引言
當前,電力系統已基本形成了自己的生產過程自動化和管理現代化信息網絡,并在實際生產和管理中發揮著巨大的作用。隨著全球信息化的迅猛發展,電力系統必將加強與外部世界的信息交流,以提高生產和管理效率,開拓更廣闊的發展空間。然而,網絡開放也增加了網絡受攻擊的可能性。與外部網絡的連接必然面臨外來攻擊的威脅。對于關系到國計民生的電力系統而言,網絡安全必須作為一個重大戰略問題來解決。目前,防火墻技術作為防范網絡攻擊最基本的手段已經相當成熟,是抵御攻擊的第一道防線,入侵檢測系統(intrusion detective system,縮寫為IDS)作為新型的網絡安全技術,有效地補充了防火墻的某些性能上的缺陷,兩者從不同的角度以不同的方式確保網絡系統的安全。
本文首先分析電力企業信息網絡的結構,并結合其特點和對網絡安全的特殊要求,就如何有效地將防火墻和入侵檢測技術運用到電力企業信息網絡中進行探討。
1 電力系統的信息網絡
電力系統的信息網絡分為兩大模塊:監控信息系統(supervisory information system,縮寫為 SIS)和管理信息系統(management information system,縮寫為MIS)。
SIS對生產現場進行實時監控,從分布在生產現場的許多點采集數據,再由系統中的計算單元進行性能計算、故障診斷等,將結果存放到實時數據服務器,為生產現場實時提供科學、準確的數據,以控制整個生產過程。SIS包括CRT監控系統、DCS(數據通信系統)、FCS(現場總線控制系統)等子系統。
MIS的功能是實現企業自動化管理,包括若干子系統,分別實現生產經營管理、財務和人事管理、設備和維修管理、物資管理、行政管理等功能。較完善的MIS還包括輔助決策子系統,為管理人員提供智能支持,是企業管理規范化、科學化的基礎。
目前電力系統的信息網絡一般將SIS和MIS分做同一網絡中的兩個子網,并分別配置服務器,兩子網之間用網關連接,如圖1所示。
圖1 企業內部局域網
DPU(分散過程控制單元)從生產現場采集數并發送到高速數據網供DCS各工作站分析處理,同時為了保證SIS的網絡安全,SIS以太網通過網關與MIS服務器連接,作為MIS到SIS的入口并管理MIS對SIS的訪問。
SIS和MIS功能各異,對安全的要求也有所不同。SIS由于與現場生產息息相關,一旦遭到入侵,勢必影響生產甚至造成惡性事故,所以其安全性要求更高。現行的網絡結構也充分體現了這一特點,對 SIS實施更高級別的保護。
當局域網與外部網絡連接后,MIS要向外界提供服務,網絡面臨的威脅將空前廣泛、尖銳,這時原有的安全系統顯然過于單薄,必須在原有基礎上制定更嚴密、可靠的防御體系。
在安全的操作系統基礎上,防火墻結合IDS是一種較為理想的解決方案。
2 防火墻
防火墻是防范網絡攻擊最常用的手段,是構造安全網絡環境的基礎工程。它通常被安置在內部網絡與外部網絡的連接點上,將內部網絡與外部網絡隔離,強制所有內部與外部之間的相互通信都通過這一節點,并按照設定的安全策略分析,限制這些通信,以達到保護內部網絡的目的。
2.1 防火墻的體系結構
構造防火墻時通常根據所要提供的服務、技術人員的技術、工程的性價比等因素采用多種技術的組合,以達到最佳效果。
目前常見的防火墻體系結構有以下幾種:
a.雙重宿主主機體系結構。在內部網絡與外部網絡之間配置至少有兩個網絡接口的雙重宿主主機,接口分別與內部、外部網絡相連,而主機則充當網絡之間的路由器。這樣,內部、外部網絡的計算機之間的IP通信完全被阻隔,只能通過雙重宿主主機彼此聯系。
b.屏蔽主機體系結構。這種結構的防火墻由路由器和堡壘主機構成,路由器設置在內部、外部網絡之間,實現數據包過濾。堡壘主機設置在內部網絡中,外部網絡的計算機必須連接到堡壘主機才能訪問內部網絡。
c.屏蔽子網體系結構。利用兩個路由器(內部路由器和外部路由器)將內部網絡保護到更深一層,而在兩個路由器之間形成一個虛擬網絡,稱之為周邊網絡,堡壘主機連接在周邊網絡上,通過外部路由器與外部網絡相連。這樣,如果入侵者突破了外層的防火墻,甚至侵入堡壘主機,內部網絡依然安全。
2.2 電力企業信息網防火墻的結構設計
電力系統對安全性的高度要求,企業信息網絡的安全問題應該予以格外關注。必須組建科學、嚴密的防火墻體系,為企業內部網絡尤其是內部網絡中的SIS子網提供高度的網絡安全。
電力企業內部網絡由兩個安全級別不同的子網 MIS和SIS構成,其中SIS對安全要求更高,因此它僅向MIS提供服務而不直接與外部網絡相連,由 MIS向外界提供服務。基于這個特點,防火墻宜采用屏蔽子網的體系結構,如圖2所示。
圖2 防火墻體系結構
MIS作為體系中的周邊網,SIS作為內部網。設置兩臺屏蔽路由器,其中外部路由器設在MIS與外部網絡之間,內部路由器設在SIS與MIS之間,對進出的數據包進行過濾。另外,堡壘主機連接在MIS中,對外作為訪問的入口,對內則作為代理服務器,使內部用戶間接地訪問外部服務器。
應該強調的是,MIS的堡壘主機極有可能受到襲擊,因為所有對內部網絡的訪問都要經過它,因此,在條件允許的情況下,可以在MIS中配置兩臺堡壘主機,當一臺堡壘主機被攻擊而導致系統崩潰時,可以由另一臺主機提供服務,以保證服務的連續性。同時,在MIS中配置一臺處理機,與內部路由器組成安全網關,可以作為整個防火墻體系的一部分,控制MIS向SIS的訪問以及對數據傳輸進行限制,提供協議、鏈路和應用級保護。網關還應考慮安全操作系統問題,Win2000[4]是一個可行的選擇。盡管可能還存在一些潛在的漏洞,Win2000依然是目前業界最安全的操作系統之一。由于SIS僅對MIS的固定用戶提供服務,同時考慮到SIS的安全要求,對網關的管理可以采取Client/Server方式,這樣雖然在實現上較Browser/Server方式復雜一些,但卻具有更強的數據操縱和事務處理能力,以及對數據的安全性和完整性的約束能力。
2.3 防火墻的缺陷
盡管防火墻在很大程度上實現了內部網絡的安全,但它的以下幾個致命的缺陷使得單一采用防火墻技術仍然是不可靠的。
a.無法防范病毒。雖然防火墻對流動的數據包進行嚴格的過濾,但針對的是數據包的源地址、目的地址和端口號,對數據的內容并不掃描,因此對病毒的侵入無能為力。
b.無法防范內部攻擊。從防火墻的設計思想來看,防范內部攻擊從來就不是它的任務,它在這方面是一片空白。
c.性能上的限制。防火墻只是按照固定的工作模式來防范已知的威脅,從這一點來說,防火墻雖然“勤懇”,但是過于“死板”。
所以,安裝了防火墻的系統還需要其他防御手段來加以充實。
3 IDS
IDS(入侵檢測系統)是一種主動防御攻擊的新型網絡安全系統,在功能上彌補了防火墻的缺陷,使整個安全防御體系更趨完善、可靠。
3.1 入侵檢測原理與實踐
IDS以檢測及控制為基本思想,為網絡提供實時的入侵檢測,并采取相應的保護措施。它的設計原理一般是根據用戶歷史行為建立歷史庫,或者根據已知的入侵方法建立入侵模式,運行時從網絡系統的諸多關鍵點收集信息,并根據用戶行為歷史庫和入侵模式加以模式匹配、統計分析和完整性掃描,以檢測入侵跡象,尋找系統漏洞。
IDS一般分為基于主機的IDS和基于網絡的IDS兩種。基于主機的IDS其輸入數據來源于系統的審計日志,用于保護關鍵應用的服務器;基于網絡的IDS輸入數據來源于網絡的信息流,用于實時監控網絡關鍵路徑的信息。目前的入侵檢測產品通常都包括這兩個部件。
在實踐中,IDS一般分為監測器和控制臺兩大部分。為了便于集中管理,一般采用分布式結構,用戶在控制臺管理整個檢測系統、設置監測器的屬性、添加新的檢測方案、處理警報等。監測器部署在網絡中的關鍵點,如內部網絡與外部網絡的連接點、需重點保護的工作站等,根據入侵模式檢測異常行為,當發現入侵時保存現場,并生成警報上傳控制臺。
3.2 在電力企業信息網中運用IDS
電力企業的安全涉及國家安全和社會穩定,建議盡可能使用國產檢測系統,如北京中科網威“天眼”入侵檢測系統清華紫光Unis入侵檢測系統等,這些產品在技術上已相當成熟,且在不斷升級。
安裝IDS的關鍵步驟是部署檢測器與控制臺。針對電力企業網絡的特點,首先,可以在外部路由器與外部網絡的連接處部署監測器(如圖3所示),以監測異常的入侵企圖。在防火墻與MIS之間部署監測器,以監視和分析MIS與外部網絡的通信流。然后,分別在MIS和SIS中部署一臺監測器,監視各子網的內部情況;控制臺設置在MIS中。最后,根據實際情況為個別需重點保護的服務器、工作站安裝基于主機的入侵檢測軟件,保護重要設備。
安裝IDS后,更具挑戰性的工作就是有效地運行IDS。防火墻在測試和設置后便開始工作了,而 IDS則不同。IDS提供實時檢測需要管理員“實時”地配合,管理員要做好處理各種警報的準備工作;在系統發出警報時要判斷是否誤報,正確處理警報,決定是否關閉系統或是繼續監視入侵者以收集證據等,都需要管理員就地解決。只有管理員及時采取恰當的處理方法,才能真正發揮IDS的功效。
圖3 IDS 分布式布置
4 安全體系的運作與后期擴充
雖然防火墻的防護是被動的,而IDS是實時的,但安全體系(包括各單一主機自身的安全體系)是作為一個整體協同運作的。目前的主機和網絡設備都具有完備的安全審計功能,IDS可以充分利用系統的網絡日志文件作為必要的數據來源,而當 IDS發現可疑行為時又需要其他主機或防火墻采取相應的保護措施,例如通知防火墻對可疑IP地址發來的數據包進行過濾等。
當然,從技術方面來說,網絡安全所涉及的范圍是相當廣泛的,包括安全的操作系統、防火墻、安全審計、入侵檢測、身份認證、信息加密、安全掃描、災難恢復等。防火墻結合IDS只是形成了安全體系基本內容,還需要在系統運行中運用多種技術不斷充實安全體系的功能,例如在系統中配置掃描器,定期進行風險評估和查找漏洞,升級防火墻或者向IDS中添加新的攻擊方式等。同時,任何防御體系都不可能保證系統的絕對安全,必須不斷提高系統管理人員的技術水平,密切關注網絡安全的發展動態,及時升級網絡防御系統,提高系統的防御能力。
5 結語
當前,電力企業正以原有設施為基礎,構建企業與電力公司、企業與企業間的信息網絡,網絡安全是一個不可忽視的問題。防火墻與入侵檢測技術相結合,為網絡安全體系提供了一個良好的基礎,對保障系統安全發揮不可忽視的作用。當然,完備的安全體系還需要其他多種安全技術從功能上進一步完善,同時,安全問題不僅是一個技術問題,也是一個系統工程,需從組織管理、法律規范等多方面予以支持。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://m.hanmeixuan.com/
相關文章
