電力企業局域網的信息安全(待續)

關良輝

（大唐華銀株洲第二發電廠，湖南 株洲 412005）

隨著信息化的日益深入，研究電力系統信息安全問題、開發相應的應用系統、制定電力系統信息遭受外部攻擊時的防范與系統恢復措施等信息安全戰略，使電力信息網絡系統不受黑客和病毒入侵，保障數據傳輸的安全性、可靠性，就成為當前信息化工作的重要內容。下面就電力企業局域網信息安全所涉及的問題做一分析。

1 網絡系統概況

電力企業局域網一般是一個信息點較為密集的千兆局域網絡系統。它所聯接的近千個信息點為整個企業各部門提供了一個快速、方便的信息交流平臺，通過千兆交換機在主干網絡上提供1 000 M的獨享帶寬，通過下級交換機與各部門的工作站和服務器連結，并為之提供100 M的獨享帶寬。其基本功能包括FTP，Telnet，Mail及WWW，News，BBS等客戶機/服務器方式的服務。網絡中包含有各種各樣的設備：服務器系統、路由器、交換機、工作站、終端等，并通過專線與Internet互聯網相聯。各地市電力公司/電廠的網絡基本采用TCP/IP以太網星型拓撲結構，而它們的外聯出口通常為上一級電力公司網絡。

電力企業局域網按發電廠各相關應用系統的重要程度和數據流程、目前狀況和安全要求，將局域網劃分為4個安全區：Ⅰ實時控制區、Ⅱ非控制生產區、Ⅲ生產管理區、Ⅳ管理信息區。不同的安全區確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。其中安全區Ⅰ的安全等級最高，依次遞減，安全區Ⅳ的安全等級最低。

安全區Ⅰ與安全區Ⅱ的業務系統都屬于電力生產系統，在線運行，數據交換較多，關系密切，可作為一個生產控制的邏輯大區。安全區Ⅲ與安全區Ⅳ的業務系統都屬于管理信息系統，數據交換較多，關系密切，可作為一個管理信息的邏輯大區。

生產控制的邏輯大區與管理信息的邏輯大區之間的安全強度達到相互物理隔離，即DCS、輔控、SIS等實時系統網絡與MIS，OA等生產辦公網絡采用專用物理隔離設備進行隔離。

安全區Ⅰ與安全區Ⅱ之間、安全區Ⅲ與安全區Ⅳ之間的安全強度達到相互邏輯隔離， DCS、脫硫DCS、輔控等實時控制網絡和SIS等實時監測網絡之間采用硬件防火墻等設備進行隔離，生產管理信息網絡和MIS，OA辦公網絡之間的邊界界定不明顯，可不做隔離要求。

安全區Ⅰ，Ⅱ在接入SPDnet時，配置縱向認證加密裝置，實現網絡層雙向認證、數據加密和控制訪問，也可以與業務系統的通信網關設備配合使用，實現傳輸層和應用層的安全功能。

2 安全風險分析

高速交換技術的采用、靈活的網絡互連設計在為電力企業提供快速、方便、靈活通信平臺的同時，也為網絡的安全帶來了更大的風險。因此，在電力企業局域網上實施一套完整、可操作的安全模型不僅是可行的，而且是必需的。下面從物理、系統、網絡、管理、應用5個層次，結合電力企業局域網應用系統的實際情況進行安全風險分析。

2.1 物理安全風險分析

網絡的物理安全是整個網絡系統安全的前提。網絡的物理安全主要指地震、水災、火災等環境事故及電源故障，人為操作失誤或錯誤，設備被盜被毀、電磁干擾、線路截獲等安全風險，通常以高可用性的硬件，雙機多冗余的設計，設置機房環境報警系統，提高人員安全意識等措施進行防范。

2.2 網絡層安全風險分析

2.2.1 網絡邊界風險分析

網絡的邊界是指2個不同安全級別的網絡的接入處，包括同Internet網的接入處，以及內部網不同安全級別的子網之間的連接處。對于電力企業局域網邊界主要存在于Internet接入等外部網絡的連接處，以及內部網絡中與上級單位及兄弟單位網絡之間不同安全級別子網的安全邊界。

電力企業局域網的管理人員有必要將公開服務器、內部網絡與外部網絡進行隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。

2.2.2 網絡入侵風險分析

局域網邊界處利用防火墻進行防護，可降低網絡安全風險。但僅僅使用防火墻，網絡安全還遠遠不夠。入侵檢測技術是當今一種非常重要的動態安全技術，它可以很好地彌補防火墻安全防護的不足。

2.3 系統層安全風險分析

2.3.1 主機系統風險

電力企業局域網的主機系統中存在大量不同操作系統，如Unix，Windows 2003 SERVER，Windows Vista，Windows XP等，這些操作系統自身也存在許多安全漏洞。

2.3.2 網絡攻擊風險

(1) 非授權訪問。沒有預先經過同意就使用網絡或計算機資源被看做非授權訪問，主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

(2) 信息泄漏或丟失。指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏；信息在存儲介質中丟失或泄漏；通過建立隱蔽隧道等竊取敏感信息等。

(3) 破壞數據完整性。以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數據，以干擾用戶的正常使用。

(4) 拒絕服務攻擊。它不斷對網絡服務系統進行干擾，改變其正常的作業流程，執行無關程序，使系統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

(5) 利用網絡傳播病毒。通過網絡傳播計算機病毒，破壞性大大高于單機系統，且用戶很難防范。

黑客攻擊、通用網關接口(CGI)漏洞、惡意代碼病毒的攻擊、不滿的內部員工等就是以上攻擊手段的具體表現。它們都具有非常強的破壞力和傳播能力，越是網絡應用水平高、共享資源訪問頻繁的環境中，這些破壞就越大。

2.4 應用層安全風險

應用層安全是指用戶在網絡上的應用系統的安全，包括WEB，FTP，郵件系統，DNS等網絡基本服務系統、業務系統等。各應用包括對外部和內部的信息共享以及各種跨局域網的應用方式，其安全需求是在信息共享的同時，保證信息資源的合法訪問及通信隱秘性。

應用的安全性涉及信息、數據的安全性，包括機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。由于企業局域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。有些特別重要的信息需要對內部保密的(比如領導子網、財務系統傳遞的重要信息)可以考慮在應用級進行加密。針對具體的應用直接在應用系統開發時進行加密。

2.5 管理層安全風險

管理是網絡安全中最重要的部分。在網絡安全中，安全策略和管理扮演著極其重要的角色，如果沒有有效的安全策略，沒有嚴格的安全管理制度來控制整個網絡的運行，那么這個網絡就很可能處在一種混亂的狀態。當網絡出現攻擊行為或網絡受到其它一些安全威脅時，無法進行實時檢測、監控、報告與預警。同時，事故發生后，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求對站點的訪問活動進行多層次記錄，以及時發現非法入侵行為。

建立全新網絡安全機制，必須深刻理解網絡并能提供直接的手段，因此，最可行的做法是管理制度和管理模式的結合。

3 安全需求分析與安全目標

3.1 安全需求分析

風險一旦發生將使系統造成很大的損失。為確保網絡安全，必須滿足以下安全需求。

(1) 需要將電力企業局域網劃分不同的安全域，各域之間部署防火墻實現相互隔離及訪問控制。

(2) 需要在局域網與省公司網的邊界處部署防火墻實現訪問控制。

(3) 需要在本地局域網與省公司網的邊界處部署入侵檢測探測器。

(4) 需要在網中部署全方位的網絡防病毒系統。

(5) 需要在網中部署漏洞掃描系統。

(6) 需要建立統一的安全管理中心。

(7) 需要制定局域網安全策略。

3.2 安全目標

(1) 建立一套完整可行的網絡安全與網絡管理策略。

(2) 將內部網絡、公開服務器網絡和外網進行有效隔離，避免與外部網絡的直接通信。

(3) 建立網站各主機和服務器的安全保護措施，保證系統安全。

(4) 對網上服務請求內容進行控制，使非法訪問在到達主機前被拒絕。

(5) 加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度。

(6) 全面監視對公開服務器的訪問，及時發現和拒絕不安全的操作和黑客攻擊行為。加強對各種訪問的審計工作，詳細記錄對網絡、公開服務器的訪問行為，形成完整的系統日志。

(7) 備份與災難恢復—強化系統備份，實現系統快速恢復。

(8) 加強網絡安全管理，提高系統全體人員的網絡安全意識和防范技術水平。

4 整體安全模型

4.1 安全模型設計原則

(1) 綜合性、整體性原則。應用系統工程的觀點、方法，分析網絡的安全及制度具體措施。安全措施主要包括行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全性產品等)。計算機網絡安全應遵循整體安全性原則，根據規定的安全策略制定合理的網絡安全體系結構。

(2) 需求、風險、代價平衡原則。對一個網絡進行實際額研究(包括任務、性能、結構、可靠性、可維護性等)，并對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然后制定規范和措施，確定本系統的安全策略。

(3) 一致性原則。指網絡安全問題應與整個網絡的工作周期(或生命周期)同時存在，制定的安全體系結構必須與網絡的安全需求相一致。

(4) 易操作性原則。安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。

(5) 分步實施原則。分步實施，既可滿足網絡系統及信息安全的基本需求，亦可節省費用開支。

(6) 多重保護原則。建立一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息安全。

(7) 可評價性原則。如何預先評價一個安全設計并驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。

4.2 安全服務、機制與技術

(1) 安全服務。包括控制服務、對象認證服務、可靠性服務等。

(2) 安全機制。包括訪問控制機制、認證機制等。

(3) 安全技術。包括防火墻技術、鑒別技術、審計監控技術、病毒防治技術等。（待續）