防火墙和入侵检测系统在电力企业信息网络中的应用.docx

防火墙与入侵检测系统在电力企业信息网络中的应用摘要：文中通过分析电力企业信息网络的构造与对网络平安的要求，在归纳了防火墙与入侵检测系统在网络中的防御功能的根底上，提出了将防火墙与入侵检测系统运用到电力企业信息网络的具体方案，并对相关技术与网络平安体系的建立进展了讨论。 0  引言    当前，电力系统已根本形成了自己的生产过程自动化与管理现代化信息网络，并在实际生产与管理中发挥着巨大的作用。随着全球信息化的迅猛开展，电力系统必将加强与外部世界的信息交流，以提高生产与管理效率，开拓更广阔的开展空间。然而，网络开放也增加了网络受攻击的可能性。与外部网络的连接必然面临外来攻击的威胁。对于关系到国计民生的电力系统而言，网络平安必须作为一个重大战略问题来解决。目前，防火墙技术作为防范网络攻击最根本的手段已经相当成熟，是抵御攻击的第一道防线，入侵检测系统(intrusion detective system，缩写为IDS)作为新型的网络平安技术，有效地补充了防火墙的某些性能上的缺陷，两者从不同的角度以不同的方式确保网络系统的平安。    本文首先分析电力企业信息网络的构造，并结合其特点与对网络平安的特殊要求，就如何有效地将防火墙与入侵检测技术运用到电力企业信息网络中进展探讨。 1  电力系统的信息网络    电力系统的信息网络1分为两大模块：监控信息系统(supervisory information system，缩写为 SIS)与管理信息系统(management information system，缩写为MIS)。    SIS对生产现场进展实时监控，从分布在生产现场的许多点采集数据，再由系统中的计算单元进展性能计算、故障诊断等，将结果存放到实时数据效劳器，为生产现场实时提供科学、准确的数据，以控制整个生产过程。SIS包括CRT监控系统、DCS(数据通信系统)、FCS(现场总线控制系统)等子系统。    MIS的功能是实现企业自动化管理，包括假设干子系统，分别实现生产经营管理、财务与人事管理、设备与维修管理、物资管理、行政管理等功能。较完善的MIS还包括辅助决策子系统，为管理人员提供智能支持，是企业管理标准化、科学化的根底。    目前电力系统的信息网络一般将SIS与MIS分做同一网络中的两个子网，并分别配置效劳器，两子网之间用网关连接，如图1所示。                              DPU(分散过程控制单元)从生产现场采集数并发送到高速数据网供DCS各工作站分析处理，同时为了保证SIS的网络平安，SIS以太网通过网关与MIS效劳器连接，作为MIS到SIS的入口并管理MIS对SIS的访问。    SIS与MIS功能各异，对平安的要求也有所不同。SIS由于与现场生产息息相关，一旦遭到入侵，势必影响生产甚至造成恶性事故，所以其平安性要求更高。现行的网络构造也充分表达了这一特点，对 SIS实施更高级别的保护。    当局域网与外部网络连接后，MIS要向外界提供效劳，网络面临的威胁将空前广泛、锋利，这时原有的平安系统显然过于薄弱，必须在原有根底上制定更严密、可靠的防御体系。     在平安的操作系统根底上，防火墙结合IDS是一种较为理想的解决方案。 2  防火墙    防火墙2是防范网络攻击最常用的手段，是构造平安网络环境的根底工程。它通常被安置在内部网络与外部网络的连接点上，将内部网络与外部网络隔离，强制所有内部与外部之间的相互通信都通过这一节点，并按照设定的平安策略分析，限制这些通信，以到达保护内部网络的目的。 21  防火墙的体系构造3    构造防火墙时通常根据所要提供的效劳、技术人员的技术、工程的性价比等因素采用多种技术的组合，以到达最正确效果。    目前常见的防火墙体系构造有以下几种：    a双重宿主主机体系构造。在内部网络与外部网络之间配置至少有两个网络接口的双重宿主主机，接口分别与内部、外部网络相连，而主机那么充当网络之间的路由器。这样，内部、外部网络的计算机之间的IP通信完全被阻隔，只能通过双重宿主主机彼此联系。    b屏蔽主机体系构造。这种构造的防火墙由路由器与堡垒主机构成，路由器设置在内部、外部网络之间，实现数据包过滤。堡垒主机设置在内部网络中，外部网络的计算机必须连接到堡垒主机才能访问内部网络。    c屏蔽子网体系构造。利用两个路由器(内部路由器与外部路由器)将内部网络保护到更深一层，而在两个路由器之间形成一个虚拟网络，称之为周边网络，堡垒主机连接在周边网络上，通过外部路由器与外部网络相连。这样，如果入侵者突破了外层的防火墙，甚至侵入堡垒主机，内部网络依然平安。 22  电力企业信息网防火墙的构造设计    电力系统对平安性的高度要求，企业信息网络的平安问题应该予以格外关注。必须组建科学、严密的防火墙体系，为企业内部网络尤其是内部网络中的SIS子网提供高度的网络平安。    电力企业内部网络由两个平安级别不同的子网 MIS与SIS构成，其中SIS对平安要求更高，因此它仅向MIS提供效劳而不直接与外部网络相连，由 MIS向外界提供效劳。基于这个特点，防火墙宜采用屏蔽子网的体系构造，如图2所示。    MIS作为体系中的周边网，SIS作为内部网。设置两台屏蔽路由器，其中外部路由器设在MIS与外部网络之间，内部路由器设在SIS与MIS之间，对进出的数据包进展过滤。另外，堡垒主机连接在                                     MIS中，对外作为访问的入口，对内那么作为代理效劳器，使内部用户间接地访问外部效劳器。    应该强调的是，MIS的堡垒主机极有可能受到袭击，因为所有对内部网络的访问都要经过它，因此，在条件允许的情况下，可以在MIS中配置两台堡垒主机，当一台堡垒主机被攻击而导致系统崩溃时，可以由另一台主机提供效劳，以保证效劳的连续性。同时，在MIS中配置一台处理机，与内部路由器组成平安网关，可以作为整个防火墙体系的一局部，控制MIS向SIS的访问以及对数据传输进展限制，提供协议、链路与应用级保护。网关还应考虑平安操作系统问题，Win20004是一个可行的选择。尽管可能还存在一些潜在的漏洞，Win2000依然是目前业界最平安的操作系统之一。由于SIS仅对MIS的固定用户提供效劳，同时考虑到SIS的平安要求，对网关的管理可以采取ClientServer方式，这样虽然在实现上较BrowserServer方式复杂一些，但却具有更强的数据操纵与事务处理能力，以及对数据的平安性与完整性的约束能力。 23  防火墙的缺陷    尽管防火墙在很大程度上实现了内部网络的平安，但它的以下几个致命的缺陷使得单一采用防火墙技术仍然是不可靠的。    a无法防范病毒。虽然防火墙对流动的数据包进展严格的过滤，但针对的是数据包的源地址、目的地址与端口号，对数据的内容并不扫描，因此对病毒的侵入无能为力。    b无法防范内部攻击。从防火墙的设计思想来看，防范内部攻击从来就不是它的任务，它在这方面是一片空白。    c性能上的限制。防火墙只是按照固定的工作模式来防范的威胁，从这一点来说，防火墙虽然“勤恳，但是过于“死板。    所以，安装了防火墙的系统还需要其他防御手段来加以充实。 3  IDS    IDS(入侵检测系统)是一种主动防御攻击的新型网络平安系统，在功能上弥补了防火墙的缺陷，使整个平安防御体系更趋完善、可靠。  31  入侵检测原理与实践    IDS以检测及控制5为根本思想，为网络提供实时的入侵检测，并采取相应的保护措施。它的设计原理一般是根据用户历史行为建立历史库，或者根据的入侵方法建立入侵模式，运行时从网络系统的诸多关键点收集信息，并根据用户行为历史库与入侵模式加以模式匹配、统计分析与完整性扫描，以检测入侵迹象，寻找系统漏洞。    IDS一般分为基于主机的IDS与基于网络的IDS两种。基于主机的IDS其输入数据来源于系统的审计日志，用于保护关键应用的效劳器；基于网络的IDS输入数据来源于网络的信息流，用于实时监控网络关键路径的信息。目前的入侵检测产品通常都包括这两个部件。    在实践中，IDS一般分为监测器与控制台两大局部。为了便于集中管理，一般采用分布式构造，用户在控制台管理整个检测系统、设置监测器的属性、添加新的检测方案、处理警报等。监测器部署在网络中的关键点，如内部网络与外部网络的连接点、需重点保护的工作站等，根据入侵模式检测异常行为，当发现入侵时保存现场，并生成警报上传控制台。 32  在电力企业信息网中运用IDS    电力企业的平安涉及国家平安与社会稳定，建议尽可能使用国产检测系统，如北京中科网威“天眼入侵检测系统6清华紫光Unis入侵检测系统等，这些产品在技术上已相当成熟，且在不断升级。    安装IDS的关键步骤是部署检测器与控制台。针对电力企业网络的特点，首先，可以在外部路由器与外部网络的连接处部署监测器(如图3所示)，以监测异常的入侵企图。在防火墙与MIS之间部署监测器，以监视与分析MIS与外部网络的通信流。然后，分别在MIS与SIS中部署一台监测器，监视各子网的内部情况；控制台设置在MIS中。最后，根据实际情况为个别需重点保护的效劳器、工作站安装基于主机的入侵检测软件，保护重要设备。    安装IDS后，更具挑战性的工作就是有效地运行IDS。防火墙在测试与设置后便开场工作了，而 IDS那么不同。IDS提供实时检测需要管理员“实时地配合，管理员要做好处理各种警报的准备工作；在系统发出警报时要判断是否误报，正确处理警报，决定是否关闭系统或是继续监视入侵者以收集证据等，都需要管理员就地解决。只有管理员及时采取恰当的处理方法，才能真正发挥IDS的成效。                                                      4  平安体系的运作与后期扩大    虽然防火墙的防护是被动的，而IDS是实时的，但平安体系(包括各单一主机自身的平安体系)是作为一个整体协同运作的。目前的主机与网络设备都具有完备的平安审计功能，IDS可以充分利用系统的网络日志文件作为必要的数据来源，而当 IDS发现可疑行为时又需要其他主机或防火墙采取相应的保护措施，例如通知防火墙对可疑IP地址发来的数据包进展过滤等。    当然，从技术方面来说，网络平安所涉及的范围是相当广泛的，包括平安的操作系统、防火墙、平安审计、入侵检测、身份认证、信息加密、平安扫描、灾难恢复等。防火墙结合IDS只是形成了平安体系根本内容，还需要在系统运行中运用多种技术不断充实平安体系的功能，例如在系统中配置扫描器，定期进展风险评估与查找漏洞，升级防火墙或者向IDS中添加新的攻击方式等。同时，任何防御体系都不可能保证系统的绝对平安，必须不断提高系统管理人员的技术水平，密切关注网络平安的开展动态，及时升级网络防御系统，提高系统的防御能力。 5  结语    当前，电力企业正以原有设施为根底，构建企业与电力公司、企业与企业间的信息网络，网络平安是一个不可无视的问题。防火墙与入侵检测技术相结合，为网络平安体系提供了一个良好的根底，对保障系统平安发挥不可无视的作用。当然，完备的平安体系还需要其他多种平安技术从功能上进一步完善，同时，平安问题不仅是一个技术问题，也是一个系统工程，需从组织管理、法律标准等多方面予以支持。H-2002-5 关闭本页  第 8 页