论文部分内容阅读
【摘 要】进入新世纪后,网络技术获得了突飞猛进的发展,推进了我国信息化建设工作的开展,从过去传统的有线+固定的接入方式,转变为无线+移动接入方式与之并存的局面,无线化、智能化已成为未来通信技术的发展趋势。而随着无线通信方式的大量应用,由之产生的信息传播安全也逐渐为社会各界所关注和重视。以国家电网为例,由于企业规模和业务覆盖范围的影响,建成了国内位居前列的无线虚拟专网,具有保密性强、性能高、应用广泛的显著特点,为视频、图像、数据和语音等多媒体信息的传输和共享提供了坚实的技术支撑。
【关键词】电力;无线专网;安全技术;防护方式
1无线专网概述
目前为止,正在使用的无线网络分为两种,一种是通过运营商通信网实现的无线网络,比如4G,3G或GPRS等技术;另外一种就是局域网络,也就是我们所说的WiFi。本文主要讲述的无线网络是后一种局域网络,也是熟知的Wi-Fi技术。无线网络的发展与普及正在改变现在网络的架构,从最初的802.11a到如今的802.11ac,传输速率及调制方式均有大幅的提升,但企业网对网络安全及业务管控的要求均是现有无线技术所欠缺的。相对于有线网络来说,无线网络只是依靠电波来传送与接收,开放的网络环境使入侵者可以通过高灵敏的接收设备来进行破坏与入侵。所以,很可能造成内部资源信息的泄露,同时,一旦接入企业无线局域网,黑客通过简单的方法即可获得此网中站点的MAC地址,然后利用这些MAC伪装地址进行更进一步的欺骗攻击。当然,无线网络在用户上网的全过程都有相应的安全机制,从用户接入认证到认证过后上网过程的行为管控审计,再到针对外部网络攻击进行主动防御,多维度保障用户上网的安全性和整体网络的安全性。由于采用无线接入方式,导致网络存在大量的安全隐患,因此,必须采取科学、合理的措施,以便提高电力无线专网的安全性,降低安全事件出现的几率和影响范围。对于电力无线专网来说,其网络范围从电力安全防护设备到通信运营商无线通信设备为止,本文重点研究的是电力网络侧的无线专网的安全技术。
2电力无线专网建设必要性
电力载波通信、租用运营商专用网络接入是解决变电站现场网络覆盖问题的早期方式。该种方式主要存在以下问题:(1)无线网络连接不稳定,对于位置较为偏僻的厂站,运营商的无线网络无法实现全面有效的覆盖;(2)通信传输带宽不足,难以支撑作业现场对运维业务实时通信的要求;(3)故障处理不及时,对运营商的依赖导致网络故障处理的时效性存在众多不可控因素;(4)网络信息不安全,将电力系统运维数据与公众信息数据置身于同一公共网络中传输,存在较大的信息安全隐患。电力无线专网的建设,可以充分满足电力通信网络在传输速率、带宽、稳定性以及信息安全性等方面的要求,进而在此基础上开展继电保护设备及二次回路的智能移动运维业务。
3电力企业网络信息安全的现状
3.1防范措施不足
伴随着信息技术进步及互联网技术成熟,网络犯罪率呈逐年递增趋势。即便电力企业初步构建相应的网络信息安全防范体系,但是企业内部网络信息仍存在着较多的安全隐患,例如:人员管理、防病毒系统、访问控制、身份认证、数据传输加密及职工安全意识等。从总体电力信息网络角度来看,部分企业间网络信息安全存在不均衡性等问题,其网络利用率较高且安全问题较多,尤其是安全级别较低的业务风险较高。例如:美国乔治亚洲的Hatch核电厂2号机组发生自动停电事件,由于当时一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息,当工程师重启该计算机时,同步程序重置了控制网络的相关数据,使得控制系统以反应堆储水库水位突然下降,自动关闭了整个机组,由于防范措施不足,并没有及时有效的采取相关措施给予维护。
3.2内部威胁较多
在信息技术蓬勃发展的大背景下,企业网络信息安全防范工作得到越来越多从业人员的关注及重视,客观上要求电力企业结合现存问题积极构建具有企业特色的网络信息安全防范机制,确保其网络信息的安全性。即便电力企业初步建立相应的安全防范机制,但是其内部网络信息风险仍无法彻底被消除,尤其是管理人员方面工作。
4电力无线专网的信息安全防护手段
4.1电力企业侧的信息安全防护手段
(1)划分安全区域。电力无线专网边界合理划分其安全区域,确定网络边界,各个安全区域要运用针对性的信息安全防护手段,针对进入到信息内网域中的数据信息提供全方位有效的安全防护手段,完成访问控制,攻击检测,传输加密以及终端认证工作。(2)访问控制。边界接入装置中根据其源地址设置访问控制,严禁不同的APN业务之间互相访问。利用防火墙设置合理有效的业务访问策略确保专网域到网络边界域的访问控制。(3)安全隔离。该技术主要通过采用各种手段对外来攻击进行阻止,以消除信息系统的威胁,将足够的安全隔离技术配备到电力系统中,以确保电力系统信息的稳定安全,具体包括:1)物理隔离方法,通常指最基础的系统信息隔离技术,即将系统的内部和外部网络通过物理学方法进行直接或间接的分离,在此基础上进行实时监控;2)协议隔离,电力信息系统内部和外部网络通过协议隔离器的使用实现两者间的彻底分离,据此确保系统内部网络免于外来入侵;3)身份认证,包括登陆口令、密码登陆、指纹识别、智能卡片等识别方式,通过输入特定用户信息,实施身份识别技术完成对信息的识别过程,无误后才有浏览权限;4)防火墙应用,防火墙技术的结构具体如图1所示,主要包括过滤路由器、电流层及应用层网关。(4)安全防御与入侵检测。边界要设置好入侵检测系统与防火墙,进而保证有效抵制DOS攻击以及恶意代码,实现网络行为的实时化监控,实现网络攻击的实时化检测。(5)安全审计。边界安全装置必须做好日志审计记录工作,从而为网络安全评估提供可靠科学地根据。(6)隧道加密传输。通过将安全接入设备和无线终端之间构建起专用的安全加密信道来提高信息数据传输的安全性,避免信息内容外泄造成安全事件。(7)接入控制。构建和完善无线专网的身份认证系统,对需要访问无线专网的用户实施相应的认证,拒绝未经授权的用户访问无限专网。同时,无线专网内的信息业务系统通过一定的技术手段来验证接入网络用户的终端硬件特征,最大限度的提高安全防护水平。
4.2运营商的安全防护手段
(1)网络接入安全防护。运用专用型APN接入业务终端,由运营商对电力无线专网SIM卡进行授权,授权之后合法的SIM卡能够对电力无线专网进行访问,严禁对互联网与其余网络进行访问。(2)APN访问控制。严禁相同APN的终端互访,严禁不同APN終端之间的访问。(3)专属通道与隔离。通过VRF技术实现电力无线专网用户以及其余用户的路由隔离。采取MPLSVPN、GRE以及L2TP之类技术实现电力无线专网信息数据于运营商网络中的传输工作,确保专用网络隔离的安全性。
5结束语
总而言之,无线专网的大量应用,虽然极大的方便了业务工作的开展,但也随之带来了显著的安全问题。为了有效的提升无线专网的安全性水平,一方面需要加大硬件防护设备方面的投入,另一方面也必须注重安全防护策略的制定和实施。只有双管齐下,才能取得预期的效果。
(作者单位:国网山东省电力公司淄博供电公司)
【关键词】电力;无线专网;安全技术;防护方式
1无线专网概述
目前为止,正在使用的无线网络分为两种,一种是通过运营商通信网实现的无线网络,比如4G,3G或GPRS等技术;另外一种就是局域网络,也就是我们所说的WiFi。本文主要讲述的无线网络是后一种局域网络,也是熟知的Wi-Fi技术。无线网络的发展与普及正在改变现在网络的架构,从最初的802.11a到如今的802.11ac,传输速率及调制方式均有大幅的提升,但企业网对网络安全及业务管控的要求均是现有无线技术所欠缺的。相对于有线网络来说,无线网络只是依靠电波来传送与接收,开放的网络环境使入侵者可以通过高灵敏的接收设备来进行破坏与入侵。所以,很可能造成内部资源信息的泄露,同时,一旦接入企业无线局域网,黑客通过简单的方法即可获得此网中站点的MAC地址,然后利用这些MAC伪装地址进行更进一步的欺骗攻击。当然,无线网络在用户上网的全过程都有相应的安全机制,从用户接入认证到认证过后上网过程的行为管控审计,再到针对外部网络攻击进行主动防御,多维度保障用户上网的安全性和整体网络的安全性。由于采用无线接入方式,导致网络存在大量的安全隐患,因此,必须采取科学、合理的措施,以便提高电力无线专网的安全性,降低安全事件出现的几率和影响范围。对于电力无线专网来说,其网络范围从电力安全防护设备到通信运营商无线通信设备为止,本文重点研究的是电力网络侧的无线专网的安全技术。
2电力无线专网建设必要性
电力载波通信、租用运营商专用网络接入是解决变电站现场网络覆盖问题的早期方式。该种方式主要存在以下问题:(1)无线网络连接不稳定,对于位置较为偏僻的厂站,运营商的无线网络无法实现全面有效的覆盖;(2)通信传输带宽不足,难以支撑作业现场对运维业务实时通信的要求;(3)故障处理不及时,对运营商的依赖导致网络故障处理的时效性存在众多不可控因素;(4)网络信息不安全,将电力系统运维数据与公众信息数据置身于同一公共网络中传输,存在较大的信息安全隐患。电力无线专网的建设,可以充分满足电力通信网络在传输速率、带宽、稳定性以及信息安全性等方面的要求,进而在此基础上开展继电保护设备及二次回路的智能移动运维业务。
3电力企业网络信息安全的现状
3.1防范措施不足
伴随着信息技术进步及互联网技术成熟,网络犯罪率呈逐年递增趋势。即便电力企业初步构建相应的网络信息安全防范体系,但是企业内部网络信息仍存在着较多的安全隐患,例如:人员管理、防病毒系统、访问控制、身份认证、数据传输加密及职工安全意识等。从总体电力信息网络角度来看,部分企业间网络信息安全存在不均衡性等问题,其网络利用率较高且安全问题较多,尤其是安全级别较低的业务风险较高。例如:美国乔治亚洲的Hatch核电厂2号机组发生自动停电事件,由于当时一位工程师正在对该厂业务网络中的一台计算机(用于采集控制网络的诊断数据)进行软件更新,以同步业务网络与控制网络中的数据信息,当工程师重启该计算机时,同步程序重置了控制网络的相关数据,使得控制系统以反应堆储水库水位突然下降,自动关闭了整个机组,由于防范措施不足,并没有及时有效的采取相关措施给予维护。
3.2内部威胁较多
在信息技术蓬勃发展的大背景下,企业网络信息安全防范工作得到越来越多从业人员的关注及重视,客观上要求电力企业结合现存问题积极构建具有企业特色的网络信息安全防范机制,确保其网络信息的安全性。即便电力企业初步建立相应的安全防范机制,但是其内部网络信息风险仍无法彻底被消除,尤其是管理人员方面工作。
4电力无线专网的信息安全防护手段
4.1电力企业侧的信息安全防护手段
(1)划分安全区域。电力无线专网边界合理划分其安全区域,确定网络边界,各个安全区域要运用针对性的信息安全防护手段,针对进入到信息内网域中的数据信息提供全方位有效的安全防护手段,完成访问控制,攻击检测,传输加密以及终端认证工作。(2)访问控制。边界接入装置中根据其源地址设置访问控制,严禁不同的APN业务之间互相访问。利用防火墙设置合理有效的业务访问策略确保专网域到网络边界域的访问控制。(3)安全隔离。该技术主要通过采用各种手段对外来攻击进行阻止,以消除信息系统的威胁,将足够的安全隔离技术配备到电力系统中,以确保电力系统信息的稳定安全,具体包括:1)物理隔离方法,通常指最基础的系统信息隔离技术,即将系统的内部和外部网络通过物理学方法进行直接或间接的分离,在此基础上进行实时监控;2)协议隔离,电力信息系统内部和外部网络通过协议隔离器的使用实现两者间的彻底分离,据此确保系统内部网络免于外来入侵;3)身份认证,包括登陆口令、密码登陆、指纹识别、智能卡片等识别方式,通过输入特定用户信息,实施身份识别技术完成对信息的识别过程,无误后才有浏览权限;4)防火墙应用,防火墙技术的结构具体如图1所示,主要包括过滤路由器、电流层及应用层网关。(4)安全防御与入侵检测。边界要设置好入侵检测系统与防火墙,进而保证有效抵制DOS攻击以及恶意代码,实现网络行为的实时化监控,实现网络攻击的实时化检测。(5)安全审计。边界安全装置必须做好日志审计记录工作,从而为网络安全评估提供可靠科学地根据。(6)隧道加密传输。通过将安全接入设备和无线终端之间构建起专用的安全加密信道来提高信息数据传输的安全性,避免信息内容外泄造成安全事件。(7)接入控制。构建和完善无线专网的身份认证系统,对需要访问无线专网的用户实施相应的认证,拒绝未经授权的用户访问无限专网。同时,无线专网内的信息业务系统通过一定的技术手段来验证接入网络用户的终端硬件特征,最大限度的提高安全防护水平。
4.2运营商的安全防护手段
(1)网络接入安全防护。运用专用型APN接入业务终端,由运营商对电力无线专网SIM卡进行授权,授权之后合法的SIM卡能够对电力无线专网进行访问,严禁对互联网与其余网络进行访问。(2)APN访问控制。严禁相同APN的终端互访,严禁不同APN終端之间的访问。(3)专属通道与隔离。通过VRF技术实现电力无线专网用户以及其余用户的路由隔离。采取MPLSVPN、GRE以及L2TP之类技术实现电力无线专网信息数据于运营商网络中的传输工作,确保专用网络隔离的安全性。
5结束语
总而言之,无线专网的大量应用,虽然极大的方便了业务工作的开展,但也随之带来了显著的安全问题。为了有效的提升无线专网的安全性水平,一方面需要加大硬件防护设备方面的投入,另一方面也必须注重安全防护策略的制定和实施。只有双管齐下,才能取得预期的效果。
(作者单位:国网山东省电力公司淄博供电公司)