電力調度數(shù)據(jù)網(wǎng)安全加固技術探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電力調度數(shù)據(jù)網(wǎng)安全加固技術探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：電力調度數(shù)據(jù)網(wǎng)作為電網(wǎng)生產控制大區(qū)最重要的傳輸載體，在電力系統(tǒng)中得到了全面的應用，所面臨的網(wǎng)絡安全風險與日俱增。闡述了對電力調度數(shù)據(jù)網(wǎng)進行安全加固的必要性，分析了訪問控制、加密認證等安全加固措施的原理、作用及實現(xiàn)方法。最后介紹了安全加固技術在常德電網(wǎng)的應用，驗證了這些措施的安全性和可行性。

關鍵詞：調度數(shù)據(jù)網(wǎng)；安全加固；網(wǎng)絡安全；生產控制大區(qū)

1引言

隨著網(wǎng)絡通信技術的不斷發(fā)展進步，電力調度數(shù)據(jù)網(wǎng)因具有傳輸速度快、傳輸業(yè)務多、運行穩(wěn)定、易于維護、數(shù)據(jù)傳輸質量高等優(yōu)勢在電力系統(tǒng)得到了全面推廣，為各種調度數(shù)據(jù)提供了高效、可靠的傳輸載體。然而，在網(wǎng)絡技術給世界帶來普惠的同時，又迎來了新的挑戰(zhàn)，網(wǎng)絡安全這一問題變得異常突出。近幾年來，通過網(wǎng)絡攻擊電網(wǎng)并進行破壞的事件時有發(fā)生。如2015年12月23日，烏克蘭電網(wǎng)遭受惡意軟件/代碼破壞攻擊，導致烏克蘭大面積停電數(shù)小時；2016年1月25日，以色列國家電網(wǎng)遭受了勒索病毒攻擊[1]。我國電網(wǎng)同樣面臨各種各樣的網(wǎng)絡安全威脅，電網(wǎng)安全風險與日俱增，除了對電力監(jiān)控系統(tǒng)防護邊界進行重點防護外，對調度數(shù)據(jù)網(wǎng)內部進行全面的安全加固，也顯得尤為重要。

2調度數(shù)據(jù)網(wǎng)簡述

電力調度數(shù)據(jù)網(wǎng)是傳輸電力生產安全一區(qū)、二區(qū)信息的專用網(wǎng)絡，主要用于傳輸生產控制大區(qū)調度自動化、繼電保護、相量測量裝置、電能計量、故障錄波、光/風功率預測等電網(wǎng)數(shù)據(jù)，具有高可靠性、實時性、安全性、易維護等特點。目前，國家調度數(shù)據(jù)網(wǎng)已建成國調數(shù)據(jù)網(wǎng)、網(wǎng)調（區(qū)域）數(shù)據(jù)網(wǎng)、省調數(shù)據(jù)網(wǎng)和地區(qū)調度數(shù)據(jù)網(wǎng)四級網(wǎng)絡，四級網(wǎng)絡之間通過國調一平面、國調二平面進行數(shù)據(jù)通信，構成一個龐大的數(shù)據(jù)交互系統(tǒng)。

3調度數(shù)據(jù)網(wǎng)安全加固

除采用專用網(wǎng)絡、部署縱向加密裝置、劃分邏輯隔離的實時子網(wǎng)和非實時子網(wǎng)外，調度數(shù)據(jù)網(wǎng)的配置缺陷很容易被攻擊者利用，成為系統(tǒng)的安全隱患。依據(jù)最小化原則、分權制衡原則和安全隔離原則，對調度數(shù)據(jù)網(wǎng)絡中的路由器、交換機等網(wǎng)絡設備進行安全加固，能減少非授權訪問、惡意篡改等威脅的發(fā)生。

3.1網(wǎng)絡訪問控制

3.1.1基于角色的訪問控制。調度數(shù)據(jù)網(wǎng)的本地或遠程管理服務采用基于角色的訪問控制模型，設置審計、管理和安全三種角色，每種角色可以完成特定的功能。將用戶權限與角色相關聯(lián)，按照最小化原則，不同用戶根據(jù)其職能和職責被賦予相應的角色。3.1.2基于任務的訪問控制。訪問控制列表（ACL）能實現(xiàn)遠程登錄、遠程管理控制及IP地址過濾。對網(wǎng)絡設備的遠程登錄、遠程管理進行限制，只有受信任的網(wǎng)絡地址才可以登錄到網(wǎng)絡設備或進行遠程管理，防止攻擊者非法登錄網(wǎng)絡設備或非法進行設備管理。IP地址過濾是對允許訪問的源地址與目的地址進行限制，不在控制列表中的源地址禁止訪問指定目的地址，防止從外部發(fā)起的網(wǎng)絡攻擊。創(chuàng)建遠程登錄控制列表：3.1.3基于端口的訪問控制。每個應用程序對應一個端口號，客戶端通過端口訪問服務端的應用程序，端口使用端口號進行標記，一個IP地址端口范圍從0至65535。在調度數(shù)據(jù)網(wǎng)中引入基于端口的訪問控制，禁止445、135、139等高危端口訪問調度數(shù)據(jù)網(wǎng)。

3.2關閉空閑接口與禁用不必要的服務

調度數(shù)據(jù)網(wǎng)的配置必須遵循最小化原則，關閉網(wǎng)絡設備上未使用的物理接口，禁用HTTP、HTTPS、FTP、DHCP、TELNET等不安全的網(wǎng)絡服務，以避免網(wǎng)絡服務或網(wǎng)絡協(xié)議自身存在漏洞增加網(wǎng)絡的安全風險。TELNET遠程登錄協(xié)議傳輸?shù)臄?shù)據(jù)和口令采用明文形式，攻擊者利用中間人身份很容易獲得口令和數(shù)據(jù)，而SSH是安全的加密協(xié)議，傳輸?shù)臄?shù)據(jù)和口令采用加密形式，調度數(shù)據(jù)網(wǎng)應優(yōu)先采用SSH協(xié)議替代TELNET協(xié)議進行遠程登錄后的調試與維護。電力調度數(shù)據(jù)網(wǎng)的IP地址都進行了科學、合理的規(guī)劃，網(wǎng)絡設備、業(yè)務主機都不需要動態(tài)獲取IP地址，而且DHCP協(xié)議在設計上不具有任何防御惡意攻擊的功能，與客戶端之間沒有安全認證機制，因此調度數(shù)據(jù)網(wǎng)絡與連接調度數(shù)據(jù)網(wǎng)的主機必須禁用DHCP協(xié)議。

3.3引入CHAP認證與MD5加密算法

CHAP是三次握手驗證協(xié)議，在網(wǎng)絡中不是直接傳輸密碼而是通告HASH值，比PAP二次握手認證具有更好的安全性。在調度數(shù)據(jù)網(wǎng)中引入CHAP認證，只有通過認證，才能建立點到點的連接，否則設備之間無法建立連接，從物理層面阻止了非法接入網(wǎng)絡。MD5是信息摘要算法，一種被廣泛應用的密碼散列函數(shù)，該算法具有長度固定、易計算、細微性、不可逆性等特點。利用散列算法對設備上的MD5認證密碼進行散列運算，產生出一個128位的散列值與從對端網(wǎng)絡設備傳輸過來的散列值進行對比，如果兩個散列值一致，便認為認證是正確的[2]。加密算法的流程如圖2所示。調度數(shù)據(jù)網(wǎng)OSPF、BGP協(xié)議采用MD5加密認證，兩個相鄰的路由器在路由更新時進行散列值對比，當雙方散列值不一致時無法建立OSPF、BGP鄰居，從路由協(xié)議層面阻止了非法接入。

3.4關閉網(wǎng)絡邊界OSPF路由功能

不參與OSPF選路的邊界網(wǎng)絡設備應關閉OSPF路由功能。一是防止內部路由信息被攻擊者獲取、利用；二是防止攻擊者冒充合法路由器與網(wǎng)絡邊界路由器建議鄰居關系，并攻擊邊界路由器輸入大量鏈路狀態(tài)廣播，引導路由器形成錯誤的網(wǎng)絡拓撲結構，從而導致整個網(wǎng)絡的路由表紊亂，導致整個網(wǎng)絡癱瘓。

3.5實現(xiàn)安全的用戶登錄與管理

在網(wǎng)絡設備上創(chuàng)建本地與遠程登錄用戶時，其口令必須滿足復雜性要求，即同時包含大小寫字母、數(shù)字及特殊字符，且口令長度不低于8位，不同用戶設置不同的口令，根據(jù)角色賦予用戶不同權限，刪除默認賬戶和測試用戶，口令在配置中必須密文存儲，口令應定期進行更新（一般為90天）。開啟賬號鎖定功能，連續(xù)輸入錯誤密碼超過限定次數(shù)時，賬號將自動被鎖定。調度數(shù)據(jù)網(wǎng)網(wǎng)管系統(tǒng)的登錄必須采用密碼與實物相結合（UKEY、指紋等生物標志）的認證方式，即雙因子認證[3]。網(wǎng)絡設備應設置CONSOLE和遠程登錄后超過5分鐘無動作自動退出，重新登錄必須再次進行認證。

3.6開啟日志與安全審計功能

在網(wǎng)絡設備上配置SNMP網(wǎng)絡管理協(xié)議時，禁止使用COMMUNITY默認通行字，SNMP協(xié)議應選擇V2及以上安全的版本。網(wǎng)絡設備啟用日志審計功能，并配置遠程日志服務器IP地址，定期對日志服務器上的日志進行異地備份。

3.7端口綁定與接口安全

端口綁定是通過“MAC地址+IP地址+端口”綁定功能，實現(xiàn)設備對轉發(fā)報文的過濾控制。如果報文中的源MAC、源IP地址與所設定的MAC、IP相同，端口將轉發(fā)該報文，否則丟棄該報文。通過在交換機的接口上部署接口安全策略，可以限制接口的MAC地址學習數(shù)量。部署了接口安全的接口可以將其學習到的MAC地址變?yōu)榘踩玀AC地址，從而阻止除了安全地址外的其他MAC地址通過該接口接入網(wǎng)絡[4]。

3.8調度數(shù)據(jù)網(wǎng)的其他加固措施

加強調度數(shù)據(jù)網(wǎng)設備軟件版本的管理，及時升級存在安全缺陷的版本，刪除網(wǎng)絡設備上WEB、WLAN等不安全的配置。在調度數(shù)據(jù)網(wǎng)的網(wǎng)管服務器、瀏覽器或客戶端上安裝防病毒軟件，并及時對病毒特征庫進行離線升級。關閉網(wǎng)管服務器上的高危端口和服務，禁止安裝不安全的軟件等也是調度數(shù)據(jù)網(wǎng)安全加固的重要組成部分。

4安全加固取得的成效

通過對常德地區(qū)調度數(shù)據(jù)網(wǎng)進行全方位安全加固，使該地區(qū)網(wǎng)絡安全等級保護測評得分顯著提升，網(wǎng)絡安全管控平臺告警數(shù)量明顯降低，網(wǎng)絡安全防護指標得到了極大改善。同時，加固后的網(wǎng)絡延遲、包丟失率和收斂時間等網(wǎng)絡關鍵性能指標影響很小，各項指標均優(yōu)于電網(wǎng)企業(yè)同業(yè)對標要求，完全滿足電網(wǎng)安全運行的需要。

5結語

針對電力調度數(shù)據(jù)網(wǎng)的安全薄弱環(huán)節(jié)，深入開展了安全加固技術分析和研究。提出了訪問控制、關閉網(wǎng)絡邊界OSPF路由及加密認證等安全加固措施，結合電網(wǎng)實際，對調度數(shù)據(jù)網(wǎng)進行了全方面安全加固。測試結果表明，加固后的網(wǎng)絡安全水平顯著提升，網(wǎng)絡性能未受到影響，所承載的所有業(yè)務通信正常。

參考文獻：

[1]趙俊華，梁高琪，文福拴，等.烏克蘭事件的啟示：防范針對電網(wǎng)的虛假數(shù)據(jù)注入攻擊[J].電力系統(tǒng)自動化，2016，40（7）：149.

[2]張裔智，趙毅，湯小斌.MD5算法研究[J].計算機科學，2008，35（7）：295.

[3]王振鐸，王振輝，張慧娥，等.新型雙因子認證系統(tǒng)[J].計算機系統(tǒng)應用，2016，25（1）：70.

[4]朱仕耿.HCNP路由交換學習指南[M].北京：人民郵電出版社，2017.

作者:龍立波 姜學皎 李干 劉立恩 單位:國網(wǎng)常德供電公司 國網(wǎng)湖南省電力檢修公司 國網(wǎng)邵陽供電公司