過程中獲得攻擊者的信息。如果一些不法分子入侵了預(yù)先設(shè)置好這項技術(shù)的網(wǎng)絡(luò)系統(tǒng)，動態(tài)取證技術(shù)就會對入侵者的所有動作，包括對文件數(shù)據(jù)的改動或傳送進(jìn)行詳細(xì)記錄。并依照這些記錄，反過來對數(shù)據(jù)進(jìn)行恢復(fù)，同時將所記錄的信息傳輸?shù)饺∽C機(jī)上。除以上動作外，動態(tài)取證技術(shù)會取出相應(yīng)的記錄，與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行比對分析，追蹤入侵者的相關(guān)信息，如來源、形式和入侵程度，從而研究出一系列的反擊技術(shù)，防患于未然。

三、主動防御技術(shù)功能

（一）網(wǎng)絡(luò)數(shù)據(jù)的采集

電力信息化行業(yè)數(shù)據(jù)存儲量非常的巨大，并且其來源渠道也種類繁多，大部分?jǐn)?shù)據(jù)存儲在應(yīng)用程序和數(shù)據(jù)庫中，其傳輸形式也有很多種，像硬件設(shè)施交換機(jī)、服務(wù)器等都屬于對數(shù)據(jù)進(jìn)行傳輸交換的渠道，所以數(shù)據(jù)的采集也可以從多方面來進(jìn)行，所應(yīng)用的技術(shù)靈活性也較大。可以從數(shù)據(jù)源頭數(shù)據(jù)傳輸過程和數(shù)據(jù)存儲位置進(jìn)行抓取。在獲得這些信息后，對其進(jìn)行分類整理，所分類型依照所抓取的數(shù)據(jù)進(jìn)行定制，并將這些采集到的數(shù)據(jù)存儲在病毒數(shù)據(jù)庫，路徑可以按時間順序進(jìn)行設(shè)計。最近獲得的數(shù)據(jù)放在優(yōu)先訪問的位置，以此方式來實現(xiàn)實時、快速的數(shù)據(jù)獲取，最后將獲得的數(shù)據(jù)進(jìn)行風(fēng)險分析。

（二）網(wǎng)絡(luò)安全風(fēng)險分析

數(shù)據(jù)采集過程結(jié)束后，則要對其進(jìn)行一定的分析和處理，建立相應(yīng)的風(fēng)險數(shù)據(jù)矩陣，從兩種不同的角度進(jìn)行分析，一方面是數(shù)據(jù)來源分析，另一方面是分析風(fēng)險考量指標(biāo)，按照指標(biāo)進(jìn)行衡量，分析是否存在被攻擊的風(fēng)險及其風(fēng)險指數(shù)。安全風(fēng)險分析方法運用的數(shù)據(jù)挖掘技術(shù)多種多樣， 但無論哪種技術(shù)都遵循風(fēng)險最小化原則，對數(shù)據(jù)進(jìn)行挖掘和分析，為保證網(wǎng)絡(luò)系統(tǒng)的安全提供了相應(yīng)的參考。

（三）網(wǎng)絡(luò)安全評估功能

評估結(jié)果可分為優(yōu)秀、良好、一般、輕度、重度幾個對應(yīng)級別。第一個等級是指各個軟硬件數(shù)據(jù)經(jīng)過分析過后，沒有發(fā)現(xiàn)任何安全威脅，基本沒有明顯的漏洞，能夠保證網(wǎng)絡(luò)安全系統(tǒng)的正常運行；第二個等級表示經(jīng)過各類數(shù)據(jù)分析評估之后，軟硬件設(shè)施狀態(tài)比較良好，可能稍微有些不夠穩(wěn)定的因素存在，因此需要偶爾對其進(jìn)行檢測；第三個等級表示，經(jīng)過系統(tǒng)分析之后，軟硬件設(shè)施能夠基本正常運行，但是需要對其進(jìn)行動態(tài)的監(jiān)控，以此來保護(hù)整個系統(tǒng)不會被一些風(fēng)險所威脅；第四個等級就說明網(wǎng)絡(luò)系統(tǒng)中已經(jīng)蘊(yùn)涵著一定的危險因素。例如，系統(tǒng)中已經(jīng)出現(xiàn)一些明顯的漏洞，或是小的數(shù)據(jù)故障，這時就要對整個系統(tǒng)采取相應(yīng)的保護(hù)措施；第五個等級則是經(jīng)過系統(tǒng)分析之后，已經(jīng)檢測出明顯的系統(tǒng)漏洞，并且出現(xiàn)一些比較嚴(yán)重的病毒侵入，這些危險因素已經(jīng)嚴(yán)重阻礙了系統(tǒng)的正常運行。

（四）安全防御功能

最后一個功能，也是最主要的功能，就是對整個系統(tǒng)的安全防御。前面所提到的各項功能，只是在沒有受到不法分子入侵時的一個預(yù)防功能，只能實現(xiàn)降低網(wǎng)絡(luò)系統(tǒng)受到攻擊的風(fēng)險和找出威脅網(wǎng)絡(luò)安全的因素。但是在網(wǎng)絡(luò)安全遭到攻擊時，安全防御功能才是最主要的功能。整個防御功能非常的完整，分為多個層次。訪問控制列表，綜合前面功能所分析出的結(jié)果，其可以限制一些頻繁攻擊其他系統(tǒng)的用戶訪問服務(wù)器，降低這些用戶對整個系統(tǒng)進(jìn)行數(shù)據(jù)盜取的幾率；Web安全服務(wù)器，該這一層次的防御過濾功能非常強(qiáng)大，可以對每個數(shù)據(jù)協(xié)議自動進(jìn)行分析，一旦找到存在安全風(fēng)險的數(shù)據(jù)就將報告發(fā)送給殺毒軟件；最后一個層次則為各種病毒查殺軟件，接到安全服務(wù)器的報告之后，病毒查殺軟件會對其報告內(nèi)容所指的病毒進(jìn)行查殺，及時的清除掉對計算機(jī)有威脅的因素。除此之外，安全防御系統(tǒng)還擁有數(shù)據(jù)實時監(jiān)控的功能。一旦發(fā)現(xiàn)可能對計算機(jī)安全，造成威脅的不穩(wěn)定因素就會采取以上步驟，對整個數(shù)據(jù)進(jìn)行主動分析。這對整個網(wǎng)絡(luò)系統(tǒng)的安全有著非常重大的意義。

四、結(jié)語

電力信息化行業(yè)網(wǎng)絡(luò)安全主動防御技術(shù)是保證網(wǎng)絡(luò)系統(tǒng)正常運行的重要載體，因此，為了使這部分的安全更加有保障，就必須要建立更加牢固的安全防御措施，應(yīng)用主動防御技術(shù)能更好地保障信息化行業(yè)的網(wǎng)絡(luò)安全。

作者單位：中國大唐集團(tuán)科學(xué)技術(shù)研究院有限公司華東電力試驗研究院