朱 政

（湖南省电力公司郴州北湖电业局，湖南 郴州423000）

0 引 言

电力能源是当今社会最重要的能源利用方式，从而电力部门成为直接影响到国民经济发展和社会安定的重要部门。电力企业作为电力能源的生产、管理单位，其安全性变得日益重要。随着计算机技术与网络技术的蓬勃发展和在电力企业的广泛应用，网络安全也成为了电力企业关心的重点之一［1－4］。当前网络安全已经逐渐从被动响应模式向主动防御模式转变［5，6］。思科的网络安全技术在政府多个重要部门取得了重要应用，在当前的电力企业中也有广泛应用［7，8］。本文从思科的网络安全技术出发，结合电力企业网络应用现状，探讨电力企业的网络安全解决方案。

1 电力企业网络安全

电力企业计算机系统由专用计算机、公共计算机等组成，操作系统涵盖 Windows、UNIX、Linux等多种系统，尤以Windows操作系统为主。网络方式以专用网络、分机连接主机的局域网、主机连接公共网的方式为主。当前网络安全以杀毒软件、个人版网络防火墙，配合主机的网络防火墙组成。网络安全方式以被动保护为主，安全性较差。网络安全管理以企业的网络管理部门负责，人员较少，维护量大，故难以做到整体防护。

随着电力企业对网络安全的重视程度提高，企业不断在已有网络上添加防火墙等网络安全设备和软件，其目的就是要加强内部网络的安全性，使网络、操作系统、主机应用系统等受到不同程度的保护。

电力企业网络信息安全的现状是，计算机病毒、蠕虫和木马程序造成的安全事件，约占整体安全事件的4／5，通过电子邮件等传递方式导致安全事故约占2／5。这些数据折射出了电力信息化发展过程中存在的一些主要问题，包括：人员的网络安全意识较差；技术防御水平较低；对网络安全，信息安全的保护无法做到整体防御；电力企业对信息的安全，网络安全的软硬件缺乏有效管理。这都反映了电力企业对于网络安全甚至网络的观念，仅以实用和使用为主，对于安全维护的长期投入意识不强，缺乏专业人员，虽然对一次性投入不敏感，但对长期投入和维护的敏感性极强。当前电力企业网络安全采取的主要措施有：

（1）防火墙

防火墙是网络安全的大门，其作用是鉴别数据包是否可以进出企业内部网络，还可以防止部分网络攻击，如阻止基于IP包头的网络攻击、阻止非信任地址的访问。防火墙的缺陷是无法阻止基于数据内容的黑客攻击和病毒入侵，无法控制网络内部之间的违规行为。

（2）加密

加密是指采用一定的算法对数据进行变换，将以明文显示的数据转为密文显示。常见的加密算法有对称加密、非对称加密、HASH散列算法等。

（3）访问控制

CTL可分为2类：即强制访问控制和自主访问控制。其中自主访问控制机制常被用于商业系统。

（4）认证

认证的种类主要有密码认证、智能卡、生物特征以及位置认证，如IP认证、反向DNS认证等。

（5）扫描

扫描器用来进行入侵检测，发现网络服务、网络设备和主机的漏洞，通过定期的检测与比较，发现入侵或违规行为留下的痕迹。扫描器无法发现正在进行的入侵行为．而且还可能成为攻击者的工具。

（6）杀毒软件

杀毒软件是应用最为广泛的安全工具，普遍应用于检测、清除PC上的各种病毒、木马等，其缺陷是只能对文件形式的病毒进行查杀，而无法应对基于网络的攻击行为。

2 思科安全网络解决方案

思科认为，当前网络只能被动防御的原因在于，网络安全防御仍然集中在主机、终端系统等网络节点上，而防御方式方面，也以计算机系统安装的网络安全软件为主，而网络自身则缺乏自我保护和自我防御以及自我愈合能力。这种安全方式，一旦受到各种病毒的侵扰，或者受到网络攻击，无法做到快速反应，往往表现为部分安全性能差的计算机转变为安全隐患，持续影响其他计算机的安全，甚至破坏全网络的安全。为此，思科建立了网络自防御系统，即“自防御网络”（Self－Defending Network，SDN），可以在保护网络应用的同时，保护网络自身的安全，将网络安全不再局限于节点，而是将安全扩展到整个网络。

思科SDN解决方案为用户提供了全方位的网络安全战略，通过全面集成的多种安全技术，构建起全面的网络安全防御体系。SDN解决方案的核心是主动式的安全系统，即能够主动的进行收集、检测、分析判断在网络中可能出现的安全问题，从而让网络自身具备对病毒、黑客、恶意入侵等的抵抗力。网络准入控制（NAC）是SDN解决方案的重要组成部分，其作用是可以实施访问权限控制，阻止不符合安全条件的设备进入网络，并将其置于设置的隔离区域之外，通过它获得对计算资源有限的访问权限。借助SDN解决方案的网络准入控制方案，在较高的安全模式下，可以做到只允许合法的设备（如PC、服务器等）接入网络，以保障网络的安全。

网络的整体安全，需要从操作系统、应用程序、防火墙、网络监控、安全扫描、通信加密、灾难恢复等多种安全组件共同组成。只有多个组件共同作业，才可以完成整体保护任务，而不能仅由单个的组件完成所有功能。

图1展示了思科“自防御网络”的结构，其核心为中心站（Central site），包含了SDN主动式安全系统，即图中NAC管理机（NAC Manager）和 NAC应用（NAC Appliance），其分支（Branch office）可能为有线本地连接或访客（Local NAC and Guest Access），分支办公室（Branch Office），当然也包含无线用户（Wireless Users）。由网络结构可见，思科自防御网络的优势，一方面考虑到了原有不同网络结构用户仍然可以采用原有方式接入，另一方面在于外部连接的关键部分采用了主动式的安全系统，将问题杜绝在入口处。在内部网络问题方面，不同网络之间的连接，需要通过中性站进行安全监测和过滤，从而避免了内部网络之间的安全问题。

图1 思科安全解决方案网络结构

3 解决方案在电力企业的应用

为了适应电力企业网络的特点，其网络安全的建设需要考虑安全层次、技术难度及经费支出等多种因素。因此，电力企业的网络安全需要充分考虑以下要求：尽量保持原有的网络拓扑结构，以便系统结构及功能的扩展；保持网络原有的性能特点，即对网络协议和传输具有很好的透明性；提高系统的安全性和可靠性的同时不应影响原有操作的便利性；较低的维护量和网络管理工作量，较少的人员长期工作量；一次性投资，可长期使用，长期的维护费用低。

思科根据电力企业的网络特点和电力信息化快速发展的特点，专门制定了电力SAFE网络安全解决方案。这一方案将网络安全性能，在电力网络的各个环节进行强化，为电力企业提供全面的网络保护。其特点是将安全产品、安全管理平台与电力企业已有的网络设备有机结合，在不破坏原有网络结构，原有网络沟通便利性和操作习惯的前提下，提高网络安全性能。电力SAFE网络解决方案的特点是网络安全集成化和模块化。这种模块化主要优势在两个方面，一方面，模块化结构允许各功能模块间保持相对独立的安全关系；另一方面，模块化可以使电力企业中有限的网络管理人员可以逐次逐个的评估和实施安全性管理，而非试图在一个阶段完成，从而有效地节约人力，提高效率。

以电力企业的互联网模块进行说明。互联网模块为企业内部用户提供与互联网的连接，以及互联网用户与公共服务器上连接，这些都是电力企业办公自动化、电力信息化和服务公开化的要求。防火墙为互联网公共服务以及内部用户双向提供保护。通过有效过滤，可以发现并解除本地网络、专用地址范围的源地址电子欺骗。在网络路由器的入口处，通过过滤和限制信息流，对大多数攻击提供了基本保护。此外，还在防火墙外侧采用了可监控网络，以检测一些无法预知但可能发生的网络安全隐患。防火墙为通过防火墙的会话提供了连接状态实施和具体过滤。将公共服务上的信息流限制到部分地址和端口，实现双向的过滤。

4 结束语

为了维护电力企业的信息安全，需要建设坚固的电力企业网络安全体系。当前电力企业的网络安全存在一定的问题，既要提高企业人员的网络安全意识，还要采用先进的网络安全措施。电力企业的特点对网络安全系统提出了较多的要求，针对这些要求，思科制定出了针对于电力企业模块化的网络安全方案。只有通过多种模块的结合，才能更好地保障电力企业网络的安全，进而确保电力企业的正常运行。

［1］ 李永红，刘臣亮，等．电力系统网络安全隔离的设计与实现［J］．水电厂自动化，2005，（4）：68－72，78．

［2］ 王益民．国家电力调度数据网的设计与实施［J］．电网技术，2005，29（22）：1－6．

［3］ 徐金友．使用网闸与防火墙构建电力系统网络安全构架［J］．水利水电工程造价，2004，（3）：59－60．

［4］ 欧阳兵．阿勒泰电力公司的网络安全［J］．新疆电力技术，2009，（2）：54－55．

［5］ 王勤全，朴在林，等．基于CP原则的地方电力网络安全防御方法研究［J］．沈阳农业大学学报，2009，40（3）：373－375．