电力信息化行业网络安全主动防御技术研究

盛明珺

电力信息化行业网络涉及到的系统和应用极其丰富，不同设备所应用到的开发技术、自身的内部结构、系统设置、接口样式都存在差异，这些设施集成起来就会出现漏洞，被病毒作为突破口，对网络系统进行攻击。传统的防御方法不能对网络系统进行动态监管，更不能对系统所处的环境进行风险分析和评估，因此，主动防御技术优势更加明显，它不仅能对网络系统进行检测，同时还能主动找出危害因素并加以清除，极大提高了电力信息化行业网络的安全性。

一、电力信息化行业网络面临的安全威胁分析

（一）勒索病毒

这种病毒从本质上来讲其实就变异式木马，一旦被这种病毒攻击，将无法对文件系统进行访问。其可以大致分为两种不同类型：加密型，这种类型的病毒利用加密算法对攻击的电力通信系统进行加密，要想解密必须要支付费用才能操作；锁定型，这类病毒是以远程操控的形式将操作系统锁定，使其他人无法对文件系统进行操作。

（二）DDOS攻击

随着电网智能化的加深和覆盖面的不断扩大，其中所应用的设备、软件、载入的数据、使用的用户都不断增多。在此基础上，还利用移动通信等技术和传感器摄像头对电网进行动态监控，这就使整个系统极易受到DDOS的攻击。这种攻击建立在多用户同时在一个程序上登录，占用各种相关资源的现象上。会使得正常用户出现不能访问服务器的情况，使系统处理速度极大地降低。近些年出现的类似例子数不胜数，给我国电力通信系统造成了重大损失。

（三）数据盗窃

最常发生、也是威胁最大的一项，就是电力信息网络系统遭到的数据盗窃。当前电网中乘载的数据种类繁多、内容复杂，无论是哪种数据类型都是归类于机密信息的，不能轻易地向外界透露，或被其他用户获取，但是，当前网络上许多不法分子运用一些非法手段，对整个电网系统进行攻击，盗取系统中的机密数据。这对电网数据造成的损失无疑是非常巨大的。

二、主动防御技术类型

（一）陷阱技术

1、蜜罐技术

所谓的蜜罐技术是让自身蜜罐系统存在一个明显的漏洞，对攻击者进行诱骗。其原理是系统对易受攻击的主机进行模拟，让攻击者将此系统作为目标。但蜜罐系统自身是没有任何有价值的数据和服务的，所以但凡是尝试对此系统进行链接动作都被视作不正常的动作，遭到攻击时，系统会对攻击方进行拖延，对攻击源头进行追踪，找到线索并发送给管理员。

2、蜜网技术

蜜网不仅能够模拟存在大漏洞的网络系统，来诱惑不法者进行攻击，同时也是学习工具，通过这一技术能够对攻击者的所有信息进行获取，包括攻击者所使用的工具和攻击计划，最终要达到的目的，并对这些信息进行分析、研究和学习。其功能主要可概括为三点：对信息进行控制，对频繁攻击主机并产生威胁的攻击者，一定程度上降低其對系统威胁；对相关信息进行捕获，攻攻击者的行为信息，并对攻击路径进行研究，弄清攻击动机、来源、计划等；对相关信息进行收集，信息收集，指的是专门针对非单一蜜网存在的情况进行作用的功能，他能从中收集获取数据的有效方法。

（二）取证技术

这里提到的取证是指网络系统被入侵后对入侵信息进行分析取证的技术，此技术可分为两类。

1、静态取证技术

在系统遭受到攻击后，通常会经过一系列技术手段对入侵痕迹进行取证并分析，但是在攻击者入侵网络系统后，会对整个系统进行清理，因此取证技术会花费很长的时间，并且难度较大。静态取证技术是在入侵发生过程中，对数据进行提取、分析，保留有效成分。其应用到工具种类较多，并通过这些复杂手段，对数据进行克隆、分析和恢复。有些通过建立一个单独硬盘镜像，有效地阻止数据被改写，对保护电子证据起到很大的作用。

2、动态取证技术

动态取证技术与静态取证技术相比，更具有一定的发展优势，静态取证技术主要是对一个固定时间的数据信息进行分析取证，而动态取证技术则是实时地对数据进行相应的分析。同时，这项技术也能够对入侵者的动作进行分析和回应，通过自身分析的数据，切断入侵者的连接，或是设置相应的陷阱，使入侵者更深层次进入，在这一过程中获得攻击者的信息。如果一些不法分子入侵了预先设置好这项技术的网络系统，动态取证技术就会对入侵者的所有动作，包括对文件数据的改动或传送进行详细记录。并依照这些记录，反过来对数据进行恢复，同时将所记录的信息传输到取证机上。除以上动作外，动态取证技术会取出相应的记录，与网络数据进行比对分析，追踪入侵者的相关信息，如来源、形式和入侵程度，从而研究出一系列的反击技术，防患于未然。

三、主动防御技术功能

（一）网络数据的采集

电力信息化行业数据存储量非常的巨大，并且其来源渠道也种类繁多，大部分数据存储在应用程序和数据库中，其传输形式也有很多种，像硬件设施交换机、服务器等都属于对数据进行传输交换的渠道，所以数据的采集也可以从多方面来进行，所应用的技术灵活性也较大。可以从数据源头数据传输过程和数据存储位置进行抓取。在获得这些信息后，对其进行分类整理，所分类型依照所抓取的数据进行定制，并将这些采集到的数据存储在病毒数据库，路径可以按时间顺序进行设计。最近获得的数据放在优先访问的位置，以此方式来实现实时、快速的数据获取，最后将获得的数据进行风险分析。

（二）网络安全风险分析

数据采集过程结束后，则要对其进行一定的分析和处理，建立相应的风险数据矩阵，从两种不同的角度进行分析，一方面是数据来源分析，另一方面是分析风险考量指标，按照指标进行衡量，分析是否存在被攻击的风险及其风险指数。安全风险分析方法运用的数据挖掘技术多种多样， 但无论哪种技术都遵循风险最小化原则，对数据进行挖掘和分析，为保证网络系统的安全提供了相应的参考。

（三）网络安全评估功能

评估结果可分为优秀、良好、一般、轻度、重度几个对应级别。第一个等级是指各个软硬件数据经过分析过后，没有发现任何安全威胁，基本没有明显的漏洞，能够保证网络安全系统的正常运行；第二个等级表示经过各类数据分析评估之后，软硬件设施状态比较良好，可能稍微有些不够稳定的因素存在，因此需要偶尔对其进行检测；第三个等级表示，经过系统分析之后，软硬件设施能够基本正常运行，但是需要对其进行动态的监控，以此来保护整个系统不会被一些风险所威胁；第四个等级就说明网络系统中已经蕴涵着一定的危险因素。例如，系统中已经出现一些明显的漏洞，或是小的数据故障，这时就要对整个系统采取相应的保护措施；第五个等级则是经过系统分析之后，已经检测出明显的系统漏洞，并且出现一些比较严重的病毒侵入，这些危险因素已经严重阻碍了系统的正常运行。

（四）安全防御功能

最后一个功能，也是最主要的功能，就是对整个系统的安全防御。前面所提到的各项功能，只是在没有受到不法分子入侵时的一个预防功能，只能实现降低网络系统受到攻击的风险和找出威胁网络安全的因素。但是在网络安全遭到攻击时，安全防御功能才是最主要的功能。整个防御功能非常的完整，分为多个层次。访问控制列表，综合前面功能所分析出的结果，其可以限制一些频繁攻击其他系统的用户访问服务器，降低这些用户对整个系统进行数据盗取的几率；Web安全服务器，该这一层次的防御过滤功能非常强大，可以对每个数据协议自动进行分析，一旦找到存在安全风险的数据就将报告发送给杀毒软件；最后一个层次则为各种病毒查杀软件，接到安全服务器的报告之后，病毒查杀软件会对其报告内容所指的病毒进行查杀，及时的清除掉对计算机有威胁的因素。除此之外，安全防御系统还拥有数据实时监控的功能。一旦发现可能对计算机安全，造成威胁的不稳定因素就会采取以上步骤，对整个数据进行主动分析。这对整个网络系统的安全有着非常重大的意义。

四、结语

电力信息化行业网络安全主动防御技术是保证网络系统正常运行的重要载体，因此，为了使这部分的安全更加有保障，就必须要建立更加牢固的安全防御措施，应用主动防御技术能更好地保障信息化行业的网络安全。

作者单位：中国大唐集团科学技术研究院有限公司华东电力试验研究院