电力网络安全提升策略与实现
开篇:润墨网以专业的文秘视角,为您筛选了一篇电力网络安全提升策略与实现范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要:随着计算机网络技术的发展,人们已经越来越认识到网络对于人类生产生活的重要意义,网络安全问题也得到人们的普遍重视,电力系统的网络安全关系到整个供电体系能否稳定安全运行,保证网络安全体系的科学有效,对于外来人员进行监控防护,构建一个快速准确的网络安全防御系统,才能保证网络的安全平稳运行,进而保证企业的正常运转。
关键词:电力网络;安全性能;网络系统;防御手段
中图分类号:TM769 文献标识码:A 文章编号:1674-7712 (2012) 16-0033-02
随着计算机技术的快速发展,网络已经逐渐走进了千家万户。对于企业来说更是如此,计算机网络技术给企业的运营带来了巨大便利。然而网络的快速发展也带来了一些安全问题,一些不法黑客常常会利用一些系统漏洞进入企业单位,有的甚至肆意攻击企业网络,给企业带来了巨大损失,对于电力系统更是如此,一旦电力网络被攻击,将危机整个电网的持续稳定运行,对城市的正常运转带来不可估量的灾害。
一、电力网络安全策略
随着国内专家对于电力网络安全的深入研究,目前已经取得了一些进展。在网络安全研究工作研究方面。武汉大学李俊娥等人提出电力数据网络的整体安全策略以及电力企业络建设与管理的分级多层次和动态的安全策略,向继东等人提出分层实现电力系统的安全策略来实现系统多层次安全保障,王先培等提出将防火墙和人侵检测系统综合运用到电力信息网络的具体方案,尚金成等人提出将电力市场技术支持系统与EMS、电量计量(TMR)系统、调度MSI等系统安全互联。通过这些系统的协调有序运行从多个角度对网路安全进行保障。
总的来说,目前我国的电力网络安全保证主要是依赖防火墙对于入侵的检测和漏洞的扫描方面。防火墙经过多年的发展已经成为很成熟的技术,但仍然存在很多问题,比如它只能通过率粗粒度进行攻击,相对来说不够敏捷迅速,不能在第一时间对入侵者进行攻击。而且最重要的是它无法防止网络内部的攻击,这也给网络安全带来了一定的隐患。IDS虽然能检测到攻击威胁,但它的反应速度不够,不能及时的对敌方做出回应,而且自身的保护能力仍然有待加强。网络安全的提升仍然任重道远。只有充分了解敌人的攻击方式,并针对其攻击特点进行有力的还击,做到知己知彼才能保证网络的安全可靠。
二、电力系统安全防御体系
本文通过对主动诱骗系统理论的深人研究在参考已有主动防御系统原型的基础上,结合实际需求,初步实现了一个基于主动诱骗策略的电力网络安全防御体系(简称主动诱骗电力网络安全防御体系),并完成相应的系统和功能设计。
防御体系功能。这一防御体系主要以保障电力系统网络安全为目的,通过结合现有的网络安全手段和工具,以IDS作为网络防御中心的体系性结构。它的控制中心是IDS防入侵系统,IDS通过统筹安排其他系统的协调合作实现网络安全的最大化。首先,当网络中出现异常现象时,系统会将可以身份进行追踪,并将这一行为通知子系统,子系统可以定向对可疑人士进行追踪控制,并将其浏览痕迹进行记录复制,以便于以后的查证。复制的数据会由总系统控制被诱骗子系统接收,子系统再通过之前的判断对可以人员的网络使用进行控制,必要时甚至可以对可疑人士的网络使用进行全面监控,并针对攻击者的情况给以有力还击。整个系统通过合理有序运行,及时发现并将情况分别传递给不同子系统,使得整体系统的安全性更强,对于电力系统的网络保护能力更强。
三、主动诱骗电力网络安全防御体系关键技术
在主动诱骗电力网络安全防御体系设计中,主要研究的是如何提高主动诱骗系统对电力网络中各种攻击的诱骗能力,以及如何提高主动诱骗系统自身安全的保护能力。下面介绍关键技术的实现。
四、主动诱骗策略及诱骗系统
诱骗系统主要包括诱骗环境、系统隔离层和主机操作系统,其中,主机操作系统占据主导地位,通过它的统一控制实现各个系统的分工合作,协调有序运行,充分保障电力系统的网络安全。
诱骗环境中的一些机器可以通过伪装成其他的服务器进而躲过系统的检测,然而进入系统通过对目录、数据和文件等的伪装,或通过其他的诱骗策略,例如模拟操作系统的各种漏洞、产生仿真网络流量、配置有吸引力的名字、连接有吸引力的服务等策略,将人侵攻击引入诱骗环境中,诱骗系统通过诱骗机制创建了一个系统隔离层,作为诱骗环境和系统内核的接口,使诱骗环境中的系统行为不能直接访问到系统内核,起到很好的隔离作用。
五、路由控制
这一点主要是指通过路由器的访问权限对外来用户加以控制,防止一些诱骗系统的路由IP进入,并且对内部系统进行实时监管,防止有内部产生的系统漏洞威胁到整个体系的安全和稳定。同时,还可以将路由控制与连接控制相结合,利用路由控制的诊断功能,对外来入侵者进行监控,一旦发现可疑目标立刻采取相应措施和手段加以回应,进而保护电力系统网络的安全。
六、入侵行为重新定向
这一点主要是来自于防火墙的地址转换技术。防火墙在受到威胁时,可以快速的对攻击人士的IP进行定向,通过追踪攻击人士主机地址,获得攻击人员的信息情况。这一定向功能保证了在系统受到攻击之后有机会查找出攻击来源,并针对此做出回应。而且地址转换技术的运用也使得攻击人员对于网络安全有更多的顾虑,在很大程度上保护了网络系统的安全可靠。
七、日志服务器
防御体系为了保证整个体系的合理有序运行,会对一些外来威胁进行记录,当系统监控子系统检测到时间之后,通过中央系统的调控将加密的事件传递给日志服务器,通过在日志服务器中查看各种事件发生的频率,就能做到灵活掌握最新动态,规避可能存在的风险。本设计还有一大特点,日志的监控系统相对隐蔽,不会被外来人员轻易发现,这研究保证了监控的效率更高,最后获得的结果更加准确。否者外来人员容易借用其他方式进行欺骗,日志服务器的保密性使得网络的安全性能大大提高。
八、远程管理控制台
这一系统独立于主系统之外,主要通过隔离层接口对于外来人员的浏览加以记录,必要时可以利用自身所带功能报警,出现问题时也可以及时跟管理人员进行沟通,也可以帮助修改系统各个部分的配置和部署,还有系统的升级完善、处理收集数据等工作都由控制成。远程控制台的存在帮助管理人员更好地对系统进行管理和监控,使得系统运行的灵活性更强。
九、主动诱骗电力网络安全防御体系逻辑结构
结合电力网络的拓扑结构,主动诱骗电力网络安全防御体系逻辑结构中,外防火墙作为外部网络的第一道防线,采用“严进宽出”的配置策略,将大部分外部的入侵行为进行隔离,同时实现人侵检测和人侵行为重定向功能,出于防火墙的性能考虑,在外防火墙上利用IDS的日志功能有针对性地对人侵行为做记录,不宜做太详细的日志记录。IDS采用基于网络的IDS,可实时监视电力网络中所有的数据包。内防火墙采用“宽进严出”的设置策略。“宽进”是为了迷惑人侵者,使其在里面乐不思蜀,以收集更多数据、证据;“严出”则是为了防止人侵者利用该系统作为跳板,对其他电力信息系统进行进一步的攻击。在内防火墙上,由于出人数据都是可疑的,入侵行为记录子系统应该对系统的所有活动做严格、详细的记录。
十、结语
电力系统网络的安全可靠关系到整个供电功能是否正常运转,尽管目前我国在网络安全方面取得了较大进展,仍有很多不足之处,外来人员可以针对网络安全的漏洞对网络构成威胁。同时部分管理人员由于责任意识不到位,疏于管理,这也在无形之中增大了网络安全的危险系数。构建安全可靠的网络系统,不仅需要做好技术上的工作,还应在管理人员上下功夫。对管理人员进行培训,提升管理人员的专业素质,出现问题时能够及时有效的提出解决措施。加强管理人员的工作责任心,责任到人,奖罚分明,才能提升网络安全系数。同时,应该积极宣传网络安全的重要性,提升民众对于网络安全的认识,避免内部人员对系统网络进行恶意攻击。总的来说,电力系统网络的安全维护还有很长一段路要走,需要各部门人员协调合作,统一规划安排,才能将风险降到最低。
参考文献:
[1]程渤,张新有,浮花玲,杨国纬.基于主动诱骗的电力网络安全提升策略设计与实现[J].电力系统自动化,2004,8.
[2]李俊娥,罗剑波,刘开培.电力系统数据网络安全性设计[J].电力系统自动化,2003,27(11):56-60.
[作者简介]陈振全(1969.9-),男,陕西长武人,大学本科,张家口供电公司工程师,研究方向:计算机网络。