網路安全中的主動防禦

1. 網路安全是做什麼的

網路安全用於防止和監控那些未經授權就訪問和修改的資源。防止網站數據被別人破壞、更改，竊取。保證程序的順利運行。
在網路安全工作中應注意的幾點：主動防禦。有了更可靠的硬體，就不會出現硬體問題導致的網路安全問題。其他，比如可靠的網路設備，穩定的伺服器，安全性更好的系統和軟體等。被動防禦。被動防禦是指網站受損時的反擊，受損信息能否恢復，受損程序能否修復等等。防患於未然。在項目上線之前，需要對項目進行自查，檢查應用程序是否能夠運行，及時解決運行過程中可能遇到的問題。

2. 網路安全能幹嘛

網路安全措施

1、安全技術手段

物理措施：例如，保護網路關鍵設備（如交換機、大型計算機等），制定嚴格的網路安全規章 制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。

訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等等。

數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。

網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離，網閘主要用於對於整個網路的隔離。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網路安全 問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加 密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對 網路的隔離和限制訪問等方法來控制網路的訪問許可權。

2、安全防範意識

擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

3、主機安全檢查

要保證網路安全，進行網路安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己 的風險所在，從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機 安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計 算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。

3. 網路安全的含義及特徵

含義：網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

特徵：保密性、完整性、可用性、可控性和不可抵賴性。

保密性是指網路中的信息不被非授權實體（包括用戶和進程等）獲取與使用。這些信息不僅包括國家機密，也包括企業和社會團體的商業機密和工作機密，還包括個人信息。

人們在應用網路時很自然地要求網路能提供保密性服務，而被保密的信息既包括在網路中傳輸的信息，也包括存儲在計算機系統中的信息。

主動防禦走向市場：

主動防禦的理念已經發展了一些年，但是從理論走向應用一直存在著多種阻礙。主動防禦主要是通過分析並掃描指定程序或線程的行為，根據預先設定的規則，判定是否屬於危險程序或病毒，從而進行防禦或者清除操作。

不過，從主動防禦理念向產品發展的最重要因素就是智能化問題。由於計算機是在一系列的規則下產生的，如何發現、判斷、檢測威脅並主動防禦，成為主動防禦理念走向市場的最大阻礙。

由於主動防禦可以提升安全策略的執行效率，對企業推進網路安全建設起到了積極作用，所以盡管其產品還不完善，但是隨著未來幾年技術的進步，以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防禦型產品將與傳統網路安全設備相結合。

尤其是隨著技術的發展，高效准確地對病毒、蠕蟲、木馬等惡意攻擊行為的主動防禦產品將逐步發展成熟並推向市場，主動防禦技術走向市場將成為一種必然的趨勢。

4. 基於主動防禦技術的網路安全模型

隨著農網改造的進行，各電力部門的調度自動化系統得到了飛快的發展，除完成SCADA功能外，基本實現了高級的分析功能，如網路拓撲分析、狀態估計、潮流計算、安全分析、經濟調度等，使電網調度自動化的水平有了很大的提高。調度自動化的應用提高了電網運行的效率，改善了調度運行人員的工作條件，加快了變電站實現無人值守的步伐。目前，電網調度自動化系統已經成為電力企業的"心臟"[1]。正因如此，調度自動化系統對防範病毒和黑客攻擊提出了更高的要求，《電網和電廠計算機監控系統及調度數據網路安全防護規定》（中華人民共和國國家經濟貿易委員會第30號令）[9]中規定電力監控系統的安全等級高於電力管理信息系統及辦公自動化系統。各電力監控系統必須具備可靠性高的自身安全防護設施，不得與安全等級低的系統直接相聯。而從目前的調度自動化安全防護技術應用調查結果來看，不少電力部門雖然在調度自動化系統網路中部署了一些網路安全產品，但這些產品沒有形成體系，有的只是購買了防病毒軟體和防火牆，保障安全的技術單一，尚有許多薄弱環節沒有覆蓋到，對調度自動化網路安全沒有統一長遠的規劃，網路中有許多安全隱患，個別地方甚至沒有考慮到安全防護問題，如調度自動化和配網自動化之間，調度自動化系統和MIS系統之間數據傳輸的安全性問題等，如何保證調度自動化系統安全穩定運行，防止病毒侵入，已經顯得越來越重要。

從電力系統採用的現有安全防護技術方法方面，大部分電力企業的調度自動化系統採用的是被動防禦技術，有防火牆技術和入侵檢測技術等，而隨著網路技術的發展，逐漸暴露出其缺陷。防火牆在保障網路安全方面，對病毒、訪問限制、後門威脅和對於內部的黑客攻擊等都無法起到作用。入侵檢測則有很高的漏報率和誤報率[4]。這些都必須要求有更高的技術手段來防範黑客攻擊與病毒入侵，本文基於傳統安全技術和主動防禦技術相結合，依據動態信息安全P2DR模型，考慮到調度自動化系統的實際情況設計了一套安全防護模型，對於提高調度自動化系統防病毒和黑客攻擊水平有很好的參考價值。

1 威脅調度自動化系統網路安全的技術因素

目前的調度自動化系統網路如iES-500系統[10]、OPEN2000系統等大都是以Windows為操作系統平台，同時又與Internet相連，Internet網路的共享性和開放性使網上信息安全存在先天不足，因為其賴以生存的TCP/IP協議缺乏相應的安全機制，而且Internet最初設計沒有考慮安全問題，因此它在安全可靠、服務質量和方便性等方面存在不適應性[3]。此外，隨著調度自動化和辦公自動化等系統數據交流的不斷增大，系統中的安全漏洞或"後門"也不可避免的存在，電力企業內部各系統間的互聯互通等需求的發展，使病毒、外界和內部的攻擊越來越多，從技術角度進一步加強調度自動化系統的安全防護日顯突出。

2 基於主動防禦新技術的安全防護設計

2.1 調度自動化系統與其他系統的介面

由於調度自動化系統自身工作的性質和特點，它主要需要和辦公自動化（MIS）系統[6]、配網自動化系統實現信息共享。為了保證電網運行的透明度，企業內部的生產、檢修、運行等各部門都必須能夠從辦公自動化系統中了解電網運行情況，因此調度自動化系統自身設有Web伺服器，以實現數據共享。調度自動化系統和配網自動化系統之間由於涉及到需要同時控制變電站的10 kV出線開關，兩者之間需要進行信息交換，而配網自動化系統運行情況需要通過其Web伺服器公布於眾[5]，同時由於配網自動化系統本身的安全性要求，考慮到投資問題，可以把它的安全防護和調度自動化一起考慮進行設計。

2.2 主動防禦技術類型

目前主動防禦新技術有兩種。一種是陷阱技術，它包括蜜罐技術（Honeypot）和蜜網技術(Honeynet)。蜜罐技術是設置一個包含漏洞的誘騙系統，通過模擬一個或多個易受攻擊的主機，給攻擊者提供一個容易攻擊的目標[2]。蜜罐的作用是為外界提供虛假的服務，拖延攻擊者對真正目標的攻擊，讓攻擊者在蜜罐上浪費時間。蜜罐根據設計目的分為產品型和研究型。目前已有許多商用的蜜罐產品，如BOF是由Marcus Ranum和NFR公司開發的一種用來監控Back Office的工具。Specter是一種商業化的低交互蜜罐，類似於BOF，不過它可以模擬的服務和功能范圍更加廣泛。蜜網技術是最為著名的公開蜜罐項目[7],它是一個專門設計來讓人"攻陷"的網路，主要用來分析入侵者的一切信息、使用的工具、策略及目的等。

另一種技術是取證技術，它包括靜態取證技術和動態取證技術。靜態取證技術是在已經遭受入侵的情況下，運用各種技術手段進行分析取證工作。現在普遍採用的正是這種靜態取證方法，在入侵後對數據進行確認、提取、分析，抽取出有效證據，基於此思想的工具有數據克隆工具、數據分析工具和數據恢復工具。目前已經有專門用於靜態取證的工具，如Guidance Software的Encase,它運行時能建立一個獨立的硬碟鏡像，而它的FastBloc工具則能從物理層組織操作系統向硬碟寫數據。動態取證技術是計算機取證的發展趨勢，它是在受保護的計算機上事先安裝上代理，當攻擊者入侵時，對系統的操作及文件的修改、刪除、復制、傳送等行為，系統和代理會產生相應的日誌文件加以記錄。利用文件系統的特徵，結合相關工具，盡可能真實的恢復這些文件信息，這些日誌文件傳到取證機上加以備份保存用以作為入侵證據。目前的動態取證產品國外開發研製的較多，價格昂貴，國內部分企業也開發了一些類似產品。

2.3 調度自動化系統安全模型

調度自動化安全系統防護的主導思想是圍繞著P2DR模型思想建立一個完整的信息安全體系框架，P2DR模型最早是由ISS公司提出的動態安全模型的代表性模型，它主要包含4個部分：安全策略（Policy）、防護（Protection）、檢測（Detection）和響應（Response）[8]。模型體系框架如圖1所示。

在P2DR模型中，策略是模型的核心，它意味著網路安全需要達到的目標，是針對網路的實際情況，在網路管理的整個過程中具體對各種網路安全措施進行取捨，是在一定條件下對成本和效率的平衡[3]。防護通常採用傳統的靜態安全技術及方法來實現，主要有防火牆、加密和認證等方法。檢測是動態響應的依據，通過不斷的檢測和監控，發現新的威脅和弱點。響應是在安全系統中解決安全潛在性的最有效的方法，它在安全系統中佔有最重要的地位。

2.4 調度自動化系統的安全防禦系統設計

調度自動化以P2DR模型為基礎，合理利用主動防禦技術和被動防禦技術來構建動態安全防禦體系，結合調度自動化系統的實際運行情況，其安全防禦體系模型的物理架構如圖2所示。

防護是調度自動化系統安全防護的前沿，主要由傳統的靜態安全技術防火牆和陷阱機實現。在調度自動化系統、配網自動化系統和公司信息網路之間安置防火牆監視限制進出網路的數據包，防範對內及內對外的非法訪問。陷阱機隱藏在防火牆後面，製造一個被入侵的網路環境誘導入侵，引開黑客對調度自動化Web伺服器的攻擊，從而提高網路的防護能力。

檢測是調度自動化安全防護系統主動防禦的核心，主要由IDS、漏洞掃描系統、陷阱機和取證系統共同實現，包括異常檢測、模式發現和漏洞發現。IDS對來自外界的流量進行檢測，主要用於模式發現及告警。漏洞掃描系統對調度自動化系統、配網自動化主機埠的已知漏洞進行掃描，找出漏洞或沒有打補丁的主機，以便做出相應的補救措施。陷阱機是設置的蜜罐系統，其日誌記錄了網路入侵行為，因此不但充當了防護系統，實際上又起到了第二重檢測作用。取證分析系統通過事後分析可以檢測並發現病毒和新的黑客攻擊方法和工具以及新的系統漏洞。響應包括兩個方面，其一是取證機完整記錄了網路數據和日誌數據，為攻擊發生系統遭破壞後提出訴訟提供了證據支持。另一方面是根據檢測結果利用各種安全措施及時修補調度自動化系統的漏洞和系統升級。綜上所述，基於P2DR模型設計的調度自動化安全防護系統有以下特點和優越性：

·在整個調度自動化系統的運行過程中進行主動防禦，具有雙重防護與多重檢測響應功能；

·企業內部和外部兼防，可以以法律武器來威懾入侵行為，並追究經濟責任。

·形成了以調度自動化網路安全策略為核心的防護、檢測和響應相互促進以及循環遞進的、動態的安全防禦體系。
3 結論
調度自動化系統的安全防護是一個動態發展的過程，本次設計的安全防護模型是採用主動防禦技術和被動防禦技術相結合，在P2DR模型基礎上進行的設計，使調度自動化系統安全防禦在遭受攻擊的時候進行主動防禦，增強了系統安全性。但調度自動化系統安全防護並不是純粹的技術，僅依賴安全產品的堆積來應對迅速發展變化的攻擊手段是不能持續有效的。調度自動化系統安全防護的主動防禦技術不能完全取代其他安全機制，尤其是管理規章制度的嚴格執行等必須長抓不懈。

5. 網路安全中主動防禦與被動防禦的區別

說的簡單點吧
被動防禦就是先有病毒.然後安全廠商提取病毒的特徵碼充實自家安全軟體的病毒庫.達到查殺病毒的目的.這個方法的缺點顯而易見.就是安全廠商始終落在病毒的後面.
主動防禦是根據判斷程序行為.如果有疑似病毒行為的操作則通知用戶進行處理.主動防禦還有很長的路要走
目前國內做到主動防禦的只有微點1家(絕非廣告)

6. 防火牆的作用是什麼

1、極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。

由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

2、對網路存取和訪問進行監控審計。

當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。

可以清楚知道防火牆能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足，網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

3、防止內部信息的外泄。

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。

使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

(6)網路安全中的主動防禦擴展閱讀：

主要類型

1、網路層防火牆：可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。

2、應用層防火牆：是在 TCP/IP 堆棧的「應用層」上運作，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包，並且封鎖其他的封包。

3、資料庫防火牆：是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制，實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。

7. 網路安全的內容是什麼

網路安全（Network Security）包含網路設備安全、網路信息安全、網路軟體安全，是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。具有保密性、完整性、可用性、可控性、可審查性的特性。

網路安全
信息不泄露給非 授權用戶、 實體或過程，或供其利用的特性。

完整性

數據未經授權不能進行改變的特性。即信息在 存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性

可被授權 實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對 可用性的攻擊；

可控性

對信息的傳播及內容具有控制能力。

可審查性

出現安全問題時提供依據與手段

從網路運行和管理者角度說，希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現「 陷門」、 病毒、非法存取、拒絕服務和 網路資源非法佔用和非法控制等威脅，制止和防禦網路黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。

隨著 計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的 內部網路的內部業務處理、 辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互聯網（ Internet）的企業級計算機處理系統和 世界范圍內的信息共享和業務處理。

在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路 拓撲結構安全、網路系統安全、應用系統安全和 網路管理的安全等。

因此計算機安全問題，應該像每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

8. 主動防禦是什麼意思

主動防禦技術
主動防禦是基於程序行為自主分析判斷的實時防護技術，不以病毒的特徵碼作為判斷病毒的依據，而是從最原始的病毒定義出發，直接將程序的行為作為判斷病毒的依據。主動防禦是用軟體自動實現了反病毒工程師分析判斷病毒的過程，解決了傳統安全軟體無法防禦未知惡意軟體的弊端，從技術上實現了對木馬和病毒的主動防禦。