电力市场技术支持系统网络信息安全技术

提出了符合电力市场技术支持系统的网络信息安全解决方案。首先对电力市场技术支持系统的网络系统进行说明,通过对网络信息安全隐患的分析,指出了设计安全方案的原则与策略最后提出了电力市场技术支持系统与能量管理系统(EMS)、电量计量(TMR)系统、调度管理信息系统(MIS)等系统安全互联网络结构的具体方案。

0 引言

随着我国电力行业信息现代化进程的加快,基于计算机网络的各种电力应用也随之发展起来,例如竞价上网、负荷预报、实时调度等。网络开放,使网络应用日渐广泛、服务质量和效率大大提高的同时,网络安全问题也显得日益突出。无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。电力市场技术支持系统的安全[1~3]是一项比较复杂的信息系统项目,它涉及安全技术和安全管理两大范畴。就安全技术而言,它又涵盖了现代通信技术、计算机技术、网络技术、密码技术等,是一项跨学科的综合性信息系统工程。它是安全功能(包括物理安全、运行安全、报价及交易信息安全)要求及安全保护等级最高的电力系统计算机网络。本文以省级电力市场技术支持系统的安全建设为背景,对网络信息安全[4~6]进行分析与探讨,力求以安全、可靠、可控和适应性强的安全技术来完成电力市场技术支持系统的网络建设。

1 电力市场技术支持系统的体系结构省级电力市场技术支持系统是以电力调度交易中心为中心点,覆盖面向供电局、发电厂的计算机网络与应用系统,是一个涵盖主机、网络、数据库、应用软件等复杂的决策支持系统。其主链路是电力网的异步传输模式(ATM)光纤网络,在中心以155Mbit/s的ATM方式接入,而在各个厂站端则以E1的帧中继方式接入,以消除中心接入的瓶颈;对于光纤网络暂时不可达的地域,则以电力微波(电力专线)为主链路,带宽采用2Mbit/s,以确保厂站端的高速接入。为保证技术支持系统通信的万无一失,采用“主备分离”的原则,在备份链路上,对 地市级的供电局采用电信系统的综合业务数字网(ISDN)作为主链路备份;对偏远的电厂,则采用电信系统的公用交换电话网(PSTN)作为主链路备份。从物理层上保证广域通信的畅通,以及通信链路的冗余。电力市场技术支持系统的中心侧网络选用世界一流的网络厂商Cisco公司高端设备来构建,采用的是当今流行的千兆以太网技术,以及VLAN划分和VLAN路由技术,以高速交换和高度冗余的能力将中心侧的能量管理系统(EMS)局域网、电量计量(TMR)系统局域网和调度管理信息系统(MIS)局域网融成一个整体。电力市场技术支持系统的厂站侧网络由竞价上网局域网和电厂MIS局域网2部分组成。其中,报价工作站通过广域网将厂站端的电价进行上报,同时访问交易中心的WWW服务器信息,随时了解最新的电价动态。各厂站端的WWW服务器可以互相访问,但各厂站端的数据库是被安全隔离的。厂站端的MIS通过路由方式接入本地竞价上网局域网,并将本地MIS数据与数据库服务器进行数据交互。厂站端的网络结构也是采用Cisco公司的高端千兆交换机Catalyst4006为核心,配置以高性能的三层路由模块,完成VLAN间的路由和安全访问控制;并选用中高端的Cisco3660完成与中心侧的广域连接。

2 电力市场技术支持系统的安全设计原则系统的安全性是一个复杂的课题。电力市场技术支持系统是运行于广域网上的系统,其网络的安全性包含诸多复杂的、难以预料的问题。安全设计必须保护系统的数据、程序、设备和网络部件的安全, 使其免遭损坏、误用及未经授权的使用和恶意的攻击等,同时也必须保证需要时网络能够提供必要的服务。这些要求需通过网络操作系统提供的安全工具、实施系统设计中的冗余以及通过必要的物理屏障阻止非授权人员访问系统部件等方法来实现。

2.1 计算机网络安全整体原则在网络被攻击、破坏的情况下,必须尽可能快地恢复网络信息中心的服务,减少损失。因此,信息安全系统应该包括以下3种机制:a.安全防护机制:根据具体系统存在的各种安全漏洞和安全威胁采取相应的防护措施,避免非法攻击的进行。b.安全监测机制:监测系统的运行情况,及时发现和制止对系统进行的各种攻击。c.安全恢复机制:在安全防护机制失效的情况下,进行应急处理,尽量及时地恢复信息,减少攻击的破坏程度。

2.2 安全意识第一的原则安全技术再高明,如果不被重视,计算机网络安全产品也就成了摆设。提高安全意识不仅是系统管理员的事情,而且是领导以及全体员工的事情。

2.3 有效性、实用性和稳定性原则安全系统不能影响系统的正常运行和合法用户的操作。稳定性是计算机网络安全产品最为重要的方面。没有稳定性,计算机网络安全产品本身就会成为安全隐患。网络中的信息安全和信息共享是一对矛盾:一方面,为弥补系统缺陷和健全系统,会采取多种技术手段和管理措施;另一方面,势必给系统的运行及用户的使用造成负担和麻烦,尤其在网络环境下,实时性要求很高的业务不能容忍安全连接及安全处理造成的时延和数据扩张。如何在确保安全性的基础上把安全处理的运算量减小或分摊,减少用户记忆、存储工作和安全服务器的存储量与计算量,是一个信息安全设计者应该解决的主要问题。

2.4 信息安全的木桶原则“木桶的最大容积取决于最脆弱的一块木板”。网络信息系统是一个复杂的计算机系统,它自身在物理上、操作上和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”,必然攻击系统中最薄弱的地方。因此,需要充分、全面、完整地对系统的安全漏洞及安全威胁进行分析、评估和检测(包括模拟攻击),以提高整个系统“安全最低点”的安全性能。

2.5 有的放矢、各取所需原则实际上,因为网络系统的设计受到经费的限制,所以,在考虑安全问题解决方案时必须考虑性能价格的平衡,而且不同的网络系统所要求的安全侧重点各不相同。电力部门侧重于身份认证、安全防护、网络容错、信息加密和物理隔离等功能。必须有的放矢,具体问题具体分析,把有限的经费花在刀刃上。

2.6 权限分割、互相制约、最小化原则在很多系统中都有一个系统超级用户或系统管理员,拥有对系统全部资源的存取和分配权,其安全至关重要,如果不加以限制,有可能由于超级用户的恶意行为、口令泄密、偶然破坏等对系统造成不可估量的损失和破坏。因此,有必要对系统超级用户的权限加以限制,实现特权最小化原则。管理权限交叉,由几个管理用户来动态地控制系统的管理,实现互相制约。而普通用户,则实现操作权限最小原则,不允许其进行非授权以外的操作。

2.7 自主和可控性原则计算机网络安全与保密问题关系着一个国家的主权和安全,所以计算机网络安全产品不可能完全从国外进口。因此,必须解决计算机网络安全产品的自主权和自控权问题,建立我国自主的计算机网络安全产品和产业。同时,为了防止安全技术被不正当的用户使用,必须采取相应的措施,例如密钥托管技术等,对其进行控制。

2.8 信息安全系统的“动态化”原则整个系统内尽可能引入更多的可变因素,并具有良好的扩展性。如果被加密信息在被破译之前就失去了保密的必要性,即使加密算法不是牢不可破的,被保护的信息也是安全的。因此,被加密信息的生存期越短、可变因素越多,系统的安全性能就越高,如周期性地更换口令和主密钥,安全传输采用一次性的会话密钥,动态选择和使用加密算法等。另一方面,由于各种密码攻击和破译手段在不断发展,用于破译运算的资源和设备性能也在迅速提高,因此,所谓的“安全”,也只是相对的和暂时的,不存在一劳永逸的信息安全系统,应该根据攻击手段的发展进行相应的更新和升级。

2.9 信息安全系统的“等级性”原则良好的信息安全系统必然分为不同级别。包括:对信息保密程度分级(绝密、机密、秘密、普密);对用户操作权限分级(面向个人或面向群组);对计算机网络安全程度分级(内网、非军事区或外网);对系统实现结构分级(应用层、网络层、链路层等)。针对不同级别的安全对象,提供全面、可选的安全算法和安全体制,以满足网络中各种不同层次的实际需求。

2.10 设计为本的原则安全和保密系统的设计应与网络设计相结合。如果考虑不周,不仅会造成经济上的巨大损失,而且也会对系统造成无法挽回的损失。因此,必须群策群力搞好设计,才能保证安全性。

3 电力市场技术支持系统的安全体系在设计省级电力市场技术支持系统时,以安全设计原则为指导思想,采用多种措施,从调度中心侧、广域网、电厂 侧3级进行安全体系设计。

3.1 调度中心侧网络的安全体系设计a.调度中心侧虚拟局域网(VLAN)划分与设计:将不同的应用逻辑隔离开,使得不同应用间的通信完全在管理者的控制范围之内,只有在权限允许范围之内的VLAN间才能通信。b.访问控制列表(ACL——access control list)的设计:ACL是控制不同VLAN、不同网段间进行访问时所采用的一种包过滤技术,包括标准ACL技术和扩展ACL技术2类。c.核心交换机端口与服务器媒体接入控制(MAC)地址的绑定:只有具备指定MAC地址的服务器和客户机才能从交换机的指定端口传输数据。d.在调度中心侧和电厂侧采用北京天融信公司的硬件防火墙:采用硬件防火墙的目的是将调度中心侧和电厂侧安全隔离。对于调度中心侧,对进入内网的数据包进行严格过滤,并随着应用的需求不断调整防范策略。e.基于Cisco ACS的TACACS+安全认证:考虑到调度中心移动办公系统及电力市场拨号备份安全认证的需要,在调度中心侧采用Cisco Secure ACS软件作为TACACS+服务器,实现口令认证。通过它统一对调度中心侧所有的拨号访问服务进行AAA认证。f.在Catalyst6509中增加入侵检测系统(IDS)模块:为进一步保护来自外界对核心系统的黑客攻击,尤其是透过核心交换机对核心服务器的攻击,在Catalyst6509交换机上加装IDS模块。它的最大特点是:对来自任意VLAN或网段的攻击,只要“入侵”经过Catalyst6509交换机,它就能及时报警,并将警报信息实时反馈到后台的Director服务器上。g.基于网络扫描的Cisco Secure Scanner系统:选用Scanner软件系统,由系统管理员定期在内网或外网对核心交换机和核心服务器进行安全漏洞扫描,以便及时发现安全隐患,及早采用补救措施,提高系统抵御黑客攻击的能力。

3.2 广域网的安全体系设计a. IPSec的网络加密:在数据传输中采用具备IPSec功能的Cisco路由器IOS软件版本。IPSec是一系列加密技术中加密标准定义的集合,IPSec在IP层实现安全。所有在广域网传输的数据均可经过IPSec加密/解密。b.申请永久虚电路(PVC)的广域帧中继:广域链路设计是点对点的PVC,调度中心侧与每一个电厂侧通过一条PVC明确了双方的广域链路,从而建立起电力调度市场的专网。c.路由协议的认证交换措施:Cisco的IOS软件支持路由协议的认证交换,也就是说,在交换路由协议时进行认证,只有具备相同认证密钥的域才能交换路由协议。采用这种方法可以实现只有省级电力调度数据网中的路由设备才彼此交换路由信息。d. ISDN/PSTN的呼叫认证措施:当电厂侧发起ISDN/PSTN备份呼叫时,首先必须经过TACACS+服务器的安全认证,以防止非授权用户的非法入侵。

3.3 电厂侧网络的安全体系设计电厂侧网络的安全体系与调度中心侧的安全体系同样重要,采取的策略也相同,归纳起来有:a.基于应用的VLAN划分。b.与VLAN路由结合在一起的ACL策略。c.核心服务器和报价工作站的MAC地址与交换机端口进行绑定。d.从内网或外网用Scanner系统进行安全网络扫描,随时监视网络可能产生的漏洞,并及时补救。

3.4 各系统与电力市场的接入策略

3.4.1 EMS与电力市场的接入按照原国家电力公司的要求,EMS应具有军事级的安全。同时,EMS又要与电力市场的实时调度系统进 行快速数据存取。连接方案如图1所示。

具体实施方式是:a.选择两台硬件防火墙(配置成并行模式),防火墙的一个网段与EMS所在的VLAN进行连接, 另一个网段与电力市场其他数据库集群系统所在的VLAN进行连接。因EMS是双网段,所以,两台防火墙分别连接到不同的网段,同时工作,互为备份。b.电力市场实时调度系统服务器和硬件防火墙EMS端的IP地址从现有的EMS中获得,确保EMS与电力市场实时调度系统在同一个网段,它们之间的数据交换不需要经过路由。c.电力市场实时调度系统服务器的网关指向硬件防火墙EMS端的IP,进一步简化对现有EMS的改动;而在电力市场的内网段有一条通往EMS的静态路由,其指向电力市场实时调度系统服务器,从而确保对EMS的数据存取将不影响EMS的安全运行。

3.4.2 TMR系统与电力市场的接入TMR系统与电力市场的关系是:电力市场从TMR系统中读取数据,但TMR系统不能从电力市场读取数据。针对该特殊的安全要求,采用图2所示的安全连接策略。

在该方案中,设计了一台系统网关服务器,该服务器具备双网卡,一块网卡与TMR系统网段连接,另一块网卡与电力市场网段连接。为确保既从TMR系统读取数据,又防止黑客的入侵,在系统网关服务器运行一个“独立开发”的数据存取软件,在TMR系统与电力市场系统之间进行数据交换。

3.4.3 调度MIS与电力市场的接入调度MIS与电力市场的关系是:电力市场向调度MIS广播非保密数据,调度MIS不能直接访问电力市场数据。因此,采用“路由”的方式与电力市场进行连接,具体实施方式是:a.在调度MIS的Catalyst5500交换机上划分一个电力市场VLAN,在电力市场系统的C atalyst6509交换机上划分一个调度MIS VLAN,它们之间用100 Mbit/s链路进行连接。b.由电力市场提供一个独立的网段用于连接调度MIS和电力市场:在调度MIS的Catalyst5500三层模块上配置一个IP地址;在电力市场系统的Catalyst6509三层模块上配置另一个IP地址,使得调度MIS和电力市场采用“路由”进行通信。c.在调度MIS的Catalyst5500三层模块上配置一条指向“电力市场”的静态路由,同时,在电力市场系统的Catalyst6509三层模块上配置一条指向“调度MIS”的静态路由,在网络层保证两个系统的通信。d.为确保系统的安全,在电力市场系统的Catalyst6509三层模块上配置ACL安全访问控制策略。

3.4.4 厂站端与电力市场中心侧的接入各厂站端的电力市场是整个省级电力市场的一部分,除了保证电力市场中心侧与各个厂站端安全隔离外,也要保证各个电厂之间的安全隔离,连接方案如图3所示。

具体措施方案如下:a.采用硬件防火墙在中心侧和各个厂站端之间进行安全隔离,只对厂站端放开WWW端口和基于应用的通信中间件端口。b.在中心侧的路由器上进行“路由过滤”,确保各个厂站端只能得到中心侧WWW网段的路由,在节约广域带宽的同时也避免了各个厂站端之间路由的相互学习。

3.4.5 厂站端MIS与厂站端电力市场报价系统的接入厂站端MIS与厂站端电力市场报价系统之间的关系是:既有信 息的访问,又有数据的读取,与“省级调度MIS与省级电力市场的关系”相同。因此,仍采用“路由”的方式进行连接。连接方案在此不做详细描述。

3.5 网络防病毒系统的建设计算机病毒在网络中存储、传播、感染的方式各异,而且途径多种多样,其危害性特别大。单纯的网络安全设计无法对病毒进行防范。在构建电力市场技术支持系统网络防病毒系统时,通过建立完整的防病毒体系,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略。具体而言,就是针对网络中所有可能的病毒攻击,设置对应的防毒软件,通过全方位、多层次的防毒系统配置,使网络中不存在病毒入侵的薄弱环节。同时,所有的管理手段都可以集中在一个电力调度交易中心控制台上进行统一的管理和配置。限于篇幅,在此不做详细描述。

4 建立统一的安全控制管理平台在电力系统数字化建设的过程中,电力公司有多套应用系统在独立运行,而且每一套系统都有自己的安全体系,因而在管理上存在繁琐问题。由于这些因素的存在,使系统管理显得混乱,因而需要用统一的安全控制管理平台来进行操作员管理、权限管理、日志管理的整合。统一的安全控制管理平台中的身份认证过程为:操作员首先进入身份验证平台,插入身份小钥匙,并输入口令,系统根据小钥匙中存储的CA认证信息和输入的口令进行双因素身份验证,当2种验证都通过后,才能进入相应的电力应用系统。由于电力行业中的各个应用系统往往都是自成一子网,各个子网内部和子网之间存在着不同厂家的网络安全产品,管理起来相当繁琐。因此,统一的安全控制管理平台的一项重要功能是监视和管理不同厂商安全产品的运行情况,发现问题及时报警;另一项重要功能是传送中间件和安全中间件。统一的安全控制管理平台是电力行业应用系统安全控制的最终解决方案,它为电力行业客户提供了统一的身份验证、权限管理、安全日志管理、网络安全设备的控制管理和数据的安全可靠传送,它将随着安全产品的完善而成为现实。当然,电力市场技术支持系统的安全解决方案不是一成不变的,而将随着安全技术的发展和电力市场的技术需求而不断完善、不断改进。我们将用发展的眼光来看待今天的网络安全,力求使电力市场技术支持系统最大限度地为市场经济服务。

参考文献

1 黄永皓,尚金成(Huang Yonghao, Shang Jincheng).电力市场运营模式研究及其技术支持系统设计(Power Market OperationMode Research and Technical Support System Design).北京:科学出版社(Beijing: Science Press),1999

2 尚金成,黄永皓(Shang Jincheng, Huang Yonghao).电力市场理论研究与应用(Research on Electricity Market Theory and ItsApplications).北京:中国电力出版社(Beijing:China Elhttp:// /dljs/2012/0403/lw201204031858036377-3.htmlectricPower Press),2002

3 尚金成,黄永皓(Shang Jincheng, Huang Yonghao).电力市场技术支持系统设计与关键技术研究(Design and Key Technology ofElectricity Market Operation System).北京:中国电力出版社(Beijing: China Electric Power Press),2002

4 陈彦学(Chen Yanxue).信息安全理论与实务(Theories andPractices of Information Safety).北京:中国铁道出版社(Beijing:Chinese Railroad Press),2001

5 林海波(Lin Haibo).网络安全与防火墙技术(Network Safety andFirewall).北京:清华大学出版社(Beijing:Tsinghua UniversityPress),2000

6 胡 炎,董名垂,韩英铎(Hu Yan, Dong Minchui, Han Yingduo).电力工业信息安全的思考(Secure Solution for Electric IndustryInformation System).电力系统自动化(Automation of ElectricPower Systems),2002,26(7):1~4