防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

引言

    當(dāng)前，電力系統(tǒng)已基本形成了自己的生產(chǎn)過程自動化和管理現(xiàn)代化信息網(wǎng)絡(luò)，并在實際生產(chǎn)和管理中發(fā)揮著巨大的作用。隨著全球信息化的迅猛發(fā)展，電力系統(tǒng)必將加強與外部世界的信息交流，以提高生產(chǎn)和管理效率，開拓更廣闊的發(fā)展空間。然而，網(wǎng)絡(luò)開放也增加了網(wǎng)絡(luò)受攻擊的可能性。與外部網(wǎng)絡(luò)的連接必然面臨外來攻擊的威脅。對于關(guān)系到國計民生的電力系統(tǒng)而言，網(wǎng)絡(luò)安全必須作為一個重大戰(zhàn)略問題來解決。目前，防火墻技術(shù)作為防范網(wǎng)絡(luò)攻擊最基本的手段已經(jīng)相當(dāng)成熟，是抵御攻擊的第一道防線，入侵檢測系統(tǒng)(intrusion detective system，縮寫為IDS)作為新型的網(wǎng)絡(luò)安全技術(shù)，有效地補充了防火墻的某些性能上的缺陷，兩者從不同的角度以不同的方式確保網(wǎng)絡(luò)系統(tǒng)的安全。

    本文首先分析電力企業(yè)信息網(wǎng)絡(luò)的結(jié)構(gòu)，并結(jié)合其特點和對網(wǎng)絡(luò)安全的特殊要求，就如何有效地將防火墻和入侵檢測技術(shù)運用到電力企業(yè)信息網(wǎng)絡(luò)中進(jìn)行探討。

1 電力系統(tǒng)的信息網(wǎng)絡(luò)

    電力系統(tǒng)的信息網(wǎng)絡(luò)分為兩大模塊：監(jiān)控信息系統(tǒng)(supervisory information system，縮寫為 SIS)和管理信息系統(tǒng)(management information system，縮寫為MIS)。

    SIS對生產(chǎn)現(xiàn)場進(jìn)行實時監(jiān)控，從分布在生產(chǎn)現(xiàn)場的許多點采集數(shù)據(jù)，再由系統(tǒng)中的計算單元進(jìn)行性能計算、故障診斷等，將結(jié)果存放到實時數(shù)據(jù)服務(wù)器，為生產(chǎn)現(xiàn)場實時提供科學(xué)、準(zhǔn)確的數(shù)據(jù)，以控制整個生產(chǎn)過程。SIS包括CRT監(jiān)控系統(tǒng)、DCS(數(shù)據(jù)通信系統(tǒng))、FCS(現(xiàn)場總線控制系統(tǒng))等子系統(tǒng)。

    MIS的功能是實現(xiàn)企業(yè)自動化管理，包括若干子系統(tǒng)，分別實現(xiàn)生產(chǎn)經(jīng)營管理、財務(wù)和人事管理、設(shè)備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統(tǒng)，為管理人員提供智能支持，是企業(yè)管理規(guī)范化、科學(xué)化的基礎(chǔ)。

    目前電力系統(tǒng)的信息網(wǎng)絡(luò)一般將SIS和MIS分做同一網(wǎng)絡(luò)中的兩個子網(wǎng)，并分別配置服務(wù)器，兩子網(wǎng)之間用網(wǎng)關(guān)連接，如圖1所示。

圖1 企業(yè)內(nèi)部局域網(wǎng) 

    DPU(分散過程控制單元)從生產(chǎn)現(xiàn)場采集數(shù)并發(fā)送到高速數(shù)據(jù)網(wǎng)供DCS各工作站分析處理，同時為了保證SIS的網(wǎng)絡(luò)安全，SIS以太網(wǎng)通過網(wǎng)關(guān)與MIS服務(wù)器連接，作為MIS到SIS的入口并管理MIS對SIS的訪問。

    SIS和MIS功能各異，對安全的要求也有所不同。SIS由于與現(xiàn)場生產(chǎn)息息相關(guān)，一旦遭到入侵，勢必影響生產(chǎn)甚至造成惡性事故，所以其安全性要求更高�，F(xiàn)行的網(wǎng)絡(luò)結(jié)構(gòu)也充分體現(xiàn)了這一特點，對 SIS實施更高級別的保護(hù)。

    當(dāng)局域網(wǎng)與外部網(wǎng)絡(luò)連接后，MIS要向外界提供服務(wù)，網(wǎng)絡(luò)面臨的威脅將空前廣泛、尖銳，這時原有的安全系統(tǒng)顯然過于單薄，必須在原有基礎(chǔ)上制定更嚴(yán)密、可靠的防御體系。

    在安全的操作系統(tǒng)基礎(chǔ)上，防火墻結(jié)合IDS是一種較為理想的解決方案。

2 防火墻

    防火墻是防范網(wǎng)絡(luò)攻擊最常用的手段，是構(gòu)造安全網(wǎng)絡(luò)環(huán)境的基礎(chǔ)工程。它通常被安置在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點上，將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)隔離，強制所有內(nèi)部與外部之間的相互通信都通過這一節(jié)點，并按照設(shè)定的安全策略分析，限制這些通信，以達(dá)到保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。

    2．1 防火墻的體系結(jié)構(gòu)

    構(gòu)造防火墻時通常根據(jù)所要提供的服務(wù)、技術(shù)人員的技術(shù)、工程的性價比等因素采用多種技術(shù)的組合，以達(dá)到最佳效果。

    目前常見的防火墻體系結(jié)構(gòu)有以下幾種：

    a．雙重宿主主機(jī)體系結(jié)構(gòu)。在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間配置至少有兩個網(wǎng)絡(luò)接口的雙重宿主主機(jī)，接口分別與內(nèi)部、外部網(wǎng)絡(luò)相連，而主機(jī)則充當(dāng)網(wǎng)絡(luò)之間的路由器。這樣，內(nèi)部、外部網(wǎng)絡(luò)的計算機(jī)之間的IP通信完全被阻隔，只能通過雙重宿主主機(jī)彼此聯(lián)系。

    b．屏蔽主機(jī)體系結(jié)構(gòu)。這種結(jié)構(gòu)的防火墻由路由器和堡壘主機(jī)構(gòu)成，路由器設(shè)置在內(nèi)部、外部網(wǎng)絡(luò)之間，實現(xiàn)數(shù)據(jù)包過濾。堡壘主機(jī)設(shè)置在內(nèi)部網(wǎng)絡(luò)中，外部網(wǎng)絡(luò)的計算機(jī)必須連接到堡壘主機(jī)才能訪問內(nèi)部網(wǎng)絡(luò)。

    c．屏蔽子網(wǎng)體系結(jié)構(gòu)。利用兩個路由器(內(nèi)部路由器和外部路由器)將內(nèi)部網(wǎng)絡(luò)保護(hù)到更深一層，而在兩個路由器之間形成一個虛擬網(wǎng)絡(luò)，稱之為周邊網(wǎng)絡(luò)，堡壘主機(jī)連接在周邊網(wǎng)絡(luò)上，通過外部路由器與外部網(wǎng)絡(luò)相連。這樣，如果入侵者突破了外層的防火墻，甚至侵入堡壘主機(jī)，內(nèi)部網(wǎng)絡(luò)依然安全。

    2．2 電力企業(yè)信息網(wǎng)防火墻的結(jié)構(gòu)設(shè)計

    電力系統(tǒng)對安全性的高度要求，企業(yè)信息網(wǎng)絡(luò)的安全問題應(yīng)該予以格外關(guān)注。必須組建科學(xué)、嚴(yán)密的防火墻體系，為企業(yè)內(nèi)部網(wǎng)絡(luò)尤其是內(nèi)部網(wǎng)絡(luò)中的SIS子網(wǎng)提供高度的網(wǎng)絡(luò)安全。

    電力企業(yè)內(nèi)部網(wǎng)絡(luò)由兩個安全級別不同的子網(wǎng) MIS和SIS構(gòu)成，其中SIS對安全要求更高，因此它僅向MIS提供服務(wù)而不直接與外部網(wǎng)絡(luò)相連，由 MIS向外界提供服務(wù)�；�于這個特點，防火墻宜采用屏蔽子網(wǎng)的體系結(jié)構(gòu)，如圖2所示。

圖2 防火墻體系結(jié)構(gòu)

    MIS作為體系中的周邊網(wǎng)，SIS作為內(nèi)部網(wǎng)。設(shè)置兩臺屏蔽路由器，其中外部路由器設(shè)在MIS與外部網(wǎng)絡(luò)之間，內(nèi)部路由器設(shè)在SIS與MIS之間，對進(jìn)出的數(shù)據(jù)包進(jìn)行過濾。另外，堡壘主機(jī)連接在MIS中，對外作為訪問的入口，對內(nèi)則作為代理服務(wù)器，使內(nèi)部用戶間接地訪問外部服務(wù)器。

    應(yīng)該強調(diào)的是，MIS的堡壘主機(jī)極有可能受到襲擊，因為所有對內(nèi)部網(wǎng)絡(luò)的訪問都要經(jīng)過它，因此，在條件允許的情況下，可以在MIS中配置兩臺堡壘主機(jī)，當(dāng)一臺堡壘主機(jī)被攻擊而導(dǎo)致系統(tǒng)崩潰時，可以由另一臺主機(jī)提供服務(wù)，以保證服務(wù)的連續(xù)性。同時，在MIS中配置一臺處理機(jī)，與內(nèi)部路由器組成安全網(wǎng)關(guān)，可以作為整個防火墻體系的一部分，控制MIS向SIS的訪問以及對數(shù)據(jù)傳輸進(jìn)行限制，提供協(xié)議、鏈路和應(yīng)用級保護(hù)。網(wǎng)關(guān)還應(yīng)考慮安全操作系統(tǒng)問題，Win2000[4]是一個可行的選擇。盡管可能還存在一些潛在的漏洞，Win2000依然是目前業(yè)界最安全的操作系統(tǒng)之一。由于SIS僅對MIS的固定用戶提供服務(wù)，同時考慮到SIS的安全要求，對網(wǎng)關(guān)的管理可以采取Client／Server方式，這樣雖然在實現(xiàn)上較Browser／Server方式復(fù)雜一些，但卻具有更強的數(shù)據(jù)操縱和事務(wù)處理能力，以及對數(shù)據(jù)的安全性和完整性的約束能力。

    2．3 防火墻的缺陷

    盡管防火墻在很大程度上實現(xiàn)了內(nèi)部網(wǎng)絡(luò)的安全，但它的以下幾個致命的缺陷使得單一采用防火墻技術(shù)仍然是不可靠的。

    a．無法防范病毒。雖然防火墻對流動的數(shù)據(jù)包進(jìn)行嚴(yán)格的過濾，但針對的是數(shù)據(jù)包的源地址、目的地址和端口號，對數(shù)據(jù)的內(nèi)容并不掃描，因此對病毒的侵入無能為力。

    b．無法防范內(nèi)部攻擊。從防火墻的設(shè)計思想來看，防范內(nèi)部攻擊從來就不是它的任務(wù)，它在這方面是一片空白。

    c．性能上的限制。防火墻只是按照固定的工作模式來防范已知的威脅，從這一點來說，防火墻雖然“勤懇”，但是過于“死板”。

    所以，安裝了防火墻的系統(tǒng)還需要其他防御手段來加以充實。

3 IDS

    IDS(入侵檢測系統(tǒng))是一種主動防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，在功能上彌補了防火墻的缺陷，使整個安全防御體系更趨完善、可靠。

    3．1 入侵檢測原理與實踐

    IDS以檢測及控制為基本思想，為網(wǎng)絡(luò)提供實時的入侵檢測，并采取相應(yīng)的保護(hù)措施。它的設(shè)計原理一般是根據(jù)用戶歷史行為建立歷史庫，或者根據(jù)已知的入侵方法建立入侵模式，運行時從網(wǎng)絡(luò)系統(tǒng)的諸多關(guān)鍵點收集信息，并根據(jù)用戶行為歷史庫和入侵模式加以模式匹配、統(tǒng)計分析和完整性掃描，以檢測入侵跡象，尋找系統(tǒng)漏洞。

    IDS一般分為基于主機(jī)的IDS和基于網(wǎng)絡(luò)的IDS兩種�；�于主機(jī)的IDS其輸入數(shù)據(jù)來源于系統(tǒng)的審計日志，用于保護(hù)關(guān)鍵應(yīng)用的服務(wù)器；基于網(wǎng)絡(luò)的IDS輸入數(shù)據(jù)來源于網(wǎng)絡(luò)的信息流，用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。目前的入侵檢測產(chǎn)品通常都包括這兩個部件。

    在實踐中，IDS一般分為監(jiān)測器和控制臺兩大部分。為了便于集中管理，一般采用分布式結(jié)構(gòu)，用戶在控制臺管理整個檢測系統(tǒng)、設(shè)置監(jiān)測器的屬性、添加新的檢測方案、處理警報等。監(jiān)測器部署在網(wǎng)絡(luò)中的關(guān)鍵點，如內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點、需重點保護(hù)的工作站等，根據(jù)入侵模式檢測異常行為，當(dāng)發(fā)現(xiàn)入侵時保存現(xiàn)場，并生成警報上傳控制臺。

    3．2  在電力企業(yè)信息網(wǎng)中運用IDS

    電力企業(yè)的安全涉及國家安全和社會穩(wěn)定，建議盡可能使用國產(chǎn)檢測系統(tǒng)，如北京中科網(wǎng)威“天眼”入侵檢測系統(tǒng)清華紫光Unis入侵檢測系統(tǒng)等，這些產(chǎn)品在技術(shù)上已相當(dāng)成熟，且在不斷升級。

    安裝IDS的關(guān)鍵步驟是部署檢測器與控制臺。針對電力企業(yè)網(wǎng)絡(luò)的特點，首先，可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測器(如圖3所示)，以監(jiān)測異常的入侵企圖。在防火墻與MIS之間部署監(jiān)測器，以監(jiān)視和分析MIS與外部網(wǎng)絡(luò)的通信流。然后，分別在MIS和SIS中部署一臺監(jiān)測器，監(jiān)視各子網(wǎng)的內(nèi)部情況；控制臺設(shè)置在MIS中。最后，根據(jù)實際情況為個別需重點保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測軟件，保護(hù)重要設(shè)備。

    安裝IDS后，更具挑戰(zhàn)性的工作就是有效地運行IDS。防火墻在測試和設(shè)置后便開始工作了，而 IDS則不同。IDS提供實時檢測需要管理員“實時”地配合，管理員要做好處理各種警報的準(zhǔn)備工作；在系統(tǒng)發(fā)出警報時要判斷是否誤報，正確處理警報，決定是否關(guān)閉系統(tǒng)或是繼續(xù)監(jiān)視入侵者以收集證據(jù)等，都需要管理員就地解決。只有管理員及時采取恰當(dāng)?shù)奶幚矸椒�，才能真正發(fā)揮IDS的功效。

圖3 IDS 分布式布置

4 安全體系的運作與后期擴(kuò)充

    雖然防火墻的防護(hù)是被動的，而IDS是實時的，但安全體系(包括各單一主機(jī)自身的安全體系)是作為一個整體協(xié)同運作的。目前的主機(jī)和網(wǎng)絡(luò)設(shè)備都具有完備的安全審計功能，IDS可以充分利用系統(tǒng)的網(wǎng)絡(luò)日志文件作為必要的數(shù)據(jù)來源，而當(dāng) IDS發(fā)現(xiàn)可疑行為時又需要其他主機(jī)或防火墻采取相應(yīng)的保護(hù)措施，例如通知防火墻對可疑IP地址發(fā)來的數(shù)據(jù)包進(jìn)行過濾等。

    當(dāng)然，從技術(shù)方面來說，網(wǎng)絡(luò)安全所涉及的范圍是相當(dāng)廣泛的，包括安全的操作系統(tǒng)、防火墻、安全審計、入侵檢測、身份認(rèn)證、信息加密、安全掃描、災(zāi)難恢復(fù)等。防火墻結(jié)合IDS只是形成了安全體系基本內(nèi)容，還需要在系統(tǒng)運行中運用多種技術(shù)不斷充實安全體系的功能，例如在系統(tǒng)中配置掃描器，定期進(jìn)行風(fēng)險評估和查找漏洞，升級防火墻或者向IDS中添加新的攻擊方式等。同時，任何防御體系都不可能保證系統(tǒng)的絕對安全，必須不斷提高系統(tǒng)管理人員的技術(shù)水平，密切關(guān)注網(wǎng)絡(luò)安全的發(fā)展動態(tài)，及時升級網(wǎng)絡(luò)防御系統(tǒng)，提高系統(tǒng)的防御能力。

5 結(jié)語

    當(dāng)前，電力企業(yè)正以原有設(shè)施為基礎(chǔ)，構(gòu)建企業(yè)與電力公司、企業(yè)與企業(yè)間的信息網(wǎng)絡(luò)，網(wǎng)絡(luò)安全是一個不可忽視的問題。防火墻與入侵檢測技術(shù)相結(jié)合，為網(wǎng)絡(luò)安全體系提供了一個良好的基礎(chǔ)，對保障系統(tǒng)安全發(fā)揮不可忽視的作用。當(dāng)然，完備的安全體系還需要其他多種安全技術(shù)從功能上進(jìn)一步完善，同時，安全問題不僅是一個技術(shù)問題，也是一個系統(tǒng)工程，需從組織管理、法律規(guī)范等多方面予以支持。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.hanmeixuan.com/

本文標(biāo)題：防火墻和入侵檢測系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用

本文網(wǎng)址：http://www.hanmeixuan.com/html/support/1112158382.html