摘要: 提出了符合电力市场技术支持系统的网络信息安全解决方案。首先对电力市场技术支持系统的网络系统进行说明, 通过对网络信息安全隐患的分析, 指出了设计安全方案的原则与策略, 最后提出了电力市场技术支持系统与能量管理系统(EMS)、 电量计量(TMR)系统、 调度管理信息系统(M IS)等系统安全互联网络结构的具体方案。
0 引言
随着我国电力行业信息现代化进程的加快, 基于计算机网络的各种电力应用也随之发展起来, 例如竞价上网、 负荷预报、 实时调度等。 网络开放, 使网络应用日渐广泛、 服务质量和效率大大提高的同时,网络安全问题也显得日益突出。 无论是有意的攻击,还是无意的误操作, 都将会给系统带来不可估量的损失。
电力市场技术支持系统的安全[1~ 3 ]是一项比较复杂的信息系统项目, 它涉及安全技术和安全管理两大范畴。 就安全技术而言, 它又涵盖了现代通信技术、 计算机技术、 网络技术、 密码技术等, 是一项跨学科的综合性信息系统工程。 它是安全功能(包括物理安全、 运行安全、 报价及交易信息安全)要求及安全保护等级最高的电力系统计算机网络。
本文以省级电力市场技术支持系统的安全建设为背景, 对网络信息安全[4~ 6 ]进行分析与探讨, 力求以安全、 可靠、 可控和适应性强的安全技术来完成电力市场技术支持系统的网络建设。
1 电力市场技术支持系统的体系结构
省级电力市场技术支持系统是以电力调度交易中心为中心点, 覆盖面向供电局、 发电厂的计算机网络与应用系统, 是一个涵盖主机、 网络、 数据库、 应用软件等复杂的决策支持系统。其主链路是电力网的异 步 传 输 模 式 (ATM ) 光 纤 网 络, 在 中 心 以155Mbitö s的ATM 方式接入, 而在各个厂站端则以E1 的帧中继方式接入, 以消除中心接入的瓶颈; 对于光纤网络暂时不可达的地域, 则以电力微波(电力专线)为主链路, 带宽采用 2Mbitö s, 以确保厂站端的高速接入。
为保证技术支持系统通信的万无一失, 采用 “主备分离” 的原则, 在备份链路上, 对地市级的供电局采用电信系统的综合业务数字网( IS DN)作为主链路备份; 对偏远的电厂, 则采用电信系统的公用交换电话网(PSTN)作为主链路备份。 从物理层上保证广域通信的畅通, 以及通信链路的冗余。
电力市场技术支持系统的中心侧网络选用世界一流的网络厂商Cisco 公司高端设备来构建, 采用的是当今流行的千兆以太网技术, 以及VLAN 划分和VLAN 路由技术, 以高速交换和高度冗余的能力将中心侧的能量管理系统(EMS)局域网、 电量计量(TMR)系统局域网和调度管理信息系统(M IS)局域网融成一个整体。
电力市场技术支持系统的厂站侧网络由竞价上网局域网和电厂M IS局域网 2 部分组成。其中, 报价工作站通过广域网将厂站端的电价进行上报, 同时访问交易中心的WWW 服务器信息, 随时了解最新的电价动态。各厂站端的WWW 服务器可以互相访问, 但各厂站端的数据库是被安全隔离的。 厂站端的M IS通过路由方式接入本地竞价上网局域网, 并将本地M IS数据与数据库服务器进行数据交互。厂站端的网络结构也是采用Cisco 公司的高端千兆交换机Ca ta lyst4006 为核心, 配置以高性能的三层路由模块, 完成VLAN 间的路由和安全访问控制; 并选用中高端的Cisco3660 完成与中心侧的广域连接。
2 电力市场技术支持系统的安全设计原则
系统的安全性是一个复杂的课题。电力市场技术支持系统是运行于广域网上的系统, 其网络的安全性包含诸多复杂的、 难以预料的问题。 安全设计必须保护系统的数据、 程序、 设备和网络部件的安全,使其免遭损坏、 误用及未经授权的使用和恶意的攻击等, 同时也必须保证需要时网络能够提供必要的服务。这些要求需通过网络操作系统提供的安全工具、 实施系统设计中的冗余以及通过必要的物理屏障阻止非授权人员访问系统部件等方法来实现。
2 . 1 计算机网络安全整体原则
在网络被攻击、 破坏的情况下, 必须尽可能快地恢复网络信息中心的服务, 减少损失。因此, 信息安全系统应该包括以下3 种机制:
a. 安全防护机制: 根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施, 避免非法攻击的进行。
b . 安全监测机制: 监测系统的运行情况, 及时发现和制止对系统进行的各种攻击。
c . 安全恢复机制: 在安全防护机制失效的情况下, 进行应急处理, 尽量及时地恢复信息, 减少攻击的破坏程度。
2 . 2 安全意识第一的原则
安全技术再高明, 如果不被重视, 计算机网络安全产品也就成了摆设。提高安全意识不仅是系统管理员的事情, 而且是领导以及全体员工的事情。
2 . 3 有效性、 实用性和稳定性原则
安全系统不能影响系统的正常运行和合法用户的操作。稳定性是计算机网络安全产品最为重要的方面。 没有稳定性, 计算机网络安全产品本身就会成为安全隐患。网络中的信息安全和信息共享是一对矛盾: 一方面, 为弥补系统缺陷和健全系统, 会采取多种技术手段和管理措施; 另一方面, 势必给系统的运行及用户的使用造成负担和麻烦, 尤其在网络环境下, 实时性要求很高的业务不能容忍安全连接及安全处理造成的时延和数据扩张。如何在确保安全性的基础上把安全处理的运算量减小或分摊, 减少用户记忆、 存储工作和安全服务器的存储量与计算量, 是一个信息安全设计者应该解决的主要问题。
2 . 4 信息安全的木桶原则
“木桶的最大容积取决于最脆弱的一块木板” 。网络信息系统是一个复杂的计算机系统, 它自身在物理上、 操作上和管理上的种种漏洞构成了系统的安全脆弱性, 尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是 “最易渗透原则” , 必然攻击系统中最薄弱的地方。 因此, 需要充分、 全面、 完整地对系统的安全漏洞及安全威胁进行分析、 评估和检测(包括模拟攻击) , 以提高整个系统“安全最低点” 的安全性能。
2 . 5 有的放矢、 各取所需原则
实际上, 因为网络系统的设计受到经费的限制,所以, 在考虑安全问题解决方案时必须考虑性能价格的平衡, 而且不同的网络系统所要求的安全侧重点各不相同。电力部门侧重于身份认证、 安全防护、网络容错、 信息加密和物理隔离等功能。 必须有的放矢, 具体问题具体分析, 把有限的经费花在刀刃上。
2 . 6 权限分割、 互相制约、 最小化原则
在很多系统中都有一个系统超级用户或系统管理员, 拥有对系统全部资源的存取和分配权, 其安全至关重要, 如果不加以限制, 有可能由于超级用户的恶意行为、 口令泄密、 偶然破坏等对系统造成不可估量的损失和破坏。 因此, 有必要对系统超级用户的权限加以限制, 实现特权最小化原则。管理权限交叉,由几个管理用户来动态地控制系统的管理, 实现互相制约。而普通用户, 则实现操作权限最小原则, 不允许其进行非授权以外的操作。
2 . 7 自主和可控性原则
计算机网络安全与保密问题关系着一个国家的主权和安全, 所以计算机网络安全产品不可能完全从国外进口。 因此, 必须解决计算机网络安全产品的自主权和自控权问题, 建立我国自主的计算机网络安全产品和产业。 同时, 为了防止安全技术被不正当的用户使用, 必须采取相应的措施, 例如密钥托管技术等, 对其进行控制。
2 . 8 信息安全系统的 “动态化” 原则
整个系统内尽可能引入更多的可变因素, 并具有良好的扩展性。如果被加密信息在被破译之前就失去了保密的必要性, 即使加密算法不是牢不可破的, 被保护的信息也是安全的。因此, 被加密信息的生存期越短、 可变因素越多, 系统的安全性能就越高, 如周期性地更换口令和主密钥, 安全传输采用一次性的会话密钥, 动态选择和使用加密算法等。 另一方面, 由于各种密码攻击和破译手段在不断发展, 用于破译运算的资源和设备性能也在迅速提高, 因此,所谓的 “安全” , 也只是相对的和暂时的, 不存在一劳永逸的信息安全系统, 应该根据攻击手段的发展进行相应的更新和升级。
2 . 9 信息安全系统的 “等级性” 原则
&
