Modelo de seguridad de red basado en tecnología de defensa activa

Con la transformación de las redes eléctricas rurales, los sistemas de automatización de despacho de varios departamentos de energía se han desarrollado rápidamente. Además de las funciones SCADA, básicamente realiza funciones de análisis avanzadas como análisis de topología de red, estimación de estado, cálculo de flujo de energía, análisis de seguridad y despacho económico. , mejorando enormemente el nivel de automatización del despacho de la red eléctrica. La aplicación de la automatización de despacho mejora la eficiencia operativa de la red eléctrica, mejora las condiciones de trabajo de los operadores de despacho y acelera el ritmo de las subestaciones desatendidas. En la actualidad, el sistema de automatización del despacho de la red eléctrica se ha convertido en el "corazón" de las empresas eléctricas [1]. Por este motivo, los sistemas de automatización de programación han impuesto mayores requisitos para prevenir virus y ataques de piratas informáticos. El "Reglamento sobre la protección de la seguridad de los sistemas de monitoreo informático y las redes de envío de datos para redes eléctricas y centrales eléctricas" (Orden Nº 30 de la Comisión Estatal de Economía y Comercio de la República Popular China)[9] estipula que el nivel de seguridad de los sistemas de monitoreo de energía es mayor que el de los sistemas de información de gestión de energía y los sistemas de automatización de oficinas. Cada sistema de monitoreo de energía debe tener sus propias instalaciones de protección de seguridad de alta confiabilidad y no debe estar conectado directamente a sistemas con bajos niveles de seguridad. A juzgar por los resultados de la encuesta actual sobre la aplicación de la tecnología de protección de seguridad de automatización de despacho, aunque muchos departamentos de energía han implementado algunos productos de seguridad de red en la red del sistema de automatización de despacho, estos productos no han formado un sistema y algunos solo han comprado software antivirus. y cortafuegos para garantizar la seguridad. La tecnología es única y aún quedan muchos eslabones débiles que no están cubiertos. No existe un plan unificado a largo plazo para la seguridad de la red de automatización de despacho y existen muchos riesgos de seguridad en la red. En algunos lugares, las cuestiones de protección de la seguridad ni siquiera se consideran, como la seguridad de la transmisión de datos entre la automatización del despacho y la automatización de la distribución, y entre los sistemas de automatización del despacho y los sistemas MIS. Cada vez es más importante cómo garantizar el funcionamiento seguro y estable del sistema de automatización de despacho y prevenir la intrusión de virus.

A juzgar por las tecnologías y métodos de protección de seguridad existentes del sistema eléctrico, la mayoría de los sistemas de automatización de despacho de las compañías eléctricas utilizan tecnologías de defensa pasiva, como tecnología de firewall, tecnología de detección de intrusos, etc. , pero con el desarrollo de la tecnología de redes, sus fallas quedan gradualmente expuestas. Los firewalls no pueden proteger la seguridad de la red contra virus, restricciones de acceso, amenazas de puerta trasera y piratas informáticos internos. La detección de intrusiones tiene una alta tasa de falsos positivos y de falsos negativos [4]. Estos deben requerir mayores medios técnicos para evitar ataques de piratas informáticos e intrusiones de virus. Basado en la combinación de tecnología de seguridad tradicional y tecnología de defensa activa, basado en el modelo P2DR de seguridad de la información dinámica y la situación real del sistema de automatización de despacho, se diseña un conjunto de modelos de protección de seguridad para mejorar el ataque antivirus y anti-hackers. niveles del sistema de automatización de despacho Tiene muy buen valor de referencia.

1 Factores técnicos que amenazan la seguridad de la red de los sistemas de automatización de despacho

Actualmente, la mayoría de las redes de sistemas de automatización de despacho, como el sistema iES-500 [10] y el sistema OPEN2000, se basan en Plataforma de sistema operativo Windows y conectado a Internet. El * * * disfrute y la apertura de la red Internet hacen que la seguridad de la información en Internet sea inherentemente deficiente, porque el protocolo TCP/IP en el que se basa carece de los mecanismos de seguridad correspondientes. El diseño inicial de Internet no consideró cuestiones de seguridad, por lo que es así. Seguro, confiable y con buena calidad de servicio, conveniente y rápido. Además, con el creciente intercambio de datos en los sistemas de automatización de despacho y ofimática, las lagunas de seguridad o "puertas traseras" en el sistema son inevitables. El desarrollo de la interconexión entre varios sistemas de las empresas eléctricas ha hecho que los ataques de virus, externos e internos, sean cada vez más frecuentes. Por lo tanto, es cada vez más importante fortalecer aún más la protección de seguridad de los sistemas de automatización de despacho desde una perspectiva técnica.

2 Diseño de protección de seguridad basado en nueva tecnología de defensa activa

2.1 La interfaz entre el sistema de automatización de despacho y otros sistemas

Debido a la naturaleza y características del sistema de automatización de despacho, principalmente necesita compartir información con sistemas de automatización de oficinas (MIS) y sistemas de automatización de distribución. Para garantizar la transparencia del funcionamiento de la red eléctrica, los departamentos de producción, mantenimiento, operación y otros departamentos dentro de la empresa deben poder comprender el estado de funcionamiento de la red eléctrica desde el sistema de automatización de oficina, por lo que el sistema de automatización de despacho tiene su propio servidor web para lograr el intercambio de datos. Dado que el sistema de automatización de despacho y el sistema de automatización de distribución necesitan controlar los interruptores de salida de 10 kV de la subestación al mismo tiempo, es necesario intercambiar información y exponer el funcionamiento del sistema de automatización de distribución a través de su servidor web [5 ].

Al mismo tiempo, debido a los requisitos de seguridad del propio sistema de automatización de distribución y considerando cuestiones de inversión, se puede considerar el diseño de su protección de seguridad y automatización de despacho.

2.2 Tipos de tecnologías de defensa activa

Actualmente existen dos nuevas tecnologías para la defensa activa. Una es la tecnología trampa, incluida la tecnología honeypot y la tecnología honeynet. La tecnología Honeypot consiste en construir un sistema engañoso con vulnerabilidades para proporcionar un objetivo fácil para los atacantes mediante la simulación de uno o más hosts vulnerables [2]. La función del honeypot es proporcionar servicios falsos al mundo exterior, retrasar el ataque del atacante al objetivo real y permitir que el atacante pierda el tiempo en el honeypot. Los Honeypots se dividen en tipo de producto y tipo de investigación según el propósito del diseño. Hay muchos productos comerciales de honeypot disponibles. Por ejemplo, BOF es una herramienta desarrollada por Marcus Lannum y NFR para monitorear el back office. Spectre es un honeypot comercial de baja interacción, similar a BOF, pero puede emular una gama más amplia de servicios y funcionalidades. La tecnología Honeynet es el proyecto de honeypot abierto más famoso [7]. Es una red especialmente diseñada para que las personas la "capten" y se utiliza principalmente para analizar toda la información, herramientas, estrategias y propósitos del intruso.

Otra tecnología es la ciencia forense, que incluye la ciencia forense estática y la ciencia forense dinámica. La tecnología forense estática utiliza diversos medios técnicos para analizar y recopilar pruebas cuando ha sido invadida. Este método forense estático se utiliza ahora ampliamente para confirmar, extraer y analizar los datos después de la intrusión y extraer pruebas eficaces. Las herramientas basadas en esta idea incluyen herramientas de clonación de datos, herramientas de análisis de datos y herramientas de recuperación de datos. Actualmente existen herramientas que se utilizan específicamente para análisis forense estático, como el software de guía Encase, que puede crear una imagen de disco duro independiente en tiempo de ejecución, y su herramienta FastBloc puede organizar el sistema operativo desde la capa física para escribir datos en el disco duro. La tecnología forense dinámica es la tendencia de desarrollo de la informática forense. Simplemente instale el agente en la computadora protegida con anticipación. Cuando un atacante invade, el sistema y el agente generarán los archivos de registro correspondientes para registrar las operaciones del sistema y la modificación, eliminación, copia y transmisión de archivos. Utilizando las características del sistema de archivos y combinándolo con herramientas relevantes, la información de estos archivos se puede restaurar de la manera más realista posible y estos archivos de registro se pueden transferir a la máquina forense para realizar copias de seguridad y almacenamiento como evidencia de intrusión. En la actualidad, muchos productos forenses dinámicos se desarrollan en el extranjero y son costosos. Algunas empresas nacionales también han desarrollado algunos productos similares.

2.3 Modelo de seguridad del sistema de automatización de despacho

La idea dominante de la protección del sistema de seguridad de automatización de despacho es establecer un marco completo de sistema de seguridad de la información en torno a la idea de P2DR. modelo. El modelo P2DR es un modelo representativo del modelo de seguridad dinámico propuesto por primera vez por la empresa ISS, que incluye principalmente cuatro partes: política de seguridad, protección, detección y respuesta [8]. El marco del sistema modelo se muestra en la Figura 1.

En el modelo P2DR, la estrategia es el núcleo del modelo, que se refiere a los objetivos que la seguridad de la red debe lograr, es decir, de acuerdo con la situación real de la red, se seleccionan varias medidas de seguridad de la red. en todo el proceso de gestión de la red. Equilibrando coste y eficiencia bajo ciertas condiciones [3]. La protección normalmente se logra mediante tecnologías y métodos de seguridad estática tradicionales, principalmente firewalls, cifrado y autenticación. La detección es la base de la respuesta dinámica. A través de la detección y el monitoreo continuos, se pueden descubrir nuevas amenazas y vulnerabilidades. La respuesta es la forma más eficaz de resolver los riesgos de seguridad en los sistemas de seguridad y ocupa la posición más importante en los sistemas de seguridad.

2.4 Diseño de un sistema de defensa de seguridad para el sistema de automatización de programación

La automatización de la programación se basa en el modelo P2DR y utiliza tecnología de defensa activa y tecnología de defensa pasiva para construir un sistema de defensa de seguridad dinámico. Combinado con el funcionamiento real del sistema de automatización de despacho, el marco físico de su modelo de sistema de defensa de seguridad se muestra en la Figura 2.

La protección es la vanguardia de la protección de seguridad para los sistemas de automatización de despacho, que se logra principalmente a través de firewalls y máquinas trampa de tecnología de seguridad estática tradicional. Instale firewalls entre el sistema de automatización de despacho, el sistema de automatización de distribución de energía y la red de información de la empresa para monitorear los paquetes de datos que restringen el acceso a la red para evitar el acceso ilegal desde el interior y el exterior. Las máquinas trampa están ocultas detrás de firewalls, creando un entorno de red intrusivo para inducir intrusiones y distraer a los piratas informáticos de atacar y programar servidores web automatizados, mejorando así las capacidades de protección de la red.

La detección es el núcleo de la defensa activa en los sistemas de protección de seguridad automatizados programados. Se implementa principalmente mediante IDS, sistemas de escaneo de vulnerabilidades, máquinas trampa y sistemas forenses, incluida la detección de anomalías, el descubrimiento de patrones y el descubrimiento de vulnerabilidades. IDS detecta tráfico del mundo exterior y se utiliza principalmente para descubrir patrones y generar alarmas. El sistema de escaneo de vulnerabilidades escanea las vulnerabilidades conocidas del sistema de automatización de programación y los puertos de host de automatización de distribución de energía para encontrar vulnerabilidades o hosts sin parches, a fin de tomar las medidas correctivas correspondientes. La máquina trampa es un sistema honeypot y su registro registra el comportamiento de intrusión en la red, por lo que no solo sirve como sistema de protección, sino que también desempeña una segunda función de detección. Los sistemas de análisis forense pueden detectar y descubrir virus, nuevos métodos y herramientas de piratería y nuevas vulnerabilidades del sistema mediante análisis post mortem. La respuesta tiene dos aspectos. Una es que la máquina forense registra completamente los datos de la red y los datos de registro, proporcionando evidencia de respaldo para la presentación de demandas después del ataque. Por otro lado, en función de los resultados de la detección, se toman varias medidas de seguridad para reparar rápidamente las vulnerabilidades en el sistema de automatización de despacho y actualizar el sistema. En resumen, el sistema de protección de seguridad de automatización de despacho basado en el modo P2DR tiene las siguientes características y ventajas:

Defensa activa durante el funcionamiento de todo el sistema de automatización de despacho, con doble protección y múltiples funciones de respuesta de detección;< /p >

Las empresas pueden defenderse interna y externamente, utilizar armas legales para disuadir las intrusiones y exigir responsabilidades económicas.

Forme un sistema de defensa de seguridad dinámico con protección, detección y respuesta como núcleo.

3 Conclusión

La protección de seguridad del sistema de automatización de despacho es un proceso de desarrollo dinámico. El modelo de protección de seguridad diseñado esta vez se basa en el modelo P2DR y combina tecnología de defensa activa y tecnología de defensa pasiva, de modo que la protección de seguridad del sistema de automatización de despacho pueda defenderse activamente cuando sea atacado, mejorando así la seguridad del sistema. Sin embargo, la protección de la seguridad de los sistemas de automatización de programación no es una tecnología pura. Es insostenible y eficaz depender únicamente de la acumulación de productos de seguridad para hacer frente a métodos de ataque que evolucionan rápidamente. La tecnología de defensa activa para la protección de seguridad del sistema de automatización de despacho no puede reemplazar completamente otros mecanismos de seguridad, especialmente la implementación estricta de reglas y regulaciones de gestión.