電力調度數據網網絡安全防護技術研究

李秀明 錢漢

摘要：隨著智能化業務的深入發展，接入調度數據網絡的設備、終端和服務也越來越多。聯網設備的安全性檢查、合規性檢查是至關重要的，不安全的設備不僅有可能導致調度數據網絡的癱瘓，使調度工作無法開展，還有可能引起電力網絡的送電故障、以及發生電力網絡安全事故，因此調度數據網絡的準入控制是關鍵。本分通過研究網絡準入控制技術，提出了如何解決調度數據網的接入安全問題。

關鍵詞：技術；準入控制

1引言

調度數據網絡是電力的生產網絡，關系到電力輸送的安全，與老百姓的生活和工作、企業的生產等息息相關。調度數據網絡是一個典型的分層分級網絡，全網主要分為五級：國家調度通信中心、省級（區級）調度通信網絡、地市、縣級調度通信網絡。每一級電力調度公司的本地網，根據業務重要性的不同，劃分為4個不同的區域，分別是I區（控制區）、II區（生產區）、III區（生產管理區）、Ⅳ區（管理信息區）。

1、聯網設備沒有做一個全面的安全性、合規性檢查，隨著設備接入越多，網絡安全隱患也越多，一旦設備投入運行，后期進行安全加固或整改難度很大。

2、私有設備接入網絡，將自己私人筆記本、手機、PAD等設備接入網絡，而由于私人終端的互聯網屬性，很可能攜帶了木馬病毒等，對內網產生一定的沖擊，同時還可能造成內網數據的泄漏。

3、私接網絡設備，為了方便，私自接HUB、無線AP等網絡設備，然后將違規的私人終端通過這些HUB、無線AP等接入網絡，從而繞過很多安全產品的檢查。

4、設備非法外聯，有人為了方便內網和互聯網的切換工作，從而在內網機器上插3G/4G網卡，或者通過代理、VPN繞過上網限制。非法外聯給企業安全埋下了巨大的安全隱患，一旦發生就會造成整體內網與外網連通，使得內外網隔離的巨大投入全部化為烏有。

5、仿冒問題，隨著計算機的普及以及人們技術能力的提升，修改IP地址變得輕而易舉，甚至于有些員工為了逃避管理而修改MAC地址、使用AP克隆MAC地址等手段進行非法接入。

6、IP或MAC地址沖突，有人無意配錯了IP地址或者私自修改了MAC地址的設備接入網絡，造成了局域網的地址沖突，可能造成正在運行的重要主機業務中斷，造成不可估量的損失。

2方案制定及實施

本方案技術路線是基于調度數據網絡的網絡特點，如屬于專網性質、固定分配IP地址、通信采用縱向加密方式（IPsec加密）等，然后基于以上網絡準入控制協議優缺點綜合分析，選擇802.1X協議、策略路由（交換機配合）、SNMP/TELNET/SSH網絡準入控制的優點組合應用，再輔助安全掃描技術實現調度數據網絡準入控制和檢查評估。創造性的用四元組（主機名、交換機端口、IP地址、MAC地址）解決了以前單個網絡準入控制協議難以解決私接HUB或交換機、私接路由器問題、冒用IP地址和MAC地址等方面的難題。

a、事前控制措施

設備認證中實施四元組進行嚴格認證，目的是解決私接HUB或交換機問題，原理是與交換機聯合查詢MAC地址在哪個交換的哪個端口下，如果查詢某個接口下有兩個以上的MAC地址或與以前的記錄查詢比較有重復，則可判斷此端口下私接了HUB或交換機設備；解決私接路由器問題，通過MAC地址分析與主機名分析，可以分析出設備制造商，然后確定設備是路由器；解決冒用IP地址或MAC地址的問題，分析接入交換機端口是否匹配，接入設備的主機名是否匹配，如果不匹配其中的某一項，則判斷設備是在冒用IP地址或MAC地址。設備符合安全性、合規性問題，通過安全掃描技術掃描主機是否有安全隱患，比如操作系統開放了不安全端口、操作系統和數據庫漏洞等，如果通過評估系統的評估，則服務系統授權接入網絡服務，否則拒絕接入。

b、事中控制措施

加強管理措施，在經常使用的終端上或容易接觸到的終端上部署網絡準入控制客戶端，通過客戶端程序實時、嚴密監控每個操作行為，如果操作行為觸發安全規則，則通過服務器進行報警聯系管理員。

c、事后審計措施

根據策略，定期收集所有操作信息，包括設備的日志信息，并分類形成報告，進行跟蹤審計，將審計結果或報告呈現給網絡管理者。

3結束語

本方案在調度數據網絡上應用之后，取得了良好實用效果。實施網絡準入控制技術后，有效的防止了終端未經過管理員授權，以及終端未經過安全性、合規性檢查就進入調度數據網，保障了調度數據網絡的網絡安全、運行安全以及邊界安全。

（作者單位：國網江蘇省電力有限公司鎮江供電分公司）