安全专家谈:论智能电网安全建设重点

随着智能电网建设的逐步展开,信息安全已成为智能电网安全稳定运行的重要基础,建设统一、合理、安全的信息化设施是智能电网的重要保障。本文介绍了两个信息安全建设重点,业务网络的合规审计和Web服务器防护。针对网络特点部署相应的安全审计和防护产品,对于电网防御能力的提升有着重要价值。

1.信息安全对智能电网的意义

统一坚强智能电网,其特点是统一和坚强。统一是一种管理模式,也是国家电网公司一直以来努力的方向。实现电网的统一管理,即各环节、各子网的互联互通,能大大降低管理成本和内部消耗;与此同时,也会带来潜在的风险,如果没有足够的安全措施,一旦某个网络出现问题,其他网络必然会受到影响;坚强包括2个方面:一个是具有全面的防御能力,另一个是完善的自我修复能力。统一是基础,坚强是保障。

智能电网是一种高度自动化的数字化电网,在开放系统和共享信息模式的基础上,可以通过宽带通信系统、自动控制系统以及分布式智能设备等,实现电网中各部门的协调和实时互动,以及实时市场化交易,以达到优化电网的管理和运营目的。作为物联网时代最重要的应用之一,智能电网将给人们的工作和生活方式带来极大的变革,但是智能电网的开放性和包容性也决定了它不可避免地存在信息安全隐患。针对智能电网的运营特点,其安全需求包括物理安全、网络安全、数据安全及备份恢复等多个方面。在此,主要讨论网络及数据安全。

2.智能电网的安全建设重点

智能电网的安全建设,首先需要提高的就是防御能力,即抗攻击能力。针对电网的攻击来源于两个方面:一方面是来自外部的网络攻击、病毒破坏、研究成果遭窃取、电力设施破坏或者篡改电网数据以获利等诸多危害;另一方面是源于内部:局域网用户利用工作之便,随意越权访问或者修改某些重要数据,访问非法网站、发布非法言论等违规上网行为将会严重威胁企业信息安全,也会给电网带来不可估量的损失。

针对主要威胁来源,须采取相应措施、维护信息安全。首先进行常规安全建设,例如:在电网各个子网和安全域分别部署入侵检测和漏洞扫描类产品,了解每台计算机的漏洞和面临的威胁。对于有高危漏洞的计算机,及时安装补丁和防病毒软件,进行系统加固。在网络边界或者内部枢纽地带,还需要部署常规的防病毒、防火墙、身份认证等产品。基础建设完毕后,需要对电网的核心业务区域进行重点防护。电网的核心业务区域,包括各个主要业务系统、数据库服务器以及对外提供服务的网站服务器等,是电网信息资源的集中地带,其安全性非常重要。在此,主要讨论业务网络的合规审计和Web服务器防护这两种方法。

2.1 业务网合规审计

外部人员的恶意访问可以通过在网络边界部署防火墙、UTM等产品进行防护,但是内部人员违规操作带来的风险同样巨大,尤其是针对数据库、文件服务器的非法数据获取或篡改,严重威胁企业信息安全,影响企业声誉。国家主管安全机构已充分认识到这个问题的严重性,出台相关政策加强对内部违规行为的审计。公安部等级保护要求,二级以上信息系统中的网络安全、主机安全、应用安全均要求进行安全审计。因此,需要针对网络特点采购相应的安全审计产品,审计主要集中在运维操作审计和数据库访问审计上。

需监控内网用户通过Telnet、FTP、SSH、远程桌面等方式对资源服务器的访问行为,根据保密性要求,对于文件传输和远程控制等操作,往往采取加密方式进行。因此,对运维类协议的审计能力是考察安全审计产品可用性的一个重要指标。

数据库是另一个信息资源集中地带,对数据库的各种操作及操作结果,均需要进行细粒度审计和控制。目前国内大中型软件常用的数据库系统有国产和非国产两大类,非国产的包括商业数据库Oracle、DB2、SQL-Server、Informix、Sybase、Teradata,开源数据库Mysql、PostgreSQL;在政府网络中,国产数据库占据很大比重,比如达梦、人大金仓、南大通用等。对于以上各种类型的数据库协议的解析能力是审计系统需要满足的另一个指标。

行为审计的一个重要作用是溯源,因此,对于各种访问行为的记录和查询尤为重要,除了协议审计能力外,丰富的审计日志呈现方式以及海量日志的记录能力也是考核审计系统的主要内容。

2.2 Web服务器防护

Web服务器上承载了门户网站、购电交易网站等站点,对外信息提供、与互联网的资源交互,都发生在这个区域。因此,它也是电网信息化中最脆弱的环节,往往成为黑客攻击的重点目标。根据赛迪报告,在针对门户网站的攻击类型中,SQL注入和XSS漏洞攻击排在前两位,以下简单介绍这两种攻击手段。

1)SQL注入攻击。程序员在编写代码的时候,如果没有对用户输入数据的合法性进行判断,入侵者可以通过构造某些特定输入数据(包含SQL命令),获得特殊的权限,窃取Web服务器的后台数据并加以利用,这就叫SQL注入攻击。图1是一次典型的SQL注入攻击。

图1 一次典型的SQL注入攻击过程

2)XSS漏洞利用,即跨站脚本攻击,入侵者可以在网页中加入恶意代码,当访问者浏览网页时,恶意代码会被执行,入侵者从而获得访问者机密信息。如果访问者是管理人员,入侵者则可以控制整个网站。图2是一次XSS攻击。

图2 一次典型的XSS攻击过程

由此可见,这两种入侵是普通的防火墙产品根本无法防御的。因此,部署针对Web服务器的防护工具迫在眉睫。

Web服务器的防护工具主要有WIPS、WAF、WSF等,这些产品部署在Web服务器前端,能深入检测对Web服务器的攻击并能即时报警和阻断,这类产品的主要的考核指标如下:

1)对于SQL注入和XSS漏洞利用的检测和阻断能力;

2)是否具备针对其他攻击的检测能力,从而保证防护的全面性;

3)为了保证业务系统的运行速度不受影响,事件处理速度、透传能力等也是主要的考核指标之一。

除了安全审计和Web防护产品,市面上还存在着各种各样的检测、隔离和防护产品,有传统的IDS、漏洞扫描器、防火墙,也有新兴的UTM、IPS等产品。这些产品的合理部署,对于电网防御能力的提升有着重要价值。智能电网除了防御能力,还需要有强大的自我修复能力,也就是在数据遭到破坏后能及时修复,能对外持续提供安全的服务。因此,数据的防篡改以及容灾备份等建设内容也值得关注。

3.结语

构建智能电网的信息安全体系,要有管理与技术并重的安全理念,一方面要强化信息管理和使用人员的安全意识,规范网络使用行为;另一方面,电网各级信息安全部门还要同心协力,提升安全保障手段,关注现代信息安全技术和安全厂商,有规划、成体系的部署相应的信息安全产品。

信息安全是一个系统工程,一个安全稳定、能有效抵御内外攻击的电网是智能电网的基本要求,而安全的统一规划和部署则是智能电网的系统目标。多种信息安全手段和产品相互配合,互为补充,实现使用价值最大化,这也是统一坚强智能电网的深刻含义。通过各级信息安全部门的共同努力,智能电网的信息化建设水平将会迈上新的台阶。

注释:作者滕文静现任职于启明星辰。