0引言
计算机网络是电力信息化工程的基础设施。计算机网络的安全性已成为电力系统(业务)正常运行的关键。在物理容灾方面,电力系统目前的防护措施已较为完善,而在对黑客攻击与网络化病毒的防护方面,特别是黑客攻击,虽然已建立了初步的防护体系,但由于电力系统数据网络在建设和管理中缺乏有效的指导,同时也因黑客技术的不断发展,在这方面还远远不能达到应有的效果。因此,如何优化已有的系统软件和安全产品,如何建立多层次的安全防护体系,仍是电力数据网络发展中必须面对的重要问题。
本文通过对电力数据网络的结构及应用进行分析,结合电力数据网络实际,给出了电力数据网络的整体安全防护策略及电力企业网络建设与管理的具体安全策略,并指出了网络安全性设计的误区。
1电力数据网络的结构与应用
我国电力系统已基本建成了如图1所示的分级电力数据网络(cednet)。随着网络覆盖面的扩大,网上电力信息资源不断丰富,各种应用也在不断发展和深入,发电厂与变电站自动化监控系统、电网调度自动化系统、电力负荷管理系统、电力cad系统、管理信息系统(mis)等均作为电力信息化重大工程投入了大量人力和物力。
综合起来,电力系统数据网络的应用可分为两大类:实时应用(电力生产数据)和非实时应用(管理信息数据)。实时应用主要指:调度中心之间的实时数据、应用软件所需的准实时数据、调度中心与厂站之间的实时数据、水情实时数据、电量计费数据、雷电监测数据、云图气象数据、故障录波数据、微机保护的远方监测数据、生产报表数据、燃料管理数据等与电力生产直接相关的数据。这类应用的特点是数据量不大,但实时性较强,有些每秒都有数据传输,可靠性要求较高,如遥控、遥调与电网安全直接相关,与计费相关的数据对安全性有特殊要求,体现了电力系统的特点。非实时应用主要指oa和mis信息、各种网络服务信息(e—mail,web服务等)、电力市场运营类信息等。这类应用的特点是没有实时要求,但有的传输量较大,具有随机性和突发性。目前,大部分scada/ems/dms和mis都是基于局域网的,两类应用按照图2所示方式接入电力数据网络。
为了向社会发布信息或方便地访问internet,各企业网除了接人cednet外,通常还通过当地电信网与公网直接连接;而为了电力系统职工家庭访问内部网(intranet)或某应用系统的需要,在企业网上还配置了远程拨号连接服务器。因此,典型的电力企业网逻辑拓扑如图3所示。从图中可看出,电力企业网络的安全攻击可能来自4个方面:internet、拨号访问(企业职工或社会人员盗用拨号账号)、电力系统数据网络上的其他部分及企业内部用户等。企业网上任何一个节点、任何一台服务器的安全缺陷,都可能危及整个电力数据网络的安全。
文献[3,4]中将电力数据网络中的应用分为4类:生产控制类、管理信息类、话音视频类和对外经营类。由于话音视频类和对外经营类应用都与办公有关,即与管理信息类应用是不可分割的,而生产控制类应用相对其他几类则较为独立,且其对网络的可靠性和安全性要求也更高,因此,本文将电力数据网络的应用归为两大类,以便于优化网络的物理拓扑结构。
2电力数据网络安全策略
由于电力系统数据网络是在统一规划下建设的,从拓扑结构上具有较好的安全性,为部署安全措施打下了良好的基础。遵循动态网络安全模型,根据目前常见的网络攻击及电力系统数据网络的网络状况和现有应用,提出如下的安全策略。
2.1行业网络整体安全策略
电力数据网络是一个大型内部网,某些安全策略的制定,必须面向全行业才能收到效果。
a.面向行业制定网络信息安全系列标准,用以指导电力系统数据网络的建设、管理及应用。标准应对电力数据网络的应用类型进行详细分类,对不同应用和系统分别定义其应达到的安全等级和应采取的安全策略及措施。内容应涵盖网络拓扑结构、网络设备、安全产品与技术、应用系统开发、网络系统管理、管理人员、系统使用人员等。目前,我国制定的相关标准只有国家经贸委颁布的《电网和电厂计算机监控系统及调度数据网络安全防护规定》(2002年6月8日起施行),虽然给出了较好的宏观指导意见,但内容还不够细致。
b.制定计算机网络及其应用系统的管理与使用安全法规,分别针对管理层、技术层和普通职工制定相应的安全教育与培训计划,对使用计算机网络系统的各类人员施行网络信息安全知识与安全法规考核上岗制度。
c.大力开展电力实时系统网络安全产品的研究与开发,以防止安全产品本身因其通用性而带来的安全问题。
d.建立实时控制业务数据网络,将实时应用和非实时应用两类数据在远程网上分开传输,在通道资源不允许时,至少应建立实时应用的虚拟专网(vpn),以确保电力实时控制系统的安全运行。
e.建立电力行业公钥基础设施(pki—publickeyinfrastructure),完善电力数据网络的访问控制体系,为电力市场电子商务应用的深化打下基础。电力市场走向电子商务,是时代发展的需要,由于其应用的特殊性,仅保证网络系统的安全性还远远不够,必须同时保证数据的机密性、完整性和不可否认性,这就需要对用户身份和数据源的真实性进行验证,必须有一个具有性、公正性、惟一性的机构,负责向电子商务的各个主体颁发并管理符合国内、安全电子交易协议标准的电子商务安全证书(即数字证书)。目前,实现上述服务的主要技术就是公钥基础设施,其核心是认证中心(ca—certificateauthority)。此外,公钥基础设施的建设也可为电力系统其他关键网络应用提供身份认证和数字签名服务。
2.2企业网络建设与规划策略
网络的安全必须从网络建设的起始阶段就要考虑。在网络设计方面主要应考虑以下问题:
a.实时网络与非实时网络尽可能不要互联,当确有数据需要传输时,之间应采用的隔离设备,使得数据只能由实时系统向非实时系统单向传输,实现方案如图4所示。
b.非实时网络应按照部门划分子网,以便根据部门定义子网的安全级别,从而采用合适的安全防护技术。
c.使用交换式网络技术而不使用共享网络技术,以避免网络嗅探器(sniffer)攻击。
d.尽量不要在内部网特别是专业数据网络上设置远程拨号连接服务器,若因实际需要不得不设置,则应将拨号服务器放人单独的网段,以便在拨号网段与主网之间设置防火墙。
在电力系统的水调系统中,由于某些水电站处于偏远山区,无法通过专线连接网络,常常需要使用拨号连接。对于从外部拨号访问总部内局域网的用户,由于使用公众网进行数据传输所带来的风险,必须严格控制其安全性。首先,应严格限制拨号上网用户所访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置防火墙来实现。其次,应加强对拨号用户的身份认证,如使用radius等身份验证服务器,一方面可实现对拨号用户账号的统一管理;另一方面,在身份验证过程中采用加密手段,减少用户口令泄露的可能性。此外,还可在服务器上配置回拨功能,限定某拨号用户只能从特定拨人,特别是直接存取专业数据网络资源的拨号账号。
2.3安全防护产品的设置
目前,比较成熟的网络安全防护产品主要是防火墙。入侵检测系统也正在日趋成熟。
a.防火墙。在电力企业网络中,需要部署防火墙的位置主要如下(参照图3):企业网与internet之间、企业网与电力系统数据网络主干网之间、安全级别较高的专业子网与企业网之间、网络服务器(采用基于主机型防火墙)、拨号服务器后。这样,形成一个多层次的安全防护系统,在整体策略的指导下制定各防火墙的具体策略,而各防火墙按照其保护对象的需求在防护策略上有所侧重。
在防火墙的选用上,应尽量采用在安全操作系统上构建的基于状态监测的防火墙产品。
b.人侵检测系统。入侵检测系统可实时地发现可能的攻击并能阻断某些攻击。需要设置入侵检测系统的位置有:防火墙、服务器与安全级别要求较高的专业子网。其中,在防火墙与服务器上采用基于主机的入侵检测系统,而在专业子网上采用基于网络的入侵检测系统。
2.4网络系统的安全管理
网络系统中,网络设备(包括防火墙)和服务器管理的安全性对整个网络的安全至关重要。而许多不安全事件的发生,都源于管理员的安全意识淡薄和疏懒。
a.网络设备的安全管理。需要管理的网络设备通常包括路由器、交换机、智能集线器以及硬件型防火墙等,这类设备缺省状态下均提供了snmp,net,http等3种远程管理方式,设备的初始口令是公开的,且往往是明文传送的。因此,应注意以下几方面的问题:①设备安装时立即修改初始口令,并选择安全口令;②在网络设备上限制管理客户端的ip地址,使得只有管理员工作站能够对其操作;③尽量关闭不必要的管理模式,如http管理。对于某些核心设备,如路由器、防火墙、核心交换机等甚至可以关闭所有远程管理模式,而采用控制台进行管理。
b.服务器的安全管理。目前,通用计算机操作系统均支持tcp/ip协议,缺省安装时,常常开放大量的tcp/ip服务,有的系统甚至还存在弱口令账号,给系统的安全留下了隐患。对于这类问题,管理员可以借助安全扫描工具对系统进行扫描,找出存在的漏洞并进行修补。服务器的管理应遵循“zui少服务原则”,即应尽量关闭不必要的网络服务端口,如在web服务器上,只开放http协议即可,而smtp,pop3,ftp,net,dns等协议均可关闭。此外,finger和rpc服务在一般服务器上均不需要,应将其关闭。对于使用windows的服务器,则应注意不要设置网络共享。
服务器管理的另一个方面就是用户账号和口令的管理。一般说来,服务器上不应建立不必要的账号,所有账号都必须选择安全口令。安全级别要求较高的服务器,还可使用一次性口令。同网络设备一样,应尽量避免对服务器进行远程管理,以防口令被截获。
在服务器和计算机上,切忌上公网浏览网页和阅读电子邮件,更不能下载文件和使用oicq,以防受到恶意程序的攻击。
此外,对于服务器操作系统及其服务软件,管理员应及时升级或打上安全补丁。
2.5应用系统的建设与管理
在应用系统建设时,往往重视系统的功能,而忽视系统的安全性,从而留下了大量的不安全隐患,特别是目前电力系统的许多网络应用都向着b/s模式发展,安全问题更为突出。因此,在应用系统开发
时,必须同时考虑系统软件设计的安全性,如果开发单位对网络信息安全知识缺乏了解,可以聘请专业网络安全服务机构对应用系统的安全性进行测试和评估,以尽早发现软件设计漏洞,防止由此引发的不安全事件。
应用软件设计中,通过网络传输的数据在效率允许的前提下应尽量加密,机密数据则必须加密传输,如用于访问控制的口令信息。
对于一些不得不联网的专业系统,在电力系统公钥基础设施发展完善的情况下,可以使用基于数字证书的访问控制和基于数字签名的信息传输。
在管理上,应严格限制在应用系统计算机上做任何与系统无关的事情,更不能进行浏览网页、下载文件、读取电子邮件等操作,也不能随意与其他计算机之间进行考盘操作。
2.6企业网中个人计算机的管理
前面已经指出,网络的安全性取决于网络中zui薄弱的环节,因此,加强企业网中个人计算机特别是网络管理员所用pc的安全管理至关重要。
个人计算机zui重要的是要防止有害程序的侵入,如计算机病毒、各种黑客程序(木马、网络嗅探器等),这些程序可以利用多种途径侵入个人计算机,如操作系统漏洞、隐藏在网页中随网页一起被下载、通过电子邮件携带等。因此,对于个人计算机应注意以下问题:①尽量使用的操作系统,并打上安全补丁;②不要打开不明电子邮件;⑧不要浏览不明邮件中链接的网页;④在浏览器中禁止运行activex控件;⑤安装实时病毒检测软件,并经常升级病毒库和查毒引擎。
2.7系统破坏后的恢复
所有的网络系统都必须做好系统破坏后的恢复准备,根据系统中的不同对象,可选择采取硬件冗余、系统镜像、数据备份等1种或多种手段,确保系统受到破坏后能够在较短时间内恢复。需指出的是,数据应采取异地备份措施。
3网络安全设计的误区
对于网络的安全设计,往往存在以下几方面的误解。
a.防火墙等于网络安全。设置了防火墙并不等于网络就安全了,其主要原因有以下3个方面:①防火墙并不能阻止所有的网络攻击,一般说来,防火墙不能阻止利用软件漏洞进行的攻击,静态包过滤防火墙不能阻断tcpsyn洪水攻击等;②某些对外开放的服务(如web服务),不能由防火墙过滤,否则影响正常用户的使用;③防火墙自身存在安全问题,一个配置错误或在错误策略指导下配置的防火墙形同虚设。
b.入侵检测系统等于入侵检测。入侵检测是一个全局的概念,而入侵检测的实现是一个复杂的过程,它需要大量的人工干预,人侵检测系统仅仅是入侵检测的辅助工具。事实上,一个有经验的入侵检测分析员远远胜过入侵检测系统。换句话说,即使设置了入侵检测系统,网络安全管理员也应勤于分析系统日志(包括操作系统日志、入侵检测系统日志、应用系统日志)和监视系统的状态,以尽早发现系统的异常现象。这是因为:①入侵检测系统很大程度上只是一个经验系统,不可能检测出所有的网络攻击;②入侵检测系统的日志仍需要人工分析,从而进一步作出反映;③入侵检测系统本身可能受到攻击而失效。
c.口令等于秘密。口令作为访问控制的zui基本手段,被广泛应用于各种系统中。然而,设置了口令决不等于系统的安全性得到了保证,除了本文前面论述的弱口令问题外,还有一个更重要的原因:在许多基于网络的应用中,诸如net应用、某些拨号访问控制协议和基于snmp协议的网络管理系统,口令由客户端提交给服务器端的过程中是明文(未经加密)传送的,这样,在网络传输的过程中一旦被截获,攻击者访问目标系统就没有任何屏障了。因此,在开发应用系统时,一定要注意口令的加密传输,并注意加密算法的强度。而对于非自主开发的应用系统,则应选择传输口令加密的系统。
d.病毒防火墙等于无病毒。安装实时病毒防火墙是目前防止计算机病毒甚至木马程序侵害的较为有效的办法,然而,同样存在以下两方面的问题:①防病毒软件并不能查杀所有的病毒,且不同厂商的软件表现也不同;②病毒库和查毒引擎必须及时升级才能查杀较新的病毒。
4结语
电力系统计算机网络的应用已有相当的基础,然而,在网络信息安全防护上还存在较大的问题,主要表现在对黑客攻击和网络病毒的防护上。虽然已使用了部分安全防护技术,但尚缺乏整体性,对安全问题的认识和对安全知识的掌握均不够全面,这些问题都将阻碍电力数据网络应用的进一步深化。解决上述问题,必须建立面向行业、企业、业务子网、应用系统、个人工作站的分级多层次和动态的安全策略体系,其中,安全标准的制定、安全法规的健全、安全教育的普及又是保证安全策略贯彻实施的前提。