何進(jìn)

【摘 要】本文主要論述水電站信息網(wǎng)絡(luò)所面臨的安全問(wèn)題和與之相對(duì)應(yīng)的策略，分析電力安全的安全及防火墻設(shè)計(jì)，對(duì)電力企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有一定的指導(dǎo)意義。

【關(guān)鍵詞】水電站；網(wǎng)絡(luò)安全；安全策略；防火墻

1.引 言

隨著我國(guó)電力產(chǎn)業(yè)的飛速發(fā)展，電力企業(yè)網(wǎng)絡(luò)的安全運(yùn)行對(duì)我國(guó)經(jīng)濟(jì)的發(fā)展起著十分重要的作用。在我國(guó)Internet和電力信息化產(chǎn)業(yè)的飛速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在電力企業(yè)的各個(gè)方面得到了廣泛的應(yīng)用，水電站信息網(wǎng)絡(luò)已經(jīng)成為電力系統(tǒng)的重要基礎(chǔ)設(shè)施，它的安全運(yùn)行與否關(guān)系到電力系統(tǒng)的安全、穩(wěn)定、有效運(yùn)行。網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，電力信息網(wǎng)絡(luò)的不斷延伸和擴(kuò)大，特別是企業(yè)網(wǎng)和Internet的互聯(lián)都對(duì)電力信息網(wǎng)絡(luò)的安全提出了更高的要求。因此，深入研究電力企業(yè)信息網(wǎng)絡(luò)安全的特點(diǎn)和存在的問(wèn)題，對(duì)電力企業(yè)信息網(wǎng)絡(luò)的安全運(yùn)行有一定的指導(dǎo)意義。

2.網(wǎng)絡(luò)安全

所謂網(wǎng)絡(luò)安全是指在分布網(wǎng)絡(luò)環(huán)境中，對(duì)信息載體（處理載體、存儲(chǔ)載體、傳輸載體）和信息的處理、傳輸、存儲(chǔ)、訪問(wèn)提供安全保護(hù)，以防止數(shù)據(jù)、信息內(nèi)容或能力拒絕服務(wù)或非授權(quán)使用和篡改。網(wǎng)絡(luò)安全具有機(jī)密性、可用性和完整性這三個(gè)基本屬性。網(wǎng)絡(luò)安全涉及的內(nèi)容既有技術(shù)方面的問(wèn)題，也有管理方面的問(wèn)題，兩方面相互補(bǔ)充，缺一不可。技術(shù)方面主要側(cè)重于防范外部非法用戶的攻擊，管理方面則側(cè)重于內(nèi)部人為因素的管理。威脅網(wǎng)絡(luò)安全的因素主要有黑客入侵、信息泄漏、拒絕服務(wù)攻擊和病毒等幾類(lèi)。

（1）黑客入侵

由于網(wǎng)絡(luò)邊界上的系統(tǒng)安全漏洞或管理方面的缺陷（如弱口令），容易導(dǎo)致黑客的成功入侵。黑客可以通過(guò)入侵計(jì)算機(jī)或網(wǎng)絡(luò)，使用被入侵的計(jì)算機(jī)或網(wǎng)絡(luò)的信息資源，來(lái)竊取、破壞或修改數(shù)據(jù)，從而威脅水電站信息網(wǎng)絡(luò)安全。

（2）信息泄漏

相對(duì)于黑客入侵這種來(lái)自網(wǎng)絡(luò)外部的威脅而言，信息泄漏的主要原因則在于企業(yè)內(nèi)部管理不善，如信息分級(jí)不合理、信息審查不嚴(yán)和不當(dāng)授權(quán)等，都容易導(dǎo)致信息外泄。

（3）拒絕服務(wù)攻擊

信息網(wǎng)絡(luò)上提供的FTP、WEB和DNS等服務(wù)都有可能遭受拒絕服務(wù)攻擊。拒絕服務(wù)的主要攻擊方法是通過(guò)消耗用戶的資源，來(lái)增加CPU的負(fù)荷，當(dāng)系統(tǒng)資源消耗超出CPU的負(fù)荷能力時(shí)，此時(shí)網(wǎng)絡(luò)的正常服務(wù)失效。

（4）病毒

通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，病毒的傳播速度和傳播范圍程度驚人，它可以在數(shù)小時(shí)之間使得全球成千上萬(wàn)的網(wǎng)絡(luò)計(jì)算機(jī)系統(tǒng)癱瘓，嚴(yán)重威脅網(wǎng)絡(luò)安全。病毒的危害性涉及面廣，它不僅可以修改刪除文件，還可以竊取企業(yè)內(nèi)部文件和泄露用戶個(gè)人隱私信息等。

3.安全策略

3.1網(wǎng)絡(luò)隔離

由于不同的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)該采用不同的安全對(duì)策，因此我們?yōu)榱颂岣哒麄€(gè)網(wǎng)絡(luò)的安全性考慮，可以根據(jù)保密程度、保護(hù)功能和安全水平等差異，把整個(gè)網(wǎng)絡(luò)進(jìn)行分段隔離。這樣可以實(shí)現(xiàn)更為細(xì)化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的范圍內(nèi)。所謂網(wǎng)絡(luò)隔離（Network Isolation）是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）完全斷開(kāi)或通過(guò)不可路由的形式（如不可路由的專(zhuān)用協(xié)議、專(zhuān)用數(shù)據(jù)交換硬件等）進(jìn)行連接，從而達(dá)到隔離網(wǎng)絡(luò)攻擊和防范網(wǎng)絡(luò)風(fēng)險(xiǎn)的目的。

電力企業(yè)內(nèi)外網(wǎng)之間是通過(guò)物理隔離的，所謂物理隔離是通過(guò)網(wǎng)絡(luò)與計(jì)算機(jī)設(shè)備的空間（主要包括網(wǎng)線、路由器、交換機(jī)、主機(jī)和終端等）分離來(lái)實(shí)現(xiàn)的網(wǎng)絡(luò)隔離。物理隔離強(qiáng)調(diào)的是設(shè)備在物理形態(tài)上的分離，從而來(lái)實(shí)現(xiàn)數(shù)據(jù)的分離。完整意義上的物理隔離應(yīng)該是指兩個(gè)網(wǎng)絡(luò)完全斷開(kāi)，網(wǎng)絡(luò)之間不存在數(shù)據(jù)交換。然而實(shí)際上，由于網(wǎng)絡(luò)的開(kāi)放性和資源共享性等特點(diǎn)需要內(nèi)外網(wǎng)之間進(jìn)行數(shù)據(jù)交換。因此，我們通常所說(shuō)的物理隔離是指能滿足物理隔離的安全性要求的、相對(duì)的物理隔離技術(shù)。物理隔離的原理是使單個(gè)用戶在同一時(shí)間、同一空間不能同時(shí)使用內(nèi)部網(wǎng)和外部網(wǎng)兩個(gè)系統(tǒng)。如果兩個(gè)系統(tǒng)在空間上物理隔離，在不同的時(shí)間運(yùn)行，那么就可以得到兩個(gè)完全物理隔離的系統(tǒng)。

3.2防火墻

防火墻實(shí)際上是由應(yīng)用層網(wǎng)關(guān)、包過(guò)濾路由器和電路層網(wǎng)關(guān)等組成的一套系統(tǒng)，它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間，可以提供網(wǎng)絡(luò)通信，從而保證內(nèi)部網(wǎng)的正常安全運(yùn)行。防火墻是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的。

工作原理：當(dāng)防火墻被安置完成以后，所有內(nèi)部通向外部和外部通向內(nèi)部的數(shù)據(jù)流都要通過(guò)防火墻。它通過(guò)包過(guò)濾技術(shù)，利用應(yīng)用層代理或應(yīng)用層數(shù)據(jù)共享的方式來(lái)實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的通信，通過(guò)堡壘主機(jī)（屏蔽主機(jī)防火墻）連接系統(tǒng)外部與內(nèi)部。此外，它還利用基于支持網(wǎng)絡(luò)層和應(yīng)用層安全功能等技術(shù)來(lái)有效的隔離了內(nèi)部和外部的網(wǎng)絡(luò)，從而建筑起了一道屏障來(lái)抵御非法的侵入，更好的保護(hù)了電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行。

我們要特別注意的是，即使網(wǎng)絡(luò)安裝了防火墻也還要考慮防火墻產(chǎn)品自身是否安全、防火墻用戶權(quán)限體系管理和防火墻的安全認(rèn)證等特性。防火墻一般經(jīng)常采用密碼認(rèn)證的方式，由于該方法安全性較差，所以一旦密碼泄漏，別人就很容易控制防火墻，從而對(duì)網(wǎng)絡(luò)的安全運(yùn)行造成隱患。因此我們需要要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，從而更好的保護(hù)網(wǎng)絡(luò)的安全運(yùn)行。

3.3防病毒

電力企業(yè)網(wǎng)絡(luò)面臨的病毒威脅主要有電子郵件傳播、文件交叉感染和瀏覽網(wǎng)頁(yè)及文件下載感染這三種傳播途徑。在電力企業(yè)網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有破壞性、可傳播性、可執(zhí)行性和可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有感染速度快、傳播形式復(fù)雜、破壞性大、難于徹底清除和擴(kuò)散面廣等新的特點(diǎn)。

易于管理和全面防毒功能是防病毒軟件的關(guān)鍵?，F(xiàn)在的防病毒軟件已不單單是檢測(cè)病毒和清除病毒，而且還應(yīng)加強(qiáng)對(duì)病毒的防護(hù)工作。我們可以通過(guò)安裝遠(yuǎn)程防病毒軟件來(lái)保證電力企業(yè)的網(wǎng)絡(luò)安全運(yùn)行。因此，集中管理、遠(yuǎn)程安裝、統(tǒng)一防病毒策略成為了企業(yè)級(jí)防病毒產(chǎn)品的重要功能。我們?cè)谶x擇殺毒軟件時(shí)，要選擇在市場(chǎng)上有較高知名度企業(yè)研發(fā)的殺毒軟件產(chǎn)品，這樣不僅可以保證產(chǎn)品質(zhì)量，而且產(chǎn)品的售后服務(wù)也能得到保證。由于計(jì)算機(jī)病毒的傳播途徑多樣化，電力企業(yè)需要建立多層次、立體式病毒防護(hù)體系、完善的管理系統(tǒng)和病毒防護(hù)策略來(lái)保證網(wǎng)絡(luò)的安全運(yùn)行。

這里所謂的多層次、立體式病毒防護(hù)體系是指在電力企業(yè)的每臺(tái)臺(tái)式機(jī)上安裝基于臺(tái)式機(jī)的反病毒軟件，在Internet網(wǎng)關(guān)上安裝基于Internet網(wǎng)關(guān)的反病毒軟件，在服務(wù)器上安裝基于服務(wù)器的反病毒軟件，于此同時(shí)對(duì)電腦的操作系統(tǒng)進(jìn)行安全加固，這樣就可以從工作站到服務(wù)器再到網(wǎng)關(guān)進(jìn)行全面保護(hù)，從而保證整個(gè)電力企業(yè)網(wǎng)絡(luò)的安全運(yùn)行，使其不受計(jì)算機(jī)病毒的侵害。

4.入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)（IDS）是一種主動(dòng)防御攻擊的新型網(wǎng)絡(luò)安全系統(tǒng)，由于它在功能上彌補(bǔ)了防火墻的缺陷，完善了整個(gè)安全防御體系，因此在電力企業(yè)的網(wǎng)絡(luò)安全中有著重要的作用。

入侵檢測(cè)系統(tǒng)是放置在電力企業(yè)內(nèi)網(wǎng)服務(wù)器前端的，我們?cè)谶M(jìn)行安裝入侵檢測(cè)系統(tǒng)（IDS）的關(guān)鍵步驟是部署監(jiān)測(cè)器與控制臺(tái)。具體安裝如下：首先，可以在外部路由器與外部網(wǎng)絡(luò)的連接處部署監(jiān)測(cè)器，以監(jiān)測(cè)異常的入侵企圖，在防火墻與MIS之間部署監(jiān)測(cè)器，以監(jiān)視和分析管理信息系統(tǒng)與外部網(wǎng)絡(luò)的通信流。然后，分別在監(jiān)控信息系統(tǒng)（SIS）和管理信息系統(tǒng)（MIS）中部署一臺(tái)監(jiān)測(cè)器，監(jiān)視各子網(wǎng)的內(nèi)部情況，其中控制臺(tái)設(shè)置在管理信息系統(tǒng)中。最后，根據(jù)實(shí)際情況為個(gè)別需重點(diǎn)保護(hù)的服務(wù)器、工作站安裝基于主機(jī)的入侵檢測(cè)軟件，保護(hù)重要設(shè)備。

5.結(jié)束語(yǔ)

綜上所述，隨著我國(guó)經(jīng)濟(jì)和社會(huì)的飛速發(fā)展，電力企業(yè)在我國(guó)國(guó)民經(jīng)濟(jì)中的比重日益提高，電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定、有效運(yùn)行對(duì)整個(gè)國(guó)民經(jīng)濟(jì)的穩(wěn)定運(yùn)行起著十分重要的作用。針對(duì)電力企業(yè)網(wǎng)絡(luò)所面臨的各種不同的威脅，我們只有采用與之相應(yīng)的安全措施，才能保證電力企業(yè)局域網(wǎng)的安全、正常和穩(wěn)定運(yùn)行。endprint