論動態防禦技術在電力行業網絡安全防護中的運用論文

摘要：本文分析和論述了當前電力行業面臨的網絡安全威脅, 指出這些威脅給電力行業帶來的嚴重危害與巨大損失。鑑於此, 本文提出利用動態防禦的思想來保護電力行業的網絡安全, 並給出具體的應用措施。該措施在實施過程中, 具有實施簡單、操作方便, 防護能力強的特點。

關鍵詞：電力行業,大數據,網絡安全,動態防禦

Application of Dynamic Defense Technology in Network Security Protection of Power Industry

Abstract：This paper analyzes the network security threats faced by the power industry and points out the serious harm and great loss caused by these threats to the power view of this, this paper puts forward the idea of using dynamic defense to protect the network security of power industry and gives specific application the process of implementation, this measure has the characteristics of simple operation, convenient operation and strong protection ability.

Keyword：power industry,big data,network security,dynamic defense

1、電力行業面臨的網絡安全風險與防禦需求

當前, 我國的電力行業已經全面進入了信息化的時代。以雲計算機技術、互聯網技術以及大數據技術爲代表的信息技術極大地提升了電力行業的調度運行、生產經營、日常管理的效率。但是我們看到這些技術在爲電力行業運行提供便利的同時, 也不應忽視存在的一些嚴重的網絡安全問題。如電力行業的內網經常受到病毒、木馬、拒絕服務、漏洞掃描等的攻擊, 2010年9月發生的“震網病毒”攻擊伊朗核電站的事件和2015年12月發生的“烏克蘭停電事件”就是電力行業網絡安全攻擊最好的例證。此外, 得益於雲計算技術和大數據技術的成熟和快速發展, 在電力行業內部產生了大量的極具價值的數據, 如智能電錶每日產生的大量的、不同類型的用電相關數據等。這些大數據在用戶能源分析、用電方案優化、物資管理以及業務融合等方面起着重要的作用。但是面對頻發的網絡安全攻擊事件, 這些大數據也存在着數據泄露、外界攻擊的安全風險。目前, 電力行業普遍採用的網絡安全防禦措施還是一些傳統的和靜態的安全技術, 如認證、訪問控制、信息加密、入侵檢測、防火牆以及各種病毒、木馬的防範技術等。這些技術雖然在一定層度上爲電力行業網絡提供了安全保證, 但隨着網絡攻擊的自動化、高速化和攻擊方式多樣化的快速發展, 這些傳統的網絡防禦技術在抵禦網絡攻擊方面已經顯得力不從心, 疲於應付。

與此同時, 電力行業網絡環境複雜性的不斷增加也使得網絡管理和維護人員的工作日益繁重, 不能在第一時間爲用戶提供急需的網絡安全應急服務。因此, 電力行業亟需要建立全新的網絡安全防禦措施, 以有效地限制電力行業內網中各種脆弱性攻擊面的暴露機會, 提高電力行業內網的彈性和健壯性, 同時也極大地緩解網絡管理人員和維護人員的工作強度, 從而最終實現電力行業內網的自主可控、安全保障和自動管理。

2、動態防禦技術的創新

當前, 網絡安全中的動態防禦思想受到了各國的極大關注與追捧。動態防禦的思想最早出現在美國。在2010年發佈的《網絡安全遊戲規則的研究與發展建議》中將動態防禦的內涵描述爲:希望能夠創建、分析、評估和部署多樣化的、隨時間持續變化的機制和策略, 以增加攻擊者實施攻擊的複雜度和攻擊成本, 降低由於系統脆弱性攻擊面的暴露而被攻擊的機率, 提高系統的彈性和健壯性。其中攻擊面是指能夠被攻擊者利用並對系統發動攻擊的系統資源。動態防禦的安全思想與傳統的網絡安全思路不一樣。在動態防禦思想中, 防禦的一方不需要建立一種完美無瑕的安全體系來與攻擊者進行全面的對抗。

相反, 動態防禦是通過降低網絡系統的確定性、靜態性和同構性來增加攻擊者攻擊的複雜度和代價, 從而對一個網絡系統進行防護。當前已有大量具體的動態防禦機制被提出來, 這些動態防禦機制通過諸如IP地址、通信端口以及程序執行環境的變換來迷惑攻擊者, 從而阻止其實施攻擊。Ehab Al-Shaer[1]提出了變形網絡的思想。在變形網絡中可以生成動態的、不斷變化的IP地址。同時, 該動態IP地址通過使用加密函數和隨機祕鑰在網絡中進行全局同步, 使得攻擊者不能識別和解密正確的IP地址, 從而也就不能實施攻擊。avi[2]提出了在異構的平臺間動態地遷移關鍵基礎設施應用的機制。該機制通過使用操作系統層次的虛擬化技術創建應用程序的虛擬執行環境, 使得應用程序在保留當前運行狀態的前提下, 可以在不同的平臺間進行動態地和不斷地遷移, 以此來阻止對其實施的攻擊。而美國國防高級研究計劃局資助的APOD (Application That Participate In Their Own Defense) 項目則通過同時採取端口和地址變換的機制來持續的改變IP地址和TCP端口號, 以使得攻擊者不能識別出真實的IP地址, 從而不能實施攻擊。

此外, Ehab Al-Shaer還提出一種應用於軟件定義網 (Software Defined Network, SDN) 的地址隨機化技術OF-RHM (Open Flow Random Host Mutation) [3]。在該技術中, 通過Open Flow控制器頻繁地爲主機分配隨機的虛擬IP地址。並且在真實的IP地址和虛擬IP地址之間由OF-switch執行轉換, 這就使得網絡中傳輸的數據的IP地址均爲虛擬IP地址, 以此增加攻擊者掃描主機IP地址的難度。當前, 國內對動態防禦的研究主要集中於端口跳變和地址跳變方面以及由鄔江興院士提出的擬態安全防禦思想。在端口跳變和地址跳變方面具有代表性的成果是石樂義和賈春福等人提出的服務跳變和端跳變的概念[4]。然而, 服務跳變實際上並沒有一個準確的定義, 可將其看爲端口跳變和地址跳變諸多技術的'總稱, 它只是一個概念。而端跳變指的是端到端的通信中, 交互的雙方按照事前的協定隨機地改變通信的端口、地址、時隙以及加密算法等內容, 它通過將攻擊者的攻擊和干擾破壞掉來實現動態防禦。其主要的工作包括提出了一個基於通信端口和地址的變換機制, 以及基於時間戳的同步機制, 然後開發了一個原型系統開展試驗評估, 證明了該策略的合理性。擬態安全防禦[5]的思想則通過在主動和被動的條件觸發下動態地、僞隨機地選擇執行各種硬件環境以及相應的軟件環境, 讓內部外的攻擊者無法確定硬件執行環境和軟件工作狀況, 從而無法針對其漏洞展開攻擊, 由此實現保護網絡系統安全的目的。但是擬態安全防禦的思想與動態防禦的思想還是有一些不同之處, 其主要表現在:擬態安全防禦希望在功能等價的條件下, 以提供目標環境的動態性、非確定性、異構性、非持續性爲目的, 來動態地構建網絡平臺、運行環境、以及軟件、數據等多樣性的擬態環境, 使得攻擊者難以觀察到和預測到目標環境的變化, 從而加大攻擊的難度和代價。從擬態安全防禦的思想來看, 其對目標及防禦手段的描述比動態防禦更爲清楚。

3、動態防禦技術在電力行業安全防護中的應用

在電力行業的網絡安全防護中, 我們可以採用以下的步驟, 利用動態防禦技術來保障網絡安全穩定的運行。

首先, 根據網絡系統攻擊面的定義, 確定電力行業網絡架構中, 哪些是需要變換的主要攻擊面和次要攻擊面。

其次, 基於軟件定義網絡的基本架構設計針對電力行業網絡的動態防禦系統。該防禦系統主要分爲控制層和數據層。在控制層中添加相應IP替換和轉發操作的流表, 數據層則根據控制層生成的流表項對數據包進行操作。爲了保證防禦系統動態虛擬變換的特性, 系統中相關的屬性均需進行動態變換, 以增加網絡的探測難度。

第三, 防禦系統通過不斷隨機跳變通信過程中的網絡拓撲和節點網絡屬性, 使得內網中已被滲透的節點難以獲得其他用戶的真實信息, 從而無法尋找攻擊目標。

第四, 防禦系統在網絡空間中實施地址隨機化, 使得攻擊者不能知曉真實的IP地址。

最後, 防禦系統通過使用邏輯隔離技術, 把網絡中被入侵的主機從網絡中隔離開, 避免傳染和波及到網絡中其他的主機, 阻止攻擊影響的進一步擴大。

綜上所述, 通過在電力行業中使用動態防禦技術, 使得行業中的網絡安全防護能力大幅度的提升, 增加了攻擊者的攻擊難度和攻擊代價, 有效地限制了電力行業網絡中各種脆弱性攻擊面的暴露機會, 提高了網絡的安全性和健壯性, 同時也可以極大地緩解了網絡管理人員和維護人員的工作強度, 從而最終實現了電力行業網絡的自主可控、安全保障和自動管理。

參考文獻

[1]JAFARIAN J H, AL-SHAER E, QI flow random host mutation:transparent moving target defense using software defined networking[Z].2012:127-132.

[2]OKHRAVI H, HOBSON T, BIGELOW D, et ing focus in the BLUR of Moving-Target techniques[J] Security&Privacy, 2014, 12 (2) :16-26.

[3]AL-SHAER E, DUAN Q, JAFARIAN J om host mutation for moving target defense[M].[S.l.]:Springer Berlin Heidelberg, 2012.

[4]石樂義, 賈春福, 呂述望.基於端信息跳變的主動網絡防護研究[J].通信學報, 2008, 29 (2) :106-110.

[5]鄔江興.網絡空間擬態防禦研究[J].信息安全學報, 2016, 1 (4) :1-10.