基于主动防御技术的安全防护

摘要：该文阐述了调度自动化系统安全防护现状，依据动态信息安全P2DR模型，结合主动防御新技术设计了调度自动化系统安全防护模型，给出了具体实现的物理架构，讨论了其特点和优越性。

关键词：P2DR模型 主动防御技术 SCADA 调度自动化

　　随着农网改造的进行，各电力部门的调度自动化系统得到了飞快的，除完成SCADA功能外，基本实现了高级的分析功能，如拓扑分析、状态估计、潮流、安全分析、调度等，使电网调度自动化的水平有了很大的提高。调度自动化的应用提高了电网运行的效率，改善了调度运行人员的工作条件，加快了变电站实现无人值守的步伐。目前，电网调度自动化系统已经成为电力的"心脏"_[1]。正因如此，调度自动化系统对防范病毒和黑客攻击提出了更高的要求，《电网和电厂计算机监控系统及调度数据网络安全防护规定》（中华人民共和国国家经济贸易委员会第30号令）_[9]中规定电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施，不得与安全等级低的系统直接相联。而从目前的调度自动化安全防护技术应用调查结果来看，不少电力部门虽然在调度自动化系统网络中部署了一些网络安全产品，但这些产品没有形成体系，有的只是购买了防病毒软件和防火墙，保障安全的技术单一，尚有许多薄弱环节没有覆盖到，对调度自动化网络安全没有统一长远的规划，网络中有许多安全隐患，个别地方甚至没有考虑到安全防护问题，如调度自动化和配网自动化之间，调度自动化系统和MIS系统之间数据传输的安全性问题等，如何保证调度自动化系统安全稳定运行，防止病毒侵入，已经显得越来越重要。

　　从电力系统采用的现有安全防护技术方法方面，大部分电力企业的调度自动化系统采用的是被动防御技术，有防火墙技术和入侵检测技术等，而随着网络技术的发展，逐渐暴露出其缺陷。防火墙在保障网络安全方面，对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率和误报率_[4]。这些都必须要求有更高的技术手段来防范黑客攻击与病毒入侵，本文基于传统安全技术和主动防御技术相结合，依据动态信息安全P2DR模型，考虑到调度自动化系统的实际情况设计了一套安全防护模型，对于提高调度自动化系统防病毒和黑客攻击水平有很好的价值。

　　1 威胁调度自动化系统网络安全的技术因素

　　目前的调度自动化系统网络如iES-500系统_[10]、OPEN2000系统等大都是以Windows为操作系统平台，同时又与Internet相连，Internet网络的共享性和开放性使网上信息安全存在先天不足，因为其赖以生存的TCP/IP协议缺乏相应的安全机制，而且Internet最初设计没有考虑安全问题，因此它在安全可靠、服务质量和方便性等方面存在不适应性_[3]。此外，随着调度自动化和办公自动化等系统数据交流的不断增大，系统中的安全漏洞或"后门"也不可避免的存在，电力企业内部各系统间的互联互通等需求的发展，使病毒、外界和内部的攻击越来越多，从技术角度进一步加强调度自动化系统的安全防护日显突出。

　　2 基于主动防御新技术的安全防护设计

　　2.1 调度自动化系统与其他系统的接口

　　由于调度自动化系统自身工作的性质和特点，它主要需要和办公自动化（MIS）系统_[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度，企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况，因此调度自动化系统自身设有Web服务器，以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10 kV出线开关，两者之间需要进行信息交换，而配网自动化系统运行情况需要通过其Web服务器公布于众_[5]，同时由于配网自动化系统本身的安全性要求，考虑到投资问题，可以把它的安全防护和调度自动化一起考虑进行设计。

　　2.2 主动防御技术类型

　　目前主动防御新技术有两种。一种是陷阱技术，它包括蜜罐技术（Honeypot）和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统，通过模拟一个或多个易受攻击的主机，给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务，拖延攻击者对真正目标的攻击，让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品，如BOF是由Marcus Ranum和NFR公司开发的一种用来监控Back Office的工具。Specter是一种商业化的低交互蜜罐，类似于BOF，不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人"攻陷"的网络，主要用来分析入侵者的一切信息、使用的工具、策略及目的等。

　　另一种技术是取证技术，它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下，运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证方法，在入侵后对数据进行确认、提取、分析，抽取出有效证据，基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具，如Guidance Software的Encase,它运行时能建立一个独立的硬盘镜像，而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势，它是在受保护的计算机上事先安装上代理，当攻击者入侵时，对系统的操作及文件的修改、删除、复制、传送等行为，系统和代理会产生相应的日志文件加以记录。利用文件系统的特征，结合相关工具，尽可能真实的恢复这些文件信息，这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多，价格昂贵，国内部分企业也开发了一些类似产品。

　　2.3 调度自动化系统安全模型

　　调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架，P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型，它主要包含4个部分：安全策略（Policy）、防护（Protection）、检测（Detection）和响应（Response）_[8]。模型体系框架如图1所示。

　　在P2DR模型中，策略是模型的核心，它意味着网络安全需要达到的目标，是针对网络的实际情况，在网络管理的整个过程中具体对各种网络安全措施进行取舍，是在一定条件下对成本和效率的平衡_[3]。防护通常采用传统的静态安全技术及方法来实现，主要有防火墙、加密和认证等方法。检测是动态响应的依据，通过不断的检测和监控，发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的方法，它在安全系统中占有最重要的地位。

　　2.4 调度自动化系统的安全防御系统设计

　　调度自动化以P2DR模型为基础，合理利用主动防御技术和被动防御技术来构建动态安全防御体系，结合调度自动化系统的实际运行情况，其安全防御体系模型的物理架构如图2所示。

　　防护是调度自动化系统安全防护的前沿，主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息网络之间安置防火墙监视限制进出网络的数据包，防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面，制造一个被入侵的网络环境诱导入侵，引开黑客对调度自动化Web服务器的攻击，从而提高网络的防护能力。

　　检测是调度自动化安全防护系统主动防御的核心，主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现，包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测，主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描，找出漏洞或没有打补丁的主机，以便做出相应的补救措施。陷阱机是设置的蜜罐系统，其日志记录了网络入侵行为，因此不但充当了防护系统，实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的黑客攻击方法和工具以及新的系统漏洞。响应包括两个方面，其一是取证机完整记录了网络数据和日志数据，为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。

　　综上所述，基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性：

　　·在整个调度自动化系统的运行过程中进行主动防御，具有双重防护与多重检测响应功能；

　　·企业内部和外部兼防，可以以武器来威慑入侵行为，并追究经济责任。

　　·形成了以调度自动化网络安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。

　　调度自动化系统的安全防护是一个动态的过程，本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合，在P2DR模型基础上进行的设计，使调度自动化系统安全防御在遭受攻击的时候进行主动防御，增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术，仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制，尤其是管理规章制度的严格执行等必须长抓不懈。

　　：

　　[1]梁国文.县级电网调度自动化系统实现的功能.电气化,2004,(12):33~34.

　　[2]丁杰,高会生,俞晓雯.主动防御新技术及其在电力信息安全中的应用.电力系统通信,2004,(8):42~45.

　　[3]赵阳.电力网的安全及对策.电力信息化,2004,(12):26~28.

　　[4]阮晓迅,等.机病毒的通用防护技术.电气自动化,1998,(2):53~54.

　　[5]郝印涛,等.配网管理与调度间的信息交换.农村电气化,2004,(10):13~14.

　　[6]韩兰波.县级供电企业管理信息系统(MIS)的应用.农村电气化,2004,(12):33~34.

　　[7]Honeynt Project. Know Your Enemy:Hnoeynet[DB/OL].http://www.honeynet.org.

　　[8]戴云,范平志.入侵检测系统研究综述[J].计算机工程与应用,2002,38(4):17~19.

　　[9]中华人民共和国国家贸易委员会第30号令.电网和电厂计算机监控系统及调度数据网络安全防护规定,2002,(5).

　　[10]潘光午.iES-500调度自动化系统在县级电力企业中的应用.2004,(10).