您当前的位置:五五电子网电子知识电工技术电工文摘自贡电力数据网安全性研究 正文
自贡电力数据网安全性研究

自贡电力数据网安全性研究

点击数:7317 次   录入时间:03-04 11:56:46   整理:http://www.55dianzi.com   电工文摘

自贡电力数据网安全性研究

邹未

(自贡电业局,四川自贡 643000)

      摘 要:对自贡电力数据网安全现状进行研究,分析电力数据网中潜在的不安全因素,结合自贡电业局企业数据网络建设目标,为电力数据网安全运行有针对性地提出了一整套完善的安全策略体系。
    关键词:电力数据网;安全;网络模型


1 拓扑结构和层次结构以及网络模型
  自贡电力数据网是在统一规划下建设的,已经基本形成了一个统一、灵活、分级、分层次的电力数据网络,并能支持和提供各种网络服务,如电网调度自动化系统、管理信息系统(MIS)、电量采集计费系统,95598呼叫中心(Call center)等等,从拓扑结构上来说,自贡电力数据网具备较好的安全性。自贡电力数据网按核心层、骨干层、接入层进行的层次建设,使其具有相当的可靠性、灵活性、开放性。网络模型分3个层次,即传送平台、业务平台和应用系统。
  自贡电力数据网除了接入四川省电力公司数据网络外,有的还使用拨号、ADSL、DDN等方式与公网直接相连,以便向社会和公众发布信息。还有的为了使电力系统职工在家就能访问内部网或某应用系统,在企业网中还配置了远程拨号连接服务器。因此可以看出电力数据网可能遭受的安全攻击主要来自三个方面:INTERNET,职工拨号,电力数据网中的内部用户,网络接口示意图如图1所示。因此做好电力数据网中每一个节点的安全工作,建立一个全面的安全管理体系和管理制度是多么的重要,任何一个节点、任何一台服务器的安全缺陷,都可能危及整个电力数据网络的安全,导致整个网络大面积的感染或瘫痪。
2 数据网中各类应用的特点
  电力系统中网络应用的分类方法有许多种,根据业务类型、实时等级、安全等级等因素,电力系统的网络应用可分为生产数据传输和管理信息传输两大类,其他应用还包括话音视频传输和对外服务等,自贡电 力数据网上运行着很多系统,不同的应用系统对安全有不同的要求。


  生产控制类中的基于TCP/IP的业务的数据,如调度中心之间的实时数据、应用软件所需的准实时数据、调度中心与厂站之间的实时数据、电量计费数据、生产报表数据等与电力生产直接相关的数据。速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。从应用范围来看,生产控制类业务主要分布在调度局和变电站,属于较特殊的一类窄带业务。
  管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有业务数据,如OA数据、MIS信息系统数据、各种网络服务信息数据(E-MAIL,WEB服务等)、电力市场运营类信息数据等,其网络布局集中于行政办公中心,一般要求为宽带网络。
3 数据网发展对安全性提出的新要求
  随着自贡电力企业信息化工程的推进,自贡电力数据网的内涵得到很大延伸,支持的业务越来越广泛。许多系统的实时性要求都在秒级或数秒级,对安全性和可靠性也有特殊的要求。综合起来看,现在电力数据网的发展特点主要有以下几点:
    1)网络拓扑结构覆盖越来越广。
  2)充分利用电力系统数据网络的现有设备进行发展,节约大量资金,便于平滑过渡与升级。
  3)远程控制的可靠性(遥控、遥调等),要求有效隔离。
  4)数据传输的实时性(继电保护毫秒级,自动化秒级),要求网络层次简化。
  5)传输的连续性,通信负荷基本恒定,需要恒定带宽。
  6)Internet时代的安全防护体系(防黑客、防病毒、防破坏等)。
  建立一个internet时代的安全防护体系,在电力系统数据网络的建设过程中,显得尤其重要。首先要制定安全防护策略。应用系统的安全策略位于安全防范的最高一级,是系统安全的决定要素。如果在安全策略上出了问题,将会给今后的应用系统带来安全隐患,从而使将来的安全建设处于十分被动的局面。因此考虑调度自动化系统的安全,应首先从应用系统的各个层面出发,制定完善的安全防护策略。
4 面向未来电力数据网安全防护策略
  电力数据网络的安全主要包含五个层面,即物理安全、网络安全、系统安全、应用安全和人员管理。
  物理安全主要包含主机硬件和物理线路的安全,如自然灾害、硬件故障、盗用、偷窃等,由于此类隐患而导致重要数据、口令及账号丢失,称为物理安全;网络安全是指由联网计算机的网络安全措施不到位导致的安全问题;系统安全包括系统存取授权设置、账号口令设置、安全管理设置等安全问题,如未授权存取、越权使用、泄密、用户拒绝系统管理、损害系统的完整性等;应用安全是指主机系统上应用软件层面的安全,如Web服务器、Proxy服务器、数据库等的安全问题;人员管理是指如何防止内部人员对网络和系统的攻击及误用等。
  从应用和连接方式来看,企业内部网络有两类:
    一类是与公网完全隔离,在链路层上建立的网络,称为专用网络;另一类是连接于公网,并利用公网作为 通道的企业内部网。第一类网络除了面临来自物理层面的安全问题外,还面临内部的计算机犯罪问题,如违规或越权使用某些业务,查看修改机密文件或数据库,以及从内部发起的对计算机系统或网络的恶意攻击。第二类网络除了具有上述安全问题外,还要承受来自公网的攻击和威胁,由于公网上黑客、病毒盛行,网络安全的攻击与反攻击比较集中地体现在公网上。
  从现实情况来看,按应用和连接方式分,自贡电力数据网第一类和第二类情况兼有。在物理安全方面,自贡电力数据网的防护措施已较为完善,而在对黑客攻击与网络化病毒的防护方面,特别是黑客攻击,虽然已初步建立了防护体系,但由于种种原因,电力数据网在建设和管理中缺乏有效的指导,同时因为黑客技术的发展,防护措施远远达不到应有的效果。  通过以上对自贡电力数据网的现状、拓扑结构、接口、传输数据类型和电力数据网的发展趋势的分析,有针对性地提出如下的安全策略。
4.1 网络建设与规划的整体策略
  1)领导部门应制定一个统一的信息安全系列标准,指导电力数据网的建设、管理和应用。
  2)对电力数据网的应用类型进行分类,对不同应用和系统分别定义其应达到的安全等级,制定相应的安全策略和措施。
4.2 网络建设与规划的具体策略
  1)对于实时控制业务,建立实时控制业务专用数据网络,实时网络和非实时网络尽可能不要互联,当确有数据需要传输时,之间应采用专用的隔离设备,使得数据只能由实时系统向非实时系统单向传输。
  2)对于电力数据网中职工拨号的情况,尽量不要在内部网特别是专业数据网络上设置远程拨号连接服务器,若因实际需要不得不设置,则应将拨号服务器放入单独的网段,以便在拨号网段与主网之间设置防火墙。
  3)对网络设备,如路由器、交换机、集线器以及硬件型防火墙等,应在安装时立即修改初始口令,在不需要的情况下,关闭远程管理模式。
  4)对服务器,应尽量关闭不必要的网络服务端口,只允许必要的最少服务,如WEB服务器,只开放HTTP协议即可,而SMTP,POP3等都可关闭。在服务器和专用计算机上,切忌上公网浏览网页和阅读电子邮件,更不能随便下载文件和使用QQ,以防受恶意程序的攻击。对于服务器操作系统及其上运行的应用软件,应及时升级或打上最新的安全补丁。
  5)对防火墙,应在整体策略的指导下制定具体策略。在防火墙与服务器上采用基于主机的入侵检测系统,在安全级别要求较高的专业子网上采用基于网络的入侵检测系统。
  6)对应用软件,应在应用软件开发设计时,充分的考虑安全性问题,并对其进行严格的测试和评估,尽早发现软件设计漏洞,防止由此引发的不安全事件。应严格限制在应用系统计算机上做任何与系统无关的事情。
  7)对个人计算机,应严格加强管理。个人计算机是网络中的最薄弱环节,整个网络的安全性就取决于
网络中的最薄弱环节。个人计算机最重要的是防止有害程序的侵入,如计算机病毒、各种黑客程序(木马、网络嗅探器等),这些程序可以通过多种途径侵入个人计算机,如操作系统漏洞、隐藏在网页下随网页一起被下载、通过电子邮件携带等。因此个人计算机应安装实时病毒检测软件,并经常升级病毒库和查毒引擎,不要浏览不明电子邮件,在浏览器中禁止运行ActiveX控件。
5 结语
  自贡电力数据网的安全防护措施有一定基础和一定成效,但还不够全面和完善,解决之道,就是要建立一个分级多层次,动态适应的安全策略体系。


本文关键字:安全性  自贡  电工文摘电工技术 - 电工文摘

《自贡电力数据网安全性研究》相关文章>>>