安全隔離技術(shù)在電力信息網(wǎng)絡安全防護中的應用

韓波

【摘 ?要】近年來，隨著我國社會經(jīng)濟的快速發(fā)展，我國電力企業(yè)也加快了發(fā)展步伐，電力企業(yè)的發(fā)展對社會生產(chǎn)生活有著十分重要的作用。對于電力企業(yè)來講，信息的安全性可以有效地維護企業(yè)發(fā)展，電力企業(yè)信息數(shù)據(jù)的丟失對企業(yè)的發(fā)展來講是非常不利的，所以，電力企業(yè)的發(fā)展需要加強對信息安全的防護。本文就對安全隔離技術(shù)在電力信息網(wǎng)絡安全防護中的應用進行深入探討。

【關(guān)鍵詞】安全隔離技術(shù);電力信息網(wǎng)絡;安全防護;應用

隨著電力行業(yè)信息化建設(shè)的不斷深入，電力信息網(wǎng)絡得到快速發(fā)展與完善，而網(wǎng)絡在為電力生產(chǎn)、經(jīng)營等提供優(yōu)質(zhì)服務的同時，也面臨著不同程度的安全問題，而由這些安全問題引發(fā)的風險，正成為限制電力基礎(chǔ)設(shè)施建設(shè)的主要因素。因此，探討有效的網(wǎng)絡安全防護技術(shù)，提高網(wǎng)絡綜合安全防護水平至關(guān)重要。

1、電力信息網(wǎng)的安全狀況

信息技術(shù)、網(wǎng)絡技術(shù)以及科學技術(shù)的提升，讓電力企業(yè)得到充分的發(fā)展，但是，也正是因為信息技術(shù)的快速發(fā)展，也讓電力系統(tǒng)的信息安全問題變得突出，因為信息系統(tǒng)的安全所導致的風險問題，已經(jīng)成為了影響國家電力安全的主要因素，故而，相關(guān)的信息管理人員必須要重視，雖然當前電力系統(tǒng)已經(jīng)指定了一定的措施來保證信息的安全，但是隨著信息技術(shù)的發(fā)展，以往的安全機制很可能已經(jīng)不再適合，因此，開發(fā)新的信息安全防護是十分必要的。電力企業(yè)網(wǎng)絡信息安全狀況主要表現(xiàn)在以下四個方面：①電力信息網(wǎng)絡的結(jié)構(gòu)十分復雜，并且相關(guān)的數(shù)據(jù)量十分大，電力信息網(wǎng)絡承載著電力企業(yè)全部業(yè)務，像是電力營銷以及電力交易等等，所以，一旦網(wǎng)絡信息安全出現(xiàn)問題，極容易造成企業(yè)經(jīng)濟效益的急劇降低以及社會的不穩(wěn)定。②電力企業(yè)的網(wǎng)絡信息都來自于互聯(lián)網(wǎng)，一旦出現(xiàn)黑客攻擊，并且入侵到電力系統(tǒng)中，就會威脅到電力系統(tǒng)內(nèi)的各個數(shù)據(jù)安全和電力調(diào)度情況，并且，當前的企業(yè)信息網(wǎng)絡依然缺乏一個綜合性的防護系統(tǒng)。③電力系統(tǒng)的相關(guān)業(yè)務人員對信息安全的認識依然在原有水平，對于新型安全問題的認識度不高，安全意識不夠。④對重要信息的機密保護不夠，電力企業(yè)的數(shù)據(jù)大多都是集成化的進行管理，各個業(yè)務數(shù)據(jù)都存在幾個數(shù)據(jù)庫之中，而且這些數(shù)據(jù)庫也并非是安全的，此外，電力企業(yè)對數(shù)據(jù)庫的安全措施強度各不相同，所以存在大量的攻擊漏洞和安全隱患。

2、安全隔離技術(shù)的選擇

隨著信息技術(shù)的高速發(fā)展，越來越多的人關(guān)注到了信息的安全，相關(guān)的安全隔離設(shè)備也是越來越多。從研究的技術(shù)發(fā)展來看，安全隔離保護有三種技術(shù)：①通用網(wǎng)閘技術(shù)，此技術(shù)需要有兩個完全獨立的系統(tǒng)來處理，然后交換數(shù)據(jù)來增強數(shù)據(jù)庫的保護程度。②通過修改一些數(shù)據(jù)來對訪問端檢查，在如今的情況下只需要檢查代理環(huán)節(jié)即可，所以主要在數(shù)據(jù)庫日記分析和模式檢查中應用這種技術(shù)。③隔離數(shù)據(jù)庫，我國的相關(guān)技術(shù)比較滯后，相對于國際頂尖技術(shù)發(fā)展緩慢，數(shù)據(jù)隔離技術(shù)的相關(guān)的產(chǎn)品也沒有統(tǒng)一要求，檢驗的結(jié)果能得到有效的控制。

3、信息網(wǎng)絡安全隔離器的設(shè)計和實現(xiàn)

3.1安全隔離器的設(shè)計

隔離設(shè)備的放置位置在信息內(nèi)網(wǎng)和外網(wǎng)的邊界處，首先要保證對各個訪問主機的控制，起到一般防火墻的基本作用，電力信息網(wǎng)絡的各種業(yè)務系統(tǒng)都比較固定，可以對訪問的主機控制隔離的設(shè)備。設(shè)備的隔離不僅僅是一般防火墻就能控制的，為了最大限度的保障數(shù)據(jù)庫的安全，就要對數(shù)據(jù)庫進行訪問控制，目前信息系統(tǒng)被攻擊，主要就是針對SQR攻擊，要想阻斷這種攻擊，應用層對SQR語句還原是較為可靠的方式，然后解析并過濾。電力信息系統(tǒng)要經(jīng)過隔離設(shè)備進行內(nèi)網(wǎng)和外網(wǎng)通信完成各種業(yè)務，如果裝置效率不夠高，就會影響到內(nèi)網(wǎng)和外網(wǎng)的通信，為了在網(wǎng)絡中進行協(xié)議解析能達到更好的標準，隔離器的構(gòu)架會在安全操作系統(tǒng)之上，既保證了自身的安全性，又能在平臺上進行安全控制。電力系統(tǒng)應用范圍最廣的有兩個數(shù)據(jù)庫，這兩個數(shù)據(jù)庫占據(jù)了電力系統(tǒng)數(shù)據(jù)庫的90%以上，TNS協(xié)議一般是Qracle數(shù)據(jù)庫采用，Sybase數(shù)據(jù)庫采用TDS協(xié)議，如果分析出來看這兩種協(xié)議，采用JDBC驅(qū)動分析偏移量，就能夠?qū)崿F(xiàn)對SQL語句的還原，最后基本可以滿足對電力信息系統(tǒng)數(shù)據(jù)庫訪問的控制。

3.2信息網(wǎng)絡安全隔離器的實現(xiàn)

安全隔離器是針對網(wǎng)絡通信協(xié)議進行分析的隔離設(shè)備，其實現(xiàn)是基于TCP/IP通信流的分層解析實現(xiàn)方式。首先，在裝置中通過對ARP層、TCP層和IP層的字段分析，進而根據(jù)配置的策略來控制，集成通用防火墻功能;在應用層對TNS和TDS協(xié)議分析、對基于JDBC驅(qū)動的字段偏移量查找到SQL語句位置，實現(xiàn)SQL語句的還原，進而實現(xiàn)SQL語句的過濾，這也是安全隔離器研制的核心目的。裝置具體的實現(xiàn)如下：（1）裝置對數(shù)據(jù)報文的源IP地址、目的IP地址、協(xié)議域及相應的源、目的端口等屬性進行組合形成不同的數(shù)據(jù)包過濾規(guī)則，控制進出的信息流向和數(shù)據(jù)包，有效防止攻擊者對信息內(nèi)網(wǎng)的攻擊、外部網(wǎng)絡對內(nèi)部網(wǎng)絡的訪問。（2）應用層收到報文后需要進行協(xié)議化處理，分析和過濾ARP，IP，TCP/UDP/ICMP等報文，構(gòu)造一個高效的協(xié)議分析處理模塊。（3）設(shè)計支持TCP數(shù)據(jù)流重組的模塊，在其之上進行可靠的協(xié)議解析。（4）在協(xié)議棧流還原后，提取出Oracle、SQLServer等數(shù)據(jù)庫協(xié)議報文進行分析，根據(jù)協(xié)議關(guān)鍵字段識別TNS/TDS的控制，查詢等報文，從中提取出SQL語句。SQL語句再交由SQL過濾模塊進行分析。首先將其格式化，然后調(diào)用規(guī)則庫以及搜索算法對SQL語句進行過濾，根據(jù)返回結(jié)果判斷是否繼續(xù)傳遞。采用網(wǎng)絡隔離技術(shù)的信息網(wǎng)絡安全隔離器經(jīng)過有關(guān)國家安全部門的檢查認證，除了具備普通防火墻的包過濾功能，增加數(shù)據(jù)庫應用層安全訪問控制功能，其安全強度遠高于普通防火墻。

4、安全隔離技術(shù)在電力信息網(wǎng)絡安全防護領(lǐng)域中的實際應用

在信息技術(shù)發(fā)展進程向前推進的過程中，人們逐漸將信息安全問題放置在一個較為重要的地位之上，與之相關(guān)的保證數(shù)據(jù)安全性的隔離設(shè)備也呈現(xiàn)出來一種多樣化的態(tài)勢，針對世界范圍之內(nèi)各個國家的實際研究情況，通用網(wǎng)閘類型技術(shù)措施，這一項技術(shù)措施實際施行的過程中需要使用到兩個獨立性比較強的計算機系統(tǒng)完成安全等級處理構(gòu)架，而后再在對數(shù)據(jù)信息交換模式加以一定程度的應用的基礎(chǔ)上，對信息數(shù)據(jù)的保護力度做出一定程度的保證，現(xiàn)階段我國范圍之內(nèi)這種安全隔離技術(shù)措施一般情況之下是在服務器和客戶端之間得到應用，與此同時在訪問工作進行的過程中，服務器可以針對客戶端的計算機地址展開查詢工作，在此基礎(chǔ)之上自然也就可以對數(shù)據(jù)庫的安全防護效果做出一定程度的保證。在對審計技術(shù)措施加以一定程度的應用的基礎(chǔ)上，來對數(shù)據(jù)庫形成一定的保護，在對屬性、空間以及數(shù)據(jù)信息修改措施應用的基礎(chǔ)上，針對訪問端口展開詳盡的檢查工作，往往只是需要在代理這個環(huán)節(jié)當中開展檢查和查詢工作就可以了，因此針對這一項技術(shù)措施的實際使用情況來說，往往都是會在數(shù)據(jù)庫日記以及模式審核流程中得到應用;數(shù)據(jù)可領(lǐng)域中的隔離技術(shù)措施，因為現(xiàn)階段我國針對這一項技術(shù)措施展開的研究工作尚且處于初步發(fā)展階段，因此相較于世界前沿技術(shù)措施來說，展現(xiàn)出來的滯后性顯得比較強，發(fā)展速度自然也就會顯得較為緩慢，除去上文中提及到的這一個問題之外，數(shù)據(jù)庫隔離技術(shù)產(chǎn)品行業(yè)當中并沒有施行規(guī)范化的質(zhì)量要求，在此基礎(chǔ)之上想要對隔離效果做出保證，自然會顯得較為困難。

5、結(jié)束語

綜上所述，目前電力信息網(wǎng)絡安全現(xiàn)狀不容樂觀，存在較多安全漏洞，對網(wǎng)絡安全提出了很高的要求。作為直接面對新型網(wǎng)絡攻擊手段的安全隔離技術(shù)在電力信息網(wǎng)絡有著良好的應用前景，通過對安全隔離器的優(yōu)化設(shè)計與實現(xiàn)，能起到大幅提升網(wǎng)絡安全防護水平的作用，真正實現(xiàn)從整體角度保障網(wǎng)絡信息安全的目標。

參考文獻：

[1]劉曉翠，王晨臣，閆娟，張曉宇.安全隔離技術(shù)在電力信息網(wǎng)絡安全防護中的應用[J].通訊世界，2016（24）：190～191.

[2]張曉，萬磊，王俊.安全隔離與信息交換技術(shù)的實現(xiàn)及在電力監(jiān)控系統(tǒng)的應用[J].信息網(wǎng)絡安全，2014（10）：75～76.

（作者單位：國網(wǎng)晉中供電公司）