李 渤
(新疆伊犁河流域开发建设管理局,乌鲁木齐 830000)
随着网络技术和信息技术发展水平的日益提高,水利枢纽调度中心也得到了良好发展。水利枢纽调度中心安全防护系统是保证其稳定运行、 顺利调度的重要手段, 但目前现有的安全防护系统在实际应用中数据丢失量比较大,安全防护效果不够明显,无法满足水利枢纽调度中心安全防护需求, 为此提出水利枢纽调度中心安全防护系统设计, 为水利枢纽调度中心安全防护提供参考依据。
水利枢纽调度中心安全防护系统硬件方面是由数据流量采集探测装置、预处理器、搜索引擎3个硬件设备组成的。 ①数据流量采集探测装置是用来截获没有访问允许的入侵网络数据包, 并且根据预先设定好的IP协议对数据包进行解读处理。 ②预处理器硬件设备是安插在数据流量采集探测装置和搜索引擎之间的, 它主要的作用是将数据流量采集探测装置捕获的数据包进行数据格式及框架修改, 方便后续对该数据包分析, 将修改过后的数据包再传递给搜索引擎[2]。 ③搜索引擎是水利枢纽调度中心安全防护系统的核心硬件设备, 搜索引擎的主要功能是检测预处理器传送过来的数据包, 判断该数据包是否具有病毒和攻击行为。
为实现对水利枢纽调度中心数据传输过程中的实时监测, 本文选用型号为KSO-12003的数据流量采集探测装置作为本文系统当中的核心硬件结构,该探测装置能以最快的速度自动捕获到水利枢纽调度中心入侵行为,并且即使水利枢纽调度中心安全防护系统是在关闭状态也能对入侵行为进行拦截[3]。该型号数据流量采集探测装置内部安装一组网络探针装置,将探针按照相应的规定,安装在调度中心路由器的出口端位置上, 提升对数据流量的传输监测范围。
在水利枢纽调度中心安全防护系统中的流量采集探测装置内部应当增设一组网络探针装置, 将探针按照一定规律安装在路由器的出口端位置, 以此提高对通信网络流量异常监测的范围, 对于一般水利枢纽调度中心中使用的局域网络而言, 增加探针结构能使系统得到更好的监测效果。 本文选用AY5651SS053型号120G探针结构, 其最小中心为6.30N/A, 全行程约7.5+2.5mm, 工作行程为2.5+1.6mm, 弹 簧 力 为150g ±15% @2.5 +1.6mm。AY5651SS053型号探针上针头结构和下针头结构均采用高碳钢镀金,管子整体为磷铜镀金,弹簧结构为琴钢线镀金[4]。 由于探针结构在监测过程中不会经过路由器, 因此对于其宽带的整体运行而言并不会对其造成太大影响。 通过网络探针更加快速地监测到水利枢纽调度中心的调度流量及宽带。 水利枢纽调度数据流量采集探测装置采集流程如图1。
图1 水利枢纽调度数据流量采集探测装置采集流程图
当通过探针获取到水利枢纽调度中心的数据包流量时,将路由器与交换机相连,可使流量数据更顺利导出、采集并分析,图1中的水利枢纽调度数据流量采集探测装置主要采用简单网络管理协议, 保证传输控制协议/网际协议能够统一应用,对于简单的通信网络而言, 这种装置结构可保证系统更好的监测效果[5]。 同时,在流量数据传输的过程中,通过该装置采集到的数据还可以统一格式并存储在管理信息库当中。
此次选取CSS预处理器, 该处理器运行速度较快, 能有效提高水利枢纽调度中心安全防护系统的数据处理效率。 根据预先设定好的IP协议对水利枢纽调度数据流量进行解读处理, 并且将所有的调度数据处理为16位数据,16位数据更有利于后续搜索引擎为水利枢纽调度数据的风险识别。
Snort软件在水利枢纽调度中心安全防护方面有着极高的应用地位,并且该软件具有自动更新功能,所以应对技术高超的水利枢纽调度中心入侵行为,Snort软件是水利枢纽调度中心安全防护系统的首选软件[6]。 Snort软件与其他的网络安全入侵防御软件最大的区别在于,Snort软件有独特的插件机制,插件的使用不仅增强了Snort软件的安全入侵检测能力,同时还提高了Snort软件的入侵检测及防御速度。Snort软件的插件主要由检测插件、分析插件、预警插件3部分组成。 如表1。
表1 Snort软件的插件内容统计
Snort软件检测水利枢纽调度中心安全过程:首先利用检测插件执行系统的检测规则, 对水利枢纽调度中心各个子系统之间的调度数据传输过程进行检测,以GGJ标准作为检测标准,凡是不符合该标准的数据包进行拦截; 将拦截的数据包利用分析插件分析,将数据包进行分解,深度挖掘出数据包的数据特征和异常特征; 最后根据分析结果利用预警插件执行预警程序, 向系统提示水利枢纽调度中心在运行过程中存在危险。
水利枢纽调度中心的全生命周期划分为4个阶段,分别为设计阶段、建设阶段、运行阶段和终止阶段。传统系统在对水利枢纽调度中心进行设计时,并未考虑到对安全及防护的要求, 结果造成对调度信息的安全防护仅停留在对外部周围进行修补上,而无法实现对调度信息的合理防护[7]。因此,为了避免上述问题,在本文系统当中引入对调度中心全生命周期的管控。 在防护过程中,充分对可能存在的风险进行分析,并结合安全防护的需求,在系统当中增加一套完整的信息安全防护OSI模块, 从而避免系统与安全防护相脱节,将二者进行同步建设[8]。在调度中心运行过程中,同时施加OSI模块的防护,并根据调度中心中数据的不同变化情况,给出相应的安全策略及安全配置。 同时,在信息安全防护OSI模块中将水利枢纽调度中心定义为七层标准框架,选用其中子网内部协议中的三层进行体系的建立[9]。通过OSI模块进一步详细规划每一层中的具体功能,从而实现调度中心的互联性。 互操作性以及可移植性。利用OSI模块将本文系统中遇到的复杂防护策略进行详细划分, 将其划分为多个容易解决的小问题, 从而降低本文系统对调度中心安全问题的防护难度, 以此完成水利枢纽调度中心安全防护系统设计。
实验以某水利枢纽调度中心为实验对象, 该水利枢纽由四座大型水利抽电站组成, 其水资源调度范围为14620m2,包含8条调度干道,实验利用此次设计系统与传统系统为水利枢纽调度中心进行安全防护。 在实验中设计了5个调度任务, 调度时间共需150h,平均每个调度任务时间为30h,调度过程中需要完成240GB调度数据传输, 在调度过程中向水利枢纽调度中心发出网络攻击,攻击频率为1.36Hz,主要攻击目的是窃取水利枢纽调度中心调度数据,阻止调度任务顺利进行。 实验中两种系统均以Windows2010作为操作系统,数据库为Object oriented database, 数据流量采集探测装置探测周期设定为1.25s,探测频率设定为3.45Hz。 实验中对两种系统防护结果进行记录, 以水利枢纽调度数据丢失量作为实验结果,对两种系统进行对比分析,两种系统数据丢失量对比如表2。
表2 两种系统数据丢失量对比(GB)
从表2中分析可以得出以下结论:应用此次设计系统水利枢纽调度中心在运行过程中数据丢失量较少,且远远低于传统系统,证明了此次设计系统可满足水利枢纽调度中心安全防护需求, 具有较高的可靠性和可行性。
针对目前水利枢纽调度中心安全防护现状,结合多种硬件和软件技术开发了一个新的安全防护系统, 该防护系统能够精准的识别到水利枢纽调度中心的网络攻击行为, 并且能够有效抵御和防护网络攻击行为, 保护水利枢纽调度中心在运行过程中数据传输安全,降低水量丢失数量,以此保证水利枢纽调度中心正常运行,发挥出其应有的调度作用,此次研究对提高水利枢纽调度中心运行安全性,保障水利枢纽调度中心调度数据安全具有良好的现实意义。