導(dǎo)語：入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用一文來源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

入侵防護(hù)技術(shù)是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)，將其用于供電局網(wǎng)絡(luò)安全建設(shè)可提高供電局網(wǎng)絡(luò)監(jiān)測(cè)和控制外部風(fēng)險(xiǎn)的能力，提升內(nèi)部網(wǎng)絡(luò)的安全性，保障電網(wǎng)系統(tǒng)安全穩(wěn)定運(yùn)行。通過分析入侵防護(hù)系統(tǒng)的功能，對(duì)入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的具體應(yīng)用作分析是重點(diǎn)。入侵防護(hù)系統(tǒng)是一種新型的網(wǎng)絡(luò)安全系統(tǒng)，而入侵防護(hù)系統(tǒng)出現(xiàn)則豐富了傳統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)的功能,防御能力更強(qiáng)，還能有效預(yù)防潛在的威脅。隨著供電系統(tǒng)向智能化發(fā)展,供電局網(wǎng)絡(luò)規(guī)模也越來越大,面臨的網(wǎng)絡(luò)威脅也越來越多,種類越來越復(fù)雜。

1入侵防護(hù)系統(tǒng)功能分析

1.1多種入侵檢測(cè)機(jī)制相互結(jié)合

入侵防護(hù)系統(tǒng)以協(xié)議為基礎(chǔ)，結(jié)合智能協(xié)議識(shí)別、專家系統(tǒng)、異常檢測(cè)以及狀態(tài)防火墻技術(shù)，為用戶提供多層次的網(wǎng)絡(luò)安全防護(hù)功能。協(xié)議識(shí)別和分析機(jī)制可對(duì)網(wǎng)絡(luò)報(bào)文中的協(xié)議特征進(jìn)行動(dòng)態(tài)分析，還能在無人操作的情況下快速準(zhǔn)確地檢測(cè)入侵行為，發(fā)現(xiàn)入侵木馬和后門。專家知識(shí)庫將攻擊特征與已知攻擊特征庫進(jìn)行匹配和識(shí)別，記錄新的攻擊特征，不斷豐富數(shù)據(jù)庫，為及時(shí)監(jiān)測(cè)攻擊行為提供了保障。異常檢測(cè)機(jī)制包括流量異常和協(xié)議異常檢測(cè)機(jī)制。流量異常檢測(cè)機(jī)制以“正常流量值”為標(biāo)準(zhǔn)，及時(shí)發(fā)現(xiàn)非預(yù)期的異常流量，從而防范未知蠕蟲、分布式拒絕服務(wù)器攻擊以及其他零日攻擊。協(xié)議異常檢測(cè)機(jī)制以RFC為標(biāo)準(zhǔn)，檢測(cè)操作行為是否符合RFC規(guī)定。協(xié)議異常檢測(cè)機(jī)制可發(fā)現(xiàn)未知的溢出攻擊、拒絕服務(wù)器攻擊和零日攻擊。

1.2防御深度入侵

入侵防護(hù)系統(tǒng)可通過精細(xì)的檢測(cè)和防御措施，阻斷SQL注入、拒絕服務(wù)器、蠕蟲病毒等多種入侵行為。同時(shí)，入侵防護(hù)系統(tǒng)還能阻斷廣告或間諜軟件、木馬等非法程序擴(kuò)散。最后，入侵防護(hù)系統(tǒng)重組IP碎片能力強(qiáng)大，并可追蹤數(shù)據(jù)流，可有效阻斷任意分片式攻擊行為。

1.3防御病毒

入侵防護(hù)系統(tǒng)可對(duì)HTTP、IMAP、SMTP等協(xié)議進(jìn)行特征和啟發(fā)式掃描，檢測(cè)和控制協(xié)議的病毒流量，并及時(shí)查殺病毒，防范病毒對(duì)網(wǎng)絡(luò)造成損害。

1.4防御Web的威脅

由于病毒種類越來越多，木馬傳播方式和途徑也更加隱蔽，Web危險(xiǎn)具有新的特點(diǎn)，web威脅呈混合性、滲透性、和利益驅(qū)動(dòng)性特點(diǎn)，web威脅也已經(jīng)成為增速碎塊、危害最大的網(wǎng)絡(luò)風(fēng)險(xiǎn)因素之一。而網(wǎng)絡(luò)是辦公的重要措施，對(duì)網(wǎng)絡(luò)的依賴性使網(wǎng)絡(luò)遭受web威脅的幾率更高。而入侵防護(hù)系統(tǒng)可根據(jù)web信譽(yù)評(píng)價(jià)技術(shù)和URL過濾技術(shù)檢測(cè)web，對(duì)植入木馬的web網(wǎng)頁發(fā)出警報(bào)，提醒操作人員，達(dá)到預(yù)防低于web威脅入侵網(wǎng)絡(luò)的目的。

1.5流量管理功能

流量管具有全局維度、局部維度、時(shí)間維度、流量維度流量控制四元組，并基于內(nèi)容和面向?qū)ο筇峁┝髁勘Ｗo(hù)對(duì)策，為用戶提供豐富的、靈活性更強(qiáng)的流量管理功能。入侵防護(hù)系統(tǒng)可對(duì)流量進(jìn)行智能識(shí)別和分類，根據(jù)流量管理協(xié)議對(duì)流量許可和優(yōu)先級(jí)進(jìn)行控制，阻斷非授權(quán)用戶的流量，管理合法網(wǎng)絡(luò)資源，優(yōu)化各類型流量的比例和分布情況，在保證最小寬帶和限制最大寬帶的基礎(chǔ)上，確保關(guān)鍵程序能夠正常穩(wěn)定地運(yùn)行。

2入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用分析

2.1入侵防護(hù)系統(tǒng)部署方式

入侵防護(hù)系統(tǒng)包括兩種在部署方式，一是在線部署，二是旁路部署。除特殊情況外，入侵防護(hù)系統(tǒng)選擇直接串聯(lián)介入網(wǎng)絡(luò)，以實(shí)現(xiàn)有效管理和控制所有流經(jīng)入侵防護(hù)系統(tǒng)的數(shù)據(jù)流量，而采用路旁部署方式接入入侵防護(hù)系統(tǒng)無法完全發(fā)揮防護(hù)系統(tǒng)功能，系統(tǒng)只能發(fā)揮入侵檢測(cè)的作用，系統(tǒng)設(shè)備也只能監(jiān)視流量使用情況，無法及時(shí)控制異常流量。

2.2系統(tǒng)部署方式選擇

入侵防護(hù)系統(tǒng)部署方式影響流經(jīng)防護(hù)系統(tǒng)的流量，并對(duì)入侵防護(hù)系統(tǒng)的防護(hù)作用和防護(hù)范圍造成影響。因此，要充分發(fā)揮入侵防護(hù)系統(tǒng)的功能，更大范圍的提供保護(hù)作用，應(yīng)采用在線部署方式。通常情況下，可采用透明式串聯(lián)部署，并將入侵防護(hù)系統(tǒng)部署在網(wǎng)絡(luò)關(guān)鍵出口位置。該部署方式不僅能夠發(fā)揮入侵防護(hù)系統(tǒng)實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量、過濾和阻斷非法網(wǎng)絡(luò)流量的功能，還能更好的發(fā)揮系統(tǒng)BYPAASS容錯(cuò)功能，使系統(tǒng)軟件或硬件發(fā)生故障后依然能維持正常網(wǎng)絡(luò)通信。但是，還需根據(jù)供電局網(wǎng)絡(luò)具體情況，選擇最恰當(dāng)?shù)娜肭址雷o(hù)系統(tǒng)部署方式。（1）部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間。采用該部署方式無需改變現(xiàn)有網(wǎng)絡(luò)及業(yè)務(wù)模式，還能對(duì)內(nèi)網(wǎng)客戶端進(jìn)行嚴(yán)格的管理、觀察客戶端的IP，以便準(zhǔn)確定位攻擊源。入侵防護(hù)系統(tǒng)還能防護(hù)向外和向內(nèi)的攻擊和流量，而且由于防火墻已經(jīng)過濾多數(shù)非法攻擊和流量，流經(jīng)入侵防護(hù)系統(tǒng)的攻擊流量更少，系統(tǒng)復(fù)雜輕。（2）布置在出口防火墻與出口路由器之間，該部署方式無需改變的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)模式。同時(shí)，部署方式將入入侵防護(hù)系統(tǒng)作為最外層防護(hù)網(wǎng)關(guān)，可有效放于外部攻擊流量，入侵防護(hù)系統(tǒng)日志會(huì)清楚記錄外部攻擊信息。由于外來攻擊流量都必須經(jīng)過入侵防護(hù)系統(tǒng)，因而流經(jīng)防火墻的攻擊流量較少，防火墻的負(fù)載更輕。最后，采用該方式部署后，入侵防護(hù)系統(tǒng)對(duì)對(duì)內(nèi)網(wǎng)客戶端的入侵行為防護(hù)措施簡(jiǎn)單，只有事件設(shè)置策略，如目的any。該不是方式的缺點(diǎn)也較為明顯。如內(nèi)網(wǎng)客戶端訪問外網(wǎng)需通過防火墻NAT地址翻譯，而無法在入侵防護(hù)系統(tǒng)內(nèi)查詢內(nèi)網(wǎng)客戶端的真實(shí)IP地質(zhì)，而只能觀察NAT后的地址，造成入侵防護(hù)系統(tǒng)無法準(zhǔn)確定位內(nèi)部攻擊源，也無法針對(duì)不同客戶端IP設(shè)置入侵保護(hù)策略。

2.3系統(tǒng)部署

從入侵防護(hù)系統(tǒng)兩種部署方式可以看到，入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間的優(yōu)勢(shì)更多，更適合我國供電局網(wǎng)絡(luò)安全建設(shè)需求。這種部署方式在防放于外來攻擊的同時(shí)，還能避免入侵防護(hù)系統(tǒng)受防火墻NAT地質(zhì)翻譯的影響，對(duì)內(nèi)網(wǎng)不同IP設(shè)置不同入侵范湖策略，有效阻斷和定位內(nèi)部攻擊行為。例如，供電網(wǎng)可采用透明方式，將入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間，部署拓?fù)浣Y(jié)構(gòu)如圖1所示。該部署方式具有以下四個(gè)優(yōu)點(diǎn)。第一，入侵防護(hù)系統(tǒng)設(shè)備配置簡(jiǎn)單，安裝更加方便；第二，入侵防護(hù)系統(tǒng)對(duì)內(nèi)網(wǎng)客戶端管理更加有效，可對(duì)內(nèi)網(wǎng)客戶端的行為和流量進(jìn)行有效管理和控制。第三，可觀察內(nèi)網(wǎng)客戶端的真實(shí)IP地址，電網(wǎng)運(yùn)行管理人員也更容易快速查找和定位內(nèi)網(wǎng)攻擊源。第四，入侵防護(hù)系統(tǒng)部署在內(nèi)網(wǎng)核心交換機(jī)與出口防火墻之間，系統(tǒng)防護(hù)可同時(shí)監(jiān)控和控制內(nèi)網(wǎng)向外的流量和來透過防火墻的外網(wǎng)攻擊流量，系統(tǒng)在監(jiān)控和管理流入電網(wǎng)系統(tǒng)攻擊流量和流向電網(wǎng)外部流量之前，電網(wǎng)的防火墻的訪問控制級(jí)攻擊防護(hù)系統(tǒng)已經(jīng)對(duì)多數(shù)外網(wǎng)攻擊進(jìn)行了過濾處理，最終流經(jīng)入侵防護(hù)系統(tǒng)的外網(wǎng)攻擊流量大大減少，入侵防護(hù)系統(tǒng)的負(fù)載也更輕，入侵防護(hù)系統(tǒng)傳輸內(nèi)外網(wǎng)數(shù)據(jù)的效率顯著提高。

3結(jié)語

供電局網(wǎng)絡(luò)安全建設(shè)應(yīng)用入侵防護(hù)系統(tǒng)后，系統(tǒng)能夠?qū)嵤┲鲃?dòng)攔截攻擊、木馬和而言流量等，避免用戶操作時(shí)被植入惡意代碼，有效的保證了關(guān)鍵系統(tǒng)業(yè)務(wù)正常應(yīng)用，凈化了局域網(wǎng)使用環(huán)境，提高企業(yè)生產(chǎn)和辦公效率。最后，入侵防護(hù)系不僅提高了電網(wǎng)防御能力，管理員的工作量減輕，管理員可將時(shí)間和精力用于分析網(wǎng)絡(luò)安全時(shí)間，及時(shí)發(fā)現(xiàn)全局網(wǎng)絡(luò)安全中存在的不足，為開展下一步工作提供參考。

作者:阮俊杰 單位:廣東電網(wǎng)有限責(zé)任公司佛山供電局

引用：

[1]張文明.淺談入侵防護(hù)系統(tǒng)在供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].無線互聯(lián)科技，2013.

[2]莫若節(jié).供電局互聯(lián)網(wǎng)訪問存在的安全問題及對(duì)策探討[J].技術(shù)與市場(chǎng)，2013.

[3]呂維新.入侵防護(hù)系統(tǒng)在昆明供電局網(wǎng)絡(luò)安全建設(shè)中的應(yīng)用[J].電力信息化，2010.

[4]謝群.昆明供電局綜合數(shù)據(jù)網(wǎng)三層網(wǎng)絡(luò)架構(gòu)研究與應(yīng)用[J].電子制作，2014.

[5]鄧小勇.網(wǎng)絡(luò)安全防護(hù)建設(shè)及優(yōu)化的探討與實(shí)踐[J].通訊世界，2014.

[6]戴菲.淺談如何實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)安全防護(hù)[J].福建電腦，2010.