周亮

(国网湖北省电力有限公司电力科学研究院，湖北武汉，430077)

关键字：电力；信息网络安全；主动防御新技术

1 电力信息网络安全存在的问题

1.1 系统漏洞

随着国家经济建设的不断发展，各个行业对电力的依存度和需求不断提高。为了更好地服务于社会发展，电力系统要对电力信息网络安全做出合理的分析以及对当前的安全现状进行一定的了解和掌握。分析指出，我国当前的信息网络安全仍然存在一定的漏洞。首先，当前的整体网络环境是一个比较开放的状态，及时电力信息网络系统在网络安全上已经设置了很多的管卡以及各种类型的安全防御系统，但是整体的防御状态仍然比较被动。日常工组中，不能主动地去寻找漏洞和隐患，只能等待问题发生之后再对问题做一些积极地处理，这种防御状态不利于电力系统的长久稳定发展。另外，在对漏洞进行处理的时候也常常使用的是一种比较老旧的处理方法，对问题的解决没有一个积极的突破，长此以往，容易造成比较大的隐患。

1.2 操作失误

随着计算机在工作场合的普及，大部分的工作人员都可以凭借一些基本的计算机操作技能来解决工作中出现的问题，但是经研究发现，安全问题的产生往往是由于在工作中的操作失误造成的。当前我国电力信息系统网络正处于一个比较关键的建设时期，想要使得电力信息网络在运行中安全可靠，就需要对技术操作展开持续健全的管理，使得数据信息可以为生产管理提供更多的支持。当前，电力信息系统网络安全中的一个关键问题就是受到传统观念的限制，新技术得不到及时的更新，或者对新技术的应用只停留在表面而没有一个深入的应用研究，对实际问题的解决起不到非常好的作用。其次，在技术操作过程中，工作人员过于依赖单一的技术手段，而对于现代信息网络而言，单一的技术手段无法解决网络安全的问题，只会造成安全漏洞越来越严重，造成无法挽回的不良影响。

2 主动防御技术

2.1 蜜罐技术

从这个名词中我们就可以看出，蜜罐技术就是创造一种像蜜一样的甜的温柔陷阱，也就是说在系统中设置一个跟应用系统比较类似的一张操作环境，当出现攻击的时候，攻击者就会误以为这是正常的系统而被欺骗。而技术人员通过对攻击者的信息采集可以详细地记录攻击者的入侵过程，从而获取攻击信息，对攻击进行一个深入的分析，将攻击特征提取出来，以便发生类似的攻击时，可以及时地识别并进行相应的处理。这是近几年计算机防御中新型的技术也是一种动态的防御体系。当前已经有很多的商用蜜罐产品。DTK就是一个有很多常见攻击弱点的系统，能够模仿很多的服务程序。

2.2 蜜网技术

蜜网技术是一种最为著名的公开的蜜罐项目，是蜜罐类型的典型代表，也是一种高交互式的蜜罐，用户可以从中获得更多的信息，但是相应的也要承担更大的风险性。蜜网不单是一个陷阱，专门设计用来被人攻击的一个网络，同时，它也担当着一个学习工具的作用。它会记录下入侵者的一切信息，包括其使用的工具、策略以及目的等。技术人员可以对这些数据进行相关的分析学习。蜜网的功能主要包括信息控制、信息捕获、信息收集三个方面。信息控制指的是对入侵者的行为进行规范，对于具有威胁性的入侵者，蜜网起到一个降低威胁性的作用。信息捕获就是获取攻击者的所有信息并对信息进行相应的分析。信息收集是一个非常重要的功能，是针对分布式环境中具有多个蜜网的组织。信息收集功能也是提供了一种能够从分布式蜜网中集中收集所捕获信息的安全方法。

2.3 静态取证

静态取证指的是计算机已经受到入侵的情况下，通过运用各种技术手段进行相关的分析取证。但是通常这时候系统已经被入侵和破坏了，甚至入侵者对系统进行了一些清理，使得静态取证这种方式变得非常困难也比较费时，这时候要想获得一定的证据，更多的需要依赖取证者的经验以及一些合理的取证步骤和原则。当前大家普遍的一种取证方式就是静态取证。基于静态取证思想的一些工具包括克隆工具、数据分析工具和数据恢复工具。像Guidance Software的Encase，就属于一种比较专业的静态取证工具，它运行时能够建立一个比较独立的硬盘镜像，但是它的FastBloc工具则能够从物理层阻止操作系统向硬盘上写数据。SafeBack是当前世界上很多政府部门广泛应用的一跨工具，也是世界上唯一的处理电子数据的工业标准，是NTI公司出的一款电子数据保护工具。

2.4 动态取证

动态取证技术是当前计算机取证的一个发展趋势。依靠静态取证、蜜罐技术和蜜网技术相结合的方式，对入侵者的数据进行实时获取和分析，分析攻击者的企图，并及时采取相应的措施，在确保自身计算机系统安全的情况下获取攻击者的大量证据。动态取证需要在受保护的计算机上安装上代理，当系统被入侵的时候，对系统的操作以及对文件的修改、复制等行为，系统和代理都会对此进行实时地记录。再利用文件地特征以及相关地工具，真实地还原文件地内容并对此进行备份保存。当检测到一些恶意的行为和非法入侵的时候，可以利用静态取证的方式收集一些相关的电子证据。将计算机取证技术跟入侵检测以及网络体系结构进行结合进行动态取证，会让取证更加的及时、只能，也能够灵活多样，对取证进行快速反应，避免出现更大的损失。

3 主动防御技术在电力信息网络安全中的应用

3.1 动态安全防御系统

动态安全防御系统主要是以P2DR模型为基础，在电力信息网络中主要是运用主动防御技术和被动防御技术来构建的一个动态安全防御体系。

防御系统的前线是防护，主要是由传统的静态安全技术防火墙和陷阱机实现。为了防范外对内及内对外的一些非法访问，则需要安置一些防火墙监视和限制进出网络的数据包，主要在电力信息网络中心与上级Intranet、Internet，以及电力信息网络中心与下级部门LAN之间进行安装。陷阱机的位置被放在防火墙的后面，主要是通过模拟常见漏洞，制造一个可以入侵的网络环境对入侵者进行相关的诱导。检测是防御系统的核心机制，作为网络监视系统以监视内部网络活动，检测内部入侵。响应是在攻击发生之后的一个安全措施。综上所述可以看出动态安全防御机制具有一定的优越性。

图1 动态安全防御系统物理模型架构图

3.2 漏洞扫描

在电力信息网络安全中应用主动防御机制一个最基本的应用就是漏洞扫描。在电力信息网络安全中应用漏洞扫描技术可以对网络系统中出现的所有漏洞进行相关的扫描和分析还会有针对性的出一份检测报告和相应的修补方式的建议，从而指导技术人员能够及时地更有针对性地对漏洞进行修补，提高网络系统地安全性能。主动防御技术在电力信息网络中的运用，除了可以对已出现的漏洞进行相关的扫描和修复还可以对新出现的漏洞进行分析，从而给相关的技术人员一些指导性的建议并进行及时地修复，从而避免更大的网络安全漏洞的出现。

3.3 攻防演练

随着网络信息系统的不断发展和革新，电力信息网络安全系统会不断地提升但是相应地网络安全的破坏系统也会不断地升级。因此，电力系统的网络安全要与时俱进，并对电力系统网络安全进行相关的模拟实际的演练，从而使得在面对真实的攻击的时候可以及时地采取有效地的措施。主动防御系统在电力信息网络系统中的运用，并对电力信息网络安全的攻防演练就能够实现真是网络攻击环境的模拟和防御，对于新出现的网络漏洞等都会有一个及时的反应和应对。传统的电力信息网络安全系统没有对攻击进行过相应的真实演练，在遭遇攻击的时候缺乏相应的经验。利用主动防御技术中的动态取证技术，进行实际的攻防演练，对攻击的方式进行分析和解决，提高电力信息网络系统的网络安全。