浅谈电力企业信息网络安全措施存在的问题.pdfVIP

中国电机工程学会第十届青年学术会议 ·吉林 浅谈电力企业信息网络安全措施存在的问题 1 2 张莹瑾 曲朝阳 (1.东北电力大学 研究生部 计研 071班 吉林 吉林 132012； 2.东北电力大学 信息工程学院 吉林 吉林 132012) 摘要：本文研究了目前我国电力企业信息网络采取的主要安全措施(防火墙技术、入侵检测系统、虚拟专用网、漏洞扫 描技术)，分析了这些安全措施的不足与缺陷。 关键字：网络安全；防火墙；入侵检测；虚拟专用网；漏洞扫描 1 引言 随着 Internet 的迅速发展，计算机网络已广泛应用于电力企业的各个方面，虽然这为电力企业的生 产经营带来便力，但同时也使电力企业的信息安全面临着很多威胁。电力企业信息安全是电力系统安全运 行和对社会可靠供电的保障，多数的电力企业也采取了一些安全防护措施。然而，这些安全措施本身存在 着各种各样的缺陷，这为防止电力企业信息受到来自内部或外部的攻击带来了困难。因此，结合电力工业 特点，分析电力企业信息安全措施存在的问题，是当前电力企业信息化工作的重要内容之一。 2 防火墙 防火墙(Firewall)在不同网络或网络安全域之间构建了一道安全屏障它通过有选择地拒绝非法端口， 允许合法的 TCP/IP 数据流通过，以保证内部网的数据和资源不会流向非法地点。防火墙是企业局域网到 外网的唯一出口，这里的外网包括到不同安全层次的电力网、其他信息网如政府网和银行网络、Internet， 所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。 防火墙存在的缺陷主要有以下 6 点： (1)无法防止绕过防火墙的攻击。因特网系统具有通过拨号连接到 ISP 的可能；内部 LAN 可能提供一 个调制解调器池,通过它可向外地的电力企业雇员提供拨入服务，近而进入内部系统。 (2)无法阻止来自内部的威胁。从防火墙的设计思想来看，防范内部攻击从来就不是它的任务。 (3)无法防止病毒感染程序或文件的传输。防火墙只针对数据包的源地址、目的地址和端口号进行过 滤，对数据的内容并不扫描，因此对病毒的侵入无能为力。 (4)性能上的限制。不能根据网络的恶意使用和攻击情况动态调整自己的策略。 (5)为提高保护网络的安全性，限制或关闭了许多有用但存在安全漏洞的网络服务。 (6)防火墙是一种被动式的防护手段，它只能对已知的网络威胁起作用，不能防范新的网络安全问题。 3 入侵检测系统 入侵检测(Intrusion Detection)，顾名思义，是对入侵行为的发觉。它通过对计算机网络或计算机 系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻 击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System, IDS)， 它使用入侵检测技术对网络与其上的系统进行监视，并根据监视结果进行不同的安全动作，最大限度地降 低可能的入侵危害。在事后分析的时候，还可以清楚地界定责任人和责任事件，为网络管理人员提供强有 力的保障。IDS 采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点，在功能上弥补了防 火墙的缺陷，使整个安全防御体系更趋完善、可靠，并且它还可以和防火墙、路由器配合工作。 但是，IDS 也有很多不足，主要有以下几点： (1)体系结构存在问题。现在的很多电力企业的 IDS 是通过改进原有的 IDS 而得来的，在体系结构等 方面不能满足分布、开放等要求。 (2)检测效率低下。目前，大部分审计机制都被设计成详尽记录系统和网络中的活动，这在保证没有 入侵证据被遗漏的同时，鉴于网络数据的高速度和大流量，同样要求我们构造的 IDS 在实时检测 时具有高效率。现有的 IDS 由于构造手段等原因，其检测效率往往较为低下，这样对审计数据(如： 网络数据包)分析的延迟就可能为入侵成功提供机会。 - 2245 -