基于主动防御技术的 *** 安全模型
随着农网改造的进行,各电力部门的调度自动化系统得到了飞快的发展,除完成SCADA功能外,基本实现了高级的分析功能,如 *** 拓扑分析、状态估计、潮流计算、安全分析、经济调度等,使电网调度自动化的水平有了很大的提高。调度自动化的应用提高了电网运行的效率,改善了调度运行人员的工作条件,加快了变电站实现无人值守的步伐。目前,电网调度自动化系统已经成为电力企业的"心脏"[1]。正因如此,调度自动化系统对防范病毒和黑客攻击提出了更高的要求,《电网和电厂计算机监控系统及调度数据 *** 安全防护规定》(中华人民共和国国家经济贸易委员会第30号令)[9]中规定电力监控系统的安全等级高于电力管理信息系统及办公自动化系统。各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。而从目前的调度自动化安全防护技术应用调查结果来看,不少电力部门虽然在调度自动化系统 *** 中部署了一些 *** 安全产品,但这些产品没有形成体系,有的只是购买了防病毒软件和防火墙,保障安全的技术单一,尚有许多薄弱环节没有覆盖到,对调度自动化 *** 安全没有统一长远的规划, *** 中有许多安全隐患,个别地方甚至没有考虑到安全防护问题,如调度自动化和配网自动化之间,调度自动化系统和MIS系统之间数据传输的安全性问题等,如何保证调度自动化系统安全稳定运行,防止病毒侵入,已经显得越来越重要。
从电力系统采用的现有安全防护技术 *** 方面,大部分电力企业的调度自动化系统采用的是被动防御技术,有防火墙技术和入侵检测技术等,而随着 *** 技术的发展,逐渐暴露出其缺陷。防火墙在保障 *** 安全方面,对病毒、访问限制、后门威胁和对于内部的黑客攻击等都无法起到作用。入侵检测则有很高的漏报率和误报率[4]。这些都必须要求有更高的技术手段来防范黑客攻击与病毒入侵,本文基于传统安全技术和主动防御技术相结合,依据动态信息安全P2DR模型,考虑到调度自动化系统的实际情况设计了一套安全防护模型,对于提高调度自动化系统防病毒和黑客攻击水平有很好的参考价值。
1 威胁调度自动化系统 *** 安全的技术因素
目前的调度自动化系统 *** 如iES-500系统[10]、OPEN2000系统等大都是以Windows为操作系统平台,同时又与Internet相连,Internet *** 的共享性和开放性使网上信息安全存在先天不足,因为其赖以生存的TCP/IP协议缺乏相应的安全机制,而且Internet最初设计没有考虑安全问题,因此它在安全可靠、服务质量和方便性等方面存在不适应性[3]。此外,随着调度自动化和办公自动化等系统数据交流的不断增大,系统中的安全漏洞或"后门"也不可避免的存在,电力企业内部各系统间的互联互通等需求的发展,使病毒、外界和内部的攻击越来越多,从技术角度进一步加强调度自动化系统的安全防护日显突出。
2 基于主动防御新技术的安全防护设计
2.1 调度自动化系统与其他系统的接口
由于调度自动化系统自身工作的性质和特点,它主要需要和办公自动化(MIS)系统[6]、配网自动化系统实现信息共享。为了保证电网运行的透明度,企业内部的生产、检修、运行等各部门都必须能够从办公自动化系统中了解电网运行情况,因此调度自动化系统自身设有Web服务器,以实现数据共享。调度自动化系统和配网自动化系统之间由于涉及到需要同时控制变电站的10 kV出线开关,两者之间需要进行信息交换,而配网自动化系统运行情况需要通过其Web服务器公布于众[5],同时由于配网自动化系统本身的安全性要求,考虑到投资问题,可以把它的安全防护和调度自动化一起考虑进行设计。
2.2 主动防御技术类型
目前主动防御新技术有两种。一种是陷阱技术,它包括蜜罐技术(Honeypot)和蜜网技术(Honeynet)。蜜罐技术是设置一个包含漏洞的诱骗系统,通过模拟一个或多个易受攻击的主机,给攻击者提供一个容易攻击的目标[2]。蜜罐的作用是为外界提供虚假的服务,拖延攻击者对真正目标的攻击,让攻击者在蜜罐上浪费时间。蜜罐根据设计目的分为产品型和研究型。目前已有许多商用的蜜罐产品,如BOF是由Marcus Ranum和NFR公司开发的一种用来监控Back Office的工具。Specter是一种商业化的低交互蜜罐,类似于BOF,不过它可以模拟的服务和功能范围更加广泛。蜜网技术是最为著名的公开蜜罐项目[7],它是一个专门设计来让人"攻陷"的 *** ,主要用来分析入侵者的一切信息、使用的工具、策略及目的等。
另一种技术是取证技术,它包括静态取证技术和动态取证技术。静态取证技术是在已经遭受入侵的情况下,运用各种技术手段进行分析取证工作。现在普遍采用的正是这种静态取证 *** ,在入侵后对数据进行确认、提取、分析,抽取出有效证据,基于此思想的工具有数据克隆工具、数据分析工具和数据恢复工具。目前已经有专门用于静态取证的工具,如Guidance Software的Encase,它运行时能建立一个独立的硬盘镜像,而它的FastBloc工具则能从物理层组织操作系统向硬盘写数据。动态取证技术是计算机取证的发展趋势,它是在受保护的计算机上事先安装上 *** ,当攻击者入侵时,对系统的操作及文件的修改、删除、复制、传送等行为,系统和 *** 会产生相应的日志文件加以记录。利用文件系统的特征,结合相关工具,尽可能真实的恢复这些文件信息,这些日志文件传到取证机上加以备份保存用以作为入侵证据。目前的动态取证产品国外开发研制的较多,价格昂贵,国内部分企业也开发了一些类似产品。
2.3 调度自动化系统安全模型
调度自动化安全系统防护的主导思想是围绕着P2DR模型思想建立一个完整的信息安全体系框架,P2DR模型最早是由ISS公司提出的动态安全模型的代表性模型,它主要包含4个部分:安全策略(Policy)、防护(Protection)、检测(Detection)和响应(Response)[8]。模型体系框架如图1所示。
在P2DR模型中,策略是模型的核心,它意味着 *** 安全需要达到的目标,是针对 *** 的实际情况,在 *** 管理的整个过程中具体对各种 *** 安全措施进行取舍,是在一定条件下对成本和效率的平衡[3]。防护通常采用传统的静态安全技术及 *** 来实现,主要有防火墙、加密和认证等 *** 。检测是动态响应的依据,通过不断的检测和监控,发现新的威胁和弱点。响应是在安全系统中解决安全潜在性的最有效的 *** ,它在安全系统中占有最重要的地位。
2.4 调度自动化系统的安全防御系统设计
调度自动化以P2DR模型为基础,合理利用主动防御技术和被动防御技术来构建动态安全防御体系,结合调度自动化系统的实际运行情况,其安全防御体系模型的物理架构如图2所示。
防护是调度自动化系统安全防护的前沿,主要由传统的静态安全技术防火墙和陷阱机实现。在调度自动化系统、配网自动化系统和公司信息 *** 之间安置防火墙监视限制进出 *** 的数据包,防范对内及内对外的非法访问。陷阱机隐藏在防火墙后面,制造一个被入侵的 *** 环境诱导入侵,引开黑客对调度自动化Web服务器的攻击,从而提高 *** 的防护能力。
检测是调度自动化安全防护系统主动防御的核心,主要由IDS、漏洞扫描系统、陷阱机和取证系统共同实现,包括异常检测、模式发现和漏洞发现。IDS对来自外界的流量进行检测,主要用于模式发现及告警。漏洞扫描系统对调度自动化系统、配网自动化主机端口的已知漏洞进行扫描,找出漏洞或没有打补丁的主机,以便做出相应的补救措施。陷阱机是设置的蜜罐系统,其日志记录了 *** 入侵行为,因此不但充当了防护系统,实际上又起到了第二重检测作用。取证分析系统通过事后分析可以检测并发现病毒和新的黑客攻击 *** 和工具以及新的系统漏洞。响应包括两个方面,其一是取证机完整记录了 *** 数据和日志数据,为攻击发生系统遭破坏后提出诉讼提供了证据支持。另一方面是根据检测结果利用各种安全措施及时修补调度自动化系统的漏洞和系统升级。综上所述,基于P2DR模型设计的调度自动化安全防护系统有以下特点和优越性:
·在整个调度自动化系统的运行过程中进行主动防御,具有双重防护与多重检测响应功能;
·企业内部和外部兼防,可以以法律武器来威慑入侵行为,并追究经济责任。
·形成了以调度自动化 *** 安全策略为核心的防护、检测和响应相互促进以及循环递进的、动态的安全防御体系。
3 结论
调度自动化系统的安全防护是一个动态发展的过程,本次设计的安全防护模型是采用主动防御技术和被动防御技术相结合,在P2DR模型基础上进行的设计,使调度自动化系统安全防御在遭受攻击的时候进行主动防御,增强了系统安全性。但调度自动化系统安全防护并不是纯粹的技术,仅依赖安全产品的堆积来应对迅速发展变化的攻击手段是不能持续有效的。调度自动化系统安全防护的主动防御技术不能完全取代其他安全机制,尤其是管理规章制度的严格执行等必须长抓不懈。
阿里云、云机器被渗透了怎么办?有什么好的办法?
最近很多阿里云机器以及云主机被渗透数据库进行勒索。那么我们要怎么保证我们的业务上线之后不被有心人利用呢?(阿里云服务器怎么防止被渗透)
渗透测试,是为了证明 *** 防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所有补丁都已打上。如果你早已做到了这些,为什么还要请外方进行审查或渗透测试呢?因为,渗透测试能够独立地检查你的 *** 策略,换句话说,就是给你的系统安了一双眼睛。而且,进行这类测试的,都是寻找 *** 系统安全漏洞的专业人士。
那么云服务器如何防止被暴力破解,保护数据不被恶意渗透呢?
通常是分为几个层面进行测试的,如下:
一、内网扫描:扫描服务器代码漏洞等。
二、外网扫描:扫描目前市场已知漏洞等。
三、 社会 工程学扫描:排除人为的安全隐患因素。
渗透人员在不同的位置(比如从内网、从外网等位置)利用各种手段对某个特定 *** 进行测试,以期发现和挖掘系统中存在的漏洞,然后输出渗透测试报告,并提交给 *** 所有者。 *** 所有者根据渗透人员提供的渗透测试报告,可以清晰知晓系统中存在的安全隐患和问题。
渗透测试还具有两个显著特点:一是渗透测试是一个渐进的并且逐步深入的过程;二是渗透测试是选择不影响业务系统正常运行的攻击 *** 进行的测试。
小蚁 *** 提供专业的渗透测试服务,可模拟黑客攻击对业务系统进行安全性测试,比黑客更早发现导致企业数据泄露、资产受损、数据被篡改的漏洞,并协助企业进行修复。
小蚁 *** ,作为业内资深的专业云安全服务提供商,致力于为广大互联网企业用户和传统行业的企业用户提供“云服务器、高防IP、高防cdn、香港服务器、大禹抗D 游戏 盾”等云云安全服务以及客户app综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为个人客户上云打造定制,能够满足用户丰富、多元化的应用场景需求。
做了专业的渗透测试之后,我们还要针对我们的app以及网站做专业的入侵防护检测系统(),小蚁卫士入侵防御系统以下简称“小蚁卫士NGIPS”, 它是一种新型应用安全保护技术,它将保护程序像疫苗一样注入到应用程序中,应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遭受到实际攻击伤害,就可以自动对其进行防御,而不需要进行人工干预。
小蚁卫士入侵防御系统融合了小蚁 *** 在攻防技术领域的先进技术及研究成果,使其在精确阻断方面达到国际领先水平,可以对漏洞攻击、蠕虫病毒、间谍软件、木马后门、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深层攻击行为进行防御。入侵防御系统不但能发现攻击,而且能自动化、实时的执行防御策略,有效保障信息系统安全。
入侵防御产品已广泛应用于 *** 、金融、能源、电信等各行业领域,并积极拓展国际市场。
希望大家每一个产品都能够在梦想的摇篮之中萌芽,这里是 小蚁君为您分享。
官网:
*** 安全,如何化被动为主动?
根据Gartner近年的调查,有97%的入侵行为发生在已经部署适当 *** 安全防护系统的公司,99%的攻击行为是使用已知并存在多年的攻击方式或者漏洞,95%穿透防火墙的入侵行为是因为误配置造成。
尽管投入了大量资源进行 *** 安全建设, *** 安全现实状况却并不乐观。在日常 *** 安全运维中,更多是处于被动响应的模式和状态,安全团队陷入到每天海量的安全日志告警里面,而当安全事件真正发生的时候,危害已经造成。
如何化被动为主动
*** 安全如何化被动为主动?想要跳出被动应对 *** 安全威胁的局面,安全团队需要主动诊断和预判关键风险点,并提前处理。
安全团队需要准确回答以下几个基本的问题:
· 被保护的业务资产,存在哪些可以被攻击者利用的漏洞?
· 现有的 *** 安全防御系统是否有效?是否存在防护上的漏洞?
· 现有防御能力能否应对日益增长的 *** 安全威胁?
· 被保护的业务资产面临最紧迫的风险是什么?
要有效解答上述难题,最直接主动的 *** 便是通过使用与攻击者相同模拟攻击模式进行测试和验证,化被动为主动,领先黑客一步掌握自身业务资产所存在的可被攻击利用漏洞、防护盲点,从而进行针对性地修复。
完成这点,需要安全团队投入大量的时间、精力,对于很多需要兼顾开发与安全的技术团队来说,这无疑让原本就紧促的工作进程更难以推进,这种情况下,一款智能自动化的风险验证工具便是“众望所归”。
Vackbot智能自动化风险验证平台
墨云科技的“VackBot智能自动化风险验证平台”,是国内首个利用人工智能技术模拟黑客入侵的平台,在授权情况下以安全的方式自动、连续、大规模的执行验证入侵和模拟攻击,帮助用户挖掘可被利用的漏洞,快速验证当前安全防护系统有效性。
VackBot能为用户提供如下安全验证服务:
1.自动化渗透测试服务: 自动对测试目标进行资产识别、攻击面挖掘、漏洞验证、模拟攻击利用和风险取证、迭代攻击,挖掘可被利用漏洞;
2. *** 安全防护能力验证服务: 基于MITRE ATTCK框架,模拟各类APT攻击,对 *** 进行入侵和攻击模拟,以评估安全防护设施是否在按预期工作,是否能够有效抵御各种新的攻击 *** ,精准定位安全防护漏洞;
3.常态化、持续的安全风险验证: 对目标系统进行长期的、可由多类触发事件自动唤醒的持续的漏洞检查,及时发现暴露的安全风险,缩短风险暴露窗口;
4.深度检测: 利用AI自主学习,通过自动化迭代攻击,提供更全面的安全风险验证,减少死角;
5.聚焦关键脆弱点: 为用户提供漏洞修复的优先指引,提升漏洞修复效用。
VackBot智能自动化风险验证服务,可准确挖掘业务资产上的可利用漏洞,实现从“黑客”视角分析评估企业的安全态势,量化评估风险,识别和发现安全防护薄弱点,检测 *** 安全防御系统的防护有效性,领先攻击者一步做好风险管理,在 *** 攻防对抗中化被动为主动,赢得先手。
了解更多关键信息,请关注墨云安全,关注更智能的 *** 攻防。
自动化DDOS防御,实现了哪些方面的自动化?
分布式拒绝服务攻击可导致许多计算机同时受到攻击,使攻击目标不可用。分布式拒绝服务攻击已经多次发生,导致许多大型网站无法运行。这不仅会影响用户的正常使用,还会造成巨大的经济损失。
分布式拒绝服务攻击 *** 可以在攻击过程中伪造源IP地址,使得攻击发生时隐藏起来,同时也很难检测到攻击,因此这类攻击也成为一种很难防范的攻击。
基于自动化程度的分类
一。手动DDoS攻击。
早期的DDoS攻击都是手动配置的,即在发起DDoS攻击时,扫描有漏洞的远程计算机,入侵它们并安装代码都是手动完成的。
二。半自动DDoS攻击。
在半自动攻击中,DDoS攻击属于主 *** 端攻击模型。攻击者使用自动脚本进行扫描。主机端的机器在主机和 *** 之间协商攻击类型,详细记录受害者的地址和攻击何时发起等信息。
三。自动DDoS攻击。
在这种攻击中。绝对不允许攻击者与 *** 计算机之间进行通信。这种攻击的大多数攻击阶段仅限于一个命令。攻击的所有特征,如攻击类型、持续时间和受害者地址,都在攻击代码中预先实现。
攻击原理
分布式拒绝服务攻击的原理分布式拒绝服务攻击DDoS是一种特殊形式的基于DoS的拒绝服务攻击,是一种分布式、协同的大规模攻击。单个DoS攻击通常采用一对一的 *** 。它利用 *** 协议和操作系统的一些缺陷,采用欺骗和伪装策略进行 *** 攻击。资源,导致 *** 或系统不堪重负和瘫痪,停止提供正常的 *** 服务。与单台主机发起的DoS攻击相比,分布式拒绝服务攻击DDoS是由数百甚至数千台主机发起的群体行为,这些主机在受到攻击后安装了攻击进程。
一个完整的DDoS攻击系统由四部分组成:攻击者、主控端、 *** 端和攻击目标。主控端和 *** 端分别控制并实际发起攻击,主控端只发出命令,不参与实际攻击, *** 端发出DDoS的实际攻击包。攻击者对主机和 *** 端的计算机具有控制权限或部分控制权限。它将使用各种手段来隐藏自己,以免在攻击过程中被他人发现。一旦真正的攻击者将攻击命令发送到主控端,攻击者就可以关闭或离开 *** 。主控制端向每个 *** 主机发出命令。这样攻击者就可以逃脱追踪。每个攻击 *** 主机向目标主机发送大量服务请求数据包。这些数据包是伪装的,它们的来源无法识别,这些数据包请求的服务常常消耗大量的系统资源资源.非资源,导致目标主机无法为用户提供正常服务。它甚至导致系统崩溃。
WAF是什么设备
Web应用防护系统(也称:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
应用功能
审计设备
对于系统自身安全相关的下列事件产生审计记录:
(1)管理员登陆后进行的操作行为。
(2) 对安全策略进行添加、修改、删除等操作行为。
(3) 对管理角色进行增加、删除和属性修改等操作行为。
(4) 对其他安全功能配置参数的设置或更新等行为。
访问控制设备
用来控制对Web应用的访问,既包括主动安全模式也包括被动安全模式。
架构/ *** 设计工具
当运行在反向 *** 模式,他们被用来分配职能,集中控制,虚拟基础结构等。
WEB应用加固工具
这些功能增强被保护Web应用的安全性,它不仅能够屏蔽WEB应用固有弱点,而且 能够保护WEB应用编程错误导致的安全隐患。
需要指出的是,并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。
同时WEB应用防火墙还具有多面性的特点。比如从 *** 入侵检测的角度来看可以把WAF看成运行在HTTP层上的IDS设备;从防火墙角度来看,WAF是一种防火墙的功能模块;还有人把WAF看作“深度检测防火墙”的增强。(深度检测防火墙通常工作在的 *** 的第三层以及更高的层次,而Web应用防火墙则在第七层处理HTTP服务并且更好地支持它。)
特点
异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测,拒绝不符合HTTP标准的请求。并且,它也可以只允许HTTP协议的部分选项通过,从而减少攻击的影响范围。甚至,一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。
增强的输入验证
增强输入验证,可以有效防止网页篡改、信息泄露、木马植入等恶意 *** 入侵行为。从而减小Web服务器被攻击的可能性。
及时补丁
修补Web安全漏洞,是Web应用开发者最头痛的问题,没人会知道下一秒有什么样的漏洞出现,会为Web应用带来什么样的危害。WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏洞。当然,这种屏蔽掉漏洞的方式不是非常完美的,并且没有安装对应的补丁本身就是一种安全威胁,但我们在没有选择的情况下,任何保护措施都比没有保护措施更好。
(附注:及时补丁的原理可以更好的适用于基于XML的应用中,因为这些应用的通信协议都具规范性。)
基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则,WAF生产商会维护这个规则库,并时时为其更新。用户可以按照这些规则对应用进行全方面检测。还有的产品可以基于合法应用数据建立模型,并以此为依据判断应用数据的异常。但这需要对用户企业的应用具有十分透彻的了解才可能做到,可现实中这是十分困难的一件事情。
状态管理
WAF能够判断用户是否是之一次访问并且将请求重定向到默认登录页面并且记录事件。通过检测用户的整个操作行为我们可以更容易识别攻击。状态管理模式还能检测出异常事件(比如登陆失败),并且在达到极限值时进行处理。这对暴力攻击的识别和响应是十分有利的。
其他防护技术
WAF还有一些安全增强的功能,可以用来解决WEB程序员过分信任输入数据带来的问题。比如:隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。
0条大神的评论