前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電網(wǎng)信息安全設(shè)備聯(lián)動技術(shù)淺談范文,希望能給你帶來靈感和參考,敬請閱讀。
【摘要】近年來,關(guān)于網(wǎng)絡(luò)安全問題的案件越來越多,很多時候比較簡單且單一的網(wǎng)絡(luò)防御設(shè)施對這些攻擊毫無抵抗之力,這就要求需要更高等且更多數(shù)量的設(shè)備聯(lián)動工作來抵御這些惡意攻擊。在電網(wǎng)工作中,其所面對的網(wǎng)絡(luò)安全問題主要是設(shè)備過于單一,機(jī)組之間沒有關(guān)聯(lián)性,對潛在的網(wǎng)絡(luò)攻擊沒有很好地預(yù)防功能。針對這類問題,本文將提出一種設(shè)備聯(lián)動相關(guān)的模型,這項(xiàng)模型的原理是由不同種類的防火墻和電網(wǎng)信息安全防護(hù)設(shè)備相互聯(lián)動工作并傳遞信息,可以對整個電網(wǎng)信息的安全事件進(jìn)行實(shí)時分析,達(dá)到一種主動防御的效果。
【關(guān)鍵詞】網(wǎng)絡(luò)安全;網(wǎng)絡(luò)攻擊;設(shè)備聯(lián)動;主動防御
互聯(lián)網(wǎng)科技的飛速發(fā)展,人們的生活對網(wǎng)絡(luò)的依賴越來越重,人們平時使用的各項(xiàng)應(yīng)用都離不開網(wǎng)絡(luò),許多不法分子通過網(wǎng)絡(luò)攻擊來竊取用戶的個人信息甚至盜竊國家的重要信息,不法分子的網(wǎng)絡(luò)攻擊從最早的單個個人攻擊轉(zhuǎn)變成有組織甚至面對集團(tuán)的攻擊,各種不同的新型高技術(shù)網(wǎng)絡(luò)攻擊層出不窮,互聯(lián)網(wǎng)中的攻防戰(zhàn)也是到了一種白熱化階段,許多比較傳統(tǒng)的網(wǎng)絡(luò)安全防御手段如防火墻已經(jīng)不再是新型網(wǎng)絡(luò)攻擊的對手了,在中國乃至全球已經(jīng)進(jìn)入到信息全球化時代的今天,國家的各項(xiàng)關(guān)乎著國民生計的企業(yè)安全信息如交通運(yùn)輸以及石油石化等方面都進(jìn)入了電子信息化,保衛(wèi)這些信息的安全工作迫在眉睫,新型的網(wǎng)絡(luò)攻擊也在不斷地試探著這些信息的安全防衛(wèi)措施,在當(dāng)下必須著重于各種網(wǎng)絡(luò)安全信息防衛(wèi)設(shè)備的聯(lián)動工作來應(yīng)對這些日益猖獗的新型網(wǎng)絡(luò)攻擊。
1網(wǎng)絡(luò)安全聯(lián)動模型概述
1.1我國電網(wǎng)的信息安全三條防線
在當(dāng)今21世紀(jì),互聯(lián)網(wǎng)科技發(fā)展迅速,網(wǎng)絡(luò)的應(yīng)用也愈加廣泛,在網(wǎng)絡(luò)給我們帶來各種便利的同時,網(wǎng)絡(luò)安全問題也需要我們時刻關(guān)注。在新時代的網(wǎng)絡(luò)防御框架的構(gòu)建過程中,安全防衛(wèi)設(shè)備能夠合理有序且分工明確的工作是構(gòu)建框架的主旨,一個合理的構(gòu)架可以達(dá)到比預(yù)期更好效果。為此,我國電網(wǎng)在信息安全網(wǎng)絡(luò)構(gòu)建中就提出了“分區(qū)分域”的思想,在電力網(wǎng)絡(luò)的結(jié)構(gòu)劃分時,電力調(diào)度業(yè)務(wù)被分區(qū)到生產(chǎn)與控制的區(qū)域,管理以及對外功能則區(qū)分到了管理信息大區(qū),由于系統(tǒng)可能需要通過互聯(lián)網(wǎng)來和外部進(jìn)行信息交流,管理信息大區(qū)被細(xì)分為信息外網(wǎng)和信息內(nèi)網(wǎng)。外部互聯(lián)網(wǎng)傳達(dá)進(jìn)來的信息必須通過管理信息大廳的信息外網(wǎng)來進(jìn)行相關(guān)的處理和收集工作,處理完成后再傳遞給生產(chǎn)控制大廳來進(jìn)行調(diào)度工作,電網(wǎng)公司在這之間設(shè)立了三道縱深防線,第一道是通用的防火墻,這道防線處于外部互聯(lián)網(wǎng)與信息外網(wǎng)中間的位置;而在管理信息大廳中的信息外網(wǎng)和信息內(nèi)網(wǎng)中間,有著一道邏輯強(qiáng)隔離裝置作為第二道防線來限制通過系統(tǒng)的信息只能是受控的或者是與數(shù)據(jù)庫允許操作相關(guān)的數(shù)據(jù)信息,防止非法信息侵入系統(tǒng);最后一道防線是處于管理信息大區(qū)和生產(chǎn)控制大區(qū)之間的橫向隔離裝置,其中分為正向隔離裝置和反向隔離裝置,對管理信息大區(qū)和生產(chǎn)控制大區(qū)之間的信息進(jìn)行單向傳遞管理,保障信息安全。且三道防線的防衛(wèi)強(qiáng)度是逐級遞增的。
1.2安全防衛(wèi)設(shè)備的聯(lián)動模型
在防衛(wèi)新型的網(wǎng)絡(luò)攻擊中,單一的防火墻難以抵御攻勢,為此,防火墻廠商們提出可以通過聯(lián)動其他防御設(shè)備來彌補(bǔ)防火墻的單一性,通過改良的手段來優(yōu)化防火墻自身所面臨的缺陷和不足,讓防火墻可以適應(yīng)當(dāng)今網(wǎng)絡(luò)安全所要求的整體化和立體化。網(wǎng)絡(luò)安全方位需要聯(lián)動的這一思想在互聯(lián)網(wǎng)漸漸擴(kuò)散開來,各大入侵檢測系統(tǒng)的廠商和病毒防御廠商都相繼開發(fā)出新型的聯(lián)動型防御產(chǎn)品,其中應(yīng)用最多的是入侵檢測系統(tǒng)和防火墻的設(shè)備聯(lián)動。在前文中提到的我國電網(wǎng)的信息安全三道放線中,只有第一道防線是通用的防火墻,其他兩道防線都是電網(wǎng)中專用的安全防護(hù)設(shè)備,如何解決我國電網(wǎng)信息安全的有效聯(lián)動性,其關(guān)鍵就在于要將第一道防線的通用防火墻與其他兩道防線中的電網(wǎng)專用安全防護(hù)設(shè)備進(jìn)行一個銜接,并通過信息的傳遞達(dá)到聯(lián)動的效果。因此,最后得出來的模型便是首先由發(fā)生的信息安全時間來收集有關(guān)且有效的信息,通過對時間信息的各項(xiàng)分析,一旦發(fā)現(xiàn)是潛在的入侵事件,系統(tǒng)將自動把相關(guān)信息提交傳遞給安全決策模塊,并給予不同程度的警告,安全聯(lián)動決策模塊通過系統(tǒng)中的知識數(shù)據(jù)庫來對該事件進(jìn)行判斷,根據(jù)其危害程度來判斷聯(lián)動設(shè)備是否需要開始工作,若威脅度達(dá)到一定程度,系統(tǒng)會通過與映射表的連接來制定相應(yīng)的聯(lián)動要求,最后再輸出到相應(yīng)設(shè)備進(jìn)行防御。
2安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的應(yīng)用
在安全設(shè)備的聯(lián)動中,主要手段是防火墻對外部開放的聯(lián)動接口,當(dāng)有不法分子進(jìn)行惡意的網(wǎng)絡(luò)攻擊時,聯(lián)動接口會對危險信息進(jìn)行處理,實(shí)時更改防火墻的訪問權(quán)限和規(guī)則,以此來完成聯(lián)動。而這些協(xié)議一般有OPSEC和SNMP以及TOPSEC這幾個比較具有代表性的組成,在這些看似不同的協(xié)議中,其主要還是適用于某些特定的平臺,他們都不是通用型的協(xié)議,于是孕育而生了適配層這一項(xiàng)技術(shù),這項(xiàng)技術(shù)可以將上層應(yīng)用的獨(dú)立性體現(xiàn)出來,可以忽略對不同防火墻聯(lián)動協(xié)議的特殊要求,當(dāng)防火墻的聯(lián)動協(xié)議發(fā)生變更或更新,可以直接更改適配層,對上層應(yīng)用無需進(jìn)行變更。在安全事件的處理上,安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的應(yīng)用主要體現(xiàn)在前文中的信息安全三道防線,安全監(jiān)視主要依靠后面兩道電網(wǎng)專用防線,無論是第二道還是第三道防線都是比較獨(dú)立的隔離系統(tǒng),對安全事件的監(jiān)測和預(yù)警都有很高的實(shí)現(xiàn)度,但是卻不能與第一道放線中的防火墻進(jìn)行聯(lián)動,對潛在的威脅很難做到提前監(jiān)測和預(yù)防,為此需要在信息內(nèi)網(wǎng)中對采集的安全事件相關(guān)信息進(jìn)行處理和分析,發(fā)現(xiàn)有潛在的威脅時,立刻聯(lián)動反饋給防火墻,及時阻斷威脅的入侵。
3結(jié)語
本文通過對電網(wǎng)信息安全構(gòu)架的詳細(xì)講解,分析了電網(wǎng)信息安全設(shè)備聯(lián)動的重要性,對構(gòu)架中每個防御設(shè)備進(jìn)行功能描述,將不同的安全設(shè)備進(jìn)行聯(lián)動來抵御不同的網(wǎng)絡(luò)攻擊和防御潛在的威脅,利用適配層來改良由于防火墻協(xié)議的變更而導(dǎo)致的上層應(yīng)用需進(jìn)行大程度變更的弊端,筆者將繼續(xù)進(jìn)行安全設(shè)備聯(lián)動關(guān)鍵技術(shù)的研究,將聯(lián)動規(guī)則進(jìn)行完善,爭取達(dá)到更好的防衛(wèi)效果。
參考文獻(xiàn)
[1]王紅凱,黃益彬,馬志程.電網(wǎng)信息安全設(shè)備聯(lián)動關(guān)鍵技術(shù)[J].計算機(jī)與現(xiàn)代化,2017(02):57~60.
[2]陳習(xí),覃巖巖,王寧,陳寧.威脅發(fā)現(xiàn)設(shè)備在電網(wǎng)信息安全建設(shè)中的應(yīng)用[J].數(shù)字通信世界,2017(02):202+201.
[3]朱璐.淺談電網(wǎng)公司一體化、可視化、智能化的信息通信調(diào)度理論體系[J].中國新通信,2013,15(20):7~8.
[4]齊四清,劉世民,趙晶,高敏.安全設(shè)備聯(lián)動模型在電力企業(yè)信息安全的應(yīng)用[J].中國科技信息,2013(04):74+76.
作者:李峰 張崇超 皮志賢 單位:國網(wǎng)新疆電力有限公司電力科學(xué)研究院 國網(wǎng)網(wǎng)安(北京)科技有限公司