(国网新疆电力有限公司塔城供电公司新疆塔城834700)
摘要:随着智能化业务的深入发展,接入调度数据网络的设备、终端和服务也越来越多。整个电力网络的配套基础网络必须实现IP化,特别是电力的调度数据网络必须要有一个完整、高效和安全的IP网络。联网设备的安全性检查、合规性检查是至关重要的,不安全的设备不仅有可能导致调度数据网络的瘫痪,使调度工作无法开展,还有可能引起电力网络的送电故障、以及发生电力网络安全事故,因此调度数据网络的准入控制是关键。本分通过研究网络准入控制技术,提出了如何解决调度数据网的接入安全问题。
关键词:调度数据网;安全防护;技术
引言
电力调度数据网,即传输电力生产实时信息的网络,不仅是维持电力系统各组成部分顺利运转的关键手段,同时在电力生产、调度,水库、燃料调度,安全自动装置,电网调度自动化的保障,在我国电力生产、管理中扮演着不可或缺的角色。
1电力调度数据网安全防护设计
1.1安全区划分
在对电力调度数据网进行安全防护之前,需要先对电力调度数据网进行安全划分,对不同区域使用不同的管理方法,将生产控制区域与管理信息区域分开进行管理。管理信息区域主要是通过非实时子网来实现运转,主要包括调度生产管理系统、雷电检测系统、系统报表管理等业务。生产控制区域主要通过实时子网来实现运转,主要包括调度自动化系统、变电站自动化系统、安全自发动控制系统等业务。实时子网与非实时子网的区别在于,实时子网的安全等级比非实时子网的安全等级高,将数据网进行安全区划分,有利于不同区域实施不同的等级的安全防护管理,才能保证整个数据网的安全。
1.2横向隔离纵向加密
将电力调度数据网进行横向隔离能够满足生产网络的安全性,利用系统的自身隔离性,将服务器、路由器进行防护隔离,隔离掉互联网中的恶意破坏信息,使恶意信息无法对数据网进行破坏,提升了数据网络的安全性。例如,在主站侧路由器与交换机之间增加纵向加密设备,能够对传输中的数据进行加密,在交换机发生收发报文路径不同的情况时,防火墙装置会自动丢弃信息,并发出警告信号,提醒工作人员数据网可能被恶意破坏。因此,对数据网进行加密可以降低数据网被破坏的概率,提高数据网的安全性,降低了企业的经济损失。
2电力调度数据网安全问题
2.1操作不当
数据网的正常运营需要专门的工作人员维持和管理,过程中难免出现一些人为操作不当造成的安全隐患,威胁着电力调度数据网的安全性。整个电力调度数据网是一个庞大的系统,操作和管理起来并不容易,加上一些管理人员的安全责任意识薄弱,将负责管理部分的账号信息告知其他人,没有规范的口令设置,这些行为后面均隐藏着安全隐患,极易造成信息泄露,一旦被不法分子利用,会给电力数据网带来不可估量的经济损失。
2.2非授权访问
非授权访问,即指非法用户进入特定的网络系统并进行违规操作或是合法用户在未获取相应授权的情况下使用网络资源。如私自扩大访问权限,越权访问网络资源,绕过系统访问机制获取网络信息。一旦被非法网络利用假冒身份进行非法操作,传播病毒或是恶意攻击,将直接威胁电力调度数据网的安全性。
2.3系统结构及自身问题
电力调度数据网安全防护系统一般遵循“安全分区、网络专用、横向隔离、纵向认证的”思路,而在实际工作中,很多工作人员会违反以上原则,例如将工作电脑接入公共网络,跨区直连,或者是防火墙、纵横向加密装置和隔离装置配备不完善等情况。以上违规操作均为不法分子从低安全系统区向高安全系统区入侵提供了可乘之机,极大地威胁着电力生产、调度控制业务。此外,系统本身的安全也是顺利开展调度监控工作的基础,常见的系统问题有:未采用国家检测部门认证后的OS系统,未关闭空闲网络端口以及FTP、E-Mail、Web等通用服务,或是使用弱口令。
3电力调度数据网的安全防护技术
3.1事前控制措施
设备认证中实施四元组进行严格认证,目的是解决私接HUB或交换机问题,原理是与交换机联合查询MAC地址在哪个交换的哪个端口下,如果查询某个接口下有两个以上的MAC地址或与以前的记录查询比较有重复,则可判断此端口下私接了HUB或交换机设备;解决私接路由器问题,通过MAC地址分析与主机名分析,可以分析出设备制造商,然后确定设备是路由器;解决冒用IP地址或MAC地址的问题,分析接入交换机端口是否匹配,接入设备的主机名是否匹配,如果不匹配其中的某一项,则判断设备是在冒用IP地址或MAC地址。设备符合安全性、合规性问题,通过安全扫描技术扫描主机是否有安全隐患,比如操作系统开放了不安全端口、操作系统和数据库漏洞等,如果通过评估系统的评估,则服务系统授权接入网络服务,否则拒绝接入。
3.2网路设备安全
网路基础设施安全是电力调度数据网安全的基础,因此非常有必要完善网络设备安全管理模式,提高设备安全性。主要包括:①增强物理安全,严格遵守相关法律法规和安全规范,保证机房建设安全可靠,严格做好防火、防水、防盗工作。机房必须保证能够为调度数据稳定电源,保持静电接地,具有防范电路截获,防电磁防放射功能;②保护网络设备上的账号安全。不断改进和完善用户管理制度,实行分账管理模式,确保设备控制的安全。例如,在每一级保护功能处设置口令和重要配置,禁止优先级较低的用户擅自更改设备。高优先级模式下必须设置访问密码,控制网段访问列表,禁止未登记用户名访问,同时重新设置账号中的加密存储口令、弱口令等;③保证配置安全,定期升级操作系统,严格检查配置文件的完整性,定期保存配置文件并及时进行备份,避免监控系统出现漏洞时,威胁到电力调度数据网。
3.3安全访问与恶意代码防范
通过有效控制访问敏感数据,可保证访问的安全性。按照实际需求,可使用VTY线路,来限制SSH用户的访问,或者是用TELNET登录方式代替SSH方式。或者严格控制网路协议流量、访问列表,限制非授权用户对SNMP的访问。随着电力调度数据网的不断完善,其网络设备更加智能化,便于对IP原路由功能进行操作,并且可直接屏蔽病毒常入侵的网络端口,或者是非业务系统端口。使用TCP连接或者是TCPkeepalive服务来监控路由,防范恶意代码入侵。
3.4应用接入安全
电力调度数据网中通常使用的集中终端授权访问控制的方法包括:MAC地址认证、WEB认证以及802.1X认证。第一种方法更加有效,更加便捷,但是需要记录所有用户的MAC地址,且设备配置和维持程度都相对复杂,不建议在移动终端和用户数量过多的情况下使用;第二种方式比较便捷,使用时无需安装软件,但是由于其自身的认证系统存在安全隐患,易造成网络堵塞,因此安全性能不足;第三种802.1X属于一种认证策略,同时具有物理端口和逻辑端口两种性质,可以辨别就认证端口,也就是说除了自身的认证协议和广播报文,禁止其他端口通过。在实际运用中,操作人员需要结合调度数据网的实际状况选择相应的认证方式,以最大限度地保证电力调度数据网应用接入安全。综合以上讨论,根据各项需求,参考《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等其他方案,网络安全中需要综合采用防火墙、入侵检测、病毒防护、审计、安全管理等多种手段,对调度监控系统安全运行营造安全可靠的运行环境,给出示意图如图1。
图1电力二次系统安全防护示意图
该安全防护系统具有如下功能:①防木马病毒等恶意代码入侵;②保证电力监控系统和调度数据网络的可用性、连续性;③保护数据存储和传输工程中的完整性和安全性;④实现电力调度数据网安全事件的可发现性、可跟踪性和可审计性;⑤实现系统与设备接入电力二次系统时的身份认证,防止非法接入以及非授权访问;⑥提高电力监控系统和调度数据网络的规范化安全管理。
结语
总之,实施网络准入控制技术后,有效的防止了终端未经过管理员授权,以及终端未经过安全性、合规性检查就进入调度数据网,保障了调度数据网络的网络安全、运行安全以及边界安全。
参考文献:
[1]H3C公司著,H3C配置手册[S].杭州:华三通信技术有限公司.
[2]张富,计算机网络信息安全及其防护策略研究[J].无线互联科技,2016,(8):49-50.