浅谈电力行业网络安全的体系.docVIP

浅谈电力行业网络安全的体系 　　【摘 要】随着电力行业信息化的不断发展，信息安全面临日益严峻的考验。文章从适应新形势下电力调度系统发展和电力市场需要的角度出发，分析了电力信息网络的主要分类和特点，着重从技术和管理两方面阐述了建立电力系统信息网络防护体系的方法和策略。 　　【关键词】电力信息网络；安全防护；策略 　　电力系统是个特殊的能源行业，发电、输电、配电、用电必须同时完成，其覆盖面之大，结构之复杂，层次之众多是任何一个行业都无法比拟的。电能，像无形的血液日夜由各条脉络源源不断地传输流动，与国民经济和人民群众的生活息息相关，电能的安全传输直接影响每一个人的生产和生活，而电能的安全传输又依赖于电力信息网络的正常工作。因此，电力信息网络安全体系的建立具有相当重要的意义。 　　1、电力调度系统对网络安全防护体系的要求 　　近年来，特别是随着电力市场化进程的加快，电力调度自动化的内涵也有了较大的延伸，由原来单一的EMS系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持和调度生产管理系统等。电力信息网络是支持调度自动化系统的重要技术平台，实时性要求秒级或微秒级。其中发电报价系统、市场信息发布等电力市场信息系统由于需要与公网连接，因而还要求做加密和隔离处理。因此，要保障调度自动化的安全运行，就需要信息网络从应用系统的各个层面出发，按照其不同的安全要求，制定相应的防护策略，形成一整套完善的防护体系。 　　2、对安全体系建设和完善的几点思路 　　2.1对网络层风险的分析 　　2.1.1网络风险来源 　　（1）网络中心连通Internet之后，企业网可能遭受到来自Internet恶意攻击；（2）在Internet上广为传播的网络病毒将通过Web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播，感染企业网内部的服务器、主机；更有一些黑客程序也将通过这种方式进入企业网；（3）企业网内部连接的用户很多，很难保证没有用户会攻击企业的服务器。事实上，来自于内部的攻击，其成功的可能性要远远大于来自于Internet的攻击，而且内部攻击的目标主要是获取企业的机密信息，其损失要远远高于系统破坏。 　　2.1.2回避风险措施 　　基于以上风险，在上述两层网络结构中，网络层安全主要解决企业网络互联时和在网络通讯层安全问题，需要解决的问题有： 　　（1）企业网络进出口控制（即IP过滤）；（2）企业网络和链路层数据加密；（3）安全检测和报警、防杀病毒。 　　重点在于企业网络本身内部的安全，如果解决了各个企业网的安全，那么企业互联扫安全只需解决链路层的通讯加密。 　　2.2对网络进出口的控制 　　需要对进入企业内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。同样需要对内网到公网进行管理和控制。要达到授权用户可以进出内部网络，防止非授权用户进出内部网络这个基本目标。 　　对关键应用需要进行链路层数据加密，特别是最核心的决策层的服务系统，为决策层提供信息共享，需要有高强度的数据加密措施。 　　2.3安全检测和报警、防杀病毒 　　安全检测是实时对公开网络和公开服务器进行安全扫描和检测，及时发现不安全因素，对网络攻击进行报警。这主要是提供一种监测手段，保证网络和服务的正常运行。要实现： 　　（1）及时发现来自网络内外对网络的攻击行为；（2）详实地记录攻击发生的情况；（3）当发现网络遭到攻击时，系统必须能够向管理员发出报警消息；（4）当发现网络遭到攻击时，系统必须能够及时阻断攻击的继续进行；（5）对防火墙进行安全检测和分析；（6）对Web服务器检测进行安全检测和分析；（7）对操作系统检测进行安全检测和分析。 　　需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲，防杀病毒属于系统安全需求范畴。 　　2.4对应用系统安全风险的分析 　　对应用系统的攻击可以分为2类。 　　当攻击者对网络结构和系统应用模式不了解时，主要通过对应用服务器进行系统攻击，破坏操作系统或获取操作系统管理员的权限，再对应用系统进行攻击，以获取企业的重要数据；　在现在通用的三层结构（数据库服务器—应用服务器—应用客户端）中，通过对数据库服务器的重点保护，可以防止大多数攻击；攻击者了解了网络结构和系统应用模式时，可直接通过对应用模式的攻击，获取企业的机密信息，这些攻击包括： 　　（1）非法用户获取应用系统的合法用户帐号和口令，访问应用系统；（2）用户通过系统的合法用户帐号，利用系统的BUG，访问其授权范围以外的信息；（3）攻击者通过应用系统存在的后门和隐通道（如隐藏的超级用户帐号、非公开的系统访问途径等），访问应