試論電網深層次網絡安全主動防御系統(tǒng)

云南電網有限責任公司信息中心 張振紅

在互聯網及計算機技術應用與普及的社會環(huán)境下，網絡病毒、木馬的存在對網絡安全帶來了一定威脅。多年來，科研機構的專家學者不斷優(yōu)化與改進病毒、木馬的抵御方法，可通過入侵防御系統(tǒng)端口阻斷、防火墻側細粒度數據包過濾、主機側殺毒軟件查殺等多種方法檢測與抵御這些安全威脅入侵，然而由于病毒及木馬技術不斷升級，隱蔽性不斷增強、攻擊范圍持續(xù)拓展，以被動防御形式為主的傳統(tǒng)防御工具檢測不夠及時、抵御效果不佳，需通過主動防御系統(tǒng)的層次深化、智能性提升，實現病毒及木馬的及時發(fā)現與消除。

1 新時期背景下計算機網絡安全所面臨的攻防新趨勢

終端或系統(tǒng)存在漏洞、后門被預先植入。在計算機網絡技術規(guī)模化應用的過程中，病毒傳播方式不斷演變，誕生了多種新型攻擊方式。由于受到計算機終端應用人員自身安全意識不足、管理制度不夠完善的影響，或是系統(tǒng)中被預先植入后門，均會導致計算機暴露出更多的漏洞，攻擊者無需耗費精力查找便可通過漏洞攻擊計算機服務系統(tǒng)。

攻擊方式功能化發(fā)展、攻擊門檻逐步降低。計算機誕生與發(fā)展過程中，計算機技術學習熱潮逐步掀起，誕生了大批量掌握尖端網絡技術的計算機人才，不同功能的工具軟件被不斷研發(fā)，同時也誕生了多種多樣的網絡工具，過去必須由專業(yè)技術人員實施的網絡攻擊門檻逐步降低，呈現出了平民化與低齡化的網絡攻擊發(fā)展態(tài)勢。

攻擊方式持續(xù)增長、主動反擊能力不足。當今時代所誕生的網絡攻擊軟件不斷向智能化方向演變，誕生了多種新型計算機網絡攻擊方式，傳統(tǒng)的防御技術只能被動性防御，在攻擊者攻擊發(fā)起之后才可進行漏洞查找與修復，并不能事先預防與抵御攻擊者的攻擊行為。主是要以軟件特征實施檢測，難以精準、有效辨識出新型攻擊方式，無法通過主動反擊而在網絡攻防戰(zhàn)中占據有利地位。

2 網絡安全主動防御系統(tǒng)的構建優(yōu)勢

預判攻擊形勢、實現主動防御。主動性是主動防御系統(tǒng)的優(yōu)勢所在，可通過已出現的網絡攻擊方式及攻擊渠道對網絡攻擊規(guī)律進行總結，并分析攻擊特點，預測分析未來的網絡攻擊形勢，以此降低攻擊抵御的部署時間，可在網絡攻防中掌握主動權。

持續(xù)自我學習、動態(tài)加固系統(tǒng)。基于主動防御技術構建而成的主動防御系統(tǒng)具備極強的自然學習能力，可在遭到網絡攻擊時，于攻擊防御的過程中不斷自我排查系統(tǒng)漏洞及缺陷，從而主動進行漏洞修復及缺陷彌補，可實時化與動態(tài)性實現系統(tǒng)加固。

全面監(jiān)控網絡、實時做出響應。主動防御系統(tǒng)可全面監(jiān)測計算機網絡，在發(fā)現網絡攻擊時第一時間做出響應，可通過攻擊目標轉移、攻擊方式檢測、攻擊方追蹤、攻擊方反制等方式實施主動防御，可將網絡攻擊所受損失控制在最低限度。

3 深層次主動防御系統(tǒng)的構建策略

主動防御技術由多個主動防御功能模塊構建而成，在這些模塊的協調配合應用下，可建立一個高度完善的網絡主動防御系統(tǒng)。

3.1 入侵防護

入侵防護具備多種不同的防護功能，既可掃描與排查計算機系統(tǒng)漏洞，也可對管理員身份進行驗證，還具備病毒網關控制及其他功能。入侵防護的手段有安裝防火墻、實施VPN加密操作等多種方式，自計算機網絡誕生以來，網絡攻擊方面防火墻防御方式最早應用，目前此種防護方式已全面普及?？稍诰W絡入口處阻隔所有具備威脅性的網絡活動進入，對內網計算機及服務器的安全防護具有重要作用。VPN數據加密操作技術的主要作用是隱藏網絡內容、增強數據信息傳輸過程的保密性、防止未經認證的用戶登入網絡、保證數據信息的完整性。主動防御系統(tǒng)當中，入侵防護技術可在與其他技術有效協調的過程中實現系統(tǒng)防護策略的自動化調整，可對計算機系統(tǒng)實施全面保護，既能增強系統(tǒng)運行穩(wěn)定性，也利于數據信息存儲應用安全性提升[1]。

3.2 入侵預測

相較于傳統(tǒng)網絡防御技術而言，主動防御系統(tǒng)可實現主動防御，通過對系統(tǒng)安全狀態(tài)的及時評估、分析已發(fā)生的攻擊行為對未來可能會出現的網絡攻擊事件進行預測，并判斷攻擊者所采用的攻擊方式，從而為系統(tǒng)攻擊防御的響應提供充足時間。入侵預測主要采用兩種方式：一是在過往入侵事件規(guī)律總結的基礎上，根據網絡安全指數，預測與分析未來相應時段內網絡安全走勢；二是對網絡流量的變化進行實時監(jiān)控，在計算機網絡遭到攻擊時，可以網絡流量異常峰值的變化為依據，結合網絡流量的基本特征，在最短時間內完成網絡安全情況的分析，并預測判斷攻擊者的攻擊行為，支持后續(xù)的主動防御響應的實施[2]。

3.3 入侵檢測

深層次網絡安全主動防御系統(tǒng)當中，入侵檢測技術是防御系統(tǒng)發(fā)起目標及發(fā)起時間的決定者，是主動防御實施的重要技術。入侵檢測有兩個方法：一是異常行為檢測。分析目標行為異常性進而判斷是否需要采取防御反應。此種入侵檢測方法以過去的攻擊行為規(guī)律作為預判基礎，惡性攻擊行為出現的第一時間便可被發(fā)現，檢測精準率較高，但此檢測法無法對正常操作行為進行界定，因而會存在一定比例的誤報率；二是病毒庫檢測方法。此入侵檢測方式可將所有記錄在案的入侵及破壞行為精準識別出來，但檢測過程需要以數據庫為依據，數據庫中不涵蓋的攻擊行為無法被檢測出來（圖1）。

圖1 入侵檢測工作過程

3.4 入侵響應

主動防御技術與傳統(tǒng)防御技術之間最大的差異在于，主動防御除了可實施入侵防護、預測與檢測入侵行為之外，還可對網絡攻擊進行響應與反制，從而實現攻擊威脅的及時消除。

入侵追蹤。有入侵者對電網實施攻擊行為之時，主動防御系統(tǒng)的安全管理人員可在入侵追蹤技術支持下快速找到網絡攻擊的來源，從而在源頭處將攻擊者的行為進行抵御與消除，可在電網遭到攻擊之初以最短的時效抑制攻擊行為產生，從而降低網絡攻擊所產生的不利影響；修正系統(tǒng)環(huán)境。電力企業(yè)的電網系統(tǒng)所受到的攻擊中存在一些不以惡意入侵為目的，主要是為了炫耀攻擊技術的攻擊行為，針對此種攻擊行為可利用相對溫和的方式進行抵御，可提升主動防御系統(tǒng)的敏感度，或對系統(tǒng)中的關鍵字做出修改，也可增設新的規(guī)則，從而使主動防御的級別得到進一步提升[3]。

轉移與分散攻擊目標。遭到攻擊行為時若是立即采取連接關閉策略，可實現對計算機系統(tǒng)的安全保護，然而同時也無法獲取到攻擊者的攻擊手段、攻擊地點等相關信息，會導致系統(tǒng)運行仍留有安全隱患。為此，可采取轉移與分散攻擊目標的方法，將攻擊轉至預先設定的無威脅環(huán)境之下，并在與攻擊者連線保持的基礎上對其攻擊行為進行分析，查找攻擊來源、判斷攻擊方式，從而增強入侵預測的精準性。

信息及證據收集。主動防御系統(tǒng)運行中，可通過與正常系統(tǒng)相似環(huán)境的創(chuàng)設誘導攻擊者對此環(huán)境發(fā)起攻擊，從而收集網絡攻擊者信息、判斷其攻擊行為，并實現攻擊特征的有效記錄。攻擊者在此系統(tǒng)中停留時間的長短決定著其信息暴露的多少，在這些信息收集與記錄的過程中，電力企業(yè)的網絡安全管理部門可對網絡安全實施科學的評估并采取有效的保護方式，可在維護系統(tǒng)正常運行的基礎上，進一步收集網絡攻擊證據，如此便可對入侵人員產生震懾、降低其入侵率，必要時可作為證據通過法律途徑彌補遭到攻擊所產生的損失。

自動反擊。電力企業(yè)的網絡系統(tǒng)管理人員可通過構建行為庫對攻擊行為的來源進行判斷，并可針對其所做出的攻擊行為進行追蹤與反應。然而一般情況下攻擊者并不會利用自己的設備實施攻擊，主要是采取IP欺騙或預先植入木馬等方式進行攻擊，或是通過對網絡平臺加以控制而實現攻擊，難以精準追蹤到攻擊者的來源，為此不可輕易采取自動反擊，以免部分不知情者被波及，或激發(fā)攻擊者更為猛烈的報復。

3.5 系統(tǒng)恢復

網絡系統(tǒng)遭到攻擊之后，可利用主動防御系統(tǒng)輔助電網系統(tǒng)快速恢復運行，從而使系統(tǒng)功能正常發(fā)揮，減少因網絡攻擊行為所產生的損失。電力企業(yè)應立足網絡系統(tǒng)恢復的層面，定期實施日常備份，備份方式既有現場內備份、現場外備份，還可采取冷備份及熱備份等多種方式，以便利用主動防御系統(tǒng)完成網絡攻擊制止后，能夠在最短時間內確保系統(tǒng)應用恢復正常。

3.6 防御效果評估

攻擊行為抵御后，主動防御系統(tǒng)要對自身的安全防御效果展開評估，要評判網絡安全識別模塊判斷的精準度，若具備高識別準確性，意味著系統(tǒng)具備良好的學習能力，可取得理想的防御效果。若識別準確性較低，則需拓展實習實例范圍，或是調整模式識別算法，使網絡安全防御水平得到進一步提升。在網絡安全防御效果科學評估的基礎上，電力企業(yè)需持續(xù)改進與優(yōu)化主動防御系統(tǒng)的防御水平[4]。

4 深層次網絡安全主動防御系統(tǒng)有效應用的保障措施

4.1 選用適合的密碼技術

密碼技術是保障計算機網絡安全的重要技術手段，在主動防御系統(tǒng)構建的同時，電力企業(yè)要通過強化密碼技術保障系統(tǒng)的運行安全。

私鑰密碼機制。私鑰密碼機制所應用的加密與解密秘鑰是相同的，具備易于破解的特征，因而私鑰密碼機制應用時要做好密鑰保護，避免未授權用戶獲取而破解密碼。相較于公鑰算法而言，私鑰密碼機制具備運算速度快、加密轉換效率高的特征，在大規(guī)模數據流加密中較為適用；公鑰密碼機制。應用時需依托相應算法得出包含一公一私兩個密鑰的密鑰對，公鑰向外界公開而私鑰則自主保留，此種算法得出的密鑰對是唯一的。應用此密鑰對時，若采用一個密鑰進行數據加密，必須應用與之匹配的密鑰方可實現解密。公鑰與私鑰均可應用于簽名及加密過程中。

數字簽名體制。數字簽字的應用可使信息更為完整，也可防止信息被偽造，在電子政務及電子商務處理中應用廣泛。數字簽名具有多個類別，常用的有短簽名、群簽名等。數字簽名體制的應用可通過身份識別、密碼簽認等措施，增強數據、資料等重要文件資源的安全性與完整性。

4.2 健全與優(yōu)化計算機網絡安全管理制度及相關法規(guī)

為保障電網系統(tǒng)安全主動防御系統(tǒng)有效實施，強化網絡訪問控制，保障計算機網絡安全，禁止非法訪問與盜取網絡資源行為的出現，需要以現有律法制度為依據，深入分析與研討信息安全技術的具體應用，建立專門的網絡安全管理機構，制定科學完善的計算機網絡安全管理制度，通過此制度保障網絡安全主動防御系統(tǒng)有效運行，進而增強計算機網絡安全管理的規(guī)范性。

綜上，深層次網絡安全主動防御系統(tǒng)是基于多種主動防御技術而構建的，在這些主動防御技術支持下可顯著提升網絡運行的安全性，并可優(yōu)化與轉變網絡安全防護理念。網絡安全防御屬于系統(tǒng)性工程，電力企業(yè)需基于網絡病毒以及木馬攻擊而不斷升級與優(yōu)化防御系統(tǒng)，在入侵防護、入侵預測、入侵檢測、入侵響應等項防御技術的支持下構建深層次的網絡安全系統(tǒng)，同時此系統(tǒng)還應具備網絡恢復、防御效果評估的功能。未來，在人工智能開發(fā)、遺傳免疫算法、神經網絡學生等更為先進的技術融合應用下，主動防御系統(tǒng)將會不斷升級與完善，可通過更加安全、可靠的應用環(huán)境營造，推進社會信息化與智能化的發(fā)展進程。