周湘根(华能安源发电有限责任公司信息中心)
摘要:随着计算机网络及电网自动化水平的提高,电力企业对信息系统的依赖性越来越强,同时面临的安全问题也越来越大。在口新月异的攻击手段面前,依靠传统安全技术来维护系统安全远远不够。本文针对电力企业信息网络的特点,探讨了如何运用入侵容忍技术来保护信息系统的正常运行。
关键词:入侵容忍技术电力企业网络
0引言
随着计算机网络的不断发展,联入网络的设备越来越多,各种应用和系统也越来越多,功能和实现越来越复杂。对一个复杂的网络来说,没有人能找出其中所有的安全漏洞。而当某个系统是由复杂的操作系统和多种复杂的应用所构成,更是不可能找出所有的安全漏洞。新发现的或者是潜在的安全漏洞都可以被黑客所利用,传统安全技术此时无力应付由此带来的攻击。在复杂网络环境下,区分合法用户和假冒的合法用户变得非常困难。一个复杂的应用往往包括许多合法的用户,但很难保证所有用户都遵守安全管理的规定。比如有些用户无意中泄露了自己的用户名和密码,而有些用户为了方便可能和别人共用一个用户口令等等。所有这些,都使得系统辨认一个真正的合法用户变得困难。复杂网络环境下信息安全必须考虑的另一个问题是如何应对内部人员的恶意攻击。出于种种目的,内部用户可能利用合法渠道对系统实施攻击,利用现有的防攻击手段很难抵制这样的攻击。在现实复杂的网络环境中,网络攻击是不可完全避免的,因此必须有新的途径来应对这些新的安全问题。入侵容忍技术就是在这种背景下提出的,与传统安全技术不同,它的主要思想是用硬件或者软件容错技术屏蔽任何入侵或者攻击对系统功能的影响,主要研究如何在遭受攻击的情况下继续保护系统的服务能力,同时还要保证关键数据和服务的机密性和完整性。一个入侵容忍系统是指这样的一个系统:在系统遭到入侵或发生故障的情况下,整个系统具有自我诊断、修复和重构的能力,同时提供全部或者降级地服务。在一个容侵系统中,攻击者即使攻破系统中的多个组件,也不会危害整个系统的安全和服务,机密数据不会泄漏,同时保证迅速恢复入侵所造成的损害,这对大量的核心系统是非常关键的。
1入侵容忍技术在电力企业中的应用
入侵容忍根据被保护的对象分为对服务的入侵容忍和对数据的入侵容忍。在电力企业信息系统中,保障提供服务的连续性和数据的安全性对电力系统的正常运行起着至关重要的作用。本章在研究电力系统中的服务和数据的基础上,提出相应的入侵容忍解决方案。随着电力数据网络网络覆盖面的扩大,网上电力信息资源不断丰富,各种应用也在不断发展和深入,发电厂与变电站自动化监控系统、电网调度自动化系统、电力负荷管理系统、电力CAD系统、管理信息系统(MIS)等均作为电力信息化重大工程投入了大量人力和物力。电力系统网络的许多关键应用要求24×7的不间断服务,在日新月异的攻击手段面前,现有的网络系统有时显得非常脆弱,不能提供人们所期望的服务。在这种情况下,对各种服务器的保护显得尤为重要。对服务的入侵容忍就是研究系统在面临攻击的情况下,仍能为预期的合法用户提供有效服务的方法和机制。
该设计方案中,通过5个功能模块的协同工作实现容侵功能,下面分别讨论:①常规安全技术模块:包括防火墙、身份验证、访问控制等常见的安全措施。②复制模块:包括服务器组和复制管理器。对应于不同的应用服务类型,服务器组由一组运行在不同操作系统上的服务器组成;复制管理器对复制品进行复制和管理。③表决模块:包括表决器和表决管理器。表决器对由复制模块传递过来的息序列进行表决,并产生出一个最可靠的输出值;表决管理器对表决器进行监督管理,并配合复制管理器识别有故障的复制品。④入侵检测模块:采用基于移动Agent的分布式入侵检测系统。⑤状态转移控制模块:在状态转移模型的基础上,根据设计和实现的需要将系统的安全状态划分为四种安全状态级别:正常状态、易受攻击状态、服务退化状和被攻击状态,并根据具体的安全状态进行不同的系统重配置策略。
四种安全级别的具体划分和转换过程如下:①正常状态:系统能够安全并正常运行的状态,即没有检测到任何可疑的故障/入侵。②易受攻击状态:即系统己经检测到存在某些可疑的故障/入侵,但还不能确认是否为真正的网络攻击或系统故障,在这个状态下系统不采取较强的响应措施,只是通过状态转移控制模块延迟相关服务对象请求的处理或资源分配的限制。③服务退化状态:服务器的服务功能受到较大影响,服务器处理响应延迟明显加大,状态转移控制模块或表决管理器通知各服务器抛弃部分此类服务的数据包,并由状态转移控制模块把可疑服务(请求)迁移分配到同一台服务器上,进行服务隔离。④被攻击状态:状态转移控制模块根据表决管理器或其它模块提供的分析结果,确认可疑服务属于某种故障/入侵或者相应服务器几乎陷于瘫痪,系统进入被攻击状态。此时,复制管理器从对象组中删除有故障的复制品,切断有故障请求与服务器的连接;如果服务器己经被攻破,则由状态转移控制模块把所有合法用户服务进程分配和迁移到其他相同功能的服务器对象上;同时把被攻破的服务器及时从系统中删除,若对及进行修复好后也可重新加入到系统中。对服务的入侵容忍整体工作流程如下:服务器启动成功,开始提供服务,系统进入正常状态。用户要调用服务器的服务,向系统发送请求,若通过常规安全技术模块的检测,系统将请求传送给各对象组中相应的复制品。服务器对象然后检查此消息的合法性。如果合法,则执行请求,若不合法,对此请求非法性进行分析,确定是否是故障/入侵,以决定系统的安全状态级别。请求执行后,产生执行结果或应答消息,此时,所有的结果将成为表决器的输入序列。表决器首先要判断是否构成大数,只有达到时才能进行表决。当表决器接收到一致响应结果大于大数时,它认定所有的响应结果在数值上是相等的,并产生唯一的输出结果,递交给表决管理器。表决管理器再将其作为最终的结果传递给目标客户对象。
2结语
随着计算机网络及电网自动化水平的提高,电力企业对信息系统的依赖性越来越强,同时面临的安全问题也越来越大。另一方面,在日新月异的攻击手段目前,依靠传统安全技术来维护系统安全远远不够,而入侵容忍技术,做为第三代信息安全技术-信息生存技术的核心,在全世界范围内的研究方兴未艾。研究入侵容忍技术在电力信息系统中的应用,具有非常重要的理论和现实意义。
参考文献:
[1]韩君.网络容侵技术.信息网络安全.2003.(3).
[2]张险峰.入侵容忍技术现状与发展.计算机科学.2004.(10).
[3]牛建坤,容忍入侵的Web服务器系统设计.电子科技,2005.(1).