供电系统计算机网络的安全需求分析

1　引言

众所周知，计算机病毒对生产的影响可以称得上是灾难性的。随着Internet的发展，计算机病毒的种类急骤增多，扩散速度大大加快，对企业的破坏性也加大。病毒感染方式也主要由软盘介质感染转到了从网络服务器或Internet感染。推行有效的网络杀毒软件和防毒策略，是应用系统正常运行的关键。

防火墙保护是所有连入Internet/Intranet的不可缺少的屏障。由于黑客入侵，网络安全问题尤为突出，采用防火墙，使整个网络筑起一道高墙，将黑客及未授权的应用拒于门外。

2　供电企业的计算机网络系统

目前，经济较发达地区供电企业的计算机网络主要由局本部的局域网、所属基层单位的远程网组成，并与上级信息网实现远程连接。按实际应用情况，局域网内主要的应用系统为MIS(管理信息)系统、用电管理系统、财务管理系统、SCADA(系统控制及数据采集)系统，OA(办公自动化)系统等。各系统通过交换机与网络相连。上级电力信息网远程连接和基层的远程网通过电力通信网的光纤系统100M接入或通过通信网的SPDH传输系统2M口连接到局域网侧的路由器、交换机。

3　供电企业的网络安全问题

基于这部分供电企业的网络现状和应用系统的普及程度，我们认为现在最可能受到外界或者内部破坏的重要数据信息有五大块，分别是：MIS系统、用电管理系统、财务管理系统、OA系统以及单独一块用于原始数据采集的SCADA系统等，这些系统构成了计算机信息工程的内部核心模块。每一个系统都是相对独立又相互联系的，不管哪一个系统被破坏或者侵入都会或多或少地影响其它系统的正常运作，从而造成不必要的损失。

3.1　SCADA系统

SCADA系统，它是用于采集、存储电网实时数据信息的。网桥通过交换机将所有的原始信息进行抽样后发送给MIS服务器作存档，以便管理人员和一些特别用户的调用、查询和处理。但它若没有保护措施和防范，则信息是共享的，任何人都可以访问。SCADA系统一旦遭到破坏，原始数据将无法采集，也无法向服务器传送有用的抽样信息，管理人员也无从了解电网实时数据和原始信息。SCADA系统是各应用系统中最重要的。

3.2　用电管理系统

用电管理系统用于管理供电系统用电用户的信息。如果系统被破坏，那所有的用电用户的基本信息都不存在，靠人工重新输入信息将浪费大量的人力物力和时间，并且不是全部信息都可以手工恢复的。这对供电企业都将造成直接和间接经济损失以及工作混乱，它更进一步波及MIS系统。正常的生产和管理将直接受到影响。

3.3　MIS系统

MIS系统下面细分了很多的子系统，各部门运行各自对应的子系统来进行日常的生产工作，反映日常生产管理的各个方面。由于数据库的开放，这就为内部或者外部的入侵者开了一个方便之门，他们可以通过内部局域网访问到网内的任何一台微机上的信息，并进行破坏，从而让一个子系统或者多个子系统甚至整个MIS系统陷于瘫痪。

3.4　财务管理系统

财务管理系统的数据库存放有供电企业的内部全部的财务数据，如果财务系统的数据被破坏，后果的严重是显而易见的。

3.5　OA系统

OA系统流转着供电企业的所有办公文档，一旦发生办公系统内部重要数据的丢失和篡改，或者数据库由于各种原因损坏，正常的工作将受到影响，以至于企业办公打乱。

总之，保护这些信息系统的数据不被破坏是迫在眉睫的事，这就需要有安全的策略，分析和制定安全需求来完成。

4　网络的安全需求分析

网络中没有一套有效的网络杀毒软件和防毒策略，一旦病毒入侵，会通过各种形式在网络内广泛传播，造成严重后果。轻则可能破坏文件或数据库系统，造成数据的损坏和丢失，重则可能导致系统或网络不能正常运行，如造成应用系统瘫痪。同时建立一个完善的防火墙系统、网络入侵侦测系统对防止黑客入侵，提供防范、检测和对攻击作出反应，采取自动抗击措施，对保证网络安全是有必要的。

4.1　多层病毒防御体系

考虑局域网的安全性和网内信息传递的频繁，一旦一台机器感染病毒极易在整个局域网内扩散和传播。如果服务器被感染，其感染文件将成为病毒感染的源头，会迅速从桌面感染发展到整个网络的病毒爆发。所以在局域网内应布置多平台网络版病毒防护软件。要求防病毒软件具有零度网络管理，可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络的功能，在所有的病毒入口及出口处防护应用系统；保证平台、协议的无关性；保护所有文件、电子邮件、HTML文档；通过查杀软盘、光盘、可移动硬盘、手提电脑连接、Modem拨号上网、文件服务器、邮件服务器、Internet服务器或代理服务器与Internet连接的进出，提供全面保护。

由于基层的网络与局域网通过光纤连接在一起，各个应用系统在它们之间有信息传递，为了保证在信息传递过程中局域网不被感染病毒，防止病毒蔓延，基层网络和局域网有业务关系的单机上安装单机版反病毒系统。这样即使局域网周边的网络中有病毒存在，也能够在进入局域网之前被查杀，既保证了重点网络的安全，又降低了企业在防病毒方面的投资。

对防病毒软件要求有全天候的强大的技术支持。要求可以通过电话、传真、传统邮件、电子邮件在任何需要的时候获取技术支持。如果新病毒出现，公司应立即送出新的杀毒文件。在Internet上应能很容易地获得软件的升级及最新的杀病毒技术。

4.2　防火墙保护

防火墙保护是所有连入互联网的企业内部网的不可缺少的屏障。由于黑客入侵，系统安全问题尤为突出。采用完善的防火墙，可使计算机充分利用安全的电子手段，尽可能减少关键数据所面临的危险，为整个网络筑起一道高墙，将黑客及未授权的应用拒于门外。防火墙系统应具有指定IP地址、用户认证控制，提供基于时间的存取控制模式；自动检测SYN攻击、检测Tear Dop攻击、检测Ping of Death攻击、检测IP Spoofing攻击、默认数据包拒绝、过滤源路由IP、动态过滤访问的功能；提供Telnet、Ftp、Http、Snmp、Circuit等常用应用代理、透明代理服务的支持；提供可视化、可听化、系统日志等告警方式；提供标记、口令等身份认证方式；保护网络内部拓扑不被外部人员发现；提供灵活多样的访问规则配置等功能。

由于SCADA系统网段和其他应用系统之间存在物理上连通，虽然SCADA系统有一些应用层的安全措施，如口令保护等，但是一些入侵者可以简单地利用网络层和传输层的攻击方法攻击SCADA系统的服务器。为了保护SCADA系统，就必须在SCADA系统与办公网段之间进行严格的访问控制，实现访问控制的简单有效的方法就是在两个系统之间设置防火墙。根据事先制定的安全策略，在防火墙上配置相应访问规则，并对进出两个系统的数据进行检查，非授权的连接就无法通过。

为了保护局域网不被来自上级网络及基层网络的非法访问、越权访问或者防止入侵者万一侵入上级网络后再对局域网进行攻击，有必要在此设置一个访问控制防火墙。通过对特定网段建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

4.3　网络入侵侦测系统

网络入侵侦测系统(IDS)的目标是在复杂的网络环境中提供防范、检测和对攻击作出反应，并能采取自动抗击措施的工具。要求在黑客成功进入系统之前检测出攻击者并及时报告系统安全管理人员，提供自动对抗措施。在检测出攻击企图后，能够自动启动编程对策，例如：终止登录过程、终止处理进程、发出寻呼或发出E-mail给Web管理员等。在复杂的网络环境中通过循环监测网络流量(Traffic)的手段保护网络上的共享资源。基于审计数据的攻击检测系统，对于不论内部或者外部的攻击、授权滥用，要求准确和及时的报警；并可以识别遭受攻击的系统成分，对系统活动进行日志登记记录；捕获攻击线索等。系统分布应在网络各处敏感和易遭攻击的场所，如广域连接、拨号连接、蔟集服务器、特定的节段等。

在MIS系统、用电管理系统、财务管理系统、OA系统等各个应用系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法，是在各自的系统安装网络入侵检测系统(IDS)。要求可以实时监控系统网段的流量，发现有攻击特征的行为后，立即报警，并且可以阻断该会话，阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后，入侵检测系统(IDS)应分别检测各自的应用系统。

马舟军 浙江省余杭供电局 (311100)