引言
當(dāng)前,電力系統(tǒng)已基本形成了自己的生產(chǎn)過(guò)程自動(dòng)化和管理現(xiàn)代化信息網(wǎng)絡(luò),并在實(shí)際生產(chǎn)和管理中發(fā)揮著巨大的作用。隨著全球信息化的迅猛發(fā)展,電力系統(tǒng)必將加強(qiáng)與外部世界的信息交流,以提高生產(chǎn)和管理效率,開(kāi)拓更廣闊的發(fā)展空間。然而,網(wǎng)絡(luò)開(kāi)放也增加了網(wǎng)絡(luò)受攻擊的可能性。與外部網(wǎng)絡(luò)的連接必然面臨外來(lái)攻擊的威脅。對(duì)于關(guān)系到國(guó)計(jì)民生的電力系統(tǒng)而言,網(wǎng)絡(luò)安全必須作為一個(gè)重大戰(zhàn)略問(wèn)題來(lái)解決。目前,防火墻技術(shù)作為防范網(wǎng)絡(luò)攻擊最基本的手段已經(jīng)相當(dāng)成熟,是抵御攻擊的第一道防線,入侵檢測(cè)系統(tǒng)(intrusion detective system,縮寫為IDS)作為新型的網(wǎng)絡(luò)安全技術(shù),有效地補(bǔ)充了防火墻的某些性能上的缺陷,兩者從不同的角度以不同的方式確保網(wǎng)絡(luò)系統(tǒng)的安全。
本文首先分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu),并結(jié)合其特點(diǎn)和對(duì)網(wǎng)絡(luò)安全的特殊要求,就如何有效地將防火墻和入侵檢測(cè)技術(shù)運(yùn)用到電力企業(yè)信息網(wǎng)絡(luò)中進(jìn)行探討。
1 電力系統(tǒng)的信息網(wǎng)絡(luò)
電力系統(tǒng)的信息網(wǎng)絡(luò)分為兩大模塊:監(jiān)控信息系統(tǒng)(supervisory information system,縮寫為 SIS)和管理信息系統(tǒng)(management information system,縮寫為MIS)。
SIS對(duì)生產(chǎn)現(xiàn)場(chǎng)進(jìn)行實(shí)時(shí)監(jiān)控,從分布在生產(chǎn)現(xiàn)場(chǎng)的許多點(diǎn)采集數(shù)據(jù),再由系統(tǒng)中的計(jì)算單元進(jìn)行性能計(jì)算、故障診斷等,將結(jié)果存放到實(shí)時(shí)數(shù)據(jù)服務(wù)器,為生產(chǎn)現(xiàn)場(chǎng)實(shí)時(shí)提供科學(xué)、準(zhǔn)確的數(shù)據(jù),以控制整個(gè)生產(chǎn)過(guò)程。SIS包括CRT監(jiān)控系統(tǒng)、DCS(數(shù)據(jù)通信系統(tǒng))、FCS(現(xiàn)場(chǎng)總線控制系統(tǒng))等子系統(tǒng)。
MIS的功能是實(shí)現(xiàn)企業(yè)自動(dòng)化管理,包括若干子系統(tǒng),分別實(shí)現(xiàn)生產(chǎn)經(jīng)營(yíng)管理、財(cái)務(wù)和人事管理、設(shè)備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統(tǒng),為管理人員提供智能支持,是企業(yè)管理規(guī)范化、科學(xué)化的基礎(chǔ)。
目前電力系統(tǒng)的信息網(wǎng)絡(luò)一般將SIS和MIS分做同一網(wǎng)絡(luò)中的兩個(gè)子網(wǎng),并分別配置服務(wù)器,兩子網(wǎng)之間用網(wǎng)關(guān)連接,如圖1所示。
圖1 企業(yè)內(nèi)部局域網(wǎng)
DPU(分散過(guò)程控制單元)從生產(chǎn)現(xiàn)場(chǎng)采集數(shù)并發(fā)送到高速數(shù)據(jù)網(wǎng)供DCS各工作站分析處理,同時(shí)為了保證SIS的網(wǎng)絡(luò)安全,SIS以太網(wǎng)通過(guò)網(wǎng)關(guān)與MIS服務(wù)器連接,作為MIS到SIS的入口并管理MIS對(duì)SIS的訪問(wèn)。
SIS和MIS功能各異,對(duì)安全的要求也有所不同。SIS由于與現(xiàn)場(chǎng)生產(chǎn)息息相關(guān),一旦遭到入侵,勢(shì)必影響生產(chǎn)甚至造成惡性事故,所以其安全性要求更高,F(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)也充分體現(xiàn)了這一特點(diǎn),對(duì) SIS實(shí)施更高級(jí)別的保護(hù)。
當(dāng)局域網(wǎng)與外部網(wǎng)絡(luò)連接后,MIS要向外界提供服務(wù),網(wǎng)絡(luò)面臨的威脅將空前廣泛、尖銳,這時(shí)原有的安全系統(tǒng)顯然過(guò)于單薄,必須在原有基礎(chǔ)上制定更嚴(yán)密、可靠的防御體系。
在安全的操作系統(tǒng)基礎(chǔ)上,防火墻結(jié)合IDS是一種較為理想的解決方案。
2 防火墻
防火墻是防范網(wǎng)絡(luò)攻擊最常用的手段,是構(gòu)造安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)工程。它通常被安置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)上,將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離,強(qiáng)制所有內(nèi)部與外部之間的相互通信都通過(guò)這一節(jié)點(diǎn),并按照設(shè)定的安全策略分析,限制這些通信,以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。
2.1 防火墻的體系結(jié)構(gòu)
構(gòu)造防火墻時(shí)通常根據(jù)所要提供的服務(wù)、技術(shù)人員的技術(shù)、工程的性價(jià)比等因素采用多種技術(shù)的組合,以達(dá)到最佳效果。
目前常見(jiàn)的防火墻體系結(jié)構(gòu)有以下幾種:
a.雙重宿主主機(jī)體系結(jié)構(gòu)。在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間配置至少有兩個(gè)網(wǎng)絡(luò)接口的雙重宿主主機(jī),接口分別與內(nèi)部、外部網(wǎng)絡(luò)相連,而主機(jī)則充當(dāng)網(wǎng)絡(luò)之間的路由器。這樣,內(nèi)部、外部網(wǎng)絡(luò)的計(jì)算機(jī)之間的IP通信完全被阻隔,只能通過(guò)雙重宿主主機(jī)彼此聯(lián)系。
b.屏蔽主機(jī)體系結(jié)構(gòu)。這種結(jié)構(gòu)的防火墻由路由器和堡壘主機(jī)構(gòu)成,路由器設(shè)置在內(nèi)部、外部網(wǎng)絡(luò)之間,實(shí)現(xiàn)數(shù)據(jù)包過(guò)濾。堡壘主機(jī)設(shè)置在內(nèi)部網(wǎng)絡(luò)中,外部網(wǎng)絡(luò)的計(jì)算機(jī)必須連接到堡壘主機(jī)才能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。
c.屏蔽子網(wǎng)體系結(jié)構(gòu)。利用兩個(gè)路由器(內(nèi)部路由器和外部路由器)將內(nèi)部網(wǎng)絡(luò)保護(hù)到更深一層,而在兩個(gè)路由器之間形成一個(gè)虛擬網(wǎng)絡(luò),稱之為周邊網(wǎng)絡(luò),堡壘主機(jī)連接在周邊網(wǎng)絡(luò)上,通過(guò)外部路由器與外部網(wǎng)絡(luò)相連。這樣,如果入侵者突破了外層的防火墻,甚至侵入堡壘主機(jī),內(nèi)部網(wǎng)絡(luò)依然安全。
2.2 電力企業(yè)信息網(wǎng)防火墻的結(jié)構(gòu)設(shè)計(jì)
電力系統(tǒng)對(duì)安全性的高度要求,企業(yè)信息網(wǎng)絡(luò)的安全問(wèn)題應(yīng)該予以格外關(guān)注。必須組建科學(xué)、嚴(yán)密的防火墻體系,為企業(yè)內(nèi)部網(wǎng)絡(luò)尤其是內(nèi)部網(wǎng)絡(luò)中的SIS子網(wǎng)提供高度的網(wǎng)絡(luò)安全。
電力企業(yè)內(nèi)部網(wǎng)絡(luò)由兩個(gè)安全級(jí)別不同的子網(wǎng) MIS和SIS構(gòu)成,其中SIS對(duì)安全要求更高,因此它僅向MIS提供服務(wù)而不直接與外部網(wǎng)絡(luò)相連,由 MIS向外界提供服務(wù)。基于這個(gè)特點(diǎn),防火墻宜采用屏蔽子網(wǎng)的體系結(jié)構(gòu),如圖2所示。
圖2 防火墻體系結(jié)構(gòu)
MIS作為體系中的周邊網(wǎng),SIS作為內(nèi)部網(wǎng)。設(shè)置兩臺(tái)屏蔽路由器,其中外部路由器設(shè)在MIS與外部網(wǎng)絡(luò)之間,內(nèi)部路由器設(shè)在SIS與MIS之間,對(duì)進(jìn)出的數(shù)據(jù)包進(jìn)行過(guò)濾。另外,堡壘主機(jī)連接在MIS中,對(duì)外作為訪問(wèn)的入口,對(duì)內(nèi)則作為代理服務(wù)器,使內(nèi)部用戶間接地訪問(wèn)外部服務(wù)器。
應(yīng)該強(qiáng)調(diào)的是,MIS的堡壘主機(jī)極有可能受到襲擊,因?yàn)樗袑?duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)都要經(jīng)過(guò)它,因此,在條件允許的情況下,可以在MIS中配置兩臺(tái)堡壘主機(jī),當(dāng)一臺(tái)堡壘主機(jī)被攻擊而導(dǎo)致系統(tǒng)崩潰時(shí),可以由另一臺(tái)主機(jī)提供服務(wù),以保證服務(wù)的連續(xù)性。同時(shí),在MIS中配置一臺(tái)處理機(jī),與內(nèi)部路由器組成安全網(wǎng)關(guān),可以作為整個(gè)防火墻體系的一部分,控制MIS向SIS的訪問(wèn)以及對(duì)數(shù)據(jù)傳輸進(jìn)行限制,提供協(xié)議、鏈路和應(yīng)用級(jí)保護(hù)。網(wǎng)關(guān)還應(yīng)考慮安全操作系統(tǒng)問(wèn)題,Win2000[4]是一個(gè)可行的選擇。盡管可能還存在一些潛在的漏洞,Win2000依然是目前業(yè)界最安全的操作系統(tǒng)之一。由于SIS僅對(duì)MIS的固定用戶提供服務(wù),同時(shí)考慮到SIS的安全要求,對(duì)網(wǎng)關(guān)的管理可以采取Client/Server方式,這樣雖然在實(shí)現(xiàn)上較Browser/Server方式復(fù)雜一些,但卻具有更強(qiáng)的數(shù)據(jù)操縱和事務(wù)處理能力,以及對(duì)數(shù)據(jù)的安全性和完整性的約束能力。
2.3 防火墻的缺陷
盡管防火墻在很大程度上實(shí)現(xiàn)了內(nèi)部網(wǎng)絡(luò)的安全,但它的以下幾個(gè)致命的缺陷使得單一采用防火墻技術(shù)仍然是不可靠的。
a.無(wú)法防范病毒。雖然防火墻對(duì)流動(dòng)的數(shù)據(jù)包進(jìn)行嚴(yán)格的過(guò)濾,但針對(duì)的是數(shù)據(jù)包的源地址、目的地址和端口號(hào),對(duì)數(shù)據(jù)的內(nèi)容并不掃描,因此對(duì)病毒的侵入無(wú)能為力。
b.無(wú)法防范內(nèi)部攻擊。從防火墻的設(shè)計(jì)思想來(lái)看,防范內(nèi)部攻擊從來(lái)就不是它的任務(wù),它在這方面是一片空白。
c.性能上的限制。防火墻只是按照固定的工作模式來(lái)防范已知的威脅,從這一點(diǎn)來(lái)說(shuō),防火墻雖然“勤懇”,但是過(guò)于“死板”。
所以,安裝了防火墻的系統(tǒng)還需要其他防御手段來(lái)加以充實(shí)。
3 IDS
IDS(入侵檢測(cè)系統(tǒng))是一種主動(dòng)防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng),在功能上彌補(bǔ)了防火墻的缺陷,使整個(gè)安全防御體系更趨完善、可靠。
3.1 入侵檢測(cè)原理與實(shí)踐
IDS以檢測(cè)及控制為基本思想,為網(wǎng)絡(luò)提供實(shí)時(shí)的入侵檢測(cè),并采取相應(yīng)的保護(hù)措施。它的設(shè)計(jì)原理一般是根據(jù)用戶歷史行為建立歷史庫(kù),或者根據(jù)已知的入侵方法建立入侵模式,運(yùn)行時(shí)從網(wǎng)絡(luò)系統(tǒng)的諸多關(guān)鍵點(diǎn)收集信息,并根據(jù)用戶行為歷史庫(kù)和入侵模式加以模式匹配、統(tǒng)計(jì)分析和完整性掃描,以檢測(cè)入侵跡象,尋找系統(tǒng)漏洞。
IDS一般分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS兩種;谥鳈C(jī)的IDS其輸入數(shù)據(jù)來(lái)源于系統(tǒng)的審計(jì)日志,用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器;基于網(wǎng)絡(luò)的IDS輸入數(shù)據(jù)來(lái)源于網(wǎng)絡(luò)的信息流,用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。目前的入侵檢測(cè)產(chǎn)品通常都包括這兩個(gè)部件。
在實(shí)踐中,IDS一般分為監(jiān)測(cè)器和控制臺(tái)兩大部分。為了便于集中管理,一般采用分布式結(jié)構(gòu),用戶在控制臺(tái)管理整個(gè)檢測(cè)系統(tǒng)、設(shè)置監(jiān)測(cè)器的屬性、添加新的檢測(cè)方案、處理警報(bào)等。監(jiān)測(cè)器部署在網(wǎng)絡(luò)中的關(guān)鍵點(diǎn),如內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)、需重點(diǎn)保護(hù)的工作站等,根據(jù)入侵模式檢測(cè)異常行為,當(dāng)發(fā)現(xiàn)入侵時(shí)保存現(xiàn)場(chǎng),并生成警報(bào)上傳控制臺(tái)。
3.2 在電力企業(yè)信息網(wǎng)中運(yùn)用IDS
電力企業(yè)的安全涉及國(guó)家安全和社會(huì)穩(wěn)定,建議盡可能使用國(guó)產(chǎn)檢測(cè)系統(tǒng),如北京中科網(wǎng)威“天眼”入侵檢測(cè)系統(tǒng)清華紫光Unis入侵檢測(cè)系統(tǒng)等,這些產(chǎn)品在技術(shù)上已相當(dāng)成熟,且在不斷升級(jí)。
安裝IDS的關(guān)鍵步驟是部署檢測(cè)器與控制臺(tái)。針對(duì)電力企業(yè)網(wǎng)絡(luò)的特點(diǎn),首先,可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測(cè)器(如圖3所示),以監(jiān)測(cè)異常的入侵企圖。在防火墻與MIS之間部署監(jiān)測(cè)器,以監(jiān)視和分析MIS與外部網(wǎng)絡(luò)的通信流。然后,分別在MIS和SIS中部署一臺(tái)監(jiān)測(cè)器,監(jiān)視各子網(wǎng)的內(nèi)部情況;控制臺(tái)設(shè)置在MIS中。最后,根據(jù)實(shí)際情況為個(gè)別需重點(diǎn)保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測(cè)軟件,保護(hù)重要設(shè)備。
安裝IDS后,更具挑戰(zhàn)性的工作就是有效地運(yùn)行IDS。防火墻在測(cè)試和設(shè)置后便開(kāi)始工作了,而 IDS則不同。IDS提供實(shí)時(shí)檢測(cè)需要管理員“實(shí)時(shí)”地配合,管理員要做好處理各種警報(bào)的準(zhǔn)備工作;在系統(tǒng)發(fā)出警報(bào)時(shí)要判斷是否誤報(bào),正確處理警報(bào),決定是否關(guān)閉系統(tǒng)或是繼續(xù)監(jiān)視入侵者以收集證據(jù)等,都需要管理員就地解決。只有管理員及時(shí)采取恰當(dāng)?shù)奶幚矸椒,才能真正發(fā)揮IDS的功效。
圖3 IDS 分布式布置
4 安全體系的運(yùn)作與后期擴(kuò)充
雖然防火墻的防護(hù)是被動(dòng)的,而IDS是實(shí)時(shí)的,但安全體系(包括各單一主機(jī)自身的安全體系)是作為一個(gè)整體協(xié)同運(yùn)作的。目前的主機(jī)和網(wǎng)絡(luò)設(shè)備都具有完備的安全審計(jì)功能,IDS可以充分利用系統(tǒng)的網(wǎng)絡(luò)日志文件作為必要的數(shù)據(jù)來(lái)源,而當(dāng) IDS發(fā)現(xiàn)可疑行為時(shí)又需要其他主機(jī)或防火墻采取相應(yīng)的保護(hù)措施,例如通知防火墻對(duì)可疑IP地址發(fā)來(lái)的數(shù)據(jù)包進(jìn)行過(guò)濾等。
當(dāng)然,從技術(shù)方面來(lái)說(shuō),網(wǎng)絡(luò)安全所涉及的范圍是相當(dāng)廣泛的,包括安全的操作系統(tǒng)、防火墻、安全審計(jì)、入侵檢測(cè)、身份認(rèn)證、信息加密、安全掃描、災(zāi)難恢復(fù)等。防火墻結(jié)合IDS只是形成了安全體系基本內(nèi)容,還需要在系統(tǒng)運(yùn)行中運(yùn)用多種技術(shù)不斷充實(shí)安全體系的功能,例如在系統(tǒng)中配置掃描器,定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和查找漏洞,升級(jí)防火墻或者向IDS中添加新的攻擊方式等。同時(shí),任何防御體系都不可能保證系統(tǒng)的絕對(duì)安全,必須不斷提高系統(tǒng)管理人員的技術(shù)水平,密切關(guān)注網(wǎng)絡(luò)安全的發(fā)展動(dòng)態(tài),及時(shí)升級(jí)網(wǎng)絡(luò)防御系統(tǒng),提高系統(tǒng)的防御能力。
5 結(jié)語(yǔ)
當(dāng)前,電力企業(yè)正以原有設(shè)施為基礎(chǔ),構(gòu)建企業(yè)與電力公司、企業(yè)與企業(yè)間的信息網(wǎng)絡(luò),網(wǎng)絡(luò)安全是一個(gè)不可忽視的問(wèn)題。防火墻與入侵檢測(cè)技術(shù)相結(jié)合,為網(wǎng)絡(luò)安全體系提供了一個(gè)良好的基礎(chǔ),對(duì)保障系統(tǒng)安全發(fā)揮不可忽視的作用。當(dāng)然,完備的安全體系還需要其他多種安全技術(shù)從功能上進(jìn)一步完善,同時(shí),安全問(wèn)題不僅是一個(gè)技術(shù)問(wèn)題,也是一個(gè)系統(tǒng)工程,需從組織管理、法律規(guī)范等多方面予以支持。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:防火墻和入侵檢測(cè)系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用
本文網(wǎng)址:http://www.ezxoed.cn/html/support/1112158382.html