电力企业信息网络安全的研究

电力企业信息网络安全的研究

徐露锋　张小天　张　敏

3.江苏省海安县供电公司,江苏海安　226600)

Ξ1

23

(1.华北电力大学计算机科学与技术学院,河北保定　071003;2.海南省海口市供电公司地调所,海南海口　570102;

摘　要:随着电力企业计算机网络的飞速发展,网络安全问题日益突出。文中在明确电力企业网络的结构和发展状况的基础上,分析了网络安全面临的一系列问题,提出相应的安全策略,重点介绍了几种网络安全技术,并对几种新的网络安全技术的应用做了展望。

关键词:电力企业;网络安全;安全威胁;安全策略　　随着我国经济持续快速增长,电力需求日益旺盛,电力的供需矛盾日益凸现,因此,电力行业的服务质量问题倍受关注。电力作为基础性产业,直接服务于社会的各行各业,在供电需求日趋紧张的大环境下,让客户用上洁净、优质、价廉、可靠、安全的电力,让客户享受到“优质、方便、规范、快捷”的服务,是新形势下电力服务的新要求。

然而长期的政企不分、垄断经营使电力系统缺乏活力,电能质量、可靠性与客户的要求尚存在差距。电力企业很大程度上仍以行政以及计划的思维、工作方式和手段去组织管理电力销售工作,服务方式和服务项目明显不能适应客户的需求;营业流程缓慢,达不到便捷、高效的要求。本文从电力企业顾客满意度和应用归零化管理提高服务质量方面进行了分析。

1.电力企业信息网络发展现状

1999年3月,国家电力信息网正式投入实用化运行,分

为4级,已经有20多个区域、省公司和大部分的直属单位联入信息网。网络以2～4MDDN专线、VPN(IpsecVPN和MPLS

VPN)等多种方式互联。国家电力信息网的建成使用,为调度

自动化和管理信息系统的全国联网奠定了基础。

电力企业信息系统由国家电力信息网和运行在该网络上的各种应用组成,如图1所示。应用主要包括电网调度自动化系统(SCADAΠEMS)、电力系统计算机管理信息业务网

(MIS)、电力调度管理信息系统(DMIS)、企业ERP系统、用电

营销系统以及网络通信监控系统等,这些系统都和电力广域网相连,并最终与INTERNET相连。随着电力企业信息化的推进,尤其是电力企业网和INTERNET的互连,对网络安全提出了更高的要求。

图1　电力企业信息系统结构图

　　2.电力企业网络安全面临的威胁

信息安全管理体系的三要素是:制度、人和技术。其中技术是基础,制度和人才是关键。

(1)制度的因素

全运行的管理规范,以用于企业安全措施的部署。仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障信息系统的安全的。

(2)人的因素

从制度的角度看,由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机以及信息网络系统安

电力企业信息维护人员的安全意识比较薄弱,主要体现在:对反病毒软件和防火墙的过分信任,对来自内部的安全

Ξ作者简介:徐露锋(1978-),男,江苏海安人,华北电力大学计算机科学与技术学院计算机应用技术专业04级硕士研究生。

30

电力企业信息网络安全的研究

威胁准备不足,对物理隔离等技术的过分依赖以及对新出现的信息安全问题认识不足等。

(3)技术的因素

网络系统的安全威胁主要包括:系统自身的安全漏洞、来自外部Internet(包括Intranet)的病毒、“黑客”等恶意攻击等。

①系统安全漏洞。

网络入侵大多利用了安全漏洞,包括安全管理的漏洞、操作系统的漏洞、数据库系统的漏洞、应用系统的漏洞、网络管理的漏洞。操作系统和数据库系统漏洞多被外部黑客所利用,而来自内部的黑客则可能利用所有的漏洞。

②病毒

随着互联网的发展,计算机病毒的传播速度越来越快,影响范围越来越大,危害的对象不仅仅局限于个人计算机,还威胁到服务器和主干网络。据统计,目前电力企业网络安全受到最多的威胁来自计算机病毒。而有证据显示,国家电力信息网中已经发现网络病毒对邮件服务器的破坏,以及病毒引起的网速变慢,系统无法正常响应等情况。

③恶意攻击

不管电力企业内部组网如何,电力企业信息网络最终和

Internet相连,来自Internet的攻击是主要的。这些威胁包括:

网络报文嗅探、IP欺骗、数据包重发、拒绝服务(DoS)的攻击、远程暴力字典式破解、系统身份欺骗、通信窃听等。而互联网上有大量的“黑客”软件,不需要太高深的计算机知识就可以利用“黑客”软件进行攻击。

另外,来自电力企业内部的攻击也不可掉以轻心。国家电力信息网包括连接各省局的Intranet,连接本市相关单位的城域网,以及连接地级市和县级公司的计算机网络,网络规模非常大,网络上的用户较多,而各单位安全系统不一,有可能给内部用户的攻击提供了便利,最常见的是逻辑炸弹和木马等。

3.电力企业信息安全策略

信息安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、法规和措施的总和。它是对信息资源使用、管理规则的正确描述,是整个信息安全建设的基础和依据。安全策略是一个系统的、全局的问题,电力企业由于其结构庞大、部门关系复杂,造成了制定安全策略的有相当大的难度。本文试从下面几个方面进行探讨:

(1)加强制度建设

应面向行业制定网络信息安全的系列标准,以指导电力系统网络的建设、管理和应用。标准应对电力数据网络的应用类型分类,对不同的应用和系统分别定义其应达到的安全等级和应采取的安全策略和措施。

(2)加强人员培训

众所周知,再好的制度和再好的技术,最终都是由相应的人来执行的,人员的业务素质有的时候具有决定性的作用。应分别针对管理层、技术层和普通职工制定相应的安全

教育与培训计划,对使用计算机网络系统的各类人员实施考核上岗制度。

(3)加强技术应用

①病毒防护

对病毒防护更广泛的定义是防范恶意代码,包括木马、逻辑炸弹和其他未经授权的软件,保护的范围包括网关、服务器、工作站等。因此,有必要在信息网络所有可能的入侵通道上防范,采用多层架构的防毒机制。对防病毒产品的病毒库和杀毒引擎要及时更新,这样才能保证对新的病毒和一些未知病毒的查杀能力。另外,应用防病毒系统和防火墙的联动,这样一旦防病毒系统检测到病毒,它会自动通知防火墙做出相应策略的动态修改。

②防火墙

防火墙在不同网络或网络安全域之间构建了一道安全屏障,它可以有选择的拒绝非法端口,允许合法的TCPΠIP数据流通过,以保证内部网的数据和资源不会流向非法地点。通常使用包过滤、应用级网关、代理技术等安全控制手段实现其安全防护功能。在电力企业内部网中,有些安全级别较高的专业子网和企业网间须使用专用防火墙。

③数据加密

数据加密是指把人们可懂的数据或者消息(明文)变成不可懂的数据(密文)的过程。信息接受方通过解密函数、解密钥匙把密文还原成明文。常用的数据加密算法包括对称密码系统(如DES算法)和非对称密码系统(如RSA算法)。

电力企业计算机网络系统中,信息传输基本上都是明文方式,很容易被黑客截获。通过数据加密,可以有效的防止敏感信息的外泄。

④访问控制

访问控制是指对主体访问客体的权限或能力的限制,包括出入控制和存取控制。它是在身份识别的基础上,根据身份对提出的资源访问请求加以控制。访问控制的目的是保证网络资源受控、合法地使用。用户只能根据自己的权限大小来访问系统资源,不能越权访问。

⑤物理隔离

主要用于电力企业网络不同区之间的隔离,它是在物理线路上进行隔离,主要分为单机物理隔离、隔离集线器和网际物理隔离3类。

⑥VPN

虚拟专用网(VPN)提供了一种在公共网络上实现网络安全保密通信的方法,通过基于共享的IP网络,VPN为用户远程接入、外部网和内部联网提供了安全而稳定的通信隧道。

电力企业信息网中,VPN技术分为AccessVPN和Intranet

VPN两种模式。VPN主要为电力企业上下级网络之间和外

出人员访问企业网络,提供一条安全、廉价的互联方式。具体应用内容主要分为3种。

a.作为电力信息广域网主链路的补充;

b.作为电力信息广域网和电力系统数据主干网的备用

电力企业信息网络安全的研究

31

链路;

c.实现电力企业信息移动用户的接入。

⑦PKI

PKI是指公开密钥基础设施,它是利用公开密钥技术所

构建、解决网络安全问题的普遍适用的一种基础设施。它可以有效解决网络安全中的鉴别身份、数据完整性、数字保密性和支持不可否认性的难题。

电力系统数据传输对安全性和操作者的责任有严格的要求,如:要求数据的加密安全传输;通信双方之间建立安全通道;明确接收双方的权限和责任等。通过PKI技术构建完整的加密和签名体系,可以确保信息传输的安全性,同时确认网络活动各方的身份。

⑧入侵检测

入侵检测就是通过从网络或计算机系统中若干关键点

收集信息并进行分析,从中发现网络或系统中是否有违反安

全策略的行为和遭受攻击的迹象,同时做出反应。入侵检测是动态安全技术的核心技术之一,是对防火墙的合理补充。

入侵检测主要监控外部用户通过Internet出口对电力信息网的攻击,内部网的内部用户和外部用户对内部服务器群的攻击和误操作以及内部网络用户之间发起的攻击和误操作。通过入侵检测系统,可以避免来自外部网络的恶意攻击,也保证主机资源不受来自内部的威胁。

⑨几种新技术的应用展望

a.容侵技术

容侵,指当一个网络系统遭受入侵,而一般的安全技术都失效或者不能完全排除入侵所造成的影响时,容侵就可以作为系统的最后一道防线,即使系统的某些组件遭受破坏,但整个系统仍能提供全部或者降级服务。某些电力信息网络要求不间断的服务,容侵系统通过使用冗余和多样性的方法,既能处理已知攻击,又能解决未知攻击,使服务器即使在受攻击情况下也能不间断地提供服务。

b.蜜罐技术

蜜罐是故意让人容易攻击的目标,这些目标中充满了入侵者看来很有用的数据和信息,但实际上都是诱饵,目的是引诱黑客前来攻击。当有入侵时,所有的操作和行为都会被记录和监视,技术人员可以知道攻击者的攻击目标、手段,并随时了解对服务器发动的最新攻击和漏洞。此外,蜜罐也可以为追踪攻击者提供有用的线索,为起诉攻击者搜集有力的证据。

c.取证技术

取证技术也就是将计算机调查和分析技术应用于对潜在的、有法律效力的证据的确定和获取上。取证技术分为静态和动态取证技术。静态取证技术是在入侵发生后对数据进行确认、提取、分析,抽取出有效证据。动态取证技术是依靠入侵检测系统、蜜罐技术等的紧密结合,实时获取数据并进行分析,智能分析入侵者的企图,实施相应的动作,获取攻

击者的证据。

4.结束语

电力系统关系到国计民生,电力企业信息网络的安全问题已经影响到电力系统的安全、稳定、经济、优质运行,影响着数字电力系统”的实现进程,而国内对电力企业网络安全问题的研究刚起步不久。对此我们应当认识到,电力企业网络安全问题是一个非常复杂的动态的系统工程,应该在不断采用新的安全技术的基础上,加强相关人员的管理和规章制度的制定,从而建立起一套真正适合电力企业网络的安全体系。

参考文献:

[1]胡炎,董名垂,韩英铎.电力工业信息安全的思考.电力系统

自动化,2002,26(7).

[2]王保义,张少敏.电力企业信息网络系统的综合安全策略.华

北电力技术,2003,4.

[3]张千里,陈光英.网络安全新技术.北京:人民邮电出版社,2003.

[4]徐国爱.网络安全.北京:北京邮电大学出版社,2004.

“