探討供電企業(yè)信息服務安全

朱 政

（湖南省電力公司郴州北湖電業(yè)局，湖南 郴州423000）

0 引 言

電力能源是當今社會最重要的能源利用方式，從而電力部門成為直接影響到國民經(jīng)濟發(fā)展和社會安定的重要部門。電力企業(yè)作為電力能源的生產(chǎn)、管理單位，其安全性變得日益重要。隨著計算機技術(shù)與網(wǎng)絡技術(shù)的蓬勃發(fā)展和在電力企業(yè)的廣泛應用，網(wǎng)絡安全也成為了電力企業(yè)關(guān)心的重點之一［1－4］。當前網(wǎng)絡安全已經(jīng)逐漸從被動響應模式向主動防御模式轉(zhuǎn)變［5，6］。思科的網(wǎng)絡安全技術(shù)在政府多個重要部門取得了重要應用，在當前的電力企業(yè)中也有廣泛應用［7，8］。本文從思科的網(wǎng)絡安全技術(shù)出發(fā)，結(jié)合電力企業(yè)網(wǎng)絡應用現(xiàn)狀，探討電力企業(yè)的網(wǎng)絡安全解決方案。

1 電力企業(yè)網(wǎng)絡安全

電力企業(yè)計算機系統(tǒng)由專用計算機、公共計算機等組成，操作系統(tǒng)涵蓋 Windows、UNIX、Linux等多種系統(tǒng)，尤以Windows操作系統(tǒng)為主。網(wǎng)絡方式以專用網(wǎng)絡、分機連接主機的局域網(wǎng)、主機連接公共網(wǎng)的方式為主。當前網(wǎng)絡安全以殺毒軟件、個人版網(wǎng)絡防火墻，配合主機的網(wǎng)絡防火墻組成。網(wǎng)絡安全方式以被動保護為主，安全性較差。網(wǎng)絡安全管理以企業(yè)的網(wǎng)絡管理部門負責，人員較少，維護量大，故難以做到整體防護。

隨著電力企業(yè)對網(wǎng)絡安全的重視程度提高，企業(yè)不斷在已有網(wǎng)絡上添加防火墻等網(wǎng)絡安全設備和軟件，其目的就是要加強內(nèi)部網(wǎng)絡的安全性，使網(wǎng)絡、操作系統(tǒng)、主機應用系統(tǒng)等受到不同程度的保護。

電力企業(yè)網(wǎng)絡信息安全的現(xiàn)狀是，計算機病毒、蠕蟲和木馬程序造成的安全事件，約占整體安全事件的4／5，通過電子郵件等傳遞方式導致安全事故約占2／5。這些數(shù)據(jù)折射出了電力信息化發(fā)展過程中存在的一些主要問題，包括：人員的網(wǎng)絡安全意識較差；技術(shù)防御水平較低；對網(wǎng)絡安全，信息安全的保護無法做到整體防御；電力企業(yè)對信息的安全，網(wǎng)絡安全的軟硬件缺乏有效管理。這都反映了電力企業(yè)對于網(wǎng)絡安全甚至網(wǎng)絡的觀念，僅以實用和使用為主，對于安全維護的長期投入意識不強，缺乏專業(yè)人員，雖然對一次性投入不敏感，但對長期投入和維護的敏感性極強。當前電力企業(yè)網(wǎng)絡安全采取的主要措施有：

（1）防火墻

防火墻是網(wǎng)絡安全的大門，其作用是鑒別數(shù)據(jù)包是否可以進出企業(yè)內(nèi)部網(wǎng)絡，還可以防止部分網(wǎng)絡攻擊，如阻止基于IP包頭的網(wǎng)絡攻擊、阻止非信任地址的訪問。防火墻的缺陷是無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，無法控制網(wǎng)絡內(nèi)部之間的違規(guī)行為。

（2）加密

加密是指采用一定的算法對數(shù)據(jù)進行變換，將以明文顯示的數(shù)據(jù)轉(zhuǎn)為密文顯示。常見的加密算法有對稱加密、非對稱加密、HASH散列算法等。

（3）訪問控制

CTL可分為2類：即強制訪問控制和自主訪問控制。其中自主訪問控制機制常被用于商業(yè)系統(tǒng)。

（4）認證

認證的種類主要有密碼認證、智能卡、生物特征以及位置認證，如IP認證、反向DNS認證等。

（5）掃描

掃描器用來進行入侵檢測，發(fā)現(xiàn)網(wǎng)絡服務、網(wǎng)絡設備和主機的漏洞，通過定期的檢測與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。掃描器無法發(fā)現(xiàn)正在進行的入侵行為．而且還可能成為攻擊者的工具。

（6）殺毒軟件

殺毒軟件是應用最為廣泛的安全工具，普遍應用于檢測、清除PC上的各種病毒、木馬等，其缺陷是只能對文件形式的病毒進行查殺，而無法應對基于網(wǎng)絡的攻擊行為。

2 思科安全網(wǎng)絡解決方案

思科認為，當前網(wǎng)絡只能被動防御的原因在于，網(wǎng)絡安全防御仍然集中在主機、終端系統(tǒng)等網(wǎng)絡節(jié)點上，而防御方式方面，也以計算機系統(tǒng)安裝的網(wǎng)絡安全軟件為主，而網(wǎng)絡自身則缺乏自我保護和自我防御以及自我愈合能力。這種安全方式，一旦受到各種病毒的侵擾，或者受到網(wǎng)絡攻擊，無法做到快速反應，往往表現(xiàn)為部分安全性能差的計算機轉(zhuǎn)變?yōu)榘踩[患，持續(xù)影響其他計算機的安全，甚至破壞全網(wǎng)絡的安全。為此，思科建立了網(wǎng)絡自防御系統(tǒng)，即“自防御網(wǎng)絡”（Self－Defending Network，SDN），可以在保護網(wǎng)絡應用的同時，保護網(wǎng)絡自身的安全，將網(wǎng)絡安全不再局限于節(jié)點，而是將安全擴展到整個網(wǎng)絡。

思科SDN解決方案為用戶提供了全方位的網(wǎng)絡安全戰(zhàn)略，通過全面集成的多種安全技術(shù)，構(gòu)建起全面的網(wǎng)絡安全防御體系。SDN解決方案的核心是主動式的安全系統(tǒng)，即能夠主動的進行收集、檢測、分析判斷在網(wǎng)絡中可能出現(xiàn)的安全問題，從而讓網(wǎng)絡自身具備對病毒、黑客、惡意入侵等的抵抗力。網(wǎng)絡準入控制（NAC）是SDN解決方案的重要組成部分，其作用是可以實施訪問權(quán)限控制，阻止不符合安全條件的設備進入網(wǎng)絡，并將其置于設置的隔離區(qū)域之外，通過它獲得對計算資源有限的訪問權(quán)限。借助SDN解決方案的網(wǎng)絡準入控制方案，在較高的安全模式下，可以做到只允許合法的設備（如PC、服務器等）接入網(wǎng)絡，以保障網(wǎng)絡的安全。

網(wǎng)絡的整體安全，需要從操作系統(tǒng)、應用程序、防火墻、網(wǎng)絡監(jiān)控、安全掃描、通信加密、災難恢復等多種安全組件共同組成。只有多個組件共同作業(yè)，才可以完成整體保護任務，而不能僅由單個的組件完成所有功能。

圖1展示了思科“自防御網(wǎng)絡”的結(jié)構(gòu)，其核心為中心站（Central site），包含了SDN主動式安全系統(tǒng)，即圖中NAC管理機（NAC Manager）和 NAC應用（NAC Appliance），其分支（Branch office）可能為有線本地連接或訪客（Local NAC and Guest Access），分支辦公室（Branch Office），當然也包含無線用戶（Wireless Users）。由網(wǎng)絡結(jié)構(gòu)可見，思科自防御網(wǎng)絡的優(yōu)勢，一方面考慮到了原有不同網(wǎng)絡結(jié)構(gòu)用戶仍然可以采用原有方式接入，另一方面在于外部連接的關(guān)鍵部分采用了主動式的安全系統(tǒng)，將問題杜絕在入口處。在內(nèi)部網(wǎng)絡問題方面，不同網(wǎng)絡之間的連接，需要通過中性站進行安全監(jiān)測和過濾，從而避免了內(nèi)部網(wǎng)絡之間的安全問題。

圖1 思科安全解決方案網(wǎng)絡結(jié)構(gòu)

3 解決方案在電力企業(yè)的應用

為了適應電力企業(yè)網(wǎng)絡的特點，其網(wǎng)絡安全的建設需要考慮安全層次、技術(shù)難度及經(jīng)費支出等多種因素。因此，電力企業(yè)的網(wǎng)絡安全需要充分考慮以下要求：盡量保持原有的網(wǎng)絡拓撲結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)及功能的擴展；保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡協(xié)議和傳輸具有很好的透明性；提高系統(tǒng)的安全性和可靠性的同時不應影響原有操作的便利性；較低的維護量和網(wǎng)絡管理工作量，較少的人員長期工作量；一次性投資，可長期使用，長期的維護費用低。

思科根據(jù)電力企業(yè)的網(wǎng)絡特點和電力信息化快速發(fā)展的特點，專門制定了電力SAFE網(wǎng)絡安全解決方案。這一方案將網(wǎng)絡安全性能，在電力網(wǎng)絡的各個環(huán)節(jié)進行強化，為電力企業(yè)提供全面的網(wǎng)絡保護。其特點是將安全產(chǎn)品、安全管理平臺與電力企業(yè)已有的網(wǎng)絡設備有機結(jié)合，在不破壞原有網(wǎng)絡結(jié)構(gòu)，原有網(wǎng)絡溝通便利性和操作習慣的前提下，提高網(wǎng)絡安全性能。電力SAFE網(wǎng)絡解決方案的特點是網(wǎng)絡安全集成化和模塊化。這種模塊化主要優(yōu)勢在兩個方面，一方面，模塊化結(jié)構(gòu)允許各功能模塊間保持相對獨立的安全關(guān)系；另一方面，模塊化可以使電力企業(yè)中有限的網(wǎng)絡管理人員可以逐次逐個的評估和實施安全性管理，而非試圖在一個階段完成，從而有效地節(jié)約人力，提高效率。

以電力企業(yè)的互聯(lián)網(wǎng)模塊進行說明。互聯(lián)網(wǎng)模塊為企業(yè)內(nèi)部用戶提供與互聯(lián)網(wǎng)的連接，以及互聯(lián)網(wǎng)用戶與公共服務器上連接，這些都是電力企業(yè)辦公自動化、電力信息化和服務公開化的要求。防火墻為互聯(lián)網(wǎng)公共服務以及內(nèi)部用戶雙向提供保護。通過有效過濾，可以發(fā)現(xiàn)并解除本地網(wǎng)絡、專用地址范圍的源地址電子欺騙。在網(wǎng)絡路由器的入口處，通過過濾和限制信息流，對大多數(shù)攻擊提供了基本保護。此外，還在防火墻外側(cè)采用了可監(jiān)控網(wǎng)絡，以檢測一些無法預知但可能發(fā)生的網(wǎng)絡安全隱患。防火墻為通過防火墻的會話提供了連接狀態(tài)實施和具體過濾。將公共服務上的信息流限制到部分地址和端口，實現(xiàn)雙向的過濾。

4 結(jié)束語

為了維護電力企業(yè)的信息安全，需要建設堅固的電力企業(yè)網(wǎng)絡安全體系。當前電力企業(yè)的網(wǎng)絡安全存在一定的問題，既要提高企業(yè)人員的網(wǎng)絡安全意識，還要采用先進的網(wǎng)絡安全措施。電力企業(yè)的特點對網(wǎng)絡安全系統(tǒng)提出了較多的要求，針對這些要求，思科制定出了針對于電力企業(yè)模塊化的網(wǎng)絡安全方案。只有通過多種模塊的結(jié)合，才能更好地保障電力企業(yè)網(wǎng)絡的安全，進而確保電力企業(yè)的正常運行。

［1］ 李永紅，劉臣亮，等．電力系統(tǒng)網(wǎng)絡安全隔離的設計與實現(xiàn)［J］．水電廠自動化，2005，（4）：68－72，78．

［2］ 王益民．國家電力調(diào)度數(shù)據(jù)網(wǎng)的設計與實施［J］．電網(wǎng)技術(shù)，2005，29（22）：1－6．

［3］ 徐金友．使用網(wǎng)閘與防火墻構(gòu)建電力系統(tǒng)網(wǎng)絡安全構(gòu)架［J］．水利水電工程造價，2004，（3）：59－60．

［4］ 歐陽兵．阿勒泰電力公司的網(wǎng)絡安全［J］．新疆電力技術(shù)，2009，（2）：54－55．

［5］ 王勤全，樸在林，等．基于CP原則的地方電力網(wǎng)絡安全防御方法研究［J］．沈陽農(nóng)業(yè)大學學報，2009，40（3）：373－375．