| |
電力網(wǎng)絡信息系統(tǒng)的安全風險分析 |
|
[ 通信界 | 胡聯(lián)望 | m.k-94.cn | 2010/12/7 21:21:57 ]
|
|
|
|
|
|
| |
摘 要:電力網(wǎng)絡信息系統(tǒng)是構建在一個典型的具有Internet、Intranet和 Extranet應用環(huán)境的復雜系統(tǒng)�。由于Internet是一個開放性的、非可信的網(wǎng)絡�����,因此解決依托 Internet的信息系統(tǒng)的安全將是一個非常復雜的系統(tǒng)工程�,要求必須建立完整的�、可管理的安全體系�。這個安全體系涉及以設備為中心的信息安全,技術涵蓋網(wǎng)絡系統(tǒng)����、計算機操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應用軟件系統(tǒng)��;涉及計算機病毒的防范�����、入侵的監(jiān)控���;涉及以用戶(包括內(nèi)部員工和外部相關機構人員)為中心的安全管理��,包括用戶的身份管理��、身份認證��、授權��、審計等�����;涉及信息傳輸?shù)臋C密性����、完整性、不可抵賴性等等�����。為了解決這一復雜的信息系統(tǒng)的安全����,必須對其可能涉及的所有安全風險有一個清醒的認識。
關鍵詞:網(wǎng)絡信息系統(tǒng)�����;安全風險��;應用�����;分析
根據(jù)網(wǎng)絡信息系統(tǒng)結(jié)構���,從系統(tǒng)和應用的角度出發(fā)���,信息系統(tǒng)的安全因素可以劃分到五個安全層中,即物理層�����、網(wǎng)絡層��、系統(tǒng)層��、應用層�、安全管理層。以下是根據(jù)這五個層次和電力網(wǎng)絡信息系統(tǒng)的特點進行的分析���。
1 物理層的安全風險分析
1.1 系統(tǒng)環(huán)境安全風險
因水災�����、火災�����、雷電等災害性事故引發(fā)的網(wǎng)絡中斷�����、系統(tǒng)癱瘓�、數(shù)據(jù)被毀等;
因接地不良��、機房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作�����;
機房電力設備和其它配套設備本身缺陷誘發(fā)信息系統(tǒng)故障�;
機房安全設施自動化水平低,不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作�;
其它環(huán)境安全風險。
1.2 物理設備的安全風險
由于信息系統(tǒng)中大量地使用了網(wǎng)絡設備如交換機����、路由器等,服務器如PC服務器���、小型機�����,移動設備,使得這些設備的自身安全性也會直接關系信息系統(tǒng)和各種網(wǎng)絡應用的正常運轉(zhuǎn)。例如����,路由設備存在路由信息泄漏,交換機和路由器設備配置風險等����。
2 網(wǎng)絡安全風險
2.1 網(wǎng)絡體系結(jié)構的安全風險
電力的網(wǎng)絡平臺是一切應用系統(tǒng)建設的基礎平臺,網(wǎng)絡體系結(jié)構是否按照安全體系結(jié)構和安全機制進行設計�,直接關系到網(wǎng)絡平臺的安全保障能力。電力的網(wǎng)絡是由多個局域網(wǎng)和廣域網(wǎng)組成���,同時包含Internet的Intranet和Extranet部分����,網(wǎng)絡體系結(jié)構比較復雜���。內(nèi)部行政辦公網(wǎng)����、業(yè)務網(wǎng)��、Internet網(wǎng)之間是否進行隔離及如何進行隔離�,網(wǎng)段劃分是否合理���,路由是否正確,網(wǎng)絡的容量���、帶寬是否考慮客戶上網(wǎng)的峰值�����,網(wǎng)絡設備有無冗余設計等都與安全風險密切相關���。
2.2 網(wǎng)絡通信協(xié)議的安全風險
如果網(wǎng)絡通信協(xié)議存在安全漏洞,網(wǎng)絡黑客就能利用網(wǎng)絡設備和協(xié)議的安全漏洞進行網(wǎng)絡攻擊和信息竊取��。例如未經(jīng)授權非法訪問業(yè)務網(wǎng)絡和調(diào)度業(yè)務系統(tǒng)���;對其進行監(jiān)聽����,竊取用戶的口令密碼和通信密碼���;對網(wǎng)絡的安全漏洞進行探測掃描�����;對通信線路和網(wǎng)絡設備實施拒絕服務攻擊����,造成線路擁塞和系統(tǒng)癱瘓等等�。
2.3 網(wǎng)絡操作系統(tǒng)的安全風險
網(wǎng)絡操作系統(tǒng),不論是IOS����,windows,還是Unix����,都存在安全漏洞;一些重要的網(wǎng)絡設備��,如路由器��、交換機�、網(wǎng)關,防火墻等��,由于操作系統(tǒng)存在安全漏洞����,導致網(wǎng)絡設備的不安全����;有些網(wǎng)絡設備存在“后門”(back door)等等��。
2.4 Internet自身的安全風險
因為Internet是全球性公共網(wǎng)絡�,具有無主性、開放性等特點���。數(shù)據(jù)傳輸時間延遲和差錯不可控����,可引
起數(shù)據(jù)傳輸錯誤��、停頓�����、中斷��,網(wǎng)上發(fā)布的行情信息可能滯后���,與真實情況不完全一致��,網(wǎng)上傳輸?shù)目诹蠲艽a�����、通信密碼和業(yè)務數(shù)據(jù)有可能被某些個人�����、團體或機構通過某種渠道截取��、篡改�、重發(fā)�����;業(yè)務雙方可能對事務處理結(jié)果進行抵賴等�����。
3 系統(tǒng)安全風險
3.1 操作系統(tǒng)安全風險
操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎��。 WEB服務器數(shù)據(jù)倉庫服務器�、外部數(shù)據(jù)交換服務器、門戶服務器�����、以及各類業(yè)務和辦公客戶機等設備所使用的操作系統(tǒng),不論是NT�、Win95/98/2000,還是Unix都存在信息安全漏洞����,由操作系統(tǒng)信息安全漏洞帶來的安全風險是最普遍的安全風險。
3.2 數(shù)據(jù)庫安全風險
所有的業(yè)務應用�����、決策支持����、行政辦公和外部信息系統(tǒng)的信息管理核心都是數(shù)據(jù)庫,而涉及生產(chǎn)的數(shù)據(jù)都是最需要安全保護的信息資產(chǎn)��,不僅需要統(tǒng)一的數(shù)據(jù)備份和恢復以及高可用性的保障機制����,還需要對數(shù)據(jù)庫的安全管理,包括訪問控制��,敏感數(shù)據(jù)的安全標簽�����,日志審計等多方面提升安全管理級別,規(guī)避風險�����。雖然�����,目前電力的數(shù)據(jù)庫管理系統(tǒng)可以達到很高的安全級別���,但仍存在安全漏洞。建立在其上的各種應用系統(tǒng)軟件在數(shù)據(jù)的安全管理設計上也不可避免地存在或多或少的安全缺陷���,需要對數(shù)據(jù)庫和應用的安全性能進行綜合的檢測和評估��。
3.3 Web系統(tǒng)安全風險
Web Server是對內(nèi)對外宣傳�,提供各種應用的重要服務�����,也是B/S模式應用系統(tǒng)的重要組成部分��。由于其重要性,理所當然的成為Hacker攻擊的首選目標之一���。
Web Server經(jīng)常成為Internet用戶訪問電力系統(tǒng)企業(yè)內(nèi)部資源的通道之一����,如 Web Server通過中間件訪問主機系統(tǒng)�����,通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫���,利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡系統(tǒng)中其它資源�����。但Web服務器越來越復雜�����,其被發(fā)現(xiàn)的安全漏洞越來越多�����。
3.4 桌面應用系統(tǒng)的安全風險
為優(yōu)化整個應用系統(tǒng)的性能�����,無論是采用C/S應用模式或是B/S應用模式����,桌面應用系統(tǒng)都是其系統(tǒng)的重要組成部分,不僅是用戶訪問系統(tǒng)資源的入口�����,也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口��,桌面應用系統(tǒng)的管理和使用不當��,會帶來嚴重的安全風險�。例如通過郵件傳播病毒�;當口令或通信密碼丟失、泄漏����,系統(tǒng)管理權限丟失、泄漏時�,輕者假冒合法身份用戶進行非法操作。重者��,“黑客”對系統(tǒng)實施攻擊,造成系統(tǒng)崩潰����。
3.5 病毒危害風險
在電力信息系統(tǒng)中,辦公自動化占了很重要的地位�;而核心就是電子郵件傳送,電子郵件現(xiàn)在已成為計算機病毒最主要的傳播媒介�,占病毒總傳播的87%。80%的企業(yè)中����,皆曾經(jīng)歷一次以上的計算機病毒災難。盡管防病毒軟件安裝率已大幅度提升����,但一些單位或個人卻沒有好的防毒概念,從不進行病毒代碼升級��,而新病毒層出不窮�����,因此威脅性愈來愈大�。
另外,隨著病毒感染方式的改變��,許多單位的防毒工作,卻仍然只著眼于個人單機或局域網(wǎng)絡服務器(LANServer)的階段��,而現(xiàn)有各種網(wǎng)絡病毒已越來越具有黑客攻擊特點���,尤其是面對目前愈來愈多的單位將內(nèi)部網(wǎng)絡連上Internet的情況�����,因此�����,當內(nèi)部企業(yè)接入Internet或建構本單位的Intranet時���,必須從整體安全來考慮,審慎規(guī)劃公司網(wǎng)絡防毒策略���,兼顧網(wǎng)絡上每一個節(jié)點,無論是單用戶的計算機�����,還是網(wǎng)絡服務器���,均需要周全的防護��,這樣才能保證企業(yè)網(wǎng)絡的整體安全����。
3.6 黑客入侵風險
一方面風險來自于內(nèi)部,入侵者利用Sniffer等嗅探程序通過網(wǎng)絡探測��、掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞��,如網(wǎng)絡IP地址�、應用操作系統(tǒng)的類型、開放哪些TCP端口號�、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等,并采用相應的攻擊程序?qū)?nèi)網(wǎng)進行攻擊�。入侵者通過拒絕服務攻擊,使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓�。
另一方面風險來自外部,入侵者通過網(wǎng)絡監(jiān)聽���、用戶滲透��、系統(tǒng)滲透�����、拒絕服務����、木馬等綜合手段獲得合法用戶的用戶名、口令等信息�,進而假冒內(nèi)部合法身份進行非法登錄,竊取內(nèi)部網(wǎng)重要信息�,或使系統(tǒng)終止服務。所以�����,必須要對外部和內(nèi)部網(wǎng)絡進行必要的隔離����,避免信息外泄;同時還要對外網(wǎng)的服務請求加以過濾���,只允許正常通信的數(shù)據(jù)包到達相應主機�,其它的請求服務在到達主機之前就應該遭到拒絕���。
4 應用安全風險
4.1 身份認證與授權控制的安全風險
僅依靠用戶ID和口令的認證很不安全,容易被猜測或盜取�,會帶來很大的安全風險����。為此�,動態(tài)口令認證、CA第三方認證等被認為是先進的認證方式����。但是,如果使用和管理不當�����,同樣會帶來安全風險���。因此需要基于應用服務和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認證與授權控制機制���,以區(qū)別不同的用戶和信息訪問者,并授予他們不同的信息訪問和事務處理權限��。
4.2 信息傳輸?shù)耐暾燥L險
在一些情況下���,電力的業(yè)務人員和重點用戶需要將信息直接在Internet上傳輸�����,由于Internet的固有特性決定了這些關鍵信息在傳輸過程中存在不完整����、非實時的可能性,也存在被人篡改的可能性���。這需要考慮建立基于Internet的SSL虛擬專用網(wǎng)(VPN)并結(jié)合信息的傳輸加密�����、電子簽名等方式來降低此類安全風險���。
4.3 信息傳輸?shù)臋C密性和不可抵賴性風險
實時信息是應用系統(tǒng)的重要事務處理信息,必須保證實時信息傳輸?shù)臋C密性和網(wǎng)上活動的不可抵賴性��,能否做到這一點���,關鍵在于采用什么樣的加密方式��、密碼算法和密鑰管理方式���?梢钥紤]采用國內(nèi)經(jīng)過國家密碼管理委員會和公安部批準的加密方式、密碼算法和密鑰管理技術來強化這一環(huán)節(jié)的安全保障���。
5 管理層安全風險分析
安全的網(wǎng)絡設備離不開人的管理,好的安全策略最終要靠人來實施�,因此管理是整個網(wǎng)絡安全中最為重要的一環(huán),尤其是對于一個比較龐大和復雜的網(wǎng)絡�,更是如此。因此有必要認真地分析管理所帶來的安全風險���,并采取相應的安全措施���。
責權不明、管理混亂����、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明����,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地��,或者員工有意無意泄漏他們所知道的一些重要信息�,而管理上卻沒有相應制度來約束。
當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進行實時的檢測��、監(jiān)控���、報告與預警�����。同時�,當事故發(fā)生后����,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡的可控性與可審查性���。這就要求人們必須對站點的訪問活動進行多層次的記錄����,及時發(fā)現(xiàn)非法入侵行為��。建立全新網(wǎng)絡安全機制�,必須深刻理解網(wǎng)絡并能提供直接的解決方案,因此�����,最可行的做法是管理制度和管理解決方案的結(jié)合。
6 電力系統(tǒng)計算機網(wǎng)絡面臨的威脅
事實證明�����,由于電力系統(tǒng)一直以來網(wǎng)絡結(jié)構和業(yè)務系統(tǒng)的相對封閉性�,電力系統(tǒng)出現(xiàn)的網(wǎng)絡安全問題也基本產(chǎn)生于內(nèi)部����。但是,隨著近年來與外界接口的增加���,特別是與銀行等合作單位中間業(yè)務的接口��、網(wǎng)上電力服務�、三網(wǎng)融合�����、數(shù)據(jù)大集中應用�、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展,其安全問題不僅僅局限于內(nèi)部事件了��,來自外界的攻擊已越來越多,已經(jīng)成為電力不可忽視的威脅來源����。
但是,電力網(wǎng)絡信息系統(tǒng)服務所采用的策略一般是由省公司做統(tǒng)一對外服務出口�����,各基層單位沒有對外的出口����;從內(nèi)部業(yè)務應用的角度來看,除大量現(xiàn)存的C/S結(jié)構以外�����,還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構應用����。
因此,對于電力系統(tǒng)整體來說�,主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種:一是對網(wǎng)絡中信息的威脅�����;二是對網(wǎng)絡中設備的威脅。對于電力系統(tǒng)來說���,主要是保護電力業(yè)務系統(tǒng)的安全�����,其核心在于保護電力數(shù)據(jù)的安全�����,包括數(shù)據(jù)存儲,數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全��。影響電力系統(tǒng)網(wǎng)絡安全的因素很多����,有些因素可能是有意的,也可能是無意的誤操作��;可能是人為的或是非人為的��;也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡系統(tǒng)資源的非法使用等等�。歸結(jié)起來,針對電力網(wǎng)絡信息系統(tǒng)安全的威脅主要有三個大方面�。
6.1 無意識的人為失誤
如安全配置不當造成的安全漏洞��,用戶安全意識不強����,口令選擇強度不夠�,用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享信息資源等都會對網(wǎng)絡安全帶來威脅。電力信息中心或各單位信息中心主機存在系統(tǒng)漏洞����,系統(tǒng)管理員安全意識和知識較差,容易被攻擊者利用后通過電力網(wǎng)絡入侵系統(tǒng)主機��,并有可能登錄其它重要應用子系統(tǒng)服務器或中心數(shù)據(jù)庫服務器����,進而對整個電力系統(tǒng)造成很大的威脅。
6.2 人為的惡意攻擊
這是計算機網(wǎng)絡所面臨的最大威脅����,黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊��,它以各種方式有選擇地破壞信息的可用性和完整性��;另一類是被動攻擊��,它是在不影響網(wǎng)絡正常工作的情況下,進行截獲��、竊取�����、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網(wǎng)絡造成直接的極大的危害,并導致機密數(shù)據(jù)的泄漏和丟失�����。
6.3 網(wǎng)絡和系統(tǒng)軟件的漏洞和“后門”
隨著各類網(wǎng)絡和操作系統(tǒng)軟件的不斷更新和升級�,由于邊界處理不善和質(zhì)量控制差等綜合原因�,網(wǎng)絡和系統(tǒng)軟件存在越來越多的缺陷和漏洞�,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標和有利條件����,當前世界范圍內(nèi)出現(xiàn)黑客攻入企業(yè)網(wǎng)絡內(nèi)部的事件��,大部分就是因為安全控制措施不完善所導致的。另外�,一些軟件公司的設計編程人員為了某些原因而設置軟件“后門”���,也有專業(yè)的黑客后門程序,一旦“后門”通過網(wǎng)絡入侵而植入電力信息內(nèi)網(wǎng)主機����,猶如電力系統(tǒng)的信息庫被打開了幾個后門��,將會對電力信息網(wǎng)的整體安全產(chǎn)生極大的破壞���,對網(wǎng)絡信息系統(tǒng)造成的后果將不堪設想。
7 電力信息網(wǎng)絡系統(tǒng)對電力實時系統(tǒng)的安全威脅
根據(jù)國家經(jīng)貿(mào)委發(fā)布的《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》�����,各發(fā)���、供電企業(yè)和調(diào)度中心的電力監(jiān)控系統(tǒng)不得與辦公信息網(wǎng)絡直接連接,必須加裝經(jīng)國家有關部門認證的安全隔離設施����,電力調(diào)度數(shù)據(jù)網(wǎng)絡應在專用通道上利用專用設備組網(wǎng),必須保證物理層面上與公用信息網(wǎng)絡安全隔離。
由于各生產(chǎn)單位具有對電網(wǎng)的控制性,因此當黑客通過信息網(wǎng)絡入侵實時網(wǎng)絡系統(tǒng)后��,所采用的任何操作���,都將對控制的電力設備產(chǎn)生影響����,極有可能對系統(tǒng)產(chǎn)生災難性的后果��,嚴重危害電力生產(chǎn)的安全運行��,因此�,必須進行安全隔離。這一點在電力生產(chǎn)中已有深刻的教訓���。
|
1作者:胡聯(lián)望 來源:專網(wǎng)通信世界-中國電力通信網(wǎng) 編輯:顧北 |
|
|
|
|
|
聲明:①凡本網(wǎng)注明“來源:通信界”的內(nèi)容�����,版權均屬于通信界����,未經(jīng)允許禁止轉(zhuǎn)載、摘編����,違者必究。經(jīng)授權可轉(zhuǎn)載�,須保持轉(zhuǎn)載文章、圖像�����、音視頻的完整性,并完整標注作者信息并注明“來源:通信界”�。②凡本網(wǎng)注明“來源:XXX(非通信界)”的內(nèi)容,均轉(zhuǎn)載自其它媒體��,轉(zhuǎn)載目的在于傳遞更多行業(yè)信息�,僅代表作者本人觀點���,與本網(wǎng)無關。本網(wǎng)對文中陳述��、觀點判斷保持中立,不對所包含內(nèi)容的準確性�、可靠性或完整性提供任何明示或暗示的保證����。請讀者僅作參考,并請自行承擔全部責任����。③如因內(nèi)容涉及版權和其它問題,請自發(fā)布之日起30日內(nèi)與本網(wǎng)聯(lián)系����,我們將在第一時間刪除內(nèi)容�。 |
|
|
|
|
|
|
|
|
|
|
