電力網絡安全提升策略與實現

摘要：隨著計算機網絡技術的發展，人們已經越來越認識到網絡對于人類生產生活的重要意義，網絡安全問題也得到人們的普遍重視，電力系統的網絡安全關系到整個供電體系能否穩定安全運行，保證網絡安全體系的科學有效，對于外來人員進行監控防護，構建一個快速準確的網絡安全防御系統，才能保證網絡的安全平穩運行，進而保證企業的正常運轉。

關鍵詞：電力網絡；安全性能；網絡系統；防御手段

中圖分類號：TM769 文獻標識碼：A 文章編號：1674-7712 (2012) 16-0033-02

隨著計算機技術的快速發展，網絡已經逐漸走進了千家萬戶。對于企業來說更是如此，計算機網絡技術給企業的運營帶來了巨大便利。然而網絡的快速發展也帶來了一些安全問題，一些不法黑客常常會利用一些系統漏洞進入企業單位，有的甚至肆意攻擊企業網絡，給企業帶來了巨大損失，對于電力系統更是如此，一旦電力網絡被攻擊，將危機整個電網的持續穩定運行，對城市的正常運轉帶來不可估量的災害。

一、電力網絡安全策略

隨著國內專家對于電力網絡安全的深入研究，目前已經取得了一些進展。在網絡安全研究工作研究方面。武漢大學李俊娥等人提出電力數據網絡的整體安全策略以及電力企業絡建設與管理的分級多層次和動態的安全策略，向繼東等人提出分層實現電力系統的安全策略來實現系統多層次安全保障，王先培等提出將防火墻和人侵檢測系統綜合運用到電力信息網絡的具體方案，尚金成等人提出將電力市場技術支持系統與EMS、電量計量(TMR)系統、調度MSI等系統安全互聯。通過這些系統的協調有序運行從多個角度對網路安全進行保障。

總的來說，目前我國的電力網絡安全保證主要是依賴防火墻對于入侵的檢測和漏洞的掃描方面。防火墻經過多年的發展已經成為很成熟的技術，但仍然存在很多問題，比如它只能通過率粗粒度進行攻擊，相對來說不夠敏捷迅速，不能在第一時間對入侵者進行攻擊。而且最重要的是它無法防止網絡內部的攻擊，這也給網絡安全帶來了一定的隱患。IDS雖然能檢測到攻擊威脅，但它的反應速度不夠，不能及時的對敵方做出回應，而且自身的保護能力仍然有待加強。網絡安全的提升仍然任重道遠。只有充分了解敵人的攻擊方式，并針對其攻擊特點進行有力的還擊，做到知己知彼才能保證網絡的安全可靠。

二、電力系統安全防御體系

本文通過對主動誘騙系統理論的深人研究在參考已有主動防御系統原型的基礎上，結合實際需求，初步實現了一個基于主動誘騙策略的電力網絡安全防御體系(簡稱主動誘騙電力網絡安全防御體系)，并完成相應的系統和功能設計。

防御體系功能。這一防御體系主要以保障電力系統網絡安全為目的，通過結合現有的網絡安全手段和工具，以IDS作為網絡防御中心的體系性結構。它的控制中心是IDS防入侵系統，IDS通過統籌安排其他系統的協調合作實現網絡安全的最大化。首先，當網絡中出現異常現象時，系統會將可以身份進行追蹤，并將這一行為通知子系統，子系統可以定向對可疑人士進行追蹤控制，并將其瀏覽痕跡進行記錄復制，以便于以后的查證。復制的數據會由總系統控制被誘騙子系統接收，子系統再通過之前的判斷對可以人員的網絡使用進行控制，必要時甚至可以對可疑人士的網絡使用進行全面監控，并針對攻擊者的情況給以有力還擊。整個系統通過合理有序運行，及時發現并將情況分別傳遞給不同子系統，使得整體系統的安全性更強，對于電力系統的網絡保護能力更強。

三、主動誘騙電力網絡安全防御體系關鍵技術

在主動誘騙電力網絡安全防御體系設計中，主要研究的是如何提高主動誘騙系統對電力網絡中各種攻擊的誘騙能力，以及如何提高主動誘騙系統自身安全的保護能力。下面介紹關鍵技術的實現。

四、主動誘騙策略及誘騙系統

誘騙系統主要包括誘騙環境、系統隔離層和主機操作系統，其中，主機操作系統占據主導地位，通過它的統一控制實現各個系統的分工合作，協調有序運行，充分保障電力系統的網絡安全。

誘騙環境中的一些機器可以通過偽裝成其他的服務器進而躲過系統的檢測，然而進入系統通過對目錄、數據和文件等的偽裝，或通過其他的誘騙策略，例如模擬操作系統的各種漏洞、產生仿真網絡流量、配置有吸引力的名字、連接有吸引力的服務等策略，將人侵攻擊引入誘騙環境中，誘騙系統通過誘騙機制創建了一個系統隔離層，作為誘騙環境和系統內核的接口，使誘騙環境中的系統行為不能直接訪問到系統內核，起到很好的隔離作用。

五、路由控制

這一點主要是指通過路由器的訪問權限對外來用戶加以控制，防止一些誘騙系統的路由IP進入，并且對內部系統進行實時監管，防止有內部產生的系統漏洞威脅到整個體系的安全和穩定。同時，還可以將路由控制與連接控制相結合，利用路由控制的診斷功能，對外來入侵者進行監控，一旦發現可疑目標立刻采取相應措施和手段加以回應，進而保護電力系統網絡的安全。

六、入侵行為重新定向

這一點主要是來自于防火墻的地址轉換技術。防火墻在受到威脅時，可以快速的對攻擊人士的IP進行定向，通過追蹤攻擊人士主機地址，獲得攻擊人員的信息情況。這一定向功能保證了在系統受到攻擊之后有機會查找出攻擊來源，并針對此做出回應。而且地址轉換技術的運用也使得攻擊人員對于網絡安全有更多的顧慮，在很大程度上保護了網絡系統的安全可靠。

七、日志服務器

防御體系為了保證整個體系的合理有序運行，會對一些外來威脅進行記錄，當系統監控子系統檢測到時間之后，通過中央系統的調控將加密的事件傳遞給日志服務器，通過在日志服務器中查看各種事件發生的頻率，就能做到靈活掌握最新動態，規避可能存在的風險。本設計還有一大特點，日志的監控系統相對隱蔽，不會被外來人員輕易發現，這研究保證了監控的效率更高，最后獲得的結果更加準確。否者外來人員容易借用其他方式進行欺騙，日志服務器的保密性使得網絡的安全性能大大提高。

八、遠程管理控制臺

這一系統獨立于主系統之外，主要通過隔離層接口對于外來人員的瀏覽加以記錄，必要時可以利用自身所帶功能報警，出現問題時也可以及時跟管理人員進行溝通，也可以幫助修改系統各個部分的配置和部署，還有系統的升級完善、處理收集數據等工作都由控制臺完成。遠程控制臺的存在幫助管理人員更好地對系統進行管理和監控，使得系統運行的靈活性更強。

九、主動誘騙電力網絡安全防御體系邏輯結構

結合電力網絡的拓撲結構，主動誘騙電力網絡安全防御體系邏輯結構中，外防火墻作為外部網絡的第一道防線，采用“嚴進寬出”的配置策略，將大部分外部的入侵行為進行隔離，同時實現人侵檢測和人侵行為重定向功能，出于防火墻的性能考慮，在外防火墻上利用IDS的日志功能有針對性地對人侵行為做記錄，不宜做太詳細的日志記錄。IDS采用基于網絡的IDS，可實時監視電力網絡中所有的數據包。內防火墻采用“寬進嚴出”的設置策略。“寬進”是為了迷惑人侵者，使其在里面樂不思蜀，以收集更多數據、證據；“嚴出”則是為了防止人侵者利用該系統作為跳板，對其他電力信息系統進行進一步的攻擊。在內防火墻上，由于出人數據都是可疑的，入侵行為記錄子系統應該對系統的所有活動做嚴格、詳細的記錄。

十、結語

電力系統網絡的安全可靠關系到整個供電功能是否正常運轉，盡管目前我國在網絡安全方面取得了較大進展，仍有很多不足之處，外來人員可以針對網絡安全的漏洞對網絡構成威脅。同時部分管理人員由于責任意識不到位，疏于管理，這也在無形之中增大了網絡安全的危險系數。構建安全可靠的網絡系統，不僅需要做好技術上的工作，還應在管理人員上下功夫。對管理人員進行培訓，提升管理人員的專業素質，出現問題時能夠及時有效的提出解決措施。加強管理人員的工作責任心，責任到人，獎罰分明，才能提升網絡安全系數。同時，應該積極宣傳網絡安全的重要性，提升民眾對于網絡安全的認識，避免內部人員對系統網絡進行惡意攻擊。總的來說，電力系統網絡的安全維護還有很長一段路要走，需要各部門人員協調合作，統一規劃安排，才能將風險降到最低。

參考文獻：

[1]程渤，張新有，浮花玲，楊國緯.基于主動誘騙的電力網絡安全提升策略設計與實現[J].電力系統自動化，2004，8.

[2]李俊娥，羅劍波，劉開培.電力系統數據網絡安全性設計[J].電力系統自動化，2003，27(11):56-60.

[作者簡介]陳振全（1969.9-），男，陜西長武人，大學本科，張家口供電公司工程師，研究方向：計算機網絡。