电力企业局域网的信息安全(待续)

2010-04-05关良辉

电力安全技术 2010年5期

关良辉

（大唐华银株洲第二发电厂，湖南株洲 412005）

随着信息化的日益深入，研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略，使电力信息网络系统不受黑客和病毒入侵，保障数据传输的安全性、可靠性，就成为当前信息化工作的重要内容。下面就电力企业局域网信息安全所涉及的问题做一分析。

1 网络系统概况

电力企业局域网一般是一个信息点较为密集的千兆局域网络系统。它所联接的近千个信息点为整个企业各部门提供了一个快速、方便的信息交流平台，通过千兆交换机在主干网络上提供1 000 M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之提供100 M的独享带宽。其基本功能包括FTP，Telnet，Mail及WWW，News，BBS等客户机/服务器方式的服务。网络中包含有各种各样的设备：服务器系统、路由器、交换机、工作站、终端等，并通过专线与Internet互联网相联。各地市电力公司/电厂的网络基本采用TCP/IP以太网星型拓扑结构，而它们的外联出口通常为上一级电力公司网络。

电力企业局域网按发电厂各相关应用系统的重要程度和数据流程、目前状况和安全要求，将局域网划分为4个安全区：Ⅰ实时控制区、Ⅱ非控制生产区、Ⅲ生产管理区、Ⅳ管理信息区。不同的安全区确定了不同的安全防护要求，从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高，依次递减，安全区Ⅳ的安全等级最低。

安全区Ⅰ与安全区Ⅱ的业务系统都属于电力生产系统，在线运行，数据交换较多，关系密切，可作为一个生产控制的逻辑大区。安全区Ⅲ与安全区Ⅳ的业务系统都属于管理信息系统，数据交换较多，关系密切，可作为一个管理信息的逻辑大区。

生产控制的逻辑大区与管理信息的逻辑大区之间的安全强度达到相互物理隔离，即DCS、辅控、SIS等实时系统网络与MIS，OA等生产办公网络采用专用物理隔离设备进行隔离。

安全区Ⅰ与安全区Ⅱ之间、安全区Ⅲ与安全区Ⅳ之间的安全强度达到相互逻辑隔离， DCS、脱硫DCS、辅控等实时控制网络和SIS等实时监测网络之间采用硬件防火墙等设备进行隔离，生产管理信息网络和MIS，OA办公网络之间的边界界定不明显，可不做隔离要求。

安全区Ⅰ，Ⅱ在接入SPDnet时，配置纵向认证加密装置，实现网络层双向认证、数据加密和控制访问，也可以与业务系统的通信网关设备配合使用，实现传输层和应用层的安全功能。

2 安全风险分析

高速交换技术的采用、灵活的网络互连设计在为电力企业提供快速、方便、灵活通信平台的同时，也为网络的安全带来了更大的风险。因此，在电力企业局域网上实施一套完整、可操作的安全模型不仅是可行的，而且是必需的。下面从物理、系统、网络、管理、应用5个层次，结合电力企业局域网应用系统的实际情况进行安全风险分析。

2.1 物理安全风险分析

网络的物理安全是整个网络系统安全的前提。网络的物理安全主要指地震、水灾、火灾等环境事故及电源故障，人为操作失误或错误，设备被盗被毁、电磁干扰、线路截获等安全风险，通常以高可用性的硬件，双机多冗余的设计，设置机房环境报警系统，提高人员安全意识等措施进行防范。

2.2 网络层安全风险分析

2.2.1 网络边界风险分析

网络的边界是指2个不同安全级别的网络的接入处，包括同Internet网的接入处，以及内部网不同安全级别的子网之间的连接处。对于电力企业局域网边界主要存在于Internet接入等外部网络的连接处，以及内部网络中与上级单位及兄弟单位网络之间不同安全级别子网的安全边界。

电力企业局域网的管理人员有必要将公开服务器、内部网络与外部网络进行隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其他的请求服务在到达主机之前就应该遭到拒绝。

2.2.2 网络入侵风险分析

局域网边界处利用防火墙进行防护，可降低网络安全风险。但仅仅使用防火墙，网络安全还远远不够。入侵检测技术是当今一种非常重要的动态安全技术，它可以很好地弥补防火墙安全防护的不足。

2.3 系统层安全风险分析

2.3.1 主机系统风险

电力企业局域网的主机系统中存在大量不同操作系统，如Unix，Windows 2003 SERVER，Windows Vista，Windows XP等，这些操作系统自身也存在许多安全漏洞。

2.3.2 网络攻击风险

(1) 非授权访问。没有预先经过同意就使用网络或计算机资源被看做非授权访问，主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

(2) 信息泄漏或丢失。指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏；信息在存储介质中丢失或泄漏；通过建立隐蔽隧道等窃取敏感信息等。

(3) 破坏数据完整性。以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加、修改数据，以干扰用户的正常使用。

(4) 拒绝服务攻击。它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序，使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

(5) 利用网络传播病毒。通过网络传播计算机病毒，破坏性大大高于单机系统，且用户很难防范。

黑客攻击、通用网关接口(CGI)漏洞、恶意代码病毒的攻击、不满的内部员工等就是以上攻击手段的具体表现。它们都具有非常强的破坏力和传播能力，越是网络应用水平高、共享资源访问频繁的环境中，这些破坏就越大。

2.4 应用层安全风险

应用层安全是指用户在网络上的应用系统的安全，包括WEB，FTP，邮件系统，DNS等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享的同时，保证信息资源的合法访问及通信隐秘性。

应用的安全性涉及信息、数据的安全性，包括机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。有些特别重要的信息需要对内部保密的(比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密。针对具体的应用直接在应用系统开发时进行加密。

2.5 管理层安全风险

管理是网络安全中最重要的部分。在网络安全中，安全策略和管理扮演着极其重要的角色，如果没有有效的安全策略，没有严格的安全管理制度来控制整个网络的运行，那么这个网络就很可能处在一种混乱的状态。当网络出现攻击行为或网络受到其它一些安全威胁时，无法进行实时检测、监控、报告与预警。同时，事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求对站点的访问活动进行多层次记录，以及时发现非法入侵行为。

建立全新网络安全机制，必须深刻理解网络并能提供直接的手段，因此，最可行的做法是管理制度和管理模式的结合。

3 安全需求分析与安全目标

3.1 安全需求分析

风险一旦发生将使系统造成很大的损失。为确保网络安全，必须满足以下安全需求。

(1) 需要将电力企业局域网划分不同的安全域，各域之间部署防火墙实现相互隔离及访问控制。

(2) 需要在局域网与省公司网的边界处部署防火墙实现访问控制。

(3) 需要在本地局域网与省公司网的边界处部署入侵检测探测器。

(4) 需要在网中部署全方位的网络防病毒系统。

(5) 需要在网中部署漏洞扫描系统。

(6) 需要建立统一的安全管理中心。

(7) 需要制定局域网安全策略。

3.2 安全目标

(1) 建立一套完整可行的网络安全与网络管理策略。

(2) 将内部网络、公开服务器网络和外网进行有效隔离，避免与外部网络的直接通信。

(3) 建立网站各主机和服务器的安全保护措施，保证系统安全。

(4) 对网上服务请求内容进行控制，使非法访问在到达主机前被拒绝。

(5) 加强合法用户的访问认证，同时将用户的访问权限控制在最低限度。

(6) 全面监视对公开服务器的访问，及时发现和拒绝不安全的操作和黑客攻击行为。加强对各种访问的审计工作，详细记录对网络、公开服务器的访问行为，形成完整的系统日志。

(7) 备份与灾难恢复—强化系统备份，实现系统快速恢复。

(8) 加强网络安全管理，提高系统全体人员的网络安全意识和防范技术水平。

4 整体安全模型

4.1 安全模型设计原则

(1) 综合性、整体性原则。应用系统工程的观点、方法，分析网络的安全及制度具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全性产品等)。计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定合理的网络安全体系结构。

(2) 需求、风险、代价平衡原则。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。

(3) 一致性原则。指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。

(4) 易操作性原则。安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。

(5) 分步实施原则。分步实施，既可满足网络系统及信息安全的基本需求，亦可节省费用开支。

(6) 多重保护原则。建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息安全。

(7) 可评价性原则。如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。