水電站網絡安全技術研究

何進

【摘 要】本文主要論述水電站信息網絡所面臨的安全問題和與之相對應的策略，分析電力安全的安全及防火墻設計，對電力企業信息網絡的安全運行有一定的指導意義。

【關鍵詞】水電站；網絡安全；安全策略；防火墻

1.引 言

隨著我國電力產業的飛速發展，電力企業網絡的安全運行對我國經濟的發展起著十分重要的作用。在我國Internet和電力信息化產業的飛速發展，計算機網絡在電力企業的各個方面得到了廣泛的應用，水電站信息網絡已經成為電力系統的重要基礎設施，它的安全運行與否關系到電力系統的安全、穩定、有效運行。網絡技術的廣泛應用，電力信息網絡的不斷延伸和擴大，特別是企業網和Internet的互聯都對電力信息網絡的安全提出了更高的要求。因此，深入研究電力企業信息網絡安全的特點和存在的問題，對電力企業信息網絡的安全運行有一定的指導意義。

2.網絡安全

所謂網絡安全是指在分布網絡環境中，對信息載體（處理載體、存儲載體、傳輸載體）和信息的處理、傳輸、存儲、訪問提供安全保護，以防止數據、信息內容或能力拒絕服務或非授權使用和篡改。網絡安全具有機密性、可用性和完整性這三個基本屬性。網絡安全涉及的內容既有技術方面的問題，也有管理方面的問題，兩方面相互補充，缺一不可。技術方面主要側重于防范外部非法用戶的攻擊，管理方面則側重于內部人為因素的管理。威脅網絡安全的因素主要有黑客入侵、信息泄漏、拒絕服務攻擊和病毒等幾類。

（1）黑客入侵

由于網絡邊界上的系統安全漏洞或管理方面的缺陷（如弱口令），容易導致黑客的成功入侵。黑客可以通過入侵計算機或網絡，使用被入侵的計算機或網絡的信息資源，來竊取、破壞或修改數據，從而威脅水電站信息網絡安全。

（2）信息泄漏

相對于黑客入侵這種來自網絡外部的威脅而言，信息泄漏的主要原因則在于企業內部管理不善，如信息分級不合理、信息審查不嚴和不當授權等，都容易導致信息外泄。

（3）拒絕服務攻擊

信息網絡上提供的FTP、WEB和DNS等服務都有可能遭受拒絕服務攻擊。拒絕服務的主要攻擊方法是通過消耗用戶的資源，來增加CPU的負荷，當系統資源消耗超出CPU的負荷能力時，此時網絡的正常服務失效。

（4）病毒

通過計算機網絡，病毒的傳播速度和傳播范圍程度驚人，它可以在數小時之間使得全球成千上萬的網絡計算機系統癱瘓，嚴重威脅網絡安全。病毒的危害性涉及面廣，它不僅可以修改刪除文件，還可以竊取企業內部文件和泄露用戶個人隱私信息等。

3.安全策略

3.1網絡隔離

由于不同的網絡結構應該采用不同的安全對策，因此我們為了提高整個網絡的安全性考慮，可以根據保密程度、保護功能和安全水平等差異，把整個網絡進行分段隔離。這樣可以實現更為細化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的范圍內。所謂網絡隔離（Network Isolation）是指把兩個或兩個以上可路由的網絡（如TCP/IP）完全斷開或通過不可路由的形式（如不可路由的專用協議、專用數據交換硬件等）進行連接，從而達到隔離網絡攻擊和防范網絡風險的目的。

電力企業內外網之間是通過物理隔離的，所謂物理隔離是通過網絡與計算機設備的空間（主要包括網線、路由器、交換機、主機和終端等）分離來實現的網絡隔離。物理隔離強調的是設備在物理形態上的分離，從而來實現數據的分離。完整意義上的物理隔離應該是指兩個網絡完全斷開，網絡之間不存在數據交換。然而實際上，由于網絡的開放性和資源共享性等特點需要內外網之間進行數據交換。因此，我們通常所說的物理隔離是指能滿足物理隔離的安全性要求的、相對的物理隔離技術。物理隔離的原理是使單個用戶在同一時間、同一空間不能同時使用內部網和外部網兩個系統。如果兩個系統在空間上物理隔離，在不同的時間運行，那么就可以得到兩個完全物理隔離的系統。

3.2防火墻

防火墻實際上是由應用層網關、包過濾路由器和電路層網關等組成的一套系統，它邏輯上處于內部網和外部網之間，可以提供網絡通信，從而保證內部網的正常安全運行。防火墻是放置在電力企業內網服務器前端的。

工作原理：當防火墻被安置完成以后，所有內部通向外部和外部通向內部的數據流都要通過防火墻。它通過包過濾技術，利用應用層代理或應用層數據共享的方式來實現不同網絡之間的通信，通過堡壘主機（屏蔽主機防火墻）連接系統外部與內部。此外，它還利用基于支持網絡層和應用層安全功能等技術來有效的隔離了內部和外部的網絡，從而建筑起了一道屏障來抵御非法的侵入，更好的保護了電力企業網絡系統的安全運行。

我們要特別注意的是，即使網絡安裝了防火墻也還要考慮防火墻產品自身是否安全、防火墻用戶權限體系管理和防火墻的安全認證等特性。防火墻一般經常采用密碼認證的方式，由于該方法安全性較差，所以一旦密碼泄漏，別人就很容易控制防火墻，從而對網絡的安全運行造成隱患。因此我們需要要求防火墻管理員對網絡安全攻擊的手段及其與系統配置的關系有相當深刻的了解，從而更好的保護網絡的安全運行。

3.3防病毒

電力企業網絡面臨的病毒威脅主要有電子郵件傳播、文件交叉感染和瀏覽網頁及文件下載感染這三種傳播途徑。在電力企業網絡環境下，網絡病毒除了具有破壞性、可傳播性、可執行性和可觸發性等計算機病毒的共性外，還具有感染速度快、傳播形式復雜、破壞性大、難于徹底清除和擴散面廣等新的特點。

易于管理和全面防毒功能是防病毒軟件的關鍵。現在的防病毒軟件已不單單是檢測病毒和清除病毒，而且還應加強對病毒的防護工作。我們可以通過安裝遠程防病毒軟件來保證電力企業的網絡安全運行。因此，集中管理、遠程安裝、統一防病毒策略成為了企業級防病毒產品的重要功能。我們在選擇殺毒軟件時，要選擇在市場上有較高知名度企業研發的殺毒軟件產品，這樣不僅可以保證產品質量，而且產品的售后服務也能得到保證。由于計算機病毒的傳播途徑多樣化，電力企業需要建立多層次、立體式病毒防護體系、完善的管理系統和病毒防護策略來保證網絡的安全運行。

這里所謂的多層次、立體式病毒防護體系是指在電力企業的每臺臺式機上安裝基于臺式機的反病毒軟件，在Internet網關上安裝基于Internet網關的反病毒軟件，在服務器上安裝基于服務器的反病毒軟件，于此同時對電腦的操作系統進行安全加固，這樣就可以從工作站到服務器再到網關進行全面保護，從而保證整個電力企業網絡的安全運行，使其不受計算機病毒的侵害。

4.入侵檢測系統

入侵檢測系統（IDS）是一種主動防御攻擊的新型網絡安全系統，由于它在功能上彌補了防火墻的缺陷，完善了整個安全防御體系，因此在電力企業的網絡安全中有著重要的作用。

入侵檢測系統是放置在電力企業內網服務器前端的，我們在進行安裝入侵檢測系統（IDS）的關鍵步驟是部署監測器與控制臺。具體安裝如下：首先，可以在外部路由器與外部網絡的連接處部署監測器，以監測異常的入侵企圖，在防火墻與MIS之間部署監測器，以監視和分析管理信息系統與外部網絡的通信流。然后，分別在監控信息系統（SIS）和管理信息系統（MIS）中部署一臺監測器，監視各子網的內部情況，其中控制臺設置在管理信息系統中。最后，根據實際情況為個別需重點保護的服務器、工作站安裝基于主機的入侵檢測軟件，保護重要設備。

5.結束語

綜上所述，隨著我國經濟和社會的飛速發展，電力企業在我國國民經濟中的比重日益提高，電力企業網絡系統的安全、穩定、有效運行對整個國民經濟的穩定運行起著十分重要的作用。針對電力企業網絡所面臨的各種不同的威脅，我們只有采用與之相應的安全措施，才能保證電力企業局域網的安全、正常和穩定運行。endprint