電力系統(tǒng)網(wǎng)絡(luò)安全的研究

1、電力系統(tǒng)網(wǎng)絡(luò)安全的研究劉桂芹（滄縣供電公司，河北 滄州 061000）摘要: 隨著我國電力系統(tǒng)自動化、信息化程度的不斷提高，電力系統(tǒng)的信息網(wǎng)絡(luò)安全扮演著越重要角色。文章首先對國家電網(wǎng)網(wǎng)絡(luò)構(gòu)架進(jìn)行了分析，然后從電力系統(tǒng)信息網(wǎng)絡(luò)安全防御能力的現(xiàn)狀出發(fā)，分析了網(wǎng)絡(luò)安全層次結(jié)構(gòu)的總體設(shè)計(jì)、防火墻體系構(gòu)建、安全訪問控制的構(gòu)建、數(shù)據(jù)備份的實(shí)施及加強(qiáng)安全管理，從外部防御、用戶授權(quán)、信息加密、內(nèi)部審計(jì)等方面對電力系統(tǒng)信息網(wǎng)絡(luò)安全進(jìn)行了分析研究。關(guān)鍵字: 網(wǎng)絡(luò)安全、入侵檢測系統(tǒng)（IDS）、監(jiān)控信息系統(tǒng)（SIS）、管理信息系統(tǒng)（MIS）0.引言隨著我國Internet和電力信息化產(chǎn)業(yè)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在電力企

2、業(yè)的各個方面得到了廣泛的應(yīng)用，電力企業(yè)信息網(wǎng)絡(luò)已經(jīng)成為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，它的安全運(yùn)行與否關(guān)系到電力系統(tǒng)的安全、穩(wěn)定、有效運(yùn)行。網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，電力信息網(wǎng)絡(luò)的不斷延伸和擴(kuò)大，特別是電力企業(yè)網(wǎng)和Internet的互聯(lián)都對電力信息網(wǎng)絡(luò)的安全提出了更高的要求。因此，深入研究電力企業(yè)信息網(wǎng)絡(luò)安全的特點(diǎn)和存在的問題，對電力企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有一定的指導(dǎo)意義。1.國家電網(wǎng)網(wǎng)絡(luò)架構(gòu)分析目前，內(nèi)部網(wǎng)絡(luò)與Internet 網(wǎng)的連接方式大多采用星型的拓?fù)浣Y(jié)構(gòu)。最終用戶要和外界聯(lián)系通訊必須通過網(wǎng)絡(luò)服務(wù)器，這樣對于外界網(wǎng)絡(luò)安全全部都依賴于網(wǎng)絡(luò)服務(wù)器。因而，針對于網(wǎng)絡(luò)的安全必須以網(wǎng)絡(luò)服務(wù)器為主。電力企業(yè)信息

3、網(wǎng)拓?fù)浣Y(jié)構(gòu)邏輯上是星型樹狀結(jié)構(gòu)。它由主干網(wǎng)、區(qū)域網(wǎng)、省內(nèi)網(wǎng)、地區(qū)網(wǎng)4級組成，各級網(wǎng)絡(luò)設(shè)有分級網(wǎng)絡(luò)中心及主節(jié)點(diǎn)，同時(shí)又以上級網(wǎng)絡(luò)中心為中心節(jié)點(diǎn)。每一級網(wǎng)絡(luò)的網(wǎng)絡(luò)中心與該級網(wǎng)絡(luò)的主干節(jié)點(diǎn)呈星型連接，網(wǎng)絡(luò)內(nèi)節(jié)點(diǎn)間的信息交換原則上要通過其中心節(jié)點(diǎn)。下一級信息網(wǎng)是上一級信息網(wǎng)的接入網(wǎng)，因此區(qū)域網(wǎng)是第1級接入網(wǎng)，省內(nèi)網(wǎng)是第二級接入網(wǎng)， 地區(qū)網(wǎng)是第三級接入網(wǎng)，縣級網(wǎng)是第四級接入網(wǎng)。各級網(wǎng)絡(luò)的局域用戶按地理區(qū)域就近接入各級接入網(wǎng)絡(luò)，漫游用戶就近接入當(dāng)?shù)鼐W(wǎng)絡(luò)，經(jīng)所管轄的區(qū)域網(wǎng)主節(jié)點(diǎn)進(jìn)入主干網(wǎng)。各級網(wǎng)絡(luò)中心負(fù)責(zé)其相應(yīng)職能范圍的網(wǎng)絡(luò)管理和控制，并提供基本網(wǎng)絡(luò)功能和網(wǎng)絡(luò)增值服務(wù)。負(fù)責(zé)管理運(yùn)行主干網(wǎng)以及與國家和國際的聯(lián)

4、網(wǎng)，它是電力行業(yè)信息網(wǎng)的總的連接樞紐。各級信息中心為電力系統(tǒng)全行業(yè)提供信息服務(wù)。供電企業(yè)網(wǎng)絡(luò)一般屬于第三、四級接入網(wǎng)，即地區(qū)網(wǎng)和縣級網(wǎng)（本文主要討論縣級網(wǎng)）?？h級網(wǎng)與地區(qū)內(nèi)網(wǎng)絡(luò)通過光纖或者其他物理專線方式連接省內(nèi)網(wǎng)。地區(qū)網(wǎng)擁有所有縣級服務(wù)器和下屬單位的互聯(lián)網(wǎng)出口，因此能組建數(shù)據(jù)綜合骨干網(wǎng)?？h級通過專線訪問地區(qū)級的服務(wù)器，開展日常的業(yè)務(wù)工作。2.網(wǎng)絡(luò)安全所謂網(wǎng)絡(luò)安全是指在分布網(wǎng)絡(luò)環(huán)境中，對信息載體(處理載體、存儲載體、傳輸載體)和信息的處理、傳輸、存儲、訪問提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或非授權(quán)使用和篡改。網(wǎng)絡(luò)安全具有機(jī)密性、可用性和完整性這三個基本屬性。網(wǎng)絡(luò)安全涉及的內(nèi)容既有

5、技術(shù)方面的問題，也有管理方面的問題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。威脅網(wǎng)絡(luò)安全的因素主要有黑客入侵、信息泄漏、拒絕服務(wù)攻擊和病毒等幾類。2.1 黑客入侵由于網(wǎng)絡(luò)邊界上的系統(tǒng)安全漏洞或管理方面的缺陷(如弱口令)，容易導(dǎo)致黑客的成功入侵。黑客可以通過入侵計(jì)算機(jī)或網(wǎng)絡(luò),使用被入侵的計(jì)算機(jī)或網(wǎng)絡(luò)的信息資源，來竊取、破壞或修改數(shù)據(jù)，從而威脅電力企業(yè)信息網(wǎng)絡(luò)安全。2.2 信息泄漏相對于黑客入侵這種來自網(wǎng)絡(luò)外部的威脅而言，信息泄漏的主要原因則在于企業(yè)內(nèi)部管理不善，如信息分級不合理、信息審查不嚴(yán)和不當(dāng)授權(quán)等，都容易導(dǎo)致信息外泄。2.3

6、拒絕服務(wù)攻擊信息網(wǎng)絡(luò)上提供的FTP、WEB和DNS等服務(wù)都有可能遭受拒絕服務(wù)攻擊。拒絕服務(wù)的主要攻擊方法是通過消耗用戶的資源,來增加CPU的負(fù)荷，當(dāng)系統(tǒng)資源消耗超出CPU的負(fù)荷能力時(shí)，此時(shí)網(wǎng)絡(luò)的正常服務(wù)失效。2.4 病毒通過計(jì)算機(jī)網(wǎng)絡(luò)，病毒的傳播速度和傳播范圍程度驚人，它可以在數(shù)小時(shí)之間使得全球成千上萬的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)癱瘓，嚴(yán)重威脅網(wǎng)絡(luò)安全。病毒的危害性涉及面廣，它不僅可以修改刪除文件，還可以竊取企業(yè)內(nèi)部文件和泄露用戶個人隱私信息等。3.網(wǎng)絡(luò)設(shè)計(jì)3.1 網(wǎng)絡(luò)系統(tǒng)的總體設(shè)計(jì)綜合考慮辦公人員的實(shí)際需求，按照電力企業(yè)網(wǎng)絡(luò)的實(shí)際要求，實(shí)現(xiàn)Internet 連接、網(wǎng)絡(luò)資源共享、內(nèi)部辦公自動化。根據(jù)以上分

7、析，網(wǎng)路中心設(shè)在辦公樓的頂層，對內(nèi)部網(wǎng)絡(luò)采用分布式層級結(jié)構(gòu)，這樣對網(wǎng)絡(luò)的可擴(kuò)展性和性能有很大的好處。企業(yè)內(nèi)部網(wǎng)絡(luò)包括縱向三層結(jié)構(gòu):核心層、匯聚層和接入層。網(wǎng)絡(luò)主干部分稱為核心層，核心層的主要目的在于通過高速轉(zhuǎn)發(fā)通信，可靠的骨干傳輸結(jié)構(gòu)，因此核心層應(yīng)該由高性能的交換機(jī)組成。核心層交換機(jī)擁有更高的可靠性，并且能夠處理網(wǎng)絡(luò)中大量的數(shù)據(jù)流量，具備很強(qiáng)的擴(kuò)展能力。核心層交換機(jī)為網(wǎng)絡(luò)提供高速的主干鏈路及中心設(shè)備，是溝通服務(wù)器和訪問層設(shè)備的橋梁，更要能實(shí)時(shí)的高品質(zhì)的網(wǎng)絡(luò)服務(wù)。匯聚層的交換機(jī)主要是用來分發(fā)網(wǎng)絡(luò)資源到接入層的用戶，并將網(wǎng)絡(luò)中非中心數(shù)據(jù)的流量減少到最低。匯聚層交換機(jī)主要是將數(shù)據(jù)轉(zhuǎn)發(fā)至接入層的交換設(shè)

8、備上。接入層目的是允許終端用戶連接到網(wǎng)絡(luò)，一般接入層的交換機(jī)處于網(wǎng)絡(luò)體系結(jié)構(gòu)的最下層，提供基于端口的數(shù)據(jù)交換以及對VLAN 的支持。接入層交換機(jī)具有低成本和高端口密度特性。為了提供無縫的網(wǎng)絡(luò)交換，匯聚層和接入層的交換機(jī)應(yīng)與核心層的交換機(jī)之間存在良好的兼容性。3.2 VLAN的劃分VLAN分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。它可以將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽。在集中式網(wǎng)絡(luò)環(huán)境下，通常將敏感部門的所有主機(jī)系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有其它任何用戶節(jié)點(diǎn)，從而較好地保護(hù)這些主機(jī)中的資源；在分布式網(wǎng)絡(luò)環(huán)境下

9、，則可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN，各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_，從而有效地控制廣播、防止黑客。經(jīng)過分析，我們將企業(yè)局域網(wǎng)按應(yīng)用類型分為對應(yīng)的四個子網(wǎng):生產(chǎn)子網(wǎng)(LAN1)、管理子網(wǎng)(LAN2)、勞資子網(wǎng)(LAN3)和財(cái)務(wù)子網(wǎng)(LAN4)。各網(wǎng)絡(luò)系統(tǒng)的運(yùn)行采用的是以交換技術(shù)為主的方式。三網(wǎng)主干均應(yīng)采用的是千兆以太網(wǎng)技術(shù)，起點(diǎn)的高定位為企業(yè)的信息應(yīng)用帶來了高速、穩(wěn)定、符合國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)平臺。4.防火墻體系構(gòu)建4.1 防火墻工作原理防火墻實(shí)際上是由應(yīng)用層網(wǎng)關(guān)、包過濾路由器和電路層網(wǎng)關(guān)等組成的一套系統(tǒng)，它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間，可以提供網(wǎng)絡(luò)通信，從而保證

10、內(nèi)部網(wǎng)的正常安全運(yùn)行。防火墻是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的，防火墻的基本結(jié)構(gòu)如圖1所示。工作原理：當(dāng)防火墻被安置完成以后，所有內(nèi)部通向外部和外部通向內(nèi)部的數(shù)據(jù)流都要通過防火墻。它通過包過濾技術(shù)，利用應(yīng)用層代理或應(yīng)用層數(shù)據(jù)共享的方式來實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的通信，通過堡壘主機(jī)（屏蔽主機(jī)防火墻）連接系統(tǒng)外部與內(nèi)部。此外，它還利用基于支持網(wǎng)絡(luò)層和應(yīng)用層安全功能等技術(shù)來有效的隔離了內(nèi)部和外部的網(wǎng)絡(luò)，從而建筑起了一道屏障來抵御非法的侵入，更好的保護(hù)了電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。交換機(jī)防火墻防火墻交換機(jī)DVZ圖1 防火墻基本結(jié)構(gòu)4.2 訪問控制列表構(gòu)建防火墻體系結(jié)構(gòu)訪問控制列表是應(yīng)用在路由器接口的指令列表，這

11、些指令列表用來告訴路由器哪些數(shù)據(jù)包可以接收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是被拒絕，可以由類似于源地址、目的地址、端口號、協(xié)議等特定指示條件來決定。通過靈活地增加訪問控制列表，ACL可以當(dāng)作一種網(wǎng)絡(luò)控制的有力工具，用來過濾流入和流出路由器接口的數(shù)據(jù)包。從而達(dá)到網(wǎng)絡(luò)防火墻的作用。4.3 硬件防火墻的應(yīng)用在企業(yè)應(yīng)用中，比較常見的是硬件防火墻，我以“WatchGuard”這款防火墻在電力企業(yè)中網(wǎng)絡(luò)組建做個詳細(xì)的介紹。當(dāng)然，在使用防火墻之前首先得安裝它，或者說是將防火墻與整個網(wǎng)絡(luò)配置好。第一步，必須選定防火墻的工作模式，一般為兩個選項(xiàng)，一個為Drop-In Mode，另一個為Routed M

12、ode。前者主要用于不帶“非軍事區(qū)”或者無內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)境，在這里我們選擇“Routed Mode”模式。然后我們把外接網(wǎng)口，內(nèi)部接口、“非軍事區(qū)”的選項(xiàng)添好，進(jìn)行完網(wǎng)絡(luò)設(shè)置后，我們即可通過GUI 程序與硬件防火墻直接連接，并對防火墻進(jìn)行配置。局域網(wǎng)與防火墻之間的配置。一個企業(yè)往往會分很多部門，例如,生產(chǎn)部、研發(fā)部、財(cái)務(wù)部等，而根據(jù)不同部門對網(wǎng)絡(luò)及網(wǎng)絡(luò)安全的需求往往是不一樣的。4.4 入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS）是一種主動防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，由于它在功能上彌補(bǔ)了防火墻的缺陷，完善了整個安全防御體系，因此在電力企業(yè)的網(wǎng)絡(luò)安全中有著重要的作用。入侵檢測系統(tǒng)是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端

13、的，其分布式布置3所示。由圖可知，我們在進(jìn)行安裝入侵檢測系統(tǒng)（IDS）的關(guān)鍵步驟是部署監(jiān)測器與控制臺。具體安裝如下：首先，可以在外部路由器 與外部網(wǎng)絡(luò)的連接處部署監(jiān)測器，以監(jiān)測異常的入侵企圖,在防火墻與MIS之間部署監(jiān)測器，以監(jiān)視和分析管理信息系統(tǒng)與外部網(wǎng)絡(luò)的通信流。然后，分別在監(jiān)控信息系統(tǒng)（SIS）和管理信息系統(tǒng)（MIS）中部署一臺監(jiān)測器，監(jiān)視各子網(wǎng)的內(nèi)部情況，其中控制臺設(shè)置在管理信息系統(tǒng)中。最后，根據(jù)實(shí)際情況為個別需重點(diǎn)保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測軟件，保護(hù)重要設(shè)備。圖2 入侵檢測系統(tǒng)分布式布置4.5 組策略網(wǎng)絡(luò)安全設(shè)置方案組策略是Windows 的一個強(qiáng)大的管理工具，它不但

14、可以對工作站進(jìn)行配置，其強(qiáng)大的功能還可以應(yīng)用到整個網(wǎng)絡(luò)中。在企業(yè)中是最常用的網(wǎng)絡(luò)安全管理“法寶”之一，即可讓機(jī)器變得更安全，又可以使得用戶在操作時(shí)更直觀、方便。為了方便管理員對企業(yè)內(nèi)部使用應(yīng)用程序的安裝和維護(hù)，組策略為管理員提供一個叫“軟件安裝”的管理單元，是系統(tǒng)管理員在企業(yè)中的整個生命周期中管理軟件的主要工具。在使用“軟件安裝”之前，需要為安裝的程序準(zhǔn)備一個Windows 安裝程序包。這個程序包通常由軟件提供，如果沒有Windows 安裝包，則需要管理員制作一個。使用第三方的程序?qū)σ惭b的程序打包。然后使用轉(zhuǎn)換進(jìn)一步自定義程序包。下一步創(chuàng)建網(wǎng)絡(luò)共享，也叫做軟件分發(fā)電，包括程序包、轉(zhuǎn)換及程序文

15、件和組件。雖然程序包和程序文件不一定放在一起，但如果他們在一起，則管理上會比較簡單。使用分布文件系統(tǒng)以幫助管理這些軟件分發(fā)點(diǎn)，對管理員而言是百利無一害的。最后，管理員需要確認(rèn)用戶能夠從軟件分發(fā)點(diǎn)中讀取，并寫到安裝目錄中，尤其是要把程序?qū)懙骄W(wǎng)絡(luò)服務(wù)器。5.安全訪問控制的構(gòu)建訪問控制的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問。訪問控制構(gòu)建有以下幾個方面：1）安全級別。在中心機(jī)房的總服務(wù)端，我們要對服務(wù)器系統(tǒng)設(shè)定管理員的安全級別，并按照級別給予不同的用戶名和密碼。安全級別將影響系統(tǒng)訪問的權(quán)限，安全級別低的管理員可設(shè)置成只對服務(wù)器日常維護(hù)的權(quán)限，這樣能有效的達(dá)到安全訪問控制的基本目的。2）權(quán)限設(shè)置。對

16、于訪問的用戶設(shè)置權(quán)限，根據(jù)實(shí)際情況，可以設(shè)為系統(tǒng)管理員權(quán)限、創(chuàng)建權(quán)限、文件查找權(quán)限、讀權(quán)限、寫權(quán)限、刪除權(quán)限、修改權(quán)限。通過權(quán)限的設(shè)置，可以有效的防止用戶對服務(wù)器及其他設(shè)備的破壞，方便于管理，也使網(wǎng)絡(luò)及服務(wù)器的安全性更加堅(jiān)固。3）網(wǎng)絡(luò)監(jiān)測。網(wǎng)絡(luò)管理員在網(wǎng)絡(luò)中心服務(wù)器上，存儲網(wǎng)絡(luò)用戶網(wǎng)絡(luò)使用的數(shù)據(jù)流信息，當(dāng)網(wǎng)絡(luò)中出現(xiàn)非法訪問時(shí)，服務(wù)器會出現(xiàn)報(bào)警，及時(shí)提醒網(wǎng)絡(luò)管理員。網(wǎng)絡(luò)服務(wù)器能夠記錄網(wǎng)絡(luò)上非法嘗試連接的用戶，如果超出非法連接次數(shù)，立即對這用戶名進(jìn)行鎖定。4）屬性安全控制。網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)服務(wù)器中目錄、文件、網(wǎng)絡(luò)設(shè)備等指定訪問屬性，屬性就會控制用戶正當(dāng)使用的目錄或文件，并限制用戶使用讀、寫、刪等功

17、能。當(dāng)網(wǎng)絡(luò)管理員把目錄設(shè)置屬性時(shí)，目錄下的字目錄及文件都有效。網(wǎng)絡(luò)的屬性可以保護(hù)服務(wù)器中重要的文件及信息，阻止非法用戶對系統(tǒng)進(jìn)行破壞。 5）局域網(wǎng)客戶機(jī)應(yīng)設(shè)立自己的使用賬號及密碼，刪除系統(tǒng)中可訪問的User類用戶，如需要共享或傳送文件等，則建議建立一個限定權(quán)限用戶。6.數(shù)據(jù)備份的實(shí)施及加強(qiáng)安全管理數(shù)據(jù)的備份我們采用NAS（Network Attached Storage，網(wǎng)絡(luò)附屬存儲），它所連接的網(wǎng)絡(luò)是局域網(wǎng)（LAN）而非存儲網(wǎng)絡(luò)。NAS是一種專用的文件服務(wù)器設(shè)備，可以為工作組或公司中的每個用戶提供共享磁盤空間，用戶權(quán)限設(shè)置思路很類似于普通Windows系統(tǒng)，操作很簡單。與通用服務(wù)器相比，NA

18、S較便宜，且安全，日常管理更方便。NAS基于IP網(wǎng)絡(luò)，在數(shù)據(jù)傳輸時(shí)對帶寬資源有較大的占用，但隨著千兆以太網(wǎng)技術(shù)和一些新技術(shù)的發(fā)展，NAS在網(wǎng)絡(luò)傳輸速度方面的不足有較大的改觀，而且NAS 設(shè)備一般采用標(biāo)準(zhǔn)的硬盤（SATA，IDE），配合廠商的專利技術(shù)，存儲系統(tǒng)擴(kuò)容比較容易，零配件的更換成本很低。只需一個IP 地址即可訪問NAS，避免了客戶端大量的設(shè)置工作，為將來更大的數(shù)據(jù)存儲提供了一個簡易的增容方案。適合于數(shù)據(jù)量每年都有增長的大中型企業(yè)使用，企業(yè)不必一次性購買大容量的存儲系統(tǒng)，而是可以根據(jù)自己的需求逐步擴(kuò)充存儲系統(tǒng)。NAS存儲系統(tǒng)內(nèi)置了服務(wù)器功能，它能夠兼容不同的計(jì)算機(jī)操作系統(tǒng)，同時(shí)基于IP的特性使得NAS系統(tǒng)可以無縫地融合到現(xiàn)有網(wǎng)絡(luò)中，