關良輝

（大唐華銀株洲第二發(fā)電廠，湖南 株洲 412005）

隨著信息化的日益深入，研究電力系統(tǒng)信息安全問題、開發(fā)相應的應用系統(tǒng)、制定電力系統(tǒng)信息遭受外部攻擊時的防范與系統(tǒng)恢復措施等信息安全戰(zhàn)略，使電力信息網(wǎng)絡系統(tǒng)不受黑客和病毒入侵，保障數(shù)據(jù)傳輸?shù)陌踩?、可靠性，就成為當前信息化工作的重要?nèi)容。下面就電力企業(yè)局域網(wǎng)信息安全所涉及的問題做一分析。

1 網(wǎng)絡系統(tǒng)概況

電力企業(yè)局域網(wǎng)一般是一個信息點較為密集的千兆局域網(wǎng)絡系統(tǒng)。它所聯(lián)接的近千個信息點為整個企業(yè)各部門提供了一個快速、方便的信息交流平臺，通過千兆交換機在主干網(wǎng)絡上提供1 000 M的獨享帶寬，通過下級交換機與各部門的工作站和服務器連結(jié)，并為之提供100 M的獨享帶寬。其基本功能包括FTP，Telnet，Mail及WWW，News，BBS等客戶機/服務器方式的服務。網(wǎng)絡中包含有各種各樣的設備：服務器系統(tǒng)、路由器、交換機、工作站、終端等，并通過專線與Internet互聯(lián)網(wǎng)相聯(lián)。各地市電力公司/電廠的網(wǎng)絡基本采用TCP/IP以太網(wǎng)星型拓撲結(jié)構(gòu)，而它們的外聯(lián)出口通常為上一級電力公司網(wǎng)絡。

電力企業(yè)局域網(wǎng)按發(fā)電廠各相關應用系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將局域網(wǎng)劃分為4個安全區(qū)：Ⅰ實時控制區(qū)、Ⅱ非控制生產(chǎn)區(qū)、Ⅲ生產(chǎn)管理區(qū)、Ⅳ管理信息區(qū)。不同的安全區(qū)確定了不同的安全防護要求，從而決定了不同的安全等級和防護水平。其中安全區(qū)Ⅰ的安全等級最高，依次遞減，安全區(qū)Ⅳ的安全等級最低。

安全區(qū)Ⅰ與安全區(qū)Ⅱ的業(yè)務系統(tǒng)都屬于電力生產(chǎn)系統(tǒng)，在線運行，數(shù)據(jù)交換較多，關系密切，可作為一個生產(chǎn)控制的邏輯大區(qū)。安全區(qū)Ⅲ與安全區(qū)Ⅳ的業(yè)務系統(tǒng)都屬于管理信息系統(tǒng)，數(shù)據(jù)交換較多，關系密切，可作為一個管理信息的邏輯大區(qū)。

生產(chǎn)控制的邏輯大區(qū)與管理信息的邏輯大區(qū)之間的安全強度達到相互物理隔離，即DCS、輔控、SIS等實時系統(tǒng)網(wǎng)絡與MIS，OA等生產(chǎn)辦公網(wǎng)絡采用專用物理隔離設備進行隔離。

安全區(qū)Ⅰ與安全區(qū)Ⅱ之間、安全區(qū)Ⅲ與安全區(qū)Ⅳ之間的安全強度達到相互邏輯隔離， DCS、脫硫DCS、輔控等實時控制網(wǎng)絡和SIS等實時監(jiān)測網(wǎng)絡之間采用硬件防火墻等設備進行隔離，生產(chǎn)管理信息網(wǎng)絡和MIS，OA辦公網(wǎng)絡之間的邊界界定不明顯，可不做隔離要求。

安全區(qū)Ⅰ，Ⅱ在接入SPDnet時，配置縱向認證加密裝置，實現(xiàn)網(wǎng)絡層雙向認證、數(shù)據(jù)加密和控制訪問，也可以與業(yè)務系統(tǒng)的通信網(wǎng)關設備配合使用，實現(xiàn)傳輸層和應用層的安全功能。

2 安全風險分析

高速交換技術的采用、靈活的網(wǎng)絡互連設計在為電力企業(yè)提供快速、方便、靈活通信平臺的同時，也為網(wǎng)絡的安全帶來了更大的風險。因此，在電力企業(yè)局域網(wǎng)上實施一套完整、可操作的安全模型不僅是可行的，而且是必需的。下面從物理、系統(tǒng)、網(wǎng)絡、管理、應用5個層次，結(jié)合電力企業(yè)局域網(wǎng)應用系統(tǒng)的實際情況進行安全風險分析。

2.1 物理安全風險分析

網(wǎng)絡的物理安全是整個網(wǎng)絡系統(tǒng)安全的前提。網(wǎng)絡的物理安全主要指地震、水災、火災等環(huán)境事故及電源故障，人為操作失誤或錯誤，設備被盜被毀、電磁干擾、線路截獲等安全風險，通常以高可用性的硬件，雙機多冗余的設計，設置機房環(huán)境報警系統(tǒng)，提高人員安全意識等措施進行防范。

2.2 網(wǎng)絡層安全風險分析

2.2.1 網(wǎng)絡邊界風險分析

網(wǎng)絡的邊界是指2個不同安全級別的網(wǎng)絡的接入處，包括同Internet網(wǎng)的接入處，以及內(nèi)部網(wǎng)不同安全級別的子網(wǎng)之間的連接處。對于電力企業(yè)局域網(wǎng)邊界主要存在于Internet接入等外部網(wǎng)絡的連接處，以及內(nèi)部網(wǎng)絡中與上級單位及兄弟單位網(wǎng)絡之間不同安全級別子網(wǎng)的安全邊界。

電力企業(yè)局域網(wǎng)的管理人員有必要將公開服務器、內(nèi)部網(wǎng)絡與外部網(wǎng)絡進行隔離，避免網(wǎng)絡結(jié)構(gòu)信息外泄；同時還要對外網(wǎng)的服務請求加以過濾，只允許正常通信的數(shù)據(jù)包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。

2.2.2 網(wǎng)絡入侵風險分析

局域網(wǎng)邊界處利用防火墻進行防護，可降低網(wǎng)絡安全風險。但僅僅使用防火墻，網(wǎng)絡安全還遠遠不夠。入侵檢測技術是當今一種非常重要的動態(tài)安全技術，它可以很好地彌補防火墻安全防護的不足。

2.3 系統(tǒng)層安全風險分析

2.3.1 主機系統(tǒng)風險

電力企業(yè)局域網(wǎng)的主機系統(tǒng)中存在大量不同操作系統(tǒng)，如Unix，Windows 2003 SERVER，Windows Vista，Windows XP等，這些操作系統(tǒng)自身也存在許多安全漏洞。

2.3.2 網(wǎng)絡攻擊風險

(1) 非授權訪問。沒有預先經(jīng)過同意就使用網(wǎng)絡或計算機資源被看做非授權訪問，主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權方式進行操作等。

(2) 信息泄漏或丟失。指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏；信息在存儲介質(zhì)中丟失或泄漏；通過建立隱蔽隧道等竊取敏感信息等。

(3) 破壞數(shù)據(jù)完整性。以非法手段竊得對數(shù)據(jù)的使用權，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于攻擊者的響應；惡意添加、修改數(shù)據(jù)，以干擾用戶的正常使用。

(4) 拒絕服務攻擊。它不斷對網(wǎng)絡服務系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關程序，使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。

(5) 利用網(wǎng)絡傳播病毒。通過網(wǎng)絡傳播計算機病毒，破壞性大大高于單機系統(tǒng)，且用戶很難防范。

黑客攻擊、通用網(wǎng)關接口(CGI)漏洞、惡意代碼病毒的攻擊、不滿的內(nèi)部員工等就是以上攻擊手段的具體表現(xiàn)。它們都具有非常強的破壞力和傳播能力，越是網(wǎng)絡應用水平高、共享資源訪問頻繁的環(huán)境中，這些破壞就越大。

2.4 應用層安全風險

應用層安全是指用戶在網(wǎng)絡上的應用系統(tǒng)的安全，包括WEB，F(xiàn)TP，郵件系統(tǒng)，DNS等網(wǎng)絡基本服務系統(tǒng)、業(yè)務系統(tǒng)等。各應用包括對外部和內(nèi)部的信息共享以及各種跨局域網(wǎng)的應用方式，其安全需求是在信息共享的同時，保證信息資源的合法訪問及通信隱秘性。

應用的安全性涉及信息、數(shù)據(jù)的安全性，包括機密信息泄露、未經(jīng)授權的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。由于企業(yè)局域網(wǎng)跨度不大，絕大部分重要信息都在內(nèi)部傳遞，因此信息的機密性和完整性是可以保證的。有些特別重要的信息需要對內(nèi)部保密的(比如領導子網(wǎng)、財務系統(tǒng)傳遞的重要信息)可以考慮在應用級進行加密。針對具體的應用直接在應用系統(tǒng)開發(fā)時進行加密。

2.5 管理層安全風險

管理是網(wǎng)絡安全中最重要的部分。在網(wǎng)絡安全中，安全策略和管理扮演著極其重要的角色，如果沒有有效的安全策略，沒有嚴格的安全管理制度來控制整個網(wǎng)絡的運行，那么這個網(wǎng)絡就很可能處在一種混亂的狀態(tài)。當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時，無法進行實時檢測、監(jiān)控、報告與預警。同時，事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡的可控性與可審查性。這就要求對站點的訪問活動進行多層次記錄，以及時發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡安全機制，必須深刻理解網(wǎng)絡并能提供直接的手段，因此，最可行的做法是管理制度和管理模式的結(jié)合。

3 安全需求分析與安全目標

3.1 安全需求分析

風險一旦發(fā)生將使系統(tǒng)造成很大的損失。為確保網(wǎng)絡安全，必須滿足以下安全需求。

(1) 需要將電力企業(yè)局域網(wǎng)劃分不同的安全域，各域之間部署防火墻實現(xiàn)相互隔離及訪問控制。

(2) 需要在局域網(wǎng)與省公司網(wǎng)的邊界處部署防火墻實現(xiàn)訪問控制。

(3) 需要在本地局域網(wǎng)與省公司網(wǎng)的邊界處部署入侵檢測探測器。

(4) 需要在網(wǎng)中部署全方位的網(wǎng)絡防病毒系統(tǒng)。

(5) 需要在網(wǎng)中部署漏洞掃描系統(tǒng)。

(6) 需要建立統(tǒng)一的安全管理中心。

(7) 需要制定局域網(wǎng)安全策略。

3.2 安全目標

(1) 建立一套完整可行的網(wǎng)絡安全與網(wǎng)絡管理策略。

(2) 將內(nèi)部網(wǎng)絡、公開服務器網(wǎng)絡和外網(wǎng)進行有效隔離，避免與外部網(wǎng)絡的直接通信。

(3) 建立網(wǎng)站各主機和服務器的安全保護措施，保證系統(tǒng)安全。

(4) 對網(wǎng)上服務請求內(nèi)容進行控制，使非法訪問在到達主機前被拒絕。

(5) 加強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度。

(6) 全面監(jiān)視對公開服務器的訪問，及時發(fā)現(xiàn)和拒絕不安全的操作和黑客攻擊行為。加強對各種訪問的審計工作，詳細記錄對網(wǎng)絡、公開服務器的訪問行為，形成完整的系統(tǒng)日志。

(7) 備份與災難恢復—強化系統(tǒng)備份，實現(xiàn)系統(tǒng)快速恢復。

(8) 加強網(wǎng)絡安全管理，提高系統(tǒng)全體人員的網(wǎng)絡安全意識和防范技術水平。

4 整體安全模型

4.1 安全模型設計原則

(1) 綜合性、整體性原則。應用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡的安全及制度具體措施。安全措施主要包括行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業(yè)措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、采用高安全性產(chǎn)品等)。計算機網(wǎng)絡安全應遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定合理的網(wǎng)絡安全體系結(jié)構(gòu)。

(2) 需求、風險、代價平衡原則。對一個網(wǎng)絡進行實際額研究(包括任務、性能、結(jié)構(gòu)、可靠性、可維護性等)，并對網(wǎng)絡面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。

(3) 一致性原則。指網(wǎng)絡安全問題應與整個網(wǎng)絡的工作周期(或生命周期)同時存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡的安全需求相一致。

(4) 易操作性原則。安全措施需要人去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。

(5) 分步實施原則。分步實施，既可滿足網(wǎng)絡系統(tǒng)及信息安全的基本需求，亦可節(jié)省費用開支。

(6) 多重保護原則。建立一個多重保護系統(tǒng)，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息安全。

(7) 可評價性原則。如何預先評價一個安全設計并驗證其網(wǎng)絡的安全性，這需要通過國家有關網(wǎng)絡信息安全測評認證機構(gòu)的評估來實現(xiàn)。

4.2 安全服務、機制與技術

(1) 安全服務。包括控制服務、對象認證服務、可靠性服務等。

(2) 安全機制。包括訪問控制機制、認證機制等。

(3) 安全技術。包括防火墻技術、鑒別技術、審計監(jiān)控技術、病毒防治技術等。（待續(xù)）