电力系统计算机网络信息安全分析及防护.doc

1、电力系统计算机网络信息安全分析及防护 吴博 (河南电力调度通信中心 河南 郑州,450052 摘要:分析了河南省电力公司计算机信息网络所面临的不安全因素,并对该计算机信息网络的特殊架构层次化,继而进行了深入的网络安全透析,并给出了针对性的网络安全防护部署。 关键词:计算机信息网络;安全防护技术;安全管理;防火墙;入侵监测;防病毒;身份认证;VPN;网络隔离装置 一、前言 电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算

2、机信息网络的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多;同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,使网络的重要性和影响也越来越大,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。 一、电力计算机信息网络的架构特点: (一 河南省电力计算机信息网络的现状: (1企业内部网络(Intranet连接。Intranet主要包括以下几个方面:各地区电业 局、电厂、修造设计机构与省电力公司的连接;各县电业局与地区电业局的连接; 省电力公司与网局、国电公司的连接。 (2企业外部连

3、接。省电力公司与省电力公司二级机构与国际互联网的连接;各级电 力公司提供的远程访问服务;各级电力公司与外系统(如银行、政府部门的连接。 以上连接一方面丰富了电力公司的业务,同时也导致了新的安全问题。 二、对河南电力计算机信息网络的安全“层次化”: 上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重要的网络安全问题之一。保护计算机网络的稳定运行,防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织和分支机构,确定信息认证等等问题需要重点解决。而且电力部门有其独特的网络模式,所以从自身实际安全需求出发,全局、综合、均衡地考虑各种必要的安全措施,建立全面完整的安全体

4、系,从而促进电力生产的安全、稳定、经济运行。 根据河南省电力系统计算机信息网络的特点,各相关业务系统的重要程度和数据 流程、目前状况和安全要求,将整个系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。 (1安全区Ⅰ:实时控制区 安全区I中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。 安全区I的典型系统包括调度自动化系统(SCADA/EMS

5、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信经由电力调度数据网SPInet--VPN1。该区中还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级。安全区I是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心。 (2安全区Ⅱ:非控制生产区 安全区Ⅱ中的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区I中的系统或功能模块联系紧密。安全区

6、Ⅱ的典型系统包括调度员培训模拟系统(DTS、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级。 (3安全区Ⅲ:生产管理区 安全区III中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统(DMIS、统计报表系统(日报、旬报、月报、年报、雷电监测系统、气象信息接入等。

7、 (4安全区IV:管理信息区 安全区IV中的业务系统或功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端。该区包括管理信息系统(MIS、办公自动化系统(OA、客户服务等。该区的外部通信边界为公共因特网。 三、网络安全防护分析: 针对电力计算机信息网络的以上特殊性质,进行网络安全分析如下: (一 网络逻辑结构示意图 (二在网络接口处可能受到的攻击分析: 关联接口攻击场景描述风险类 型 风险 级别 对业务的影 响 I1 通过该接口,入侵安全等级高的系统,向通信网关发送雪崩 数据,造成网络堵塞。机密性 完整

8、性 H 导致和 SCADA/EMS 系统及其它 生产系统业 务中断 I2、I3 通过该接口,入侵DMIS系统 重要业务部分,造成重要业务 中断。 完整性 可用性 可靠性 审计性 H 可以向DMIS 系统加入恶 意代码,窃取 信息或对系 统造成破坏。 I4 其它DMIS系统中的恶意进程或攻击人或病毒,通过SPI net,利用该接口非法接入 DMIS局域网可用性 审计性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染 I5 来自MIS系统的病毒和恶意进程或攻击人,非法进入DMIS 系统。窃听或篡改发电计划、 负荷需求或其它不对

9、外公开 信息等数据审计性 可用性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染 I6 , I6 .1 黑客假冒开发商或本系统维 护人员的身份获得对DMIS系 统的远程维护权限 认证性 可用性 抗否认 H 黑客可以向 DMIS系统加 入恶意代码, 窃取信息,或 对系统造成 破坏。 I7 来自系统外单位系统的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 DMIS系统, 导致服务中 断或网络堵 塞 I8 来自INTERNET的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法

10、入侵者侵入 MIS系统,导 致服务中断 或网络堵塞 四、网络安全防护措施 (一基于接口的安全技术和管理建议 接口 保护(P 检测(D 响应(R 管理 I1 C 通信网关、防火墙 无 无 C 口令 无 无 无 I2 R 身份认证,审计追踪,抗否认,防病毒 恶意代码检测 入侵检测 暂停服务,审计日志分析 病毒库更新 定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 无 无 无 无 I3 R 物理隔离 无 暂停服务,审计日志分析 制定服务中断恢复计划,安全相容性检查 C 口令 无 无 无 I4 R 抗否认,审计追踪,身份认证,防病毒 恶

11、意代码检测 入侵检测 暂停服务,审计日志分析 病毒库更新 定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 防火墙 无 无 I5 R 防火墙,身份认证,防恶意代码,安全网关,防病毒 恶意代码检测 入侵检测 修改防火墙规则,病毒库更新 制定服务中断恢复计划,安全相容性检查 I6, I6 C 口令 无 无 .1 R VPN,抗否认, 审计追踪,身 份认证,安全 网关恶意代码检测 入侵检测 暂停拨号服 务,审计日志 分析 定义接 口安全 条件, 定义用 户安全 连接条 件,安 全相容 性检查 C 通信网关无无I7 R 身份认证,安

12、全网关,防火 墙,抗否认, 审计追踪,防 病毒恶意代码检测 入侵检测 暂停服务,修 改防火墙规 则,审计日 志,病毒库更 新 定义接 口安全 条件 C防火墙无无无I8 R防火墙,身份 认证,防恶意 代码,安全网 关,防病毒恶意代码检测 入侵检测 修改防火墙 规则,病毒库 更新 制定服 务中断 恢复计 划,安 全相容 性检查 注:C表示当前所采用的安全措施,R表示推荐采用安全措施 (二安全产品选用 安全产品及其简要功能 安全产品名 称 类型 功能说明 对系统可能的影响 防火墙 硬件防火墙 软件防火墙 访问控制 影响数据传输速

13、度 网关 服务器 访问控制 影响数据传输速度 基于网络 实时监控 实施阻断时,占用一定的 网络带宽 入侵检测软 件 基于主机 准实时监控 占用主机的一部分CPU和 内存 安全评估软 件 基于网络和主机 漏洞扫描 在扫描时,占用一定主机 和网络资源 专用隔离装 置 物理隔离 逻辑隔离 更严格的访问 控制 影响传输数据的类型、速 度 防病毒软件 针对NT/2000系列 防、杀病毒 对主机性能有一定影响 PKI系统 CA, RA, AS RA, AS 身份认证、数据 保密、数据完整 证书和私钥的管理增加 了管理工作量 AS 性检验等 备份系统 针对

14、服务器中的数据和软件 可以对重要数据和软件进行灾难恢复 实施备份操作时,影响网络和相关主机的速度和性能 (三、部署安全产品 (四安全产品部署说明: [1] 防火墙&隔离装置 在调度生产管理系统的安全区Ⅱ和安全区Ⅲ间 (即物理接口PI3处,部署专用物理隔离设备,以实施对安全区Ⅰ、Ⅱ的安全隔离。 在管理信息系统(MIS的接入点和公共网络接入点,即物理接口PI5和PI8,采用隔离装置实施访问控制策略。 [2] 入侵监测系统 在调度生产管理系统中部署基于网络和基于主机的入侵检测系统,以实施对网络和服务器攻击及违规行为的监测与响应策略。入侵检测系统的探头布置在三处,分别标识为IDS

15、探头1、IDS 探头2和IDS 探头3,它们的作用分别为: IDS 探头1:用于监控DMIS 系统与SPI net 之间的访问活动 IDS 探头2:用于监控DMIS 系统内部服务器访问活动 IDS 探头3:用于监控系统外部单位和DMIS 系统之间的访问活动 安全监测中心实现对入侵检测系统中探头(或称为探测器的统一管理与控制,它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。 [3] 安全评估系统 在DMIS系统中布置安全评估系统,可以辅助管理员自主地定期对调度生产管理系统进行必要的安全评估,检测

16、与分析系统存在的安全漏洞,并根据安全评估报告的结果进行整改,及时安装升级包,或者修改防火墙和隔离设备的访问控制规则,以避免黑客利用系统安全漏洞进行攻击。 [4] 防病毒软件 在调度生产管理系统内部的所有主机和服务器上安装防病毒软件,并配置一台病毒管理中心,进行必要的防病毒管理。 由于现在病毒感染的途径很多,因此必须实施全面的防病毒方案,并且能及时更新。 [5] 身份认证(PKI系统 在调度生产管理系统中布置PKI系统主要用于系统与人(如使用人员员、远程维护人员等之间以及各系统进程之间的身份认证。完整的PKI系统包括CA、RA、目录服务等,在调度生产管理系统中可以选择下面两种配置之一:

17、 只需要布置一个证书服务器,向应用程序提供证书和证书作废列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络RTU证书、无闭环专用系统的证书、远程维护人员的证书等。 不增加任何设备,应用程序直接调用PKI系统提供的API,从而支持强身份认证功能。 与配置一相比,需要手工向应用程序导入证书和证书作废列表 参考文献: [1]湖南电力计算机广域网安全分析张灿湖南电力文献 2003.5 [2] 电力信息网络安全的“层次化”思科网络安全技术文献库 2004.5 [3] 国家电力信息化目标国家电力信

18、息化技术文献 2002.3 [4] 孙友仓,对信息系统安全管理的探讨.现代电子技术[J],2004,27(5 [5] 熊松韫,张志平. 构建网络信息的安全防护体系. 情报学报[J], 2003,22(1 吴博: 男,工程师,2003年毕业于四川大学电气信息学院通信工程系,同年7月在河南省电力公司调度通信中心通信处就职, 从事电力通信调度以及电力通信网络的管理、维护和故障处理等方面的工作。 The analysis and protection for network information security of Electric Power Network System wubo

19、 (Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network ;security protection technique ; VPN ;Security Management;Firewall ; eTrust Intrusion Detection;defend the virus ;PKI; DMZ(Demilitarized Zone Abstract: Analyzed the insecur

20、ity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State. 电力系统计算机网络信息安全分析及防护 作者:吴博 作者单位:河南电力调度通信中心

21、河南郑州,450052 相似文献(10条 1.会议论文谭晓天系统集成思想指导下的电网调度专业网络构建1999 系统集成是高水闰的计算机应用,能为用户提供一体化的解决方案。该文结合湖南电网调度专业网络系统的开发阐述了系统集成四个层次的具体实践。最后指出专业人员参与系统集成值得注意的问题。 2.会议论文胡炎.谢小荣.辛耀中现有安全设计方法综述2005 本文对电网现有安全设计方法进行了综述。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、发现修改方法、预防性安全设计方法等现有安全设计方法的特点和不足,同时总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面

22、研究的可借鉴之处. 3.期刊论文任志翔.仇群辉智能电网调度自动化技术思考-经济研究导刊2010,""(7 简述了智能电网的概念和特点,介绍电网调度自动化的发展历史,分析了智能电网调度自动化和传统电网调度自动化在智能处理和信息共享等方面的区别,着重分析了目前电网调度自动化系统的研究现状,并以目前在变电站建设中推广的IEC 61850和在主站构建中推广的IEC 61970标准以及计算机网络和先进的通信技术作为基础,重点分析了未来中国智能电网调度自动化的研究方向. 4.会议论文李承东.潘明惠微机网络在东北电网调度运行中的应用1994 5.会议论文舒彬.潘敬东转变观念、优化管理—关于电网调度自

23、动化系统网络安全管理的几点思考2001 本文在分析调度自动化系统网络安全管理中,由于信息不对称所造成的信息失真情况的基础上,探讨了如何通过建立一套有效的技术手段提高自动化系统安全管理系数,并进一步提出以"目标和任务"机制作为网络安全研究与建设方向的思想,以期为建立可适应性安全防护体系做好准备工作. 6.会议论文牛万福DEC计算机电网调度监控系统1997 详细介绍了一自行开发的DEC ALPHA计算机电网监控(SCADA系统,描述了监控系统计算机网络的客户站/服务器(client/server体系结构及电网监控软件,阐述了双机运行和软件切换机制。文章也介绍了该计算机电网监控系统在地区电网调

24、度中的应用及与企业管理信息系统(MIS和省局能量管理系统(EMS的网络连接。 7.学位论文高云电网调度运行信息管理系统设计2001 该文研究的对象是供电企业的电网调度运行信息管理系统,它是生产技术管理系统的一个重要组成部分.文中首先指出了目前地区供电企业在调度运行信息的记录、处理和传阅方式上存在的问题.在对系统功能需求和数据需求进行分析的基础上,对调度运行信息进行了分类,确定了系统的总体功能及实现方案,并采用原型法的软件开发方法、面向对象程序设计技术(OOP和计算机网络技术进行开发.利用Visual FoxPro6.0开发工具设计的调度运行信息管理系统具有基础资料数据库和运行记录数据库.现

25、已完成主控程序,系统注册模块、运行记录模块和操作命令票管理模块等应用程序,可以对设备参数和电网运行信息进行增加、修改、删除和查询工作,统计断路器跳闸次数并给出达到预定值时的信息提示.程序中设计了利用已输入的基础资料数据进行快速、灵活地输入和编辑运行记录的操作方法,极大地减少了汉字输入的工作量,并且使记录的信息更为规范.设计的程序具有操作简便、易于使用和功能扩充方便等特点. 8.会议论文王桂茹电网调度管理信息系统设计1997 这是一篇涉及计算机网络及应用推广;涉及电网调度相关专业知识及信息共享原则的论文。 9.会议论文曹连军.王晓华东北电网调度通信中心生产管理企业网1999 当今计算机已

26、经由单机操作向网络操作发展。计算机网络在企业现代化管理中起到越来越重要的作用。该文给出了东北电网调度通信中心生产管理企业网的功能描述。 10.期刊论文周士跃.王劲松.金小达地区供电网调度实时数据网络安全分析及对策-电网技术2003,27(10 随着信息技术和网络技术在电力生产中的应用,在变电站与调度自动化系统间传输数据已经实现,同时调度自动化系统与电力生产中其它系统间也进行了互联,因此调度实时系统和变电站计算机网络的安全问题也越来越引起人们的关注.文中结合盐城电网的实际情况,提出了相应的系统安全策略和信息安全策略,重点介绍了调度主站系统和变电站的网络安全技术:防火墙技术、多层次防护策略、入侵检测系统. 本文链接: 下载时间:2010年6月6日