|
山东平原县电公司傅月利 刘 霞
随着农网改造的进行,各电力部门的调剂自动化系统获得了飞快的成长,除完成SCADA功能外,基本实现了的分析功能,如网络拓扑分析、状态估、潮水计较、平安分析、经济调剂等,使电网调剂自动化的水平有了很年夜的提高。调剂自动化的运用提高了电网运行的效率,改善了调剂运行人员的工作条件,加速了变电站实现无人值守的步伐。今朝,电网调剂自动化系统已成为电力企的"心脏"[1]。正因如斯,调剂自动化系统对防范病毒和黑客进犯提出了更高的要求,《电网和电厂计较机监控系统及调剂数据网络平安防护划定》(中华人平易近共和国国家经济商委员会第30呼吁)[9]中划定电力监控系统的平安品级高于电力治理信息系统及办公自动化系统。各电力监控系统必需具有靠得住性高的自身平安防护举措措施,不得与平安品级低的系统直接相联。而从今朝的调剂自动化平安防护技术运用查询拜访成效来看,很多电力部门虽然在调剂自动化系统网络中部署了一些网络平安产物,但这些产物没有形成系统,有的只是采办了防病毒软件和防火墙,保障平安的技术单一,尚有许多亏弱环节没有笼盖到,对换度自动化网络平安没有统一久远的计划,网络中有许多平安隐患,个体地方甚至没有斟酌到平安防护问题,如调剂自动化和配网自动化之间,调剂自动化系统和MIS系统之间数据传输的平安性问题等,若何保证调剂自动化系统平安稳定运行,避免病毒侵进,已显得越来越重要。
从电力系统采用的现有平安防护技术方式方面,年夜部门电力企的调剂自动化系统采用的是被动防御技术,有防火墙技术和进侵检测技术等,而随着网络技术的成长,逐渐表露出其缺陷。防火墙在保障网络平安方面,对病毒、会见限制、后门威胁和对于内部的黑客进犯等都没法起到作用。进侵检测则有很高的漏报率和误报率[4]。这些都必需要求有更高的技术手段来防范黑客进犯与病毒进侵,本文基于传统平安技术和自动防御技术相连系,依据动态信息平安P2DR模子,斟酌到调剂自动化系统的现实情况设计了一套平安防护模子,对于提高调剂自动化系统防病毒和黑客进犯水平有很好的参考价值。
1威胁调剂自动化系统网络平安的技术身分
今朝的调剂自动化系统网络如iES-500系统[10]、OPEN2000系统等年夜都是以Windows为操作系统平台,同时又与Internet相连,Internet网络的同享性和开放性使网上信息平安存在先天不足,由于其赖以糊口生涯的TCP/IP协议缺少响应的平安机制,而且Internet初设计没有斟酌平安问题,是以它在平安靠得住、服务和利便性等方面存在不顺应性[3]。此外,随着调剂自动化和办公自动化等系统数据交流的不竭增年夜,系统中的平安破绽或"后门"也不成避免的存在,电力企内部各系统间的互联互通等需求的成长,使病毒、外界和内部的进犯越来越多,从技术角度进一步增强调剂自动化系统的平安防护日显突出。
2基于自动防御新技术的平安防护设计
2.1调剂自动化系统与其他系统的接口
由于调剂自动化系统自身工作的性和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息同享。为了保证电网运行的透明度,企内部的生产、检修、运行等各部门都必需能够从办公自动化系统中领会电网运行情况,是以调剂自动化系统自身设有Web服务器,以实现数据同享。调剂自动化系统和配网自动化系统之间由于触及到需要同时控制变电站的10kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要经由过程其Web服务器公布于众[5],同时由于配网自动化系统自己的平安性要求,斟酌到投资问题,可以把它的平安防护和调剂自动化一起斟酌进行设计。
2.2自动防御技术类型
今朝自动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包括破绽的拐骗系统,经由过程模拟一个或多个易受进犯的主机,给进犯者提供一个轻易进犯的方针[2]。蜜罐的作用是为外界提供子虚的服务,迟延进犯者对真正方针的进犯,让进犯者在蜜罐上浪费时间。蜜罐凭据设计目的分为产物型和研究型。今朝已有许多商用的蜜罐产物,如BOF是由MarcusRanum和NFR公司开发的一种用来监控BackOffice的工具。Specter是一种商化的低交互蜜罐,类似于BOF,不外它可以模拟的服务和功能范围加倍普遍。蜜网技术是为的公然蜜罐项目[7],它是一个门设计来让人"攻下"的网络,主要用来分析进侵者的一切信息、使用的工具、策略及目的等。
另外一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已蒙受进侵的情况下,运用各类技术手段进行分析取证工作。现在普遍采用的正是这类静态取证方式,在进侵后对数据进行确认、提取、分析,抽掏出有用证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。今朝已有门用于静态取证的工具,如GuidanceSoftware的Encase,它运行时能建立一个自力的硬盘镜像,而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计较机取证的成长趋向,它是在受庇护的计较机上事前安装上代办署理,当进犯者进侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和代办署理会发生响应的日志文件加以记实。哄骗文件系统的特征,连系相关工具,尽真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保留用以作为进侵证据。今朝的动态取证产物国外开发研制的较多,价格昂贵,国内部门企也开发了一些类似产物。
2.3调剂自动化系统平安模子
调剂自动化平安系统防护的主导思想是围绕着P2DR模子思想建立一个完整的信息平安系统框架,P2DR模子早是由ISS公司提出的动态平安模子的代表性模子,它主要包括4个部门:平安策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模子系统框架如图1所示。
在P2DR模子中,策略是模子的焦点,它意味着网络平安需要到达的方针,是针对网络的现实情况,在网络治理的整个进程中具体对各类网络平安措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护凡是采用传统的静态平安技术及方式来实现,主要有防火墙、加密和认证等方式。检测是动态响应的依据,经由过程不竭的检测和监控,发现新的威胁和弱点。响应是在平安系统中解决平安潜在性的有用的方式,它在平安系统中据有重要的地位。
2.4调剂自动化系统的平安防御系统设计
调剂自动化以P2DR模子为根蒂根基,合理哄骗自动防御技术和被动防御技术来构建动态平安防御系统,连系调剂自动化系统的现实运行情况,其平安防御系统模子的物理架构如图2所示。
防护是调剂自动化系统平安防护的前沿,主要由传统的静态平安技术防火墙和陷阱机实现。在调剂自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包,防范对内及内对外的非法会见。陷阱机隐躲在防火墙后面,制造一个被进侵的网络情况引诱进侵,引开黑客对换度自动化Web服务器的进犯,从而提高网络的防护能力。
检测是调剂自动化平安防护系统自动防御的焦点,主要由IDS、破绽扫描系统、陷阱机和取证系总共同实现,包括异常检测、模式发现和破绽发现。IDS对来自外界的流进行检测,主要用于模式发现及告警。破绽扫描系统对换度自动化系统、配网自动化主机端口的已知破绽进行扫描,找露马脚或没有打补钉的主机,以便做出响应的解救措施。陷阱机是设置的蜜罐系统,其日志记实了网络进侵行为,是以不单充任了防护系统,现实上又起到了第二重检测作用。取证分析系统经由过程事后分析可以检测并发现病毒和新的黑客进犯方式和工具和新的系统破绽。响应包括两个方面,其一是取证机完整记实了网络数据和日志数据,为进犯发生系统遭破坏后提出诉讼提供了证据支持。另外一方面是凭据检测成效哄骗各类平安措施实时修补调剂自动化系统的破绽和系统升级。
综上所述,基于P2DR模子设计的调剂自动化平安防护系统有以下特点和越性:
·在整个调剂自动化系统的运行进程中进行自动防御,具有两重防护与多重检测响应功能;
·企内部和外部兼防,可以以法令武器来威慑进侵行为,并究查经济责任。
·形成了以调剂自动化网络平安策略为焦点的防护、检测和响应相互促进和轮回递进的、动态的平安防御系统。
3结论
调剂自动化系统的平安防护是一个动态成长的进程,本次设计的平安防护模子是采用自动防御技术和被动防御技术相连系,在P2DR模子根蒂根基上进行的设计,使调剂自动化系统平安防御在蒙受进犯的时辰进行自动防御,增强了系统平安性。但调剂自动化系统平安防护其实不是纯洁的技术,仅依靠平安产物的聚积来应对迅速成长变化的进犯手段是不能延续有用的。调剂自动化系统平安防护的自动防御技术不能完全取代其他平安机制,尤其是治理规章制度的严酷执行等必需长抓不懈。
参考文献:
[1]梁国文.县级电网调剂自动化系统实现的功能.农村电气化,2004,(12):33~34.
[2]丁杰,高会生,俞晓雯.自动防御新技术及其在电力信息网络平安中的运用.电力系统通讯,2004,(8):42~45.
[3]赵阳.电力企网的平安及对策.电力信息化,2004,(12):26~28.
[4]阮晓迅,等.计较机病毒的通用防护技术.电气自动化,1998,(2):53~54.
[5]郝印涛,等.配网治理与调剂间的信息交换.农村电气化,2004,(10):13~14.
[6]韩兰波.县级供电企治理信息系统(MIS)的运用.农村电气化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL]..
[8]戴云,范平志.进侵检测系统研究综述[J].计较机工程与运用,2002,38(4):17~19.
[9]中华人平易近共和国国家经济商委员会第30呼吁.电网和电厂计较机监控系统及调剂数据网络平安防护划定,2002,(5).
[10]潘光午.iES-500调剂自动化系统在县级电力企中的运用.2004,(10).
|