电力系统信息网络安全分析和研究
2023-05-30
来源:哗拓教育
2012年第29期 SCIENCE&TECHNOLOGY INFORMATION O IT论坛0 科技信息 电力系统信息网络安全分析和研究 秦艳凯 刘翠娟2 (1.河北省电力公司职业技术培训中心河北石家庄050030; 2.石家庄经济学院信息工程学院河北石家庄050031) 【摘要】随着电力信息网络系统接入Internet,网络信息安全问题日趋严重,既要防止内部的攻击,也要防止病毒、黑客和非法访问等各种 互联网上的攻击.信息网络的安全已成为影响电力系统安全运行的关键 必须针对各自特点采取相应的安全技术,通过综合设计解决其网络信 息安全问题。本文从物理层、网络层、系统层、应用层、安全管理层五个层次详细分析了电力网络信息系统的特点和安全策略 【关键词】电力系统;网络安全;安全策略 。 The Analysis and Research of Network and InformatiOn Security of Electric Power System 0 Yan—kai LIU Cui-juan (1.Vocational and Technical Traiinng Center of Hebei Electric Power Corporation,Sh ̄iazhuang Hebei,o50o3O,China; 2.Information Engineering College of Shijiazhuang University of Economics,Shijiazhuang Hebei,050031,China) 【AbstractlAlong with the dectric power information network system connecting into the Interuet,the network and information securities are gradually serious.The electirc power information network system not only prevents various attacks from the inner network,but alSO prevents various attacks from the Interact,such as virus,hacke ̄and illegal access;the securities of the electric power information network system have become the key to affect the electirc power system run safely.So we must adopt and integrate the corresponding security techniques to solve its network and information securities according to its characteristics.This paper analyzes the characteristics of the electirc power information network system from the physical level,the network level,the system level,the application level and the management level,and proposes the detailed security strategy. 【Key words]Electirc power system;Network security;Security strategy 0引言 ‘防火墙或代理服务器等)连接 物理隔离可以有效的确保外部网不能 由于网络技术的普及和市场化的需要,开放、互连、标准化已成为 通过网络连接而侵入内部网.同时防止内部网信息通过网络连接泄露 电力工业中业务系统发展的必然趋势Ⅲ。计算机技术、通信技术为代表 到外部网。 的信息技术推动电力系统进入了数字电力时代.数字电力时代电力系 协议隔离技术是在内部网与外部网的连接端点处.配置协议隔离 统的调度运行、生产经营、日常管理和办公越来越依赖于各种计算机 器来隔离内外网 协议隔离器使用了两台不同设备上的通用网络接口 网络信息系统 电力网络信息系统是构建在一个典型的具有Internet、 分别连接内部与外部网.而设备之间通过使用专用密码通信协议的专 Intranet和Extranet应用环境的复杂系统 而[nternet所具有的开放 用接口卡进行互连。通常情况下,内外网是断开的.只有当有信息交换 性、国际性和自由性在增加应用自由度的同时.对安全提出了更高的 时.内外网才会通过协议隔离器连通 要求 既要防止内部的攻击.也要防止互联网上各种攻击.随着电力市 防火墙是设置在被保护网络和外部网络之间的一道屏障.以防止 场的实施.电力系统网络安全的问题更加突出.已成为影响电力系统 发生不可预测的潜在的破坏性侵入。它可以通过检测、限制或更改跨 生产和经营正常运行的重大问题 越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运 电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优 行状况,以此来实现网络的安全保护.起到逻辑隔离的作用。 质运行.影响着“数字电力系统”的实现进程目。研究电力系统信息安全 如图1所示的一种安全隔离装置的示意图 问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防 隔离设备. 范与系统恢复措施等信息安全战略是当前信息化工作的重要内容。由 于电力系统是国民经济的基础设施.这就决定了其网络信息安全既具 有一般计算机网络信息安全的特征.更要考虑其实时运行控制系统安 全的特征。 如何使电力信息网络不受黑客和病毒的人侵.如何保障数据传输 的安全性、可靠性.也是建设“数字电力系统”过程中所必须考虑的重 图1 安全隔离装置及网络连接 要事情之一 为此必须针对各自特点采取相应的安全技术.通过综合 Fig 1 Security insulation device and network connection 设计解决其网络信息安全。 根据网络信息系统结构.信息系统的安全因素可以划分到五个安 该隔离设备有两个接口计算机组成。采用安全加固的操作系统. 全层中.即物理层、网络层、系统层、应用层、安全管理层。以下是根据 剔除了所有的常规的网络功能。接口机A、B分别负责与实时系统和 这五个层次和电力网络信息系统的特点进行的分析 非实时系统连接.其中.接口机A是实时网络中的一个节点,接口机B 是非实时网络中的一个节点.接口机A和B之间不采用标准网络物 1 物理层安全分析与对策 理连接,而采用高速数据总线连接,如并行口、USB口、SCSI口或双端 由于信息系统中大量地使用了网络设备如交换机、路由器等.服 口RAM等.从而保证了物理层网络安全 务器如Pc服务器、小型机,移动设备,使得这些设备的自身安全性也 2网络层安全分析与对策 会直接关系信息系统和各种网络应用的正常运转。例如,路由设备存 在路由信息泄漏,交换机和路由器设备配置风险等。可以采用加固,关 电力的网络平台是一切应用系统建设的基础平台.网络体系结构 闭不用的端口和服务等措施来加强物理层的安全性。 是否按照安全体系结构和安全机制进行设计.直接关系到网络平台的 电力系统的信息网络相对Interuet来说是一个内部网络,从主动 安全保障能力。电力的网络是由多个局域网和广域网组成,同时包含 防护的角度来看,内部网络的主要采用安全隔离技术等。安全隔离技 Interuet的Intranet和Extranet部分.网络体系结构比较复杂 内部行 术主要包括物理、协议隔离技术及防火墙技术 政办公网、业务网、Interuet网之间是否进行隔离及如何进行隔离,网 物理隔离技术是指在物理上将内部网与外部网分离.阻断内部网 段划分是否合理,路由是否正确,都与系统的安全密切相关。 与外部网的连接.内部网与外部网无法通过直接或间接的方式(包括 为了满足不同应用系统之间信息的隔离.在电力网络信息安全的 体系结构中采用了VPN技术.也可以采用VLAN技术 128 科技信息 0 IT论坛0 SCIENCE&TECHNOLOGY INFORMATION 2012年第29期 在网络安全中安全策略和管理扮演着极其重要的角色.如果没有 制定非常有效的安全策略.没有进行严格的安全管理制度.来控制整 个网络的运行.那么这个网络就很可能处在一种混乱的状态.尤其是 对于一个比较庞大和复杂的网络 责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等都 可能引起管理安全的风险 责权不明.管理混乱.使得一些员工或管理 员随便让一些非本地员工甚至外来人员进人机房重地.或者员工有意 3系统层安全分析与对策 无意泄漏他们所知道的一些重要信息.而管理上却没有相应制度来约 3.1操作系统安全 束。这就要求人们必须对站点的访问活动进行多层次的记录.及时发 操作系统的安全性是系统安全管理的基础.其自身的安全性是整 现非法入侵行为 建立全新网络安全机制.必须深刻理解网络并能提 个系统安全的保障。WEB服务器、数据仓库服务器、外部数据交换服 供直接的解决方案.因此.最可行的做法是管理制度和管理解决方案 务器、门户服务器、以及各类业务和办公客户机等设备所使用的操作 的结合 系统.不论是NT、Win95/98/2000.还是Un 都存在信息安全漏洞,由 6结束语 操作系统信息安全漏洞带来的安全风险是最普遍的安全风险 因此要 采用安全加固的操作系统.并设置操作系统的安全机制.如在Un 平 电力作为国家的支柱产业.在国民经济中占有极其重要的地位. 台上完善和优化用户管理.windows平台上启用用户权限和用户策略 其网络安全问题更是重中之重。再者.电力系统由于业务发展的需要. 机制限制用户访问等 要求与外部网络连接,而目前,病毒、黑客和非法访问等各种不安全因 3.2数据库系统的安全 素越来越多.信息网络的安全已成为影响电力系统安全运行的关键 所有的业务应用、决策支持、行政办公和外部信息系统的信息管 本文在分析了电力信息网络系统安全的特点后.从物理层、网络层、系 理核心都是数据库.因此数据库系统的安全至关重要 通常对数据库 统层、应用层、安全管理层五个层次详细分析了电力网络信息系统的 的安全管理.包括访问控制.敏感数据的安全标签.El志审计等多方面 安全策略。 提升安全管理级别.规避风险 具体设计时,首先要选择适用要求安全等级的DBMS,如oracle、 【参考文献】 notes数据库系统就有很好的安全性措施:然后应用这些数据库的安 [1]胡炎,董名垂,韩英铎.电力T业信息安全的思考啪.电力系统自动化,2002,26 全策略设置相应的数据库的安全性。比如.利用DBMS提供的机制,以 仃、:1-4 入侵检测系统:在电力信息网中的管理与应用_J1l电力信息化,2002,12: “组”、“角色”等多种渠道划分用户权限,对表、文档、视图、数据库进行 [2]胡博.39—41. 详细的读写权限划分.防止用户访问自己权限以外的信息。 吴彤.变电站的计算机网络安全分析lJ].电力系统自动 在系统平台一级.一般都提供了数据加密的功能来保证系统的安 [3]高卓,罗毅,涂光瑜,化,2002,1:53—57 全 可根据具体的安全要求,在数据库、视图、表单、文档甚至域进行数 [4]王先培,熊平.防火墙和入侵检测系统在电力企业信息网络中的运用l JI_电力 据加密 对大量的数据采用速度快的对称密钥算法.对少量的签名数 系统自动化.2002.26(5):60—63. 据采用公开密钥算法进行加密 【References] 3_3桌面应用系统的安全 [1]Hu Yah,Dong Mingchui,Han Yingduo.CONSIDERATION OF INFROMATION 为优化整个应用系统的性能.无论是采用C/S应用模式或是B/S SECURITY FOR ELECTRIC POWER INDUSTRY[J].Automation of Electric Power 应用模式.桌面应用系统都是其系统的重要组成部分 它不仅是用户 Systems,2002,26(7):1-4. 访问系统资源的入口.也是系统管理员和系统安全管理员管理系统资 [2]Hu Bo.Application of Intusiron Detection System in Electric Power Network[J]. Electric Power Information Technology,2002,12:39—41. 源的入口,桌面应用系统的管理和使用不当.会带来严重的安全风险。 ,TU Guang-yu,WU Tong.Analysis of Computer Network 例如通过邮件传播病毒:当口令或通信密码丢失、泄漏,系统管理权限 [3]GAO Zhuo,LUO YiSecurity in Substation『J].Automation of Electric Power Systems,2002,1:53-57. 丢失、泄漏时,轻者假冒合法身份用户进行非法操作。 Wang Xianpei,Xiong Ping.APPLICATION OF ̄REWALL AND IDS IN THE 系统可以在重要信息和邮件中使用数字签名.为用户提供一种确 [4]INFORMATION NETWORK FOR POWER ENTERPRISES_JJ.Automation of 认机制 即用户通过数字签名.可对重要信息和邮件的可信度和撰写 Electric Power Systems,2002,26(5):60—63. 人员的身份进行确认.使发送者对数据的发送不可抵赖:可以验证数 据或签名本身在存储和数据传输中未被修改.来完善系统的安全 作者简介:秦艳凯(1979一),男,河北保定人,中级工程师,主要从事网络与 刘翠娟(198【卜_),女,河北宁晋人,讲师,主要从事信息安全、数据挖掘_T- VPN的核心是采用隧道技术、信息加密技术、用户认证技术和访 问控制技术等.通过L2TP、IPSec等协议及密码技术的处理,将各子网 的数据加密封装后.透过虚拟的网络隧道进行传输.从而防止敏感数 据的被窃[31.也可以在同一设备上用多个虚拟路由器vR来实现VPN。 VLAN就是将网络用户按性质和需要而不是按其所在的物理位 置划分成若干个“逻辑工作组”.每个“逻辑工作组”称为一个VLAN。 同一个VLAN中的用户都共享广播.不同VLAN之间广播信息相互隔 离 不同VLAN之间交换信息需要通过路由器来完成 由于各个VLAN之间不能直接通信,而必须通过路由器转发。如 果VLAN之间没有路由器.那么VLAN就是与外界隔离的,相当于一 个独立的局域网.可防止以网络监听为手段的入侵 当使用路由器转 发时.可以在路由器上进行相应的设置,实现网络的安全访问控制。另 外.在每个交换机端口只有一个T作站的结构中.可以形成特别有效 的限制非授权访问的屏障 局域网边界处中利用防火墙系统进行防护.降低了网络安全风 险 但是防火墙是属于传统的静态安全防护技术,它在功能和作用范 围方面存在不足,例如.内部用户攻击。而入侵检测技术是当今一种非 常重要的动态安全技术.有效地补充了防火墙的某些性能上的缺陷, 两者从不同的角度以不同的方式确保网络系统的安全 是在信息共享的同时.保证信息资源的合法访问及通信隐秘性 在应用系统编程过程中.进行第三方的加密与数字签名对敏感数 据进行先期的加密和数字签名.使这些敏感数据即使对系统平台也是 不可见的.可进~步提高安全性. .仅依靠用户ID和口令的认证很不安全.容易被猜测或盗取.会带 来很大的安全风险 为此.动态口令认证、CA第三方认证等被认为是 先进的认证方式 但是.如果使用和管理不当.同样会带来安全风险 结合应用业务流程.动态设置不同信息的不同权限 如在OA系统中 可以指定文档、合同等中的某部分什么人可读、什么人可写,可从本质 上解决流程变动的问题.并对不同公文文档划分具体安全级别.从而 实现动态权限机制 5管理层安全分析与对策 4应用层安全分析与对策 信息安全工作 应用层安全是指用户在网络上的应用系统的安全.包括WEB、 作。 FTP、邮件系统、DNS等网络基本服务系统、业务系统等。各应用包括 对外部和内部的信息共享以及各种跨局域网的应用方式.其安全需求 [责任编辑:王迎迎】 129