电力行业网络安全技术探讨

电电力行力行业业网网络络安全技安全技术术探探讨讨 摘要 摘要 随着 Internet 的迅速发展 信息安全问题面临新的挑战 电力系统信息安全 问题已威胁到电力系统的安全 稳定 经济 优质运行 影响着 数字电力系统 的 实现进程 研究电力系统信息安全问题 开发相应的应用系统 制定电力系统信 息遭受外部攻击时的防范与系统恢复措施等信息安全战略是当前信息化工作的 重要内容 电力系统信息安全已经成为电力企业生产 经营和管理的重要组成部 分 关关键键字 字 电力系统 网络安全 电力网络 Abstract Along with Internet rapid development information security questionfaced with new challenge The electrical power system informationsecurity question has threatened the electrical power system thesecurity stably is economical the high quality movement isaffecting the numeral electrical power system realizationadvancement The research electrical power system information securityquestion the development corresponding application system theformulation electrical power system information suffers when exteriorattack the guard and the system restore information security strategyand so on the measure is the current information work importantcontent The electrical power system information security alreadybecame the electric power enterprise to produce the management andthe management important constituent Keywords Electrical power system network security electric power network 1 前言前言 近年来 随着我国电力系统走向市场步伐的加快 国家电力工业体制开始向 市场转变 各级供电企业纷纷建立信息系统和基于 Internet 的管理应用 以提高 劳动生产率 提高管理水平 加强信息反馈 提高决策的科学性和准确性 提高 企业的综合竞争力 但是 电力企业网络的发展 也面临日益突出的信息系统安 全问题 在电力企业的综合信息管理系统中 必须从网络 操作系统 应用程序 和业务需求等各方面来保证系统的安全 2 网网络络安全的威安全的威胁胁 2 1 病毒病毒传传播播 通过光盘 磁盘等存储介质传播到某一台电脑 通过局域网共享进入其他电 脑 还可以通过网络下载 浏览以及即时通讯工具进行传播和破坏 2 2 密密码码攻攻击击 通过黑客程序或网络窃听等方式获取对方机器上的密码文件 修改关键网 络文件和服务帐户的访问权 2 3 网网络络窃听窃听 直接或间接截获网络上的特定数据包并进行分析来获取所需信息 2 4 数据数据篡篡改改 截获并修改网络上特定的数据包来破坏目标数据的完整性 2 5IP 欺欺骗骗 网络外部的攻击者假冒受信主机 要么是通过使用你网络 IP 地址范围内的 IP 要么是通过使用你信任并可提供特殊资源位置访问的外部 IP 地址 2 6 垃圾垃圾邮邮件件 黑客利用自己在网络上所控制的计算机向企业的邮件服务器发送大量的垃 圾邮件 或者利用企业的邮件服务器把垃圾邮件发送到网络上其他的服务器上 2 7 非法入侵非法入侵 黑客利用企业网络的安全漏洞 不经允许非法访问企业内部网络或数据资 源 从事删除 复制甚至毁坏数据的活动 3 电电力行力行业对业对网网络络安全的安全的时时代要求代要求 目前 我国的电力行业正在加快市场化改革的步伐 进行 厂网分离 竞价上网 的电力改革 并在包括东北三省 上海 浙江 山东进行了电力 市场试点 以打破电力行业的封闭性与独家垄断模式 促进良性竞争环境 的产生 中国电力行业正在走入一个崭新的发展阶段 一个以电力市场为 核心 以电力生产调度为基础的高效率的电力行业供应链正在形成 因此 新兴的 IT 技术如 CRM ERP SCM E Marketplace 在电力行业中得到了 越来越广泛的应用 对电力网络安全技术的研究也提出了越来越高的要求 3 1 制定安全策略制定安全策略 掌握保障安全性所需的基础技术 并规划好发生特定安全事物时企业应该 采取的解决方案 一般来说 安全策略包括一个总体的安全策略和具体的规则 总体安全策略制定一个组织机构的战略性安全指导方针 并为实现这个方针分 配必要的人力物力 3 2 物理隔离物理隔离 即在网络建设的时候单独建立两套相互独立的网络 一套用于部门内部办 公自动化 另一套用于连接到 Internet 3 3 安装防火安装防火墙墙 连接到 Internet 的每一个人都需要在其网络入口处采取一定的措施 以阻止 恶意的网络通信 目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网 关 它将网关隐藏在公共系统之后使其免遭直接攻击 隐蔽智能网关提供了对互 联网服务进行几乎透明的访问 同时阻止了外部未授权访问对专用网络的非法 访问 一般来说 这种防火墙的安全性能很高 不容易被破坏和入侵 3 4 随随时时更新桌面防毒系更新桌面防毒系统统 由于病毒不断以新的形式 种类出现 所以要即时升级防毒系统软件以便查 杀新生病毒 3 5 强强化服化服务务器器 强化 涉及两个简单的实践法则 购买商业软件时 删除您不需要的所有东 西 如果不能删除就把它禁用 可以通过强化来删除的典型对象包括 示例文件 使用向导演示 先用后付费的捆绑软件以及在可以预见的将来不准备使用的高 级特性 安装越复杂 越有可能留下安全隐患 所以 将安装精简到不能再精简的 程度 3 6 补补丁策略丁策略 2001 年 当 红色代码 CodeRed 浮现的时候 它攻击的一个漏洞 是微软 在 9 月前就提供的免费补丁 但是 这个蠕虫仍然快速和大面积的蔓延 原因是 管理员没有下载和安装这个补丁 今天 从一个新的漏洞被发现开始 到新的大 规模攻击工具问世 两者间隔的时间已经缩短了许多 厂商发布安全补丁后 IT 管理员需要做出快速响应 4 电电力行力行业业网网络络安全方案研究安全方案研究 4 1 总总体体方方案案 在硬件层 电力行业应该考虑采用较为深入的基础建设的方案 图 1 企业信息门户 资料来源 AMT 目前 在电力行业 全球有 65 以上的信息支持系统和解决方案都是 基于 Alpha 平台 贵州省电力有限公司将整个电力市场运行管理系统建设 成为配置合理 功能齐全 扩展性强并集 EMS TMR SPDnet 电力市场运 行管理及省网调度专用 MIS DMIS 一体化的集散式系统 电力市场运行 管理系统的配置平台主要包括电力市场数据库主服务器 采用两台康柏 GS60E 高端企业级 UNIX 服务器 RA8000 磁盘陈列作为双机集群 采用 Tru64 Unix 操作系统 ORACLE 8 0i 数据库管理系统 并用 TruCluster 5 0 集群软件 实现了双机均衡负载 双机互相热备用 实时调度应用子服务器 信息发布 Web 应用子服务器 各采用两台康柏 ML570 高档微机服务器 以互为备用方式作为应用服务功能 计划管理应用子服务器 考核结算应 用子服务器 合同管理应用子服务器 市场运营管理应用子服务器 各采 用一台康柏 ML530 中档微机服务器完成应用功能 另外 针对电力行业 的海量存储与容灾备份需求 康柏也曾推广了成功的应用 如香港中华电 力 浙江电力 甘肃电力等 服务于用电营销 ISO 电力交易市场 客户关 系管理与呼叫中心的建设运营等业务 该段资料来源康柏 4 2 网网络络层层安安全全方方案案 应用信息系统在网络层采用了防火墙技术 由于电力企业对于数据的 实时性要求较高 数据的传输量也较大 因此对于电力网络的性能有很高 的要求 另外 电力企业涉及到电网供电 其安全性也必须得到切实保证 目前大多数的电力企业均已不同程度地使用了网络安全技术和产品来进 行保护 清华同方应用信息系统本部为电力系统提供的网络安全层解决方 案具备易用性和易管理性和良好的扩展性等特点 不但适应网络层安全技 术未来发展的需求 而且还能保证电力企业现有的投资不被浪费 图 2 电力行业一体化建设 4 3 应应用用层层安安全全方方案案 在网络的应用层上 应用信息系统对电力行业系统安全解决方案采用 了严格的身份认证 不同粒度的访问控制 数据完整性 保密性和非否认 性检测以及安全审计记录等技术 其中身份认证可以支持基于对称密钥的 Kerberos 和基于公钥的 X 509 证书等在内的各种身份认证技术 而不同粒 度的访问控制则可以根据不同网络应用提供文件 页面或端口级的访问控 制 而在数据完整性 保密性和非否认性检测中 采用了高强度加密算法 数字签名 时间戳和会话密钥等技术 该网络安全解决方案的另一个突出 优点是除了能进行入侵检测和漏洞扫描外 还能无缝地集成到第三方应用 系统的安全机制中 做到统一管理 4 4 数数据据备备份份及及容容错错方方案案 对于企业来说 最珍贵的不是计算机 硬盘 CPU 和显示器等硬件设 备 而是存储在存储介质中的数据信息 因此对于一个信息管理系统来说 数据备份和容错方案是必不可少的 应用信息系统对电力行业系统安全解 决方案的数据备份采用软 硬结合的全面解决方案 包括磁带机 备份管 理软件和存储区域网络在内的各种技术 具有可靠性高 速度快 性能价 格比高等特点 先进的系统体系结构 使其可以支持包括 SAN 在内的各种 网络备份技术 支持各种主流计算机操作系统 各种操作系统文件 各种主 流数据库系统 支持非结构化数据 如 Lotus Notes 的数据备份 系统在线 数据备份和完全 增量和差分等各种备份策略 备份过程中 支持各种数 据校验技术 另外 清华同方应用信息系统本部的电力行业系统安全解决 方案的数据备份还提供了先进的备份管理功能 实现备份 恢复智能化和 操作故障的自动提示 其具有的可扩展性 可根据电力企业业务的扩大 平滑扩展 保护已有投资 关于容错 该解决方案中的容错方案可实行实 时监控 能自动后援切换 支持双机热备份和双机互备援等各种规划方式 具有伸缩能力强 对现有系统影响小 管理简单方便等特点 图 3 SAN 系统架构图 4 5 病病毒毒防防范范方方案案 针对在 Internet 上 病毒肆虐 企业信息系统每天都有面临预测的可能 应用信息系统对电力行业系统安全解决方案提供了病毒防范方案 其技术 特点是 企业级网络防毒 病毒库网络自动更新 管理简单有效 图 4 Anti Virus 方案架构图 5 结结束束语语 网络安全是一个系统的 全局的管理问题 网络上的任何一个漏洞 都会导 致全网的安全问题 我们应该用系统工程的观点 方法 分析网络的安全及具体 措施 安全措施主要包括 行政法律手段 各种管理制度 人员审查 工作流程 维 护保障制度等 以及专业措施 识别技术 存取控制 密码 低辐射 容错 防病毒 采用高安全产品等 一个较好的安全措施往往是多种方法适当综合的应用结果 一个计算机网络 包括个人 设备 软件 数据等 这些环节在网络中的地位和影 响作用 也只有从系统综合整体的角度去看待 分析 才能取得有效 可行的措 施 即计算机网络安全应遵循整体安全性原则 根据规定的安全策略制定出合理 的网络安全体系结构 这样才能真正做到整个系统的安全 参考参考资资料料 1 任红卫 邓飞其 计算机网络交全主要问题与对策 J 网络安全技术与应