|
基于主動防御技術(shù)的安全防護(hù)
(作者未知) 2009/11/30
摘要:該文闡述了調(diào)度自動化系統(tǒng)安全防護(hù)現(xiàn)狀��,依據(jù)動態(tài)信息安全P2DR模型�,結(jié)合主動防御新技術(shù)設(shè)計了調(diào)度自動化系統(tǒng)安全防護(hù)模型,給出了具體實現(xiàn)的物理架構(gòu)��,討論了其特點和優(yōu)越性�。
關(guān)鍵詞:P2DR模型主動防御技術(shù)SCADA調(diào)度自動化
?隨著農(nóng)網(wǎng)改造的進(jìn)行,各電力部門的調(diào)度自動化系統(tǒng)得到了飛快的���,除完成SCADA功能外����,基本實現(xiàn)了高級的功能���,如拓?fù)浞治����、狀態(tài)估計、潮流�����、安全分析��、調(diào)度等���,使電網(wǎng)調(diào)度自動化的水平有了很大的提高�。調(diào)度自動化的提高了電網(wǎng)運行的效率��,改善了調(diào)度運行人員的工作條件�,加快了變電站實現(xiàn)無人值守的步伐。��,電網(wǎng)調(diào)度自動化系統(tǒng)已經(jīng)成為電力的"心臟"[1]��。正因如此����,調(diào)度自動化系統(tǒng)對防范病毒和黑客攻擊提出了更高的要求,《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》(中華人民共和國國家經(jīng)濟(jì)貿(mào)易委員會第30號令)[9]中規(guī)定電力監(jiān)控系統(tǒng)的安全等級高于電力管理信息系統(tǒng)及辦公自動化系統(tǒng)。各電力監(jiān)控系統(tǒng)必須具備可靠性高的自身安全防護(hù)設(shè)施�����,不得與安全等級低的系統(tǒng)直接相聯(lián)�����。而從目前的調(diào)度自動化安全防護(hù)技術(shù)應(yīng)用調(diào)查結(jié)果來看�,不少電力部門雖然在調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)中部署了一些網(wǎng)絡(luò)安全產(chǎn)品��,但這些產(chǎn)品沒有形成體系����,有的只是購買了防病毒軟件和防火墻,保障安全的技術(shù)單一���,尚有許多薄弱環(huán)節(jié)沒有覆蓋到����,對調(diào)度自動化網(wǎng)絡(luò)安全沒有統(tǒng)一長遠(yuǎn)的規(guī)劃����,網(wǎng)絡(luò)中有許多安全隱患,個別地方甚至沒有考慮到安全防護(hù),如調(diào)度自動化和配網(wǎng)自動化之間�����,調(diào)度自動化系統(tǒng)和MIS系統(tǒng)之間數(shù)據(jù)傳輸?shù)陌踩詥栴}等���,如何保證調(diào)度自動化系統(tǒng)安全穩(wěn)定運行�����,防止病毒侵入��,已經(jīng)顯得越來越重要����。
從電力系統(tǒng)采用的現(xiàn)有安全防護(hù)技術(shù)方面���,大部分電力企業(yè)的調(diào)度自動化系統(tǒng)采用的是被動防御技術(shù)���,有防火墻技術(shù)和入侵檢測技術(shù)等,而隨著網(wǎng)絡(luò)技術(shù)的發(fā)展�,逐漸暴露出其缺陷。防火墻在保障網(wǎng)絡(luò)安全方面�,對病毒�����、訪問限制��、后門威脅和對于內(nèi)部的黑客攻擊等都無法起到作用���。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術(shù)手段來防范黑客攻擊與病毒入侵�,本文基于傳統(tǒng)安全技術(shù)和主動防御技術(shù)相結(jié)合,依據(jù)動態(tài)信息安全P2DR模型��,考慮到調(diào)度自動化系統(tǒng)的實際情況設(shè)計了一套安全防護(hù)模型����,對于提高調(diào)度自動化系統(tǒng)防病毒和黑客攻擊水平有很好的價值���。
1威脅調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)安全的技術(shù)因素
目前的調(diào)度自動化系統(tǒng)網(wǎng)絡(luò)如iES-500系統(tǒng)[10]���、OPEN2000系統(tǒng)等大都是以Windows為操作系統(tǒng)平臺,同時又與Internet相連���,Internet網(wǎng)絡(luò)的共享性和開放性使網(wǎng)上信息安全存在先天不足�����,因為其賴以生存的TCP/IP協(xié)議缺乏相應(yīng)的安全機制����,而且Internet最初設(shè)計沒有考慮安全問題,因此它在安全可靠��、服務(wù)質(zhì)量和方便性等方面存在不適應(yīng)性[3]�。此外,隨著調(diào)度自動化和辦公自動化等系統(tǒng)數(shù)據(jù)交流的不斷增大��,系統(tǒng)中的安全漏洞或"后門"也不可避免的存在��,電力企業(yè)內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展���,使病毒��、外界和內(nèi)部的攻擊越來越多�����,從技術(shù)角度進(jìn)一步加強調(diào)度自動化系統(tǒng)的安全防護(hù)日顯突出���。
2基于主動防御新技術(shù)的安全防護(hù)設(shè)計
2.1調(diào)度自動化系統(tǒng)與其他系統(tǒng)的接口
由于調(diào)度自動化系統(tǒng)自身工作的性質(zhì)和特點��,它主要需要和辦公自動化(MIS)系統(tǒng)[6]�����、配網(wǎng)自動化系統(tǒng)實現(xiàn)信息共享�。為了保證電網(wǎng)運行的透明度���,企業(yè)內(nèi)部的生產(chǎn)�����、檢修���、運行等各部門都必須能夠從辦公自動化系統(tǒng)中了解電網(wǎng)運行情況���,因此調(diào)度自動化系統(tǒng)自身設(shè)有Web服務(wù)器�����,以實現(xiàn)數(shù)據(jù)共享�。調(diào)度自動化系統(tǒng)和配網(wǎng)自動化系統(tǒng)之間由于涉及到需要同時控制變電站的10kV出線開關(guān)���,兩者之間需要進(jìn)行信息交換���,而配網(wǎng)自動化系統(tǒng)運行情況需要通過其Web服務(wù)器公布于眾[5]�,同時由于配網(wǎng)自動化系統(tǒng)本身的安全性要求�,考慮到投資問題,可以把它的安全防護(hù)和調(diào)度自動化一起考慮進(jìn)行設(shè)計��。
2.2主動防御技術(shù)類型
目前主動防御新技術(shù)有兩種�。一種是陷阱技術(shù),它包括蜜罐技術(shù)(Honeypot)和蜜網(wǎng)技術(shù)(Honeynet)�。蜜罐技術(shù)是設(shè)置一個包含漏洞的誘騙系統(tǒng),通過模擬一個或多個易受攻擊的主機���,給攻擊者提供一個容易攻擊的目標(biāo)[2]�����。蜜罐的作用是為外界提供虛假的服務(wù)���,拖延攻擊者對真正目標(biāo)的攻擊,讓攻擊者在蜜罐上浪費時間���。蜜罐根據(jù)設(shè)計目的分為產(chǎn)品型和型���。目前已有許多商用的蜜罐產(chǎn)品���,如BOF是由MarcusRanum和NFR公司開發(fā)的一種用來監(jiān)控BackOffice的工具。Specter是一種商業(yè)化的低交互蜜罐�,類似于BOF,不過它可以模擬的服務(wù)和功能范圍更加廣泛��。蜜網(wǎng)技術(shù)是最為著名的公開蜜罐項目[7],它是一個專門設(shè)計來讓人"攻陷"的網(wǎng)絡(luò)���,主要用來分析(未完��,下一頁)
|
|
相關(guān)專業(yè)論文
|
|
|
推薦專業(yè)論文
|
|
|
|
|
|