刘桂芹

（沧县供电公司，河北 沧州 061000）

摘要: 随着我国电力系统自动化、信息化程度的不断提高，电力系统的信息网络安全扮演着越重要角色。文章首先对国家电网网络构架进行了分析，然后从电力系统信息网络安全防御能力的现状出发，分析了网络安全层次结构的总体设计、防火墙体系构建、安全访问控制的构建、数据备份的实施及加强安全管理，从外部防御、用户授权、信息加密、内部审计等方面对电力系统信息网络安全进行了分析研究。

关键字: 网络安全、入侵检测系统（IDS）、监控信息系统（SIS）、管理信息系统（MIS）

0.引言

随着我国Internet和电力信息化产业的飞速发展，计算机网络在电力企业的各个方面得到了广泛的应用，电力企业信息网络已经成为电力系统的重要基础设施，它的安全运行与否关系到电力系统的安全、稳定、有效运行。网络技术的广泛应用，电力信息网络的不断延伸和扩大，特别是电力企业网和Internet的互联都对电力信息网络的安全提出了更高的要求。因此，深入研究电力企业信息网络安全的特点和存在的问题，对电力企业信息网络的安全运行有一定的指导意义。

1.国家电网网络架构分析

目前，内部网络与Internet 网的连接方式大多采用星型的拓扑结构。最终用户要和外界联系通讯必须通过网络服务器，这样对于外界网络安全全部都依赖于网络服务器。因而，针对于网络的安全必须以网络服务器为主。

电力企业信息网拓扑结构逻辑上是星型＋树状结构。它由主干网、区域网、省内网、地区网4级组成，各级网络设有分级网络中心及主节点，同时又以上级网络中心为中心节点。每一级网络的网络中心与该级网络的主干节点呈星型连接，网络内节点间的信息交换原则上要通过其中心节点。下一级信息网是上一级信息网的接入网，因此区域网是第1级接入网，省内网是第二级接入网， 地区网是第三级接入网，县级网是第四级接入网。各级网络的局域用户按地理区域就近接入各级接入网络，漫游用户就近接入当地网络，经所管辖的区域网主节点进入主干网。各级网络中心负责其相应职能范围的网络管理和控制，并提供基本网络功能和网络增值服务。负责管理运行主干网以及与国家和国际的联网，它是电力行业信息网的总的连接枢纽。各级信息中心为电力系统全行业提供信息服务。

供电企业网络一般属于第三、四级接入网，即地区网和县级网（本文主要讨论县级网）。县级网与地区内网络通过光纤或者其他物理专线方式连接省内网。地区网拥有所有县级服务器和下属单位的互联网出口，因此能组建数据综合骨干网。县级通过专线访问地区级的服务器，开展日常的业务工作。

2.网络安全

所谓网络安全是指在分布网络环境中，对信息载体(处理载体、存储载体、传输载体)和信息的处理、传输、存储、访问提供安全保护，以防止数据、信息内容或能力拒绝服务或非授权使用和篡改。网络安全具有机密性、可用性和完整性这三个基本属性。网络安全涉及的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。威胁网络安全的因素主要有黑客入侵、信息泄漏、拒绝服务攻击和病毒等几类。

2.1 黑客入侵

由于网络边界上的系统安全漏洞或管理方面的缺陷(如弱口令)，容易导致黑客的成功入侵。黑客可以通过入侵计算机或网络,使用被入侵的计算机或网络的信息资源，来窃取、破坏或修改数据，从而威胁电力企业信息网络安全。

2.2 信息泄漏

相对于黑客入侵这种来自网络外部的威胁而言，信息泄漏的主要原因则在于企业内部管理不善，如信息分级不合理、信息审查不严和不当授权等，都容易导致信息外泄。

2.3 拒绝服务攻击

信息网络上提供的FTP、WEB和DNS等服务都有可能遭受拒绝服务攻击。拒绝服务的主要攻击方法是通过消耗用户的资源,来增加CPU的负荷，当系统资源消耗超出CPU的负荷能力时，此时网络的正常服务失效。

2.4 病毒

通过计算机网络，病毒的传播速度和传播范围程度惊人，它可以在数小时之间使得全球成千上万的网络计算机系统瘫痪，严重威胁网络安全。病毒的危害性涉及面广，它不仅可以修改删除文件，还可以窃取企业内部文件和泄露用户个人隐私信息等。

3.网络设计

3.1 网络系统的总体设计

综合考虑办公人员的实际需求，按照电力企业网络的实际要求，实现Internet 连接、网络资源共享、内部办公自动化。根据以上分析，网路中心设在办公楼的顶层，对内部网络采用分布式层级结构，这样对网络的可扩展性和性能有很大的好处。企业内部网络包括纵向三层结构:核心层、汇聚层和接入层。网络主干部分称为核心层，核心层的主要目的在于通过高速转发通信，可靠的骨干传输结构，因此核心层应该由高性能的交换机组成。核心层交换机拥有更高的可靠性，并且能够处理网络中大量的数据流量，具备很强的扩展能力。核心层交换机为网络提供高速的主干链路及中心设备，是沟通服务器和访问层设备的桥梁，更要能实时的高品质的网络服务。汇聚层的交换机主要是用来分发网络资源到接入层的用户，并将网络中非中心数据的流量减少到最低。汇聚层交换机主要是将数据转发至接入层的交换设备上。接入层目的是允许终端用户连接到网络，一般接入层的交换机处于网络体系结构的最下层，提供基于端口的数据交换以及对VLAN 的支持。接入层交换机具有低成本和高端口密度特性。为了提供无缝的网络交换，汇聚层和接入层的交换机应与核心层的交换机之间存在良好的兼容性。

3.2 VLAN的划分

VLAN分段通常被认为是控制网络广播风暴的一种基本手段，其实也是保证网络安全的一项重要措施。它可以将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。在集中式网络环境下，通常将敏感部门的所有主机系统集中到一个VLAN里，在这个VLAN里不允许有其它任何用户节点，从而较好地保护这些主机中的资源；在分布式网络环境下，则可以按机构或部门的设置来划分VLAN，各部门内部的所有服务器和用户节点都在各自的VLAN内，互不侵扰，从而有效地控制广播、防止黑客。经过分析，我们将企业局域网按应用类型分为对应的四个子网:生产子网(LAN1)、管理子网(LAN2)、劳资子网(LAN3)和财务子网(LAN4)。各网络系统的运行采用的是以交换技术为主的方式。三网主干均应采用的是千兆以太网技术，起点的高定位为企业的信息应用带来了高速、稳定、符合国际标准的网络平台。

4.防火墙体系构建

4.1 防火墙工作原理

防火墙实际上是由应用层网关、包过滤路由器和电路层网关等组成的一套系统，它逻辑上处于内部网和外部网之间，可以提供网络通信，从而保证内部网的正常安全运行。防火墙是放置在电力企业内网服务器前端的，防火墙的基本结构如图1所示。

工作原理：当防火墙被安置完成以后，所有内部通向外部和外部通向内部的数据流都要通过防火墙。它通过包过滤技术，利用应用层代理或应用层数据共享的方式来实现不同网络之间的通信，通过堡垒主机（屏蔽主机防火墙）连接系统外部与内部。此外，它还利用基于支持网络层和应用层安全功能等技术来有效的隔离了内部和外部的网络，从而建筑起了一道屏障来抵御非法的侵入，更好的保护了电力企业网络系统的安全运行。

图1 防火墙基本结构

4.2 访问控制列表构建防火墙体系结构

访问控制列表是应用在路由器接口的指令列表，这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝，可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表，ACL可以当作一种网络控制的有力工具，用来过滤流入和流出路由器接口的数据包。从而达到网络防火墙的作用。

4.3 硬件防火墙的应用

在企业应用中，比较常见的是硬件防火墙，我以“WatchGuard”这款防火墙在电力企业中网络组建做个详细的介绍。当然，在使用防火墙之前首先得安装它，或者说是将防火墙与整个网络配置好。第一步，必须选定防火墙的工作模式，一般为两个选项，一个为Drop-In Mode，另一个为Routed Mode。前者主要用于不带“非军事区”或者无内网的网络环境，在这里我们选择“Routed Mode”模式。然后我们把外接网口，内部接口、“非军事区”的选项添好，进行完网络设置后，我们即可通过GUI 程序与硬件防火墙直接连接，并对防火墙进行配置。局域网与防火墙之间的配置。一个企业往往会分很多部门，例如,生产部、研发部、财务部等，而根据不同部门对网络及网络安全的需求往往是不一样的。

4.4 入侵检测系统

入侵检测系统（IDS）是一种主动防御攻击的新型网络安全系统，由于它在功能上弥补了防火墙的缺陷，完善了整个安全防御体系，因此在电力企业的网络安全中有着重要的作用。入侵检测系统是放置在电力企业内网服务器前端的，其分布式布置3所示。由图可知，我们在进行安装入侵检测系统（IDS）的关键步骤是部署监测器与控制台。具体安装如下：首先，可以在外部路由器 与外部网络的连接处部署监测器，以监测异常的入侵企图,在防火墙与MIS之间部署监测器，以监视和分析管理信息系统与外部网络的通信流。然后，分别在监控信息系统（SIS）和管理信息系统（MIS）中部署一台监测器，监视各子网的内部情况，其中控制台设置在管理信息系统中。最后，根据实际情况为个别需重点保护的服务器、工作站安装基于主机的入侵检测软件，保护重要设备。

图2 入侵检测系统分布式布置

4.5 组策略网络安全设置方案

组策略是Windows 的一个强大的管理工具，它不但可以对工作站进行配置，其强大的功能还可以应用到整个网络中。在企业中是最常用的网络安全管理“法宝”之一，即可让机器变得更安全，又可以使得用户在操作时更直观、方便。为了方便管理员对企业内部使用应用程序的安装和维护，组策略为管理员提供一个叫“软件安装”的管理单元，是系统管理员在企业中的整个生命周期中管理软件的主要工具。在使用“软件安装”之前，需要为安装的程序准备一个Windows 安装程序包。这个程序包通常由软件提供，如果没有Windows 安装包，则需要管理员制作一个。使用第三方的程序对要安装的程序打包。然后使用转换进一步自定义程序包。下一步创建网络共享，也叫做软件分发电，包括程序包、转换及程序文件和组件。虽然程序包和程序文件不一定放在一起，但如果他们在一起，则管理上会比较简单。使用分布文件系统以帮助管理这些软件分发点，对管理员而言是百利无一害的。最后，管理员需要确认用户能够从软件分发点中读取，并写到安装目录中，尤其是要把程序写到网络服务器。

5.安全访问控制的构建

访问控制的主要任务是保证网络资源不被非法使用和访问。访问控制构建有以下几个方面：

1）安全级别。

在中心机房的总服务端，我们要对服务器系统设定管理员的安全级别，并按照级别给予不同的用户名和密码。安全级别将影响系统访问的权限，安全级别低的管理员可设置成只对服务器日常维护的权限，这样能有效的达到安全访问控制的基本目的。

2）权限设置。

对于访问的用户设置权限，根据实际情况，可以设为系统管理员权限、创建权限、文件查找权限、读权限、写权限、删除权限、修改权限。通过权限的设置，可以有效的防止用户对服务器及其他设备的破坏，方便于管理，也使网络及服务器的安全性更加坚固。3）网络监测。网络管理员在网络中心服务器上，存储网络用户网络使用的数据流信息，当网络中出现非法访问时，服务器会出现报警，及时提醒网络管理员。网络服务器能够记录网络上非法尝试连接的用户，如果超出非法连接次数，立即对这用户名进行锁定。

4）属性安全控制。

网络管理员对网络服务器中目录、文件、网络设备等指定访问属性，属性就会控制用户正当使用的目录或文件，并用户使用读、写、删等功能。当网络管理员把目录设置属性时，目录下的字目录及文件都有效。网络的属性可以保护服务器中重要的文件及信息，阻止非法用户对系统进行破坏。       

5）局域网

客户机应设立自己的使用账号及密码，删除系统中可访问的User类用户，如需要共享或传送文件等，则建议建立一个限定权限用户。

6.数据备份的实施及加强安全管理

数据的备份我们采用NAS（Network Attached Storage，网络附属存储），它所连接的网络是局域网（LAN）而非存储网络。NAS是一种专用的文件服务器设备，可以为工作组或公司中的每个用户提供共享磁盘空间，用户权限设置思路很类似于普通Windows系统，操作很简单。与通用服务器相比，NAS较便宜，且安全，日常管理更方便。NAS基于IP网络，在数据传输时对带宽资源有较大的占用，但随着千兆以太网技术和一些新技术的发展，NAS在网络传输速度方面的不足有较大的改观，而且NAS 设备一般采用标准的硬盘（SATA，IDE），配合厂商的专利技术，存储系统扩容比较容易，零配件的更换成本很低。只需一个IP 地址即可访问NAS，避免了客户端大量的设置工作，为将来更大的数据存储提供了一个简易的增容方案。适合于数据量每年都有增长的大中型企业使用，企业不必一次性购买大容量的存储系统，而是可以根据自己的需求逐步扩充存储系统。NAS存储系统内置了服务器功能，它能够兼容不同的计算机操作系统，同时基于IP的特性使得NAS系统可以无缝地融合到现有网络中，安装NAS系统不会对企业现有的网络系统做任何更改。文件的备份让企业的信息安全得到了更大的保证。加强网络的安全管理，制定有关规章制度，对于确保网络的安全、可靠地运行，将起到十分有效的作用。制定机房的管理制度，确定安全区域的管理范围及制定规章制度，制定网络系统的维护制度及应急措施等。

7.结束语

综上所述，随着我国经济和社会的飞速发展，电力企业在我国国民经济中的比重日益提高，电力企业网络系统的安全、稳定、有效运行对整个国民经济的稳定运行起着十分重要的作用。针对电力企业网络所面临的各种不同的威胁，我们只有采用与之相应的安全措施，才能保证电力企业局域网的安全、正常和稳定运行。下载本文