導語：入侵防護系統在供電局網絡安全建設中的應用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

入侵防護技術是當前網絡安全領域的熱門技術，將其用于供電局網絡安全建設可提高供電局網絡監測和控制外部風險的能力，提升內部網絡的安全性，保障電網系統安全穩定運行。通過分析入侵防護系統的功能，對入侵防護系統在供電局網絡安全建設中的具體應用作分析是重點。入侵防護系統是一種新型的網絡安全系統，而入侵防護系統出現則豐富了傳統網絡安全系統的功能,防御能力更強，還能有效預防潛在的威脅。隨著供電系統向智能化發展,供電局網絡規模也越來越大,面臨的網絡威脅也越來越多,種類越來越復雜。

1入侵防護系統功能分析

1.1多種入侵檢測機制相互結合

入侵防護系統以協議為基礎，結合智能協議識別、專家系統、異常檢測以及狀態防火墻技術，為用戶提供多層次的網絡安全防護功能。協議識別和分析機制可對網絡報文中的協議特征進行動態分析，還能在無人操作的情況下快速準確地檢測入侵行為，發現入侵木馬和后門。專家知識庫將攻擊特征與已知攻擊特征庫進行匹配和識別，記錄新的攻擊特征，不斷豐富數據庫，為及時監測攻擊行為提供了保障。異常檢測機制包括流量異常和協議異常檢測機制。流量異常檢測機制以“正常流量值”為標準，及時發現非預期的異常流量，從而防范未知蠕蟲、分布式拒絕服務器攻擊以及其他零日攻擊。協議異常檢測機制以RFC為標準，檢測操作行為是否符合RFC規定。協議異常檢測機制可發現未知的溢出攻擊、拒絕服務器攻擊和零日攻擊。

1.2防御深度入侵

入侵防護系統可通過精細的檢測和防御措施，阻斷SQL注入、拒絕服務器、蠕蟲病毒等多種入侵行為。同時，入侵防護系統還能阻斷廣告或間諜軟件、木馬等非法程序擴散。最后，入侵防護系統重組IP碎片能力強大，并可追蹤數據流，可有效阻斷任意分片式攻擊行為。

1.3防御病毒

入侵防護系統可對HTTP、IMAP、SMTP等協議進行特征和啟發式掃描，檢測和控制協議的病毒流量，并及時查殺病毒，防范病毒對網絡造成損害。

1.4防御Web的威脅

由于病毒種類越來越多，木馬傳播方式和途徑也更加隱蔽，Web危險具有新的特點，web威脅呈混合性、滲透性、和利益驅動性特點，web威脅也已經成為增速碎塊、危害最大的網絡風險因素之一。而網絡是辦公的重要措施，對網絡的依賴性使網絡遭受web威脅的幾率更高。而入侵防護系統可根據web信譽評價技術和URL過濾技術檢測web，對植入木馬的web網頁發出警報，提醒操作人員，達到預防低于web威脅入侵網絡的目的。

1.5流量管理功能

流量管具有全局維度、局部維度、時間維度、流量維度流量控制四元組，并基于內容和面向對象提供流量保護對策，為用戶提供豐富的、靈活性更強的流量管理功能。入侵防護系統可對流量進行智能識別和分類，根據流量管理協議對流量許可和優先級進行控制，阻斷非授權用戶的流量，管理合法網絡資源，優化各類型流量的比例和分布情況，在保證最小寬帶和限制最大寬帶的基礎上，確保關鍵程序能夠正常穩定地運行。

2入侵防護系統在供電局網絡安全建設中的應用分析

2.1入侵防護系統部署方式

入侵防護系統包括兩種在部署方式，一是在線部署，二是旁路部署。除特殊情況外，入侵防護系統選擇直接串聯介入網絡，以實現有效管理和控制所有流經入侵防護系統的數據流量，而采用路旁部署方式接入入侵防護系統無法完全發揮防護系統功能，系統只能發揮入侵檢測的作用，系統設備也只能監視流量使用情況，無法及時控制異常流量。

2.2系統部署方式選擇

入侵防護系統部署方式影響流經防護系統的流量，并對入侵防護系統的防護作用和防護范圍造成影響。因此，要充分發揮入侵防護系統的功能，更大范圍的提供保護作用，應采用在線部署方式。通常情況下，可采用透明式串聯部署，并將入侵防護系統部署在網絡關鍵出口位置。該部署方式不僅能夠發揮入侵防護系統實時監測網絡流量、過濾和阻斷非法網絡流量的功能，還能更好的發揮系統BYPAASS容錯功能，使系統軟件或硬件發生故障后依然能維持正常網絡通信。但是，還需根據供電局網絡具體情況，選擇最恰當的入侵防護系統部署方式。（1）部署在內網核心交換機與出口防火墻之間。采用該部署方式無需改變現有網絡及業務模式，還能對內網客戶端進行嚴格的管理、觀察客戶端的IP，以便準確定位攻擊源。入侵防護系統還能防護向外和向內的攻擊和流量，而且由于防火墻已經過濾多數非法攻擊和流量，流經入侵防護系統的攻擊流量更少，系統復雜輕。（2）布置在出口防火墻與出口路由器之間，該部署方式無需改變的現有網絡結構和業務模式。同時，部署方式將入入侵防護系統作為最外層防護網關，可有效放于外部攻擊流量，入侵防護系統日志會清楚記錄外部攻擊信息。由于外來攻擊流量都必須經過入侵防護系統，因而流經防火墻的攻擊流量較少，防火墻的負載更輕。最后，采用該方式部署后，入侵防護系統對對內網客戶端的入侵行為防護措施簡單，只有事件設置策略，如目的any。該不是方式的缺點也較為明顯。如內網客戶端訪問外網需通過防火墻NAT地址翻譯，而無法在入侵防護系統內查詢內網客戶端的真實IP地質，而只能觀察NAT后的地址，造成入侵防護系統無法準確定位內部攻擊源，也無法針對不同客戶端IP設置入侵保護策略。

2.3系統部署

從入侵防護系統兩種部署方式可以看到，入侵防護系統部署在內網核心交換機與出口防火墻之間的優勢更多，更適合我國供電局網絡安全建設需求。這種部署方式在防放于外來攻擊的同時，還能避免入侵防護系統受防火墻NAT地質翻譯的影響，對內網不同IP設置不同入侵范湖策略，有效阻斷和定位內部攻擊行為。例如，供電網可采用透明方式，將入侵防護系統部署在內網核心交換機與出口防火墻之間，部署拓撲結構如圖1所示。該部署方式具有以下四個優點。第一，入侵防護系統設備配置簡單，安裝更加方便；第二，入侵防護系統對內網客戶端管理更加有效，可對內網客戶端的行為和流量進行有效管理和控制。第三，可觀察內網客戶端的真實IP地址，電網運行管理人員也更容易快速查找和定位內網攻擊源。第四，入侵防護系統部署在內網核心交換機與出口防火墻之間，系統防護可同時監控和控制內網向外的流量和來透過防火墻的外網攻擊流量，系統在監控和管理流入電網系統攻擊流量和流向電網外部流量之前，電網的防火墻的訪問控制級攻擊防護系統已經對多數外網攻擊進行了過濾處理，最終流經入侵防護系統的外網攻擊流量大大減少，入侵防護系統的負載也更輕，入侵防護系統傳輸內外網數據的效率顯著提高。

3結語

供電局網絡安全建設應用入侵防護系統后，系統能夠實施主動攔截攻擊、木馬和而言流量等，避免用戶操作時被植入惡意代碼，有效的保證了關鍵系統業務正常應用，凈化了局域網使用環境，提高企業生產和辦公效率。最后，入侵防護系不僅提高了電網防御能力，管理員的工作量減輕，管理員可將時間和精力用于分析網絡安全時間，及時發現全局網絡安全中存在的不足，為開展下一步工作提供參考。

作者:阮俊杰 單位:廣東電網有限責任公司佛山供電局

引用：

[1]張文明.淺談入侵防護系統在供電局網絡安全建設中的應用[J].無線互聯科技，2013.

[2]莫若節.供電局互聯網訪問存在的安全問題及對策探討[J].技術與市場，2013.

[3]呂維新.入侵防護系統在昆明供電局網絡安全建設中的應用[J].電力信息化，2010.

[4]謝群.昆明供電局綜合數據網三層網絡架構研究與應用[J].電子制作，2014.

[5]鄧小勇.網絡安全防護建設及優化的探討與實踐[J].通訊世界，2014.

[6]戴菲.淺談如何實現入侵檢測系統安全防護[J].福建電腦，2010.