探討供電企業信息服務安全

朱 政

（湖南省電力公司郴州北湖電業局，湖南 郴州423000）

0 引 言

電力能源是當今社會最重要的能源利用方式，從而電力部門成為直接影響到國民經濟發展和社會安定的重要部門。電力企業作為電力能源的生產、管理單位，其安全性變得日益重要。隨著計算機技術與網絡技術的蓬勃發展和在電力企業的廣泛應用，網絡安全也成為了電力企業關心的重點之一［1－4］。當前網絡安全已經逐漸從被動響應模式向主動防御模式轉變［5，6］。思科的網絡安全技術在政府多個重要部門取得了重要應用，在當前的電力企業中也有廣泛應用［7，8］。本文從思科的網絡安全技術出發，結合電力企業網絡應用現狀，探討電力企業的網絡安全解決方案。

1 電力企業網絡安全

電力企業計算機系統由專用計算機、公共計算機等組成，操作系統涵蓋 Windows、UNIX、Linux等多種系統，尤以Windows操作系統為主。網絡方式以專用網絡、分機連接主機的局域網、主機連接公共網的方式為主。當前網絡安全以殺毒軟件、個人版網絡防火墻，配合主機的網絡防火墻組成。網絡安全方式以被動保護為主，安全性較差。網絡安全管理以企業的網絡管理部門負責，人員較少，維護量大，故難以做到整體防護。

隨著電力企業對網絡安全的重視程度提高，企業不斷在已有網絡上添加防火墻等網絡安全設備和軟件，其目的就是要加強內部網絡的安全性，使網絡、操作系統、主機應用系統等受到不同程度的保護。

電力企業網絡信息安全的現狀是，計算機病毒、蠕蟲和木馬程序造成的安全事件，約占整體安全事件的4／5，通過電子郵件等傳遞方式導致安全事故約占2／5。這些數據折射出了電力信息化發展過程中存在的一些主要問題，包括：人員的網絡安全意識較差；技術防御水平較低；對網絡安全，信息安全的保護無法做到整體防御；電力企業對信息的安全，網絡安全的軟硬件缺乏有效管理。這都反映了電力企業對于網絡安全甚至網絡的觀念，僅以實用和使用為主，對于安全維護的長期投入意識不強，缺乏專業人員，雖然對一次性投入不敏感，但對長期投入和維護的敏感性極強。當前電力企業網絡安全采取的主要措施有：

（1）防火墻

防火墻是網絡安全的大門，其作用是鑒別數據包是否可以進出企業內部網絡，還可以防止部分網絡攻擊，如阻止基于IP包頭的網絡攻擊、阻止非信任地址的訪問。防火墻的缺陷是無法阻止基于數據內容的黑客攻擊和病毒入侵，無法控制網絡內部之間的違規行為。

（2）加密

加密是指采用一定的算法對數據進行變換，將以明文顯示的數據轉為密文顯示。常見的加密算法有對稱加密、非對稱加密、HASH散列算法等。

（3）訪問控制

CTL可分為2類：即強制訪問控制和自主訪問控制。其中自主訪問控制機制常被用于商業系統。

（4）認證

認證的種類主要有密碼認證、智能卡、生物特征以及位置認證，如IP認證、反向DNS認證等。

（5）掃描

掃描器用來進行入侵檢測，發現網絡服務、網絡設備和主機的漏洞，通過定期的檢測與比較，發現入侵或違規行為留下的痕跡。掃描器無法發現正在進行的入侵行為．而且還可能成為攻擊者的工具。

（6）殺毒軟件

殺毒軟件是應用最為廣泛的安全工具，普遍應用于檢測、清除PC上的各種病毒、木馬等，其缺陷是只能對文件形式的病毒進行查殺，而無法應對基于網絡的攻擊行為。

2 思科安全網絡解決方案

思科認為，當前網絡只能被動防御的原因在于，網絡安全防御仍然集中在主機、終端系統等網絡節點上，而防御方式方面，也以計算機系統安裝的網絡安全軟件為主，而網絡自身則缺乏自我保護和自我防御以及自我愈合能力。這種安全方式，一旦受到各種病毒的侵擾，或者受到網絡攻擊，無法做到快速反應，往往表現為部分安全性能差的計算機轉變為安全隱患，持續影響其他計算機的安全，甚至破壞全網絡的安全。為此，思科建立了網絡自防御系統，即“自防御網絡”（Self－Defending Network，SDN），可以在保護網絡應用的同時，保護網絡自身的安全，將網絡安全不再局限于節點，而是將安全擴展到整個網絡。

思科SDN解決方案為用戶提供了全方位的網絡安全戰略，通過全面集成的多種安全技術，構建起全面的網絡安全防御體系。SDN解決方案的核心是主動式的安全系統，即能夠主動的進行收集、檢測、分析判斷在網絡中可能出現的安全問題，從而讓網絡自身具備對病毒、黑客、惡意入侵等的抵抗力。網絡準入控制（NAC）是SDN解決方案的重要組成部分，其作用是可以實施訪問權限控制，阻止不符合安全條件的設備進入網絡，并將其置于設置的隔離區域之外，通過它獲得對計算資源有限的訪問權限。借助SDN解決方案的網絡準入控制方案，在較高的安全模式下，可以做到只允許合法的設備（如PC、服務器等）接入網絡，以保障網絡的安全。

網絡的整體安全，需要從操作系統、應用程序、防火墻、網絡監控、安全掃描、通信加密、災難恢復等多種安全組件共同組成。只有多個組件共同作業，才可以完成整體保護任務，而不能僅由單個的組件完成所有功能。

圖1展示了思科“自防御網絡”的結構，其核心為中心站（Central site），包含了SDN主動式安全系統，即圖中NAC管理機（NAC Manager）和 NAC應用（NAC Appliance），其分支（Branch office）可能為有線本地連接或訪客（Local NAC and Guest Access），分支辦公室（Branch Office），當然也包含無線用戶（Wireless Users）。由網絡結構可見，思科自防御網絡的優勢，一方面考慮到了原有不同網絡結構用戶仍然可以采用原有方式接入，另一方面在于外部連接的關鍵部分采用了主動式的安全系統，將問題杜絕在入口處。在內部網絡問題方面，不同網絡之間的連接，需要通過中性站進行安全監測和過濾，從而避免了內部網絡之間的安全問題。

圖1 思科安全解決方案網絡結構

3 解決方案在電力企業的應用

為了適應電力企業網絡的特點，其網絡安全的建設需要考慮安全層次、技術難度及經費支出等多種因素。因此，電力企業的網絡安全需要充分考慮以下要求：盡量保持原有的網絡拓撲結構，以便系統結構及功能的擴展；保持網絡原有的性能特點，即對網絡協議和傳輸具有很好的透明性；提高系統的安全性和可靠性的同時不應影響原有操作的便利性；較低的維護量和網絡管理工作量，較少的人員長期工作量；一次性投資，可長期使用，長期的維護費用低。

思科根據電力企業的網絡特點和電力信息化快速發展的特點，專門制定了電力SAFE網絡安全解決方案。這一方案將網絡安全性能，在電力網絡的各個環節進行強化，為電力企業提供全面的網絡保護。其特點是將安全產品、安全管理平臺與電力企業已有的網絡設備有機結合，在不破壞原有網絡結構，原有網絡溝通便利性和操作習慣的前提下，提高網絡安全性能。電力SAFE網絡解決方案的特點是網絡安全集成化和模塊化。這種模塊化主要優勢在兩個方面，一方面，模塊化結構允許各功能模塊間保持相對獨立的安全關系；另一方面，模塊化可以使電力企業中有限的網絡管理人員可以逐次逐個的評估和實施安全性管理，而非試圖在一個階段完成，從而有效地節約人力，提高效率。

以電力企業的互聯網模塊進行說明。互聯網模塊為企業內部用戶提供與互聯網的連接，以及互聯網用戶與公共服務器上連接，這些都是電力企業辦公自動化、電力信息化和服務公開化的要求。防火墻為互聯網公共服務以及內部用戶雙向提供保護。通過有效過濾，可以發現并解除本地網絡、專用地址范圍的源地址電子欺騙。在網絡路由器的入口處，通過過濾和限制信息流，對大多數攻擊提供了基本保護。此外，還在防火墻外側采用了可監控網絡，以檢測一些無法預知但可能發生的網絡安全隱患。防火墻為通過防火墻的會話提供了連接狀態實施和具體過濾。將公共服務上的信息流限制到部分地址和端口，實現雙向的過濾。

4 結束語

為了維護電力企業的信息安全，需要建設堅固的電力企業網絡安全體系。當前電力企業的網絡安全存在一定的問題，既要提高企業人員的網絡安全意識，還要采用先進的網絡安全措施。電力企業的特點對網絡安全系統提出了較多的要求，針對這些要求，思科制定出了針對于電力企業模塊化的網絡安全方案。只有通過多種模塊的結合，才能更好地保障電力企業網絡的安全，進而確保電力企業的正常運行。

［1］ 李永紅，劉臣亮，等．電力系統網絡安全隔離的設計與實現［J］．水電廠自動化，2005，（4）：68－72，78．

［2］ 王益民．國家電力調度數據網的設計與實施［J］．電網技術，2005，29（22）：1－6．

［3］ 徐金友．使用網閘與防火墻構建電力系統網絡安全構架［J］．水利水電工程造價，2004，（3）：59－60．

［4］ 歐陽兵．阿勒泰電力公司的網絡安全［J］．新疆電力技術，2009，（2）：54－55．

［5］ 王勤全，樸在林，等．基于CP原則的地方電力網絡安全防御方法研究［J］．沈陽農業大學學報，2009，40（3）：373－375．