电力企业主动式综合安全体系研究.pdfVIP

中国电机工程学会第十届青年学术会议 ·吉林 电力企业主动式综合安全体系 吕小红 高家志 周平 姚林 （重庆市电力公司超高压局 重庆市） 摘要：本文介绍了网络安全防御技术中的防火墙技术、入侵检测技术和漏洞扫描技术，并根据重庆市电力公司超高压 局的网络安全现状，提出了综合利用上述技术建立主动式综合安全体系，讨论了该体系的架构和特点。 关键词：入侵检测；防火墙；漏洞扫描；综合安全 1 引言 信息共享和办公管理的网络化有效地提高了电力企业的生产管理水平，但也给电力企业局域网的网络 性能和信息系统安全带来了威胁。许多安全技术和产品期望从不同角度、不同层次对计算机网络信息系统 实施安全保护，如：防火墙、安全路由器、身份认证系统、VPN设备、入侵检测系统等。但是仅使用某种 防护产品却不能给系统提供完善的安全防护[1] ，如：防火墙不能防范病毒、访问限制、后门威胁和来自内 部黑客的攻击；入侵检测系统总结攻击特征主要靠安全专家手工完成，需要耗费大量的人力物力 [2] 。因此， 利用防火墙、入侵检测系统、漏洞扫描系统、上网行为管理系统、安全日志审计系统和网络版杀毒软件来 搭建局域网主动式综合安全体系进行防护，顺应网络安全需求，弥补了各系统的不足，使得安全体系更加 坚固、完善。 2 相关安全防御技术 防火墙通过对外界屏蔽来保护内部网络的信息和结构。从狭义上讲，防火墙是两个网络之间访问控制 的一个或一系列网络设备，是安装了防火墙软件的主机、路由器或多机系统；从广义上讲，防火墙包括整 个网络的安全策略和安全行为，是一整套保障网络安全的手段[3] 。 入侵检测是对计算机和网络资源上的恶意行为进行识别和响应的处理过程；是为保证计算机系统安全 而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术。它的基本思想是通过模式匹配 方法，实现对网络流量的实时监控，并在发现异常流量或攻击数据时报警，从而让管理员及时采取安全措 施] 。入侵检测系统能检测到的攻击类型有：系统扫描(System Scanning)，拒绝服务(Deny of Service) 和系统渗透(System Penetration)。 漏洞扫描是自动检测远端或本地主机安全脆弱点的技术，它的主要作用是在发生网络攻击事件前，通 过对整个网络范围扫描发现网络中存在的漏洞，及时给出修补方案，堵住安全漏洞，防止黑客利用该漏洞 进行入侵活动。 防火墙和入侵检测分别是企业网络信息安全的第一、第二道安全闸门。那么，漏洞扫描则是加固第二 道安全闸门的防盗锁。防火墙是一个静态防御系统，必须事先设置规则，对于实时攻击或异常行为不能实 时反应，无法自动调整策略设置以阻断正在进行的攻击。而入侵检测系统是一种动态发现系统，能够实时 分析内部网络的通信信息，检测出入侵行为或入侵企图。由于网络安全问题是一个动态的过程，仅仅依靠 防火墙的访问控制来防护不能完全保证系统的安全。因此，入侵检测应该通过与防火墙联动，动态改变防 火墙的策略，让防火墙从源头上彻底切断入侵行为。 入侵检测系统常用的检测方法有专家系统、特征检测与统计检测。特征检测方法通常采用一定的模式 描述来提取攻击的主要特征，通过判别网络中搜集到的数据特征或从主机审计数据中提取的数据特征是否 在模式库中出现来检测入侵行为。这种基于模式匹配的入侵检测方法存在着计算量大和系统维护量大的缺 点。随着网络规模的不断扩大及攻击手段的不断翻新，网络上传送的网络包数量不断增加，模式库不断膨 胀，采用传统的模式匹配检测方法的入侵检测系统的性能将呈线性下降。因此，将漏洞扫描技术与入侵检 测技术相结合，实现漏洞扫描与网络入侵检测系统的联动，系统定期进行漏洞扫描，根据扫描结果对网络 - 1978 - 中国电机工程学会第十届青年学术会议 ·吉林 中的安全漏洞及时进行修补，然后将扫描结果传送给入侵检测系统，入侵检测系统将模式库中与已得到修 补的安全漏洞相关的攻击模式删除，以缩简模式库规模，缩短模式匹配时间；同时，系统可以在对漏洞库 更新时，检索模式