电力企业网络安全技术研究

摘　要：随着我国电力产业的飞速发展，电力企业网络的安全运行对我国经济的发展起着十分重要的作用。本文对电力企业信息网络所面临的安全问题和与之相对应的策略（如网络隔离、防火墙、防病毒和入侵检测系统）作了简要的介绍，对电力企业信息网络的安全运行有一定的指导意义。

关键词：电力企业；网络安全；安全策略
引言
　　随着我国Internet和电力信息化产业的飞速发展，计算机网络在电力企业的各个方面得到了广泛的应用，电力企业信息网络已经成为电力系统的重要基础设施，它的安全运行与否关系到电力系统的安全、稳定、有效运行。网络技术的广泛应用，电力信息网络的不断延伸和扩大，特别是电力企业网和Internet的互联都对电力信息网络的安全提出了更高的要求。因此，深入研究电力企业信息网络安全的特点和存在的问题，对电力企业信息网络的安全运行有一定的指导意义。
电力企业信息网络结构如图1所示。
　　　　　　
                            图1电力企业信息网络结构
1网络安全
　　所谓网络安全是指在分布网络环境中，对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或非授权使用和篡改。网络安全具有机密性、可用性和完整性这三个基本属性。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。
　　威胁网络安全的因素主要有黑客入侵、信息泄漏、拒绝服务攻击和病毒等几类。
（1）黑客入侵
　　由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令)，容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源，来窃取、破坏或修改数据，从而威胁电力企业信息网络安全。
（2）信息泄漏
　　相对于黑客入侵这种来自网络外部的威胁而言,信息泄漏的主要原因则在于企业内部管理不善,如信息分级不合理、信息审查不严和不当授权等,都容易导致信息外泄。
（3）拒绝服务攻击
　　信息网络上提供的FTP、WEB和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷，当系统资源消耗超出CPU的负荷能力时，此时网络的正常服务失效。
（4）病毒
　　通过计算机网络，病毒的传播速度和传播范围程度惊人，它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪，严重威胁网络安全。病毒的危害性涉及面广,它不仅可以修改删除文件，还可以窃取企业内部文件和泄露用户个人隐私信息等。
2安全策略
2.1网络隔离
　　由于不同的网络结构应该采用不同的安全对策，因此我们为了提高整个网络的安全性考虑，可以根据保密程度、保护功能和安全水平等差异，把整个网络进行分段隔离。这样可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较小的范围内。所谓网络隔离(Network Isolation)是指把两个或两个以上可路由的网络(如TCP/IP)完全断开或通过不可路由的形式(如不可路由的专用协议、专用数据交换硬件等)进行连接,从而达到隔离网络攻击和防范网络风险的目的。
　　电力企业内外网之间是通过物理隔离的，所谓物理隔离是通过网络与计算机设备的空间(主要包括网线、路由器、交换机、主机和终端等)分离来实现的网络隔离。物理隔离强调的是设备在物理形态上的分离，从而来实现数据的分离。完整意义上的物理隔离应该是指两个网络完全断开，网络之间不存在数据交换。然而实际上，由于网络的开放性和资源共享性等特点需要内外网之间进行数据交换。因此，我们通常所说的物理隔离是指能满足物理隔离的安全性要求的、相对的物理隔离技术。物理隔离的原理是使单个用户在同一时间、同一空间不能同时使用内部网和外部网两个系统。如果两个系统在空间上物理隔离，在不同的时间运行，那么就可以得到两个完全物理隔离的系统。
2.2防火墙
  防火墙实际上是由应用层网关、包过滤路由器和电路层网关等组成的一套系统，它逻辑上处于内部网和外部网之间，可以提供网络通信，从而保证内部网的正常安全运行。防火墙是放置在电力企业内网服务器前端的，防火墙的基本结构如图2所示。
　
图2 防火墙结构
　　工作原理：当防火墙被安置完成以后，所有内部通向外部和外部通向内部的数据流都要通过防火墙。它通过包过滤技术，利用应用层代理或应用层数据共享的方式来实现不同网络之间的通信，通过堡垒主机（屏蔽主机防火墙）连接系统外部与内部。此外，它还利用基于支持网络层和应用层安全功能等技术来有效的隔离了内部和外部的网络，从而建筑起了一道屏障来抵御非法的侵入，更好的保护了电力企业网络系统的安全运行。
　　我们要特别注意的是，即使网络安装了防火墙也还要考虑防火墙产品自身是否安全、防火墙用户权限体系管理和防火墙的安全认证等特性。防火墙一般经常采用密码认证的方式，由于该方法安全性较差，所以一旦密码泄漏，别人就很容易控制防火墙，从而对网络的安全运行造成隐患。因此我们需要要求防火墙管理员对网络安全攻击的手段及其与系统配置的关系有相当深刻的了解，从而更好的保护网络的安全运行。
2.3防病毒
　　电力企业网络面临的病毒威胁主要有电子邮件传播、文件交叉感染和浏览网页及文件下载感染这三种传播途径。在电力企业网络环境下，网络病毒除了具有破坏性、可传播性、可执行性和可触发性等计算机病毒的共性外，还具有感染速度快、传播形式复杂、破坏性大、难于彻底清除和扩散面广等新的特点。
　　易于管理和全面防毒功能是防病毒软件的关键。现在的防病毒软件已不单单是检测病毒和清除病毒，而且还应加强对病毒的防护工作。我们可以通过安装远程防病毒软件来保证电力企业的网络安全运行。因此，集中管理、远程安装、统一防病毒策略成为了企业级防病毒产品的重要功能。我们在选择杀毒软件时，要选择在市场上有较高知名度企业研发的杀毒软件产品，这样不仅可以保证产品质量，而且产品的售后服务也能得到保证。由于计算机病毒的传播途径多样化，电力企业需要建立多层次、立体式病毒防护体系、完善的管理系统和病毒防护策略来保证网络的安全运行。
　　这里所谓的多层次、立体式病毒防护体 系是指在电力企业的每台台式机上安装基于台式机的反病毒软件，在Internet网关上安装基于Internet网关的反病毒软件，在服务器上安装基于服务器的反病毒软件，于此同时对电脑的操作系统进行安全加固，这样就可以从工作站到服务器再到网关进行全面保护，从而保证整个电力企业网络的安全运行，使其不受计算机病毒的侵害。
3入侵检测系统
　　入侵检测系统（IDS）是一种主动防御攻击的新型网络安全系统，由于它在功能上弥补了防火墙的缺陷，完善了整个安全防御体系，因此在电力企业的网络安全中有着重要的作用。
　　入侵检测系统是放置在电力企业内网服务器前端的，其分布式布置3所示。由图可知，我们在进行安装入侵检测系统（IDS）的关键步骤是部署监测器与控制台。具体安装如下：首先，可以在外部路由器与外部网络的连接处部署监测器，以监测异常的入侵企图,在防火墙与MIS之间部署监测器，以监视和分析管理信息系统与外部网络的通信流。然后，分别在监控信息系统（SIS）和管理信息系统（MIS）中部署一台监测器，监视各子网的内部情况，其中控制台设置在管理信息系统中。最后，根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件，保护重要设备。
　　　　　
　　　　　　　　　　　　　　　图3入侵检测系统分布式布置
结束语
　　综上所述，随着我国经济和社会的飞速发展，电力企业在我国国民经济中的比重日益提高，电力企业网络系统的安全、稳定、有效运行对整个国民经济的稳定运行起着十分重要的作用。针对电力企业网络所面临的各种不同的威胁，我们只有采用与之相应的安全措施，才能保证电力企业局域网的安全、正常和稳定运行。
参考文献：
[1]赵小林.网络安全技术教程[M].北京：国防工业出版社,2006
[2]彭新光,吴兴兴.计算机网络安全技术与应用[M].北京:科学出版社, 2005
[3]胡炎,韩英铎.电力工业信息安全的思考[J].电力系统自动化, 2002(4):27
[4]王先培,李文武.防火墙和入侵检测系统在电力企业信息网络中的应用[J].电力系统自动化, 2002(3):30-32
[5]吴强,刘蓉雷.电力企业信息网络安全分析与防范措施[J]．计算机安全，2004，6：7-9