入侵防护系统在供电局网络安全建设中的应用

时间:2022-03-28 10:42:03

入侵防护系统在供电局网络安全建设中的应用

入侵防护技术是当前网络安全领域的热门技术,将其用于供电局网络安全建设可提高供电局网络监测和控制外部风险的能力,提升内部网络的安全性,保障电网系统安全稳定运行。通过分析入侵防护系统的功能,对入侵防护系统在供电局网络安全建设中的具体应用作分析是重点。入侵防护系统是一种新型的网络安全系统,而入侵防护系统出现则丰富了传统网络安全系统的功能,防御能力更强,还能有效预防潜在的威胁。随着供电系统向智能化发展,供电局网络规模也越来越大,面临的网络威胁也越来越多,种类越来越复杂。

1入侵防护系统功能分析

1.1多种入侵检测机制相互结合

入侵防护系统以协议为基础,结合智能协议识别、专家系统、异常检测以及状态防火墙技术,为用户提供多层次的网络安全防护功能。协议识别和分析机制可对网络报文中的协议特征进行动态分析,还能在无人操作的情况下快速准确地检测入侵行为,发现入侵木马和后门。专家知识库将攻击特征与已知攻击特征库进行匹配和识别,记录新的攻击特征,不断丰富数据库,为及时监测攻击行为提供了保障。异常检测机制包括流量异常和协议异常检测机制。流量异常检测机制以“正常流量值”为标准,及时发现非预期的异常流量,从而防范未知蠕虫、分布式拒绝服务器攻击以及其他零日攻击。协议异常检测机制以RFC为标准,检测操作行为是否符合RFC规定。协议异常检测机制可发现未知的溢出攻击、拒绝服务器攻击和零日攻击。

1.2防御深度入侵

入侵防护系统可通过精细的检测和防御措施,阻断SQL注入、拒绝服务器、蠕虫病毒等多种入侵行为。同时,入侵防护系统还能阻断广告或间谍软件、木马等非法程序扩散。最后,入侵防护系统重组IP碎片能力强大,并可追踪数据流,可有效阻断任意分片式攻击行为。

1.3防御病毒

入侵防护系统可对HTTP、IMAP、SMTP等协议进行特征和启发式扫描,检测和控制协议的病毒流量,并及时查杀病毒,防范病毒对网络造成损害。

1.4防御Web的威胁

由于病毒种类越来越多,木马传播方式和途径也更加隐蔽,Web危险具有新的特点,web威胁呈混合性、渗透性、和利益驱动性特点,web威胁也已经成为增速碎块、危害最大的网络风险因素之一。而网络是办公的重要措施,对网络的依赖性使网络遭受web威胁的几率更高。而入侵防护系统可根据web信誉评价技术和URL过滤技术检测web,对植入木马的web网页发出警报,提醒操作人员,达到预防低于web威胁入侵网络的目的。

1.5流量管理功能

流量管具有全局维度、局部维度、时间维度、流量维度流量控制四元组,并基于内容和面向对象提供流量保护对策,为用户提供丰富的、灵活性更强的流量管理功能。入侵防护系统可对流量进行智能识别和分类,根据流量管理协议对流量许可和优先级进行控制,阻断非授权用户的流量,管理合法网络资源,优化各类型流量的比例和分布情况,在保证最小宽带和限制最大宽带的基础上,确保关键程序能够正常稳定地运行。

2入侵防护系统在供电局网络安全建设中的应用分析

2.1入侵防护系统部署方式

入侵防护系统包括两种在部署方式,一是在线部署,二是旁路部署。除特殊情况外,入侵防护系统选择直接串联介入网络,以实现有效管理和控制所有流经入侵防护系统的数据流量,而采用路旁部署方式接入入侵防护系统无法完全发挥防护系统功能,系统只能发挥入侵检测的作用,系统设备也只能监视流量使用情况,无法及时控制异常流量。

2.2系统部署方式选择

入侵防护系统部署方式影响流经防护系统的流量,并对入侵防护系统的防护作用和防护范围造成影响。因此,要充分发挥入侵防护系统的功能,更大范围的提供保护作用,应采用在线部署方式。通常情况下,可采用透明式串联部署,并将入侵防护系统部署在网络关键出口位置。该部署方式不仅能够发挥入侵防护系统实时监测网络流量、过滤和阻断非法网络流量的功能,还能更好的发挥系统BYPAASS容错功能,使系统软件或硬件发生故障后依然能维持正常网络通信。但是,还需根据供电局网络具体情况,选择最恰当的入侵防护系统部署方式。(1)部署在内网核心交换机与出口防火墙之间。采用该部署方式无需改变现有网络及业务模式,还能对内网客户端进行严格的管理、观察客户端的IP,以便准确定位攻击源。入侵防护系统还能防护向外和向内的攻击和流量,而且由于防火墙已经过滤多数非法攻击和流量,流经入侵防护系统的攻击流量更少,系统复杂轻。(2)布置在出口防火墙与出口路由器之间,该部署方式无需改变的现有网络结构和业务模式。同时,部署方式将入入侵防护系统作为最外层防护网关,可有效放于外部攻击流量,入侵防护系统日志会清楚记录外部攻击信息。由于外来攻击流量都必须经过入侵防护系统,因而流经防火墙的攻击流量较少,防火墙的负载更轻。最后,采用该方式部署后,入侵防护系统对对内网客户端的入侵行为防护措施简单,只有事件设置策略,如目的any。该不是方式的缺点也较为明显。如内网客户端访问外网需通过防火墙NAT地址翻译,而无法在入侵防护系统内查询内网客户端的真实IP地质,而只能观察NAT后的地址,造成入侵防护系统无法准确定位内部攻击源,也无法针对不同客户端IP设置入侵保护策略。

2.3系统部署

从入侵防护系统两种部署方式可以看到,入侵防护系统部署在内网核心交换机与出口防火墙之间的优势更多,更适合我国供电局网络安全建设需求。这种部署方式在防放于外来攻击的同时,还能避免入侵防护系统受防火墙NAT地质翻译的影响,对内网不同IP设置不同入侵范湖策略,有效阻断和定位内部攻击行为。例如,供电网可采用透明方式,将入侵防护系统部署在内网核心交换机与出口防火墙之间,部署拓扑结构如图1所示。该部署方式具有以下四个优点。第一,入侵防护系统设备配置简单,安装更加方便;第二,入侵防护系统对内网客户端管理更加有效,可对内网客户端的行为和流量进行有效管理和控制。第三,可观察内网客户端的真实IP地址,电网运行管理人员也更容易快速查找和定位内网攻击源。第四,入侵防护系统部署在内网核心交换机与出口防火墙之间,系统防护可同时监控和控制内网向外的流量和来透过防火墙的外网攻击流量,系统在监控和管理流入电网系统攻击流量和流向电网外部流量之前,电网的防火墙的访问控制级攻击防护系统已经对多数外网攻击进行了过滤处理,最终流经入侵防护系统的外网攻击流量大大减少,入侵防护系统的负载也更轻,入侵防护系统传输内外网数据的效率显著提高。

3结语

供电局网络安全建设应用入侵防护系统后,系统能够实施主动拦截攻击、木马和而言流量等,避免用户操作时被植入恶意代码,有效的保证了关键系统业务正常应用,净化了局域网使用环境,提高企业生产和办公效率。最后,入侵防护系不仅提高了电网防御能力,管理员的工作量减轻,管理员可将时间和精力用于分析网络安全时间,及时发现全局网络安全中存在的不足,为开展下一步工作提供参考。

作者:阮俊杰 单位:广东电网有限责任公司佛山供电局

引用:

[1]张文明.浅谈入侵防护系统在供电局网络安全建设中的应用[J].无线互联科技,2013.

[2]莫若节.供电局互联网访问存在的安全问题及对策探讨[J].技术与市场,2013.

[3]吕维新.入侵防护系统在昆明供电局网络安全建设中的应用[J].电力信息化,2010.

[4]谢群.昆明供电局综合数据网三层网络架构研究与应用[J].电子制作,2014.

[5]邓小勇.网络安全防护建设及优化的探讨与实践[J].通讯世界,2014.

[6]戴菲.浅谈如何实现入侵检测系统安全防护[J].福建电脑,2010.