2.3調(diào)度自動(dòng)化系統(tǒng)安全模型
調(diào)度自動(dòng)化安全系統(tǒng)防護(hù)的主導(dǎo)思想是圍繞著P2DR模型思想建立一個(gè)完整的信息安全體系框架,P2DR模型最早是由ISS公司提出的動(dòng)態(tài)安全模型的代表性模型,它主要包含4個(gè)部分:安全策略(Policy)、防護(hù)(Protection)、檢測(Detection)和響應(yīng)(Response)[8]?! ?br />
在P2DR模型中,策略是模型的核心,它意味著網(wǎng)絡(luò)安全需要達(dá)到的目標(biāo),是針對(duì)網(wǎng)絡(luò)的實(shí)際情況,在網(wǎng)絡(luò)管理的整個(gè)過程中具體對(duì)各種網(wǎng)絡(luò)安全措施進(jìn)行取舍,是在一定條件下對(duì)成本和效率的平衡[3]。防護(hù)通常采用傳統(tǒng)的靜態(tài)安全技術(shù)及方法來實(shí)現(xiàn),主要有防火墻、加密和認(rèn)證等方法。檢測是動(dòng)態(tài)響應(yīng)的依據(jù),通過不斷的檢測和監(jiān)控,發(fā)現(xiàn)新的威脅和弱點(diǎn)。響應(yīng)是在安全系統(tǒng)中解決安全潛在性的最有效的方法,它在安全系統(tǒng)中占有最重要的地位。
2.4調(diào)度自動(dòng)化系統(tǒng)的安全防御系統(tǒng)設(shè)計(jì)
調(diào)度自動(dòng)化以P2DR模型為基礎(chǔ),合理利用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)來構(gòu)建動(dòng)態(tài)安全防御體系,結(jié)合調(diào)度自動(dòng)化系統(tǒng)的實(shí)際運(yùn)行情況。
防護(hù)是調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)的前沿,主要由傳統(tǒng)的靜態(tài)安全技術(shù)防火墻和陷阱機(jī)實(shí)現(xiàn)。在調(diào)度自動(dòng)化系統(tǒng)、配網(wǎng)自動(dòng)化系統(tǒng)和公司信息網(wǎng)絡(luò)之間安置防火墻監(jiān)視限制進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包,防范對(duì)內(nèi)及內(nèi)對(duì)外的非法訪問。陷阱機(jī)隱藏在防火墻后面,制造一個(gè)被入侵的網(wǎng)絡(luò)環(huán)境誘導(dǎo)入侵,引開黑客對(duì)調(diào)度自動(dòng)化Web服務(wù)器的攻擊,從而提高網(wǎng)絡(luò)的防護(hù)能力。
檢測是調(diào)度自動(dòng)化安全防護(hù)系統(tǒng)主動(dòng)防御的核心,主要由IDS、漏洞掃描系統(tǒng)、陷阱機(jī)和取證系統(tǒng)共同實(shí)現(xiàn),包括異常檢測、模式發(fā)現(xiàn)和漏洞發(fā)現(xiàn)。IDS對(duì)來自外界的流量進(jìn)行檢測,主要用于模式發(fā)現(xiàn)及告警。漏洞掃描系統(tǒng)對(duì)調(diào)度自動(dòng)化系統(tǒng)、配網(wǎng)自動(dòng)化主機(jī)端口的已知漏洞進(jìn)行掃描,找出漏洞或沒有打補(bǔ)丁的主機(jī),以便做出相應(yīng)的補(bǔ)救措施。陷阱機(jī)是設(shè)置的蜜罐系統(tǒng),其日志記錄了網(wǎng)絡(luò)入侵行為,因此不但充當(dāng)了防護(hù)系統(tǒng),實(shí)際上又起到了第二重檢測作用。取證分析系統(tǒng)通過事后分析可以檢測并發(fā)現(xiàn)病毒和新的黑客攻擊方法和工具以及新的系統(tǒng)漏洞。響應(yīng)包括兩個(gè)方面,其一是取證機(jī)完整記錄了網(wǎng)絡(luò)數(shù)據(jù)和日志數(shù)據(jù),為攻擊發(fā)生系統(tǒng)遭破壞后提出訴訟提供了證據(jù)支持。另一方面是根據(jù)檢測結(jié)果利用各種安全措施及時(shí)修補(bǔ)調(diào)度自動(dòng)化系統(tǒng)的漏洞和系統(tǒng)升級(jí)。
綜上所述,基于P2DR模型設(shè)計(jì)的調(diào)度自動(dòng)化安全防護(hù)系統(tǒng)有以下特點(diǎn)和優(yōu)越性:
·在整個(gè)調(diào)度自動(dòng)化系統(tǒng)的運(yùn)行過程中進(jìn)行主動(dòng)防御,具有雙重防護(hù)與多重檢測響應(yīng)功能;
·企業(yè)內(nèi)部和外部兼防,可以以法律武器來威懾入侵行為,并追究經(jīng)濟(jì)責(zé)任。
·形成了以調(diào)度自動(dòng)化網(wǎng)絡(luò)安全策略為核心的防護(hù)、檢測和響應(yīng)相互促進(jìn)以及循環(huán)遞進(jìn)的、動(dòng)態(tài)的安全防御體系。
3結(jié)論
調(diào)度自動(dòng)化系統(tǒng)的安全防護(hù)是一個(gè)動(dòng)態(tài)發(fā)展的過程,本次設(shè)計(jì)的安全防護(hù)模型是采用主動(dòng)防御技術(shù)和被動(dòng)防御技術(shù)相結(jié)合,在P2DR模型基礎(chǔ)上進(jìn)行的設(shè)計(jì),使調(diào)度自動(dòng)化系統(tǒng)安全防御在遭受攻擊的時(shí)候進(jìn)行主動(dòng)防御,增強(qiáng)了系統(tǒng)安全性。但調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)并不是純粹的技術(shù),僅依賴安全產(chǎn)品的堆積來應(yīng)對(duì)迅速發(fā)展變化的攻擊手段是不能持續(xù)有效的。調(diào)度自動(dòng)化系統(tǒng)安全防護(hù)的主動(dòng)防御技術(shù)不能完全取代其他安全機(jī)制,尤其是管理規(guī)章制度的嚴(yán)格執(zhí)行等必須長抓不懈。
參考文獻(xiàn):
[1]梁國文.縣級(jí)電網(wǎng)調(diào)度自動(dòng)化系統(tǒng)實(shí)現(xiàn)的功能.農(nóng)村電氣化,2004,(12):33~34.
[2]丁杰,高會(huì)生,俞曉雯.主動(dòng)防御新技術(shù)及其在電力信息網(wǎng)絡(luò)安全中的應(yīng)用.電力系統(tǒng)通信,2004,(8):42~45.
[3]趙陽.電力企業(yè)網(wǎng)的安全及對(duì)策.電力信息化,2004,(12):26~28.
[4]阮曉迅,等.計(jì)算機(jī)病毒的通用防護(hù)技術(shù).電氣自動(dòng)化,1998,(2):53~54.
[5]郝印濤,等.配網(wǎng)管理與調(diào)度間的信息交換.農(nóng)村電氣化,2004,(10):13~14.
[6]韓蘭波.縣級(jí)供電企業(yè)管理信息系統(tǒng)(MIS)的應(yīng)用.農(nóng)村電氣化,2004,(12):33~34.
[7]HoneyntProject.KnowYourEnemy:Hnoeynet[DB/OL].http://www.honeynet.org.
[8]戴云,范平志.入侵檢測系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用,2002,38(4):17~19.
[9]中華人民共和國國家經(jīng)濟(jì)貿(mào)易委員會(huì)第30號(hào)令.電網(wǎng)和電廠計(jì)算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定,2002,(5).
[10]潘光午.iES-500調(diào)度自動(dòng)化系統(tǒng)在縣級(jí)電力企業(yè)中的應(yīng)用.2004,(10).