云南電網(wǎng)有限責(zé)任公司信息中心 張振紅

在互聯(lián)網(wǎng)及計算機(jī)技術(shù)應(yīng)用與普及的社會環(huán)境下，網(wǎng)絡(luò)病毒、木馬的存在對網(wǎng)絡(luò)安全帶來了一定威脅。多年來，科研機(jī)構(gòu)的專家學(xué)者不斷優(yōu)化與改進(jìn)病毒、木馬的抵御方法，可通過入侵防御系統(tǒng)端口阻斷、防火墻側(cè)細(xì)粒度數(shù)據(jù)包過濾、主機(jī)側(cè)殺毒軟件查殺等多種方法檢測與抵御這些安全威脅入侵，然而由于病毒及木馬技術(shù)不斷升級，隱蔽性不斷增強(qiáng)、攻擊范圍持續(xù)拓展，以被動防御形式為主的傳統(tǒng)防御工具檢測不夠及時、抵御效果不佳，需通過主動防御系統(tǒng)的層次深化、智能性提升，實現(xiàn)病毒及木馬的及時發(fā)現(xiàn)與消除。

1 新時期背景下計算機(jī)網(wǎng)絡(luò)安全所面臨的攻防新趨勢

終端或系統(tǒng)存在漏洞、后門被預(yù)先植入。在計算機(jī)網(wǎng)絡(luò)技術(shù)規(guī)?；瘧?yīng)用的過程中，病毒傳播方式不斷演變，誕生了多種新型攻擊方式。由于受到計算機(jī)終端應(yīng)用人員自身安全意識不足、管理制度不夠完善的影響，或是系統(tǒng)中被預(yù)先植入后門，均會導(dǎo)致計算機(jī)暴露出更多的漏洞，攻擊者無需耗費精力查找便可通過漏洞攻擊計算機(jī)服務(wù)系統(tǒng)。

攻擊方式功能化發(fā)展、攻擊門檻逐步降低。計算機(jī)誕生與發(fā)展過程中，計算機(jī)技術(shù)學(xué)習(xí)熱潮逐步掀起，誕生了大批量掌握尖端網(wǎng)絡(luò)技術(shù)的計算機(jī)人才，不同功能的工具軟件被不斷研發(fā)，同時也誕生了多種多樣的網(wǎng)絡(luò)工具，過去必須由專業(yè)技術(shù)人員實施的網(wǎng)絡(luò)攻擊門檻逐步降低，呈現(xiàn)出了平民化與低齡化的網(wǎng)絡(luò)攻擊發(fā)展態(tài)勢。

攻擊方式持續(xù)增長、主動反擊能力不足。當(dāng)今時代所誕生的網(wǎng)絡(luò)攻擊軟件不斷向智能化方向演變，誕生了多種新型計算機(jī)網(wǎng)絡(luò)攻擊方式，傳統(tǒng)的防御技術(shù)只能被動性防御，在攻擊者攻擊發(fā)起之后才可進(jìn)行漏洞查找與修復(fù)，并不能事先預(yù)防與抵御攻擊者的攻擊行為。主是要以軟件特征實施檢測，難以精準(zhǔn)、有效辨識出新型攻擊方式，無法通過主動反擊而在網(wǎng)絡(luò)攻防戰(zhàn)中占據(jù)有利地位。

2 網(wǎng)絡(luò)安全主動防御系統(tǒng)的構(gòu)建優(yōu)勢

預(yù)判攻擊形勢、實現(xiàn)主動防御。主動性是主動防御系統(tǒng)的優(yōu)勢所在，可通過已出現(xiàn)的網(wǎng)絡(luò)攻擊方式及攻擊渠道對網(wǎng)絡(luò)攻擊規(guī)律進(jìn)行總結(jié)，并分析攻擊特點，預(yù)測分析未來的網(wǎng)絡(luò)攻擊形勢，以此降低攻擊抵御的部署時間，可在網(wǎng)絡(luò)攻防中掌握主動權(quán)。

持續(xù)自我學(xué)習(xí)、動態(tài)加固系統(tǒng)?；谥鲃臃烙夹g(shù)構(gòu)建而成的主動防御系統(tǒng)具備極強(qiáng)的自然學(xué)習(xí)能力，可在遭到網(wǎng)絡(luò)攻擊時，于攻擊防御的過程中不斷自我排查系統(tǒng)漏洞及缺陷，從而主動進(jìn)行漏洞修復(fù)及缺陷彌補(bǔ)，可實時化與動態(tài)性實現(xiàn)系統(tǒng)加固。

全面監(jiān)控網(wǎng)絡(luò)、實時做出響應(yīng)。主動防御系統(tǒng)可全面監(jiān)測計算機(jī)網(wǎng)絡(luò)，在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊時第一時間做出響應(yīng)，可通過攻擊目標(biāo)轉(zhuǎn)移、攻擊方式檢測、攻擊方追蹤、攻擊方反制等方式實施主動防御，可將網(wǎng)絡(luò)攻擊所受損失控制在最低限度。

3 深層次主動防御系統(tǒng)的構(gòu)建策略

主動防御技術(shù)由多個主動防御功能模塊構(gòu)建而成，在這些模塊的協(xié)調(diào)配合應(yīng)用下，可建立一個高度完善的網(wǎng)絡(luò)主動防御系統(tǒng)。

3.1 入侵防護(hù)

入侵防護(hù)具備多種不同的防護(hù)功能，既可掃描與排查計算機(jī)系統(tǒng)漏洞，也可對管理員身份進(jìn)行驗證，還具備病毒網(wǎng)關(guān)控制及其他功能。入侵防護(hù)的手段有安裝防火墻、實施VPN加密操作等多種方式，自計算機(jī)網(wǎng)絡(luò)誕生以來，網(wǎng)絡(luò)攻擊方面防火墻防御方式最早應(yīng)用，目前此種防護(hù)方式已全面普及?？稍诰W(wǎng)絡(luò)入口處阻隔所有具備威脅性的網(wǎng)絡(luò)活動進(jìn)入，對內(nèi)網(wǎng)計算機(jī)及服務(wù)器的安全防護(hù)具有重要作用。VPN數(shù)據(jù)加密操作技術(shù)的主要作用是隱藏網(wǎng)絡(luò)內(nèi)容、增強(qiáng)數(shù)據(jù)信息傳輸過程的保密性、防止未經(jīng)認(rèn)證的用戶登入網(wǎng)絡(luò)、保證數(shù)據(jù)信息的完整性。主動防御系統(tǒng)當(dāng)中，入侵防護(hù)技術(shù)可在與其他技術(shù)有效協(xié)調(diào)的過程中實現(xiàn)系統(tǒng)防護(hù)策略的自動化調(diào)整，可對計算機(jī)系統(tǒng)實施全面保護(hù)，既能增強(qiáng)系統(tǒng)運行穩(wěn)定性，也利于數(shù)據(jù)信息存儲應(yīng)用安全性提升[1]。

3.2 入侵預(yù)測

相較于傳統(tǒng)網(wǎng)絡(luò)防御技術(shù)而言，主動防御系統(tǒng)可實現(xiàn)主動防御，通過對系統(tǒng)安全狀態(tài)的及時評估、分析已發(fā)生的攻擊行為對未來可能會出現(xiàn)的網(wǎng)絡(luò)攻擊事件進(jìn)行預(yù)測，并判斷攻擊者所采用的攻擊方式，從而為系統(tǒng)攻擊防御的響應(yīng)提供充足時間。入侵預(yù)測主要采用兩種方式：一是在過往入侵事件規(guī)律總結(jié)的基礎(chǔ)上，根據(jù)網(wǎng)絡(luò)安全指數(shù)，預(yù)測與分析未來相應(yīng)時段內(nèi)網(wǎng)絡(luò)安全走勢；二是對網(wǎng)絡(luò)流量的變化進(jìn)行實時監(jiān)控，在計算機(jī)網(wǎng)絡(luò)遭到攻擊時，可以網(wǎng)絡(luò)流量異常峰值的變化為依據(jù)，結(jié)合網(wǎng)絡(luò)流量的基本特征，在最短時間內(nèi)完成網(wǎng)絡(luò)安全情況的分析，并預(yù)測判斷攻擊者的攻擊行為，支持后續(xù)的主動防御響應(yīng)的實施[2]。

3.3 入侵檢測

深層次網(wǎng)絡(luò)安全主動防御系統(tǒng)當(dāng)中，入侵檢測技術(shù)是防御系統(tǒng)發(fā)起目標(biāo)及發(fā)起時間的決定者，是主動防御實施的重要技術(shù)。入侵檢測有兩個方法：一是異常行為檢測。分析目標(biāo)行為異常性進(jìn)而判斷是否需要采取防御反應(yīng)。此種入侵檢測方法以過去的攻擊行為規(guī)律作為預(yù)判基礎(chǔ)，惡性攻擊行為出現(xiàn)的第一時間便可被發(fā)現(xiàn)，檢測精準(zhǔn)率較高，但此檢測法無法對正常操作行為進(jìn)行界定，因而會存在一定比例的誤報率；二是病毒庫檢測方法。此入侵檢測方式可將所有記錄在案的入侵及破壞行為精準(zhǔn)識別出來，但檢測過程需要以數(shù)據(jù)庫為依據(jù)，數(shù)據(jù)庫中不涵蓋的攻擊行為無法被檢測出來（圖1）。

圖1 入侵檢測工作過程

3.4 入侵響應(yīng)

主動防御技術(shù)與傳統(tǒng)防御技術(shù)之間最大的差異在于，主動防御除了可實施入侵防護(hù)、預(yù)測與檢測入侵行為之外，還可對網(wǎng)絡(luò)攻擊進(jìn)行響應(yīng)與反制，從而實現(xiàn)攻擊威脅的及時消除。

入侵追蹤。有入侵者對電網(wǎng)實施攻擊行為之時，主動防御系統(tǒng)的安全管理人員可在入侵追蹤技術(shù)支持下快速找到網(wǎng)絡(luò)攻擊的來源，從而在源頭處將攻擊者的行為進(jìn)行抵御與消除，可在電網(wǎng)遭到攻擊之初以最短的時效抑制攻擊行為產(chǎn)生，從而降低網(wǎng)絡(luò)攻擊所產(chǎn)生的不利影響；修正系統(tǒng)環(huán)境。電力企業(yè)的電網(wǎng)系統(tǒng)所受到的攻擊中存在一些不以惡意入侵為目的，主要是為了炫耀攻擊技術(shù)的攻擊行為，針對此種攻擊行為可利用相對溫和的方式進(jìn)行抵御，可提升主動防御系統(tǒng)的敏感度，或?qū)ο到y(tǒng)中的關(guān)鍵字做出修改，也可增設(shè)新的規(guī)則，從而使主動防御的級別得到進(jìn)一步提升[3]。

轉(zhuǎn)移與分散攻擊目標(biāo)。遭到攻擊行為時若是立即采取連接關(guān)閉策略，可實現(xiàn)對計算機(jī)系統(tǒng)的安全保護(hù)，然而同時也無法獲取到攻擊者的攻擊手段、攻擊地點等相關(guān)信息，會導(dǎo)致系統(tǒng)運行仍留有安全隱患。為此，可采取轉(zhuǎn)移與分散攻擊目標(biāo)的方法，將攻擊轉(zhuǎn)至預(yù)先設(shè)定的無威脅環(huán)境之下，并在與攻擊者連線保持的基礎(chǔ)上對其攻擊行為進(jìn)行分析，查找攻擊來源、判斷攻擊方式，從而增強(qiáng)入侵預(yù)測的精準(zhǔn)性。

信息及證據(jù)收集。主動防御系統(tǒng)運行中，可通過與正常系統(tǒng)相似環(huán)境的創(chuàng)設(shè)誘導(dǎo)攻擊者對此環(huán)境發(fā)起攻擊，從而收集網(wǎng)絡(luò)攻擊者信息、判斷其攻擊行為，并實現(xiàn)攻擊特征的有效記錄。攻擊者在此系統(tǒng)中停留時間的長短決定著其信息暴露的多少，在這些信息收集與記錄的過程中，電力企業(yè)的網(wǎng)絡(luò)安全管理部門可對網(wǎng)絡(luò)安全實施科學(xué)的評估并采取有效的保護(hù)方式，可在維護(hù)系統(tǒng)正常運行的基礎(chǔ)上，進(jìn)一步收集網(wǎng)絡(luò)攻擊證據(jù)，如此便可對入侵人員產(chǎn)生震懾、降低其入侵率，必要時可作為證據(jù)通過法律途徑彌補(bǔ)遭到攻擊所產(chǎn)生的損失。

自動反擊。電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)管理人員可通過構(gòu)建行為庫對攻擊行為的來源進(jìn)行判斷，并可針對其所做出的攻擊行為進(jìn)行追蹤與反應(yīng)。然而一般情況下攻擊者并不會利用自己的設(shè)備實施攻擊，主要是采取IP欺騙或預(yù)先植入木馬等方式進(jìn)行攻擊，或是通過對網(wǎng)絡(luò)平臺加以控制而實現(xiàn)攻擊，難以精準(zhǔn)追蹤到攻擊者的來源，為此不可輕易采取自動反擊，以免部分不知情者被波及，或激發(fā)攻擊者更為猛烈的報復(fù)。

3.5 系統(tǒng)恢復(fù)

網(wǎng)絡(luò)系統(tǒng)遭到攻擊之后，可利用主動防御系統(tǒng)輔助電網(wǎng)系統(tǒng)快速恢復(fù)運行，從而使系統(tǒng)功能正常發(fā)揮，減少因網(wǎng)絡(luò)攻擊行為所產(chǎn)生的損失。電力企業(yè)應(yīng)立足網(wǎng)絡(luò)系統(tǒng)恢復(fù)的層面，定期實施日常備份，備份方式既有現(xiàn)場內(nèi)備份、現(xiàn)場外備份，還可采取冷備份及熱備份等多種方式，以便利用主動防御系統(tǒng)完成網(wǎng)絡(luò)攻擊制止后，能夠在最短時間內(nèi)確保系統(tǒng)應(yīng)用恢復(fù)正常。

3.6 防御效果評估

攻擊行為抵御后，主動防御系統(tǒng)要對自身的安全防御效果展開評估，要評判網(wǎng)絡(luò)安全識別模塊判斷的精準(zhǔn)度，若具備高識別準(zhǔn)確性，意味著系統(tǒng)具備良好的學(xué)習(xí)能力，可取得理想的防御效果。若識別準(zhǔn)確性較低，則需拓展實習(xí)實例范圍，或是調(diào)整模式識別算法，使網(wǎng)絡(luò)安全防御水平得到進(jìn)一步提升。在網(wǎng)絡(luò)安全防御效果科學(xué)評估的基礎(chǔ)上，電力企業(yè)需持續(xù)改進(jìn)與優(yōu)化主動防御系統(tǒng)的防御水平[4]。

4 深層次網(wǎng)絡(luò)安全主動防御系統(tǒng)有效應(yīng)用的保障措施

4.1 選用適合的密碼技術(shù)

密碼技術(shù)是保障計算機(jī)網(wǎng)絡(luò)安全的重要技術(shù)手段，在主動防御系統(tǒng)構(gòu)建的同時，電力企業(yè)要通過強(qiáng)化密碼技術(shù)保障系統(tǒng)的運行安全。

私鑰密碼機(jī)制。私鑰密碼機(jī)制所應(yīng)用的加密與解密秘鑰是相同的，具備易于破解的特征，因而私鑰密碼機(jī)制應(yīng)用時要做好密鑰保護(hù)，避免未授權(quán)用戶獲取而破解密碼。相較于公鑰算法而言，私鑰密碼機(jī)制具備運算速度快、加密轉(zhuǎn)換效率高的特征，在大規(guī)模數(shù)據(jù)流加密中較為適用；公鑰密碼機(jī)制。應(yīng)用時需依托相應(yīng)算法得出包含一公一私兩個密鑰的密鑰對，公鑰向外界公開而私鑰則自主保留，此種算法得出的密鑰對是唯一的。應(yīng)用此密鑰對時，若采用一個密鑰進(jìn)行數(shù)據(jù)加密，必須應(yīng)用與之匹配的密鑰方可實現(xiàn)解密。公鑰與私鑰均可應(yīng)用于簽名及加密過程中。

數(shù)字簽名體制。數(shù)字簽字的應(yīng)用可使信息更為完整，也可防止信息被偽造，在電子政務(wù)及電子商務(wù)處理中應(yīng)用廣泛。數(shù)字簽名具有多個類別，常用的有短簽名、群簽名等。數(shù)字簽名體制的應(yīng)用可通過身份識別、密碼簽認(rèn)等措施，增強(qiáng)數(shù)據(jù)、資料等重要文件資源的安全性與完整性。

4.2 健全與優(yōu)化計算機(jī)網(wǎng)絡(luò)安全管理制度及相關(guān)法規(guī)

為保障電網(wǎng)系統(tǒng)安全主動防御系統(tǒng)有效實施，強(qiáng)化網(wǎng)絡(luò)訪問控制，保障計算機(jī)網(wǎng)絡(luò)安全，禁止非法訪問與盜取網(wǎng)絡(luò)資源行為的出現(xiàn)，需要以現(xiàn)有律法制度為依據(jù)，深入分析與研討信息安全技術(shù)的具體應(yīng)用，建立專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，制定科學(xué)完善的計算機(jī)網(wǎng)絡(luò)安全管理制度，通過此制度保障網(wǎng)絡(luò)安全主動防御系統(tǒng)有效運行，進(jìn)而增強(qiáng)計算機(jī)網(wǎng)絡(luò)安全管理的規(guī)范性。

綜上，深層次網(wǎng)絡(luò)安全主動防御系統(tǒng)是基于多種主動防御技術(shù)而構(gòu)建的，在這些主動防御技術(shù)支持下可顯著提升網(wǎng)絡(luò)運行的安全性，并可優(yōu)化與轉(zhuǎn)變網(wǎng)絡(luò)安全防護(hù)理念。網(wǎng)絡(luò)安全防御屬于系統(tǒng)性工程，電力企業(yè)需基于網(wǎng)絡(luò)病毒以及木馬攻擊而不斷升級與優(yōu)化防御系統(tǒng)，在入侵防護(hù)、入侵預(yù)測、入侵檢測、入侵響應(yīng)等項防御技術(shù)的支持下構(gòu)建深層次的網(wǎng)絡(luò)安全系統(tǒng)，同時此系統(tǒng)還應(yīng)具備網(wǎng)絡(luò)恢復(fù)、防御效果評估的功能。未來，在人工智能開發(fā)、遺傳免疫算法、神經(jīng)網(wǎng)絡(luò)學(xué)生等更為先進(jìn)的技術(shù)融合應(yīng)用下，主動防御系統(tǒng)將會不斷升級與完善，可通過更加安全、可靠的應(yīng)用環(huán)境營造，推進(jìn)社會信息化與智能化的發(fā)展進(jìn)程。