郭禹伶 郗波
国网河北省电力有限公司电力科学研究院,河北 石家庄 050000
摘要:计算机网络技术的广泛应用,为人们的生活生产创造了有利条件,电力企业作为技术性产业,在电力系统信息化发展上也取得了巨大果效,基于此,本文对电力企业网络信息安全概述、电网企业网络信息安全攻防新技术类型以及网络安全技术在电力企业中的应用进行了分析。
关键词:电力企业;网络信息;安全管理
1 电力企业网络信息安全概述
信息化时代背景下,电网企业管理运行呈现“信息化”是一种必然现象,大量自动化、智能化设备的引入,以及实现通讯功能所需要的网络建设,有效地提升了电网的运行效率,确保稳定性、安全性。但同时,这种发展模式也将电网企业管理纳入到“网络管理”的宏观局面中。
1.1 电力企业网络信息安全的重要性
宏观角度分析,网络信息安全是一个社会性问题,更是一个战略性问题,它源于网络技术在社会发展层面的广泛应用,已经所发挥的生产力促进作用。尤其进入21世纪以来,我国逐渐实现了人工操作管理模式向“信息化管理”的转变,网络建设本身也从零星、分散发展到大型化、规模化水平,同时,由于网络建设水平的不均衡,导致网络体系过于复杂,单纯地某一类信息安全防护技术已经不能满足此类需求。
从电力企业入手展开网络信息安全管理,存在一个十分便捷的优势,电力建设的整体性较强,在管理体制上呈现出高度垂直化,这有利于网络信息安全纵深防御的开展,实现更为有效地防护体系。关键在于,如何以信息安全保障为中心,在有限资源下整合主要的网络信息安全威胁,体现出电力企业需求的针对性。
所谓“攻防新技术”是一个相对的新概念,它相比传统信息安全理念中“重视防御而不重视攻击”的现象,更为主动,“攻”是一种事前预测机制,可以实现风险更好的规避。
1.2 电力企业网络信息安全威胁分析
电力企业网络信息安全的范畴大致为设计电力系统正常运转的信息机密性、完整性、有效性,特别是一些关键性数据,一旦失效就会造成整个电力系统巨大的损失。除了数据本身之外,联系较为紧密的还有网络平台(软件)和设备(硬件),结合笔者实践经验分析,目前我国电力企业网络信息安全的威胁问题,可归纳为以下几个方面:数据安全风险、漏洞弱点问题、网络安全缺陷、管理类风险等。“攻防”本身是一种矛盾,但这种矛盾在电力企业网络信息管理层面,并不是“非此即彼”的选项,它体现出针对安全保障的两个方向,其一为主动,其二为被动,主动方面即提高网络信息安全意识,提前做好相应准备工作,被动方面则是针对人员、设备、技术等做好运维管理。
2 电网企业网络信息安全攻防新技术类型
现阶段,电网企业所采取的信息安全技术中主要包括入侵检测技术、安全隔离技术、数据加密技术、访问控制技术等。很显然,这些技术的重点在于“防御”,并且主要体现在外部防御层面,但对于内部存在的漏洞没有达到理想效果。一旦防御防线被攻破,那么所造成的威胁会迅速破坏内部松垮的保护机制。所以“攻”应该针对内部,一方面可以调动优势资源,实现有组织、有计划的威胁事件预演,另一方面,能够实现内部漏洞的快速弥补。例如,内部所使用的防护机制中,大多都是独立的,认为除非人为进行破坏,一般不会出现重大问题,但现在很多攻击性病毒、木马都有很强的伪装性,如果通过正常软件、文档外壳从内部侵入,就会造成严重的危害。基于此,主要的攻防新技术类型包括APT、漏洞扫描两大方面。
一方面,APT即高级持续威胁与防护技术,它可以实现针对一个特定目标进行不间断性攻击,获得一切可以利用的破坏途径。这其中不仅仅是漏洞,也包括人工类攻击、社会工程学攻击等,例如震动、电磁干扰,伊朗核电站“stuxnet”蠕虫病毒就是一个很典型的例子,它不是常规的软件防护体系攻击,而是针对可编程逻辑控制器展开,从而导致核能离心机破坏。针对APT攻击类型,主动防范的意识必须高,对主机上的恶意代码、钓鱼攻击、邮件等要严格检测,常用的技术包括沙箱恶意代码检测、异常数据流检测等。
3 网络安全技术在电力企业中的应用
3.1 安全计划和网络安全管理系统的构建
虽然网络技术是网络信息安全的保证和基础,但是网络技术可以暂时解决网络安全问题,但不能从根本上解决这些问题。这就需要电力公司制定网络安全的全面规划,为了建立全面的网络安全管理体系,有必要从系统、易于理解的角度考虑电力公司的网络安全问题。
3.2 安全区域的区分
现代电力公司的网络安全系统是以物理隔离的方式实现的,但仍需要对某些安全区域进行分区。这些安全区域中的对象必须实施严格的安全保护措施,设置严格的访问限制,将这些关键链接设置为更高的安全级别,并在其上放置敏感数据、服务器和数据库。在安全区域中,这可以形成有效的安全保護。
3.3 加强安全管理体系建设
电力系统安全保护是电力公司的一项大型系统项目,要求电力公司建立专业、标准化的安全管理系统。加强防火墙的日常管理和安全检测,防火墙具有入侵检测功能,因此必须进行相关的管理和审计。建立完整的病毒防护系统,病毒防护系统是当今重要的病毒防护手段。对于从互联网下载的某些数据,严禁随意复制到主机,使用未知来源的移动存储设备连接到主机,工作人员在病毒爆发后必须采取正确的方法处理。
3.4 电网企业网络信息安全攻防新技术应用
恶意攻击总是以某一目标为导向,恶意攻击者为了达到目标会选择各种有效的手法对网络进行攻击。在复杂网络环境下,如果可以尽可能大地提高恶意攻击者的攻击代价,则对应能达到提高有效防御的能力。基于这个假设,这里展示一种在复杂网络环境下分析攻击有效性的策略,并依此计算从非安全区到目标区是否存在足够小的攻击代价,让恶意攻击可以获取目标。如果存在,则可以被恶意攻击利用的路径将被计算出来;如果不存在,则证明从非安全区到目标区的安全防御能力是可以接受的。
以二元组的形式描述网络拓扑为例,其中节点是网络中的各类设备,边表示设备间的关联关系。假设非安全区域为Z,目标区域为D,在网络中,攻击者如果能达到目标,必然至少存在一条从非安全区节点到目标节点d的通路p,且这条通路上的攻击代价小于值w。其中,攻击代价指攻击者能够利用攻击工具、系统缺陷、脆弱性等信息,实现其对目标的入侵行为所付出的代价。
威胁是可能导致业务系统受损的潜在事件,也可能是快速展开的破坏行为。攻击者在实施攻击时,需要不断尝试利用系统漏洞缺陷或弱点,以获取对资源的访问权限,并进一步以此为跳板获取邻接节点权限,进而不断接近目标节点。独立防护有效性分值用于评估系统中某一漏洞缺陷或弱点被攻击者成功利用,以实施攻击的难易程度。
4 结束语
总体而言,中国经济的高速发展对电力资源稳定应供有着巨大的依赖性,电网企业在国民经济发展中具有战略性作用。而当前,电网企业网络信息安全存在着巨大威胁,可以预计在未来形势会更加严峻,在攻防技术体系方面,单纯地采用一种机制,已经无法适应迅速更新的安全需求,必须强调综合运用各类新技术,并分析彼此之间的关联、作用,做到有效配合、相互补充,才能实现电网企业网络信息安全需求,减少网络故障和恶意攻击造成的损失。
参考文献:
[1]刘俊.电力企业信息网络安全风险分析与管控措施研究[J].通信电源技术,2020,37(01):241-242.
[2]陈剑,俞亮,阳婷.网络安全技术在电力企业中的应用[J].计算机与网络,2019,45(17):55.
[3]张安琪.防火墙在电力企业信息网络中的应用[J].信息通信,2018(12):173-174.