提升电力系统现有网络安全防御体系的解决方案.doc

提升电力系统现有网络安全防御体系的解决方案摘要：对电力系统现有的网络安全防御技术进行了分析，得出当前的安全防御技术虽能够解决绝大部分已知的恶意代码攻击，但却处于对新型的和未知的恶意代码攻击无法识别的被动防御的状态，并提出将现有的安全防御体系提升为主动防御体系，实现差异化、纵深防御的解决方案。关键词：未知攻击；同质化；被动防御；主动防御；防御体系solution to upgrade the existing power system network security defense systemli yongkang1,zhou junpeng2,chen yunfeng1(1.department of technology information,panzhihua electric power bureau,sichuan electric power corporation,panzhihua 617000,china;2.department of technology,chengdu chinatech huichuang technology co.,ltd,chengdu 610041,china)abstract:analyzed technologies of the existing power system network security defense,it shows the current security and defense technology can solve the vast majority of known malicious code attacks,but it is in a state of passive defense,which can not recognize the new and unknown malicious code,it proposed to upgrade the existing security defense system for the active defense system,to achieve the solution of differentiation and defense in depth.keywords:unknown attack;homogenization;passive defense;active defense;defense system一、前言（一）电力行业简介电力系统是由发电、输电、变电、配电、用电设备及相应的辅助系统组成的电能生产、输送、分配、使用的统一整体。由输电、变电、配电设备及相应的辅助系统组成的联系发电与用电的统一整体称为电力网。电力工业是国民经济发展中最重要的基础能源产业，是关系国计民生的基础产业。电力行业对促进国民经济的发展和社会进步起到重要作用，与社会经济和社会发展有着十分密切的关系，它不仅是关系国家经济安全的战略大问题，而且与人们的日常生活、社会稳定密切相关。随着我国经济的发展，对电的需求量不断扩大，电力销售市场的扩大又刺激了整个电力生产的发展。（二）电力行业信息化it系统架构电力行业it系统按照“sg186”体系部署，整体化分为一体化企业级平台、八大业务应用系统和六个保障系统，形成“纵向贯通、横向集成”的庞大信息网络。八大业务应用分为建设财务（资金）管理、营销管理、安全生产管理、协同办公管理、人力资源管理、物资管理、项目管理、综合管理等。六个保障体系为信息化安全防护体系、标准规范体系、管理调控体系、评价考核体系、技术研究体系和人才队伍体系。二、当前电力系统网络防御技术分析（一）电力网络行为与内容的安全情况。电力网络行为与内容的安全主要是指建立在行为可信性、有效性、完整性和对电力资源管理与控制行为方面，面对的威胁应当属于是战略性质的，即电力系统威胁不仅要考虑一般的信息犯罪问题，更主要是要考虑敌对势力与恐怖组织对电力相关信息、通信与调度的攻击，甚至要考虑战争与灾害的威胁。（二）电力网络系统安全情况。对于电力行业主要考虑以下系统：各类发电企业、输电网、配电网、电力调度系统、电力通信系统（微波、电力载波、有线、电力线含光纤）、电力信息系统等。这里主要考虑到电力调度数据网（spdnet）、电力通信网与电力信息网几个方面的安全问题。电力系统的安全建设以资源可用和资源控制的安全为中心，必须保障电力系统畅通的24小时服务。目前，大多数规模较大的发电企业和很多省市的电力公司在网络安全建设方面已经做了很多工作，通过防火墙、入侵检测系统、vpn设备等关键的安全产品的部署和实施已经初步地建立起了基础性的网络安全防护系统，并取得一定的效果，应当说是有自主特色的。（三）电力信息内网安全防护体系。电力信息内网属于电力网络的管理信息大区中，信息内网定位为内部业务应用系统承载网络和内部办公网络，部署了大量的应用服务器和数据库服务器、以及不需要外联的办公主机。电力信息内网对外连接包括：通过公用信息网与上下级电力公司的信息内网相连接；通过vpn连接互联网，以保障移动办公终端的接入；通过逻辑强隔离设备与信息外网相连接；通过正/反向隔离装置与生产控制大区相连。电力信息内网部署有以下安全防护手段：防火墙系统。信息内网内部不同安全区域之间部署防火墙，增强区域隔离和访问控制力度，严格防范越权访问、病毒扩散等内部威胁；信息内网出口处部署防火墙系统，实现网络边界防护，同时保护web服务器域；vpn系统。信息内网出口处部署vpn系统，为移动办公、营销系统远程访问等提供接入防护，客户端应当采取硬件证书的方式进行接入认证；为了统一管理和维护，电力的移动办公统一入口设在信息内网的vpn网关处；入侵检测系统。信息内网核心交换机和重要网段部署入侵检测系统，实现对网络流量的动态监视、记录和管理、对异常事件进行告警等；日志审计系统。信息内网部署一套日志审计系统，采用分级部署方式，实现全省信息内网安全事件的集中收集和审计问题；主机管理系统。电力信息内网统一部署主机管理系统，实现主机设备的统一管理和防护；防病毒系统。电力公司信息内网部署一套防病毒系统，采用分级部署方式，控管中心设在电力公司本部，地市供电公司分别安装二级控管中心和防病毒服务器，接收控管中心的统一管理。安全管理分区。电力信息内网依据业务系统保护等级，分为生产控制区（、区）、管理信息区（区）和外部信息网，各分区进行相应等级的安全防护。（四）目前防御系统的防御弱点病毒检测扫描类技术的防御弱点。从病毒到恶意代码（木马、蠕虫、病毒、恶意脚本、shellcode、流氓间谍软件），无论是种类还是数量都是海量增长，来自海量恶意代码的海量攻击使得基于以字符串crc效验、散列函数值等特征码检测为主；采用加密变形的启发式算法、仿真技术检测为辅的病毒检测技术已无法有效检测每天如潮水般增长的恶意代码。以超级病毒特征库、超级白名单库、超级恶意url库、自动化分析流程为主要特点的云安全技术在一定程度上改善互联网用户安全的同时，存在分析时延、病毒特征库更新时延、恶意url搜索时间间隔等问题，同时海量提交的文件带来的极大分析压力使得分析失误的概率大大增加，从而给用户带来极大的风险，对于物理隔离的专网、内网也无法使用云安全技术。该类产品的最大弱点是对未知恶意代码缺乏有效的监控和辨识能力。入侵检测防御类技术的防御弱点。入侵检测技术经过多年发展，ids、ips、utm、应用防火墙、防毒墙等产品能应对大部分已知攻击，对网络安全起到了非常大的作用，但也存在辨识技术上的防御弱点。以基于规则描述的特征组合检查为主，协议异常检测、统计异常检测为辅的入侵检测引擎无法有效识别隐藏在合法应用流量中的攻击流量、基于未知漏洞的攻击流量、加密变形的攻击流量，更无法截断潜伏在这些流量中的有经验黑客的深度攻击。由ids（监控报警子系统）+安全工程师（辨识和决策）+防火墙（处理子系统）构成的防御系统，严重依赖安全工程师的经验和分析水平。对未知攻击流量和隐藏在应用流量中的恶意流量缺乏辨识能力，使得试图在网络层完全阻挡入侵攻击、恶意代码的传播是不现实的。其它非防御类安全产品的弱点。加密技术类安全产品可以解决泄密问题，却无法阻御攻击者和恶意代码对加密信息的破坏。行为管理类安全产品能管理用户的行为，却无法阻挡有意者的恶意攻击行为，对恶意代码和黑客攻击的后台行为，更无法察觉和控制。身份认证类安全产品能解决身份可信问题，却无法保证合法者伪造的恶意攻击和对恶意代码的渗透和传播。防火墙类产品的访问控制能力更适合作为处理控制手段，而不是攻击和恶意代码的识别工具，更无法解除流量中的威胁，桌面级的防火墙更是带来网络管理上的不方便。漏洞扫描类安全产品能发现存在的漏洞风险，却没有防御攻击的手段。主机安全产品，偏重于主机使用者的行为控制，它本身不能防御恶意代码的攻击和破坏。以上安全类产品由于解决的主要问题是在安全的其它方面，从防御组成来看，本身缺乏防御能力，更需要安全防御系统来保护这类安全资产。（五）当前电力防御体系总结分析当前由防火墙、入侵检测系统、杀毒软件组成的防御体系已经不能阻挡每天如潮水般增长的恶意代码，其技术壁垒也逐渐显露，其被动性的原因主要有以下几点：1.恶意样本和攻击的海量增长。据国内安全厂商江民科技对近年来恶意代码数量的统计，2011年上半年全年共增加病毒特征代码48万余条。2010年上半年及2011年上半年新增病毒特征数量示意图1图12.对抗传统防御体系的特征码免杀技术、网络攻击逃避技术近年来不断持续发展和传播。攻击方由以前那种单一作战已经逐渐演变为一个集团利益团体甚至国家利益的团体，在经济、政治利益的驱使下，免杀、逃逸技术发展迅速。3.对攻击和威胁的识别能力不足，对未知攻击和威胁无法识别。要防御攻击带来的威胁，首先要解决对攻击和威胁的识别，传统的特征码识别技术对未知的攻击和威胁无法识别。4.同质化技术构成的防御体系容易导致技术一点被破、全局皆破。随着电力系统在信息化建设方面的不断加大，信息安全问题也逐渐凸显，病毒、蠕虫、木马等恶意代码在网络中肆意传播，严重威胁着电力系统的正常运行。而现有的防御体系则主要以协议过滤、特征签名包和特征码比对技术为主构建的传统的防御体系，能够有效的防御已知的恶意代码攻击（已有的特征签名包和特征码），但对于多变的未知的恶意代码攻击却显得无能为力。因此，需要一种技术能够实时有效的防止未知的恶意代码攻击，从而提升整个网络的安全防御体系。传统的防御手段所采用的技术是导致其被动性的根源，面对当下如此严峻的安全形势，亟需构建一个实时主动的网络防御体系。三、构建主动防御体系（一）防御系统的构成标准在网络信息对抗中，一个完善防御系统的防御链必须由监控、辨识决策、处理三大子系统。防御系统的抗攻击、反入侵能力高低取决于监控能力强弱、辨识决策是否足够智慧、处理子系统是否完善有效、三个子系统的自动化联动程度四个方面，其中最核心的是辨识决策技术。目前的安全产品，能有效构建防御系统主要是以病毒检测扫描类技术和入侵检测防御类技术为主，但这两类技术都存在防御弱点。（二）构建电力系统主动防御体系在构建主动防御体系之前，不防先回顾一下防御系统产生的原因：有了信任与欺骗的斗争，于是便产生了可信任体系；出现了攻与防的斗争，也就有了防御体系。那如何构建一个防御体系，不防借鉴历史战争，其无非分为三种：事前防御、事中防御和事后防御。于是建立如下的主动防御体系：主动防御中心图2从图中可以看出，防御体系的强弱取决于攻击事件正在进行时防御系统的防御能力，也就是事中防御。而从传统的防御体系可以看出，无论是漏洞检测技术、网络准入技术、特征码扫描技术都偏向于事前防御，在事中实时防御上，特别是事中主机防御上存在严重不足。因此，要提升整体网络的防御能力，必须加入主机事中防御的技术。四、主机主动防御技术的实现在主机层面要做到事中防御，必须摒弃传统的特征码比对技术，做到“敌动我动”的实时防御。经过业界专家的研究，提出了基于行为检测的主动防御技术。即不依赖于程序的特征，而是根据程序所表现出来的行为来预先判断其合法性。这在理论上是可行的。给出主动防御的概念：在监控、分析、侦测等环节中采用主动感知未知威胁行为识别、行为智能处理、行为防御加固等主动性技术来进行防御。（一）恶意程序行为的提取恶意代码一般的行为包括注册表操作、文件操作、进程的行为和网络行为等；在windows操作系统上，可执行文件基本上都是通过api的调用来执行，以上任何行为都要通过导出函数或者系统调用接口3。可通过对恶意代码行为进行搜集和数据挖掘，建立如下的行为算法模型：行为算法模型表1格式1行为 行为描述 危险等级格式2行为序列 行为描述 危险等级说明1.格式1适用于单个行为的规则建模；2.格式2适用于由多个行为组成的行为序列的规则建模；3.m表示函数的参数个数，n表示行为序列包含的行为个数；4.四个危险等级：低、中、较高、极高，代表不同级别的恶意程序；5.“参数取值特征”表示对应的函数调用行为表现出恶意性时的参数的具体取值。6.“参数0”表示只识别函数的调用行为，不对调用参数进行分析；7.若“参数取值特征”为“null”，表示对应参数的值等于null；若“参数取值特征值”为“null”与“参数0”配合使用，表示不需要分析对应的实参。（二）深层监控实现主机层面的防御又可分为六个方面：内核子系统、服务子系统、应用子系统、通信子系统、文件及资源子系统、账号及认证子系统。每个子系统又按照p2dr（policy、protection、detection and response）模型组成一个完整的、动态的安全威胁相应循环4。任何攻击无非是攻击操作系统以上的单个或者多个方面，因此通过对六大子系统实时监控，最终达到对主机威胁行为识别。识别技术是辨识和处理的前提。主动防御引擎模型图3（三）辨识技术的实现操作系统向外提供丰富的系统api接口，方便上层应用程序对系统资源的访问，开发各类功能软件，程序行为指程序或代码对操作系统资源如文件系统、注册表、内存、内核、网络、服务、进程等的访问操作。恶意代码行为特点：非授权性和破坏性，主要表现为恶意代码对系统资源的非授权访问或篡改，如信息窃取、建立后门、实施破坏等行为。了解程序行为和恶意代码的行为后，通过对恶意代码的行为分析，并将恶意代码必经的攻击点进行记录和分类，丰富到行为库中，形成一套行为算法库，通过行为算法库来判别程序的合法性。其他子系统的行为引擎，也可建立相应的模型。识别技术是关键。（四）强大的处理能力.在判断程序的危害性后，可通过取得操作系统底层权限，对恶意代码进行处理，对无法及时处理的可通过隔离，重启后删除。采用系统级主动防御技术，在异常监控技术上将监控范围扩大到操作系统上的六大子系统，包括内核系统、应用系统、通讯系统、文件及资源系统、账号及权限系统，采用分布式监控技术实现对全系统的监控。在辨识决策技术上是以程序行为算法库分析判定、智能专家系统、程序可信性计算等技术为基础，采用动态行为跟踪技术，依据恶意程序行为特征算法库，判定程序的性质和逻辑，预先判断程序的危害行为和风险，实