聯動式電網網絡安全系統的防御體系設計

云南電網有限責任公司信息中心 李寒箬

現今網絡已經普及化，且帶有開放性與復雜性的特征，隨之而來的是計算機病毒技術、網絡攻擊技術的快速發展，導致外部網絡環境存在較高的安全風險，單一的網絡安全防御體系已經不適用于當下的網絡大環境，需集成防火墻技術、入侵檢測技術、漏洞掃描技術等，制定聯動式的安全解決方案，才可促進網絡安全系統防御水平的提升，保障用戶的網絡信息安全。

網絡安全系統中的防御體系具有防范網絡安全風險的作用，由于目前外部網絡環境復雜，計算機病毒、網絡攻擊行為層出不窮，不安全因素增多，使得網絡安全攻擊呈現出頻次多、技術水平高、隱蔽性等特點，簡單的防御體系無法起到有效的防護效用。聯動式網絡安全系統的防御體系，聯合采用了防火墻、入侵檢測、漏洞掃描等技術，構建主機終端與網絡之間的三層聯動防御機制，可明顯提升保護的效果。本文從該防御體系結構設計入手，打造聯動控制臺和終端主機系統，實現聯動控制臺各模塊與主機防火墻系統、主機入侵檢測系統、病毒檢測系統、審計集中系統等的聯動。

1 聯動式網絡安全防御體系結構設計

防火墻在網絡安全系統中屬于防御與保護措施，安裝在內網與外網之間，建立計算機終端與網絡之間的隔離屏障，在發生網絡攻擊后防火墻會啟動運行保護機制。防火墻基于計算機終端的硬件與軟件運行，可及時發現計算機在網絡運行中的安全風險。但防火墻的功能不夠全面，實現的保護作用有限，將其與入侵檢測技術相結合，功能僅限于在防火墻中添加了入侵檢測模塊，只有在發生攻擊后才可檢測到攻擊行為并進行攔截，安全防護前瞻性不夠[1]。本文基于以上原因，進行聯動式網絡安全系統的防御體系設計。

1.1 防御體系結構設計

該防御體系結構使用分布式防火墻，構建網絡安全防護的第一道防線；網絡入侵檢測系統與網絡漏洞掃描系統并行，入侵檢測系統負責檢測來自于網絡的攻擊，漏洞掃描系統實現終端網絡設備的全覆蓋，查找自身網絡安全漏洞，為防御體系中主動防范措施，實現網絡安全工作的前移，做到防患于未然。Internet經過三道防線，最終促使安全的網絡信息經過交換機到達主機終端。

圖1 防御體系結構設計圖

1.2 防御體系系統構成設計

防御體系主要由兩個部分構成，一是聯動控制臺，設有策略管理、關聯分析、事件收集三個模塊；二是終端主機系統，聯合運用防火墻技術、入侵檢測技術、漏洞掃描技術，共設置防火墻、入侵檢測、病毒檢測、審計集中等四個系統，前三個系統通過檢測后，以日志警告的方式將信息傳遞至審計集中系統，最后反饋給聯動控制臺。策略管理模塊與防火墻系統之間通過軟件、內網進行連接，實現兩者之間的信息交互，由此形成防御體系的閉環，實現控制臺各模塊與終端主機各系統之間的聯動。

圖2 防御體系系統設計圖

2 聯動式網絡安全系統防御體系系統設計

2.1 主機防火墻系統

其設置在邊界路由器與主機終端之間，與聯動控制臺的策略管理模塊互聯，是防御體系中信息安全過濾程序（圖3）。網絡信息經過IP包過濾模塊進行網絡訪問安全控制；傳遞至IP安全模塊，進行網絡不安全因素的偵聽，流經兩個模塊的網絡信息都需進入安全記錄模塊，記錄系統的運行進程。IP安全模塊將信息傳遞至網卡接口模塊，接著傳遞至IP包截取模塊，最后再進入IP包過濾模塊，網絡信息完成一個傳遞循環。其中網卡接口模塊的功能是信息傳輸與通信，截取模塊采集接口模塊信息。在防火墻系統中設計IP模塊，對網絡信息進行安全檢測，形成對內部數據的保護作用。

圖3 主機防火墻系統結構

2.2 主機入侵與病毒檢測系統

主機入侵檢測系統與病毒檢測系統在防御體系中采用相同的檢測機制，主要有四個部分組成：一是事件發生器，功能是采集網絡數據包，為其他模塊的運行節約時間；二是事件分析器，基于已知集合開展深度的事件分析；三是事件數據庫，屬于數據存儲單元；四是響應單元，是指功能實現單元，從事件數據庫中獲取事件分析結果進行操作設置，比如說發出警告信息（圖4）。

圖4 主機入侵與病毒檢測系統運行流程圖

主機入侵與病毒檢測系統根據不同用戶的場景，使用事件發生器來采集網絡數據包，經事件分析器創建檢測基礎，并且將所有的數據特征化，與檢測系統中的行為特征表進行比對與匹配，當發現異常時，事件分析器將信息傳遞至響應單元，然后由響應單元進行處理。事件分析器中包含了安全策略與攻擊模式，能為網絡安全系統提供可靠準確的判斷依據，而事件數據庫進行異常事件和其他數據的存儲，保持實時更新狀態，保障了檢測系統的安全可靠運行。

2.3 審計集中系統

入侵檢測系統在長期的運行過程中難免出現運行錯誤、發出錯誤警報，影響到聯動控制臺的正常運行。如果在這些警報中帶有防火墻方面的內容，將增加防火墻防護的內容、形成其規則冗余問題，降低防火墻的運行質效。所以，入侵系統在完成檢測后將警告信息傳遞至審計集中系統，由該系統進行異常事件的分類與分析，獲取其中有用信息，然后才可進入下一個處理環節，減輕防御體系的運行壓力。異常事件信息經過處理后，獲取異常事件的IP地址、發生的時間、事件類型、事件名稱等，最后防御系統做出警告反應，防止重復警報與錯誤警報問題，加快防御系統異常事件的處理速度。

2.4 通信協議

網絡通信協議是網絡安全系統防御體系運行的基礎，其中包含了非常重要的安全事件描述方式。通信協議在防御體系中具有將共性抽象的作用，借助共性創建協議，滿足防御體系通信的要求。在聯動式防御體系中，各系統之間的數據交互，需要一個完善的通信協議做保障，本次設計采用了NAP協議，對以太網幀進行控制，其在IP協議中組成結構為源IP地址、IP協議號、目的IP地址，當IP協議號為TCP時可進行連接目標的控制。如果是HttpClient發出POST請求時服務器處于開放狀態，借助TCP協議與客戶端進行連接，實現客戶端與服務器之間的通信。一個通信連接可同時發送多條信息，連接關閉后雙方通信停止[2]。

客戶端在向服務器發送正常信息過程中服務器無需響應，當發送的信息錯誤時服務器直接關閉，或是在一段時間內客戶端無信息發出，服務器也會自行切斷通信。此外，兩端在借助TCP通信時，客戶端隨時向服務器發送信息，報告自身是否面臨安全風險?？蛻舳税l送信息為報文格式，主要有兩個部分組成：一是報文頭部，采用的是IAP協議；二是報文內容，使用的是XML格式，主要用于信息傳輸，為了保證傳輸信息的安全，對報文內容進行加密處理，實現信息完整、安全傳輸。

3 聯動式網絡安全系統防御體系設計的優化措施

3.1 深入挖掘防火墻的防護性能

防火墻是聯動式網絡安全系統防護屏障，抵御外部網絡的入侵，在防御體系設計中需注意：外部信息進入內網前，防火墻提取并過濾信息，判斷信息是否合法，確定信息是否可以通過防火墻；敏感性。對外部信息中非法數據非常敏感，禁止未授權網絡與外部操作行為的進入，保證內部網絡的安全性；防火墻建立了內網與外網之間的保護屏障，在防御體系設計中，針對主機使用頻次低的端口，采用限制措施設計，防止非法操作控制主機端口，危及到內網信息的安全；防火墻具備警告功能，當外網出現非法行為，防火墻立即進行阻斷，并追蹤該非法行為，獲取攻擊行為的各項數據，生成非法攻擊警告，構建數據分析模型，為聯動式網絡安全系統防御體系的調整改進提供依據。

3.2 充分運用入侵檢測技術優勢

該技術為防御體系中的主動防御機制，與防火墻被動防御機制形成互補，進一步增強系統防御能力。為提高入侵檢測技術應用效果，在入侵檢測系統設計中需注重其應用的實效性。

首先，采取分布式檢測。網絡攻擊行為多種多樣，分布式攻擊防御的難度大、破壞力極強，需采用分布式檢測技術進行防御，提取分布攻擊的所有信息，以便于準確及時發出入侵警報。

其次，加強智能化設計。采用專家系統法、機器學習檢測法、模式匹配法等提高入侵檢測的智能化水平，提升整個系統的自我防范能力。

最后，做好防御方案。入侵檢測系統為主動防御行為，應基于防御方案運行，才可完全發揮出自身的防御能力[3]。在方案制定中，從網絡風險防控入手，分析明確網絡的各項風險，以確保入侵檢測的全面性。還需注意聯動式網絡安全系統中其他系統的有效管理，對各個系統風險防御水平進行評估，確定防御的薄弱處，然后進行入侵檢測系統功能的調整，提高入侵檢測的精準度。

3.3 融入人工智能設計

聯動式網絡安全系統的防御體系本身是一個自動運行的程序，在其中應用人工智能技術，可構建出智慧型的防御體系，增強整個系統的防御水準。人工智能具有自學習、自適應能力，采用專家系統設計，防御體系可自動分析外網信息、然后給出處理決策，防御質效更高；基于模糊理論構建防御體系的信息處理模塊判斷信息的安全性，避免非法信息越過防御體系進入到內網；人工智能技術具有實時監控功能，將該項功能融入于防御體系，實現系統對外網信息的實時篩查，提高安全系統實時防御能力，杜絕非法信息的進入。比如，專家系統針對非法信息的檢測，使用安全專家的知識建立規則庫對外網信息進行識別，當發現信息為非法信息時直接進行該信息的攔截。

4 結語

網絡安全問題一直以來受到社會各界的關注，網絡高速發展的同時網絡攻擊行為逐漸增多，攻擊的技術水平逐漸提高，使人們防不勝防。而單一的防火墻防御體系難以實現理想的網絡安全防御效果。因此，需設計更為有效的防御體系保證網絡的高度安全。聯動式網絡安全系統防御體系在構建防火墻的同時，設置入侵檢測系統與漏洞掃描系統，從網絡接口開始進行網絡攻擊的隔離、檢測，并采用漏洞掃描系統檢測網絡安全系統的安全性，實現前瞻性的防御，從而最大程度上提高網絡安全系統的防御水平。