朱 政

（湖南省電力公司郴州北湖電業(yè)局，湖南 郴州423000）

0 引 言

電力能源是當(dāng)今社會(huì)最重要的能源利用方式，從而電力部門成為直接影響到國民經(jīng)濟(jì)發(fā)展和社會(huì)安定的重要部門。電力企業(yè)作為電力能源的生產(chǎn)、管理單位，其安全性變得日益重要。隨著計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)技術(shù)的蓬勃發(fā)展和在電力企業(yè)的廣泛應(yīng)用，網(wǎng)絡(luò)安全也成為了電力企業(yè)關(guān)心的重點(diǎn)之一［1－4］。當(dāng)前網(wǎng)絡(luò)安全已經(jīng)逐漸從被動(dòng)響應(yīng)模式向主動(dòng)防御模式轉(zhuǎn)變［5，6］。思科的網(wǎng)絡(luò)安全技術(shù)在政府多個(gè)重要部門取得了重要應(yīng)用，在當(dāng)前的電力企業(yè)中也有廣泛應(yīng)用［7，8］。本文從思科的網(wǎng)絡(luò)安全技術(shù)出發(fā)，結(jié)合電力企業(yè)網(wǎng)絡(luò)應(yīng)用現(xiàn)狀，探討電力企業(yè)的網(wǎng)絡(luò)安全解決方案。

1 電力企業(yè)網(wǎng)絡(luò)安全

電力企業(yè)計(jì)算機(jī)系統(tǒng)由專用計(jì)算機(jī)、公共計(jì)算機(jī)等組成，操作系統(tǒng)涵蓋 Windows、UNIX、Linux等多種系統(tǒng)，尤以Windows操作系統(tǒng)為主。網(wǎng)絡(luò)方式以專用網(wǎng)絡(luò)、分機(jī)連接主機(jī)的局域網(wǎng)、主機(jī)連接公共網(wǎng)的方式為主。當(dāng)前網(wǎng)絡(luò)安全以殺毒軟件、個(gè)人版網(wǎng)絡(luò)防火墻，配合主機(jī)的網(wǎng)絡(luò)防火墻組成。網(wǎng)絡(luò)安全方式以被動(dòng)保護(hù)為主，安全性較差。網(wǎng)絡(luò)安全管理以企業(yè)的網(wǎng)絡(luò)管理部門負(fù)責(zé)，人員較少，維護(hù)量大，故難以做到整體防護(hù)。

隨著電力企業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度提高，企業(yè)不斷在已有網(wǎng)絡(luò)上添加防火墻等網(wǎng)絡(luò)安全設(shè)備和軟件，其目的就是要加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性，使網(wǎng)絡(luò)、操作系統(tǒng)、主機(jī)應(yīng)用系統(tǒng)等受到不同程度的保護(hù)。

電力企業(yè)網(wǎng)絡(luò)信息安全的現(xiàn)狀是，計(jì)算機(jī)病毒、蠕蟲和木馬程序造成的安全事件，約占整體安全事件的4／5，通過電子郵件等傳遞方式導(dǎo)致安全事故約占2／5。這些數(shù)據(jù)折射出了電力信息化發(fā)展過程中存在的一些主要問題，包括：人員的網(wǎng)絡(luò)安全意識(shí)較差；技術(shù)防御水平較低；對(duì)網(wǎng)絡(luò)安全，信息安全的保護(hù)無法做到整體防御；電力企業(yè)對(duì)信息的安全，網(wǎng)絡(luò)安全的軟硬件缺乏有效管理。這都反映了電力企業(yè)對(duì)于網(wǎng)絡(luò)安全甚至網(wǎng)絡(luò)的觀念，僅以實(shí)用和使用為主，對(duì)于安全維護(hù)的長期投入意識(shí)不強(qiáng)，缺乏專業(yè)人員，雖然對(duì)一次性投入不敏感，但對(duì)長期投入和維護(hù)的敏感性極強(qiáng)。當(dāng)前電力企業(yè)網(wǎng)絡(luò)安全采取的主要措施有：

（1）防火墻

防火墻是網(wǎng)絡(luò)安全的大門，其作用是鑒別數(shù)據(jù)包是否可以進(jìn)出企業(yè)內(nèi)部網(wǎng)絡(luò)，還可以防止部分網(wǎng)絡(luò)攻擊，如阻止基于IP包頭的網(wǎng)絡(luò)攻擊、阻止非信任地址的訪問。防火墻的缺陷是無法阻止基于數(shù)據(jù)內(nèi)容的黑客攻擊和病毒入侵，無法控制網(wǎng)絡(luò)內(nèi)部之間的違規(guī)行為。

（2）加密

加密是指采用一定的算法對(duì)數(shù)據(jù)進(jìn)行變換，將以明文顯示的數(shù)據(jù)轉(zhuǎn)為密文顯示。常見的加密算法有對(duì)稱加密、非對(duì)稱加密、HASH散列算法等。

（3）訪問控制

CTL可分為2類：即強(qiáng)制訪問控制和自主訪問控制。其中自主訪問控制機(jī)制常被用于商業(yè)系統(tǒng)。

（4）認(rèn)證

認(rèn)證的種類主要有密碼認(rèn)證、智能卡、生物特征以及位置認(rèn)證，如IP認(rèn)證、反向DNS認(rèn)證等。

（5）掃描

掃描器用來進(jìn)行入侵檢測，發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備和主機(jī)的漏洞，通過定期的檢測與比較，發(fā)現(xiàn)入侵或違規(guī)行為留下的痕跡。掃描器無法發(fā)現(xiàn)正在進(jìn)行的入侵行為．而且還可能成為攻擊者的工具。

（6）殺毒軟件

殺毒軟件是應(yīng)用最為廣泛的安全工具，普遍應(yīng)用于檢測、清除PC上的各種病毒、木馬等，其缺陷是只能對(duì)文件形式的病毒進(jìn)行查殺，而無法應(yīng)對(duì)基于網(wǎng)絡(luò)的攻擊行為。

2 思科安全網(wǎng)絡(luò)解決方案

思科認(rèn)為，當(dāng)前網(wǎng)絡(luò)只能被動(dòng)防御的原因在于，網(wǎng)絡(luò)安全防御仍然集中在主機(jī)、終端系統(tǒng)等網(wǎng)絡(luò)節(jié)點(diǎn)上，而防御方式方面，也以計(jì)算機(jī)系統(tǒng)安裝的網(wǎng)絡(luò)安全軟件為主，而網(wǎng)絡(luò)自身則缺乏自我保護(hù)和自我防御以及自我愈合能力。這種安全方式，一旦受到各種病毒的侵?jǐn)_，或者受到網(wǎng)絡(luò)攻擊，無法做到快速反應(yīng)，往往表現(xiàn)為部分安全性能差的計(jì)算機(jī)轉(zhuǎn)變?yōu)榘踩[患，持續(xù)影響其他計(jì)算機(jī)的安全，甚至破壞全網(wǎng)絡(luò)的安全。為此，思科建立了網(wǎng)絡(luò)自防御系統(tǒng)，即“自防御網(wǎng)絡(luò)”（Self－Defending Network，SDN），可以在保護(hù)網(wǎng)絡(luò)應(yīng)用的同時(shí)，保護(hù)網(wǎng)絡(luò)自身的安全，將網(wǎng)絡(luò)安全不再局限于節(jié)點(diǎn)，而是將安全擴(kuò)展到整個(gè)網(wǎng)絡(luò)。

思科SDN解決方案為用戶提供了全方位的網(wǎng)絡(luò)安全戰(zhàn)略，通過全面集成的多種安全技術(shù)，構(gòu)建起全面的網(wǎng)絡(luò)安全防御體系。SDN解決方案的核心是主動(dòng)式的安全系統(tǒng)，即能夠主動(dòng)的進(jìn)行收集、檢測、分析判斷在網(wǎng)絡(luò)中可能出現(xiàn)的安全問題，從而讓網(wǎng)絡(luò)自身具備對(duì)病毒、黑客、惡意入侵等的抵抗力。網(wǎng)絡(luò)準(zhǔn)入控制（NAC）是SDN解決方案的重要組成部分，其作用是可以實(shí)施訪問權(quán)限控制，阻止不符合安全條件的設(shè)備進(jìn)入網(wǎng)絡(luò)，并將其置于設(shè)置的隔離區(qū)域之外，通過它獲得對(duì)計(jì)算資源有限的訪問權(quán)限。借助SDN解決方案的網(wǎng)絡(luò)準(zhǔn)入控制方案，在較高的安全模式下，可以做到只允許合法的設(shè)備（如PC、服務(wù)器等）接入網(wǎng)絡(luò)，以保障網(wǎng)絡(luò)的安全。

網(wǎng)絡(luò)的整體安全，需要從操作系統(tǒng)、應(yīng)用程序、防火墻、網(wǎng)絡(luò)監(jiān)控、安全掃描、通信加密、災(zāi)難恢復(fù)等多種安全組件共同組成。只有多個(gè)組件共同作業(yè)，才可以完成整體保護(hù)任務(wù)，而不能僅由單個(gè)的組件完成所有功能。

圖1展示了思科“自防御網(wǎng)絡(luò)”的結(jié)構(gòu)，其核心為中心站（Central site），包含了SDN主動(dòng)式安全系統(tǒng)，即圖中NAC管理機(jī)（NAC Manager）和 NAC應(yīng)用（NAC Appliance），其分支（Branch office）可能為有線本地連接或訪客（Local NAC and Guest Access），分支辦公室（Branch Office），當(dāng)然也包含無線用戶（Wireless Users）。由網(wǎng)絡(luò)結(jié)構(gòu)可見，思科自防御網(wǎng)絡(luò)的優(yōu)勢，一方面考慮到了原有不同網(wǎng)絡(luò)結(jié)構(gòu)用戶仍然可以采用原有方式接入，另一方面在于外部連接的關(guān)鍵部分采用了主動(dòng)式的安全系統(tǒng)，將問題杜絕在入口處。在內(nèi)部網(wǎng)絡(luò)問題方面，不同網(wǎng)絡(luò)之間的連接，需要通過中性站進(jìn)行安全監(jiān)測和過濾，從而避免了內(nèi)部網(wǎng)絡(luò)之間的安全問題。

圖1 思科安全解決方案網(wǎng)絡(luò)結(jié)構(gòu)

3 解決方案在電力企業(yè)的應(yīng)用

為了適應(yīng)電力企業(yè)網(wǎng)絡(luò)的特點(diǎn)，其網(wǎng)絡(luò)安全的建設(shè)需要考慮安全層次、技術(shù)難度及經(jīng)費(fèi)支出等多種因素。因此，電力企業(yè)的網(wǎng)絡(luò)安全需要充分考慮以下要求：盡量保持原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)及功能的擴(kuò)展；保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)協(xié)議和傳輸具有很好的透明性；提高系統(tǒng)的安全性和可靠性的同時(shí)不應(yīng)影響原有操作的便利性；較低的維護(hù)量和網(wǎng)絡(luò)管理工作量，較少的人員長期工作量；一次性投資，可長期使用，長期的維護(hù)費(fèi)用低。

思科根據(jù)電力企業(yè)的網(wǎng)絡(luò)特點(diǎn)和電力信息化快速發(fā)展的特點(diǎn)，專門制定了電力SAFE網(wǎng)絡(luò)安全解決方案。這一方案將網(wǎng)絡(luò)安全性能，在電力網(wǎng)絡(luò)的各個(gè)環(huán)節(jié)進(jìn)行強(qiáng)化，為電力企業(yè)提供全面的網(wǎng)絡(luò)保護(hù)。其特點(diǎn)是將安全產(chǎn)品、安全管理平臺(tái)與電力企業(yè)已有的網(wǎng)絡(luò)設(shè)備有機(jī)結(jié)合，在不破壞原有網(wǎng)絡(luò)結(jié)構(gòu)，原有網(wǎng)絡(luò)溝通便利性和操作習(xí)慣的前提下，提高網(wǎng)絡(luò)安全性能。電力SAFE網(wǎng)絡(luò)解決方案的特點(diǎn)是網(wǎng)絡(luò)安全集成化和模塊化。這種模塊化主要優(yōu)勢在兩個(gè)方面，一方面，模塊化結(jié)構(gòu)允許各功能模塊間保持相對(duì)獨(dú)立的安全關(guān)系；另一方面，模塊化可以使電力企業(yè)中有限的網(wǎng)絡(luò)管理人員可以逐次逐個(gè)的評(píng)估和實(shí)施安全性管理，而非試圖在一個(gè)階段完成，從而有效地節(jié)約人力，提高效率。

以電力企業(yè)的互聯(lián)網(wǎng)模塊進(jìn)行說明。互聯(lián)網(wǎng)模塊為企業(yè)內(nèi)部用戶提供與互聯(lián)網(wǎng)的連接，以及互聯(lián)網(wǎng)用戶與公共服務(wù)器上連接，這些都是電力企業(yè)辦公自動(dòng)化、電力信息化和服務(wù)公開化的要求。防火墻為互聯(lián)網(wǎng)公共服務(wù)以及內(nèi)部用戶雙向提供保護(hù)。通過有效過濾，可以發(fā)現(xiàn)并解除本地網(wǎng)絡(luò)、專用地址范圍的源地址電子欺騙。在網(wǎng)絡(luò)路由器的入口處，通過過濾和限制信息流，對(duì)大多數(shù)攻擊提供了基本保護(hù)。此外，還在防火墻外側(cè)采用了可監(jiān)控網(wǎng)絡(luò)，以檢測一些無法預(yù)知但可能發(fā)生的網(wǎng)絡(luò)安全隱患。防火墻為通過防火墻的會(huì)話提供了連接狀態(tài)實(shí)施和具體過濾。將公共服務(wù)上的信息流限制到部分地址和端口，實(shí)現(xiàn)雙向的過濾。

4 結(jié)束語

為了維護(hù)電力企業(yè)的信息安全，需要建設(shè)堅(jiān)固的電力企業(yè)網(wǎng)絡(luò)安全體系。當(dāng)前電力企業(yè)的網(wǎng)絡(luò)安全存在一定的問題，既要提高企業(yè)人員的網(wǎng)絡(luò)安全意識(shí)，還要采用先進(jìn)的網(wǎng)絡(luò)安全措施。電力企業(yè)的特點(diǎn)對(duì)網(wǎng)絡(luò)安全系統(tǒng)提出了較多的要求，針對(duì)這些要求，思科制定出了針對(duì)于電力企業(yè)模塊化的網(wǎng)絡(luò)安全方案。只有通過多種模塊的結(jié)合，才能更好地保障電力企業(yè)網(wǎng)絡(luò)的安全，進(jìn)而確保電力企業(yè)的正常運(yùn)行。

［1］ 李永紅，劉臣亮，等．電力系統(tǒng)網(wǎng)絡(luò)安全隔離的設(shè)計(jì)與實(shí)現(xiàn)［J］．水電廠自動(dòng)化，2005，（4）：68－72，78．

［2］ 王益民．國家電力調(diào)度數(shù)據(jù)網(wǎng)的設(shè)計(jì)與實(shí)施［J］．電網(wǎng)技術(shù)，2005，29（22）：1－6．

［3］ 徐金友．使用網(wǎng)閘與防火墻構(gòu)建電力系統(tǒng)網(wǎng)絡(luò)安全構(gòu)架［J］．水利水電工程造價(jià)，2004，（3）：59－60．

［4］ 歐陽兵．阿勒泰電力公司的網(wǎng)絡(luò)安全［J］．新疆電力技術(shù)，2009，（2）：54－55．

［5］ 王勤全，樸在林，等．基于CP原則的地方電力網(wǎng)絡(luò)安全防御方法研究［J］．沈陽農(nóng)業(yè)大學(xué)學(xué)報(bào)，2009，40（3）：373－375．