電力調度數據網安全加固技術探討

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了電力調度數據網安全加固技術探討范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：電力調度數據網作為電網生產控制大區最重要的傳輸載體，在電力系統中得到了全面的應用，所面臨的網絡安全風險與日俱增。闡述了對電力調度數據網進行安全加固的必要性，分析了訪問控制、加密認證等安全加固措施的原理、作用及實現方法。最后介紹了安全加固技術在常德電網的應用，驗證了這些措施的安全性和可行性。

關鍵詞：調度數據網；安全加固；網絡安全；生產控制大區

1引言

隨著網絡通信技術的不斷發展進步，電力調度數據網因具有傳輸速度快、傳輸業務多、運行穩定、易于維護、數據傳輸質量高等優勢在電力系統得到了全面推廣，為各種調度數據提供了高效、可靠的傳輸載體。然而，在網絡技術給世界帶來普惠的同時，又迎來了新的挑戰，網絡安全這一問題變得異常突出。近幾年來，通過網絡攻擊電網并進行破壞的事件時有發生。如2015年12月23日，烏克蘭電網遭受惡意軟件/代碼破壞攻擊，導致烏克蘭大面積停電數小時；2016年1月25日，以色列國家電網遭受了勒索病毒攻擊[1]。我國電網同樣面臨各種各樣的網絡安全威脅，電網安全風險與日俱增，除了對電力監控系統防護邊界進行重點防護外，對調度數據網內部進行全面的安全加固，也顯得尤為重要。

2調度數據網簡述

電力調度數據網是傳輸電力生產安全一區、二區信息的專用網絡，主要用于傳輸生產控制大區調度自動化、繼電保護、相量測量裝置、電能計量、故障錄波、光/風功率預測等電網數據，具有高可靠性、實時性、安全性、易維護等特點。目前，國家調度數據網已建成國調數據網、網調（區域）數據網、省調數據網和地區調度數據網四級網絡，四級網絡之間通過國調一平面、國調二平面進行數據通信，構成一個龐大的數據交互系統。

3調度數據網安全加固

除采用專用網絡、部署縱向加密裝置、劃分邏輯隔離的實時子網和非實時子網外，調度數據網的配置缺陷很容易被攻擊者利用，成為系統的安全隱患。依據最小化原則、分權制衡原則和安全隔離原則，對調度數據網絡中的路由器、交換機等網絡設備進行安全加固，能減少非授權訪問、惡意篡改等威脅的發生。

3.1網絡訪問控制

3.1.1基于角色的訪問控制。調度數據網的本地或遠程管理服務采用基于角色的訪問控制模型，設置審計、管理和安全三種角色，每種角色可以完成特定的功能。將用戶權限與角色相關聯，按照最小化原則，不同用戶根據其職能和職責被賦予相應的角色。3.1.2基于任務的訪問控制。訪問控制列表（ACL）能實現遠程登錄、遠程管理控制及IP地址過濾。對網絡設備的遠程登錄、遠程管理進行限制，只有受信任的網絡地址才可以登錄到網絡設備或進行遠程管理，防止攻擊者非法登錄網絡設備或非法進行設備管理。IP地址過濾是對允許訪問的源地址與目的地址進行限制，不在控制列表中的源地址禁止訪問指定目的地址，防止從外部發起的網絡攻擊。創建遠程登錄控制列表：3.1.3基于端口的訪問控制。每個應用程序對應一個端口號，客戶端通過端口訪問服務端的應用程序，端口使用端口號進行標記，一個IP地址端口范圍從0至65535。在調度數據網中引入基于端口的訪問控制，禁止445、135、139等高危端口訪問調度數據網。

3.2關閉空閑接口與禁用不必要的服務

調度數據網的配置必須遵循最小化原則，關閉網絡設備上未使用的物理接口，禁用HTTP、HTTPS、FTP、DHCP、TELNET等不安全的網絡服務，以避免網絡服務或網絡協議自身存在漏洞增加網絡的安全風險。TELNET遠程登錄協議傳輸的數據和口令采用明文形式，攻擊者利用中間人身份很容易獲得口令和數據，而SSH是安全的加密協議，傳輸的數據和口令采用加密形式，調度數據網應優先采用SSH協議替代TELNET協議進行遠程登錄后的調試與維護。電力調度數據網的IP地址都進行了科學、合理的規劃，網絡設備、業務主機都不需要動態獲取IP地址，而且DHCP協議在設計上不具有任何防御惡意攻擊的功能，與客戶端之間沒有安全認證機制，因此調度數據網絡與連接調度數據網的主機必須禁用DHCP協議。

3.3引入CHAP認證與MD5加密算法

CHAP是三次握手驗證協議，在網絡中不是直接傳輸密碼而是通告HASH值，比PAP二次握手認證具有更好的安全性。在調度數據網中引入CHAP認證，只有通過認證，才能建立點到點的連接，否則設備之間無法建立連接，從物理層面阻止了非法接入網絡。MD5是信息摘要算法，一種被廣泛應用的密碼散列函數，該算法具有長度固定、易計算、細微性、不可逆性等特點。利用散列算法對設備上的MD5認證密碼進行散列運算，產生出一個128位的散列值與從對端網絡設備傳輸過來的散列值進行對比，如果兩個散列值一致，便認為認證是正確的[2]。加密算法的流程如圖2所示。調度數據網OSPF、BGP協議采用MD5加密認證，兩個相鄰的路由器在路由更新時進行散列值對比，當雙方散列值不一致時無法建立OSPF、BGP鄰居，從路由協議層面阻止了非法接入。

3.4關閉網絡邊界OSPF路由功能

不參與OSPF選路的邊界網絡設備應關閉OSPF路由功能。一是防止內部路由信息被攻擊者獲取、利用；二是防止攻擊者冒充合法路由器與網絡邊界路由器建議鄰居關系，并攻擊邊界路由器輸入大量鏈路狀態廣播，引導路由器形成錯誤的網絡拓撲結構，從而導致整個網絡的路由表紊亂，導致整個網絡癱瘓。

3.5實現安全的用戶登錄與管理

在網絡設備上創建本地與遠程登錄用戶時，其口令必須滿足復雜性要求，即同時包含大小寫字母、數字及特殊字符，且口令長度不低于8位，不同用戶設置不同的口令，根據角色賦予用戶不同權限，刪除默認賬戶和測試用戶，口令在配置中必須密文存儲，口令應定期進行更新（一般為90天）。開啟賬號鎖定功能，連續輸入錯誤密碼超過限定次數時，賬號將自動被鎖定。調度數據網網管系統的登錄必須采用密碼與實物相結合（UKEY、指紋等生物標志）的認證方式，即雙因子認證[3]。網絡設備應設置CONSOLE和遠程登錄后超過5分鐘無動作自動退出，重新登錄必須再次進行認證。

3.6開啟日志與安全審計功能

在網絡設備上配置SNMP網絡管理協議時，禁止使用COMMUNITY默認通行字，SNMP協議應選擇V2及以上安全的版本。網絡設備啟用日志審計功能，并配置遠程日志服務器IP地址，定期對日志服務器上的日志進行異地備份。

3.7端口綁定與接口安全

端口綁定是通過“MAC地址+IP地址+端口”綁定功能，實現設備對轉發報文的過濾控制。如果報文中的源MAC、源IP地址與所設定的MAC、IP相同，端口將轉發該報文，否則丟棄該報文。通過在交換機的接口上部署接口安全策略，可以限制接口的MAC地址學習數量。部署了接口安全的接口可以將其學習到的MAC地址變為安全MAC地址，從而阻止除了安全地址外的其他MAC地址通過該接口接入網絡[4]。

3.8調度數據網的其他加固措施

加強調度數據網設備軟件版本的管理，及時升級存在安全缺陷的版本，刪除網絡設備上WEB、WLAN等不安全的配置。在調度數據網的網管服務器、瀏覽器或客戶端上安裝防病毒軟件，并及時對病毒特征庫進行離線升級。關閉網管服務器上的高危端口和服務，禁止安裝不安全的軟件等也是調度數據網安全加固的重要組成部分。

4安全加固取得的成效

通過對常德地區調度數據網進行全方位安全加固，使該地區網絡安全等級保護測評得分顯著提升，網絡安全管控平臺告警數量明顯降低，網絡安全防護指標得到了極大改善。同時，加固后的網絡延遲、包丟失率和收斂時間等網絡關鍵性能指標影響很小，各項指標均優于電網企業同業對標要求，完全滿足電網安全運行的需要。

5結語

針對電力調度數據網的安全薄弱環節，深入開展了安全加固技術分析和研究。提出了訪問控制、關閉網絡邊界OSPF路由及加密認證等安全加固措施，結合電網實際，對調度數據網進行了全方面安全加固。測試結果表明，加固后的網絡安全水平顯著提升，網絡性能未受到影響，所承載的所有業務通信正常。

參考文獻：

[1]趙俊華，梁高琪，文福拴，等.烏克蘭事件的啟示：防范針對電網的虛假數據注入攻擊[J].電力系統自動化，2016，40（7）：149.

[2]張裔智，趙毅，湯小斌.MD5算法研究[J].計算機科學，2008，35（7）：295.

[3]王振鐸，王振輝，張慧娥，等.新型雙因子認證系統[J].計算機系統應用，2016，25（1）：70.

[4]朱仕耿.HCNP路由交換學習指南[M].北京：人民郵電出版社，2017.

作者:龍立波 姜學皎 李干 劉立恩 單位:國網常德供電公司 國網湖南省電力檢修公司 國網邵陽供電公司