羅濤 四川省電力公司
摘 要:電力網(wǎng)絡(luò)信息系統(tǒng)是構(gòu)建在一個典型的具有Internet、Intranet和 Extranet應(yīng)用環(huán)境的復(fù)雜系統(tǒng)。由于Internet是一個開放性的、非可信的網(wǎng)絡(luò),因此解決依托 Internet的信息系統(tǒng)的安全將是一個非常復(fù)雜的系統(tǒng)工程,要求必須建立完整的、可管理的安全體系。這個安全體系涉及以設(shè)備為中心的信息安全,技術(shù)涵蓋網(wǎng)絡(luò)系統(tǒng)、計算機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件系統(tǒng);涉及計算機(jī)病毒的防范、入侵的監(jiān)控;涉及以用戶(包括內(nèi)部員工和外部相關(guān)機(jī)構(gòu)人員)為中心的安全管理,包括用戶的身份管理、身份認(rèn)證、授權(quán)、審計等;涉及信息傳輸?shù)臋C(jī)密性、完整性、不可抵賴性等等。為了解決這一復(fù)雜的信息系統(tǒng)的安全,必須對其可能涉及的所有安全風(fēng)險有一個清醒的認(rèn)識。
關(guān)鍵詞:網(wǎng)絡(luò)信息系統(tǒng);安全風(fēng)險;應(yīng)用;分析
根據(jù)網(wǎng)絡(luò)信息系統(tǒng)結(jié)構(gòu),從系統(tǒng)和應(yīng)用的角度出發(fā),信息系統(tǒng)的安全因素可以劃分到五個安全層中,即物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層、安全管理層。以下是根據(jù)這五個層次和電力網(wǎng)絡(luò)信息系統(tǒng)的特點(diǎn)進(jìn)行的分析。
1 物理層的安全風(fēng)險分析
1.1 系統(tǒng)環(huán)境安全風(fēng)險
因水災(zāi)、火災(zāi)、雷電等災(zāi)害性事故引發(fā)的網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)被毀等;
因接地不良、機(jī)房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作;
機(jī)房電力設(shè)備和其它配套設(shè)備本身缺陷誘發(fā)信息系統(tǒng)故障;
機(jī)房安全設(shè)施自動化水平低,不能有效監(jiān)控環(huán)境和信息系統(tǒng)工作;
其它環(huán)境安全風(fēng)險。
1.2 物理設(shè)備的安全風(fēng)險
由于信息系統(tǒng)中大量地使用了網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等,服務(wù)器如PC服務(wù)器、小型機(jī),移動設(shè)備,使得這些設(shè)備的自身安全性也會直接關(guān)系信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)。例如,路由設(shè)備存在路由信息泄漏,交換機(jī)和路由器設(shè)備配置風(fēng)險等。
2 網(wǎng)絡(luò)安全風(fēng)險
2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風(fēng)險
電力的網(wǎng)絡(luò)平臺是一切應(yīng)用系統(tǒng)建設(shè)的基礎(chǔ)平臺,網(wǎng)絡(luò)體系結(jié)構(gòu)是否按照安全體系結(jié)構(gòu)和安全機(jī)制進(jìn)行設(shè)計,直接關(guān)系到網(wǎng)絡(luò)平臺的安全保障能力。電力的網(wǎng)絡(luò)是由多個局域網(wǎng)和廣域網(wǎng)組成,同時包含Internet的Intranet和Extranet部分,網(wǎng)絡(luò)體系結(jié)構(gòu)比較復(fù)雜。內(nèi)部行政辦公網(wǎng)、業(yè)務(wù)網(wǎng)、Internet網(wǎng)之間是否進(jìn)行隔離及如何進(jìn)行隔離,網(wǎng)段劃分是否合理,路由是否正確,網(wǎng)絡(luò)的容量、帶寬是否考慮客戶上網(wǎng)的峰值,網(wǎng)絡(luò)設(shè)備有無冗余設(shè)計等都與安全風(fēng)險密切相關(guān)。
2.2 網(wǎng)絡(luò)通信協(xié)議的安全風(fēng)險
如果網(wǎng)絡(luò)通信協(xié)議存在安全漏洞,網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和協(xié)議的安全漏洞進(jìn)行網(wǎng)絡(luò)攻擊和信息竊取。例如未經(jīng)授權(quán)非法訪問業(yè)務(wù)網(wǎng)絡(luò)和調(diào)度業(yè)務(wù)系統(tǒng);對其進(jìn)行監(jiān)聽,竊取用戶的口令密碼和通信密碼;對網(wǎng)絡(luò)的安全漏洞進(jìn)行探測掃描;對通信線路和網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊,造成線路擁塞和系統(tǒng)癱瘓等等。
2.3 網(wǎng)絡(luò)操作系統(tǒng)的安全風(fēng)險
網(wǎng)絡(luò)操作系統(tǒng),不論是IOS,windows,還是Unix,都存在安全漏洞;一些重要的網(wǎng)絡(luò)設(shè)備,如路由器、交換機(jī)、網(wǎng)關(guān),防火墻等,由于操作系統(tǒng)存在安全漏洞,導(dǎo)致網(wǎng)絡(luò)設(shè)備的不安全;有些網(wǎng)絡(luò)設(shè)備存在“后門”(back door)等等。
2.4 Internet自身的安全風(fēng)險
因?yàn)镮nternet是全球性公共網(wǎng)絡(luò),具有無主性、開放性等特點(diǎn)。數(shù)據(jù)傳輸時間延遲和差錯不可控,可引
起數(shù)據(jù)傳輸錯誤、停頓、中斷,網(wǎng)上發(fā)布的行情信息可能滯后,與真實(shí)情況不完全一致,網(wǎng)上傳輸?shù)目诹蠲艽a、通信密碼和業(yè)務(wù)數(shù)據(jù)有可能被某些個人、團(tuán)體或機(jī)構(gòu)通過某種渠道截取、篡改、重發(fā);業(yè)務(wù)雙方可能對事務(wù)處理結(jié)果進(jìn)行抵賴等。
3 系統(tǒng)安全風(fēng)險
3.1 操作系統(tǒng)安全風(fēng)險
操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)。 WEB服務(wù)器數(shù)據(jù)倉庫服務(wù)器、外部數(shù)據(jù)交換服務(wù)器、門戶服務(wù)器、以及各類業(yè)務(wù)和辦公客戶機(jī)等設(shè)備所使用的操作系統(tǒng),不論是NT、Win95/98/2000,還是Unix都存在信息安全漏洞,由操作系統(tǒng)信息安全漏洞帶來的安全風(fēng)險是最普遍的安全風(fēng)險。
3.2 數(shù)據(jù)庫安全風(fēng)險
所有的業(yè)務(wù)應(yīng)用、決策支持、行政辦公和外部信息系統(tǒng)的信息管理核心都是數(shù)據(jù)庫,而涉及生產(chǎn)的數(shù)據(jù)都是最需要安全保護(hù)的信息資產(chǎn),不僅需要統(tǒng)一的數(shù)據(jù)備份和恢復(fù)以及高可用性的保障機(jī)制,還需要對數(shù)據(jù)庫的安全管理,包括訪問控制,敏感數(shù)據(jù)的安全標(biāo)簽,日志審計等多方面提升安全管理級別,規(guī)避風(fēng)險。雖然,目前電力的數(shù)據(jù)庫管理系統(tǒng)可以達(dá)到很高的安全級別,但仍存在安全漏洞。建立在其上的各種應(yīng)用系統(tǒng)軟件在數(shù)據(jù)的安全管理設(shè)計上也不可避免地存在或多或少的安全缺陷,需要對數(shù)據(jù)庫和應(yīng)用的安全性能進(jìn)行綜合的檢測和評估。
3.3 Web系統(tǒng)安全風(fēng)險
Web Server是對內(nèi)對外宣傳,提供各種應(yīng)用的重要服務(wù),也是B/S模式應(yīng)用系統(tǒng)的重要組成部分。由于其重要性,理所當(dāng)然的成為Hacker攻擊的首選目標(biāo)之一。
Web Server經(jīng)常成為Internet用戶訪問電力系統(tǒng)企業(yè)內(nèi)部資源的通道之一,如 Web Server通過中間件訪問主機(jī)系統(tǒng),通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫,利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web服務(wù)器越來越復(fù)雜,其被發(fā)現(xiàn)的安全漏洞越來越多。
3.4 桌面應(yīng)用系統(tǒng)的安全風(fēng)險
為優(yōu)化整個應(yīng)用系統(tǒng)的性能,無論是采用C/S應(yīng)用模式或是B/S應(yīng)用模式,桌面應(yīng)用系統(tǒng)都是其系統(tǒng)的重要組成部分,不僅是用戶訪問系統(tǒng)資源的入口,也是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口,桌面應(yīng)用系統(tǒng)的管理和使用不當(dāng),會帶來嚴(yán)重的安全風(fēng)險。例如通過郵件傳播病毒;當(dāng)口令或通信密碼丟失、泄漏,系統(tǒng)管理權(quán)限丟失、泄漏時,輕者假冒合法身份用戶進(jìn)行非法操作。重者,“黑客”對系統(tǒng)實(shí)施攻擊,造成系統(tǒng)崩潰。
3.5 病毒危害風(fēng)險
在電力信息系統(tǒng)中,辦公自動化占了很重要的地位;而核心就是電子郵件傳送,電子郵件現(xiàn)在已成為計算機(jī)病毒最主要的傳播媒介,占病毒總傳播的87%。80%的企業(yè)中,皆曾經(jīng)歷一次以上的計算機(jī)病毒災(zāi)難。盡管防病毒軟件安裝率已大幅度提升,但一些單位或個人卻沒有好的防毒概念,從不進(jìn)行病毒代碼升級,而新病毒層出不窮,因此威脅性愈來愈大。
另外,隨著病毒感染方式的改變,許多單位的防毒工作,卻仍然只著眼于個人單機(jī)或局域網(wǎng)絡(luò)服務(wù)器(LANServer)的階段,而現(xiàn)有各種網(wǎng)絡(luò)病毒已越來越具有黑客攻擊特點(diǎn),尤其是面對目前愈來愈多的單位將內(nèi)部網(wǎng)絡(luò)連上Internet的情況,因此,當(dāng)內(nèi)部企業(yè)接入Internet或建構(gòu)本單位的Intranet時,必須從整體安全來考慮,審慎規(guī)劃公司網(wǎng)絡(luò)防毒策略,兼顧網(wǎng)絡(luò)上每一個節(jié)點(diǎn),無論是單用戶的計算機(jī),還是網(wǎng)絡(luò)服務(wù)器,均需要周全的防護(hù),這樣才能保證企業(yè)網(wǎng)絡(luò)的整體安全。
3.6 黑客入侵風(fēng)險
一方面風(fēng)險來自于內(nèi)部,入侵者利用Sniffer等嗅探程序通過網(wǎng)絡(luò)探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞,如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等,并采用相應(yīng)的攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過拒絕服務(wù)攻擊,使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。
另一方面風(fēng)險來自外部,入侵者通過網(wǎng)絡(luò)監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務(wù)、木馬等綜合手段獲得合法用戶的用戶名、口令等信息,進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄,竊取內(nèi)部網(wǎng)重要信息,或使系統(tǒng)終止服務(wù)。所以,必須要對外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行必要的隔離,避免信息外泄;同時還要對外網(wǎng)的服務(wù)請求加以過濾,只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī),其它的請求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕。
4 應(yīng)用安全風(fēng)險
4.1 身份認(rèn)證與授權(quán)控制的安全風(fēng)險
僅依靠用戶ID和口令的認(rèn)證很不安全,容易被猜測或盜取,會帶來很大的安全風(fēng)險。為此,動態(tài)口令認(rèn)證、CA第三方認(rèn)證等被認(rèn)為是先進(jìn)的認(rèn)證方式。但是,如果使用和管理不當(dāng),同樣會帶來安全風(fēng)險。因此需要基于應(yīng)用服務(wù)和外部信息系統(tǒng)建立基于統(tǒng)一策略的用戶身份認(rèn)證與授權(quán)控制機(jī)制,以區(qū)別不同的用戶和信息訪問者,并授予他們不同的信息訪問和事務(wù)處理權(quán)限。
4.2 信息傳輸?shù)耐暾燥L(fēng)險
在一些情況下,電力的業(yè)務(wù)人員和重點(diǎn)用戶需要將信息直接在Internet上傳輸,由于Internet的固有特性決定了這些關(guān)鍵信息在傳輸過程中存在不完整、非實(shí)時的可能性,也存在被人篡改的可能性。這需要考慮建立基于Internet的SSL虛擬專用網(wǎng)(VPN)并結(jié)合信息的傳輸加密、電子簽名等方式來降低此類安全風(fēng)險。
4.3 信息傳輸?shù)臋C(jī)密性和不可抵賴性風(fēng)險
實(shí)時信息是應(yīng)用系統(tǒng)的重要事務(wù)處理信息,必須保證實(shí)時信息傳輸?shù)臋C(jī)密性和網(wǎng)上活動的不可抵賴性,能否做到這一點(diǎn),關(guān)鍵在于采用什么樣的加密方式、密碼算法和密鑰管理方式。可以考慮采用國內(nèi)經(jīng)過國家密碼管理委員會和公安部批準(zhǔn)的加密方式、密碼算法和密鑰管理技術(shù)來強(qiáng)化這一環(huán)節(jié)的安全保障。
5 管理層安全風(fēng)險分析
安全的網(wǎng)絡(luò)設(shè)備離不開人的管理,好的安全策略最終要靠人來實(shí)施,因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán),尤其是對于一個比較龐大和復(fù)雜的網(wǎng)絡(luò),更是如此。因此有必要認(rèn)真地分析管理所帶來的安全風(fēng)險,并采取相應(yīng)的安全措施。
責(zé)權(quán)不明、管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。責(zé)權(quán)不明,管理混亂,使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進(jìn)入機(jī)房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應(yīng)制度來約束。
當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時(如內(nèi)部人員的違規(guī)操作等),無法進(jìn)行實(shí)時的檢測、監(jiān)控、報告與預(yù)警。同時,當(dāng)事故發(fā)生后,也無法提供黑客攻擊行為的追蹤線索及破案依據(jù),即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求人們必須對站點(diǎn)的訪問活動進(jìn)行多層次的記錄,及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機(jī)制,必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案,因此,最可行的做法是管理制度和管理解決方案的結(jié)合。
6 電力系統(tǒng)計算機(jī)網(wǎng)絡(luò)面臨的威脅
事實(shí)證明,由于電力系統(tǒng)一直以來網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)的相對封閉性,電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。但是,隨著近年來與外界接口的增加,特別是與銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展,其安全問題不僅僅局限于內(nèi)部事件了,來自外界的攻擊已越來越多,已經(jīng)成為電力不可忽視的威脅來源。
但是,電力網(wǎng)絡(luò)信息系統(tǒng)服務(wù)所采用的策略一般是由省公司做統(tǒng)一對外服務(wù)出口,各基層單位沒有對外的出口;從內(nèi)部業(yè)務(wù)應(yīng)用的角度來看,除大量現(xiàn)存的C/S結(jié)構(gòu)以外,還將出現(xiàn)越來越多的內(nèi)部B/S結(jié)構(gòu)應(yīng)用。
因此,對于電力系統(tǒng)整體來說,主要問題仍有一大部分是內(nèi)部安全問題。其所面臨的威脅大體可分為兩種:一是對網(wǎng)絡(luò)中信息的威脅;二是對網(wǎng)絡(luò)中設(shè)備的威脅。對于電力系統(tǒng)來說,主要是保護(hù)電力業(yè)務(wù)系統(tǒng)的安全,其核心在于保護(hù)電力數(shù)據(jù)的安全,包括數(shù)據(jù)存儲,數(shù)據(jù)傳輸和數(shù)據(jù)處理的安全。影響電力系統(tǒng)網(wǎng)絡(luò)安全的因素很多,有些因素可能是有意的,也可能是無意的誤操作;可能是人為的或是非人為的;也有可能是內(nèi)部或外來攻擊者對網(wǎng)絡(luò)系統(tǒng)資源的非法使用等等。歸結(jié)起來,針對電力網(wǎng)絡(luò)信息系統(tǒng)安全的威脅主要有三個大方面。
6.1 無意識的人為失誤
如安全配置不當(dāng)造成的安全漏洞,用戶安全意識不強(qiáng),口令選擇強(qiáng)度不夠,用戶將自己的帳號隨意轉(zhuǎn)借他人或與別人共享信息資源等都會對網(wǎng)絡(luò)安全帶來威脅。電力信息中心或各單位信息中心主機(jī)存在系統(tǒng)漏洞,系統(tǒng)管理員安全意識和知識較差,容易被攻擊者利用后通過電力網(wǎng)絡(luò)入侵系統(tǒng)主機(jī),并有可能登錄其它重要應(yīng)用子系統(tǒng)服務(wù)器或中心數(shù)據(jù)庫服務(wù)器,進(jìn)而對整個電力系統(tǒng)造成很大的威脅。
6.2 人為的惡意攻擊
這是計算機(jī)網(wǎng)絡(luò)所面臨的最大威脅,黑客的攻擊和計算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的可用性和完整性;另一類是被動攻擊,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成直接的極大的危害,并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏和丟失。
6.3 網(wǎng)絡(luò)和系統(tǒng)軟件的漏洞和“后門”
隨著各類網(wǎng)絡(luò)和操作系統(tǒng)軟件的不斷更新和升級,由于邊界處理不善和質(zhì)量控制差等綜合原因,網(wǎng)絡(luò)和系統(tǒng)軟件存在越來越多的缺陷和漏洞,這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)和有利條件,當(dāng)前世界范圍內(nèi)出現(xiàn)黑客攻入企業(yè)網(wǎng)絡(luò)內(nèi)部的事件,大部分就是因?yàn)榘踩刂拼胧┎煌晟扑鶎?dǎo)致的。另外,一些軟件公司的設(shè)計編程人員為了某些原因而設(shè)置軟件“后門”,也有專業(yè)的黑客后門程序,一旦“后門”通過網(wǎng)絡(luò)入侵而植入電力信息內(nèi)網(wǎng)主機(jī),猶如電力系統(tǒng)的信息庫被打開了幾個后門,將會對電力信息網(wǎng)的整體安全產(chǎn)生極大的破壞,對網(wǎng)絡(luò)信息系統(tǒng)造成的后果將不堪設(shè)想。
7 電力信息網(wǎng)絡(luò)系統(tǒng)對電力實(shí)時系統(tǒng)的安全威脅
根據(jù)國家經(jīng)貿(mào)委發(fā)布的《電網(wǎng)和電廠計算機(jī)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全防護(hù)規(guī)定》,各發(fā)、供電企業(yè)和調(diào)度中心的電力監(jiān)控系統(tǒng)不得與辦公信息網(wǎng)絡(luò)直接連接,必須加裝經(jīng)國家有關(guān)部門認(rèn)證的安全隔離設(shè)施,電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)應(yīng)在專用通道上利用專用設(shè)備組網(wǎng),必須保證物理層面上與公用信息網(wǎng)絡(luò)安全隔離。
由于各生產(chǎn)單位具有對電網(wǎng)的控制性,因此當(dāng)黑客通過信息網(wǎng)絡(luò)入侵實(shí)時網(wǎng)絡(luò)系統(tǒng)后,所采用的任何操作,都將對控制的電力設(shè)備產(chǎn)生影響,極有可能對系統(tǒng)產(chǎn)生災(zāi)難性的后果,嚴(yán)重危害電力生產(chǎn)的安全運(yùn)行,因此,必須進(jìn)行安全隔離。這一點(diǎn)在電力生產(chǎn)中已有深刻的教訓(xùn)。
