李 渤

（新疆伊犁河流域開發(fā)建設(shè)管理局，烏魯木齊 830000）

隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)發(fā)展水平的日益提高，水利樞紐調(diào)度中心也得到了良好發(fā)展。水利樞紐調(diào)度中心安全防護系統(tǒng)是保證其穩(wěn)定運行、 順利調(diào)度的重要手段， 但目前現(xiàn)有的安全防護系統(tǒng)在實際應(yīng)用中數(shù)據(jù)丟失量比較大，安全防護效果不夠明顯，無法滿足水利樞紐調(diào)度中心安全防護需求， 為此提出水利樞紐調(diào)度中心安全防護系統(tǒng)設(shè)計， 為水利樞紐調(diào)度中心安全防護提供參考依據(jù)。

1 系統(tǒng)硬件設(shè)計

1.1 水利樞紐調(diào)度中心安全防護系統(tǒng)硬件框架

水利樞紐調(diào)度中心安全防護系統(tǒng)硬件方面是由數(shù)據(jù)流量采集探測裝置、預(yù)處理器、搜索引擎3個硬件設(shè)備組成的。 ①數(shù)據(jù)流量采集探測裝置是用來截獲沒有訪問允許的入侵網(wǎng)絡(luò)數(shù)據(jù)包， 并且根據(jù)預(yù)先設(shè)定好的IP協(xié)議對數(shù)據(jù)包進行解讀處理。 ②預(yù)處理器硬件設(shè)備是安插在數(shù)據(jù)流量采集探測裝置和搜索引擎之間的， 它主要的作用是將數(shù)據(jù)流量采集探測裝置捕獲的數(shù)據(jù)包進行數(shù)據(jù)格式及框架修改， 方便后續(xù)對該數(shù)據(jù)包分析， 將修改過后的數(shù)據(jù)包再傳遞給搜索引擎［2］。 ③搜索引擎是水利樞紐調(diào)度中心安全防護系統(tǒng)的核心硬件設(shè)備， 搜索引擎的主要功能是檢測預(yù)處理器傳送過來的數(shù)據(jù)包， 判斷該數(shù)據(jù)包是否具有病毒和攻擊行為。

1.2 水利樞紐調(diào)度數(shù)據(jù)流量采集探測裝置選型

為實現(xiàn)對水利樞紐調(diào)度中心數(shù)據(jù)傳輸過程中的實時監(jiān)測， 本文選用型號為KSO-12003的數(shù)據(jù)流量采集探測裝置作為本文系統(tǒng)當(dāng)中的核心硬件結(jié)構(gòu)，該探測裝置能以最快的速度自動捕獲到水利樞紐調(diào)度中心入侵行為，并且即使水利樞紐調(diào)度中心安全防護系統(tǒng)是在關(guān)閉狀態(tài)也能對入侵行為進行攔截［3］。該型號數(shù)據(jù)流量采集探測裝置內(nèi)部安裝一組網(wǎng)絡(luò)探針裝置，將探針按照相應(yīng)的規(guī)定，安裝在調(diào)度中心路由器的出口端位置上， 提升對數(shù)據(jù)流量的傳輸監(jiān)測范圍。

在水利樞紐調(diào)度中心安全防護系統(tǒng)中的流量采集探測裝置內(nèi)部應(yīng)當(dāng)增設(shè)一組網(wǎng)絡(luò)探針裝置， 將探針按照一定規(guī)律安裝在路由器的出口端位置， 以此提高對通信網(wǎng)絡(luò)流量異常監(jiān)測的范圍， 對于一般水利樞紐調(diào)度中心中使用的局域網(wǎng)絡(luò)而言， 增加探針結(jié)構(gòu)能使系統(tǒng)得到更好的監(jiān)測效果。 本文選用AY5651SS053型號120G探針結(jié)構(gòu)， 其最小中心為6.30N/A， 全行程約7.5+2.5mm， 工作行程為2.5+1.6mm， 彈 簧 力 為150g ±15% ＠2.5 +1.6mm。AY5651SS053型號探針上針頭結(jié)構(gòu)和下針頭結(jié)構(gòu)均采用高碳鋼鍍金，管子整體為磷銅鍍金，彈簧結(jié)構(gòu)為琴鋼線鍍金［4］。 由于探針結(jié)構(gòu)在監(jiān)測過程中不會經(jīng)過路由器， 因此對于其寬帶的整體運行而言并不會對其造成太大影響。 通過網(wǎng)絡(luò)探針更加快速地監(jiān)測到水利樞紐調(diào)度中心的調(diào)度流量及寬帶。 水利樞紐調(diào)度數(shù)據(jù)流量采集探測裝置采集流程如圖1。

圖1 水利樞紐調(diào)度數(shù)據(jù)流量采集探測裝置采集流程圖

當(dāng)通過探針獲取到水利樞紐調(diào)度中心的數(shù)據(jù)包流量時，將路由器與交換機相連，可使流量數(shù)據(jù)更順利導(dǎo)出、采集并分析，圖1中的水利樞紐調(diào)度數(shù)據(jù)流量采集探測裝置主要采用簡單網(wǎng)絡(luò)管理協(xié)議， 保證傳輸控制協(xié)議/網(wǎng)際協(xié)議能夠統(tǒng)一應(yīng)用，對于簡單的通信網(wǎng)絡(luò)而言， 這種裝置結(jié)構(gòu)可保證系統(tǒng)更好的監(jiān)測效果［5］。 同時，在流量數(shù)據(jù)傳輸?shù)倪^程中，通過該裝置采集到的數(shù)據(jù)還可以統(tǒng)一格式并存儲在管理信息庫當(dāng)中。

1.3 水利樞紐調(diào)度數(shù)據(jù)預(yù)處理器

此次選取CSS預(yù)處理器， 該處理器運行速度較快， 能有效提高水利樞紐調(diào)度中心安全防護系統(tǒng)的數(shù)據(jù)處理效率。 根據(jù)預(yù)先設(shè)定好的IP協(xié)議對水利樞紐調(diào)度數(shù)據(jù)流量進行解讀處理， 并且將所有的調(diào)度數(shù)據(jù)處理為16位數(shù)據(jù)，16位數(shù)據(jù)更有利于后續(xù)搜索引擎為水利樞紐調(diào)度數(shù)據(jù)的風(fēng)險識別。

2 系統(tǒng)模塊設(shè)計

2.1 水利樞紐調(diào)度中心安全檢測模塊

Snort軟件在水利樞紐調(diào)度中心安全防護方面有著極高的應(yīng)用地位，并且該軟件具有自動更新功能，所以應(yīng)對技術(shù)高超的水利樞紐調(diào)度中心入侵行為，Snort軟件是水利樞紐調(diào)度中心安全防護系統(tǒng)的首選軟件［6］。 Snort軟件與其他的網(wǎng)絡(luò)安全入侵防御軟件最大的區(qū)別在于，Snort軟件有獨特的插件機制，插件的使用不僅增強了Snort軟件的安全入侵檢測能力，同時還提高了Snort軟件的入侵檢測及防御速度。Snort軟件的插件主要由檢測插件、分析插件、預(yù)警插件3部分組成。 如表1。

表1 Snort軟件的插件內(nèi)容統(tǒng)計

Snort軟件檢測水利樞紐調(diào)度中心安全過程：首先利用檢測插件執(zhí)行系統(tǒng)的檢測規(guī)則， 對水利樞紐調(diào)度中心各個子系統(tǒng)之間的調(diào)度數(shù)據(jù)傳輸過程進行檢測，以GGJ標(biāo)準(zhǔn)作為檢測標(biāo)準(zhǔn)，凡是不符合該標(biāo)準(zhǔn)的數(shù)據(jù)包進行攔截； 將攔截的數(shù)據(jù)包利用分析插件分析，將數(shù)據(jù)包進行分解，深度挖掘出數(shù)據(jù)包的數(shù)據(jù)特征和異常特征； 最后根據(jù)分析結(jié)果利用預(yù)警插件執(zhí)行預(yù)警程序， 向系統(tǒng)提示水利樞紐調(diào)度中心在運行過程中存在危險。

2.2 基于調(diào)度中心全生命周期的防護策略

水利樞紐調(diào)度中心的全生命周期劃分為4個階段，分別為設(shè)計階段、建設(shè)階段、運行階段和終止階段。傳統(tǒng)系統(tǒng)在對水利樞紐調(diào)度中心進行設(shè)計時，并未考慮到對安全及防護的要求， 結(jié)果造成對調(diào)度信息的安全防護僅停留在對外部周圍進行修補上，而無法實現(xiàn)對調(diào)度信息的合理防護［7］。因此，為了避免上述問題，在本文系統(tǒng)當(dāng)中引入對調(diào)度中心全生命周期的管控。 在防護過程中，充分對可能存在的風(fēng)險進行分析，并結(jié)合安全防護的需求，在系統(tǒng)當(dāng)中增加一套完整的信息安全防護OSI模塊， 從而避免系統(tǒng)與安全防護相脫節(jié)，將二者進行同步建設(shè)［8］。在調(diào)度中心運行過程中，同時施加OSI模塊的防護，并根據(jù)調(diào)度中心中數(shù)據(jù)的不同變化情況，給出相應(yīng)的安全策略及安全配置。 同時，在信息安全防護OSI模塊中將水利樞紐調(diào)度中心定義為七層標(biāo)準(zhǔn)框架，選用其中子網(wǎng)內(nèi)部協(xié)議中的三層進行體系的建立［9］。通過OSI模塊進一步詳細(xì)規(guī)劃每一層中的具體功能，從而實現(xiàn)調(diào)度中心的互聯(lián)性。 互操作性以及可移植性。利用OSI模塊將本文系統(tǒng)中遇到的復(fù)雜防護策略進行詳細(xì)劃分， 將其劃分為多個容易解決的小問題， 從而降低本文系統(tǒng)對調(diào)度中心安全問題的防護難度， 以此完成水利樞紐調(diào)度中心安全防護系統(tǒng)設(shè)計。

3 實驗

實驗以某水利樞紐調(diào)度中心為實驗對象， 該水利樞紐由四座大型水利抽電站組成， 其水資源調(diào)度范圍為14620m2，包含8條調(diào)度干道，實驗利用此次設(shè)計系統(tǒng)與傳統(tǒng)系統(tǒng)為水利樞紐調(diào)度中心進行安全防護。 在實驗中設(shè)計了5個調(diào)度任務(wù)， 調(diào)度時間共需150h，平均每個調(diào)度任務(wù)時間為30h，調(diào)度過程中需要完成240GB調(diào)度數(shù)據(jù)傳輸， 在調(diào)度過程中向水利樞紐調(diào)度中心發(fā)出網(wǎng)絡(luò)攻擊，攻擊頻率為1.36Hz，主要攻擊目的是竊取水利樞紐調(diào)度中心調(diào)度數(shù)據(jù)，阻止調(diào)度任務(wù)順利進行。 實驗中兩種系統(tǒng)均以Windows2010作為操作系統(tǒng)，數(shù)據(jù)庫為Object oriented database， 數(shù)據(jù)流量采集探測裝置探測周期設(shè)定為1.25s，探測頻率設(shè)定為3.45Hz。 實驗中對兩種系統(tǒng)防護結(jié)果進行記錄， 以水利樞紐調(diào)度數(shù)據(jù)丟失量作為實驗結(jié)果，對兩種系統(tǒng)進行對比分析，兩種系統(tǒng)數(shù)據(jù)丟失量對比如表2。

表2 兩種系統(tǒng)數(shù)據(jù)丟失量對比(GB)

從表2中分析可以得出以下結(jié)論：應(yīng)用此次設(shè)計系統(tǒng)水利樞紐調(diào)度中心在運行過程中數(shù)據(jù)丟失量較少，且遠(yuǎn)遠(yuǎn)低于傳統(tǒng)系統(tǒng)，證明了此次設(shè)計系統(tǒng)可滿足水利樞紐調(diào)度中心安全防護需求， 具有較高的可靠性和可行性。

4 結(jié)語

針對目前水利樞紐調(diào)度中心安全防護現(xiàn)狀，結(jié)合多種硬件和軟件技術(shù)開發(fā)了一個新的安全防護系統(tǒng)， 該防護系統(tǒng)能夠精準(zhǔn)的識別到水利樞紐調(diào)度中心的網(wǎng)絡(luò)攻擊行為， 并且能夠有效抵御和防護網(wǎng)絡(luò)攻擊行為， 保護水利樞紐調(diào)度中心在運行過程中數(shù)據(jù)傳輸安全，降低水量丟失數(shù)量，以此保證水利樞紐調(diào)度中心正常運行，發(fā)揮出其應(yīng)有的調(diào)度作用，此次研究對提高水利樞紐調(diào)度中心運行安全性，保障水利樞紐調(diào)度中心調(diào)度數(shù)據(jù)安全具有良好的現(xiàn)實意義。