榕基NIDS在电力行业应用.pdfVIP

当前信息化工作的重要内容。电力系统信息 安全已经成为电力企业生产、经营和管理的 重要组成部分。 榕基入侵检测系统(RJ-IDS)是榕基网安 公司除了漏洞扫描系统外的一条全新产品线， 图1 RJ-IDS的体系架构 该产品是一种动态的人侵检测与响应系统， 除了能对高速网络上的数据包捕获、分析、结合特征库进行相应的模式匹配外，还具有强大的行为和事件 统计分析功能，能及时发现非法或异常行为，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并 可以实时响应，切断攻击方的连接，帮助企业最大限度地保护公司内部的网络安全，如图l所示。 1 用户网络现状 国内电力行业某省公司，随着业务需求的进一步扩展，原有的网络及系统平台已经不能满足要求，因 此必须从保障业务系统高效、稳定和安全运行等方面，升级优化现有系统，其中网络安全是重中之重。 该公司信息系统基础设施包括电力系统网络、局域网和互联网三个部分。电力系统网络是承载该公司 与各个子公司内部业务交流的核心平台，局域网是该公司内部日常办公的主要载体，外部信息的获取和发 布通过互联网来完成。 该公司的局域网于2001年建成并投入运行，核心交换机为CiscoCatalyst 6509。以千兆下联十多台 设在各部门的百兆交换机，均为CiscoCatalyst 络出口处，该公司通过Cisco 硬件防火墙和一台VPN设备。 公司提供包括WWW、SMTP、FTP等互联网应用服务，目前开设了一个内部信息发布、员工交流站 点和一个对外展示企业形象的站点，公司还架设了一个供300多人使用的邮件系统。同时公司还拥有很多 的重要应用系统，其中包括企业OA系统和各种信息管理系统。 目前大流量的应用主要集中在局域网内，因此局域网的压力加大；另外，有大部分的应用必须跨广域 网，由于应用刚刚起步，因此跨广域网的流量不是特别大，随着信息化建设的进一步深入，广域网潜在 的瓶颈将会严重影响应用的普及；公司与各个子公司之间以VPN相连。 2安全需求分析 Asset 用户目前主要的管理信息系统包括EAM(企业设备管理系统，Enterprise Management)、财 务系统、生产调度系统、办公自动化系统和生产调度监视系统等。这些关键系统同时运行在该公司统一 的电力系统网络平台之上。系统之间存在业务逻辑交叉和数据交换，因此系统的安全具有很大的关联性， 特别是对于互联网接入的安全需要特别的关注。经过一段时间的检测分析发现，该用户网络主要存在如 下威胁： ——网上存在大量的端口扫描试探、发送垃圾邮件等网络滥用行为。 ——发现部分主机由于未及时安装补丁程序，或设置不当，或口令强度不够等原因而被黑客入侵， 并被安装后门程序。 ——拒绝服务攻击发生频率不高，但一般影响较大。 ——蠕虫病毒传播和泛滥，危害不可小视。 5部署实施 尽管防火墙能够通过强化网络安全策略抵御来自外部网络的非法访问，但对网络内部发起的攻击无 能为力。为此，我们采用了榕基基于网络的实时入侵检测技术，动态监测来自于外部网络和内部网络的 所有访问行为。当检测到来自内外网络针对或通过防火墙的攻击行为时，会及时响应，并通知防火墙实 时阻断攻击源，从而进一步提高了系统的抗攻击能力，更有效地保护了网络资源，提高了防御体系级别。 入侵检测系统可以和防火墙获取相同的网络数据，当入侵检测系统发现异常攻击时，立即通知防火 墙，防火墙迅速做出反应阻止当前攻击事件的继续，从而使得攻击失败，这样的防御体系能够对攻击作 出实时的防御，达到安全处理应急事件的需求。目前榕基RJ—IDS入侵检测系统已经可以和市场上大部 分的主流