2.3調度自動化系統(tǒng)安全模型
調度自動化安全系統(tǒng)防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架,P2DR模型最早是由ISS公司提出的動態(tài)安全模型的代表性模型���,它主要包含4個部分:安全策略(Policy)、防護(Protection)��、檢測(Detection)和響應(Response)[8]���?! ?br />
在P2DR模型中�����,策略是模型的核心,它意味著網(wǎng)絡安全需要達到的目標���,是針對網(wǎng)絡的實際情況���,在網(wǎng)絡管理的整個過程中具體對各種網(wǎng)絡安全措施進行取舍,是在一定條件下對成本和效率的平衡[3]�����。防護通常采用傳統(tǒng)的靜態(tài)安全技術及方法來實現(xiàn)�,主要有防火墻、加密和認證等方法���。檢測是動態(tài)響應的依據(jù)��,通過不斷的檢測和監(jiān)控�,發(fā)現(xiàn)新的威脅和弱點��。響應是在安全系統(tǒng)中解決安全潛在性的最有效的方法����,它在安全系統(tǒng)中占有最重要的地位����。
2.4調度自動化系統(tǒng)的安全防御系統(tǒng)設計
調度自動化以P2DR模型為基礎���,合理利用主動防御技術和被動防御技術來構建動態(tài)安全防御體系�,結合調度自動化系統(tǒng)的實際運行情況�����。
防護是調度自動化系統(tǒng)安全防護的前沿���,主要由傳統(tǒng)的靜態(tài)安全技術防火墻和陷阱機實現(xiàn)��。在調度自動化系統(tǒng)��、配網(wǎng)自動化系統(tǒng)和公司信息網(wǎng)絡之間安置防火墻監(jiān)視限制進出網(wǎng)絡的數(shù)據(jù)包���,防范對內及內對外的非法訪問。陷阱機隱藏在防火墻后面�,制造一個被入侵的網(wǎng)絡環(huán)境誘導入侵����,引開黑客對調度自動化Web服務器的攻擊���,從而提高網(wǎng)絡的防護能力。
檢測是調度自動化安全防護系統(tǒng)主動防御的核心���,主要由IDS���、漏洞掃描系統(tǒng)、陷阱機和取證系統(tǒng)共同實現(xiàn)�����,包括異常檢測�����、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)�����。IDS對來自外界的流量進行檢測�,主要用于模式發(fā)現(xiàn)及告警。漏洞掃描系統(tǒng)對調度自動化系統(tǒng)����、配網(wǎng)自動化主機端口的已知漏洞進行掃描���,找出漏洞或沒有打補丁的主機,以便做出相應的補救措施����。陷阱機是設置的蜜罐系統(tǒng),其日志記錄了網(wǎng)絡入侵行為�,因此不但充當了防護系統(tǒng),實際上又起到了第二重檢測作用����。取證分析系統(tǒng)通過事后分析可以檢測并發(fā)現(xiàn)病毒和新的黑客攻擊方法和工具以及新的系統(tǒng)漏洞。響應包括兩個方面���,其一是取證機完整記錄了網(wǎng)絡數(shù)據(jù)和日志數(shù)據(jù)�����,為攻擊發(fā)生系統(tǒng)遭破壞后提出訴訟提供了證據(jù)支持���。另一方面是根據(jù)檢測結果利用各種安全措施及時修補調度自動化系統(tǒng)的漏洞和系統(tǒng)升級。
綜上所述��,基于P2DR模型設計的調度自動化安全防護系統(tǒng)有以下特點和優(yōu)越性:
·在整個調度自動化系統(tǒng)的運行過程中進行主動防御,具有雙重防護與多重檢測響應功能����;
·企業(yè)內部和外部兼防�,可以以法律武器來威懾入侵行為,并追究經(jīng)濟責任����。
·形成了以調度自動化網(wǎng)絡安全策略為核心的防護、檢測和響應相互促進以及循環(huán)遞進的�、動態(tài)的安全防御體系。
3結論
調度自動化系統(tǒng)的安全防護是一個動態(tài)發(fā)展的過程�,本次設計的安全防護模型是采用主動防御技術和被動防御技術相結合,在P2DR模型基礎上進行的設計����,使調度自動化系統(tǒng)安全防御在遭受攻擊的時候進行主動防御,增強了系統(tǒng)安全性����。但調度自動化系統(tǒng)安全防護并不是純粹的技術,僅依賴安全產(chǎn)品的堆積來應對迅速發(fā)展變化的攻擊手段是不能持續(xù)有效的����。調度自動化系統(tǒng)安全防護的主動防御技術不能完全取代其他安全機制���,尤其是管理規(guī)章制度的嚴格執(zhí)行等必須長抓不懈。
參考文獻:
[1]梁國文.縣級電網(wǎng)調度自動化系統(tǒng)實現(xiàn)的功能.農(nóng)村電氣化,2004,(12):33~34.
[2]丁杰,高會生,俞曉雯.主動防御新技術及其在電力信息網(wǎng)絡安全中的應用.電力系統(tǒng)通信,2004,(8):42~45.
[3]趙陽.電力企業(yè)網(wǎng)的安全及對策.電力信息化,2004,(12):26~28.
[4]阮曉迅,等.計算機病毒的通用防護技術.電氣自動化,1998,(2):53~54.
[5]郝印濤,等.配網(wǎng)管理與調度間的信息交換.農(nóng)村電氣化,2004,(10):13~14.
[6]韓蘭波.縣級供電企業(yè)管理信息系統(tǒng)(MIS)的應用.農(nóng)村電氣化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL].http://www.honeynet.org.
[8]戴云,范平志.入侵檢測系統(tǒng)研究綜述[J].計算機工程與應用,2002,38(4):17~19.
[9]中華人民共和國國家經(jīng)濟貿易委員會第30號令.電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定,2002,(5).
[10]潘光午.iES-500調度自動化系統(tǒng)在縣級電力企業(yè)中的應用.2004,(10).
