榕基網路入侵檢測系統在電力行業的應用案例(轉)

榕基網路入侵檢測系統在電力行業的應用案例(轉)[@more@]

    電力行業關係到國計民生，是我國經濟快速發展的重要基石。電力系統的資訊化建設有力地推動了電力行業生產、辦公、服務水平，隨著電力系統網路規模的不斷髮展和資訊化水平的不斷提高，資訊保安建設作為保障生產的一個重要組成部分，越來越多地受到重視並被提到議事日程上來。

    據來自有關部門的資料，目前電力系統存在的一些資訊保安問題已明顯地威脅到電力系統的安全和穩定，，影響著“數字電力系統”的實現程式。研究電力系統資訊保安問題、開發相應的應用系統、制定電力系統資訊遭受外部攻擊時的防範與系統恢復措施，是電力行業當前資訊化工作的重要內容。電力系統資訊保安已經成為電力企業生產、經營和管理的重要組成部分。

    榕基入侵檢測系統（RJ-IDS）是榕基網安公司除了漏洞掃描系統外的一條全新產品線，該產品是一種動態的入侵檢測與響應系統，除了能對高速網路上的資料包捕獲、分析、結合特徵庫進行相應的模式匹配外，還具有強大的行為和事件統計分析功能，能夠自動檢測可疑行為，及時發現來自網路外部或內部的攻擊，並可以實時響應，切斷攻擊方的連線，幫助企業最大限度的保護公司內部的網路安全。

    網路構架描述

    國內電力行業某省級公司，隨著業務需求的進一步擴充套件，原有的網路及系統平臺已經不能滿足應用需求，從保障業務系統高效、穩定和安全執行等方面考慮，必須升級最佳化現有系統，其中提高網路的安全性是重中之重。

    該公司資訊系統基礎設施包括電力系統網路、區域網和網際網路三個部分。電力系統網路是承載該公司與各個子公司內部業務交流的核心平臺，區域網是該公司內部日常辦公的主要載體，外部資訊的獲取和釋出透過網際網路來完成。

    該公司的區域網於2001年建成並投入執行，核心交換機為Cisco Catalyst 6509.以千兆下聯十多臺設在各部門的百兆交換機，均為Cisco Catalyst 3524XL/3550系列交換機，並劃分了多個VLAN；在網路出口處，該公司透過Cisco 7401交換機與Internet連線，Internet接入邊界有最基本的安全裝置，一臺硬體防火牆和一臺VPN裝置。

    公司提供包括WWW、SMTP、FTP等網際網路應用服務，目前開設了一個內部資訊釋出、員工交流站點和一個對外展示企業形象的站點，公司還架設了一個供300多人使用的郵件系統。同時公司還擁有很多的重要應用系統，其中包括企業OA系統和各種資訊管理系統。

    目前大流量的應用主要集中在區域網內，因此區域網的壓力很大；大部分的應用必須跨廣域網，但由於應用剛剛起步，因此跨廣域網的流量不很大，隨著資訊化建設的逐步深入，廣域網潛在的瓶頸將會嚴重影響應用的普及；公司與各個子公司之間以VPN相連。

    安全需求分析

    使用者目前主要的管理資訊系統包括EAM（企業裝置管理系統Enterprise Asset Management）、財務系統、生產排程系統、辦公自動化系統和生產排程監視系統等。這些關鍵系統同時執行在該公司統一的電力系統網路平臺之上，系統之間存在業務邏輯交叉和資料交換，因此係統的安全具有很大的關聯性，特別是對於網際網路接入的安全需要特別的關注。

    經過一段時間的檢測分析發現，該使用者網路主要存在如下威脅：1.  網上存在大量的埠掃描試探、傳送垃圾郵件等網路濫用行為；2.  發現部分主機由於未及時安裝補丁程式或設定不當、口令強度不夠等原因而被駭客入侵，並被安裝後門程式；3.  拒絕服務攻擊發生頻率不高，但一般影響較大；4.  蠕蟲病毒傳播和氾濫，危害不可小視。

    部署實施策略

    儘管防火牆能夠透過強化網路安全策略抵禦來自外部網路的非法訪問，但對網路內部發起的攻擊無能為力。為此，採用了榕基基於網路的實時入侵檢測技術，動態監測來自於外部網路和內部網路的所有訪問行為。當檢測到來自內外網路針對或透過防火牆的攻擊行為，會及時響應，並通知防火牆實時阻斷攻擊源，從而進一步提高了系統的抗攻擊能力，更有效地保護了網路資源，提高了防禦體系級別。

    入侵檢測系統可以和防火牆獲取相同的網路資料，當入侵檢測系統發現異常攻擊時，立即通知防火牆，防火牆迅速做出反應阻止當前攻擊事件的繼續，從而使得攻擊失敗，這樣的防禦體系能夠對攻擊作出實時的防禦，達到安全處理應急事件的目的。目前榕基RJ-IDS入侵檢測系統已經可以和市場上大部分主流防火牆（超過20種）進行聯動阻斷入侵者，如天融信、東軟、億陽、三星等。

    根據使用者網路的實際狀況，在千兆主幹網路上部署了具備超強檢測能力的榕基千兆型網路入侵檢測系統RJ-IDS 1000-F，以此檢測逃避防火牆攔截的攻擊流。在內部網段上，由於最可能受到的是來自內部人員的攻擊和內植木馬病毒的攻擊，所以在各個VLAN內部部署百兆型網路入侵檢測系統RJ-IDS 100，隨時檢測內部的網路威脅。

    榕基RJ-IDS入侵檢測系統是一個分散式的基於B/S的網路入侵檢測系統。分散式的結構利於應用的擴充套件，B/S結構應用在網路環境中非常方便。實時地將告警日誌按各種條件進行分類有助於幫助管理員迅速地發現某些特定攻擊。榕基RJ-IDS入侵檢測系統可以按多種標準動態地切換告警日誌的分類，包括高、中、低風險、資產等，對歷史攻擊事件可以進行事件分析綜合查詢。

    經過一段時間的執行，榕基RJ-IDS入侵檢測系統在防範外部攻擊和阻止內部非法訪問方面取得了良好的成效，根據統計分析後的資料顯示，部署後該使用者的網路安全狀態得到了極大的改善，網路中資訊流通更加暢通，企業員工的滿意度很高。