淺析電力行業網絡安全的現狀與改進方法

◆王 寧 楊 瑩

（國網河南省電力公司信息通信公司 河南 450000）

淺析電力行業網絡安全的現狀與改進方法

◆王 寧 楊 瑩

（國網河南省電力公司信息通信公司 河南 450000）

電力企業是我國能源行業的重要組成部分，國家電網公司又是國有特級骨干企業，在電力企業中占有重要地位，而電力企業網絡和信息系統目前正高速普及應用，逐漸成為電力企業信息化的發展核心。與此同時，電力企業核心業務對網絡和信息系統的依賴程度越來越大，電力企業網絡和信息系統安全問題越多越嚴重。如何有效保障電力企業網絡和信息系統安全已經成為一項非常緊迫的任務，對網絡和信息系統安全存在的風險進行有效的管理顯得日益重要。

電力行業；網絡安全；現狀；改進

1 電力行業網絡安全現狀

我國當前電力行業網絡和信息系統構建于互聯網、企業內網及應用專網之上，其安全管理問題和其它電力企業的計算機網絡和信息系統面臨同樣多的風險因素，如：管理制度的不健全、采取的安全防護手段不徹底，等等。比較突出的問題有：

1.1 物理安全風險

當前電力行業的計算機網絡和信息系統中現有物理設備主要有路由器、交換機、服務器和工作站等硬件設備和物理線纜。由于設計之初資金和技術等條件的制約，沒有充分考慮安全防護因素，只是以保證基本運行為原則進行部署，這就為整個網絡和信息系統埋下了物理安全層面的風險因素。（1）重要機房等環境中未進行針對火災、水災等自然災害進行的專業規劃部署；（2）機房和線纜通道墻壁等物理建筑物內未進行針對周圍環境的電（3）服務器及重要網絡設備未進行針對雙UPS電源、人為破壞等設計缺陷進行預防措施；（4）重要數據未進行針對設備損壞、缺陷進行的容災備份架構實施。

1.2 網絡安全風險

電力行業計算機網絡和信息系統地域覆蓋整個企業的行政區，而不同站點之間的網絡連接方式又分為光纖連接、租用第三方的專線連接及VPN連接等連接方式，不同業務需求的網絡拓撲結構又分為不同的物理或邏輯專網，這就又為我局的網絡和信息系統增添了復雜性及多樣性。現實情況是，網絡和信息系統在不斷的建設和擴充過程中，沒有統一的安全規劃和科學配置，同子網間存在不經安全設施的交叉連接，關鍵網絡設備網絡上的安全風險因素存在。邏輯網絡的子網劃分不合理，不同子網間存在不經安全設施的交叉連接，關鍵網絡設備、通信線路沒有冗余建設等等。

1.3 系統安全風險

電力行業網絡和信息系統中的系統安全風險問題比較突出，各種主機操作系統、硬件設備固件存在不同程度的安全漏洞、配置不正確情況，沒有健全的補丁管理及配置管理的措施和制度，這就在系統層面上人為地造成了網絡和信息系統的脆弱環節，給攻擊者留下了非常容易利用的機會。諸如交換機、路由器、防火墻等網絡硬件設備的固件版本更新、修補程序不及時；各種網絡設備尤其是防火墻和路由器沒有正確配置；再如各種服務器及工作站的操作系統由于種類不同（我局服務器操作系統大部分為Windows Serve：操作系統，存在少量Linux操作系統）及技術水平等原因大多數沒有被正確的配置，補丁管理不到位，只是提供特定邏輯網絡內終端中的操作系統補丁升級管理措施，網絡內的大部分服務器與終端的操作系統根本沒有采取補丁升級管理措施。

1.4 計算機病毒侵害風險

同其它機構、組織、企業面臨的環境局面相同，電力行業計算機網絡和信息系統也存在受計算機病毒侵害的風險。其傳播途徑和互聯網計算機病毒傳播途徑大致相同，通過諸如網絡瀏覽、郵件攜帶、文檔攜帶、存儲設備攜帶、網絡自主傳播等等途徑進行傳播。尤其是我局微機的使用者數量多、素質參差不齊、管理斷面不清等原因，我局計算機網絡和信息系統的計算機病毒來源以網絡瀏覽和移動存儲設備攜帶為主。其破壞效果以蠕蟲類病毒造成相關主機性能下降居多，偶爾有文件型病毒出現破壞相關文檔導致其損壞，但一般工作站上殺毒軟件會迅速更新病毒庫遏制其傳播。

2 電力行業網絡安全改進措施

對于電力行業，結合它的實際工作環境，相應的網絡安全改進措施如下：

2.1 文檔安全的網絡保護措施

在電力行業當中，人事調動、人員流動等都容易引起資料的泄密，比如：員工通過單位的網絡，單位的e-mail發走單位的重要文檔，U盤軟盤拷貝走單位的重要資料，用單位的打印機打印敏感的文件，這會給單位造成很大的損失。針對文檔的保護，具體的保護措施如下：

（1）圖檔加密

文檔保護系統圖檔加密管理能夠幫助電力單位有效防范和應對各種網絡安全問題。從源頭杜絕文件泄密，解決了外賊好治，家賊難防的管理局面。軟件具有健全的管理體系，能實現高效、高性能的全方位監測，加強平臺建設，具備了應急處理能力，對于突發事件能夠做到判斷準確、響應迅速、應對有效，能最大限度避免網絡安全事故對企業發展的影響。

（2）圖檔管控

文檔保護系統圖檔管控功能，主要針對大型用戶文件庫服務器設計，部署簡單，更加易于控制管理。這是一套成熟完善的圖檔集中管理和冗余抗災方案，庫內的文檔進行分級管理和分權管理。

2.2 Web應用防護措施

隨著網絡發展，Web應用程序越來越多，這些應用面臨著來自網絡的惡意攻擊威肋、，Web主頁被篡改，用戶信息被竊取等，時有發生。據不完全統計，網絡攻擊目前超過75%是針對Web應用服務的。這是基于應用層的攻擊，通過一些社交工具和P2P協議進入電力企業網絡。這種進入方式不像是攻擊行為，就像是正常的數據訪問，防火墻策略對其毫無辦法。等它在本地網絡上肆意破壞后，用戶才會發現。

傳統的防火墻是無法進行Web應用防護。防火墻工作在網絡層，通過地址轉換、訪問控制及狀態檢測等功能，對單位網絡進行保護。為了便于外部訪問Web應用，防火墻是完全開放8080端口的，這就意味著防火墻對Web應用幾乎沒有防護措施。防火墻無法防止上述應用層的攻擊，所以，這里我們選擇了針對Web應用服務的防攻擊設備。

3 電力行業網絡安全內網構建措施

電力行業內網安全態勢評估指標體系的建立以及態勢評估過程均需要考慮多層面的因素，簡單的線性結構不能清晰地刻畫各種影響網絡安全要素之間的聯系。網絡系統中的一個或者多個漏洞或弱點的存在就給網絡攻擊留有空隙，進而導致網絡安全事件的發生。因此，在電力行業內網控制過程當中，其資產、威脅性和脆弱性均應該作為關鍵要素應用于內網安全態勢評估過程中。

所以內網安全控制技術分為三個方面：（1）數據采集措施，例如，內網中的主機操作系統、防火墻以及Web站點存在的安全漏洞和錯誤配置，這為內網的安全態勢評估提供了準確、客觀的評估數據，使得態勢評估的結果盡可能地可靠和客觀。（2）數據挖掘技術，所謂數據挖掘技術是指從海量的數據當中發現其隱含的、未被人們所理解的潛在規律，并將其提取出來幫助決策者快速發現數據間的潛在關系，并用于實際生活當中的過程。（3）數據融合技術，對具有相似或者不同特征的多源信息利用計算機技術加以分析和綜合處理，從而完成評估或決策的信息處理技術。

4 網絡流量監控和管理子系統設置

網絡流量監控和管理子系統通過橋接在防火墻和核心交換之間，對網絡配置毫無影響，直接控制內部人員的網絡訪問行為，保證訪問信息的安全，確保數據流量的有效使用率。

通過對比黑名單，有效阻攔不良網頁的訪問，保障了單位網絡安全。并對上網人員進行記錄，審查其占用帶寬資源和訪問歷史。網絡流量監控和管理子系統對工作人員上網行為的管控和對一些高風險網站的封堵可以大大減少來自病毒、間諜軟件和黑客的侵擾與攻擊，異常告警功能更能為單位的局域網穩定保駕護航。

網絡流量監控和管理子系統作為上網行為管理設備部署在核心網絡，以透明網橋連接的方式串接在核心網絡連接Internet的出口處，進行網絡行為管理、安全審計、信息過濾和帶寬管理。具體連接方式是：將網絡流量監控和管理子系統二個網口配置成網橋模式，網絡流量監控和管理子系統和核心交換機的連線斷開，網絡流量監控和管理子系統直接連外網口，核心交換機直接連內網口。

5 計算機防病毒技術

計算機防病毒技術也是電力行業網絡安全技術的一項重要措施，其具體作用與范圍見表1：

表1 計算機防病毒技術類型

電力行業計算機網絡和信息系統中計算機防病毒工作，一般都是針對可能的計算機病毒感染節點，實施全方位的、立體的、多層次的防御計算機病毒體系，通過安裝企業級的計算機防病毒軟件系統，嚴格部署于服務器、工作站中，同時統一提供實時升級服務。

6 結語

計算機網絡和信息系統的安全領域，是一項系統工程，涉及多個方面的學科內容，任何分析、研判都不能只看某一個方面。現階段解決計算機網絡和信息系統安全風險應該從法律、制度、技術三個層次，采取全方位的措施，為電力行業網絡安全提供足夠的保證。

[1]趙亞楠．專用網絡安全隔離關鍵技術的研究與實現[D]．北京郵電大學，2015．

[2]楊海霞．電力企業信息網絡安全問題及解決對策[J]．中國電力教育，2009．

[3]劉吉龍．基于防火墻的企業網絡安全系統的設計與實現[D]．吉林大學，2015．

[4]趙亞楠．專用網絡安全隔離關鍵技術的研究與實現[D]．北京郵電大學，2015．

[5]肖紅亮．電力系統網絡安全及其對策淺析[J]．科技信息，2010．