電力信息網(wǎng)絡(luò)中防火墻技術(shù)的應(yīng)用

康勇　熊雪茜

摘要：通過(guò)應(yīng)用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)能夠?yàn)槿藗兊墓ぷ骱蜕顜?lái)極大的便利，進(jìn)而促使我國(guó)更好更快的發(fā)展。同時(shí)，信息網(wǎng)絡(luò)技術(shù)推動(dòng)了我國(guó)電力行業(yè)的發(fā)展，但是在實(shí)際的應(yīng)用過(guò)程中，由于網(wǎng)絡(luò)是一個(gè)虛擬的環(huán)境，相關(guān)法律體制都不健全，容易形成一定的網(wǎng)絡(luò)安全問(wèn)題。對(duì)此，防火墻技術(shù)的應(yīng)用能夠有效地保護(hù)計(jì)算機(jī)用戶(hù)的信息安全。

關(guān)鍵詞：電力信息網(wǎng)絡(luò)；防火墻技術(shù)；電力行業(yè)；網(wǎng)絡(luò)安全；信息安全 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類(lèi)號(hào)：TP393 文章編號(hào)：1009-2374（2017）05-0051-02 DOI：10.13535/j.cnki.11-4406/n.2017.05.024

依據(jù)國(guó)際互聯(lián)網(wǎng)的相關(guān)權(quán)威性調(diào)查報(bào)告顯示，6.9%的互聯(lián)網(wǎng)行為來(lái)源于中國(guó)。在我國(guó)，將近95%的網(wǎng)絡(luò)曾經(jīng)被國(guó)內(nèi)外黑客攻擊，造成了極其嚴(yán)重的經(jīng)濟(jì)損失。由此可知，我國(guó)互聯(lián)網(wǎng)絡(luò)中存在著極大的不安全因素。電力企業(yè)是我國(guó)的支柱型產(chǎn)業(yè)，是我國(guó)國(guó)民經(jīng)濟(jì)快速發(fā)展的重要基礎(chǔ)性行業(yè)，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用頻率也在不斷提升與增加，現(xiàn)已經(jīng)能夠?qū)﹄娏ζ髽I(yè)的相關(guān)信息進(jìn)行全面性的監(jiān)管管理。因此，需要在電力信息網(wǎng)絡(luò)中增加相關(guān)的安全軟件，通過(guò)增設(shè)防火墻來(lái)提升整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。

1 防火墻的分類(lèi)

1.1 包過(guò)濾防火墻

包過(guò)濾防火墻的應(yīng)用原理就是對(duì)流過(guò)防火墻的數(shù)據(jù)通過(guò)進(jìn)行分析，并且按照原先制定的安全規(guī)則對(duì)相關(guān)的數(shù)據(jù)包進(jìn)行拒絕或者是允許等情況的處理。其是根據(jù)相關(guān)IP、TCP、UDP等一系列的數(shù)據(jù)包頭來(lái)設(shè)定的安全規(guī)則，進(jìn)而通過(guò)對(duì)相關(guān)協(xié)議類(lèi)型、標(biāo)準(zhǔn)等來(lái)進(jìn)行判斷，是否允許數(shù)據(jù)包通過(guò)。包過(guò)濾防火墻進(jìn)行計(jì)算機(jī)保護(hù)的優(yōu)勢(shì)在于不需要改動(dòng)用戶(hù)機(jī)原本的應(yīng)用程序，只需在網(wǎng)絡(luò)的層面進(jìn)行設(shè)置。同時(shí)這種防火墻的價(jià)格相對(duì)低廉，相關(guān)性能的成本較低，對(duì)數(shù)據(jù)的處理速度快。但是包過(guò)濾防火墻在應(yīng)用的過(guò)程中由于其定義較復(fù)雜，容易產(chǎn)生配置不當(dāng)?shù)默F(xiàn)象，進(jìn)而帶來(lái)一系列的問(wèn)題。此外，包過(guò)濾防火墻對(duì)于待定服務(wù)的上下文環(huán)境的理解能力較弱，只能夠由高層來(lái)進(jìn)行代理服務(wù)。與此同時(shí)，包過(guò)濾防火墻還可以分為靜態(tài)包過(guò)濾以及動(dòng)態(tài)包過(guò)濾。

靜態(tài)包過(guò)濾的應(yīng)用過(guò)濾規(guī)則是之前制定完成的，進(jìn)而根據(jù)其中的規(guī)則來(lái)對(duì)每一個(gè)數(shù)據(jù)包進(jìn)行檢查，由此來(lái)找出相匹配的包過(guò)濾規(guī)則。其中的規(guī)則是根據(jù)數(shù)據(jù)包的報(bào)頭信息來(lái)制定的，包括計(jì)算機(jī)中的IP源地址、IP目標(biāo)地址以及相關(guān)的傳輸協(xié)議等信息。靜態(tài)包過(guò)濾防火墻在進(jìn)行信息篩選的時(shí)候需要始終遵循“最小特權(quán)原則”，明確允許通過(guò)的數(shù)據(jù)包、禁止通過(guò)的數(shù)據(jù)包，工作情況如圖1所示。

動(dòng)態(tài)包過(guò)濾的過(guò)濾規(guī)則采用的是動(dòng)態(tài)化的設(shè)計(jì)方式，能夠有效地避免靜態(tài)化包過(guò)濾中出現(xiàn)的問(wèn)題。通過(guò)應(yīng)用動(dòng)態(tài)化包過(guò)濾防火墻，能夠?qū)γ恳粋€(gè)相關(guān)的連接進(jìn)行跟蹤，并依據(jù)具體的情況來(lái)增加或者是更改過(guò)濾的規(guī)則條件，其工作情況如圖2所示：

1.2 代理防火墻

代理防火墻是代表客戶(hù)對(duì)服務(wù)器連接上的請(qǐng)求進(jìn)行處理的一種程序，當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)連接的請(qǐng)示時(shí)，其對(duì)相關(guān)客戶(hù)的信息進(jìn)行核實(shí)，并通過(guò)特定的安全化程序來(lái)對(duì)相關(guān)的請(qǐng)求連接進(jìn)行處理，而后將處理的結(jié)果發(fā)送到服務(wù)器上。依據(jù)服務(wù)器做出的回復(fù)采取相應(yīng)的處理措施。代理服務(wù)器在外部網(wǎng)絡(luò)及內(nèi)部網(wǎng)絡(luò)中都能夠進(jìn)行靈活的中間轉(zhuǎn)化。代理防火墻在應(yīng)用過(guò)程中具有極大的安全性，能夠通過(guò)專(zhuān)門(mén)特定性的服務(wù)來(lái)編寫(xiě)安全化的應(yīng)用程序進(jìn)行處理，而后通過(guò)防火墻自身的請(qǐng)求來(lái)做出相應(yīng)的應(yīng)答，外部網(wǎng)絡(luò)中的計(jì)算機(jī)根本沒(méi)有入侵的機(jī)會(huì)，從而能夠有效地避免不法分子通過(guò)數(shù)據(jù)驅(qū)動(dòng)來(lái)對(duì)計(jì)算機(jī)進(jìn)行攻擊。一般情況下，代理防火墻可以分為普通代理防火墻和自適應(yīng)代理防火墻。

普通代理防火墻就是通過(guò)代理技術(shù)參與到計(jì)算機(jī)中的一個(gè)TCP連接的全過(guò)程中，進(jìn)而能夠從計(jì)算機(jī)內(nèi)部發(fā)出相關(guān)的數(shù)據(jù)包，并通過(guò)防火墻進(jìn)行數(shù)據(jù)的分析及處理，進(jìn)而對(duì)計(jì)算機(jī)內(nèi)部信息進(jìn)行保護(hù)，這種類(lèi)型的防火墻是網(wǎng)絡(luò)安全專(zhuān)家認(rèn)為的安全系數(shù)最高的防火墻，地理服務(wù)器技術(shù)是其工作的核心技術(shù)，工作情況如圖3所示：

自適應(yīng)代理防火墻是普通代理防火強(qiáng)的升級(jí)版本，能夠?qū)⑵胀ù矸阑饓Φ陌踩砸约鞍^(guò)濾防火墻的高速性等優(yōu)點(diǎn)進(jìn)行融合，進(jìn)而在安全的基礎(chǔ)之上有效地提升運(yùn)行速度。其工作情況如圖4所示：

2 防火墻技術(shù)在電力信息網(wǎng)絡(luò)中的應(yīng)用

隨著現(xiàn)代信息技術(shù)的發(fā)展與提升，在人們?nèi)粘５纳a(chǎn)及生活過(guò)程中，所使用的網(wǎng)絡(luò)需要考慮到相關(guān)的安全性，針對(duì)其中的安全問(wèn)題采取適當(dāng)?shù)慕鉀Q方式。電力系統(tǒng)是我國(guó)國(guó)民經(jīng)濟(jì)中十分重要的組成部分，電力系統(tǒng)的信息化應(yīng)用在不斷發(fā)展。在電力信息網(wǎng)絡(luò)中應(yīng)用防火墻能夠?qū)ΜF(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行加強(qiáng)與固定，使得相關(guān)的網(wǎng)絡(luò)結(jié)構(gòu)無(wú)法進(jìn)行隨意的更改。此外，通過(guò)應(yīng)用防火墻還能夠?qū)﹄娏π畔⒕W(wǎng)絡(luò)中的模式進(jìn)行合理的調(diào)整、優(yōu)化。同時(shí)還能夠支持可信區(qū)、不可信區(qū)、非軍事化區(qū)、控制區(qū)這四個(gè)區(qū)域形成獨(dú)立的網(wǎng)絡(luò)接口，從物理結(jié)構(gòu)上將受控網(wǎng)絡(luò)進(jìn)行分離，進(jìn)而提升整個(gè)網(wǎng)絡(luò)的安全性。通過(guò)應(yīng)用防火墻系統(tǒng)，在計(jì)算機(jī)的非軍事化區(qū)域遭受到相關(guān)攻擊的時(shí)候，所入侵的病毒不會(huì)延伸到計(jì)算機(jī)的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)之中。

2.1 技術(shù)手段方面

電力信息網(wǎng)絡(luò)在使用的過(guò)程中需要傳輸大量的電力企業(yè)數(shù)據(jù)信息，其中包含了企業(yè)內(nèi)部及生產(chǎn)過(guò)程中的關(guān)鍵性數(shù)據(jù)信息。因此，在電力信息網(wǎng)絡(luò)中所應(yīng)用的防火墻需要具有包過(guò)濾的功能，通過(guò)對(duì)電力信息網(wǎng)絡(luò)中的IP地址、協(xié)議類(lèi)型以及TCP端口的信息等進(jìn)行過(guò)濾判斷，檢查其是否符合所制定的標(biāo)準(zhǔn)、是否符合相關(guān)的規(guī)定，進(jìn)而決定數(shù)據(jù)包是否能夠通過(guò)電力信息網(wǎng)絡(luò)。通過(guò)應(yīng)用包過(guò)濾防火墻技術(shù)，能夠極大程度地提升電力信息網(wǎng)絡(luò)在傳輸過(guò)程中的安全性能，從而傳輸正確的數(shù)據(jù)信息，促使電力企業(yè)得以更好的提升與發(fā)展。

2.2 防火墻設(shè)置

在電力企業(yè)中，電力信息網(wǎng)絡(luò)中所應(yīng)用的防火墻在設(shè)置的時(shí)候需要依據(jù)當(dāng)前電力企業(yè)中的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行。通過(guò)判斷該電力企業(yè)中所應(yīng)用的網(wǎng)絡(luò)類(lèi)型與規(guī)模來(lái)選擇適當(dāng)?shù)姆阑饓?，設(shè)計(jì)與電力企業(yè)相適應(yīng)的管理系統(tǒng)。由此不僅能夠提升整個(gè)電力信息網(wǎng)絡(luò)的安全性能，同時(shí)還能夠方便相關(guān)人員進(jìn)行日常的維護(hù)與管理。例如，電力信息網(wǎng)絡(luò)中可以通過(guò)應(yīng)用Web Base Managenment管理系統(tǒng)來(lái)對(duì)整個(gè)網(wǎng)絡(luò)界面進(jìn)行有效的管理，還可以在網(wǎng)絡(luò)前臺(tái)Web中依據(jù)圖形來(lái)進(jìn)行相關(guān)數(shù)據(jù)的顯示，不僅減少了網(wǎng)絡(luò)管理人員的工作量，還降低了相關(guān)的工作難度，進(jìn)而提升了電力信息網(wǎng)絡(luò)管理的效果，增強(qiáng)網(wǎng)絡(luò)使用的安全性。

2.3 防火墻操作系統(tǒng)的選擇

在我國(guó)，大多數(shù)人們所應(yīng)用的都是Windows操作系統(tǒng)，由于這種系統(tǒng)具有較強(qiáng)的廣泛性，在使用的過(guò)程中存在的系統(tǒng)漏洞較多，非常容易遭受到網(wǎng)絡(luò)攻擊。因此，在電力信息網(wǎng)絡(luò)中，可以使用日常人們較少使用的系統(tǒng)，例如Linux操作系統(tǒng)。這種系統(tǒng)相比于Windows系統(tǒng)有著較高的安全性及拓展性的特征，其中源代碼的下載是對(duì)外開(kāi)放的，用戶(hù)能夠依據(jù)自身的實(shí)際情況及特點(diǎn)對(duì)代碼進(jìn)行修改。此外，Linux操作系統(tǒng)沒(méi)有在我國(guó)進(jìn)行推廣與普及，大多數(shù)人們對(duì)于這個(gè)系統(tǒng)的了解較少，對(duì)Linux系統(tǒng)進(jìn)行網(wǎng)路攻擊的行為也比較少。因此，電力信息網(wǎng)絡(luò)通過(guò)應(yīng)用Linux操作系統(tǒng)進(jìn)行相關(guān)信息數(shù)據(jù)的傳輸能夠提升數(shù)據(jù)信息的安全性。

2.4 制定安全策略

對(duì)于電力信息網(wǎng)絡(luò)來(lái)說(shuō)，所制定的安全策略需要從網(wǎng)絡(luò)服務(wù)訪問(wèn)以及防火墻設(shè)計(jì)這兩個(gè)方面展開(kāi)。其中網(wǎng)絡(luò)服務(wù)訪問(wèn)策略是一個(gè)高層次、具體化的策略，主要對(duì)電力信息網(wǎng)絡(luò)中的相關(guān)服務(wù)進(jìn)行允許或者是禁止的定義。通常情況下，一個(gè)防火墻只能夠執(zhí)行一個(gè)訪問(wèn)策略，即允許從內(nèi)部網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)，不允許從外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)，例如在電力信息網(wǎng)絡(luò)中的電子郵件服務(wù)器。因此，電力信息網(wǎng)絡(luò)在設(shè)置防火墻之前需要制定出相應(yīng)的服務(wù)訪問(wèn)策略，由此才能夠?qū)φ麄€(gè)網(wǎng)絡(luò)進(jìn)行更好的保護(hù)。

同時(shí)，防火墻的設(shè)計(jì)策略是針對(duì)電力信息網(wǎng)絡(luò)中的防火墻，通過(guò)制定相應(yīng)的規(guī)章制度來(lái)進(jìn)行安全服務(wù)。因此，在制定相關(guān)策略之前需要對(duì)所應(yīng)用的防火墻性能及缺點(diǎn)進(jìn)行明確，根據(jù)實(shí)際情況來(lái)設(shè)計(jì)防火墻策略。通過(guò)執(zhí)行相關(guān)的策略能夠極大程度地提升防火墻的安全性能，進(jìn)而保障了電力信息網(wǎng)絡(luò)的安全。

3 結(jié)語(yǔ)

電力信息網(wǎng)絡(luò)安全在我國(guó)的關(guān)注度越來(lái)越高，它與電力信息系統(tǒng)的正常運(yùn)轉(zhuǎn)有著直接性的關(guān)聯(lián)，同時(shí)也與我國(guó)電力企業(yè)及個(gè)人的日常生活及學(xué)習(xí)工作有著一定的關(guān)聯(lián)。防火墻是一項(xiàng)能夠加強(qiáng)網(wǎng)絡(luò)信息安全傳輸及保護(hù)的重要技術(shù)手段，因此，在電力信息網(wǎng)絡(luò)中應(yīng)用防火墻技術(shù)能夠有效地提升整個(gè)電力企業(yè)的網(wǎng)絡(luò)安全性能，由此促進(jìn)我國(guó)電力企業(yè)的健康發(fā)展。

參考文獻(xiàn)

[1] 晏文君.有關(guān)電力信息網(wǎng)絡(luò)系統(tǒng)的安全性研究[J].科協(xié)論壇，2013，（12）.

[2] 錢(qián)旭.電力信息化安全問(wèn)題分析及解決措施[J].電力科技，2013，（36）.

[3] 陸正東.防火墻和入侵檢測(cè)系統(tǒng)在電力企業(yè)信息網(wǎng)絡(luò)中的應(yīng)用[J].新教育，2013，（14）.

（責(zé)任編輯：蔣建華）