0 引 言

作為我國社會經(jīng)濟發(fā)展的重要支柱產(chǎn)業(yè)，電力企業(yè)擁有豐富的網(wǎng)絡(luò)信息資源。在高風險的網(wǎng)絡(luò)信息系統(tǒng)中，電力系統(tǒng)的許多工作與網(wǎng)絡(luò)密切相關(guān)。筆者將著重分析傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)的入侵模式和我國電力系統(tǒng)存在的網(wǎng)絡(luò)安全風險，討論入侵檢測技術(shù)在電網(wǎng)安全維護中的意義和應(yīng)用。

1 新型電力系統(tǒng)防誘騙設(shè)置的必要性

近年來，隨著計算機技術(shù)應(yīng)用范圍的不斷擴大，電力類企業(yè)已廣泛采用電力系統(tǒng)防誘騙這種新型技術(shù)手段。運用微機與網(wǎng)絡(luò)系統(tǒng)防誘騙模式，工程師可以開發(fā)自動調(diào)度系統(tǒng)、網(wǎng)絡(luò)通信控制系統(tǒng)、網(wǎng)絡(luò)能量控制系統(tǒng)、控制報文系統(tǒng)和網(wǎng)絡(luò)用戶服務(wù)系統(tǒng)，并將這些應(yīng)用系統(tǒng)連接到廣域電網(wǎng)。

當前，以數(shù)據(jù)為基礎(chǔ)的網(wǎng)絡(luò)，在整個電力系統(tǒng)網(wǎng)絡(luò)安全防誘騙中凸顯了相應(yīng)的價值，已成為電網(wǎng)不可替代的組成部分[1]。然而，全國和地方電網(wǎng)易遭受人為和自然的多重威脅，這決定了電網(wǎng)本身的脆弱性。若電網(wǎng)存儲信息出現(xiàn)問題，會引發(fā)電力領(lǐng)域的災(zāi)難，給電力用戶帶來極大損失。因此，電力網(wǎng)絡(luò)安全需要進行高層次的約束，要求研究人員對電力網(wǎng)絡(luò)安全與電力信息安全進行更加深入的討論。例如，學者應(yīng)分析數(shù)據(jù)管理和控制的總體狀況，對企業(yè)電網(wǎng)建設(shè)和分級監(jiān)控提出相應(yīng)的優(yōu)化措施，保證整個電網(wǎng)的穩(wěn)定。一些學者也提出了一種構(gòu)建安全屬性網(wǎng)格的全新方法，即將入侵者檢查與防火墻的管理和控制結(jié)合起來[2]。此外，也應(yīng)提出穩(wěn)定電網(wǎng)的具體模式，結(jié)合市場上通用的安全保障策略與電網(wǎng)電量計量規(guī)則方案，總結(jié)出以防誘騙為主的解決電網(wǎng)安全隱患的各種辦法，并采用不同類型的技術(shù)來應(yīng)對網(wǎng)格中的各個層次。

2 電力網(wǎng)絡(luò)安全防御體系設(shè)計

相關(guān)人員應(yīng)深入分析防誘騙電力系統(tǒng)的安全理論與主動防御系統(tǒng)的具體操作實踐，力求設(shè)置一個基于主動誘騙策略的網(wǎng)絡(luò)安全防御系統(tǒng)，規(guī)范有價值的模塊與功能。

2.1 主動誘騙防御系統(tǒng)

電力網(wǎng)絡(luò)安全防御系統(tǒng)是以網(wǎng)絡(luò)安全為一個操作系統(tǒng)，依據(jù)現(xiàn)有的安全管理策略和相應(yīng)的制度設(shè)計與檢測工具，設(shè)置并開發(fā)IDS管理入侵行為控制微系統(tǒng)的主動型防誘騙體系的結(jié)構(gòu)。其具體結(jié)構(gòu)如圖1所示。

主動型防誘騙電網(wǎng)安全防御系統(tǒng)的CPU是DIS入侵行為控制的一個下屬子系統(tǒng)，其主要功能是協(xié)調(diào)各子系統(tǒng)的關(guān)系。在具體操作過程中，應(yīng)注意以下幾點。第一，應(yīng)加強對入侵檢測子系統(tǒng)，對網(wǎng)絡(luò)上出現(xiàn)的特殊情況進行有力監(jiān)控[3]；第二，如發(fā)現(xiàn)不正常的入侵行為或可疑的情形，應(yīng)該結(jié)合檢測特征加強對系統(tǒng)性指令的布告，從而監(jiān)測與管理定向子系統(tǒng)；第三，要根據(jù)測試結(jié)果向目標系統(tǒng)報告，并監(jiān)控可疑行為；第四，應(yīng)將復制好的數(shù)據(jù)傳輸?shù)椒勒T騙電力網(wǎng)絡(luò)安全子系統(tǒng)。在遇到黑客攻擊時，防入侵的定向化微平臺會根據(jù)設(shè)計好的指令制止入侵者，并加強與目標系統(tǒng)的聯(lián)系，將關(guān)鍵信息傳達到誘騙方面的子系統(tǒng)[4]。

在安全防御系統(tǒng)運作期間，如遇可疑情況，會直接發(fā)布指令至服務(wù)器，網(wǎng)絡(luò)安全誘騙主機會作出科學的數(shù)據(jù)回應(yīng)，對可疑的情形展開分析。如確認為入侵行為，服務(wù)器會在監(jiān)視下實施攻擊，入侵記錄子系統(tǒng)也會詳細記錄系統(tǒng)的所有活動。

2.2 主動誘騙的保護功能

主動誘騙型網(wǎng)絡(luò)安全防御系統(tǒng)的頂層與基礎(chǔ)設(shè)計是最重要的核心技術(shù)。對其進行系統(tǒng)研究，有助于提升電網(wǎng)的防攻擊能力。加強主動誘騙系統(tǒng)安全保護功能的開發(fā)與研究力度，已刻不容緩。

科學創(chuàng)設(shè)防誘騙電力系統(tǒng)的物理環(huán)境，設(shè)置好科學的系統(tǒng)隔離層以及監(jiān)控化的主機操作系統(tǒng)，是主動型誘騙保護系統(tǒng)構(gòu)建的主要內(nèi)容。鑒于防誘騙系統(tǒng)環(huán)境下的外來入侵口令有著偽裝且不易被發(fā)現(xiàn)的特點，應(yīng)加強對防入侵和能查偽系統(tǒng)的研究和電網(wǎng)安全的保護力度。通常，要求系統(tǒng)提供安全的Web服務(wù)、遠程的FTP服務(wù)、管理化的Telnet服務(wù)、IP監(jiān)控的DNS服務(wù)以及安全有效的文件與郵件服務(wù)[5]。

防誘騙保護系統(tǒng)利用誘騙機制建立系統(tǒng)隔離層，充當誘騙環(huán)境與系統(tǒng)內(nèi)核之間的接口，使得誘騙環(huán)境中實施的行為不能直接訪問系統(tǒng)內(nèi)核，因此具有良好的隔離作用[6]。此外，由于防誘騙的系統(tǒng)平臺與系統(tǒng)內(nèi)核之間有相應(yīng)的端口連接，在防誘騙情境下，要加強對不安全誘騙系統(tǒng)行為的管理與監(jiān)測，形成智慧型防誘騙系統(tǒng)。

防誘騙保護系統(tǒng)可以保護控制程序的連接。限制誘騙系統(tǒng)的異化連接或被黑客攻擊，要求規(guī)范設(shè)置連接控制程序。為了防止有人以誘騙系統(tǒng)為中介攻擊其他良好的電力系統(tǒng)，應(yīng)對連接系統(tǒng)進行科學設(shè)計、反復論證和常態(tài)試驗，等功能完善后再推廣到電力系統(tǒng)中使用，從而確保電力網(wǎng)絡(luò)的安全。采用連接控制方法能夠設(shè)置靜態(tài)型IP地址，控制電力網(wǎng)絡(luò)的連接頻率閥值，管理并計算好連接出現(xiàn)斷開的次數(shù)。Dynamic CIPtable Serit PS系統(tǒng)是一種用來檢查相關(guān)誘騙主機外部聯(lián)系的系統(tǒng)，若發(fā)現(xiàn)問題會自動報警，自動管理，斷開不安全的連接，促使不安全攻擊行為難以實現(xiàn)。同時，連接控制系統(tǒng)信息可以記錄所有外部連接和傳出連接，這些數(shù)據(jù)是誘騙系統(tǒng)進行攻擊分析和源分析的基礎(chǔ)。

在電網(wǎng)安全防御系統(tǒng)中存儲遠程日志和運行syslog服務(wù)，可以有效進行主動誘騙型保護。訪問日志數(shù)據(jù)采用的是改進后的推挽技術(shù)。當監(jiān)視器檢測到事件發(fā)生時，會將加密的事件監(jiān)視信息作為流定信息廣播到日志服務(wù)器[7]。當日志服務(wù)器需要獲取最新數(shù)據(jù)時，可使用查詢事件生成器進行反饋。管理日志服務(wù)器即是優(yōu)化數(shù)據(jù)收集，屏蔽不安全的遠程日志的介入。

防誘騙保護系統(tǒng)可以優(yōu)化遠程管理及安全控制。該系統(tǒng)利用隔離層的相關(guān)端口加強監(jiān)視，收集證據(jù)，實施進一步跟蹤，并做好記錄工作，結(jié)合警報，實現(xiàn)全方位優(yōu)化管理。利用此平臺系統(tǒng)，管理員能夠優(yōu)化相關(guān)組件的數(shù)據(jù)設(shè)置，加強安全布置，升級系統(tǒng)，做到及時查看并處理相應(yīng)事件。

2.3 主動誘騙型電力網(wǎng)絡(luò)安全防御系統(tǒng)的結(jié)構(gòu)

根據(jù)電網(wǎng)的安全拓撲程序，規(guī)范主動型誘騙電網(wǎng)，需要加強相應(yīng)邏輯算法的優(yōu)化設(shè)計，促進結(jié)構(gòu)化設(shè)計的實施。在電力網(wǎng)絡(luò)安全防御體系中，外部防火墻是第一道防線。由于大多數(shù)外部入侵是孤立的，可同時實現(xiàn)入侵檢測和入侵重定向?？紤]到防火墻的性能，應(yīng)利用IDS的日志函數(shù)記錄防火墻外部的入侵行為，且不要做太多的日志記錄。

網(wǎng)絡(luò)IDS系統(tǒng)可對電網(wǎng)中所有類型的數(shù)據(jù)實施全方位的實時監(jiān)控。該系統(tǒng)是以“寬進而嚴出”的理念運行的?！皩掃M”的目的是使系統(tǒng)搜索到更多的證據(jù)來阻止并清除誘騙的惡意程序，“嚴出”則指加大對攻擊系統(tǒng)漏洞的黑客的管制力度。

3 結(jié) 論

防主動誘騙的電網(wǎng)安全與控制系統(tǒng)不僅能抵抗電網(wǎng)外的各種因素，還可以抵抗電網(wǎng)中常態(tài)化的的小微型攻擊。同時，這種防誘騙電力網(wǎng)絡(luò)安全管理策略的運用，可以彌補現(xiàn)有的檢測漏洞與不成熟的防火墻技術(shù)，有效修復現(xiàn)有的電網(wǎng)控制漏洞，使電網(wǎng)全面發(fā)揮自保功能，安全保障水平得到提升。