電力系統(tǒng)數(shù)據(jù)網(wǎng)絡安全性設計

　　0引言
　　
　　計算機網(wǎng)絡是電力信息化工程的基礎設施。計算機網(wǎng)絡的安全性已成為電力系統(tǒng)（業(yè)務）正常運行的關鍵。在物理容災方面，電力系統(tǒng)目前的防護措施已較為完善，而在對黑客攻擊與網(wǎng)絡化病毒的防護方面，特別是黑客攻擊，雖然已建立了初步的防護體系，但由于電力系統(tǒng)數(shù)據(jù)網(wǎng)絡在建設和管理中缺乏有效的指導，同時也因黑客技術的不斷發(fā)展，在這方面還遠遠不能達到應有的效果。因此，如何優(yōu)化已有的系統(tǒng)軟件和安全產品，如何建立多層次的安全防護體系，仍是電力數(shù)據(jù)網(wǎng)絡發(fā)展中必須面對的重要問題。
　　
　　本文通過對電力數(shù)據(jù)網(wǎng)絡的結構及應用進行分析，結合電力數(shù)據(jù)網(wǎng)絡實際，給出了電力數(shù)據(jù)網(wǎng)絡的整體安全防護策略及電力企業(yè)網(wǎng)絡建設與管理的具體安全策略，并指出了網(wǎng)絡安全性設計的誤區(qū)。
　　
　　1電力數(shù)據(jù)網(wǎng)絡的結構與應用
　　
　　我國電力系統(tǒng)已基本建成了如圖1所示的分級電力數(shù)據(jù)網(wǎng)絡（CEDnet）。隨著網(wǎng)絡覆蓋面的擴大，網(wǎng)上電力信息資源不斷豐富，各種應用也在不斷發(fā)展和深入，發(fā)電廠與變電站自動化監(jiān)控系統(tǒng)、電網(wǎng)調度自動化系統(tǒng)、電力負荷管理系統(tǒng)、電力CAD系統(tǒng)、管理信息系統(tǒng)（MIS）等均作為電力信息化重大工程投入了大量人力和物力。　　
　　綜合起來，電力系統(tǒng)數(shù)據(jù)網(wǎng)絡的應用可分為兩大類：實時應用（電力生產數(shù)據(jù)）和非實時應用（管理信息數(shù)據(jù)）。實時應用主要指：調度中心之間的實時數(shù)據(jù)、應用軟件所需的準實時數(shù)據(jù)、調度中心與廠站之間的實時數(shù)據(jù)、水情實時數(shù)據(jù)、電量計費數(shù)據(jù)、雷電監(jiān)測數(shù)據(jù)、云圖氣象數(shù)據(jù)、故障錄波數(shù)據(jù)、微機保護的遠方監(jiān)測數(shù)據(jù)、生產報表數(shù)據(jù)、燃料管理數(shù)據(jù)等與電力生產直接相關的數(shù)據(jù)。這類應用的特點是數(shù)據(jù)量不大，但實時性較強，有些每秒都有數(shù)據(jù)傳輸，可靠性要求較高，如遙控、遙調與電網(wǎng)安全直接相關，與計費相關的數(shù)據(jù)對安全性有特殊要求，體現(xiàn)了電力系統(tǒng)的特點。非實時應用主要指OA和MIS信息、各種網(wǎng)絡服務信息（E—mail，Web服務等）、電力市場運營類信息等。這類應用的特點是沒有實時要求，但有的傳輸量較大，具有隨機性和突發(fā)性。目前，大部分SCADA/EMS/DMS和MIS都是基于局域網(wǎng)的，兩類應用按照圖2所示方式接入電力數(shù)據(jù)網(wǎng)絡。
　　
　　為了向社會發(fā)布信息或方便地訪問Internet，各企業(yè)網(wǎng)除了接人CEDnet外，通常還通過當?shù)仉娦啪W(wǎng)與公網(wǎng)直接連接；而為了電力系統(tǒng)職工家庭訪問內部網(wǎng)（Intranet）或某應用系統(tǒng)的需要，在企業(yè)網(wǎng)上還配置了遠程撥號連接服務器。因此，典型的電力企業(yè)網(wǎng)邏輯拓撲如圖3所示。從圖中可看出，電力企業(yè)網(wǎng)絡的安全攻擊可能來自4個方面：Internet、撥號訪問（企業(yè)職工或社會人員盜用撥號賬號）、電力系統(tǒng)數(shù)據(jù)網(wǎng)絡上的其他部分及企業(yè)內部用戶等。企業(yè)網(wǎng)上任何一個節(jié)點、任何一臺服務器的安全缺陷，都可能危及整個電力數(shù)據(jù)網(wǎng)絡的安全。　　
　　文獻[3，4]中將電力數(shù)據(jù)網(wǎng)絡中的應用分為4類：生產控制類、管理信息類、話音視頻類和對外經(jīng)營類。由于話音視頻類和對外經(jīng)營類應用都與辦公有關，即與管理信息類應用是不可分割的，而生產控制類應用相對其他幾類則較為獨立，且其對網(wǎng)絡的可靠性和安全性要求也更高，因此，本文將電力數(shù)據(jù)網(wǎng)絡的應用歸為兩大類，以便于優(yōu)化網(wǎng)絡的物理拓撲結構。
　　
　　2電力數(shù)據(jù)網(wǎng)絡安全策略
　　
　　由于電力系統(tǒng)數(shù)據(jù)網(wǎng)絡是在統(tǒng)一規(guī)劃下建設的，從拓撲結構上具有較好的安全性，為部署安全措施打下了良好的基礎。遵循動態(tài)網(wǎng)絡安全模型，根據(jù)目前常見的網(wǎng)絡攻擊及電力系統(tǒng)數(shù)據(jù)網(wǎng)絡的網(wǎng)絡狀況和現(xiàn)有應用，提出如下的安全策略。
　　
　　2.1行業(yè)網(wǎng)絡整體安全策略
　　
　　電力數(shù)據(jù)網(wǎng)絡是一個大型內部網(wǎng)，某些安全策略的制定，必須面向全行業(yè)才能收到效果。
　　
　　a.面向行業(yè)制定網(wǎng)絡信息安全系列標準，用以指導電力系統(tǒng)數(shù)據(jù)網(wǎng)絡的建設、管理及應用。標準應對電力數(shù)據(jù)網(wǎng)絡的應用類型進行詳細分類，對不同應用和系統(tǒng)分別定義其應達到的安全等級和應采取的安全策略及措施。內容應涵蓋網(wǎng)絡拓撲結構、網(wǎng)絡設備、安全產品與技術、應用系統(tǒng)開發(fā)、網(wǎng)絡系統(tǒng)管理、管理人員、系統(tǒng)使用人員等。目前，我國制定的相關標準只有國家經(jīng)貿委頒布的《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》（2002年6月8日起施行），雖然給出了較好的宏觀指導意見，但內容還不夠細致。　　b.制定計算機網(wǎng)絡及其應用系統(tǒng)的管理與使用安全法規(guī)，分別針對管理層、技術層和普通職工制定相應的安全教育與培訓計劃，對使用計算機網(wǎng)絡系統(tǒng)的各類人員施行網(wǎng)絡信息安全知識與安全法規(guī)考核上崗制度。
　　
　　c.大力開展電力實時系統(tǒng)網(wǎng)絡安全產品的研究與開發(fā)，以防止安全產品本身因其通用性而帶來的安全問題。
　　
　　d.建立實時控制業(yè)務數(shù)據(jù)網(wǎng)絡，將實時應用和非實時應用兩類數(shù)據(jù)在遠程網(wǎng)上分開傳輸，在通道資源不允許時，至少應建立實時應用的虛擬專網(wǎng)（VPN），以確保電力實時控制系統(tǒng)的安全運行。
　　
　　e.建立電力行業(yè)公鑰基礎設施（PKI—publickeyinfrastructure），完善電力數(shù)據(jù)網(wǎng)絡的訪問控制體系，為電力市場電子商務應用的深化打下基礎。電力市場走向電子商務，是時代發(fā)展的需要，由于其應用的特殊性，僅保證網(wǎng)絡系統(tǒng)的安全性還遠遠不夠，必須同時保證數(shù)據(jù)的機密性、完整性和不可否認性，這就需要對用戶身份和數(shù)據(jù)源的真實性進行驗證，必須有一個具有性、公正性、惟一性的機構，負責向電子商務的各個主體頒發(fā)并管理符合國內、安全電子交易協(xié)議標準的電子商務安全證書（即數(shù)字證書）。目前，實現(xiàn)上述服務的主要技術就是公鑰基礎設施，其核心是認證中心（CA—certificateauthority）。此外，公鑰基礎設施的建設也可為電力系統(tǒng)其他關鍵網(wǎng)絡應用提供身份認證和數(shù)字簽名服務。
　　
　　2.2企業(yè)網(wǎng)絡建設與規(guī)劃策略
　　
　　網(wǎng)絡的安全必須從網(wǎng)絡建設的起始階段就要考慮。在網(wǎng)絡設計方面主要應考慮以下問題：
　　
　　a.實時網(wǎng)絡與非實時網(wǎng)絡盡可能不要互聯(lián)，當確有數(shù)據(jù)需要傳輸時，之間應采用的隔離設備，使得數(shù)據(jù)只能由實時系統(tǒng)向非實時系統(tǒng)單向傳輸，實現(xiàn)方案如圖4所示。
　　
　　b.非實時網(wǎng)絡應按照部門劃分子網(wǎng)，以便根據(jù)部門定義子網(wǎng)的安全級別，從而采用合適的安全防護技術。
　　
　　c.使用交換式網(wǎng)絡技術而不使用共享網(wǎng)絡技術，以避免網(wǎng)絡嗅探器（sniffer）攻擊。
　　
　　d.盡量不要在內部網(wǎng)特別是專業(yè)數(shù)據(jù)網(wǎng)絡上設置遠程撥號連接服務器，若因實際需要不得不設置，則應將撥號服務器放人單獨的網(wǎng)段，以便在撥號網(wǎng)段與主網(wǎng)之間設置防火墻。
　　
　　在電力系統(tǒng)的水調系統(tǒng)中，由于某些水電站處于偏遠山區(qū)，無法通過專線連接網(wǎng)絡，常常需要使用撥號連接。對于從外部撥號訪問總部內局域網(wǎng)的用戶，由于使用公眾網(wǎng)進行數(shù)據(jù)傳輸所帶來的風險，必須嚴格控制其安全性。首先，應嚴格限制撥號上網(wǎng)用戶所訪問的系統(tǒng)信息和資源，這一功能可通過在撥號訪問服務器后設置防火墻來實現(xiàn)。其次，應加強對撥號用戶的身份認證，如使用RADIUS等身份驗證服務器，一方面可實現(xiàn)對撥號用戶賬號的統(tǒng)一管理；另一方面，在身份驗證過程中采用加密手段，減少用戶口令泄露的可能性。此外，還可在服務器上配置回撥功能，限定某撥號用戶只能從特定撥人，特別是直接存取專業(yè)數(shù)據(jù)網(wǎng)絡資源的撥號賬號。
　　
　　2.3安全防護產品的設置
　　
　　目前，比較成熟的網(wǎng)絡安全防護產品主要是防火墻。入侵檢測系統(tǒng)也正在日趨成熟。
　　
　　a.防火墻。在電力企業(yè)網(wǎng)絡中，需要部署防火墻的位置主要如下（參照圖3）：企業(yè)網(wǎng)與Internet之間、企業(yè)網(wǎng)與電力系統(tǒng)數(shù)據(jù)網(wǎng)絡主干網(wǎng)之間、安全級別較高的專業(yè)子網(wǎng)與企業(yè)網(wǎng)之間、網(wǎng)絡服務器（采用基于主機型防火墻）、撥號服務器后。這樣，形成一個多層次的安全防護系統(tǒng)，在整體策略的指導下制定各防火墻的具體策略，而各防火墻按照其保護對象的需求在防護策略上有所側重。
　　
　　在防火墻的選用上，應盡量采用在安全操作系統(tǒng)上構建的基于狀態(tài)監(jiān)測的防火墻產品。
　　
　　b.人侵檢測系統(tǒng)。入侵檢測系統(tǒng)可實時地發(fā)現(xiàn)可能的攻擊并能阻斷某些攻擊。需要設置入侵檢測系統(tǒng)的位置有：防火墻、服務器與安全級別要求較高的專業(yè)子網(wǎng)。其中，在防火墻與服務器上采用基于主機的入侵檢測系統(tǒng)，而在專業(yè)子網(wǎng)上采用基于網(wǎng)絡的入侵檢測系統(tǒng)。
　　
　　2.4網(wǎng)絡系統(tǒng)的安全管理
　　
　　網(wǎng)絡系統(tǒng)中，網(wǎng)絡設備（包括防火墻）和服務器管理的安全性對整個網(wǎng)絡的安全至關重要。而許多不安全事件的發(fā)生，都源于管理員的安全意識淡薄和疏懶。
　　
　　a.網(wǎng)絡設備的安全管理。需要管理的網(wǎng)絡設備通常包括路由器、交換機、智能集線器以及硬件型防火墻等，這類設備缺省狀態(tài)下均提供了SNMP，net，HTTP等3種遠程管理方式，設備的初始口令是公開的，且往往是明文傳送的。因此，應注意以下幾方面的問題：①設備安裝時立即修改初始口令，并選擇安全口令；②在網(wǎng)絡設備上限制管理客戶端的IP地址，使得只有管理員工作站能夠對其操作；③盡量關閉不必要的管理模式，如HTTP管理。對于某些核心設備，如路由器、防火墻、核心交換機等甚至可以關閉所有遠程管理模式，而采用控制臺進行管理。
　　
　　b.服務器的安全管理。目前，通用計算機操作系統(tǒng)均支持TCP/IP協(xié)議，缺省安裝時，常常開放大量的TCP/IP服務，有的系統(tǒng)甚至還存在弱口令賬號，給系統(tǒng)的安全留下了隱患。對于這類問題，管理員可以借助安全掃描工具對系統(tǒng)進行掃描，找出存在的漏洞并進行修補。服務器的管理應遵循“zui少服務原則”，即應盡量關閉不必要的網(wǎng)絡服務端口，如在Web服務器上，只開放HTTP協(xié)議即可，而SMTP，POP3，F(xiàn)TP，net，DNS等協(xié)議均可關閉。此外，F(xiàn)inger和RPC服務在一般服務器上均不需要，應將其關閉。對于使用Windows的服務器，則應注意不要設置網(wǎng)絡共享。
　　
　　服務器管理的另一個方面就是用戶賬號和口令的管理。一般說來，服務器上不應建立不必要的賬號，所有賬號都必須選擇安全口令。安全級別要求較高的服務器，還可使用一次性口令。同網(wǎng)絡設備一樣，應盡量避免對服務器進行遠程管理，以防口令被截獲。
　　
　　在服務器和計算機上，切忌上公網(wǎng)瀏覽網(wǎng)頁和閱讀電子郵件，更不能下載文件和使用OICQ，以防受到惡意程序的攻擊。
　　
　　此外，對于服務器操作系統(tǒng)及其服務軟件，管理員應及時升級或打上安全補丁。
　　
　　2.5應用系統(tǒng)的建設與管理
　　
　　在應用系統(tǒng)建設時，往往重視系統(tǒng)的功能，而忽視系統(tǒng)的安全性，從而留下了大量的不安全隱患，特別是目前電力系統(tǒng)的許多網(wǎng)絡應用都向著B/S模式發(fā)展，安全問題更為突出。因此，在應用系統(tǒng)開發(fā)
　　
　　時，必須同時考慮系統(tǒng)軟件設計的安全性，如果開發(fā)單位對網(wǎng)絡信息安全知識缺乏了解，可以聘請專業(yè)網(wǎng)絡安全服務機構對應用系統(tǒng)的安全性進行測試和評估，以盡早發(fā)現(xiàn)軟件設計漏洞，防止由此引發(fā)的不安全事件。
　　
　　應用軟件設計中，通過網(wǎng)絡傳輸?shù)臄?shù)據(jù)在效率允許的前提下應盡量加密，機密數(shù)據(jù)則必須加密傳輸，如用于訪問控制的口令信息。
　　
　　對于一些不得不聯(lián)網(wǎng)的專業(yè)系統(tǒng)，在電力系統(tǒng)公鑰基礎設施發(fā)展完善的情況下，可以使用基于數(shù)字證書的訪問控制和基于數(shù)字簽名的信息傳輸。
　　
　　在管理上，應嚴格限制在應用系統(tǒng)計算機上做任何與系統(tǒng)無關的事情，更不能進行瀏覽網(wǎng)頁、下載文件、讀取電子郵件等操作，也不能隨意與其他計算機之間進行考盤操作。
　　
　　2.6企業(yè)網(wǎng)中個人計算機的管理
　　
　　前面已經(jīng)指出，網(wǎng)絡的安全性取決于網(wǎng)絡中zui薄弱的環(huán)節(jié)，因此，加強企業(yè)網(wǎng)中個人計算機特別是網(wǎng)絡管理員所用PC的安全管理至關重要。
　　
　　個人計算機zui重要的是要防止有害程序的侵入，如計算機病毒、各種黑客程序（木馬、網(wǎng)絡嗅探器等），這些程序可以利用多種途徑侵入個人計算機，如操作系統(tǒng)漏洞、隱藏在網(wǎng)頁中隨網(wǎng)頁一起被下載、通過電子郵件攜帶等。因此，對于個人計算機應注意以下問題：①盡量使用的操作系統(tǒng)，并打上安全補丁；②不要打開不明電子郵件；⑧不要瀏覽不明郵件中鏈接的網(wǎng)頁；④在瀏覽器中禁止運行ActiveX控件；⑤安裝實時病毒檢測軟件，并經(jīng)常升級病毒庫和查毒引擎。
　　
　　2.7系統(tǒng)破壞后的恢復
　　
　　所有的網(wǎng)絡系統(tǒng)都必須做好系統(tǒng)破壞后的恢復準備，根據(jù)系統(tǒng)中的不同對象，可選擇采取硬件冗余、系統(tǒng)鏡像、數(shù)據(jù)備份等1種或多種手段，確保系統(tǒng)受到破壞后能夠在較短時間內恢復。需指出的是，數(shù)據(jù)應采取異地備份措施。
　　
　　3網(wǎng)絡安全設計的誤區(qū)
　　
　　對于網(wǎng)絡的安全設計，往往存在以下幾方面的誤解。
　　
　　a.防火墻等于網(wǎng)絡安全。設置了防火墻并不等于網(wǎng)絡就安全了，其主要原因有以下3個方面：①防火墻并不能阻止所有的網(wǎng)絡攻擊，一般說來，防火墻不能阻止利用軟件漏洞進行的攻擊，靜態(tài)包過濾防火墻不能阻斷TCPSYN洪水攻擊等；②某些對外開放的服務（如Web服務），不能由防火墻過濾，否則影響正常用戶的使用；③防火墻自身存在安全問題，一個配置錯誤或在錯誤策略指導下配置的防火墻形同虛設。
　　
　　b.入侵檢測系統(tǒng)等于入侵檢測。入侵檢測是一個全局的概念，而入侵檢測的實現(xiàn)是一個復雜的過程，它需要大量的人工干預，人侵檢測系統(tǒng)僅僅是入侵檢測的輔助工具。事實上，一個有經(jīng)驗的入侵檢測分析員遠遠勝過入侵檢測系統(tǒng)。換句話說，即使設置了入侵檢測系統(tǒng)，網(wǎng)絡安全管理員也應勤于分析系統(tǒng)日志（包括操作系統(tǒng)日志、入侵檢測系統(tǒng)日志、應用系統(tǒng)日志）和監(jiān)視系統(tǒng)的狀態(tài)，以盡早發(fā)現(xiàn)系統(tǒng)的異常現(xiàn)象。這是因為：①入侵檢測系統(tǒng)很大程度上只是一個經(jīng)驗系統(tǒng)，不可能檢測出所有的網(wǎng)絡攻擊；②入侵檢測系統(tǒng)的日志仍需要人工分析，從而進一步作出反映；③入侵檢測系統(tǒng)本身可能受到攻擊而失效。
　　
　　c.口令等于秘密?？诹钭鳛樵L問控制的zui基本手段，被廣泛應用于各種系統(tǒng)中。然而，設置了口令決不等于系統(tǒng)的安全性得到了保證，除了本文前面論述的弱口令問題外，還有一個更重要的原因：在許多基于網(wǎng)絡的應用中，諸如net應用、某些撥號訪問控制協(xié)議和基于SNMP協(xié)議的網(wǎng)絡管理系統(tǒng)，口令由客戶端提交給服務器端的過程中是明文（未經(jīng)加密）傳送的，這樣，在網(wǎng)絡傳輸?shù)倪^程中一旦被截獲，攻擊者訪問目標系統(tǒng)就沒有任何屏障了。因此，在開發(fā)應用系統(tǒng)時，一定要注意口令的加密傳輸，并注意加密算法的強度。而對于非自主開發(fā)的應用系統(tǒng)，則應選擇傳輸口令加密的系統(tǒng)。
　　
　　d.病毒防火墻等于無病毒。安裝實時病毒防火墻是目前防止計算機病毒甚至木馬程序侵害的較為有效的辦法，然而，同樣存在以下兩方面的問題：①防病毒軟件并不能查殺所有的病毒，且不同廠商的軟件表現(xiàn)也不同；②病毒庫和查毒引擎必須及時升級才能查殺較新的病毒。
　　
　　4結語
　　
　　電力系統(tǒng)計算機網(wǎng)絡的應用已有相當?shù)幕A，然而，在網(wǎng)絡信息安全防護上還存在較大的問題，主要表現(xiàn)在對黑客攻擊和網(wǎng)絡病毒的防護上。雖然已使用了部分安全防護技術，但尚缺乏整體性，對安全問題的認識和對安全知識的掌握均不夠全面，這些問題都將阻礙電力數(shù)據(jù)網(wǎng)絡應用的進一步深化。解決上述問題，必須建立面向行業(yè)、企業(yè)、業(yè)務子網(wǎng)、應用系統(tǒng)、個人工作站的分級多層次和動態(tài)的安全策略體系，其中，安全標準的制定、安全法規(guī)的健全、安全教育的普及又是保證安全策略貫徹實施的前提。