論動(dòng)態(tài)防御技術(shù)在電力行業(yè)網(wǎng)絡(luò)安全防護(hù)中的運(yùn)用論文

　　摘要：本文分析和論述了當(dāng)前電力行業(yè)面臨的網(wǎng)絡(luò)安全威脅, 指出這些威脅給電力行業(yè)帶來的嚴(yán)重危害與巨大損失。鑒于此, 本文提出利用動(dòng)態(tài)防御的思想來保護(hù)電力行業(yè)的網(wǎng)絡(luò)安全, 并給出具體的應(yīng)用措施。該措施在實(shí)施過程中, 具有實(shí)施簡(jiǎn)單、操作方便, 防護(hù)能力強(qiáng)的特點(diǎn)。

　　關(guān)鍵詞：電力行業(yè),大數(shù)據(jù),網(wǎng)絡(luò)安全,動(dòng)態(tài)防御

　　Application of Dynamic Defense Technology in Network Security Protection of Power Industry

　　Abstract：This paper analyzes the network security threats faced by the power industry and points out the serious harm and great loss caused by these threats to the power industry.In view of this, this paper puts forward the idea of using dynamic defense to protect the network security of power industry and gives specific application measures.In the process of implementation, this measure has the characteristics of simple operation, convenient operation and strong protection ability.

　　Keyword：power industry,big data,network security,dynamic defense

　　1、電力行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與防御需求

　　當(dāng)前, 我國(guó)的電力行業(yè)已經(jīng)全面進(jìn)入了信息化的時(shí)代。以云計(jì)算機(jī)技術(shù)、互聯(lián)網(wǎng)技術(shù)以及大數(shù)據(jù)技術(shù)為代表的信息技術(shù)極大地提升了電力行業(yè)的調(diào)度運(yùn)行、生產(chǎn)經(jīng)營(yíng)、日常管理的效率。但是我們看到這些技術(shù)在為電力行業(yè)運(yùn)行提供便利的同時(shí), 也不應(yīng)忽視存在的一些嚴(yán)重的網(wǎng)絡(luò)安全問題。如電力行業(yè)的內(nèi)網(wǎng)經(jīng)常受到病毒、木馬、拒絕服務(wù)、漏洞掃描等的攻擊, 2010年9月發(fā)生的“震網(wǎng)病毒”攻擊伊朗核電站的事件和2015年12月發(fā)生的“烏克蘭停電事件”就是電力行業(yè)網(wǎng)絡(luò)安全攻擊最好的例證。此外, 得益于云計(jì)算技術(shù)和大數(shù)據(jù)技術(shù)的成熟和快速發(fā)展, 在電力行業(yè)內(nèi)部產(chǎn)生了大量的極具價(jià)值的數(shù)據(jù), 如智能電表每日產(chǎn)生的大量的、不同類型的用電相關(guān)數(shù)據(jù)等。這些大數(shù)據(jù)在用戶能源分析、用電方案優(yōu)化、物資管理以及業(yè)務(wù)融合等方面起著重要的作用。但是面對(duì)頻發(fā)的網(wǎng)絡(luò)安全攻擊事件, 這些大數(shù)據(jù)也存在著數(shù)據(jù)泄露、外界攻擊的安全風(fēng)險(xiǎn)。目前, 電力行業(yè)普遍采用的網(wǎng)絡(luò)安全防御措施還是一些傳統(tǒng)的和靜態(tài)的安全技術(shù), 如認(rèn)證、訪問控制、信息加密、入侵檢測(cè)、防火墻以及各種病毒、木馬的防范技術(shù)等。這些技術(shù)雖然在一定層度上為電力行業(yè)網(wǎng)絡(luò)提供了安全保證, 但隨著網(wǎng)絡(luò)攻擊的自動(dòng)化、高速化和攻擊方式多樣化的快速發(fā)展, 這些傳統(tǒng)的網(wǎng)絡(luò)防御技術(shù)在抵御網(wǎng)絡(luò)攻擊方面已經(jīng)顯得力不從心, 疲于應(yīng)付。

　　與此同時(shí), 電力行業(yè)網(wǎng)絡(luò)環(huán)境復(fù)雜性的不斷增加也使得網(wǎng)絡(luò)管理和維護(hù)人員的工作日益繁重, 不能在第一時(shí)間為用戶提供急需的網(wǎng)絡(luò)安全應(yīng)急服務(wù)。因此, 電力行業(yè)亟需要建立全新的網(wǎng)絡(luò)安全防御措施, 以有效地限制電力行業(yè)內(nèi)網(wǎng)中各種脆弱性攻擊面的暴露機(jī)會(huì), 提高電力行業(yè)內(nèi)網(wǎng)的彈性和健壯性, 同時(shí)也極大地緩解網(wǎng)絡(luò)管理人員和維護(hù)人員的工作強(qiáng)度, 從而最終實(shí)現(xiàn)電力行業(yè)內(nèi)網(wǎng)的自主可控、安全保障和自動(dòng)管理。

　　2、動(dòng)態(tài)防御技術(shù)的創(chuàng)新

　　當(dāng)前, 網(wǎng)絡(luò)安全中的動(dòng)態(tài)防御思想受到了各國(guó)的極大關(guān)注與追捧。動(dòng)態(tài)防御的思想最早出現(xiàn)在美國(guó)。在2010年發(fā)布的《網(wǎng)絡(luò)安全游戲規(guī)則的研究與發(fā)展建議》中將動(dòng)態(tài)防御的內(nèi)涵描述為:希望能夠創(chuàng)建、分析、評(píng)估和部署多樣化的、隨時(shí)間持續(xù)變化的機(jī)制和策略, 以增加攻擊者實(shí)施攻擊的復(fù)雜度和攻擊成本, 降低由于系統(tǒng)脆弱性攻擊面的暴露而被攻擊的幾率, 提高系統(tǒng)的彈性和健壯性。其中攻擊面是指能夠被攻擊者利用并對(duì)系統(tǒng)發(fā)動(dòng)攻擊的系統(tǒng)資源。動(dòng)態(tài)防御的安全思想與傳統(tǒng)的網(wǎng)絡(luò)安全思路不一樣。在動(dòng)態(tài)防御思想中, 防御的一方不需要建立一種完美無瑕的安全體系來與攻擊者進(jìn)行全面的對(duì)抗。

　　相反, 動(dòng)態(tài)防御是通過降低網(wǎng)絡(luò)系統(tǒng)的確定性、靜態(tài)性和同構(gòu)性來增加攻擊者攻擊的復(fù)雜度和代價(jià), 從而對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行防護(hù)。當(dāng)前已有大量具體的動(dòng)態(tài)防御機(jī)制被提出來, 這些動(dòng)態(tài)防御機(jī)制通過諸如IP地址、通信端口以及程序執(zhí)行環(huán)境的變換來迷惑攻擊者, 從而阻止其實(shí)施攻擊。Ehab Al-Shaer[1]提出了變形網(wǎng)絡(luò)的思想。在變形網(wǎng)絡(luò)中可以生成動(dòng)態(tài)的、不斷變化的IP地址。同時(shí), 該動(dòng)態(tài)IP地址通過使用加密函數(shù)和隨機(jī)秘鑰在網(wǎng)絡(luò)中進(jìn)行全局同步, 使得攻擊者不能識(shí)別和解密正確的IP地址, 從而也就不能實(shí)施攻擊。H.Okhravi[2]提出了在異構(gòu)的平臺(tái)間動(dòng)態(tài)地遷移關(guān)鍵基礎(chǔ)設(shè)施應(yīng)用的機(jī)制。該機(jī)制通過使用操作系統(tǒng)層次的虛擬化技術(shù)創(chuàng)建應(yīng)用程序的虛擬執(zhí)行環(huán)境, 使得應(yīng)用程序在保留當(dāng)前運(yùn)行狀態(tài)的前提下, 可以在不同的平臺(tái)間進(jìn)行動(dòng)態(tài)地和不斷地遷移, 以此來阻止對(duì)其實(shí)施的攻擊。而美國(guó)國(guó)防高級(jí)研究計(jì)劃局資助的APOD (Application That Participate In Their Own Defense) 項(xiàng)目則通過同時(shí)采取端口和地址變換的機(jī)制來持續(xù)的改變IP地址和TCP端口號(hào), 以使得攻擊者不能識(shí)別出真實(shí)的IP地址, 從而不能實(shí)施攻擊。

　　此外, Ehab Al-Shaer還提出一種應(yīng)用于軟件定義網(wǎng) (Software Defined Network, SDN) 的地址隨機(jī)化技術(shù)OF-RHM (Open Flow Random Host Mutation) [3]。在該技術(shù)中, 通過Open Flow控制器頻繁地為主機(jī)分配隨機(jī)的虛擬IP地址。并且在真實(shí)的IP地址和虛擬IP地址之間由OF-switch執(zhí)行轉(zhuǎn)換, 這就使得網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)的IP地址均為虛擬IP地址, 以此增加攻擊者掃描主機(jī)IP地址的難度。當(dāng)前, 國(guó)內(nèi)對(duì)動(dòng)態(tài)防御的研究主要集中于端口跳變和地址跳變方面以及由鄔江興院士提出的擬態(tài)安全防御思想。在端口跳變和地址跳變方面具有代表性的成果是石樂義和賈春福等人提出的服務(wù)跳變和端跳變的概念[4]。然而, 服務(wù)跳變實(shí)際上并沒有一個(gè)準(zhǔn)確的定義, 可將其看為端口跳變和地址跳變諸多技術(shù)的總稱, 它只是一個(gè)概念。而端跳變指的是端到端的通信中, 交互的雙方按照事前的協(xié)定隨機(jī)地改變通信的端口、地址、時(shí)隙以及加密算法等內(nèi)容, 它通過將攻擊者的攻擊和干擾破壞掉來實(shí)現(xiàn)動(dòng)態(tài)防御。其主要的工作包括提出了一個(gè)基于通信端口和地址的變換機(jī)制, 以及基于時(shí)間戳的同步機(jī)制, 然后開發(fā)了一個(gè)原型系統(tǒng)開展試驗(yàn)評(píng)估, 證明了該策略的合理性。擬態(tài)安全防御[5]的思想則通過在主動(dòng)和被動(dòng)的條件觸發(fā)下動(dòng)態(tài)地、偽隨機(jī)地選擇執(zhí)行各種硬件環(huán)境以及相應(yīng)的軟件環(huán)境, 讓內(nèi)部外的攻擊者無法確定硬件執(zhí)行環(huán)境和軟件工作狀況, 從而無法針對(duì)其漏洞展開攻擊, 由此實(shí)現(xiàn)保護(hù)網(wǎng)絡(luò)系統(tǒng)安全的目的。但是擬態(tài)安全防御的思想與動(dòng)態(tài)防御的思想還是有一些不同之處, 其主要表現(xiàn)在:擬態(tài)安全防御希望在功能等價(jià)的條件下, 以提供目標(biāo)環(huán)境的動(dòng)態(tài)性、非確定性、異構(gòu)性、非持續(xù)性為目的, 來動(dòng)態(tài)地構(gòu)建網(wǎng)絡(luò)平臺(tái)、運(yùn)行環(huán)境、以及軟件、數(shù)據(jù)等多樣性的擬態(tài)環(huán)境, 使得攻擊者難以觀察到和預(yù)測(cè)到目標(biāo)環(huán)境的變化, 從而加大攻擊的難度和代價(jià)。從擬態(tài)安全防御的思想來看, 其對(duì)目標(biāo)及防御手段的描述比動(dòng)態(tài)防御更為清楚。

　　3、動(dòng)態(tài)防御技術(shù)在電力行業(yè)安全防護(hù)中的應(yīng)用

　　在電力行業(yè)的網(wǎng)絡(luò)安全防護(hù)中, 我們可以采用以下的步驟, 利用動(dòng)態(tài)防御技術(shù)來保障網(wǎng)絡(luò)安全穩(wěn)定的運(yùn)行。

　　首先, 根據(jù)網(wǎng)絡(luò)系統(tǒng)攻擊面的定義, 確定電力行業(yè)網(wǎng)絡(luò)架構(gòu)中, 哪些是需要變換的主要攻擊面和次要攻擊面。

　　其次, 基于軟件定義網(wǎng)絡(luò)的基本架構(gòu)設(shè)計(jì)針對(duì)電力行業(yè)網(wǎng)絡(luò)的動(dòng)態(tài)防御系統(tǒng)。該防御系統(tǒng)主要分為控制層和數(shù)據(jù)層。在控制層中添加相應(yīng)IP替換和轉(zhuǎn)發(fā)操作的流表, 數(shù)據(jù)層則根據(jù)控制層生成的流表項(xiàng)對(duì)數(shù)據(jù)包進(jìn)行操作。為了保證防御系統(tǒng)動(dòng)態(tài)虛擬變換的特性, 系統(tǒng)中相關(guān)的屬性均需進(jìn)行動(dòng)態(tài)變換, 以增加網(wǎng)絡(luò)的探測(cè)難度。

　　第三, 防御系統(tǒng)通過不斷隨機(jī)跳變通信過程中的網(wǎng)絡(luò)拓?fù)浜凸?jié)點(diǎn)網(wǎng)絡(luò)屬性, 使得內(nèi)網(wǎng)中已被滲透的節(jié)點(diǎn)難以獲得其他用戶的真實(shí)信息, 從而無法尋找攻擊目標(biāo)。

　　第四, 防御系統(tǒng)在網(wǎng)絡(luò)空間中實(shí)施地址隨機(jī)化, 使得攻擊者不能知曉真實(shí)的IP地址。

　　最后, 防御系統(tǒng)通過使用邏輯隔離技術(shù), 把網(wǎng)絡(luò)中被入侵的主機(jī)從網(wǎng)絡(luò)中隔離開, 避免傳染和波及到網(wǎng)絡(luò)中其他的主機(jī), 阻止攻擊影響的進(jìn)一步擴(kuò)大。

　　綜上所述, 通過在電力行業(yè)中使用動(dòng)態(tài)防御技術(shù), 使得行業(yè)中的網(wǎng)絡(luò)安全防護(hù)能力大幅度的提升, 增加了攻擊者的攻擊難度和攻擊代價(jià), 有效地限制了電力行業(yè)網(wǎng)絡(luò)中各種脆弱性攻擊面的暴露機(jī)會(huì), 提高了網(wǎng)絡(luò)的安全性和健壯性, 同時(shí)也可以極大地緩解了網(wǎng)絡(luò)管理人員和維護(hù)人員的工作強(qiáng)度, 從而最終實(shí)現(xiàn)了電力行業(yè)網(wǎng)絡(luò)的自主可控、安全保障和自動(dòng)管理。

　　參考文獻(xiàn)

　　[1]JAFARIAN J H, AL-SHAER E, QI Duan.Openflow random host mutation:transparent moving target defense using software defined networking[Z].2012:127-132.

　　[2]OKHRAVI H, HOBSON T, BIGELOW D, et al.Finding focus in the BLUR of Moving-Target techniques[J].IEEE Security&Privacy, 2014, 12 (2) :16-26.

　　[3]AL-SHAER E, DUAN Q, JAFARIAN J H.Random host mutation for moving target defense[M].[S.l.]:Springer Berlin Heidelberg, 2012.

　　[4]石樂義, 賈春福, 呂述望.基于端信息跳變的主動(dòng)網(wǎng)絡(luò)防護(hù)研究[J].通信學(xué)報(bào), 2008, 29 (2) :106-110.

　　[5]鄔江興.網(wǎng)絡(luò)空間擬態(tài)防御研究[J].信息安全學(xué)報(bào), 2016, 1 (4) :1-10.

【論動(dòng)態(tài)防御技術(shù)在電力行業(yè)網(wǎng)絡(luò)安全防護(hù)中的運(yùn)用論文】相關(guān)文章：

論數(shù)據(jù)挖掘技術(shù)在電力行業(yè)中的應(yīng)用論文06-23

論視聽語言在電視電影中的運(yùn)用論文07-03

論多媒體在教學(xué)中的運(yùn)用論文02-23

論高中物理課堂中多媒體技術(shù)的運(yùn)用論文07-02

論多媒體技術(shù)在音樂教學(xué)中的運(yùn)用。07-04

論計(jì)算機(jī)軟件開發(fā)中的分層技術(shù)運(yùn)用論文07-03

教學(xué)中多媒體技術(shù)的運(yùn)用論文07-01

論信息技術(shù)在初中物理教學(xué)中的運(yùn)用06-27

論網(wǎng)絡(luò)信息技術(shù)在寫作教學(xué)中的運(yùn)用06-27

論建筑裝飾項(xiàng)目管理如何運(yùn)用科技技術(shù)論文07-03