《电力系统网络安全的研究》由会员分享,可在线阅读,更多相关《电力系统网络安全的研究(6页珍藏版)》请在金锄头文库上搜索。
1、电力系统网络平安的探讨刘桂芹(沧县供电公司,河北 沧州 061000)摘要: 随着我国电力系统自动化、信息化程度的不断提高,电力系统的信息网络平安扮演着越重要角色。文章首先对国家电网网络构架进行了分析,然后从电力系统信息网络平安防卫实力的现状动身,分析了网络平安层次结构的总体设计、防火墙体系构建、平安访问限制的构建、数据备份的实施及加强平安管理,从外部防卫、用户授权、信息加密、内部审计等方面对电力系统信息网络平安进行了分析探讨。关键字: 网络平安、入侵检测系统(IDS)、监控信息系统(SIS)、管理信息系统(MIS)0.引言随着我国Internet和电力信息化产业的飞速发展,计算机网络在电力企
2、业的各个方面得到了广泛的应用,电力企业信息网络已经成为电力系统的重要基础设施,它的平安运行与否关系到电力系统的平安、稳定、有效运行。网络技术的广泛应用,电力信息网络的不断延长和扩大,特殊是电力企业网和Internet的互联都对电力信息网络的平安提出了更高的要求。因此,深化探讨电力企业信息网络平安的特点和存在的问题,对电力企业信息网络的平安运行有肯定的指导意义。1.国家电网网络架构分析目前,内部网络与Internet 网的连接方式大多采纳星型的拓扑结构。最终用户要和外界联系通讯必需通过网络服务器,这样对于外界网络平安全部都依靠于网络服务器。因而,针对于网络的平安必需以网络服务器为主。电力企业信息
3、网拓扑结构逻辑上是星型树状结构。它由主干网、区域网、省内网、地区网4级组成,各级网络设有分级网络中心及主节点,同时又以上级网络中心为中心节点。每一级网络的网络中心与该级网络的主干节点呈星型连接,网络内节点间的信息交换原则上要通过其中心节点。下一级信息网是上一级信息网的接入网,因此区域网是第1级接入网,省内网是其次级接入网, 地区网是第三级接入网,县级网是第四级接入网。各级网络的局域用户按地理区域就近接入各级接入网络,漫游用户就近接入当地网络,经所管辖的区域网主节点进入主干网。各级网络中心负责其相应职能范围的网络管理和限制,并供应基本网络功能和网络增值服务。负责管理运行主干网以及与国家和国际的联
4、网,它是电力行业信息网的总的连接枢纽。各级信息中心为电力系统全行业供应信息服务。供电企业网络一般属于第三、四级接入网,即地区网和县级网(本文主要探讨县级网)。县级网与地区内网络通过光纤或者其他物理专线方式连接省内网。地区网拥有全部县级服务器和下属单位的互联网出口,因此能组建数据综合骨干网。县级通过专线访问地区级的服务器,开展日常的业务工作。2.网络平安所谓网络平安是指在分布网络环境中,对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问供应平安爱护,以防止数据、信息内容或实力拒绝服务或非授权运用和篡改。网络平安具有机密性、可用性和完整性这三个基本属性。网络平安涉及的内容既有
5、技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不行。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。威逼网络平安的因素主要有黑客入侵、信息泄漏、拒绝服务攻击和病毒等几类。2.1 黑客入侵由于网络边界上的系统平安漏洞或管理方面的缺陷(如弱口令),简洁导致黑客的胜利入侵。黑客可以通过入侵计算机或网络,运用被入侵的计算机或网络的信息资源,来窃取、破坏或修改数据,从而威逼电力企业信息网络平安。2.2 信息泄漏相对于黑客入侵这种来自网络外部的威逼而言,信息泄漏的主要缘由则在于企业内部管理不善,如信息分级不合理、信息审查不严和不当授权等,都简洁导致信息外泄。2.3
6、拒绝服务攻击信息网络上供应的FTP、WEB和DNS等服务都有可能遭遇拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷,当系统资源消耗超出CPU的负荷实力时,此时网络的正常服务失效。2.4 病毒通过计算机网络,病毒的传播速度和传播范围程度惊人,它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪,严峻威逼网络平安。病毒的危害性涉及面广,它不仅可以修改删除文件,还可以窃取企业内部文件和泄露用户个人隐私信息等。3.网络设计3.1 网络系统的总体设计综合考虑办公人员的实际需求,依据电力企业网络的实际要求,实现Internet 连接、网络资源共享、内部办公自动化。依据以上分
7、析,网路中心设在办公楼的顶层,对内部网络采纳分布式层级结构,这样对网络的可扩展性和性能有很大的好处。企业内部网络包括纵向三层结构:核心层、汇聚层和接入层。网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,牢靠的骨干传输结构,因此核心层应当由高性能的交换机组成。核心层交换机拥有更高的牢靠性,并且能够处理网络中大量的数据流量,具备很强的扩展实力。核心层交换机为网络供应高速的主干链路及中心设备,是沟通服务器和访问层设备的桥梁,更要能实时的高品质的网络服务。汇聚层的交换机主要是用来分发网络资源到接入层的用户,并将网络中非中心数据的流量削减到最低。汇聚层交换机主要是将数据转发至接入层的交换设
8、备上。接入层目的是允许终端用户连接到网络,一般接入层的交换机处于网络体系结构的最下层,供应基于端口的数据交换以及对VLAN 的支持。接入层交换机具有低成本和高端口密度特性。为了供应无缝的网络交换,汇聚层和接入层的交换机应与核心层的交换机之间存在良好的兼容性。3.2 VLAN的划分VLAN分段通常被认为是限制网络广播风暴的一种基本手段,其实也是保证网络平安的一项重要措施。它可以将非法用户与敏感的网络资源相互隔离,从而防止可能的非法侦听。在集中式网络环境下,通常将敏感部门的全部主机系统集中到一个VLAN里,在这个VLAN里不允许有其它任何用户节点,从而较好地爱护这些主机中的资源;在分布式网络环境下
9、,则可以按机构或部门的设置来划分VLAN,各部门内部的全部服务器和用户节点都在各自的VLAN内,互不侵扰,从而有效地限制广播、防止黑客。经过分析,我们将企业局域网按应用类型分为对应的四个子网:生产子网(LAN1)、管理子网(LAN2)、劳资子网(LAN3)和财务子网(LAN4)。各网络系统的运行采纳的是以交换技术为主的方式。三网主干均应采纳的是千兆以太网技术,起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。4.防火墙体系构建4.1 防火墙工作原理防火墙事实上是由应用层网关、包过滤路由器和电路层网关等组成的一套系统,它逻辑上处于内部网和外部网之间,可以供应网络通信,从而保证
10、内部网的正常平安运行。防火墙是放置在电力企业内网服务器前端的,防火墙的基本结构如图1所示。工作原理:当防火墙被安置完成以后,全部内部通向外部和外部通向内部的数据流都要通过防火墙。它通过包过滤技术,利用应用层代理或应用层数据共享的方式来实现不同网络之间的通信,通过堡垒主机(屏蔽主机防火墙)连接系统外部与内部。此外,它还利用基于支持网络层和应用层平安功能等技术来有效的隔离了内部和外部的网络,从而建筑起了一道屏障来抵挡非法的侵入,更好的爱护了电力企业网络系统的平安运行。交换机防火墙防火墙交换机DVZ图1 防火墙基本结构4.2 访问限制列表构建防火墙体系结构访问限制列表是应用在路由器接口的指令列表,这
11、些指令列表用来告知路由器哪些数据包可以接收、哪些数据包须要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来确定。通过敏捷地增加访问限制列表,ACL可以当作一种网络限制的有力工具,用来过滤流入和流出路由器接口的数据包。从而达到网络防火墙的作用。4.3 硬件防火墙的应用在企业应用中,比较常见的是硬件防火墙,我以“WatchGuard”这款防火墙在电力企业中网络组建做个具体的介绍。当然,在运用防火墙之前首先得安装它,或者说是将防火墙与整个网络配置好。第一步,必需选定防火墙的工作模式,一般为两个选项,一个为Drop-In Mode,另一个为Routed M
12、ode。前者主要用于不带“非军事区”或者无内网的网络环境,在这里我们选择“Routed Mode”模式。然后我们把外接网口,内部接口、“非军事区”的选项添好,进行完网络设置后,我们即可通过GUI 程序与硬件防火墙干脆连接,并对防火墙进行配置。局域网与防火墙之间的配置。一个企业往往会分许多部门,例如,生产部、研发部、财务部等,而依据不同部门对网络及网络平安的需求往往是不一样的。4.4 入侵检测系统入侵检测系统(IDS)是一种主动防卫攻击的新型网络平安系统,由于它在功能上弥补了防火墙的缺陷,完善了整个平安防卫体系,因此在电力企业的网络平安中有着重要的作用。入侵检测系统是放置在电力企业内网服务器前端
13、的,其分布式布置3所示。由图可知,我们在进行安装入侵检测系统(IDS)的关键步骤是部署监测器与限制台。具体安装如下:首先,可以在外部路由器 与外部网络的连接处部署监测器,以监测异样的入侵企图,在防火墙与MIS之间部署监测器,以监视和分析管理信息系统与外部网络的通信流。然后,分别在监控信息系统(SIS)和管理信息系统(MIS)中部署一台监测器,监视各子网的内部状况,其中限制台设置在管理信息系统中。最终,依据实际状况为个别需重点爱护的服务器、工作站安装基于主机的入侵检测软件,爱护重要设备。图2 入侵检测系统分布式布置4.5 组策略网络平安设置方案组策略是Windows 的一个强大的管理工具,它不但
14、可以对工作站进行配置,其强大的功能还可以应用到整个网络中。在企业中是最常用的网络平安管理“法宝”之一,即可让机器变得更平安,又可以使得用户在操作时更直观、便利。为了便利管理员对企业内部运用应用程序的安装和维护,组策略为管理员供应一个叫“软件安装”的管理单元,是系统管理员在企业中的整个生命周期中管理软件的主要工具。在运用“软件安装”之前,须要为安装的程序打算一个Windows 安装程序包。这个程序包通常由软件供应,假如没有Windows 安装包,则须要管理员制作一个。运用第三方的程序对要安装的程序打包。然后运用转换进一步自定义程序包。下一步创建网络共享,也叫做软件分发电,包括程序包、转换及程序文
15、件和组件。虽然程序包和程序文件不肯定放在一起,但假如他们在一起,则管理上会比较简洁。运用分布文件系统以帮助管理这些软件分发点,对管理员而言是百利无一害的。最终,管理员须要确认用户能够从软件分发点中读取,并写到安装书目中,尤其是要把程序写到网络服务器。5.平安访问限制的构建访问限制的主要任务是保证网络资源不被非法运用和访问。访问限制构建有以下几个方面:1)平安级别。在中心机房的总服务端,我们要对服务器系统设定管理员的平安级别,并依据级别赐予不同的用户名和密码。平安级别将影响系统访问的权限,平安级别低的管理员可设置成只对服务器日常维护的权限,这样能有效的达到平安访问限制的基本目的。2)权限设置。对
16、于访问的用户设置权限,依据实际状况,可以设为系统管理员权限、创建权限、文件查找权限、读权限、写权限、删除权限、修改权限。通过权限的设置,可以有效的防止用户对服务器及其他设备的破坏,便利于管理,也使网络及服务器的平安性更加坚实。3)网络监测。网络管理员在网络中心服务器上,存储网络用户网络运用的数据流信息,当网络中出现非法访问时,服务器会出现报警,刚好提示网络管理员。网络服务器能够记录网络上非法尝试连接的用户,假如超出非法连接次数,马上对这用户名进行锁定。4)属性平安限制。网络管理员对网络服务器中书目、文件、网络设备等指定访问属性,属性就会限制用户正值运用的书目或文件,并限制用户运用读、写、删等功能。当网络管理员把书目设置属性时,书目下的字书目及文件都有效。网络的属性可以爱护服务器中重要的文件及信息,阻挡非法用户对系统进行破坏。 5)局域网客户机应
