关于电力调度数据网络安全问题的几点思考

关于电力调度数据网络安全问题的几点思考

王玮金国刚付嘉渝张炜明庞晓东赵德伟

(国网甘肃省电力公司730030）

摘要：本文通过对数据网络运行环境的分析对网络安全潜在风险进行识别，结合实际运行管理经验和网络发展的先进技术对电力数据网络的安全防护提出了具体措施和建设性意见，以期构建完整的电网调度数据网安全防护体系。

关键词：调度数据网；安全防护；网络安全；数据安全

1引言

随着我国综合国力的提升，电力系统也得到快速发展和进步，电力调度作为智能电网中重要的一环，其自动化实现的程度也反映了电力二次系统发展的水平。

2数据网安全防护

电力调度数据网络安全整体防护纲领性文件是国家发改委2014第14号令《电力监控系统安全防护规定》，明确了二次安全防护的十六字方针，即“安全分区、网络专用、横向隔离、纵向认证”。根据安全分区原则，电力二次系统划分为生产控制大区和管理信息大区。“网络专用”要求电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。

3调度数据网安全风险分析

数据网络点多面广，任何一个环节出问题都可能影响到整个网络的安全。经分析数据网安全风险可能存在于以下几点：

3.1管理制度风险

在数据网实际运行中，有许多管理制度来保障网络安全，如果管理制度本身存在漏洞或工作人员执行不到位，都会给网络运行带来风险。一旦网络结构、运行方式发生变化，管理制度也要做出相应调整，旧的管理制度应及时重新修编和完善。

3.2人员素质风险

从事数据网运行维护的各级工作人员网络知识参差不齐，安全意识也不一定全部到位。一部分熟悉数据网络的技术人员因工作岗位变动离开后，后续人员对工作环境的熟悉需要一个过程，这期间如果人员安全意识不够强，安全措施不到位，就会存在很大的安全隐患。

3.3机房物理安全风险

机房设计、安装应按照国家规定达到有关标准，未达到标准会给网络设备安全运行带来安全隐患。机房各出入口未配置电子门禁系统产生非相关人员访问风险；未应设置防雷保安器会存在感应雷损坏设备风险；机房防火、防水、防潮、防静电、电磁防护设施不到位都会存在风险。

3.4网络攻击

非授权行为对网络进行有目的的侵入可视为网络攻击。从采用的攻击手段来划分可以将网络攻击分为主动攻击、被动攻击、内部人员攻击、物理临近攻击等。从攻击方式上区分可以分为缓冲区溢出、网络监听攻击、木马程序攻击、拒绝服务攻击等几类。

网络攻击过程一般由如下步骤组成：首先对目标计算机网络进行调查，收集和判断出拓扑结构以及其它信息，紧接着探测与分析目标系统安全漏洞和防护薄弱点，一旦时机成熟就会对目标系统实施攻击。

4网络安全防护体系的构建

针对以上列出的一些常见的数据网络风险，我们将其归纳为四个方面的问题，即管理制度、物理安全、网络安全以及数据安全。从这四个方面来规划总体安全防护体系。

4.1管理制度

制度建设是数据网络安全的基础，必须按照“谁主管谁负责，谁运营谁负责”的原则，在安全防护的整体框架下建立起一整套数据网络安全管理制度。制定网络安全工作的总体方针和安全策略，明确安全工作的总体目标、范围、原则和安全框架等。

4.2物理安全

数据网的安全基础是保证网络硬件设备的物理安全，我们应当遵循国标《电子计算机机房设计规范》（GB50173—93）的前提下结合电力生产特点制定调度机构计算机机房建设标准，督促全网改善网络硬件运行环境。在机房建设过程中要按照统一标准进行设计、施工、装修和安装，并经公安、消防等部门验收合格后方能投入使用。

4.3网络安全防护

网络安全是系统安全的一部分。在网络安全体系建设中需要考虑以下几个方面：业务隔离、接入安全、访问控制和报警监测记录等。

4.3.1MPLSVPN技术的运用

调度数据网已经是专用的调度业务通信网，为了进一步增强其安全性，有必要在网络中设计VPN，将业务数据在VPN中传输,不同的VPN用户之间无法获知对方的路由信息，因此VPN技术具有天然的安全特性。构建VPN的方式有多种，而多协议标记交换MPLS(MultiProtocolLabelSwitch)是一种基于标记的转发模式，MPLSVPN在公网中使用LSP隧道进行标签交换，与普通的IP转发相比安全级别更高。

在数据网中按照业务分类将VPN也划分为实时与非实时两大类，MPLSVPN能够确保两种不同业务之间的设备无法获知对方的路由信息，不会暴露不必要的信息给外界，包括其VPN用户，这样将使网络攻击变得十分困难。另外，即使在同一种业务中通过对MPLSVPN中RT（Route-Target）属性进行合理设置，可以保证在没有设置互访需求的情况下，即使是相同的业务，相互之间也无法访问。

4.3.2入侵检测

入侵检测系统（IDS）由硬件和软件系统组合而成，能够对系统外部的入侵和内部用户的非授权行为进行检测，通过监测网络实现对外部攻击、内部攻击和误操作的实时保护，结合其它网络安全产品应能够监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。

4.3.3访问控制

设置访问控制的目的一是防止非法人员进入数据网访问资源，二是允许网内合法用户访问网内受保护的资源，三是防止合法用户访问未对其授权的资源。

对于远程登录用户，有三种不同的验证方式，即LINE验证、本地验证和AAA验证。不同的用户设置不同的用户级别，拥有对设备不同的操作权限。对Telnet用户还可配置VTY类型LINE的呼入呼出以限制telnet用户访问，以及通过在PE设备上设置ACL，防止VPN用户通过CE对PE设备进行非法访问等。

在简单网络管理协议（SNMP）中配置团体名，限制通过SNMP对设备的访问。SNMP采用团体名认证，与设备认可的团体名不符的SNMP报文将被丢弃。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体才可以对设备进行配置等。

4.4数据安全防护

4.4.1纵向加密认证

在生产控制大区与广域网的纵向联接处应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施，用来为安全区I/II的广域网边界提供保护的同时为上下级控制系统之间的数据网通信提供加密与认证服务。装置能够满足对指定业务流量进行数据加密、对未定义流量进行阻拦的要求，实现端到端的选择性保护。

4.4.2数据完整性

业务数据在传输中可能因干扰产生错误，应用层通信规约通过数据校验技术能够检测到重要业务数据在传输过程中完整性是否受到破坏。常见的数据校验技术包括奇偶校验和循环冗余校验，奇偶校验方式简单但漏检率较高，现在常用的循环冗余码（CRC）漏检率很低也容易实现，因此得到了广泛应用。通过这项技术可以保障调度业务数据的完整性和正确性。

4.4.3恶意代码防范

恶意代码是被设计用来实现一些恶意目的代码或程序，包括计算机病毒、网络蠕虫、特洛伊木马、后门程序、拒绝服务程序、逻辑炸弹等。恶意代码在互联网中传播较广，若一旦被引入调度数据网中，将可能对数据网造成较大危害。一方面我们要从制度上进行防范，禁止未经过安全检测的设备接入系统、封闭敏感区域计算机设备的USB口等。另一方面我们要从技术手段上来做好防范工作，可以从以下几方面来着手：

1）在网络边界装设具有隔绝网络攻击的防火墙，在网络边界处对恶意代码攻击行为进行隔离。

2）系统内部署了瑞星企业版防病毒软件，分为服务器端和客户端，定期下载升级包，维护恶意代码库的升级并检测系统的更新。一旦主站服务器升级，全网客户端将具备最新的病毒防范能力。

3）在保证系统内计算机上运行的程序和进程不受影响的情况下，为操作系统打补丁，并检查各类安全策略，进行主机加固，消除恶意代码生存的环境。

5结论

调度数据网承载着许多重要的生产控制系统数据的传输，在电力生产中发挥着不可替代的作用。尤其在当前“三集五大”体制下，大量的调度控制数据都通过这张网络传输，其安全性直接影响到电网的安全。在此背景下本文提出了保证电力调度数据网络安全运行的一些措施，继续强化制度管理和提升防护技术，并进一步提升网络的可靠性、安全性、传输性能。为智能电网提出的信息化、自动化、互动化目标要求奠定网络传输基础。

参考文献

[1]汪希杰，戚雪辉.计算机网络风险的防范与对策[J].中国金融电脑，2004,3.

[2]荆铭，邱夕兆，延峰.电力调度数据网安全技术及其应用[J].电网技术，2008,12.

[3]刘修峰,范志刚.网络攻击与网络安全分析[J].网络安全技术与应用，2006,12.