電力市場技術支持系統網絡信息安全技術及解決方案

2013-12-26 14:33:42 電力信息化　點擊量：評論 (0)

提出了符合電力市場技術支持系統的網絡信息安全解決方案。首先對電力市場技術支持系統的網絡系統進行說明,通過對網絡信息安全隱患的分析,指出了設計安全方案的原則與策略最后提出了電力市場技術支持系統與能量管

提出了符合電力市場技術支持系統的網絡信息安全解決方案。首先對電力市場技術支持系統的網絡系統進行說明,通過對網絡信息安全隱患的分析,指出了設計安全方案的原則與策略最后提出了電力市場技術支持系統與能量管理系統(EMS)、電量計量(TMR)系統、調度管理信息系統(MIS)等系統安全互聯網絡結構的具體方案。

0 引言

　　隨著我國電力行業信息現代化進程的加快,基于計算機網絡的各種電力應用也隨之發展起來,例如競價上網、負荷預報、實時調度等。網絡開放,使網絡應用日漸廣泛、服務質量和效率大大提高的同時,網絡安全問題也顯得日益突出。無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。電力市場技術支持系統的安全[1~3]是一項比較復雜的信息系統項目,它涉及安全技術和安全管理兩大范疇。就安全技術而言,它又涵蓋了現代通信技術、計算機技術、網絡技術、密碼技術等,是一項跨學科的綜合性信息系統工程。它是安全功能(包括物理安全、運行安全、報價及交易信息安全)要求及安全保護等級最高的電力系統計算機網絡。本文以省級電力市場技術支持系統的安全建設為背景,對網絡信息安全[4~6]進行分析與探討,力求以安全、可靠、可控和適應性強的安全技術來完成電力市場技術支持系統的網絡建設。

　　1 電力市場技術支持系統的體系結構省級電力市場技術支持系統是以電力調度交易中心為中心點,覆蓋面向供電局、發電廠的計算機網絡與應用系統,是一個涵蓋主機、網絡、數據庫、應用軟件等復雜的決策支持系統。其主鏈路是電力網的異步傳輸模式(ATM)光纖網絡,在中心以155Mbit/s的ATM方式接入,而在各個廠站端則以E1的幀中繼方式接入,以消除中心接入的瓶頸;對于光纖網絡暫時不可達的地域,則以電力微波(電力專線)為主鏈路,帶寬采用2Mbit/s,以確保廠站端的高速接入。為保證技術支持系統通信的萬無一失,采用“主備分離”的原則,在備份鏈路上,對地市級的供電局采用電信系統的綜合業務數字網(ISDN)作為主鏈路備份;對偏遠的電廠,則采用電信系統的公用交換電話網(PSTN)作為主鏈路備份。從物理層上保證廣域通信的暢通,以及通信鏈路的冗余。電力市場技術支持系統的中心側網絡選用世界一流的網絡廠商Cisco公司高端設備來構建,采用的是當今流行的千兆以太網技術,以及VLAN劃分和VLAN路由技術,以高速交換和高度冗余的能力將中心側的能量管理系統(EMS)局域網、電量計量(TMR)系統局域網和調度管理信息系統(MIS)局域網融成一個整體。電力市場技術支持系統的廠站側網絡由競價上網局域網和電廠MIS局域網2部分組成。其中,報價工作站通過廣域網將廠站端的電價進行上報,同時訪問交易中心的WWW服務器信息,隨時了解最新的電價動態。各廠站端的WWW服務器可以互相訪問,但各廠站端的數據庫是被安全隔離的。廠站端的MIS通過路由方式接入本地競價上網局域網,并將本地MIS數據與數據庫服務器進行數據交互。廠站端的網絡結構也是采用Cisco公司的高端千兆交換機Catalyst4006為核心,配置以高性能的三層路由模塊,完成VLAN間的路由和安全訪問控制;并選用中高端的Cisco3660完成與中心側的廣域連接。

　　2 電力市場技術支持系統的安全設計原則系統的安全性是一個復雜的課題。電力市場技術支持系統是運行于廣域網上的系統,其網絡的安全性包含諸多復雜的、難以預料的問題。安全設計必須保護系統的數據、程序、設備和網絡部件的安全, 使其免遭損壞、誤用及未經授權的使用和惡意的攻擊等,同時也必須保證需要時網絡能夠提供必要的服務。這些要求需通過網絡操作系統提供的安全工具、實施系統設計中的冗余以及通過必要的物理屏障阻止非授權人員訪問系統部件等方法來實現。

　　2.1 計算機網絡安全整體原則在網絡被攻擊、破壞的情況下,必須盡可能快地恢復網絡信息中心的服務,減少損失。因此,信息安全系統應該包括以下3種機制:a.安全防護機制:根據具體系統存在的各種安全漏洞和安全威脅采取相應的防護措施,避免非法攻擊的進行。b.安全監測機制:監測系統的運行情況,及時發現和制止對系統進行的各種攻擊。c.安全恢復機制:在安全防護機制失效的情況下,進行應急處理,盡量及時地恢復信息,減少攻擊的破壞程度。

　　2.2 安全意識第一的原則安全技術再高明,如果不被重視,計算機網絡安全產品也就成了擺設。提高安全意識不僅是系統管理員的事情,而且是領導以及全體員工的事情。

　 2.3 有效性、實用性和穩定性原則安全系統不能影響系統的正常運行和合法用戶的操作。穩定性是計算機網絡安全產品最為重要的方面。沒有穩定性,計算機網絡安全產品本身就會成為安全隱患。網絡中的信息安全和信息共享是一對矛盾:一方面,為彌補系統缺陷和健全系統,會采取多種技術手段和管理措施;另一方面,勢必給系統的運行及用戶的使用造成負擔和麻煩,尤其在網絡環境下,實時性要求很高的業務不能容忍安全連接及安全處理造成的時延和數據擴張。如何在確保安全性的基礎上把安全處理的運算量減小或分攤,減少用戶記憶、存儲工作和安全服務器的存儲量與計算量,是一個信息安全設計者應該解決的主要問題。

　　2.4 信息安全的木桶原則“木桶的最大容積取決于最脆弱的一塊木板”。網絡信息系統是一個復雜的計算機系統,它自身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網絡系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的是“最易滲透原則”,必然攻擊系統中最薄弱的地方。因此,需要充分、全面、完整地對系統的安全漏洞及安全威脅進行分析、評估和檢測(包括模擬攻擊),以提高整個系統“安全最低點”的安全性能。

2.5 有的放矢、各取所需原則實際上,因為網絡系統的設計受到經費的限制,所以,在考慮安全問題解決方案時必須考慮性能價格的平衡,而且不同的網絡系統所要求的安全側重點各不相同。電力部門側重于身份認證、安全防護、網絡容錯、信息加密和物理隔離等功能。必須有的放矢,具體問題具體分析,把有限的經費花在刀刃上。

　　2.6 權限分割、互相制約、最小化原則在很多系統中都有一個系統超級用戶或系統管理員,擁有對系統全部資源的存取和分配權,其安全至關重要,如果不加以限制,有可能由于超級用戶的惡意行為、口令泄密、偶然破壞等對系統造成不可估量的損失和破壞。因此,有必要對系統超級用戶的權限加以限制,實現特權最小化原則。管理權限交叉,由幾個管理用戶來動態地控制系統的管理,實現互相制約。而普通用戶,則實現操作權限最小原則,不允許其進行非授權以外的操作。

2.7 自主和可控性原則計算機網絡安全與保密問題關系著一個國家的主權和安全,所以計算機網絡安全產品不可能完全從國外進口。因此,必須解決計算機網絡安全產品的自主權和自控權問題,建立我國自主的計算機網絡安全產品和產業。同時,為了防止安全技術被不正當的用戶使用,必須采取相應的措施,例如密鑰托管技術等,對其進行控制。

　　2.8 信息安全系統的“動態化”原則整個系統內盡可能引入更多的可變因素,并具有良好的擴展性。如果被加密信息在被破譯之前就失去了保密的必要性,即使加密算法不是牢不可破的,被保護的信息也是安全的。因此,被加密信息的生存期越短、可變因素越多,系統的安全性能就越高,如周期性地更換口令和主密鑰,安全傳輸采用一次性的會話密鑰,動態選擇和使用加密算法等。另一方面,由于各種密碼攻擊和破譯手段在不斷發展,用于破譯運算的資源和設備性能也在迅速提高,因此,所謂的“安全”,也只是相對的和暫時的,不存在一勞永逸的信息安全系統,應該根據攻擊手段的發展進行相應的更新和升級。

2.9 信息安全系統的“等級性”原則良好的信息安全系統必然分為不同級別。包括:對信息保密程度分級(絕密、機密、秘密、普密);對用戶操作權限分級(面向個人或面向群組);對計算機網絡安全程度分級(內網、非軍事區或外網);對系統實現結構分級(應用層、網絡層、鏈路層等)。針對不同級別的安全對象,提供全面、可選的安全算法和安全體制,以滿足網絡中各種不同層次的實際需求。

　　2.10 設計為本的原則安全和保密系統的設計應與網絡設計相結合。如果考慮不周,不僅會造成經濟上的巨大損失,而且也會對系統造成無法挽回的損失。因此,必須群策群力搞好設計,才能保證安全性。

　　3 電力市場技術支持系統的安全體系在設計省級電力市場技術支持系統時,以安全設計原則為指導思想,采用多種措施,從調度中心側、廣域網、電廠側3級進行安全體系設計。

3.1 調度中心側網絡的安全體系設計

　　a.調度中心側虛擬局域網(VLAN)劃分與設計:將不同的應用邏輯隔離開,使得不同應用間的通信完全在管理者的控制范圍之內,只有在權限允許范圍之內的VLAN間才能通信。

　　b.訪問控制列表(ACL——access control list)的設計:ACL是控制不同VLAN、不同網段間進行訪問時所采用的一種包過濾技術,包括標準ACL技術和擴展ACL技術2類。

　　c.核心交換機端口與服務器媒體接入控制(MAC)地址的綁定:只有具備指定MAC地址的服務器和客戶機才能從交換機的指定端口傳輸數據。

　　d.在調度中心側和電廠側采用北京天融信公司的硬件防火墻:采用硬件防火墻的目的是將調度中心側和電廠側安全隔離。對于調度中心側,對進入內網的數據包進行嚴格過濾,并隨著應用的需求不斷調整防范策略。

　　e.基于Cisco ACS的TACACS+安全認證:考慮到調度中心移動辦公系統及電力市場撥號備份安全認證的需要,在調度中心側采用Cisco Secure ACS軟件作為TACACS+服務器,實現口令認證。通過它統一對調度中心側所有的撥號訪問服務進行AAA認證。

　　f.在Catalyst6509中增加入侵檢測系統(IDS)模塊:為進一步保護來自外界對核心系統的黑客攻擊,尤其是透過核心交換機對核心服務器的攻擊,在Catalyst6509交換機上加裝IDS模塊。它的最大特點是:對來自任意VLAN或網段的攻擊,只要“入侵”經過Catalyst6509交換機,它就能及時報警,并將警報信息實時反饋到后臺的Director服務器上。

　　g.基于網絡掃描的Cisco Secure Scanner系統:選用Scanner軟件系統,由系統管理員定期在內網或外網對核心交換機和核心服務器進行安全漏洞掃描,以便及時發現安全隱患,及早采用補救措施,提高系統抵御黑客攻擊的能力。

　　3.2 廣域網的安全體系設計

　　a. IPSec的網絡加密:在數據傳輸中采用具備IPSec功能的Cisco路由器IOS軟件版本。IPSec是一系列加密技術中加密標準定義的集合,IPSec在IP層實現安全。所有在廣域網傳輸的數據均可經過IPSec加密/解密。

　　b.申請永久虛電路(PVC)的廣域幀中繼:廣域鏈路設計是點對點的PVC,調度中心側與每一個電廠側通過一條PVC明確了雙方的廣域鏈路,從而建立起電力調度市場的專網。

　　c.路由協議的認證交換措施:Cisco的IOS軟件支持路由協議的認證交換,也就是說,在交換路由協議時進行認證,只有具備相同認證密鑰的域才能交換路由協議。采用這種方法可以實現只有省級電力調度數據網中的路由設備才彼此交換路由信息。

　　d. ISDN/PSTN的呼叫認證措施:當電廠側發起ISDN/PSTN備份呼叫時,首先必須經過TACACS+服務器的安全認證,以防止非授權用戶的非法入侵。

　　3.3 電廠側網絡的安全體系設計電廠側網絡的安全體系與調度中心側的安全體系同樣重要,采取的策略也相同,歸納起來有:a.基于應用的VLAN劃分。b.與VLAN路由結合在一起的ACL策略。c.核心服務器和報價工作站的MAC地址與交換機端口進行綁定。d.從內網或外網用Scanner系統進行安全網絡掃描,隨時監視網絡可能產生的漏洞,并及時補救。

　　3.4 各系統與電力市場的接入策略

　　3.4.1 EMS與電力市場的接入按照原國家電力公司的要求,EMS應具有軍事級的安全。同時,EMS又要與電力市場的實時調度系統進行快速數據存取。連接方案如圖1所示。

　　具體實施方式是:a.選擇兩臺硬件防火墻(配置成并行模式),防火墻的一個網段與EMS所在的VLAN進行連接, 另一個網段與電力市場其他數據庫集群系統所在的VLAN進行連接。因EMS是雙網段,所以,兩臺防火墻分別連接到不同的網段,同時工作,互為備份。b.電力市場實時調度系統服務器和硬件防火墻EMS端的IP地址從現有的EMS中獲得,確保EMS與電力市場實時調度系統在同一個網段,它們之間的數據交換不需要經過路由。c.電力市場實時調度系統服務器的網關指向硬件防火墻EMS端的IP,進一步簡化對現有EMS的改動;而在電力市場的內網段有一條通往EMS的靜態路由,其指向電力市場實時調度系統服務器,從而確保對EMS的數據存取將不影響EMS的安全運行。

　　3.4.2 TMR系統與電力市場的接入TMR系統與電力市場的關系是:電力市場從TMR系統中讀取數據,但TMR系統不能從電力市場讀取數據。針對該特殊的安全要求,采用圖2所示的安全連接策略。

　　在該方案中,設計了一臺系統網關服務器,該服務器具備雙網卡,一塊網卡與TMR系統網段連接,另一塊網卡與電力市場網段連接。為確保既從TMR系統讀取數據,又防止黑客的入侵,在系統網關服務器運行一個“獨立開發”的數據存取軟件,在TMR系統與電力市場系統之間進行數據交換。

　　3.4.3 調度MIS與電力市場的接入調度MIS與電力市場的關系是:電力市場向調度MIS廣播非保密數據,調度MIS不能直接訪問電力市場數據。因此,采用“路由”的方式與電力市場進行連接,具體實施方式是:
　　a.在調度MIS的Catalyst5500交換機上劃分一個電力市場VLAN,在電力市場系統的C atalyst6509交換機上劃分一個調度MIS VLAN,它們之間用100 Mbit/s鏈路進行連接。

　　b.由電力市場提供一個獨立的網段用于連接調度MIS和電力市場:在調度MIS的Catalyst5500三層模塊上配置一個IP地址;在電力市場系統的Catalyst6509三層模塊上配置另一個IP地址,使得調度MIS和電力市場采用“路由”進行通信。

　　c.在調度MIS的Catalyst5500三層模塊上配置一條指向“電力市場”的靜態路由,同時,在電力市場系統的Catalyst6509三層模塊上配置一條指向“調度MIS”的靜態路由,在網絡層保證兩個系統的通信。

　　d.為確保系統的安全,在電力市場系統的Catalyst6509三層模塊上配置ACL安全訪問控制策略。

　　3.4.4 廠站端與電力市場中心側的接入各廠站端的電力市場是整個省級電力市場的一部分,除了保證電力市場中心側與各個廠站端安全隔離外,也要保證各個電廠之間的安全隔離,連接方案如圖3所示。

　　具體措施方案如下:a.采用硬件防火墻在中心側和各個廠站端之間進行安全隔離,只對廠站端放開WWW端口和基于應用的通信中間件端口。b.在中心側的路由器上進行“路由過濾”,確保各個廠站端只能得到中心側WWW網段的路由,在節約廣域帶寬的同時也避免了各個廠站端之間路由的相互學習。

　　3.4.5 廠站端MIS與廠站端電力市場報價系統的接入廠站端MIS與廠站端電力市場報價系統之間的關系是:既有信息的訪問,又有數據的讀取,與“省級調度MIS與省級電力市場的關系”相同。因此,仍采用“路由”的方式進行連接。連接方案在此不做詳細描述。

　　3.5 網絡防病毒系統的建設計算機病毒在網絡中存儲、傳播、感染的方式各異,而且途徑多種多樣,其危害性特別大。單純的網絡安全設計無法對病毒進行防范。在構建電力市場技術支持系統網絡防病毒系統時,通過建立完整的防病毒體系,實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略。具體而言,就是針對網絡中所有可能的病毒攻擊,設置對應的防毒軟件,通過全方位、多層次的防毒系統配置,使網絡中不存在病毒入侵的薄弱環節。同時,所有的管理手段都可以集中在一個電力調度交易中心控制臺上進行統一的管理和配置。限于篇幅,在此不做詳細描述。

　　4 建立統一的安全控制管理平臺在電力系統數字化建設的過程中,電力公司有多套應用系統在獨立運行,而且每一套系統都有自己的安全體系,因而在管理上存在繁瑣問題。由于這些因素的存在,使系統管理顯得混亂,因而需要用統一的安全控制管理平臺來進行操作員管理、權限管理、日志管理的整合。統一的安全控制管理平臺中的身份認證過程為:操作員首先進入身份驗證平臺,插入身份小鑰匙,并輸入口令,系統根據小鑰匙中存儲的CA認證信息和輸入的口令進行雙因素身份驗證,當2種驗證都通過后,才能進入相應的電力應用系統。由于電力行業中的各個應用系統往往都是自成一子網,各個子網內部和子網之間存在著不同廠家的網絡安全產品,管理起來相當繁瑣。因此,統一的安全控制管理平臺的一項重要功能是監視和管理不同廠商安全產品的運行情況,發現問題及時報警;另一項重要功能是傳送中間件和安全中間件。統一的安全控制管理平臺是電力行業應用系統安全控制的最終解決方案,它為電力行業客戶提供了統一的身份驗證、權限管理、安全日志管理、網絡安全設備的控制管理和數據的安全可靠傳送,它將隨著安全產品的完善而成為現實。當然,電力市場技術支持系統的安全解決方案不是一成不變的,而將隨著安全技術的發展和電力市場的技術需求而不斷完善、不斷改進。我們將用發展的眼光來看待今天的網絡安全,力求使電力市場技術支持系統最大限度地為市場經濟服務。