浅析电力行业网络安全的现状与改进方法

2016-02-06◆王宁杨莹

网络安全技术与应用 2016年9期

关键词：网络流量电力行业防火墙

◆王宁杨莹

（国网河南省电力公司信息通信公司河南 450000）

浅析电力行业网络安全的现状与改进方法

◆王宁杨莹

（国网河南省电力公司信息通信公司河南 450000）

电力企业是我国能源行业的重要组成部分，国家电网公司又是国有特级骨干企业，在电力企业中占有重要地位，而电力企业网络和信息系统目前正高速普及应用，逐渐成为电力企业信息化的发展核心。与此同时，电力企业核心业务对网络和信息系统的依赖程度越来越大，电力企业网络和信息系统安全问题越多越严重。如何有效保障电力企业网络和信息系统安全已经成为一项非常紧迫的任务，对网络和信息系统安全存在的风险进行有效的管理显得日益重要。

电力行业；网络安全；现状；改进

1 电力行业网络安全现状

我国当前电力行业网络和信息系统构建于互联网、企业内网及应用专网之上，其安全管理问题和其它电力企业的计算机网络和信息系统面临同样多的风险因素，如：管理制度的不健全、采取的安全防护手段不彻底，等等。比较突出的问题有：

1.1 物理安全风险

当前电力行业的计算机网络和信息系统中现有物理设备主要有路由器、交换机、服务器和工作站等硬件设备和物理线缆。由于设计之初资金和技术等条件的制约，没有充分考虑安全防护因素，只是以保证基本运行为原则进行部署，这就为整个网络和信息系统埋下了物理安全层面的风险因素。（1）重要机房等环境中未进行针对火灾、水灾等自然灾害进行的专业规划部署；（2）机房和线缆通道墙壁等物理建筑物内未进行针对周围环境的电（3）服务器及重要网络设备未进行针对双UPS电源、人为破坏等设计缺陷进行预防措施；（4）重要数据未进行针对设备损坏、缺陷进行的容灾备份架构实施。

1.2 网络安全风险

电力行业计算机网络和信息系统地域覆盖整个企业的行政区，而不同站点之间的网络连接方式又分为光纤连接、租用第三方的专线连接及VPN连接等连接方式，不同业务需求的网络拓扑结构又分为不同的物理或逻辑专网，这就又为我局的网络和信息系统增添了复杂性及多样性。现实情况是，网络和信息系统在不断的建设和扩充过程中，没有统一的安全规划和科学配置，同子网间存在不经安全设施的交叉连接，关键网络设备网络上的安全风险因素存在。逻辑网络的子网划分不合理，不同子网间存在不经安全设施的交叉连接，关键网络设备、通信线路没有冗余建设等等。

1.3 系统安全风险

电力行业网络和信息系统中的系统安全风险问题比较突出，各种主机操作系统、硬件设备固件存在不同程度的安全漏洞、配置不正确情况，没有健全的补丁管理及配置管理的措施和制度，这就在系统层面上人为地造成了网络和信息系统的脆弱环节，给攻击者留下了非常容易利用的机会。诸如交换机、路由器、防火墙等网络硬件设备的固件版本更新、修补程序不及时；各种网络设备尤其是防火墙和路由器没有正确配置；再如各种服务器及工作站的操作系统由于种类不同（我局服务器操作系统大部分为Windows Serve：操作系统，存在少量Linux操作系统）及技术水平等原因大多数没有被正确的配置，补丁管理不到位，只是提供特定逻辑网络内终端中的操作系统补丁升级管理措施，网络内的大部分服务器与终端的操作系统根本没有采取补丁升级管理措施。

1.4 计算机病毒侵害风险

同其它机构、组织、企业面临的环境局面相同，电力行业计算机网络和信息系统也存在受计算机病毒侵害的风险。其传播途径和互联网计算机病毒传播途径大致相同，通过诸如网络浏览、邮件携带、文档携带、存储设备携带、网络自主传播等等途径进行传播。尤其是我局微机的使用者数量多、素质参差不齐、管理断面不清等原因，我局计算机网络和信息系统的计算机病毒来源以网络浏览和移动存储设备携带为主。其破坏效果以蠕虫类病毒造成相关主机性能下降居多，偶尔有文件型病毒出现破坏相关文档导致其损坏，但一般工作站上杀毒软件会迅速更新病毒库遏制其传播。

2 电力行业网络安全改进措施

对于电力行业，结合它的实际工作环境，相应的网络安全改进措施如下：

2.1 文档安全的网络保护措施

在电力行业当中，人事调动、人员流动等都容易引起资料的泄密，比如：员工通过单位的网络，单位的e-mail发走单位的重要文档，U盘软盘拷贝走单位的重要资料，用单位的打印机打印敏感的文件，这会给单位造成很大的损失。针对文档的保护，具体的保护措施如下：

（1）图档加密

文档保护系统图档加密管理能够帮助电力单位有效防范和应对各种网络安全问题。从源头杜绝文件泄密，解决了外贼好治，家贼难防的管理局面。软件具有健全的管理体系，能实现高效、高性能的全方位监测，加强平台建设，具备了应急处理能力，对于突发事件能够做到判断准确、响应迅速、应对有效，能最大限度避免网络安全事故对企业发展的影响。

（2）图档管控

文档保护系统图档管控功能，主要针对大型用户文件库服务器设计，部署简单，更加易于控制管理。这是一套成熟完善的图档集中管理和冗余抗灾方案，库内的文档进行分级管理和分权管理。

2.2 Web应用防护措施

随着网络发展，Web应用程序越来越多，这些应用面临着来自网络的恶意攻击威肋、，Web主页被篡改，用户信息被窃取等，时有发生。据不完全统计，网络攻击目前超过75%是针对Web应用服务的。这是基于应用层的攻击，通过一些社交工具和P2P协议进入电力企业网络。这种进入方式不像是攻击行为，就像是正常的数据访问，防火墙策略对其毫无办法。等它在本地网络上肆意破坏后，用户才会发现。

传统的防火墙是无法进行Web应用防护。防火墙工作在网络层，通过地址转换、访问控制及状态检测等功能，对单位网络进行保护。为了便于外部访问Web应用，防火墙是完全开放8080端口的，这就意味着防火墙对Web应用几乎没有防护措施。防火墙无法防止上述应用层的攻击，所以，这里我们选择了针对Web应用服务的防攻击设备。

3 电力行业网络安全内网构建措施

电力行业内网安全态势评估指标体系的建立以及态势评估过程均需要考虑多层面的因素，简单的线性结构不能清晰地刻画各种影响网络安全要素之间的联系。网络系统中的一个或者多个漏洞或弱点的存在就给网络攻击留有空隙，进而导致网络安全事件的发生。因此，在电力行业内网控制过程当中，其资产、威胁性和脆弱性均应该作为关键要素应用于内网安全态势评估过程中。

所以内网安全控制技术分为三个方面：（1）数据采集措施，例如，内网中的主机操作系统、防火墙以及Web站点存在的安全漏洞和错误配置，这为内网的安全态势评估提供了准确、客观的评估数据，使得态势评估的结果尽可能地可靠和客观。（2）数据挖掘技术，所谓数据挖掘技术是指从海量的数据当中发现其隐含的、未被人们所理解的潜在规律，并将其提取出来帮助决策者快速发现数据间的潜在关系，并用于实际生活当中的过程。（3）数据融合技术，对具有相似或者不同特征的多源信息利用计算机技术加以分析和综合处理，从而完成评估或决策的信息处理技术。

4 网络流量监控和管理子系统设置

网络流量监控和管理子系统通过桥接在防火墙和核心交换之间，对网络配置毫无影响，直接控制内部人员的网络访问行为，保证访问信息的安全，确保数据流量的有效使用率。

通过对比黑名单，有效阻拦不良网页的访问，保障了单位网络安全。并对上网人员进行记录，审查其占用带宽资源和访问历史。网络流量监控和管理子系统对工作人员上网行为的管控和对一些高风险网站的封堵可以大大减少来自病毒、间谍软件和黑客的侵扰与攻击，异常告警功能更能为单位的局域网稳定保驾护航。

网络流量监控和管理子系统作为上网行为管理设备部署在核心网络，以透明网桥连接的方式串接在核心网络连接Internet的出口处，进行网络行为管理、安全审计、信息过滤和带宽管理。具体连接方式是：将网络流量监控和管理子系统二个网口配置成网桥模式，网络流量监控和管理子系统和核心交换机的连线断开，网络流量监控和管理子系统直接连外网口，核心交换机直接连内网口。