电力内网

电力内网（精选8篇）

电力内网 篇1

0 引言

在通信和信息技术的推动下,电力信息系统发展迅速,已建成生产、管理、营销等不同类型的应用系统,这些系统为传统电力系统的运行管理带来方便的同时,不可避免地引入了信息安全问题。国家电网公司强调在电网信息化建设过程中,要始终把自主、可控放在重要位置,保障信息安全[1]。

电力信息网络相对较为封闭,需要应对的信息安全隐患更多的来自网络内部,终端主机是连接涉密内网的重要通道,不能使非法实体通过终端主机访问内部资源或相关数据信息。终端主机内资源如电力交易信息或安全生产采购合同遭遇非法实体窃取,可能造成严重危害。电力系统内网有必要对终端主机的访问设置一定的权限。

针对内网终端主机面临的安全管理问题,本文结合信息安全基本理论,提出一种电力系统内网终端安全管理策略,包括Windows系统下基于USB Key的开机登录认证、终端违规外联控制以及客户端程序保护。提出的安全管理策略基于国产SM2 算法密码体系,增强了电力系统内网的信息安全[2]。

1 电力信息内网安全需求分析

1.1 电力系统信息安全防护体系

电力二次系统是指各级电力监控系统和调度数据网络以及各级管理信息系统和电力数据通信网络构成的系统[3]。根据各业务系统重要性的差别及不同的安全防护需求,电力二次系统安全防护总体框架将电力信息系统划分为:实时控制区、非控制生产区、生产管理区和管理信息区[4](见图1)。

1.2 电力信息内网安全需求

信息安全包括机密性、可用性、完整性、不可抵赖性4 个基本要求,电力信息内网安全防护需要重点考虑以下方面。

1)保证数据的完整性。在电力信息网络中,如果数据不能够保证完整,会对系统运行产生重大影响。如电网中的电源节点出力大小调节和负荷节点的投入、切除都是通过信息网操作来完成。

2)保证终端主机访问的安全性。即对终端主机的访问设置一定的权限,终端主机是连接涉密内网的重要通道,不能使非法实体通过终端主机访问内部资源或相关数据信息。终端主机内资源如电力交易信息或安全生产采购合同遭遇非法实体窃取,可能造成严重危害。

3)保证终端主机所在网络边界的有效检控。网络边界安全防护主要是对流经该边界的数据进行检测和控制,检测机制主要有入侵检测系统(Intrusion Detection Systems,IDS)、对进出边界信息内容进行过滤等,控制机制主要包括入侵防护、虚拟专用网(Virtual Private Network,VPN)、网络访问控制以及用户访问认证/ 权限控制等。这些检测和控制机制联合起来给内网提供一个良好的防护系统,目的是防范非法实体跨越边界进行攻击,主要是使边界内部网络避免接收来自边界外部的攻击。在终端主机的网络访问控制方面,需要考虑对内网终端主机的违规外联控制和对外部主机的非法接入控制。

4)需要对外设访问进行控制。主要是针对可移动存储设备的控制研究,不能简单的采用禁用所有外设的方法,要对不同的主机分别配置不同的读取权限,或者将可移动设备进行分类、合法的移动设备允许接入等。

5)能够提供安全审计功能。如在电力营销系统中,需要对终端主机登录营销系统的行为及相关操作进行记录,为安全事件发生后的及时排查、补救及取证提供依据。

2 内网终端主机安全管理现状

2.1 身份认证技术与USB Key

目前多数电力信息系统的用户认证采用账号/口令的方式[5],但是账号/ 口令的认证方式需要保障密码存储的安全性,同时它没有强制性的技术控制口令长度、复杂程度及更换频率,而且在验证过程中可能会被网络黑客截获,给电力系统信息网络安全性带来巨大的潜在隐患。

文献[6] 研究了数字证书在电力二次系统中的实现及应用,介绍了在我国电力调度系统内专用的证书服务系统,并对证书服务系统所签发的数字证书的典型应用进行了阐述。

文献[7] 对符合相关安全标准的统一身份认证平台的总体架构进行设计,涉及到身份管理、单点登录、集中认证、集中审计等模块,对电力信息及业务系统进行分析,给出了平台与现有系统的集成方案。

文献[8] 从电力信息安全需求出发,设计了一种电力数字证书服务系统(Power Certificate Service System,PCSS),并讲述了其在电力业务系统服务器身份认证中的应用,该平台基于公钥技术,能够为电力调度交易系统、电力营销系统、电力管理信息等业务系统提供身份认证、签名验签、加解密等安全功能。

USB Key是采用USB通信协议,支持即插即用,内置智能芯片,具有存储空间的硬件设备。内部存储用户私钥信息及数字证书,通过内置密码算法来实现身份认证,同时每个USB Key硬件都具有PIN码,能够实现双因子认证功能。USB Key内部存储用户密钥信息,其所有安全性操作都隐蔽的集中在Key内部,即使USB Key丢失,还需要用户提供PIN码,具有较强的安全性。其自身的硬件接口决定了用户只能通过厂商提供的编程接口来访问数据[9]。

采用USB Key认证方式,是目前相对方便安全、成本较低的身份认证方式,通过硬件与软件相结合的模式,在当前主流操作系统都能使用。

2.2 进程保护技术

进程保护技术可以保护一个进程不被非法操作关闭来保证进程的正常运行,这种技术在信息安全的主机防护领域具有其不可替代的作用。目前使用较多的进程保护技术有:动态链接库(Dynamic Link Library,DLL)注入技术、Hook API技术和三线程保护技术。

电网监控系统及SPDnet(调度数据网络)作为电力系统的基础设施,其相关安全问题一直是国家电网安全防护组重点关注的对象之一,文献[10] 研究了电力专网非法外联监控系统监控和通信模块的设计,能够实时准确高效切断外联主机与外网的联系。

针对内网安全防护中的重要问题,文献[11] 基于C/S架构,利用USB Key作为安全载体,以互联网通信引擎(Internet Communications Engine,ICE)通信中间件作为通信手段,结合身份认证技术、混合加/ 解密技术、SSDT Hook技术提出身份认证方案、进程监控方案和数据加解密方案,实现整体的终端主机安全防护系统。

3 内网终端主机安全管理总体方案

根据电力信息内网的安全需求,设计内网终端主机安全管理系统,系统由内网安管服务器、外网报警服务器和客户端程序3 部分组成,重点包括3 个功能模块:基于USB Key的Windows系统登录认证模块、涉密主机违规外联监控模块以及客户端程序保护模块。其中登录认证模块主要负责用户登录权限的控制,防止非法用户登录内网主机,窃取相关机密信息;涉密主机违规外联监控模块主要负责查找并报警试图或者已经成功外联的主机行为,及时切断外联行为,并将外联主机标示信息如计算机名、IP以及MAC地址存档方便审计;程序保护模块主要对上述2 个模块进行安全加固,防止上述2 个模块功能失效,内网终端主机安全管理设计如图2 所示。

3.1 基于USB Key的Windows系统登录认证模块

USB Key中存储有合法用户的身份证书和私钥信息,当USB Key插入计算机时,首先有一个Key自身的PIN码验证,输入正确的PIN码后,USB Key客户端和认证服务器之间实现双向身份认证,USB Key客户端和认证服务器端含有的可用于交互密钥的数字证书是建立双向身份认证的前提。

客户端和服务器端进行双向身份认证的过程如下:首先,USB Key客户端发起对服务器的安全请求,主要包括一个握手协议;服务器收到请求消息后,将自身签名的数字证书反馈给客户端,最后给客户端发送一个握手建立的消息;客户端收到握手建立的消息,开始对服务器端数字证书进行验证,验证通过后客户端将自己签名的数字证书发送给服务器端;服务器端使用基于第三方CA产生的公钥对客户端证书私钥进行验签来证明是否为合法用户,同时查询第三方CA证书库目录服务,检查证书有效期是否在证书撤销列表(Certificate Revocation List,CRL)中,若在有效期内,则通过服务器对客户端的验证;此时双方身份认证都已完成,客户端发出交换密钥请求,客户端产生一个会话密钥,然后用服务器的公钥进行加密,将这一加密会话密钥发给服务器,服务器用自己的私钥解密出会话密钥,然后进行后续通信。

3.2 外联监控模块

目前,为了防止内部员工或非法用户恶意将内网环境涉密主机非法外联,有多种形式的外联方法,主要存在2 种非法外联监控模型:双机发包探测模型和客户端监控模型。提出的方案综合现有2 种外联监控模型,设计一种综合的违规外联监控方案,其网络拓扑结构如图3 所示。

此违规外联监控方案共有3 个模块:内网安管服务器模块、主机监控客户端模块和外网报警服务器模块。

内网安管服务器模块主要实现3 个功能:储存内网中标示主机的基本信息,包括主机名、IP地址、MAC地址等,并提供基本的数据库管理,以方便管理员进行查看、修改等操作;向内网中各主机广播地址解析协议(Address Resolution Protocol,ARP)请求包,实时取得内网中主机的IP地址,并将其与数据库中的数据进行对比,以防主机私自篡改IP地址;向客户端下发配置策略文件,同时升级客户端软件功能。

主机监控客户端模块的任务是向外网服务器发送TCP探测包进行监控,以防止主机与内网服务器断开连接进行非法外联;定期上报主机运行状态信息;定期扫描主机网络设备信息上报内网监控服务器;当发生违规外联行为时及时切断联系。

外网报警服务器模块主要起辅助报警功能,可以在主机客户端与内网监控服务器失去联系的情况下,当接收到内网主机客户端发送的探测包时,说明已经产生违规外联行为,及时报警通知管理员处理这一违规事件,同时将报警日志进行存储以待后期审计。

3.3 程序保护模块

程序保护对内网终端安全管理系统的意义重大,如在Windows登录认证模块,如果客户端程序被强制卸载,同时修改注册表使用默认Windows登录机制,则USB Key身份认证模块将会失去意义;同样在内网涉密主机违规外联模块中,客户端程序在整个系统中处于核心地位,如果强制卸载该客户端,外网报警服务器就不会收到内部任何信息,同时也不能及时切断违规外联活动。

程序主要从进程隐藏、进程保护2 个方面实现自我保护功能。进程隐藏主要是通过Svchost技术实现,Svchost.exe是动态链接库中运行的服务的通用主机进程名称,该程序属于共享进程,是不能被结束的,Svchost进程不能实现任何服务功能,作为其他服务的宿主,只能给别的服务启动提供条件,系统服务通常是以DLL形式实现,可以将可执行程序指向Svchost进程,然后由Svchost进程来调用相关服务的DLL启动服务,通过Svchost进程启动服务的方法比较隐蔽,同时不会增加新的进程,用这种方法启动客户端服务,具有很好的隐藏效果,即使被发现也不能被终止。进程保护主要通过三线程保护技术实现。

4 内网终端主机安全管理实现

按照上述总体方案,对内网终端主机安全管理系统的登录认证模块、外联监控模块以及程序保护模块分别进行实现。

4.1 登录认证模块实现

该部分从Windows系统的登录过程出发,设计了基于USB Key的Windows系统登录认证方案。

4.1.1 服务器端用户信息管理

服务器能够对所有合法用户、终端主机以及USB Key设备进行统一信息管理,其主要任务是将合法用户身份信息、USB Key以及终端主机进行绑定,主要实现用户信息注册、PIN码修改以及终端主机账号/ 口令记录等功能。进行绑定的目的是使持有该USB Key的合法用户具有登录该主机的权限,实际登录过程中还需要主机的账号/ 密码口令,将该主机账号/ 密码保存在本地主机的一个秘密文件中。

4.1.2 客户端认证登录流程

客户端认证登录过程分为在线认证登录和离线认证登录2 种情况,认证过程要求每次USB Key进行认证时连接服务器,离线认证方式可以解决在离线情况下无法登录系统的问题。

终端主机在线认证登录流程如图4 所示。

1)系统进入登录界面,插入USB Key并输入PIN码进行验证,验证成功后进入2);

2)客户端发送连接请求,主要是一个握手协议,服务器收到后发送私钥签名过的数字证书给客户端,客户端用服务器公钥对数字证书进行验证,验证通过进入3);

3)客户端将USB Key唯一标识符Key ID(即USB Key的内部序列号)、随机数和随机数Hash值用私钥签名后发送给服务器,服务器通过唯一的Key ID获取客户端公钥,对客户端数字证书进行验证,同时对随机数Hash值进行验证,只有两者都验证通过进入4);

4)客户端和服务器实现双向身份认证后,客户端用自己私钥解密出本地密码文件中的账号/ 密码,成功登录系统。

客户端离线认证登录流程如图5 所示。

1)进入登录界面插入USB Key,客户端获取USB Key标识符Key ID与本地策略文件中保存的Key ID进行比对,检查其合法性,验证通过进入2);

2)输入PIN进行验证,验证通过进入3);

3)客户端用自己私钥解密出本地密码文件中的主机账号/ 密码,成功登录系统。

系统登录成功后,拔掉USB Key一定时间(策略自定义)后,系统锁屏,重新插入USB Key需要重新认证。

4.2 外联监控模块实现

4.2.1 服务器端

服务器主要负责的功能有:发送ARP包检测在线主机,并进行设备管理,把合法主机添加进数据库;数据库储存能够标识合法主机的基本信息,包括主机名、IP地址、MAC地址等,并提供基本的数据库管理,以方便管理员进行查看、修改等操作;向内网中各主机广播ARP请求包,实时取得内网中主机的IP地址,并将其与数据库中的数据进行对比,以防主机私自篡改IP地址;向客户端下发配置策略文件,同时升级客户端软件功能;查看非法外联监控客户端上报的主机运行状态信息。服务器在功能上主要包括内网主机管理、数据库管理、安全策略管理、升级管理等模块。

4.2.2 客户端

内网主机客户端程序主要功能是接收内网主机监控服务下发的安全策略,检测主机外联行为(双网卡、拨号、无线以及其他外设等上网方式),当发现外联行为时,及时上报内网服务器并产生安全事件日志,并切断外联行为。

具体外联监测是通过客户端发送TCP探测包给外网报警服务器和查看路由表技术相结合的方法:当主机连接内网网线被人为拔掉时,通过客户端发送TCP探测包给外网服务器来进行探测,若外网服务器收到数据包,则说明已经产生外联行为;通过查看Windows系统路由表可以检查是否通过安装双网卡、拨号、无线等方式进行外联上网,一旦通过这些方式进行上网,系统路由表项就会发生变化,通过查看该路由表项和系统默认路由表项进行比对来判断是否外联。同时该客户端具有产生安全事件日志功能,在主机发生外联事件时,及时上报内网服务器,同时发送一个报警指令给外网服务器。客户端功能流程如图6 所示。

客户端主要分为TCP发包探测模块、安全事件上报模块、外联阻断模块和自我保护模块。

4.2.3 外网报警服务器端

外网报警服务器的任务主要是接收来自客户端的探测数据包、邮件报警等。数据探测包主要用Windows Socket编写服务器端进行监听;邮件报警是通过调用Windows系统自带的MAPI32.DLL,通过outlook发送邮件。

4.3 程序保护模块实现

4.3.1 进程隐藏

本系统中客户端服务为Client Monitor.dll文件,可以将客户端服务可执行程序指向Svchost进程,当内网涉密计算机启动时,由Svchost进程去查找注册表中需要加载的Client Monitor.dll来启动该项服务,这种方式隐蔽性好,即使发现也不能被终止。

4.3.2 进程保护

使用三线程保护技术实现。远程线程监控是三线程保护的关键部分,首先需要由主线程在远程进程中创建远程线程,其次是建立本地辅助线程,用来监视远程线程的运行状态,此处所用的函数是Get Exit Code Thread(p This_>m_Remote Thread-Handle,&excitcode),设置一个定时器使它间隔的获取远程线程运行状态,一旦发现exitecode不等于STILL_ACTIVE,说明远程线程可能已经被强制关闭,辅助线程立刻去调用建立远程线程的函数[12]。

5 结语

从终端主机安全管理角度出发,提出的总体设计方案能够实现基于USB Key的Windows登录认证、内部涉密主机违规外联监控2 个功能,同时将程序保护方案添加到该设计中来增加安全性。下一步需要完善其他功能模块,如外设控制模块、端口管理模块、网络接入控制模块以及安全审计模块等,这些功能模块对于内网终端管理同样有重要作用。

参考文献

[1]李同智.灵活互动智能用电的技术内涵及发展方向[J].电力系统自动化,2012,36(2):11-17.LI Tong-zhi.Technical implications and development trends of flexible and interactive utilization of intelligent power[J].Automation of Electric Power Systems,2012,36(2):11-17.

[2]骆钊,谢吉华,顾伟,等.基于SM2密码体系的电网信息安全支撑平台开发[J].电力系统自动化,2014,38(6):68-74.LUO Zhao,XIE Ji-hua,GU Wei,et al.SM2-cryptosystem based information security supporting platform in power grid[J].Automation of Electric Power Systems,2014,38(6):68-74.

[3]胡炎,辛耀中,韩英铎.二次系统安全体系结构化设计方法[J].电力系统自动化,2003,27(21):63-68.HU Yan,XIN Yao-zhong,HAN Ying-duo.A method for the structured security architecture design of secondary systems[J].Automation of Electric Power Systems,2003,27(21):63-68.

[4]骆钊,顾伟,谢吉华,等.统一安全支撑平台在电力二次系统中的应用研究[C]//中国电机工程学会电力通信专业委员会第九届学术会议,长沙,2013:817-821.

[5]王凯令.电力信息系统统一身份认证体系的建设研究[J].信息网络安全,2010(1):44-45.

[6]刘刚,梁野,李毅松,等.数字证书技术在电力二次系统中的实现及应用[J].电网技术,2006(S2):71-75.LIU Gang,LIANG Ye,LI Yi-song,et al.Realization and application of certificate in secondary part power system[J].Power System Technology,2006(S2):71-75.

[7]王凯令.电力信息管理系统中统一身份认证技术研究及应用[D].上海:上海交通大学,2010.

[8]余勇,林为民,何军.电力数字证书服务系统的设计及应用[J].电力系统自动化,2005,29(10):64-68.YU Yong,LIN Wei-min,HE Jun.Design and application of power digital certifi cate service system[J].Automation of Electric Power Systems,2005,29(10):64-68.

[9]王俊锋.USB Key认证研究与实现[D].武汉:华中科技大学,2009.

[10]朱坤华,李莉.电力专网非法外联监控系统监控和通讯模块的设计[J].河南科技学院学报,2009,37(2):61-64.ZHU Kun-hua,LI Li.Design of monitoring and communication module of the illegal ex-connection monitoring system of electric power network[J].Journal of Henan Institute of Science and Technology,2009,37(2):61-64.

[11]李乐乐.内网安全管理系统中主机安全研究[D]:北京:北京邮电大学,2011.

[12]马金鑫,袁丁.基于Windows环境下的进程保护技术的研究与实现[J].计算机应用与软件,2010,27(3):18-21.MA Jin-xin,YUAN Ding.On process-protecting based on Windows and its implementation[J].Computer Applications and Software,2010,27(3):18-21.

浅谈单位内网架设 篇2

架设单位局域网需购置机柜一个，家用路由器（非无线）一个，无线路由器3个，24口交换机或集线器2个，网线一箱以及制作网线的钳子和水晶头。

（四）局域网架设

1、准备工作。首先是把有线路由器和2个交换机安装固定到机柜内，然后由机柜向各个科室布网线，网线两头制作水晶头。常用的水晶头制作方法有两种：一种是交叉线（电脑连接到电脑），一种是平行线（电脑连接到路由器或交换机）。交叉线的做法是：一头采用568A标准，一头采用568B标准 。平行线的做法是：两头同为568A标准或568B标准。我们这里采用水平线接法，两头都采用568B标准，接线顺序为：橙白，橙，绿白，蓝，蓝白，绿，棕白，棕。

2、网线连接。首先通过光猫连接路由的外网（WAN）口，然后有路由的四个LAN口中任意两个口分别连接24口交换机，再由交换机通过所布的网线连接到各个科室的端口，最后由各个科室端口连接到无线路由器的WAN口、计算机、笔记本、绘图仪、复印机等终端。

3、路由器设置。路由器的默认IP地址是192.168.1.1，这里我们先在服务器【网上邻居|属性|本地连接|属性|Internet协议】中，将其IP地址设置为192.168.1.2，子网掩码为：255.255.255.0，网关为：192.168.1.1。然后打开浏览器，在地址栏中输入192.168.1.1，输入路由器的默认账号和密码（一般都为admin），最后在web界面中设置路由器。网络参数中WAN口设置上网方式为静态IP地址（拨号上网的一般为PPPOE，账号密码有服务商提供），静态IP地址由电信提供。同时在路由器中开启DHCP，自动分配IP地址给各个终端。

4、无线路由器设置。这里无线路由器设置要注意，网络参数中WAN口设置上网方式选择静态IP地址，IP地址为192.168.1.*，子网掩码为：255.255.255.0，网关为：192.168.1.1。LAN口设置IP地址改为192.168. 0.*。在无线安全设置中开启安全设置，并设置密码，同时开启DHCP。

5、台式机及笔记本设置。台式机设置很简单，只要把IP地址和DNS设置为自动获取就行了。笔记本由自身所带无线网卡连接搜索到的无线信号，输入相应的密码，就可以了。

电力内网 篇3

1 IBE概述

1.1 IBE的概念

基于身份的加密IBE,全称Identity-Based Encryption,是一种公共密钥加密方法,最早是在1984年由公钥密码学者Shamir提出,它是对传统密钥技术的创新和升级,是现代公共密钥加密技术的重要内容。在IBE加密机制中,用户的公钥是基于用户的身份信息设定的,不需要像CA和PKI那样通过数字证书进行绑定,极大地避免了烦琐而复杂的证书管理工作,解决了证书发布、验证及保存等操作引起的资源大量占用问题,也是对公钥密码体制的一种发展和完善。总体来说,IBE是一种先进的、发展前景广阔、具有广泛应用性的加密技术。

1.2 IBE的优点

基于身份的加密(IBE)具有很多的优点:

第一,IBE不需要公钥证书和交叉认证,简化了复杂的证书管理工作,克服了PKI、PGP、VPN等传统加密技术在应用中的缺陷,降低了系统运行的成本和难度。

第二,IBE加密机制中,密钥使用期限是固定的,密钥到期自动撤销,而且它在信息设置上也具有自动性,当信息被设定为一段时间内有效时,在有效期内,信息会得到良好的保护和加密,而一旦过了设定时间,信息则会自动失效或无法读取。

第三,IBE在邮件管理方面效果显著,能够有效防止垃圾邮件的侵入。

1.3 IBE的应用现状

在IBE提出后的十几年间,虽然人们认识到了IBE加密技术的优越性,但是由于种种问题和阻碍,IBE并未得到大规模的应用,专家学者一直不断地对IBE进行深入研究,也在不断探讨IBE的具体应用方案,时至2001年,切实可行的IBE应用方案出炉,为IBE的应用提供了理论支持和方案导向,IBE的应用实例日渐增多,笔者将具体讲述IBE在电力内网安全机制建设中的运用。

2 电力内网安全机制的构成及其重要性

现代社会,人们对电力系统的依赖性越来越大,电力网络的安全程度直接决定了社会生产的安全指数,而在信息全球化的趋势下,信息的安全受到越来越大的挑战,因此,在电力内网的安全要求日益提高的情况下,电力内网安全机制的建立和完善成为必然趋势。电力内网安全机制由加密机制、安全认证机制、访问控制机制三部分构成,它们都对保障电力内网安全机制有着重要意义。不断完善加密机制,可以保护电力内网信息安全流通,实现安全机制的高效、安全运行。所以,在电力系统管理中,应该重视内网安全机制建设,保障电力内网信息流通安全,为人类社会生产营造良好的环境和氛围。

3 基于IBE的电力内网安全机制

3.1 用户信息安全管理

IBE加密技术本身就是基于身份的加密,因此,用户信息的管理是基于IBE的电力内网安全机制的重要内容。在电力内网安全机制中,要系统、合理地组织用户注册,维护用户信息列表,竭力向用户信息管理模块提供相关的用户认证信息,进而实现保障用户信息安全的目的。要实现用户信息的安全管理,应该从以下三方面入手:

第一,建立用户信息的集中存储机制,对电力内网中的用户实现集中管理,对用户信息进行统一的规范和控制,使IBE在信息加密方面的优势充分发挥出来。

第二,在用户身份的检验方面,采用口令管理,将用户认证设置为私钥请求的基础,保障电力内网内部数据访问的安全性。

第三,增加用户自主功能,用户可以在通过程序批准的情况下,自己进行注册,简化电力内网系统管理人员的工作任务。

3.2 私钥安全管理

私钥的安全管理对IBE的有效施行具有重要意义,也是保障电力内网信息流通安全的基本因素。私钥管理的内容主要有私钥的产生、分发、撤销及电力系统主密钥的维护,在实际的电力内网运行中,私钥的安全管理程度直接决定了电力内网的安全程度。基于IBE的电力内网安全机制高度重视私钥的安全管理,私钥的获取和产生需要经过严格的程序,得到相应的认证,在信息经过一系列流程检验和确认,保证无误后,才能通过SSL安全通道将生成的私钥发送给用户,而如果信息有误或者出现其他错误,则将错误信息返回。

3.3 公开参数系统

电力内网安全机制中需要有维护内网公开参数的系统。对公开参数系统的安全管理,一方面要做到公共参数的公开,另一方面要实现主密钥的保密,这样既能为用户提供便利的公开参数查找服务,又能够保障电力内网信息的安全性和完整性。公开参数系统的主要运行步骤如下:

第一,由电力内网应用程序向公开参数系统服务器提出公开参数请求。

第二,服务器在接受到请求信息之后,在公开参数中查找符合要求的参数。

第三,系统将对应电力内网公开参数发送给请求者。

3.4 接口管理

接口管理主要负责规范电力内网安全技术接口管理,要实现电力内网的安全和可靠运行,需要借助有效的安全技术,例如病毒扫描技术、防火墙技术等,这些技术对保障电力内网信息安全、维护电力网络安全运行起到的作用不可小觑,因此,对于这些安全技术接口的管理应当格外注意,进而实现安全技术与电力内网安全机制的完美结合,利用IBE基于身份的认证特性,建立起电力内网中基于身份的访问控制。

摘要：当前社会,电力信息化建设不断深化,对电力内网的安全要求日益提高,IB E对电力内网安全性的提高有重要意义,如何将IB E技术应用到电力内网安全机制建设当中,实现电力内网的可控性与可靠性,成为电力网络维护人员的关注重点。

关键词：IB E,电力,内网安全机制

参考文献

[1]高伟,周权,郭艾侠.网络嗅探及其检测和防范[J].安庆师范学院学报(自然科学版),2002,(03):96-97.

[2]侯彦华.有关无主站VSAT的解决方案[J].北京广播电视大学学报,1996,(01):44-45.

电力内网 篇4

针对上述问题, 本文提出了基于信息融合的电力内网安全态势评估模型, 利用D-S证据理论对电力内网不同安全分区的信息数据进行融合, 相较于一般的网络安全态势评估方法具有更好的精度, 极大避免了漏报和误报, 能够有效提高电力内网的安全管理水平。

1 电力内网的安全态势评估模型

电力内网安全问题主要是由服务器、主机或网络提供的服务中存在的漏洞带来的。本文根据电力企业内网这一特点, 以漏洞为评估对象, 建立如图1所示的层次化的网络安全态势感知模型。将NSSE划分为三个层次, 即数据层、评估层和展示层。

第一层是数据层, 可采取通过不同的接入方式, 如专门的代理接口等, 以获取不同分区网络信息的办法。第二层是评估层, 从漏洞-服务-主机-网络的角度, 采用加权求和法得到网络安全评估结果。第三层是展示层, 根据历史态势评估结果, 运用图形图像技术, 将网络安全态势分析的结果展示出来。

2 基于信息融合的安全态势评估算法

证据理论主要用于处理不确定性问题, 也称为Dempster-Shafer证据理论。本文以CNVD公布的漏洞严重性分值和IDS的报警统计数据作为证据, 从漏洞-服务-主机-网络的角度对整个网络进行安全态势评估:

对网络中主机进行编号Hn (1芨n芨网络中主机数) , 针对某一主机Hi存在漏洞Li, 对主机Hi中的漏洞信息进行归一化处理, 获得漏洞严重性证据:

其中是漏洞严重性证据是漏洞严重性分值;

定义辨识框架, 本文采用改进的D-S证据理论方法对相关网络数据进行合成, 得到基本可信度分配函数, 经过证据合成, 的计算公式为:

漏洞Li的态势值SLi可以直接利用m (h) 获取SLi=m (h) ×100%, 可以利用加权求和法获得Seri的安全态势值SSeri, 然后利用服务Seri的安全态势值SSeri可以获得主机Hi的安全态势, , 最终可以获得网络安全态势值。其中Hi∈N表示网络N中的主机集合, w Hi表示网络N中主机Hi的权重。

3 模拟实验

选取了某电力公司提供的2010年内部网络运行数据集作为实验数据验证程序的有效性, 截取连续10个测量周期 (每个测量选为30秒) 内的数据作为评估数据, 分析获得网络中各个主机的相关漏洞信息, 如表1。

根据CNVD公布的漏洞严重性报告, 为各个漏洞的严重性赋值, 通过第2节介绍的态势评估算法, 获得各个时段主机的安全态势曲线如图2所示。

图中横轴为时间, 每个间隔为一个时段, 纵轴为网络安全态势值。态势值越大则表明网络安全状况越严重。

小结

本文在分析现阶段电力内网安全管理面临现状的基础上, 提出了一个基于信息融合的电力内网安全态势评估模型, 该模型综合考虑多个安全分区的网络信息, 利用D-S证据理论获得网络安全态势评估结果, 评估对象为漏洞-服务-主机-网络。但是, 电力内网安全态势评估模型及其量化评估方法仍需研究完善, 攻击信息和漏洞信息需要寻找更加形象的表示方法, 网络安全态势的可视化问题也需进行更进一步的研究。

摘要：内网安全是近年来逐渐被人们所重视的网络信息安全研究领域, 文章针对电力内网安全评估问题构建了以漏洞为评估对象的网络安全态势评估模型。利用D-S证据理论对网络信息进行融合, 获得漏洞的评估结果, 以漏洞-服务-主机-网络为对象对网络安全态势进行评估。模拟试验表明, 经过信息融合获得的漏洞信息能够对电力内网的安全态势评估提供很好的支持, 有效提高了评估的准确性。

关键词：电力内网,D-S证据理论,信息融合,网络安全态势评估

参考文献

[1]赖积保, 王颖, 王慧强, 等.基于多源异构传感器的网络安全态势感知系统结构研究[J].计算机科学, 2011 (3) :4-9, 58.

[2]席荣荣, 云晓春, 金舒原, 等.网络安全态势感知研究综述[J].计算机应用, 2012 (1) :1-4, 59.

电力内网 篇5

活动目录 (Active Directory) 是一个分布式的目录服务, 包括目录和目录相关的服务两个方面。目录是存储各种对象信息的层次结构, 而目录服务是使目录中所有信息和资源发挥作用的服务。

随着电力系统计算机应用规模日益扩大, 业务日益增多, IT管理上的许多弊病逐渐暴露出来。由于企业管理力度和管理制度不完善以及缺乏先进的管理工具和技术等原因, IT部门的管理员对本企业的IT情况和IT安全隐患等难以进行了解和监控, 对突发的IT环境管理事故缺乏应变能力, 对安全问题等缺乏必要的应变手段和措施。所以, 企业不得不面对一个低效甚至是难以控制的IT环境管理局面。在企业核心义务的应用比重日渐加大的今天, 对IT环境安全而有效地进行管理已成为企业业务的重要组成部分。

企业活动目录架构是一个企业目录管理服务平台, 它可以将企业不同系统之间的资源以目录集成的方式进行统一管理, 集成电子商务运营, 包括数据、应用程序、业务流程以及门户等各个方面。

2 活动目录管理项目

2.1 用户管理

域中用户被划分到不同的组织单元 (OU) , 其相应享有的权限归属于不同的组 (Group) 。系统管理人员 (Administrator) 在部署初期, 根据各部门或处室的业务需要, 编制相应的组策略 (Group Policy) , 赋予或限制一定的用户使用某应用系统或数据资源的权限。用户只要在登录域时输入唯一的身份账号和密码, 系统就会按照Group Policy定义的该用户所属OU或Group的要求, 自动赋予该用户对某些应用系统的使用权限。

2.2 资源管理

资源管理包括对企业内各种硬件资源和软件资源的管理。

在AD下, 企业系统Administrator可以通过Group Policy全面地管理连接到网络上的各种资源, 包括设定是否可以自行安装应用程序, 是否可以无限制地访问本地磁盘, 是否可以访问特定的应用等等。

2.3 应用授权管理

AD的部署可以让应用系统的开发人员非常方便地扩展目录服务系统, 把各种应用授权管理纳入统一的目录服务中来, 彻底地解决了应用授权问题。

3 办公网部署活动目录的步骤

3.1 硬件部分

搭建Windows Server 2008 R2 Enterprise服务器作为域控制器, 与管理的用户计算机布置在同一网络。

为保证核心业务的稳定运作, 有必要部署“双服务器模式”, 即双域控制器 (AD-DC) +双文件服务器 (AD-FS) , 从而达到尽量减少Down机时间的要求。

3.2 用户划分

在AD中, 根据所属部门或处室, 在域中为每个员工注册用户名。办公网中的计算机也需要在域中注册, 将其归类在不同的工作组中。

3.3 组策略定义

根据各部门实际应用情况和管理层的要求, 建立不同的组策略, 使之对每台客户机进行有效的管理, 对用户权限按照所属部门分类。

控制登陆密码安全级别策略, 把密码设定强度规则强制加载到个人办公计算机上, 未达到要求的计算机将无法正常登陆。部署Windows Server 2008的域控服务器, 在某一域中针对不同的用户集来定义不同的密码和账号锁定策略。

4 活动目录应用特色

活动目录技术可在电力办公网中提供统一的用户身份管理和认证, 统一网络资源实体的管理, 其应用特色表现在以下几点。

4.1 实现人的身份管理

(1) 通过文件夹重定向或漫游用户配置文件实现统一的桌面环境管理, 多个用户可以使用同一台计算机。当用户登录到各自的工作站时, 用户将收到上次注销时的桌面设置, 并且一个用户对桌面环境的自定义设置不会影响到其他用户的设置。

(2) 采用发布DFS (分布式文件系统) , 用户寻找文件更加方便。用户不必记住文件服务器的IP地址, 只需要记住服务器名称即可, 利用DFS统一到一个地方去存取文件, 而不用担心文件放在哪台文件服务器上。DFS可配置多台服务器的冗余备份, 从而减少单点故障引起的文件无法访问的问题, 当某一台服务器故障后, 可自动连接到其他服务器完成资源存取。

(3) 限制各部门之间的互相访问, 对有需要的部门领导可给予具有较高权限的账号, 以便访问其他部门。

4.2 设备的管理

(1) 信息的安全性大大增强。建立企业目录管理系统, 通过活动目录组策略继承的方式, 将终端使用策略主动地继承到各个终端。只要用户登录进入域, 域管理服务器就会自动继承该用户所需要的终端设置。这样就可以约束业务人员终端使用, 加强企业终端管理、维护手段的主动性, 降低终端人为导致软件故障的发生率。例如:对普通用户禁用注册表、禁用组策略、隐藏C盘、删除开始菜单中的运行等。

(2) 在统一管理下, 用户能够实现多种远程管理, 比如用户即使不在Windows客户机上安装打印机驱动程序也能够使用打印机, 可以很容易地进行网络打印以及管理打印机服务器。

(3) 磁盘管理, 限制磁盘配额, 防止员工将无关信息上传到服务器, 给系统运行带来严重压力。例如, 只允许后勤部使用100M空间, 防止上传无关信息。

摘要：活动目录 (Active Directory) 是应用于微软公司windows操作系统的域组织管理的一项服务, 可以通过它对运行Windows操作系统的计算机进行系统管理和控制。本文主要讨论了把这一成熟技术应用于电力系统内网中某些部门的发展前景, 分析了该技术的特点。

关键词：活动目录,电力内网,组策略

参考文献

电力内网 篇6

防火墙、入侵检测和防病毒等传统安全手段都是以“防外”为重点, 无法应对来自内部的层出不穷的恶意攻击和病毒, 所以一些电力企业就部署了电力信息内网安全监控系统, 但是目前大部分内网监控系统都是基于P2DR模型和PDR2模型的, 不具备日志审计功能, 本文通过对PDR2模型进行改进, 提出一个PDR2A安全模型, 以弥补传统内网监控系统的不足, 提高电力企业内网信息系统的安全性。

1、PDR2A模型

1.1 PDR2A模型

在原PDR2安全模型的基础上提出PDR2A模型:Protection (防护) 、Detection (检测) 、Response (响应) 、Recovery (恢复) 、Auditing (审计) 。PDR2A安全模型在PDR2模型的基础上增加了审计分析模块。审计分析是利用数据挖掘方法对处理后的日志信息进行综合分析, 及时发现异常、可疑事件, 以及受控终端中资源和权限滥用的迹象, 同时把可疑数据、入侵信息、敏感信息等记录下来, 作为取证和跟踪使用, 以确认事故责任人。另外管理员还可以参考审计结果对安全策略进行更新, 以提高系统安全性。安全策略仍是整个内网安全监管系统的核心, 包括安全防护策略、监控策略、报警响应策略、系统恢复策略、审计分析策略、系统管理策略, 它渗透到系统的防护、检测、响应、恢复、审计各个环节, 所有的监控响应、审计分析都是依据安全策略实施的。

2、基于PDR2A模型的安全监控系统设计

基于PDR2A模型的电力信息内网安全监控系统如图1所示。系统采用C/S与B/S结合的模式, 管理中心采用B/S结构, 客户端和服务器端采用C/S分布式体系结构。系统由WEB监管控制中心、监控服务器、监控代理和数据库四部分组成。

审计中心对应于模型中的审计分析模块, 包括审计分析、审计浏览功能。通过审计分析功能对内网安全监管日志、受控终端日志、内网安全监控配置信息及操作日志进行综合分析, 及时发现异常、可疑事件, 以及受控终端中资源和权限滥用的迹象, 进行实时报警, 同时把可疑数据、入侵信息、敏感信息等记录下来, 作为取证和跟踪使用, 以确认事故责任人。对于审计结果可以通过审计浏览功能进行查看。

3、关键技术实现

3.1 审计分析的实现

用户行为模式提取算法以及模式匹配算法是实现审计分析的核心算法。通过对捕获的当前数据进行实时分析, 利用用户行为模式提取算法提取出用户行为模式, 再将当前用户的行为模式与历史正常行为模式进行模式匹配, 判断其是否为正常事件, 从而做出响应并给出审计结果, 避免了由单纯的模式匹配方式审计时存在的漏报警问题。利用关联规则挖掘算法实现用户行为模式的提取。

当前用户行为与历史行为规则之间的模式匹配程度用相异度来表征。相异度的取值范围为[0, 1], 取值越小表示参与模式比较的两个关联模式或序列模式的吻合程度越大。相异度为0, 说明两者完全吻合, 相异度为1, 则表示完全不吻合。当相异度取值较低时, 表明用户行为正常。而当相异度取值较高时, 必须对该用户行为进行预警, 并及时对规则进行修正。

3.2 安全通信机制实现

日志文件在传输过程中有被篡改、窃取、拦截或被攻击者冒充代理端发送假日志信息的威胁, 基于公共密钥的身份认证和SSL (Security Socke Layer) 加密机制则可以有效地阻止这些威胁。

身份认证过程为:日志安全保护系统向可信赖的第三方 (CA认证中心) 申请一对 (公钥, 私钥) , 由CA用自己的私钥对日志采集代理的公钥进行数字签名, 然后日志采集代理将公钥证书发送给日志服务器, 日志服务器用CA的公钥解密公钥证书, 从而获得日志采集代理的公钥, 最终确认日志采集代理的身份。

SSL是Netscape公司提出的安全保密协议, SSL运行在TCP/IP层之上、应用层之下, 为应用程序提供加密数据通道, 加密和解密需要发送方和接受方通过交换共知的密钥来实现, 因此, 所传送的数据不容易被网络黑客截获和解密。本系统采用SSL加密机制结合身份认证技术实现数据加密传输。

3.3 系统自我保护实现

采取两种机制来保证系统的运行安全。

第一, 为了防止监控程序进程被恶意中止, 需要对进程进行保护和隐藏。保护进程的原理是:一旦有某个进程企图关闭监控系统程序线程的时候, 它首先要打开监控系统的进程, 所以只要hook这个openprocess () API函数, 就可以达到保护进程的目的。对于进程的隐藏, 只需把监控程序注册为一个服务就可以实现了。

第二, 由于各种原因, 代理进程可能意外中止, 为了防止此种情况的发生, 内网安全监控系统采取了类似心跳的机制来监控代理的生存状态, 代理在正常运行的时候, 定期地向控制台发送生存标志来报告当前代理的状态。当控制台收到这种生存标志的时候就能确定目前代理程序在正常运行。具体算法如下:

结束语

随着电力企业信息化工作的推进, 随之而来的安全问题也就层出不穷, 特别是信息内网安全问题尤为重大。改进的PDR2A安全模型增加了基于数据挖掘的审计分析技术, 不但可以有效地防止攻击, 还可以对系统进行全面的诊断, 及时发现异常, 对事故进行追踪取证, 并给制订安全策略提供依据, 使得系统管理员更方便地管理网络。如果再结合现代企业信息资源管理的观点、方法, 制定电力企业内部网络的安全防护策略, 用以规划内网资源、规范内网行为、防止内网信息泄露, 就可以构建一个全自动、全方位地保护企业内部信息安全的内网安全防御体系。

摘要：分析动态自适应网络安全模型PDR2的缺陷, 针对模型的不足提出了改进的PDR2A模型, 并基于该模型设计了电力信息内网安全监控系统, 该系统不仅实现了信息内网终端防护、网络行为监控、网络维护等功能, 而且能够利用数据挖掘算法对日志信息进行审计分析, 使内网管理员准确掌握网络系统的安全状态, 及时发现违反安全策略的事件并实时告警、记录, 便于事后追查取证。该系统的应用为电力企业内网采取进一步的安全措施提供了依据。

关键词：日志分析,安全监控,数据挖掘,安全审计

参考文献

[1]张申, 刘伟, 杨素梅.论电力企业的内网安全绿色防护策略[J].河南电力技术, 2008, 6 (8) :31-33.

[2]PDR2网络安全模型 (EB/OL) .http://cio.ccw.com.cn/research/info/htm2007/20070510_257528.asp.

[3]韩锐生, 徐开勇, 赵彬.P2DR模型中策略部署模型的研究与设计[J].计算机工程, 2008, 34 (10) :180-183.

[4]陶佳, 朱传柏, 唐跃中, 等.基于多防线分布容侵技术的电力企业信息集成安全防护体系[J].电网技术, 2008, 32 (20) :24-28.

[5]罗涛.设计电力企业网络安全解决方案[J].四川电力技术, 2003, 04:50-52.

内网攻防问题探讨 篇7

随着信息化的不断推进, 网络应用与发展逐步深入, 网络安全已经成为人们日益关注的重点。网络安全通常人们更多地关注的是网络边界的安全, 例如采用内外网隔离、布置防火墙、安装入侵检测系统等技术进行防护。但据国家相关部门统计, 有80%的网络攻击行为来自于内部网络, 其次才是黑客攻击。内网一般是由网络设备和信息系统组成的复杂环境, 其连接便捷, 应用系统多, 重要数据多;因此, 也容易出现数据被非法使用、被窃取、被破坏等被攻击的情况, 所以, 加强对内网攻击的防御就显得十分必要。

1 内网被攻击的主要问题

内网安全是网络应用的关键, 其安全性远高于外网的安全。所谓网络攻击就是网络上任何非授权的行为, 内网被攻击的主要问题有以下:

合法用户的网络滥用。拥有合法授权的网络用户在系统应用方面滥用权限, 错误操作, 操作行为抵赖等。

非法用户的入侵。非法用户或权限低的用户超权访问, 内部别有用心者恶意入侵系统, 数据被篡改或破坏, 恶意代码对系统的破坏等。

网络设备的威胁。内网系统网络设备的意外故障, 设备老化, 软件意外失效等。

2 内网的防御策略

计算机网络一般由网络设备、信息存储设备和传输线路构成。我们在考虑网络安全防御时, 应当从以下几个方面着手。

2.1 设备安全策略

对于内网, 网络设备一般由核心交换机、汇聚层交换机及边缘交换机组成, 有些网络还有网络中断器、网桥等。网络交换机常用的工作在二、三层上, 这些设备的好坏, 直接影响着内网的联接性能。

设备安全的核心在于网络核心交换机上, 选择质量好、功能强、运行稳的核心路由交换机, 可提供每端口线速网络监视功能, 通过限制广播数据包, 来确保网络的核心安全。大多数内网采用以核心交换机为中心, 路由器为边界的网络拓扑结构, 在此结构中, 应重点挖掘中心交换机的访问控制功能和三层交换功能。

在网络规划时, 应当充分考虑网络设备的安全问题。重要的设备, 如服务器、汇聚层交换机, 甚至边缘交换机都应当集中管理。对传输线路一般应当深埋、穿线, 避免架空, 同时应采用适当的保护。对终端设备如工作站、集线器及其它转接设备要落实责任到人。对内网的核心设备如中心交换机、路由器等, 应当制订应急处置方案, 将故障及安全威胁降低到最小。

2.2 内网安全的防护策略

内网安全的防护首先应当划分不同的安全域, 并制定相应的安全策略。通过绑定功能, 对上网终端进行准确的认证, 防止非法使用网络资源, 预防内部安全隐患的发生。

目前, 在计算机网络内网中, 绝大部分对用户身份没有进行强制认证, 使得资源访问和用户活动区域的权限没有得到合理的限制, 导致用户有意或无意访问到不应当接触的信息。同时, 由于内网上网人员利用熟悉内网信息系统的网络结构、主机、应用平台, 又具有合法的身份, 进行内部越权访问, 或泄密给外部人员进行非法外部访问、病毒破坏等, 对内网安全造成了严重的危害。

针对内网存在的这些弱点, 内网安全策略应当从下列几个方面着手:

(1) 对内网强制划分可信域和细化保护区域, 建立网络可信域。在网络中划分逻辑上独立的安全区域, 此区域中的用户、终端及服务器都必须进行可信认证, 并进行可信管理。这样不仅可对内网和外网实行逻辑隔离, 而且可对内网进行集中管理, 减少安全隐患的发生, 避免内网资源被非法使用。

(2) 为内网用户提供有效保护本身资源的手段。安装内网安全保密系统, 减少内网泄密的可能。通过共享名与用户名绑定, 访问文件夹与用户名绑定, 访问用户与IP地址绑定等措施, 在密级保护层次、安全隔离手段、权限访问控制等策略上进行细化, 保证区域中的所有用户、所有终端都进行强制认证, 所有服务器资源都有经过强制访问权限控制, 确保区域的安全和完全可信。

(3) 利用路由器和VLAN技术, 强化内网安全管理。根据不同的应用业务和不同的安全等级, 利用VLAN技术, 将网络进行分段和隔离, 实施相互间的访问控制, 限制用户的非法访问。通过边界防火墙的适当配置, 对内网进行安全保护。主要措施有:修改默认的防火墙口令;关闭IP直接广播;关闭IP源路由;必要是关闭路由器HTTP设置;确定数据包过滤策略;保证路由器物理安全;认真阅读安全日志等。

3 内网攻击的检测防范

要防御网络内网的攻击, 首要任务是检测到网络攻击, 网络攻击的检测主要是应用相应的网络工具进行。

3.1 利用协议分析Do S&DDo S的攻击

Do S&DDo S攻击是网络中最有威胁的攻击, Do S攻击虽不能窃取网络资源, 但可导致网络瘫痪, DDo S攻击可导致合法用户无法进行网络访问。Do S&DDo S攻击很难通过技术手段进行防范, 此类攻击对网络中关键服务设备特定协议或端口实施的WWW受到攻击后, 用户无法访问。Do S&DDo S攻击是对网络可用性的攻击, 较为有效的解决方案是利用IPS (Intrusion Prevention System) 技术进行防范。但找到攻击源最好的办法是利用协议分析技术进行捕获流量进行分析后定位。协议分析技术就是利用相应的软件, 对某处的数据流量进行分析定位。

3.2 利用协议分析网络病毒

网络病毒是利用网络进行传播, 利用主机系统自身的安全性和存在的漏洞对主机进行攻击。利用协议分析技术对网络中的传输数据进行分析, 可以发现大量请求与正常工作的网络状态存在明显的差异, 利用其分析结构可以定位蠕虫病毒的流量等。由于大量感染病毒的主机不断地向网络发送数据包, 而基于TCP协议的SYN请求的小数据包无法得到SYN的确认, 且目的地址随机, 小包的数据多, 使网络效率低下, 网络性能降低, 从而导致网络正常业务无法进行。利用协议分析技术还可分析定位ARP攻击, 通过协议分析, 捕获ARP协议数据, 即大量ARP数据广播发往网关的ARP应答。

3.3 利用协议分析广播与组播

网络中如果存在大量广播与组播可导致网络功能急剧下降, 直至无法进行正常的通信。如广播的目的地址为0x FFFF-FFFFFFFF, 多播有特定的MAC和IP地址范围。在特定的地址上存在大量的重复的数据包, 利用协议分析技术就方便定位。

3.4 利用协议分析MAC泛洪攻击

M A C泛洪攻击是在网络中大量不存在源M A C地址的数据包发往交换机, 耗尽交换机的MAC地址表, 使交换机对单播目的数据帧进行泛洪, 从而使某端口被阻塞。利用协议分析, 很容易发现M A C泛洪攻击的存在。

对于以上几种典型的网络攻击, 利用协议分析技术加以定位和解决。其解决的措施之一就是利用协议分析软件, 查看网络的利用率、每秒数据包的数量、出错数据包的数据等, 当发现特定的单一内网IP的出入站的数据包异常出现 (如数量大) 或传输速度低等, 就可以初步判断为发生网络攻击。

4 内网攻击的防御

对于网络攻击行为, 前面已经介绍了检测方法, 这些方法只对于一些常见的攻击有效, 要真正地防御内网的攻击, 还应当有下列措施。

4.1 均衡全面地防御

网络本身在物理上、协议上、操作上及管理上存在种种漏洞, 这是造成内网受攻击的根源, 其攻击往往在最容易渗透的方面进行, 因此, 充分、全面、完整地对内网系统的漏洞和安全进行分析、评估和检测。从内网的各个层次进行技术防范。如加密、认证、访问控制、防火墙、入侵检测、安全协议、漏洞扫描、病毒防治、软硬件备份等。

4.2 建立应急安全响应机制

网络的安全是相对的, 因此, 要采用适当的手段, 对内网进行检测, 及时发现攻击与破坏, 并及时对内网系统进行恢复。其应急安全响应机制包括:安全监测机制、安全反应机制和安全恢复机制。

内网攻击防范及处理 篇8

1 技术细节

实现原理, 主机加载WinPcap驱动, 截获指定端口的数据帧, 再通过主机强大的计算处理能力代替交换机对数据包进行分析判断。大多数的攻击都有一些共性的特征, 如伪造IP、对目标主机发起大量连接请求、盗用网关或服务器IP地址。以too2y@safechina.net的t-arp网络嗅探程序为基础增加了分析判断功能, 设定条件分析截获的数据包以判断是否存在网络攻击。如果断定攻击源, 则自动telnet登录交换机写二层访问控制列表或是关闭攻击源所在端口, 以阻断攻击源。

2 SYN Flood攻击检查

2.1 SYN Flood攻击检查工具的使用

在监控主机上运行程序 (需要WinPcap驱动) , 截获以太数据帧然后再往上层分析数据包。当然在交换网络环境下还有个前提工作必须要做, 否则只能抓取到网络中发给监控主机的数据帧, 无法截获到其他端口的数据流。因此, 需要将被监控的服务器、网关所在的交换机端口流量镜像到监控主机所在端口。这样才能截获发往要监视保护服务器或网关的数据包。

具体操作如下 (华为3526交换机) :e0/7为被监视端口 (网关) 、e0/4为监控主机端口

[Quidway]acl number 4000

[Quidway-acl-link-4000]rule permit in int e0/7

[Quidway-acl-link-4000]rule permit eg int e0/7

[Quidway-acl-link-4000]quit

[Quidway]mirrored-to link-group 4000 interface e0/4

其他品牌类型的交换机指令大同小异, 参看指令手册。经过以上配置就可以在监控主机上命令状态行中运行程序sarp目标MAC syn (sarp 00800b064366 syn) MAC格式为连续的12位hex串, 这条命令是要显示发往目标MAC地址主机所有TCP发起连接请求, 输出显示内容如图1所示。

输出内容说明:源MAC->目标MAC sip:源IP dip:目标ip类型syn:是否发起连接dp:目标端口sp:源端口len:包长度

如果参数2为syn则输出显示所有发往目标MAC主机的连接申请, 判断标准是TCP数据包中标识位syn=1, ack=0。

2.2 程序实现

SYN Flood攻击的一个重要特征就是不断地发起连接请求。有一次维护网络时发生异常, 外网连接中断, 重启网关设备后正常但过了十几分钟又中断, 如此反复, 可排除是ISP的问题, 初步判断网关设备异常, 登录网关管理发现, 其CPU使用率居高不下, 内存使用量也很高。我在监控主机上运行该工具程序, 监视发往网关的数据帧, 发现了内网一台主机对外网随机IP地址的445端口扫描行为, 攻击主机发了大量连接请求的数据包给网关, 对不同IP的445端口请求连接。确定攻击源后, 登录交换机配置一条二层ACL包过滤策略, 将攻击主机MAC发出的对所有目的主机445端口的包进行丢弃处理, 故障即排除。

当然很多时候攻击主机发送的数据包会伪造变换源IP但其MAC地址不会变化, 所以程序中会将对应IP的源MAC进行暂存, 然后再进行对比, 发现有异常会输出提示信息。所以如果你的网络实行的是严格IP地址分配策略, 打开此程序将能起到监控网络内所有主机IP地址变化的作用, 如有主机自行改变IP地址就会报警提示。

2.3 程序主要代码段

这个嗅探程序主要功能就是在察觉到网络有异常时, 能快速发现定位内网中有IP欺骗或是发送大量攻击数据包的主机, 以便及时采取措施!但是这种方式显得有点滞后, 处理不够及时, 因为网络攻击随时有可能发生, 所以可以在程序中增加一个交换机telnet登录处置功能 (要求交换机具备相应管理功能) , 当确定某个MAC为攻击主机时自动telnet登录交换机写入一条ACL二层包过滤规则, 将来自攻击主机的MAC的数据帧全部做丢弃处理。之所以没有将自动处置的功能加入, 是因为正常情况下也有可能发生大量的连接请求, 例如, 网络中某台主机有采用P2P下载也会短时快速产生大量的连接请求, 所以在此还是采取较为保守的人工判断。这种攻击行为目前发生概率较低, 产生故障比ARP攻击更慢, 还有就是短时发大量洪水包这种情况, 程序中不好判定, 短时大量的阙值很难定, 如果人工判断一眼就能断定。当发生这种攻击时网关设备CPU使用率升高, 内存消耗增大。所以一般是在发现网络有异常后再运行扫描程序, 判断出攻击源后人工操作。但在对应ARP攻击时就可以断定攻击并自动处置了。

3 ARP攻击检查及自动处置

三年前为了对付频繁的ARP攻击, 笔者写了一个ARP攻击检查处理监控程序, 至今此程序还在一台监视主机上全天候运行着。一旦发现ARP欺骗的主机立即自动telnet登录交换机, 先确定该MAC所在端口, 然后将其关闭。不过这类ARP攻击这两年明显少了很多, 去年一整年才发生一起攻击, 不像2006年, 2007年一个月都能抓到两三次。这种自动处理方式省了很多事, 等到网络中有用户反映网线中断 (因为他所用的端口被shutdown) , 就让他先查毒, 确定没问题后再登录交换机打开其端口。

自动登录交换机处理的参考代码段:

上述代码段对交换机指令依赖性强, 不同的交换机要做相应的修改。对于ARP攻击判定标准有两条, 一是将需要保护服务器和网关的IP和MAC记录, 将抓到的ARP应答包进行对比, 如果服务器IP和MAC与原记录不符则判定为欺骗;二是对比同一个IP的两次MAC是否不同, 如不同也判定为欺骗。

4 结语

以上是这几年网络维护的工作经验, 和大家交流一下!SYN Flood攻击检查程序的源程序附后 (略) , 这个工具程序通用性更强, 而且也具备发现IP欺骗和ARP欺骗的功能。ARP攻击检查自动处置程序的源程序就不附上了, 因为它的自动处理功能模块与交换机指令相关性很强, 至于判断模块则和SYN Flood攻击检查程序相似, 这两个程序的主体基本一致。

摘要：通过对网络关键主机、网关所在端口以大数据帧进行嗅探、分析, 判断确定网络攻击源, 及时处理内网攻击, 排除网络故障。