電力企業(yè)局域網(wǎng)的信息安全(待續(xù))

關(guān)良輝

（大唐華銀株洲第二發(fā)電廠，湖南 株洲 412005）

隨著信息化的日益深入，研究電力系統(tǒng)信息安全問題、開發(fā)相應(yīng)的應(yīng)用系統(tǒng)、制定電力系統(tǒng)信息遭受外部攻擊時(shí)的防范與系統(tǒng)恢復(fù)措施等信息安全戰(zhàn)略，使電力信息網(wǎng)絡(luò)系統(tǒng)不受黑客和病毒入侵，保障數(shù)據(jù)傳輸?shù)陌踩浴⒖煽啃?，就成為?dāng)前信息化工作的重要內(nèi)容。下面就電力企業(yè)局域網(wǎng)信息安全所涉及的問題做一分析。

1 網(wǎng)絡(luò)系統(tǒng)概況

電力企業(yè)局域網(wǎng)一般是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng)。它所聯(lián)接的近千個(gè)信息點(diǎn)為整個(gè)企業(yè)各部門提供了一個(gè)快速、方便的信息交流平臺，通過千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1 000 M的獨(dú)享帶寬，通過下級交換機(jī)與各部門的工作站和服務(wù)器連結(jié)，并為之提供100 M的獨(dú)享帶寬。其基本功能包括FTP，Telnet，Mail及WWW，News，BBS等客戶機(jī)/服務(wù)器方式的服務(wù)。網(wǎng)絡(luò)中包含有各種各樣的設(shè)備：服務(wù)器系統(tǒng)、路由器、交換機(jī)、工作站、終端等，并通過專線與Internet互聯(lián)網(wǎng)相聯(lián)。各地市電力公司/電廠的網(wǎng)絡(luò)基本采用TCP/IP以太網(wǎng)星型拓?fù)浣Y(jié)構(gòu)，而它們的外聯(lián)出口通常為上一級電力公司網(wǎng)絡(luò)。

電力企業(yè)局域網(wǎng)按發(fā)電廠各相關(guān)應(yīng)用系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將局域網(wǎng)劃分為4個(gè)安全區(qū)：Ⅰ實(shí)時(shí)控制區(qū)、Ⅱ非控制生產(chǎn)區(qū)、Ⅲ生產(chǎn)管理區(qū)、Ⅳ管理信息區(qū)。不同的安全區(qū)確定了不同的安全防護(hù)要求，從而決定了不同的安全等級和防護(hù)水平。其中安全區(qū)Ⅰ的安全等級最高，依次遞減，安全區(qū)Ⅳ的安全等級最低。

安全區(qū)Ⅰ與安全區(qū)Ⅱ的業(yè)務(wù)系統(tǒng)都屬于電力生產(chǎn)系統(tǒng)，在線運(yùn)行，數(shù)據(jù)交換較多，關(guān)系密切，可作為一個(gè)生產(chǎn)控制的邏輯大區(qū)。安全區(qū)Ⅲ與安全區(qū)Ⅳ的業(yè)務(wù)系統(tǒng)都屬于管理信息系統(tǒng)，數(shù)據(jù)交換較多，關(guān)系密切，可作為一個(gè)管理信息的邏輯大區(qū)。

生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間的安全強(qiáng)度達(dá)到相互物理隔離，即DCS、輔控、SIS等實(shí)時(shí)系統(tǒng)網(wǎng)絡(luò)與MIS，OA等生產(chǎn)辦公網(wǎng)絡(luò)采用專用物理隔離設(shè)備進(jìn)行隔離。

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間、安全區(qū)Ⅲ與安全區(qū)Ⅳ之間的安全強(qiáng)度達(dá)到相互邏輯隔離， DCS、脫硫DCS、輔控等實(shí)時(shí)控制網(wǎng)絡(luò)和SIS等實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)之間采用硬件防火墻等設(shè)備進(jìn)行隔離，生產(chǎn)管理信息網(wǎng)絡(luò)和MIS，OA辦公網(wǎng)絡(luò)之間的邊界界定不明顯，可不做隔離要求。

安全區(qū)Ⅰ，Ⅱ在接入SPDnet時(shí)，配置縱向認(rèn)證加密裝置，實(shí)現(xiàn)網(wǎng)絡(luò)層雙向認(rèn)證、數(shù)據(jù)加密和控制訪問，也可以與業(yè)務(wù)系統(tǒng)的通信網(wǎng)關(guān)設(shè)備配合使用，實(shí)現(xiàn)傳輸層和應(yīng)用層的安全功能。

2 安全風(fēng)險(xiǎn)分析

高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連設(shè)計(jì)在為電力企業(yè)提供快速、方便、靈活通信平臺的同時(shí)，也為網(wǎng)絡(luò)的安全帶來了更大的風(fēng)險(xiǎn)。因此，在電力企業(yè)局域網(wǎng)上實(shí)施一套完整、可操作的安全模型不僅是可行的，而且是必需的。下面從物理、系統(tǒng)、網(wǎng)絡(luò)、管理、應(yīng)用5個(gè)層次，結(jié)合電力企業(yè)局域網(wǎng)應(yīng)用系統(tǒng)的實(shí)際情況進(jìn)行安全風(fēng)險(xiǎn)分析。

2.1 物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。網(wǎng)絡(luò)的物理安全主要指地震、水災(zāi)、火災(zāi)等環(huán)境事故及電源故障，人為操作失誤或錯(cuò)誤，設(shè)備被盜被毀、電磁干擾、線路截獲等安全風(fēng)險(xiǎn)，通常以高可用性的硬件，雙機(jī)多冗余的設(shè)計(jì)，設(shè)置機(jī)房環(huán)境報(bào)警系統(tǒng)，提高人員安全意識等措施進(jìn)行防范。

2.2 網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析

2.2.1 網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)的邊界是指2個(gè)不同安全級別的網(wǎng)絡(luò)的接入處，包括同Internet網(wǎng)的接入處，以及內(nèi)部網(wǎng)不同安全級別的子網(wǎng)之間的連接處。對于電力企業(yè)局域網(wǎng)邊界主要存在于Internet接入等外部網(wǎng)絡(luò)的連接處，以及內(nèi)部網(wǎng)絡(luò)中與上級單位及兄弟單位網(wǎng)絡(luò)之間不同安全級別子網(wǎng)的安全邊界。

電力企業(yè)局域網(wǎng)的管理人員有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其他的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。

2.2.2 網(wǎng)絡(luò)入侵風(fēng)險(xiǎn)分析

局域網(wǎng)邊界處利用防火墻進(jìn)行防護(hù)，可降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但僅僅使用防火墻，網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。入侵檢測技術(shù)是當(dāng)今一種非常重要的動態(tài)安全技術(shù)，它可以很好地彌補(bǔ)防火墻安全防護(hù)的不足。

2.3 系統(tǒng)層安全風(fēng)險(xiǎn)分析

2.3.1 主機(jī)系統(tǒng)風(fēng)險(xiǎn)

電力企業(yè)局域網(wǎng)的主機(jī)系統(tǒng)中存在大量不同操作系統(tǒng)，如Unix，Windows 2003 SERVER，Windows Vista，Windows XP等，這些操作系統(tǒng)自身也存在許多安全漏洞。

2.3.2 網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)

(1) 非授權(quán)訪問。沒有預(yù)先經(jīng)過同意就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看做非授權(quán)訪問，主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。

(2) 信息泄漏或丟失。指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏；信息在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽隧道等竊取敏感信息等。

(3) 破壞數(shù)據(jù)完整性。以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應(yīng)；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

(4) 拒絕服務(wù)攻擊。它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序，使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

(5) 利用網(wǎng)絡(luò)傳播病毒。通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，破壞性大大高于單機(jī)系統(tǒng)，且用戶很難防范。

黑客攻擊、通用網(wǎng)關(guān)接口(CGI)漏洞、惡意代碼病毒的攻擊、不滿的內(nèi)部員工等就是以上攻擊手段的具體表現(xiàn)。它們都具有非常強(qiáng)的破壞力和傳播能力，越是網(wǎng)絡(luò)應(yīng)用水平高、共享資源訪問頻繁的環(huán)境中，這些破壞就越大。

2.4 應(yīng)用層安全風(fēng)險(xiǎn)

應(yīng)用層安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括WEB，F(xiàn)TP，郵件系統(tǒng)，DNS等網(wǎng)絡(luò)基本服務(wù)系統(tǒng)、業(yè)務(wù)系統(tǒng)等。各應(yīng)用包括對外部和內(nèi)部的信息共享以及各種跨局域網(wǎng)的應(yīng)用方式，其安全需求是在信息共享的同時(shí)，保證信息資源的合法訪問及通信隱秘性。

應(yīng)用的安全性涉及信息、數(shù)據(jù)的安全性，包括機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機(jī)密性和完整性是可以保證的。有些特別重要的信息需要對內(nèi)部保密的(比如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞的重要信息)可以考慮在應(yīng)用級進(jìn)行加密。針對具體的應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。

2.5 管理層安全風(fēng)險(xiǎn)

管理是網(wǎng)絡(luò)安全中最重要的部分。在網(wǎng)絡(luò)安全中，安全策略和管理扮演著極其重要的角色，如果沒有有效的安全策略，沒有嚴(yán)格的安全管理制度來控制整個(gè)網(wǎng)絡(luò)的運(yùn)行，那么這個(gè)網(wǎng)絡(luò)就很可能處在一種混亂的狀態(tài)。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(shí)，無法進(jìn)行實(shí)時(shí)檢測、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求對站點(diǎn)的訪問活動進(jìn)行多層次記錄，以及時(shí)發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的手段，因此，最可行的做法是管理制度和管理模式的結(jié)合。

3 安全需求分析與安全目標(biāo)

3.1 安全需求分析

風(fēng)險(xiǎn)一旦發(fā)生將使系統(tǒng)造成很大的損失。為確保網(wǎng)絡(luò)安全，必須滿足以下安全需求。

(1) 需要將電力企業(yè)局域網(wǎng)劃分不同的安全域，各域之間部署防火墻實(shí)現(xiàn)相互隔離及訪問控制。

(2) 需要在局域網(wǎng)與省公司網(wǎng)的邊界處部署防火墻實(shí)現(xiàn)訪問控制。

(3) 需要在本地局域網(wǎng)與省公司網(wǎng)的邊界處部署入侵檢測探測器。

(4) 需要在網(wǎng)中部署全方位的網(wǎng)絡(luò)防病毒系統(tǒng)。

(5) 需要在網(wǎng)中部署漏洞掃描系統(tǒng)。

(6) 需要建立統(tǒng)一的安全管理中心。

(7) 需要制定局域網(wǎng)安全策略。

3.2 安全目標(biāo)

(1) 建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。

(2) 將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信。

(3) 建立網(wǎng)站各主機(jī)和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全。

(4) 對網(wǎng)上服務(wù)請求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕。

(5) 加強(qiáng)合法用戶的訪問認(rèn)證，同時(shí)將用戶的訪問權(quán)限控制在最低限度。

(6) 全面監(jiān)視對公開服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。加強(qiáng)對各種訪問的審計(jì)工作，詳細(xì)記錄對網(wǎng)絡(luò)、公開服務(wù)器的訪問行為，形成完整的系統(tǒng)日志。

(7) 備份與災(zāi)難恢復(fù)—強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)。

(8) 加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員的網(wǎng)絡(luò)安全意識和防范技術(shù)水平。

4 整體安全模型

4.1 安全模型設(shè)計(jì)原則

(1) 綜合性、整體性原則。應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及制度具體措施。安全措施主要包括行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)措施(識別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全性產(chǎn)品等)。計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。

(2) 需求、風(fēng)險(xiǎn)、代價(jià)平衡原則。對一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

(3) 一致性原則。指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。

(4) 易操作性原則。安全措施需要人去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。

(5) 分步實(shí)施原則。分步實(shí)施，既可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需求，亦可節(jié)省費(fèi)用開支。

(6) 多重保護(hù)原則。建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息安全。

(7) 可評價(jià)性原則。如何預(yù)先評價(jià)一個(gè)安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)的安全性，這需要通過國家有關(guān)網(wǎng)絡(luò)信息安全測評認(rèn)證機(jī)構(gòu)的評估來實(shí)現(xiàn)。

4.2 安全服務(wù)、機(jī)制與技術(shù)

(1) 安全服務(wù)。包括控制服務(wù)、對象認(rèn)證服務(wù)、可靠性服務(wù)等。

(2) 安全機(jī)制。包括訪問控制機(jī)制、認(rèn)證機(jī)制等。

(3) 安全技術(shù)。包括防火墻技術(shù)、鑒別技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)等。（待續(xù)）