隨著智能電網建設的逐步展開,信息安全" title="信息安全">信息安全已成為智能電網安全穩定運行的重要基礎,建設統一、合理、安全的信息化設施是智能電網的重要保障。本文介紹了兩個信息安全建設重點,業務網絡的合規審計和Web服務器" title="Web服務器">Web服務器防護。針對網絡特點部署相應的安全審計和防護產品,對于電網防御能力的提升有著重要價值。
1信息安全對智能電網的意義
統一堅強智能電網,其特點是統一和堅強。統一是一種管理模式,也是國家電網公司一直以來努力的方向。實現電網的統一管理,即各環節、各子網的互聯互通,能大大降低管理成本和內部消耗;與此同時,也會帶來潛在的風險,如果沒有足夠的安全措施,一旦某個網絡出現問題,其他網絡必然會受到影響;堅強包括2個方面:一個是具有全面的防御能力,另一個是完善的自我修復能力。統一是基礎,堅強是保障。
智能電網是一種高度自動化的數字化電網,在開放系統和共享信息模式的基礎上,可以通過寬帶通信系統、自動控制系統以及分布式智能設備等,實現電網中各部門的協調和實時互動,以及實時市場化交易,以達到優化電網的管理和運營目的。作為物聯網時代最重要的應用之一,智能電網將給人們的工作和生活方式帶來極大的變革,但是智能電網的開放性和包容性也決定了它不可避免地存在信息安全隱患。針對智能電網的運營特點,其安全需求包括物理安全、網絡安全、數據安全及備份恢復等多個方面。在此,主要討論網絡及數據安全。
2智能電網的安全建設重點
智能電網的安全建設,首先需要提高的就是防御能力,即抗攻擊能力。針對電網的攻擊來源于兩個方面:一方面是來自外部的網絡攻擊、病毒破壞、研究成果遭竊取、電力設施破壞或者篡改電網數據以獲利等諸多危害;另一方面是源于內部:局域網用戶利用工作之便,隨意越權訪問或者修改某些重要數據,訪問非法網站、發布非法言論等違規上網行為將會嚴重威脅企業信息安全,也會給電網帶來不可估量的損失。
針對主要威脅來源,須采取相應措施、維護信息安全。首先進行常規安全建設,例如:在電網各個子網和安全域分別部署入侵檢測和漏洞掃描類產品,了解每臺計算機的漏洞和面臨的威脅。對于有高危漏洞的計算機,及時安裝補丁和防病毒軟件,進行系統加固。在網絡邊界或者內部樞紐地帶,還需要部署常規的防病毒、防火墻、身份認證等產品。基礎建設完畢后,需要對電網的核心業務區域進行重點防護。電網的核心業務區域,包括各個主要業務系統、數據庫服務器以及對外提供服務的網站服務器等,是電網信息資源的集中地帶,其安全性非常重要。在此,主要討論業務網絡的合規審計和Web服務器防護這兩種方法。
2.1業務網合規審計
外部人員的惡意訪問可以通過在網絡邊界部署防火墻、UTM等產品進行防護,但是內部人員違規操作帶來的風險同樣巨大,尤其是針對數據庫、文件服務器的非法數據獲取或篡改,嚴重威脅企業信息安全,影響企業聲譽。國家主管安全機構已充分認識到這個問題的嚴重性,出臺相關政策加強對內部違規行為的審計。公安部等級保護要求,二級以上信息系統中的網絡安全、主機安全、應用安全均要求進行安全審計。因此,需要針對網絡特點采購相應的安全審計產品,審計主要集中在運維操作審計和數據庫訪問審計上。
需監控內網用戶通過Telnet、FTP、SSH、遠程桌面等方式對資源服務器的訪問行為,根據保密性要求,對于文件傳輸和遠程控制等操作,往往采取加密方式進行。因此,對運維類協議的審計能力是考察安全審計產品可用性的一個重要指標。
數據庫是另一個信息資源集中地帶,對數據庫的各種操作及操作結果,均需要進行細粒度審計和控制。目前國內大中型軟件常用的數據庫系統有國產和非國產兩大類,非國產的包括商業數據庫Oracle、DB2、SQL-Server、Informix、Sybase、Teradata,開源數據庫Mysql、PostgreSQL;在政府網絡中,國產數據庫占據很大比重,比如達夢、人大金倉、南大通用等。對于以上各種類型的數據庫協議的解析能力是審計系統需要滿足的另一個指標。
行為審計的一個重要作用是溯源,因此,對于各種訪問行為的記錄和查詢尤為重要,除了協議審計能力外,豐富的審計日志呈現方式以及海量日志的記錄能力也是考核審計系統的主要內容。
隨著智能電網建設的逐步展開,信息安全已成為智能電網安全穩定運行的重要基礎,建設統一、合理、安全的信息化設施是智能電網的重要保障。本文介紹了兩個信息安全建設重點,業務網絡的合規審計和Web服務器防護。針對網絡特點部署相應的安全審計和防護產品,對于電網防御能力的提升有著重要價值。
1信息安全對智能電網的意義
統一堅強智能電網,其特點是統一和堅強。統一是一種管理模式,也是國家電網公司一直以來努力的方向。實現電網的統一管理,即各環節、各子網的互聯互通,能大大降低管理成本和內部消耗;與此同時,也會帶來潛在的風險,如果沒有足夠的安全措施,一旦某個網絡出現問題,其他網絡必然會受到影響;堅強包括2個方面:一個是具有全面的防御能力,另一個是完善的自我修復能力。統一是基礎,堅強是保障。
智能電網是一種高度自動化的數字化電網,在開放系統和共享信息模式的基礎上,可以通過寬帶通信系統、自動控制系統以及分布式智能設備等,實現電網中各部門的協調和實時互動,以及實時市場化交易,以達到優化電網的管理和運營目的。作為物聯網時代最重要的應用之一,智能電網將給人們的工作和生活方式帶來極大的變革,但是智能電網的開放性和包容性也決定了它不可避免地存在信息安全隱患。針對智能電網的運營特點,其安全需求包括物理安全、網絡安全、數據安全及備份恢復等多個方面。在此,主要討論網絡及數據安全。
2智能電網的安全建設重點
智能電網的安全建設,首先需要提高的就是防御能力,即抗攻擊能力。針對電網的攻擊來源于兩個方面:一方面是來自外部的網絡攻擊、病毒破壞、研究成果遭竊取、電力設施破壞或者篡改電網數據以獲利等諸多危害;另一方面是源于內部:局域網用戶利用工作之便,隨意越權訪問或者修改某些重要數據,訪問非法網站、發布非法言論等違規上網行為將會嚴重威脅企業信息安全,也會給電網帶來不可估量的損失。
針對主要威脅來源,須采取相應措施、維護信息安全。首先進行常規安全建設,例如:在電網各個子網和安全域分別部署入侵檢測和漏洞掃描類產品,了解每臺計算機的漏洞和面臨的威脅。對于有高危漏洞的計算機,及時安裝補丁和防病毒軟件,進行系統加固。在網絡邊界或者內部樞紐地帶,還需要部署常規的防病毒、防火墻、身份認證等產品。基礎建設完畢后,需要對電網的核心業務區域進行重點防護。電網的核心業務區域,包括各個主要業務系統、數據庫服務器以及對外提供服務的網站服務器等,是電網信息資源的集中地帶,其安全性非常重要。在此,主要討論業務網絡的合規審計和Web服務器防護這兩種方法。
2.1業務網合規審計
外部人員的惡意訪問可以通過在網絡邊界部署防火墻、UTM等產品進行防護,但是內部人員違規操作帶來的風險同樣巨大,尤其是針對數據庫、文件服務器的非法數據獲取或篡改,嚴重威脅企業信息安全,影響企業聲譽。國家主管安全機構已充分認識到這個問題的嚴重性,出臺相關政策加強對內部違規行為的審計。公安部等級保護要求,二級以上信息系統中的網絡安全、主機安全、應用安全均要求進行安全審計。因此,需要針對網絡特點采購相應的安全審計產品,審計主要集中在運維操作審計和數據庫訪問審計上。
需監控內網用戶通過Telnet、FTP、SSH、遠程桌面等方式對資源服務器的訪問行為,根據保密性要求,對于文件傳輸和遠程控制等操作,往往采取加密方式進行。因此,對運維類協議的審計能力是考察安全審計產品可用性的一個重要指標。
數據庫是另一個信息資源集中地帶,對數據庫的各種操作及操作結果,均需要進行細粒度審計和控制。目前國內大中型軟件常用的數據庫系統有國產和非國產兩大類,非國產的包括商業數據庫Oracle、DB2、SQL-Server、Informix、Sybase、Teradata,開源數據庫Mysql、PostgreSQL;在政府網絡中,國產數據庫占據很大比重,比如達夢、人大金倉、南大通用等。對于以上各種類型的數據庫協議的解析能力是審計系統需要滿足的另一個指標。
行為審計的一個重要作用是溯源,因此,對于各種訪問行為的記錄和查詢尤為重要,除了協議審計能力外,豐富的審計日志呈現方式以及海量日志的記錄能力也是考核審計系統的主要內容。
2.2Web服務器防護
Web服務器上承載了門戶網站、購電交易網站等站點,對外信息提供、與互聯網的資源交互,都發生在這個區域。因此,它也是電網信息化中最脆弱的環節,往往成為黑客攻擊的重點目標。根據賽迪報告,在針對門戶網站的攻擊類型中,SQL注入和XSS漏洞攻擊排在前兩位,以下簡單介紹這兩種攻擊手段。
1)SQL注入攻擊。程序員在編寫代碼的時候,如果沒有對用戶輸入數據的合法性進行判斷,入侵者可以通過構造某些特定輸入數據(包含SQL命令),獲得特殊的權限,竊取Web服務器的后臺數據并加以利用,這就叫SQL注入攻擊。圖1是一次典型的SQL注入攻擊。
2)XSS漏洞利用,即跨站腳本攻擊,入侵者可以在網頁中加入惡意代碼,當訪問者瀏覽網頁時,惡意代碼會被執行,入侵者從而獲得訪問者機密信息。如果訪問者是管理人員,入侵者則可以控制整個網站。圖2是一次XSS攻擊。
由此可見,這兩種入侵是普通的防火墻產品根本無法防御的。因此,部署針對Web服務器的防護工具迫在眉睫。
Web服務器的防護工具主要有WIPS、WAF、WSF等,這些產品部署在Web服務器前端,能深入檢測對Web服務器的攻擊并能即時報警和阻斷,這類產品的主要的考核指標如下:
對于SQL注入和XSS漏洞利用的檢測和阻斷能力;
是否具備針對其他攻擊的檢測能力,從而保證防護的全面性;
為了保證業務系統的運行速度不受影響,事件處理速度、透傳能力等也是主要的考核指標之一。
除了安全審計和Web防護產品,市面上還存在著各種各樣的檢測、隔離和防護產品,有傳統的IDS、漏洞掃描器、防火墻,也有新興的UTM、IPS等產品。這些產品的合理部署,對于電網防御能力的提升有著重要價值。智能電網除了防御能力,還需要有強大的自我修復能力,也就是在數據遭到破壞后能及時修復,能對外持續提供安全的服務。因此,數據的防篡改以及容災備份等建設內容也值得關注。
3結語
構建智能電網的信息安全體系,要有管理與技術并重的安全理念,一方面要強化信息管理和使用人員的安全意識,規范網絡使用行為;另一方面,電網各級信息安全部門還要同心協力,提升安全保障手段,關注現代信息安全技術和安全廠商,有規劃、成體系的部署相應的信息安全產品。
信息安全是一個系統工程,一個安全穩定、能有效抵御內外攻擊的電網是智能電網的基本要求,而安全的統一規劃和部署則是智能電網的系統目標。多種信息安全手段和產品相互配合,互為補充,實現使用價值最大化,這也是統一堅強智能電網的深刻含義。通過各級信息安全部門的共同努力,智能電網的信息化建設水平將會邁上新的臺階。