浅谈电力市场技术支持系统的网络系统的构成及其网络信息安全解决方案

浅谈电力市场技术支持系统的网络系统的构成及其网络信息安全解决方案

摘要:提出了符合电力市场技术支持系统的网络信息安全解决方案。首先对电力市场技术支持系统的网络系统进行说明,通过对网络信息安全隐患的分析,指出了设计安全方案的原则与策略,最后提出了电力市场技术支持系统与能量管理系统(EMS)、电量计量(TMR)系统、调度管理信息系统(MIS)等系统安全互联网络结构的具体方案。

关键词:网络信息安全 电力市场技术支持系统 方案

0 引言

随着我国电力行业信息现代化进程的加快,基于计算机网络的各种电力应用也随之发展起来,例如竞价上网、负荷预报、实时调度等。网络开放,使网络应用日渐广泛、服务质量和效率大大提高的同时,网络安全问题也显得日益突出。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。电力市场技术支持系统的安全[1~3]是一项比较复杂的信息系统项目,它涉及安全技术和安全管理两大范畴。就安全技术而言,它又涵盖了现代通信技术、计算机技术、网络技术、密码技术等,是一项跨学科的综合性信息系统工程。它是安全功能(包括物理安全、运行安全、报价及交易信息安全)要求及安全保护等级最高的电力系统计算机网络。本文以省级电力市场技术支持系统的安全建设为背景,对网络信息安全[4~6]进行分析与探讨,力求以安全、可靠、可控和适应性强的安全技术来完成电力市场技术支持系统的网络建设。

1 电力市场技术支持系统的体系结构省级电力市场技术支持系统是以电力调度交易中心为中心点,覆盖面向供电局、发电厂的计算机网络与应用系统,是一个涵盖主机、网络、数据库、应用软件等复杂的决策支持系统。其主链路是电力网的异步传输模式(ATM)光纤网络,在中心以155Mbit/s的ATM方式接入,而在各个厂站端则以E1的帧中继方式接入,以消除中心接入的瓶颈;对于光纤网络暂时不可达的地域,则以电力微波(电力专线)为主链路,带宽采用2Mbit/s,以确保厂站端的高速接入。为保证技术支持系统通信的万无一失,采用“主备分离”的原则,在备份链路上,对地市级的供电局采用电信系统的综合业务数字网(ISDN)作为主链路备份;对偏远的电厂,则采用电信系统的公用交换电话网(PSTN)作为主链路备份。从物理层上保证广域通信的畅通,以及通信链路的冗余。电力市场技术支持系统的中心侧网络选用世界一流的网络厂商Cisco公司高端设备来构建,采用的是当今流行的千兆以太网技术,以及VLAN划分和VLAN路由技术,以高速交换和高度冗余的能力将中心侧的能量管理系统(EMS)局域网、电量计量(TMR)系统局域网和调度管理信息系统(MIS)局域网融成一个整体。电力市场技术支持系统的厂站侧网络由竞价上网局域网和电厂MIS局域网2部分组成。其中,报价工作站通过广域网将厂站端的电价进行上报,同时访问交易中心的WWW服务器信息,随时了解最新的电价动态。各厂站端的WWW服务器可以互相访问,但各厂站端的数据库是被安全隔离的。厂站端的MIS通过路由方式接入本地竞价上网局域网,并将本地MIS数据与数据库服务器进行数据交互。厂站端的网络结构也是采用Cisco公司的高端千兆交换机Catalyst4006为核心,配置以高性能的三层路由模块,完成VLAN间的路由和安全访问控制;并选用中高端的Cisco3660完成与中心侧的广域连接。

2 电力市场技术支持系统的安全设计原则系统的安全性是一个复杂的课题。电力市场技术支持系统是运行于广域网上的系统,其网络的安全性包含诸多复杂的、难以预料的问题。安全设计必须保护系统的数据、程序、设备和网络部件的安全, 使其免遭损坏、误用及未经授权的使用和恶意的攻击等,同时也必须保证需要时网络能够提供必要的服务。这些要求需通过网络操作系统提供的安全工具、实施系统设计中的冗余以及通过必要的物理屏障阻止非授权人员访问系统部件等方法来实现。

2.1 计算机网络安全整体原则在网络被攻击、破坏的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括以下3种机制:a.安全防护机制:根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施,避免非法攻击的进行。b.安全监测机制:监测系统的运行情况,及时发现和制止对系统进行的各种攻击。c.安全恢复机制:在安全防护机制失效的情况下,进行应急处理,尽量及时地恢复信息,减少攻击的破坏程度。

2.2 安全意识第一的原则安全技术再高明,如果不被重视,计算机网络安全产品也就成了摆设。提高安全意识不仅是系统管理员的事情,而且是领导以及全体员工的事情。

2.3 有效性、实用性和稳定性原则安全系统不能影响系统的正常运行和合法用户的操作。稳定性是计算机网络安全产品最为重要的方面。没有稳定性,计算机网络安全产品本身就会成为安全隐患。网络中的信息安全和信息共享是一对矛盾:一方面,为弥补系统缺陷和健全系统,会采取多种技术手段和管理措施;另一方面,势必给系统的运行及用户的使用造成负担和麻烦,尤其在网络环境下,实时性要求很高的业务不能容忍安全连接及安全处理造成的时延和数据扩张。如何在确保安全性的基础上把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量与计算量,是一个信息安全设计者应该解决的主要问题。

2.4 信息安全的木桶原则“木桶的最大容积取决于最脆弱的一块木板”。网络信息系统是一个复杂的计算机系统,它自身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”,必然攻击系统中最薄弱的地方。因此,需要充分、全面、完整地对系统的安全漏洞及安全威胁进行分析、评估和检测(包括模拟攻击),以提高整个系统“安全最低点”的安全性能。

2.5 有的放矢、各取所需原则实际上,因为网络系统的设计受到经费的限制,所以,在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。电力部门侧重于身份认证、安全防护、网络容错、信息加密和物理隔离等功能。必须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。

2.6 权限分割、互相制约、最小化原则在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,其安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此,有必要对系统超级用户的权限加以限制,实现特权最小化原则。管理权限交叉,由几个管理用户来动态地控制系统的管理,实现互相制约。而普通用户,则实现操作权限最小原则,不允许其进行非授权以外的操作。

2.7 自主和可控性原则计算机网络安全与保密问题关系着一个国家的主权和安全,所以计算机网络安全产品不可能完全从国外进口。因此,必须解决计算机网络安全产品的自主权和自控权问题,建立我国自主的计算机网络安全产品和产业。同时,为了防止安全技术被不正当的用户使用,必须采取相应的措施,例如密钥托管技术等,对其进行控制。

2.8 信息安全系统的“动态化”原则整个系统内尽可能引入更多的可变因素,并具有良好的扩展性。如果被加密信息在被破译之前就失去了保密的必要性,即使加密算法不是牢不可破的,被保护的信息也是安全的。因此,被加密信息的生存期越短、可变因素越多,系统的安全性能就越高,如周期性地更换口令和主密钥,安全传输采用一次性的会话密钥,动态选择和使用加密算法等。另一方面,由于各种密码攻击和破译手段在不断发展,用于破译运算的资源和设备性能也在迅速提高,因此,所谓的“安全”,也只是相对的和暂时的,不存在一劳永逸的信息安全系统,应该根据攻击手段的发展进行相应的更新和升级。

2.9 信息安全系统的“等级性”原则良好的信息安全系统必然分为不同级别。包括:对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权限分级(面向个人或面向群组);对计算机网络安全程度分级(内网、非军事区或外网);对系统实现结构分级(应用层、网络层、链路层等)。针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中各种不同层次的实际需求。

2.10 设计为本的原则安全和保密系统的设计应与网络设计相结合。如果考虑不周,不仅会造成经济上的巨大损失,而且也会对系统造成无法挽回的损失。因此,必须群策群力搞好设计,才能保证安全性。

3 电力市场技术支持系统的安全体系在设计省级电力市场技术支持系统时,以安全设计原则为指导思想,采用多种措施,从调度中心侧、广域网、电厂侧3级进行安全体系设计。

3.1 调度中心侧网络的安全体系设计a.调度中心侧虚拟局域网(VLAN)划分与设计:将不同的应用逻辑隔离开,使得不同应用间的通信完全在管理者的控制范围之内,只有在权限允许范围之内的VLAN间才能通信。b.访问控制列表(ACL——access control list)的设计:ACL是控制不同VLAN、不同网段间进行访问时所采用的一种包过滤技术,包括标准ACL技术和扩展ACL技术2类。c.核心交换机端口与服务器媒体接入控制(MAC)地址的绑定:只有具备指定MAC地址的服务器和客户机才能从交换机的指定端口传输数据。d.在调度中心侧和电厂侧采用北京天融信公司的硬件防火墙:采用硬件防火墙的目的是将调度中心侧和电厂侧安全隔离。对于调度中心侧,对进入内网的数据包进行严格过滤,并随着应用的需求不断调整防范策略。e.基于Cisco ACS的TACACS+安全认证:考虑到调度中心移动办公系统及电力市场拨号备份安全认证的需要,在调度中心侧采用Cisco Secure ACS软件作为TA