任驥

（中國電能成套設(shè)備有限公司 北京市 100080）

在電力信息化行業(yè)網(wǎng)絡(luò)中，包含了豐富的系統(tǒng)及應(yīng)用，對(duì)于不同的設(shè)備而言，其開發(fā)技術(shù)、內(nèi)部結(jié)構(gòu)、系統(tǒng)設(shè)置以及接口類型均存在較大的差異，將這些設(shè)備集成在一起，難免會(huì)出現(xiàn)漏洞，一旦有不法分子發(fā)現(xiàn)這些漏洞，就會(huì)將其作為突破口，對(duì)行業(yè)網(wǎng)絡(luò)進(jìn)行攻擊。在網(wǎng)絡(luò)安全防御技術(shù)中，傳統(tǒng)的防御技術(shù)無法實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)監(jiān)管，而且無法對(duì)系統(tǒng)所在的環(huán)境進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估，而主動(dòng)防御技術(shù)在這方面具有明顯的優(yōu)勢(shì)，不但可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的檢測(cè)，而且能夠主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中的危害因素，并將其清除，有利于電力信息化行業(yè)網(wǎng)絡(luò)安全性的提升。

1 電力信息化建設(shè)的意義

在我國的能源戰(zhàn)略部署中，智能電網(wǎng)的建設(shè)是重要組成部分，因此，電力信息化建設(shè)的意義主要體現(xiàn)在以下幾個(gè)方面：

（1）我國已經(jīng)將電網(wǎng)智能化納入能源戰(zhàn)略部署中。

（2）電力信息化建設(shè)能夠促進(jìn)電網(wǎng)智能化的順利實(shí)現(xiàn)。

（3）將信息化建設(shè)與電力行業(yè)高度融合，能夠體現(xiàn)出智能電網(wǎng)的建設(shè)必要性。

電力信息化建設(shè)能夠?qū)﹄娏π袠I(yè)各類不同業(yè)務(wù)中的應(yīng)用系統(tǒng)進(jìn)行整合，實(shí)現(xiàn)智能電網(wǎng)中所有業(yè)務(wù)在應(yīng)用方面的互通與互聯(lián)，形成一套完善的業(yè)務(wù)系統(tǒng)以及高效的信息體系，整合電力流、信息流以及業(yè)務(wù)流，進(jìn)一步促進(jìn)工作效率的提升，滿足所有電力用戶的需求。電力信息化建設(shè)是一項(xiàng)勢(shì)在必行的工作，只有做好這項(xiàng)工作，才能促進(jìn)智能電網(wǎng)的實(shí)現(xiàn)。與此同時(shí)，電力信息化建設(shè)也是提高電力企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的關(guān)鍵因素，對(duì)于傳統(tǒng)電力企業(yè)的改造以及產(chǎn)業(yè)結(jié)構(gòu)的調(diào)整與升級(jí)具有十分重要的意義。

2 電力信息化行業(yè)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)的意義

在目前的電力信息化行業(yè)網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全引起了更多人的重視，為了有效的提高電力信息化行業(yè)網(wǎng)絡(luò)安全性，有必要應(yīng)用主動(dòng)防御技術(shù)，這項(xiàng)技術(shù)的應(yīng)用也是當(dāng)前階段的重要工作。在以往的電力行業(yè)網(wǎng)絡(luò)安全防御工作中，雖然引起了足夠地重視，但有時(shí)這類網(wǎng)絡(luò)安全防御工作通常相對(duì)滯后，具有明顯的應(yīng)激性防御的特點(diǎn)，因此，電力信息化行業(yè)網(wǎng)絡(luò)安全也很難得到保障，無法保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行，容易存在嚴(yán)重的安全隱患，帶來不必要的損失。為了改變這種情況，我們需要改變以往的網(wǎng)絡(luò)安全防御模式，積極應(yīng)用主動(dòng)防御技術(shù)，充分發(fā)揮主動(dòng)防御技術(shù)的優(yōu)勢(shì)，提高網(wǎng)絡(luò)安全防御的預(yù)防性，針對(duì)網(wǎng)絡(luò)中可能存在的安全問題進(jìn)行預(yù)判與評(píng)估，以便獲得更好的防御效果，進(jìn)一步提高電力信息化行業(yè)網(wǎng)絡(luò)安全性。與此同時(shí)，隨著電力信息化建設(shè)的不斷進(jìn)行，電力信息化行業(yè)網(wǎng)絡(luò)中的應(yīng)用數(shù)量不斷增加，不但涉及更多的軟件，而且與更多類型的硬件設(shè)備相關(guān)，因此對(duì)網(wǎng)絡(luò)安全管理工作提出了更高的要求。在不同的硬件設(shè)備中，應(yīng)用的開發(fā)技術(shù)與接口存在明顯的差異，將這些硬件設(shè)備加入到電力信息化行業(yè)網(wǎng)絡(luò)中，容易出現(xiàn)網(wǎng)絡(luò)結(jié)構(gòu)混亂的現(xiàn)象，進(jìn)而造成網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)漏洞，產(chǎn)生嚴(yán)重的安全隱患。因此，在電力信息化行業(yè)網(wǎng)絡(luò)安全防御工作中，有必要應(yīng)用主動(dòng)防御技術(shù)，通過主動(dòng)出擊的方式，對(duì)網(wǎng)絡(luò)系統(tǒng)中出現(xiàn)的漏洞進(jìn)行有效的規(guī)避。

3 電力信息化行業(yè)網(wǎng)絡(luò)安全威脅

在電力信息化行業(yè)網(wǎng)絡(luò)的運(yùn)行過程中，需要運(yùn)行大量的軟件，如果這些軟件中存在漏洞，就會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)造成安全威脅，一般情況下，電力信息化行業(yè)網(wǎng)絡(luò)安全威脅主要包括以下幾個(gè)方面：

3.1 病毒威脅

在電力信息化行業(yè)網(wǎng)絡(luò)中，如果其中的軟硬件被病毒入侵，就會(huì)受到惡意訪問，不但會(huì)使重要信息泄露，而且會(huì)對(duì)電力系統(tǒng)的運(yùn)行安全性造成不利影響。例如，勒索病毒的入侵。勒索病毒是一種變異式木馬，如果勒索病毒入侵到電力通信網(wǎng)絡(luò)中，就會(huì)組織用戶對(duì)文件系統(tǒng)進(jìn)行訪問。我們目前遇到的勒索病毒主要分為加密型和鎖定型量大類，如果發(fā)生勒索病毒入侵，不但會(huì)帶來巨大的經(jīng)濟(jì)損失，而且會(huì)對(duì)數(shù)據(jù)資源的安全性造成不利影響。

3.2 惡意攻擊威脅

隨著電力信息化行業(yè)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，系統(tǒng)中包含大量的軟件數(shù)據(jù)以及用戶的隱私信息，如果網(wǎng)絡(luò)受到惡意攻擊，不但會(huì)泄露用戶的隱私信息，而且會(huì)造成合法用戶不能對(duì)網(wǎng)絡(luò)進(jìn)行正常訪問，對(duì)電力通訊數(shù)據(jù)的共享造成不利影響。例如，DDOS 攻擊能夠利用多用戶多并發(fā)程序在短時(shí)間內(nèi)占用網(wǎng)絡(luò)的帶寬資源、通信資源以及CPU 資源，進(jìn)而造成合法用戶不能正常訪問服務(wù)器，大幅度降低網(wǎng)絡(luò)系統(tǒng)的處理效率。

3.3 數(shù)據(jù)竊取威脅

在電力信息化行業(yè)網(wǎng)絡(luò)的運(yùn)行過程中，如果遭遇數(shù)據(jù)竊取威脅，就會(huì)導(dǎo)致重要數(shù)據(jù)泄露，其中包括大量的機(jī)密數(shù)據(jù)，一旦這些數(shù)據(jù)泄露，就會(huì)造成巨大的經(jīng)濟(jì)損失，與此同時(shí)，如果重要數(shù)據(jù)因丟失或損壞導(dǎo)致無法恢復(fù)，就會(huì)對(duì)用戶數(shù)據(jù)安全性造成不利影響。

4 網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)分類

在網(wǎng)絡(luò)安全防御技術(shù)中，主動(dòng)防御技術(shù)主要分為以下幾種類型：

4.1 陷阱技術(shù)

陷阱技術(shù)主要分為蜜罐技術(shù)與蜜網(wǎng)技術(shù)，其中蜜罐技術(shù)是指故意為自身的蜜罐系統(tǒng)設(shè)置一個(gè)明顯的漏洞，用于誘騙攻擊者。在這種技術(shù)的應(yīng)用過程中，系統(tǒng)需要模擬容易受到攻擊的主機(jī)，使其成為攻擊者的攻擊目標(biāo)。蜜罐系統(tǒng)本身不存在任何有價(jià)值的服務(wù)于數(shù)據(jù)，因此，一旦出現(xiàn)鏈接蜜罐系統(tǒng)的動(dòng)作，就會(huì)將其判定為不正常動(dòng)作，在受到攻擊后，系統(tǒng)會(huì)試圖拖延攻擊者，同時(shí)追蹤攻擊源頭，找到相應(yīng)的線索并向管理員發(fā)送。而蜜網(wǎng)技術(shù)則能夠模擬出存在嚴(yán)重漏洞的網(wǎng)絡(luò)系統(tǒng)，對(duì)攻擊者進(jìn)行誘惑，與此同時(shí)，還可以獲取攻擊者的所有信息，其中包括他們的攻擊計(jì)劃、使用的工具以及攻擊最終目的等，這些信息可以應(yīng)用到分析、研究以及學(xué)習(xí)中。一般情況下，蜜網(wǎng)技術(shù)的功能主要分為以下三個(gè)方面：

（1）實(shí)現(xiàn)信息控制。對(duì)于頻繁攻擊主機(jī)并且產(chǎn)生威脅的攻擊者進(jìn)行信息控制，有效的降低系統(tǒng)安全威脅。

（2）實(shí)現(xiàn)信息捕獲。研究攻擊者的行為信息以及攻擊路徑，獲取攻擊者的來源、動(dòng)機(jī)以及攻擊計(jì)劃等。

（3）收集相關(guān)信息。對(duì)于相關(guān)信息的收集，能夠?qū)Ψ菃我幻劬W(wǎng)中存在的問題進(jìn)行處理，從中收集獲取數(shù)據(jù)。

4.2 取證技術(shù)

在網(wǎng)絡(luò)安全防御技術(shù)中，取證技術(shù)是指在網(wǎng)絡(luò)系統(tǒng)被入侵后對(duì)入侵信息進(jìn)行分析與取證，這項(xiàng)技術(shù)可以分為靜態(tài)取證技術(shù)與動(dòng)態(tài)取證技術(shù)。其中靜態(tài)取證技術(shù)會(huì)在網(wǎng)絡(luò)系統(tǒng)受到攻擊后應(yīng)用一系列的技術(shù)進(jìn)行入侵痕跡的取證與分析。但是，在攻擊者完成對(duì)網(wǎng)絡(luò)系統(tǒng)的入侵后，經(jīng)常會(huì)對(duì)系統(tǒng)進(jìn)行全面的清理，因此，取證的過程需要應(yīng)用耗費(fèi)大量的時(shí)間，并且取證難度較大。在攻擊者入侵網(wǎng)絡(luò)系統(tǒng)的過程中，靜態(tài)取證技術(shù)能夠?qū)?shù)據(jù)進(jìn)行提取與分析，將有效成分保留下來。在這種技術(shù)的應(yīng)用過程中，需要使用多種工具，采用復(fù)雜的方法實(shí)現(xiàn)數(shù)據(jù)的復(fù)制、分析以及恢復(fù)。也可以建立一個(gè)單位的硬盤鏡像，避免出現(xiàn)數(shù)據(jù)被改寫的現(xiàn)象，能夠?qū)﹄娮幼C據(jù)進(jìn)行有效的保護(hù)。而動(dòng)態(tài)取證技術(shù)是在靜態(tài)取證技術(shù)基礎(chǔ)上的進(jìn)一步發(fā)展與創(chuàng)新，靜態(tài)取證技術(shù)能夠?qū)崿F(xiàn)某一時(shí)間點(diǎn)的數(shù)據(jù)信息分析與取證，而動(dòng)態(tài)取證技術(shù)則能夠?qū)?shù)據(jù)信息進(jìn)行實(shí)時(shí)分析與取證。與此同時(shí)，動(dòng)態(tài)取證技術(shù)的應(yīng)用能夠?qū)粽叩膭?dòng)作進(jìn)行分析，并作出相應(yīng)的回應(yīng)，通過對(duì)自身的數(shù)據(jù)分析，將攻擊者的鏈接切斷，也可以為其設(shè)置陷阱，使攻擊者進(jìn)入更深的層次，并在這個(gè)過程中獲取攻擊者的信息。一旦有攻擊者攻擊了利用動(dòng)態(tài)取證技術(shù)設(shè)置的網(wǎng)絡(luò)系統(tǒng)，動(dòng)態(tài)取證技術(shù)就會(huì)記錄下攻擊者對(duì)文件的改動(dòng)與傳輸?shù)人袆?dòng)作。根據(jù)這些記錄，我們可以恢復(fù)數(shù)據(jù)，并將這些記錄傳遞至取證機(jī)。除此以外，動(dòng)態(tài)取證技術(shù)還能夠?qū)⑾嚓P(guān)記錄取出，將其與網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行對(duì)比分析，對(duì)攻擊者的信息進(jìn)行追蹤，獲取攻擊的形式、來源以及攻擊程度等，同時(shí)制定合理的反擊策略，獲得更好的防御效果。

5 電力信息化行業(yè)網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)的應(yīng)用

在電力信息化行業(yè)網(wǎng)絡(luò)運(yùn)行過程中，主動(dòng)防御技術(shù)的應(yīng)用主要體現(xiàn)在以下幾個(gè)方面：

5.1 采集網(wǎng)絡(luò)數(shù)據(jù)

在電力信息化行業(yè)網(wǎng)絡(luò)中，存儲(chǔ)了大量的數(shù)據(jù)，這些數(shù)據(jù)的來源復(fù)雜，大部分存儲(chǔ)在應(yīng)用程序以及相應(yīng)的數(shù)據(jù)庫中。與此同時(shí)，這些數(shù)據(jù)的傳輸形式也比較豐富，可以通過硬件交換機(jī)、服務(wù)器等途徑實(shí)現(xiàn)數(shù)據(jù)傳輸，對(duì)于網(wǎng)絡(luò)數(shù)據(jù)的采集，需要從多個(gè)方面共同入手，并且對(duì)應(yīng)用技術(shù)的靈活性提出了較高的要求。因此，我們可以從數(shù)據(jù)源頭、數(shù)據(jù)傳輸過程以及數(shù)據(jù)存儲(chǔ)位置對(duì)其進(jìn)行采集。在獲得這些數(shù)據(jù)信息后，需要對(duì)其進(jìn)行分類整理，根據(jù)采集數(shù)據(jù)的實(shí)際情況制定不同的類型，再將其存儲(chǔ)到病毒數(shù)據(jù)庫中，路徑的設(shè)計(jì)可以參考時(shí)間順序，最近采集的數(shù)據(jù)可以存儲(chǔ)在優(yōu)先訪問的位置，通過這種方式，能夠快速、實(shí)時(shí)的獲取數(shù)據(jù)信息，并對(duì)數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)分析。

5.2 分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

在完成網(wǎng)絡(luò)數(shù)據(jù)采集后，需要對(duì)這些數(shù)據(jù)進(jìn)行適當(dāng)?shù)姆治雠c處理，建立起風(fēng)險(xiǎn)數(shù)據(jù)矩陣，并從以下兩個(gè)方面對(duì)其進(jìn)行分析：

（1）通過數(shù)據(jù)來源進(jìn)行分析。

（2）對(duì)風(fēng)險(xiǎn)考量指標(biāo)進(jìn)行分析。

根據(jù)指標(biāo)對(duì)其進(jìn)行衡量，判斷其是否存在被攻擊的風(fēng)險(xiǎn)，并確定風(fēng)險(xiǎn)指數(shù)。在安全風(fēng)險(xiǎn)分析中，需要應(yīng)用多種數(shù)據(jù)挖掘技術(shù)，在選擇這些技術(shù)的過程中，必須堅(jiān)持風(fēng)險(xiǎn)最小化原則，實(shí)現(xiàn)對(duì)數(shù)據(jù)的挖掘與分析，為提高網(wǎng)絡(luò)系統(tǒng)的安全性提供有價(jià)值的參考。

5.3 評(píng)估網(wǎng)絡(luò)安全

在對(duì)網(wǎng)絡(luò)安全進(jìn)行評(píng)估的過程中，可以將其評(píng)估為優(yōu)秀、良好、一般、輕度、重度幾個(gè)對(duì)應(yīng)級(jí)別。其中優(yōu)秀級(jí)別是指在對(duì)所有軟硬件數(shù)據(jù)進(jìn)行分析后，沒有發(fā)現(xiàn)安全威脅，不存在明顯的漏洞，可以保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。良好級(jí)別是指在對(duì)所有軟硬件數(shù)據(jù)進(jìn)行分析后，軟硬件狀態(tài)良好，可能存在一些不穩(wěn)定因素，需要偶爾對(duì)其進(jìn)行相應(yīng)的檢測(cè)。一般級(jí)別是指是指在對(duì)所有軟硬件數(shù)據(jù)進(jìn)行分析后，軟硬件設(shè)施基本可以正常運(yùn)行，但需要采取動(dòng)態(tài)監(jiān)控措施，確保網(wǎng)絡(luò)系統(tǒng)不會(huì)受到安全威脅。輕度級(jí)別是指是指在對(duì)所有軟硬件數(shù)據(jù)進(jìn)行分析后，網(wǎng)絡(luò)系統(tǒng)中已經(jīng)存在一定的風(fēng)險(xiǎn)因素，可能存在明顯的漏洞或數(shù)據(jù)故障，需要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的保護(hù)措施。重度級(jí)別是指是指在對(duì)所有軟硬件數(shù)據(jù)進(jìn)行分析后，確定其中存在明顯的漏洞，并且已經(jīng)發(fā)生嚴(yán)重的病毒入侵，對(duì)網(wǎng)路系統(tǒng)的正常運(yùn)行造成嚴(yán)重的阻礙。

5.4 實(shí)現(xiàn)安全防御

對(duì)于網(wǎng)絡(luò)安全主動(dòng)防御技術(shù)而言，安全防御是最重要的功能，可以對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全防御。網(wǎng)絡(luò)數(shù)據(jù)的采集、分析以及評(píng)估，只能夠在網(wǎng)絡(luò)系統(tǒng)沒有收到攻擊時(shí)進(jìn)行有效的預(yù)防，降低網(wǎng)絡(luò)系統(tǒng)受到攻擊的風(fēng)險(xiǎn)，找到危害網(wǎng)絡(luò)安全的因素。然而，在網(wǎng)絡(luò)系統(tǒng)受到攻擊后，主動(dòng)防御技術(shù)才能充分發(fā)揮其安全防御作用。主動(dòng)防御技術(shù)擁有完整的防御功能，并分為多個(gè)層次。具體包括以下幾個(gè)：

（1）訪問控制列表。配合對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行分析的結(jié)果，能夠限制一些頻繁攻擊系統(tǒng)的用戶訪問服務(wù)器，降低系統(tǒng)中重要數(shù)據(jù)被竊取的幾率。

（2）Web 安全服務(wù)器。具有強(qiáng)大的防御過濾功能，能夠自行分析所有數(shù)據(jù)協(xié)議，如果發(fā)現(xiàn)數(shù)據(jù)存在安全風(fēng)險(xiǎn)，就會(huì)將分析報(bào)告發(fā)送給殺毒軟件。

（3）殺毒軟件。殺毒軟件在受到安全服務(wù)器的分析報(bào)告后，可以根據(jù)報(bào)告內(nèi)容對(duì)病毒進(jìn)行查殺，有效的清除病毒對(duì)網(wǎng)絡(luò)系統(tǒng)的威脅。

此外，安全防御系統(tǒng)可以對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，如果發(fā)現(xiàn)可能對(duì)網(wǎng)絡(luò)系統(tǒng)安全造成影響的不穩(wěn)定因素，就會(huì)采取以上步驟進(jìn)行處理。

6 結(jié)束語

總而言之，在電力行業(yè)的發(fā)展過程中，電力信息化行業(yè)網(wǎng)絡(luò)發(fā)揮著重要作用，為了保證網(wǎng)絡(luò)安全，我們需要積極的應(yīng)用主動(dòng)防御技術(shù)，建立完善的安全防御機(jī)制，才能有效的安全防御措施，充分發(fā)揮主動(dòng)防御技術(shù)的優(yōu)勢(shì)，保證電力信息化行業(yè)網(wǎng)絡(luò)的正常運(yùn)行。