前言:想要寫出一篇引人入勝的文章?我們特意為您整理了電力調(diào)度數(shù)據(jù)網(wǎng)安全加固技術(shù)探討范文,希望能給你帶來靈感和參考,敬請(qǐng)閱讀。
摘要:電力調(diào)度數(shù)據(jù)網(wǎng)作為電網(wǎng)生產(chǎn)控制大區(qū)最重要的傳輸載體,在電力系統(tǒng)中得到了全面的應(yīng)用,所面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與日俱增。闡述了對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行安全加固的必要性,分析了訪問控制、加密認(rèn)證等安全加固措施的原理、作用及實(shí)現(xiàn)方法。最后介紹了安全加固技術(shù)在常德電網(wǎng)的應(yīng)用,驗(yàn)證了這些措施的安全性和可行性。
關(guān)鍵詞:調(diào)度數(shù)據(jù)網(wǎng);安全加固;網(wǎng)絡(luò)安全;生產(chǎn)控制大區(qū)
1引言
隨著網(wǎng)絡(luò)通信技術(shù)的不斷發(fā)展進(jìn)步,電力調(diào)度數(shù)據(jù)網(wǎng)因具有傳輸速度快、傳輸業(yè)務(wù)多、運(yùn)行穩(wěn)定、易于維護(hù)、數(shù)據(jù)傳輸質(zhì)量高等優(yōu)勢(shì)在電力系統(tǒng)得到了全面推廣,為各種調(diào)度數(shù)據(jù)提供了高效、可靠的傳輸載體。然而,在網(wǎng)絡(luò)技術(shù)給世界帶來普惠的同時(shí),又迎來了新的挑戰(zhàn),網(wǎng)絡(luò)安全這一問題變得異常突出。近幾年來,通過網(wǎng)絡(luò)攻擊電網(wǎng)并進(jìn)行破壞的事件時(shí)有發(fā)生。如2015年12月23日,烏克蘭電網(wǎng)遭受惡意軟件/代碼破壞攻擊,導(dǎo)致烏克蘭大面積停電數(shù)小時(shí);2016年1月25日,以色列國(guó)家電網(wǎng)遭受了勒索病毒攻擊[1]。我國(guó)電網(wǎng)同樣面臨各種各樣的網(wǎng)絡(luò)安全威脅,電網(wǎng)安全風(fēng)險(xiǎn)與日俱增,除了對(duì)電力監(jiān)控系統(tǒng)防護(hù)邊界進(jìn)行重點(diǎn)防護(hù)外,對(duì)調(diào)度數(shù)據(jù)網(wǎng)內(nèi)部進(jìn)行全面的安全加固,也顯得尤為重要。
2調(diào)度數(shù)據(jù)網(wǎng)簡(jiǎn)述
電力調(diào)度數(shù)據(jù)網(wǎng)是傳輸電力生產(chǎn)安全一區(qū)、二區(qū)信息的專用網(wǎng)絡(luò),主要用于傳輸生產(chǎn)控制大區(qū)調(diào)度自動(dòng)化、繼電保護(hù)、相量測(cè)量裝置、電能計(jì)量、故障錄波、光/風(fēng)功率預(yù)測(cè)等電網(wǎng)數(shù)據(jù),具有高可靠性、實(shí)時(shí)性、安全性、易維護(hù)等特點(diǎn)。目前,國(guó)家調(diào)度數(shù)據(jù)網(wǎng)已建成國(guó)調(diào)數(shù)據(jù)網(wǎng)、網(wǎng)調(diào)(區(qū)域)數(shù)據(jù)網(wǎng)、省調(diào)數(shù)據(jù)網(wǎng)和地區(qū)調(diào)度數(shù)據(jù)網(wǎng)四級(jí)網(wǎng)絡(luò),四級(jí)網(wǎng)絡(luò)之間通過國(guó)調(diào)一平面、國(guó)調(diào)二平面進(jìn)行數(shù)據(jù)通信,構(gòu)成一個(gè)龐大的數(shù)據(jù)交互系統(tǒng)。
3調(diào)度數(shù)據(jù)網(wǎng)安全加固
除采用專用網(wǎng)絡(luò)、部署縱向加密裝置、劃分邏輯隔離的實(shí)時(shí)子網(wǎng)和非實(shí)時(shí)子網(wǎng)外,調(diào)度數(shù)據(jù)網(wǎng)的配置缺陷很容易被攻擊者利用,成為系統(tǒng)的安全隱患。依據(jù)最小化原則、分權(quán)制衡原則和安全隔離原則,對(duì)調(diào)度數(shù)據(jù)網(wǎng)絡(luò)中的路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行安全加固,能減少非授權(quán)訪問、惡意篡改等威脅的發(fā)生。
3.1網(wǎng)絡(luò)訪問控制
3.1.1基于角色的訪問控制。調(diào)度數(shù)據(jù)網(wǎng)的本地或遠(yuǎn)程管理服務(wù)采用基于角色的訪問控制模型,設(shè)置審計(jì)、管理和安全三種角色,每種角色可以完成特定的功能。將用戶權(quán)限與角色相關(guān)聯(lián),按照最小化原則,不同用戶根據(jù)其職能和職責(zé)被賦予相應(yīng)的角色。3.1.2基于任務(wù)的訪問控制。訪問控制列表(ACL)能實(shí)現(xiàn)遠(yuǎn)程登錄、遠(yuǎn)程管理控制及IP地址過濾。對(duì)網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程登錄、遠(yuǎn)程管理進(jìn)行限制,只有受信任的網(wǎng)絡(luò)地址才可以登錄到網(wǎng)絡(luò)設(shè)備或進(jìn)行遠(yuǎn)程管理,防止攻擊者非法登錄網(wǎng)絡(luò)設(shè)備或非法進(jìn)行設(shè)備管理。IP地址過濾是對(duì)允許訪問的源地址與目的地址進(jìn)行限制,不在控制列表中的源地址禁止訪問指定目的地址,防止從外部發(fā)起的網(wǎng)絡(luò)攻擊。創(chuàng)建遠(yuǎn)程登錄控制列表:3.1.3基于端口的訪問控制。每個(gè)應(yīng)用程序?qū)?yīng)一個(gè)端口號(hào),客戶端通過端口訪問服務(wù)端的應(yīng)用程序,端口使用端口號(hào)進(jìn)行標(biāo)記,一個(gè)IP地址端口范圍從0至65535。在調(diào)度數(shù)據(jù)網(wǎng)中引入基于端口的訪問控制,禁止445、135、139等高危端口訪問調(diào)度數(shù)據(jù)網(wǎng)。
3.2關(guān)閉空閑接口與禁用不必要的服務(wù)
調(diào)度數(shù)據(jù)網(wǎng)的配置必須遵循最小化原則,關(guān)閉網(wǎng)絡(luò)設(shè)備上未使用的物理接口,禁用HTTP、HTTPS、FTP、DHCP、TELNET等不安全的網(wǎng)絡(luò)服務(wù),以避免網(wǎng)絡(luò)服務(wù)或網(wǎng)絡(luò)協(xié)議自身存在漏洞增加網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。TELNET遠(yuǎn)程登錄協(xié)議傳輸?shù)臄?shù)據(jù)和口令采用明文形式,攻擊者利用中間人身份很容易獲得口令和數(shù)據(jù),而SSH是安全的加密協(xié)議,傳輸?shù)臄?shù)據(jù)和口令采用加密形式,調(diào)度數(shù)據(jù)網(wǎng)應(yīng)優(yōu)先采用SSH協(xié)議替代TELNET協(xié)議進(jìn)行遠(yuǎn)程登錄后的調(diào)試與維護(hù)。電力調(diào)度數(shù)據(jù)網(wǎng)的IP地址都進(jìn)行了科學(xué)、合理的規(guī)劃,網(wǎng)絡(luò)設(shè)備、業(yè)務(wù)主機(jī)都不需要?jiǎng)討B(tài)獲取IP地址,而且DHCP協(xié)議在設(shè)計(jì)上不具有任何防御惡意攻擊的功能,與客戶端之間沒有安全認(rèn)證機(jī)制,因此調(diào)度數(shù)據(jù)網(wǎng)絡(luò)與連接調(diào)度數(shù)據(jù)網(wǎng)的主機(jī)必須禁用DHCP協(xié)議。
3.3引入CHAP認(rèn)證與MD5加密算法
CHAP是三次握手驗(yàn)證協(xié)議,在網(wǎng)絡(luò)中不是直接傳輸密碼而是通告HASH值,比PAP二次握手認(rèn)證具有更好的安全性。在調(diào)度數(shù)據(jù)網(wǎng)中引入CHAP認(rèn)證,只有通過認(rèn)證,才能建立點(diǎn)到點(diǎn)的連接,否則設(shè)備之間無法建立連接,從物理層面阻止了非法接入網(wǎng)絡(luò)。MD5是信息摘要算法,一種被廣泛應(yīng)用的密碼散列函數(shù),該算法具有長(zhǎng)度固定、易計(jì)算、細(xì)微性、不可逆性等特點(diǎn)。利用散列算法對(duì)設(shè)備上的MD5認(rèn)證密碼進(jìn)行散列運(yùn)算,產(chǎn)生出一個(gè)128位的散列值與從對(duì)端網(wǎng)絡(luò)設(shè)備傳輸過來的散列值進(jìn)行對(duì)比,如果兩個(gè)散列值一致,便認(rèn)為認(rèn)證是正確的[2]。加密算法的流程如圖2所示。調(diào)度數(shù)據(jù)網(wǎng)OSPF、BGP協(xié)議采用MD5加密認(rèn)證,兩個(gè)相鄰的路由器在路由更新時(shí)進(jìn)行散列值對(duì)比,當(dāng)雙方散列值不一致時(shí)無法建立OSPF、BGP鄰居,從路由協(xié)議層面阻止了非法接入。
3.4關(guān)閉網(wǎng)絡(luò)邊界OSPF路由功能
不參與OSPF選路的邊界網(wǎng)絡(luò)設(shè)備應(yīng)關(guān)閉OSPF路由功能。一是防止內(nèi)部路由信息被攻擊者獲取、利用;二是防止攻擊者冒充合法路由器與網(wǎng)絡(luò)邊界路由器建議鄰居關(guān)系,并攻擊邊界路由器輸入大量鏈路狀態(tài)廣播,引導(dǎo)路由器形成錯(cuò)誤的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),從而導(dǎo)致整個(gè)網(wǎng)絡(luò)的路由表紊亂,導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓。
3.5實(shí)現(xiàn)安全的用戶登錄與管理
在網(wǎng)絡(luò)設(shè)備上創(chuàng)建本地與遠(yuǎn)程登錄用戶時(shí),其口令必須滿足復(fù)雜性要求,即同時(shí)包含大小寫字母、數(shù)字及特殊字符,且口令長(zhǎng)度不低于8位,不同用戶設(shè)置不同的口令,根據(jù)角色賦予用戶不同權(quán)限,刪除默認(rèn)賬戶和測(cè)試用戶,口令在配置中必須密文存儲(chǔ),口令應(yīng)定期進(jìn)行更新(一般為90天)。開啟賬號(hào)鎖定功能,連續(xù)輸入錯(cuò)誤密碼超過限定次數(shù)時(shí),賬號(hào)將自動(dòng)被鎖定。調(diào)度數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的登錄必須采用密碼與實(shí)物相結(jié)合(UKEY、指紋等生物標(biāo)志)的認(rèn)證方式,即雙因子認(rèn)證[3]。網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置CONSOLE和遠(yuǎn)程登錄后超過5分鐘無動(dòng)作自動(dòng)退出,重新登錄必須再次進(jìn)行認(rèn)證。
3.6開啟日志與安全審計(jì)功能
在網(wǎng)絡(luò)設(shè)備上配置SNMP網(wǎng)絡(luò)管理協(xié)議時(shí),禁止使用COMMUNITY默認(rèn)通行字,SNMP協(xié)議應(yīng)選擇V2及以上安全的版本。網(wǎng)絡(luò)設(shè)備啟用日志審計(jì)功能,并配置遠(yuǎn)程日志服務(wù)器IP地址,定期對(duì)日志服務(wù)器上的日志進(jìn)行異地備份。
3.7端口綁定與接口安全
端口綁定是通過“MAC地址+IP地址+端口”綁定功能,實(shí)現(xiàn)設(shè)備對(duì)轉(zhuǎn)發(fā)報(bào)文的過濾控制。如果報(bào)文中的源MAC、源IP地址與所設(shè)定的MAC、IP相同,端口將轉(zhuǎn)發(fā)該報(bào)文,否則丟棄該報(bào)文。通過在交換機(jī)的接口上部署接口安全策略,可以限制接口的MAC地址學(xué)習(xí)數(shù)量。部署了接口安全的接口可以將其學(xué)習(xí)到的MAC地址變?yōu)榘踩玀AC地址,從而阻止除了安全地址外的其他MAC地址通過該接口接入網(wǎng)絡(luò)[4]。
3.8調(diào)度數(shù)據(jù)網(wǎng)的其他加固措施
加強(qiáng)調(diào)度數(shù)據(jù)網(wǎng)設(shè)備軟件版本的管理,及時(shí)升級(jí)存在安全缺陷的版本,刪除網(wǎng)絡(luò)設(shè)備上WEB、WLAN等不安全的配置。在調(diào)度數(shù)據(jù)網(wǎng)的網(wǎng)管服務(wù)器、瀏覽器或客戶端上安裝防病毒軟件,并及時(shí)對(duì)病毒特征庫(kù)進(jìn)行離線升級(jí)。關(guān)閉網(wǎng)管服務(wù)器上的高危端口和服務(wù),禁止安裝不安全的軟件等也是調(diào)度數(shù)據(jù)網(wǎng)安全加固的重要組成部分。
4安全加固取得的成效
通過對(duì)常德地區(qū)調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行全方位安全加固,使該地區(qū)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)得分顯著提升,網(wǎng)絡(luò)安全管控平臺(tái)告警數(shù)量明顯降低,網(wǎng)絡(luò)安全防護(hù)指標(biāo)得到了極大改善。同時(shí),加固后的網(wǎng)絡(luò)延遲、包丟失率和收斂時(shí)間等網(wǎng)絡(luò)關(guān)鍵性能指標(biāo)影響很小,各項(xiàng)指標(biāo)均優(yōu)于電網(wǎng)企業(yè)同業(yè)對(duì)標(biāo)要求,完全滿足電網(wǎng)安全運(yùn)行的需要。
5結(jié)語(yǔ)
針對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)的安全薄弱環(huán)節(jié),深入開展了安全加固技術(shù)分析和研究。提出了訪問控制、關(guān)閉網(wǎng)絡(luò)邊界OSPF路由及加密認(rèn)證等安全加固措施,結(jié)合電網(wǎng)實(shí)際,對(duì)調(diào)度數(shù)據(jù)網(wǎng)進(jìn)行了全方面安全加固。測(cè)試結(jié)果表明,加固后的網(wǎng)絡(luò)安全水平顯著提升,網(wǎng)絡(luò)性能未受到影響,所承載的所有業(yè)務(wù)通信正常。
參考文獻(xiàn):
[1]趙俊華,梁高琪,文福拴,等.烏克蘭事件的啟示:防范針對(duì)電網(wǎng)的虛假數(shù)據(jù)注入攻擊[J].電力系統(tǒng)自動(dòng)化,2016,40(7):149.
[2]張裔智,趙毅,湯小斌.MD5算法研究[J].計(jì)算機(jī)科學(xué),2008,35(7):295.
[3]王振鐸,王振輝,張慧娥,等.新型雙因子認(rèn)證系統(tǒng)[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2016,25(1):70.
[4]朱仕耿.HCNP路由交換學(xué)習(xí)指南[M].北京:人民郵電出版社,2017.
作者:龍立波 姜學(xué)皎 李干 劉立恩 單位:國(guó)網(wǎng)常德供電公司 國(guó)網(wǎng)湖南省電力檢修公司 國(guó)網(wǎng)邵陽(yáng)供電公司