分析安全隔離技術(shù)運(yùn)用在電力信息網(wǎng)絡(luò)安全防護(hù)中的效果

摘要：隨著國(guó)民生活質(zhì)量的增長(zhǎng)，社會(huì)公眾開始對(duì)與日常生活息息相關(guān)的電力信息網(wǎng)絡(luò)安全管理提出了更多、更嚴(yán)格的要求。結(jié)合現(xiàn)有的電力信息網(wǎng)絡(luò)安全防護(hù)現(xiàn)狀來看，存在較多的不足之處，影響電力信息網(wǎng)絡(luò)總體安全性。為此，本次研究著重分析了安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用，并探討了具體的應(yīng)用效果，旨在為相關(guān)人員提供參考。

關(guān)鍵詞：安全隔離技術(shù)；電力信息；網(wǎng)絡(luò)安全；防護(hù)；效果

信息技術(shù)的不斷發(fā)展進(jìn)步，有效推進(jìn)了電力工業(yè)未來面向更加信息化的方向進(jìn)步，同時(shí)也為電力系統(tǒng)信息工程的建設(shè)與發(fā)展發(fā)揮了重要助推作用。雖然電力系統(tǒng)構(gòu)建為國(guó)民生產(chǎn)生活帶來了便利，但是隨著時(shí)間的累積，也開始出現(xiàn)越來越多的網(wǎng)絡(luò)安全問題，從而誘發(fā)各類信息系統(tǒng)安全風(fēng)險(xiǎn)，導(dǎo)致電力信息安全遭受威脅。鑒于此，本次結(jié)合安全隔離技術(shù)進(jìn)行防護(hù)效果分析具有重要意義。

一、電力信息網(wǎng)的安全狀況

電力企業(yè)的經(jīng)營(yíng)發(fā)展中，安全管理工作很大程度需要依賴于信息技術(shù)、網(wǎng)絡(luò)技術(shù)以及科學(xué)技術(shù)水平的提升。但同時(shí)，伴隨著信息技術(shù)的不斷發(fā)展進(jìn)步，電力系統(tǒng)運(yùn)行期間的信息安全管理問題也隨之日益突出起來，甚至由于信息系統(tǒng)所爆發(fā)的安全問題，已經(jīng)嚴(yán)重影響了國(guó)家電力安全建設(shè)水平提升[1]。結(jié)合電力企業(yè)當(dāng)前的網(wǎng)絡(luò)信息安全管理現(xiàn)狀進(jìn)行分析，可以發(fā)現(xiàn)以下內(nèi)容：

其一，電力信息網(wǎng)絡(luò)在結(jié)構(gòu)構(gòu)成上，相對(duì)更為復(fù)雜，因此在數(shù)據(jù)量統(tǒng)計(jì)工作任務(wù)完成方面壓力比較大，基本承載電力企業(yè)全部業(yè)務(wù)信息，包括電力的營(yíng)銷、交易等，一旦發(fā)生信息安全問題，影響企業(yè)經(jīng)濟(jì)效益的同時(shí)，還會(huì)直接對(duì)社會(huì)發(fā)展穩(wěn)定性構(gòu)成威脅。

其二，電力企業(yè)經(jīng)營(yíng)管理中，所有的網(wǎng)絡(luò)信息接收和發(fā)布，均需要依賴于互聯(lián)網(wǎng)的支持，一旦發(fā)生黑客突然攻擊事件或是非法入侵事件，就會(huì)直接影響到電力系統(tǒng)內(nèi)部數(shù)據(jù)安全以及電力調(diào)度管理成效。

其三，部分電力企業(yè)在進(jìn)行信息管理時(shí)，對(duì)于重要信息乃至機(jī)密信息的保護(hù)意識(shí)仍然有較大的提升空間，且信息管理過于依賴集成化管理模式，導(dǎo)致數(shù)據(jù)庫(kù)安全管控強(qiáng)度存在不一致的情況，最終影響電力信息安全防護(hù)效果。

二、安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用

（一）硬件防護(hù)技術(shù)

本次電力信息網(wǎng)絡(luò)安全防護(hù)過程中，應(yīng)用安全隔離技術(shù)開展防護(hù)工作時(shí)，采用了如圖1所示的隔離設(shè)備完成，主要以虛線框部位為主，隔離硬件組成包含兩個(gè)接口計(jì)算機(jī)，且為計(jì)算機(jī)配置了中軟Linux操作系統(tǒng)，將安全等級(jí)提升至B1級(jí)別，并將所有的常規(guī)性網(wǎng)絡(luò)功能全部剔除掉，以此提升研究的針對(duì)性[2]。兩個(gè)接口計(jì)算機(jī)在功能上，主要用于去完成計(jì)算機(jī)實(shí)時(shí)、信息兩個(gè)系統(tǒng)的接口安全管理工作，其中，接口計(jì)算機(jī)A的信息網(wǎng)絡(luò)中需要設(shè)置網(wǎng)絡(luò)結(jié)點(diǎn)，本次為1個(gè)，接口計(jì)算機(jī)B的信息網(wǎng)絡(luò)設(shè)置同上，在A與B連接時(shí)，選用高速數(shù)據(jù)總線完成連接，包括通用串行總線口（USB）以及雙端口（RAM）等，目的在于全面確保物理層中的網(wǎng)絡(luò)數(shù)據(jù)傳輸安全。上述物理層安全隔離工作的開展，也明顯將對(duì)接口計(jì)算機(jī)的安全成效提升。

（二）軟件防護(hù)技術(shù)

進(jìn)行電力信息網(wǎng)絡(luò)安全防護(hù)處理時(shí)，除需要做好安全隔離硬件防護(hù)工作以外，在軟件防護(hù)方面也不可忽視，本次研究中結(jié)合圖2中的內(nèi)容展開防護(hù)分析工作。軟件配置中，分別配置了2個(gè)接口計(jì)算機(jī)，且計(jì)算中還相應(yīng)地配置了訪問控制、綜合過濾、應(yīng)用代理模塊等，上述配置下，所有來源于非實(shí)時(shí)網(wǎng)絡(luò)的數(shù)據(jù)信息（報(bào)文）均需要外網(wǎng)側(cè)的接口計(jì)算機(jī)來對(duì)其進(jìn)行過濾處理，且當(dāng)數(shù)據(jù)信息傳輸符合安全規(guī)則之時(shí)，即要求數(shù)據(jù)信息順利通過合法的MAC/IP地址以及端口的安全過濾之后，才能按照程序連接到訪問控制模塊中完成對(duì)應(yīng)的處理工作。安全隔離軟件技術(shù)應(yīng)用中，訪問控制也可充分應(yīng)用安全認(rèn)證技術(shù)，將部分不合法的連接需求和申請(qǐng)全部截?cái)?，例如在?shù)據(jù)申請(qǐng)傳輸時(shí)，唯有其通過由內(nèi)網(wǎng)面向外網(wǎng)的連接請(qǐng)求審核之后，才能實(shí)現(xiàn)數(shù)據(jù)傳輸目標(biāo)。當(dāng)已經(jīng)建立起合法的連接程序之后，應(yīng)該結(jié)合數(shù)據(jù)傳輸?shù)木唧w安全需求，去分別接入不同安全等級(jí)的網(wǎng)關(guān)服務(wù)代理，并借此達(dá)成應(yīng)用協(xié)議級(jí)的安全控制目標(biāo)，例如在數(shù)據(jù)送出處理時(shí)，只能且唯一的送出通道就是實(shí)時(shí)網(wǎng)絡(luò)（內(nèi)網(wǎng)側(cè)），且外網(wǎng)側(cè)不得面向內(nèi)網(wǎng)側(cè)去輸入數(shù)據(jù)信息，此項(xiàng)軟件安全隔離設(shè)計(jì)目的，主要是為了保障所有的數(shù)據(jù)傳輸流均是由內(nèi)網(wǎng)側(cè)面向外網(wǎng)側(cè)傳輸，且以單向數(shù)據(jù)傳輸流為主。

另外，在內(nèi)、外網(wǎng)側(cè)的接口計(jì)算機(jī)安全隔離處理時(shí)，應(yīng)該結(jié)合非標(biāo)準(zhǔn)通信接口的數(shù)據(jù)要求去配置更契合電力信息傳輸需求的交換程序，隨后按照自定義交換協(xié)議的各項(xiàng)要求，順利完成數(shù)據(jù)雙方的信息傳輸和轉(zhuǎn)發(fā)。經(jīng)過上述一系列的數(shù)據(jù)傳輸安全隔離處理之后，數(shù)據(jù)出現(xiàn)傳輸請(qǐng)求時(shí)，就必須從外網(wǎng)側(cè)面向內(nèi)網(wǎng)側(cè)完成傳輸和控制，且均需要經(jīng)過多層控制，在此過程中，內(nèi)網(wǎng)、外網(wǎng)的主機(jī)之間，不會(huì)形成直接通信渠道，且數(shù)據(jù)在轉(zhuǎn)發(fā)時(shí)，也主要采用非標(biāo)準(zhǔn)的協(xié)議完成。綜合本次研究中所使用安全隔離軟件技術(shù)來講，初步達(dá)成了鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層三方之間的安全隔離目標(biāo)，以此為電力信息安全的防護(hù)成效提升起到促進(jìn)作用。

三、安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的實(shí)現(xiàn)

（一）代理服務(wù)實(shí)現(xiàn)

電力信息網(wǎng)絡(luò)安全防護(hù)工作開展過程中，安全隔離技術(shù)應(yīng)用時(shí)，必須做好其技術(shù)實(shí)現(xiàn)的相關(guān)管理工作，才能進(jìn)一步提升信息安全的防護(hù)成效，而做好代理服務(wù)的實(shí)現(xiàn)管理就顯得至關(guān)重要。本次安全隔離技術(shù)應(yīng)用中，主要通過對(duì)代理服務(wù)器充分與外網(wǎng)側(cè)之間所構(gòu)建的有效應(yīng)用連接，來達(dá)成內(nèi)網(wǎng)信息傳遞和運(yùn)輸?shù)陌踩Ч?，究其原因，主要是由于安全隔離技術(shù)應(yīng)用下，將電力信息的內(nèi)網(wǎng)系統(tǒng)隔離為一類獨(dú)立存在且呈封閉狀態(tài)的網(wǎng)絡(luò)環(huán)境。具體而言，在實(shí)現(xiàn)代理服務(wù)的過程中，應(yīng)該充分做好以下工作內(nèi)容：

其一，應(yīng)用代理服務(wù)完成安全隔離管理工作時(shí)，不僅可以發(fā)揮安全控制功能，還能夠同步為CACHE功能的運(yùn)行效率提升起到促進(jìn)作用，促使網(wǎng)絡(luò)安全響應(yīng)速度得到提升。

其二，在代理服務(wù)器的日志統(tǒng)計(jì)后，主要是為電力信息網(wǎng)絡(luò)安全管理員提供必要的、延伸類型的管理信息，以此促進(jìn)代理服務(wù)的安全隔離管理效果提升。

其三，本次研究中，所選用的代理服務(wù)器包括但不限于HTTP、FTP兩種，還專項(xiàng)為提升安全隔離技術(shù)應(yīng)用成效，配置了幾種電力行業(yè)內(nèi)專用的通信協(xié)議代理，主要為IEC TASE、DL476-92等。

（二）綜合過濾實(shí)現(xiàn)

常規(guī)性的網(wǎng)絡(luò)信息傳遞過程中，包過濾功能的運(yùn)行，是所有網(wǎng)絡(luò)數(shù)據(jù)成功、安全傳輸?shù)幕A(chǔ)性支持技術(shù)，在此過程中，安全過濾功能會(huì)將數(shù)據(jù)IP包之內(nèi)的所有信息截獲，并逐步分析每一個(gè)IP之中的數(shù)據(jù)信息源地址、目的地址以及端口號(hào)等，唯有IP數(shù)據(jù)包之中的所有網(wǎng)絡(luò)數(shù)據(jù)信息均通過安全系統(tǒng)綜合查驗(yàn)之后，才能通過“過濾網(wǎng)”，并在過濾邏輯支持下，完成各類IP數(shù)據(jù)包的傳遞和傳播。對(duì)于過濾安全審查中不滿足各類安全需求的IP數(shù)據(jù)包，將會(huì)被安全系統(tǒng)拋棄，隔離在傳輸范圍外。進(jìn)行安全隔離防護(hù)處理期間，需要將三條規(guī)則鏈內(nèi)置于Linux內(nèi)核之中，規(guī)則鏈分別是接收安全檢測(cè)規(guī)則鏈（input chain）、轉(zhuǎn)發(fā)安全檢測(cè)規(guī)則鏈（forward chain）以及發(fā)送安全檢測(cè)規(guī)則鏈（output chain）這三種，不同的規(guī)則鏈運(yùn)行之時(shí)，所對(duì)應(yīng)的運(yùn)行函數(shù)分別是接收安全檢測(cè)規(guī)則鏈[p_rcv（ ）]、轉(zhuǎn)發(fā)安全檢測(cè)規(guī)則鏈[ip_forward（ ）]以及發(fā)送安全檢測(cè)規(guī)則鏈[ip_output（ ）]這三種，但需要重點(diǎn)注意，不同的安全檢測(cè)規(guī)則鏈運(yùn)行之時(shí)，會(huì)執(zhí)行缺省策略。另外，借助對(duì)不同規(guī)則鏈的命令和處理，包括輸入、轉(zhuǎn)發(fā)、輸出等流程，均需要對(duì)其往復(fù)傳遞的數(shù)據(jù)包進(jìn)行安全過濾。

（三）非網(wǎng)絡(luò)接口的數(shù)據(jù)交換

本次研究中，著重對(duì)Linux之內(nèi)的USB驅(qū)動(dòng)程序做好安全隔離防護(hù)應(yīng)用工作，并在此過程中高度利用自定義模式的交換協(xié)議，推進(jìn)雙機(jī)之間的數(shù)據(jù)安全傳輸工作，主要將解決方案應(yīng)用于兩方面，首先是電力信息數(shù)據(jù)傳輸帶寬提升方面，其間，替換掉傳統(tǒng)的一問一答式安全機(jī)制完成數(shù)據(jù)傳輸處理，而是更新為“窗口機(jī)制”，要求完成4個(gè)報(bào)文后等待1個(gè)應(yīng)答報(bào)文，以此促使信息數(shù)據(jù)的交換速率提升至限速標(biāo)準(zhǔn)[3]。其次，需要解決掉多路重復(fù)利用的問題。具體而言，進(jìn)行非網(wǎng)絡(luò)接口的數(shù)據(jù)交換處理時(shí)，需要重點(diǎn)做好如下安全隔離防護(hù)處理工作：

其一，為了找出多路復(fù)用問題解決方案，避免電力信息系統(tǒng)傳輸遭受安全風(fēng)險(xiǎn)威脅，同時(shí)也為了提升代理服務(wù)水平，需要將代理進(jìn)程與內(nèi)、外兩個(gè)網(wǎng)側(cè)的守護(hù)進(jìn)程做數(shù)據(jù)交換處理，主要借助數(shù)據(jù)傳輸管道來完成。當(dāng)此過程中出現(xiàn)新客戶端登錄狀況時(shí)，安全防護(hù)系統(tǒng)會(huì)直接將其進(jìn)程與外網(wǎng)側(cè)的守護(hù)進(jìn)程之間建立起關(guān)聯(lián)性，并由守護(hù)進(jìn)程派生子進(jìn)程，用以完成新客戶端進(jìn)程的數(shù)據(jù)傳輸安全檢測(cè)和處理工作。與此同時(shí)，外網(wǎng)側(cè)守護(hù)進(jìn)程運(yùn)行中，還會(huì)獲取到派生子進(jìn)程的pid數(shù)值，并將其以參數(shù)的功能下發(fā)給本地?cái)?shù)據(jù)傳輸進(jìn)程，而本地將派生的子進(jìn)程pid數(shù)值存儲(chǔ)之后，才會(huì)將該數(shù)值傳遞至對(duì)方系統(tǒng)的數(shù)據(jù)傳輸進(jìn)程，對(duì)方系統(tǒng)接收到該pid值時(shí)，則會(huì)將該值傳遞至內(nèi)網(wǎng)側(cè)守護(hù)進(jìn)程，以此完成安全防護(hù)目的。

其二，所有電力信息數(shù)據(jù)傳遞的過程中，所涉及的PID數(shù)值都是唯一的，因此當(dāng)系統(tǒng)運(yùn)行中發(fā)送或是接收PID數(shù)值后，可以在信息封裝的基礎(chǔ)上將其直接賦值于某一個(gè)數(shù)據(jù)位之上，隨后再對(duì)信息之中的PID值做判斷分析，結(jié)合分析結(jié)果將其發(fā)送至內(nèi)網(wǎng)側(cè)守護(hù)進(jìn)程所派生的子進(jìn)程之中，以此提升電力信息整個(gè)傳輸過程的安全隔離防護(hù)質(zhì)量。

四、安全隔離技術(shù)運(yùn)用在電力信息網(wǎng)絡(luò)安全防護(hù)中的效果測(cè)試

（一）平均傳輸延遲

電力信息網(wǎng)絡(luò)安全防護(hù)及管理工作，想要全面凸顯出安全隔離技術(shù)的應(yīng)用效果，就必須針對(duì)隔離技術(shù)的效果做好測(cè)試工作，當(dāng)進(jìn)行平均傳輸延遲測(cè)試時(shí)，需要先行了解傳輸延遲的定義，其主要是指數(shù)據(jù)分組之下，最后一位從源結(jié)點(diǎn)，直至將信息傳輸?shù)侥康狞c(diǎn)之間所需要經(jīng)歷的時(shí)間長(zhǎng)度，整個(gè)傳輸過程，均需要依賴于網(wǎng)絡(luò)來完成。本次研究中，主要針對(duì)安全隔離技術(shù)支持下的兩種延遲進(jìn)行了效果測(cè)試，分別是直接連接時(shí)的延遲效果測(cè)試和代理服務(wù)下的延遲效果測(cè)試，具體測(cè)試結(jié)果如圖2所示。

（二）吞吐率

吞吐量主要是指，在網(wǎng)絡(luò)傳輸數(shù)據(jù)時(shí)，針對(duì)傳輸能力加以度量的一項(xiàng)數(shù)據(jù)統(tǒng)計(jì)方式，同時(shí)也用于指代單位時(shí)間內(nèi)網(wǎng)絡(luò)傳輸時(shí)的總體通信量。本次研究中將吞吐率主要?jiǎng)澐譃閮煞N，分別是總吞吐率和凈吞吐率。其中，總吞吐率是指固定的單位時(shí)間之內(nèi)，所有通過網(wǎng)絡(luò)完成信息傳輸?shù)臄?shù)據(jù)量；凈吞吐率是指固定的單位時(shí)間內(nèi)通過網(wǎng)絡(luò)完成用戶信息傳輸?shù)臄?shù)據(jù)量。進(jìn)行吞吐率的測(cè)量和評(píng)價(jià)時(shí)，最為直觀、便捷的方法，就是將端到端的用戶吞吐量計(jì)算出來，隨后用計(jì)算結(jié)果去處于整個(gè)傳輸過程的數(shù)據(jù)傳送時(shí)間，具體的計(jì)算公式如下：

" " " " " " " " （1）

公式中，M指代的是信息傳輸?shù)耐掏铝?，T指代的是數(shù)據(jù)完成全程傳送的總體時(shí)間，本次研究中T主要用于指代信息傳遞的延遲時(shí)間，具體的信息傳遞吞吐率示意圖如圖3所示。

結(jié)合上述圖2、圖3中的內(nèi)容進(jìn)行分析可以發(fā)現(xiàn)，以太網(wǎng)直接連接和通過隔離設(shè)備連接時(shí)的端到端傳輸延遲和有效吞吐量的比較。通過測(cè)試和分析能夠發(fā)現(xiàn)，在傳輸電力信息數(shù)據(jù)規(guī)格在4k以內(nèi)的信息時(shí)，以太網(wǎng)直接連接下與隔離設(shè)備應(yīng)用連接下，其傳輸?shù)难舆t性和吞吐率處理上，為各方面相對(duì)等的測(cè)試結(jié)果。但是，常規(guī)情況下電力實(shí)時(shí)控制網(wǎng)絡(luò)的數(shù)據(jù)傳輸尺寸往往低于4k，由此可見，應(yīng)用網(wǎng)絡(luò)安全隔離技術(shù)完成電力數(shù)據(jù)信息的管理工作，高度有利于電力信息安全管理成效提升。

五、結(jié)束語

綜上所述，網(wǎng)絡(luò)安全管理工作本身，屬于一類十分復(fù)雜的問題，且問題主要集中在技術(shù)更新層面。網(wǎng)絡(luò)安全隔離技術(shù)作為一類能夠達(dá)成實(shí)時(shí)管控網(wǎng)絡(luò)安全的技術(shù)手段，在電力信息安全防護(hù)方面發(fā)揮了極大的作用。一方面，需要做好硬件隔離的安全技術(shù)應(yīng)用工作，促使管理工作質(zhì)量隨之得以提升。另一方面，則主要集中在軟件隔離技術(shù)應(yīng)用方面，以此實(shí)現(xiàn)應(yīng)用配置、系統(tǒng)管理等多個(gè)層面的安全防護(hù)成效，最終促進(jìn)電力信息安全管理水平隨之得到提升。

作者單位：謝光南 長(zhǎng)春市德普信息技術(shù)有限公司

參" 考" 文" 獻(xiàn)

[1] 房亮. 安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2021（05）：132-133.

[2] 潘丹，謝靜怡，劉宇軒，等.安全隔離技術(shù)在電力信息網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J]. 絲路視野，2021（15）：118-119.

[3] 羅靖，毛源睿. 安全隔離技術(shù)在電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用[J]. 電力系統(tǒng)裝備，2021（24）：126-127.

謝光南（1982.08-），男，漢族，吉林長(zhǎng)春，本科，中級(jí)工程師，研究方向：網(wǎng)絡(luò)安全，信息安全，網(wǎng)絡(luò)安全法相關(guān) 國(guó)家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)。