摘要：本文通过对建立电力实时数据网络安全机制的原则的讨论，从物理隔离、数据备份、多级网管、防御病毒、防火墙及数据加密、数字认证诸方面进行了深入分析，提出了建立电力实时数据网络安全机制的全面解决方案。文章同时指出，除技术因素外，管理制度和人员素质也是影响网络安全的重要因素。

关键词：电力实时数据网络、安全机制

一、绪言
　　近年来，全球的数据网络正以令人惊奇的速度发展，为信息的交流和经济的发展提供了高效的工具和便利的平台。随着电力建设的飞速发展，电力实时数据网络也迅速扩大，正在向全面覆盖所有的电力企业迈进，一个数字化的电力系统正向我们走来。电力调度自动化系统、配电自动化系统、电量计费系统、电力市场技术支持系统及交易系统、电力客户服务中心系统、变电站自动化系统、发电厂监控系统、MIS系统等，无一不是以高速的数据传输与交换为基本手段而建设的。电力实时数据通信网络利用因特网的工具和平台，在提高数据传输效率、减少开发维护工作量的同时，也带来了新的问题，这就是内部机密信息在网络上的泄密、以及被攻击破坏等。近年来已有多个此类案例发生，给电力企业的安全生产和管理带来了直接的威胁，有的已造成了严重的损失。所有这些，向有关部门敲响了警钟：同公用信息网一样，电力企业内部实时数据网络的信息安全同样也必须得到重视和加强。国家经贸委最近颁发的《电网与电厂计算机监控系统及调度数据网络安全防护规定》，就是专门针对这些现象而出台的有力防护措施。以下以主要服务于电力生产和管理的电力实时数据传输网络为例，着重探讨如何建立维护网络安全机制的原则和需要采取的主要措施。

二、建立电力实时数据网络安全机制时需考虑的原则
　　从理论上讲，虽然不可能建立绝对安全和保密的电力实时数据网络系统，但如果在建设之初就遵从一些合理的原则，那么相应的安全性和保密性会得到大大提升。从工程技术角度出发，在设计电力数据网络的安全机制时，应该遵循以下原则：

　　原则之一：安全与保密的“木桶原则”；需考虑对网络数据信息均衡、全面地进行安全保护。“木桶的最大容积取决于最短的一块木板”。电力实时数据网络系统本身在物理上、操作上和管理上的种种漏洞构成了系统安全的脆弱环节，尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透原则”，必然会在系统中最薄弱的地方实施攻击。因此，充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测（包括模拟攻击），是设计信息安全系统的必要前提条件。安全机制和安全服务设计的首要目的是防止最常用手段的攻击；根本目标是提高整个系统的“安全最低点”的安全性能。

　　原则之二：网络信息安全系统的“整体性原则”，综合考虑安全防护、监测和应急恢复。网络信息没有绝对的安全与保密，因此要求在网络发生被攻击、破坏的情况下，必须尽可能快地恢复网络信息中心的服务，减少损失。所以信息安全系统应该包括三种机制：安全防护机制、安全监测机制、安全恢复机制。

　　原则之三：信息安全系统的“有效性与实用性”原则，不能影响系统的正常运行和合法用户的操作。网络的信息安全和信息共享存在着矛盾：一方面，为健全和弥补系统缺陷的漏洞，会采取多种技术手段和管理措施；另一方面，这些手段和措施势必给系统的运行和用户的使用造成负担和麻烦，尤其在网络环境下，实时性要求很高的业务不能容忍安全连接和安全处理造成的时延和数据扩张。如何在确保安全性的基础上，把安全处理的运算量减小或分摊，减少用户记忆、存储工作和安全服务器的存储量、计算量，应该是一个信息安全设计者主要解决的问题。

　　原则之四：信息安全系统的“安全性评价”原则，实用安全性与用户需求和应用环境紧密相关。 除了并不实用的一次一密码体制，所有的密码算法在理论上都是不安全的。因此，评价信息安全系统是否安全，没有绝对的评判标准和衡量指标，只能决定于系统的用户需求和具体的应用环境。总的来看，主要取决于以下几个因素：1）系统的规模和范围（比如，局部性的中小型网络和全国范围的大型网络对信息安全和保密的需求肯定是不同的）；2）系统的性质和信息的重要程度（比如，商业性的信息网络、实时监视控制的信息网络、电子金融性质的通信网络、行政公文性质的管理系统等等对安全与保密的需求也各不相同）。另外，具体的用户会根据实际应用提出一定的需求，如强调运算实时性或注重信息完整性和真实性等等。

　　原则之五：信息安全系统的“等级性”原则，区分安全层次和安全级别。良好的信息安全系统是分为不同级别的，包括：对信息保密程度分级（绝密、机密、秘密、普密）、对用户操作权限分级（面向个人、面向群组、面向公众等）、对网络安全程度分级（安全子网、安全区域）、对系统实现结构的分级（应用层、网络层、链路层）等，从而针对不同级别的安全对象，提供全面的、可选的安全算法和机制，以满足网络中不同层次的实际需求。

　　原则之六：信息安全系统的“动态化”原则，整个系统尽可能引入更多的可变因素，并具有良好的扩展性。如果加密信息在被破译之前就失去了保密的必要性，即使加密算法不是牢不可破或难以攻破的，被保护的信息也是安全的。因此，被加密信息的生存期越短、可变因素越多，系统的安全性能就越高，如周期性的更换口令和主密钥，安全传输采用一次性的会话密钥，动态选择和使用加密算法等。另一方面，各种密码攻击和破译手段是在不断发展的，用于破译运算的资源和设备性能也在迅速提高，因此，所谓的“安全”也只是相对的和暂时的，不存在一劳永逸的信息安全系统，应该根据攻击手段的发展进行相应的更新和升级。

　　原则之七：设计为本原则，安全与保密系统的设计应与网络设计相结合。即在网络进行总体设计时考虑安全系统的设计，二者合二为一。避免因考虑不周，出了问题之后拆东墙补西墙，不仅造成经济上的巨大损失，而且也会对国家、集体和个人造成无法挽回的损失。由于安全与保密问题是一个相当复杂的问题，因此必须群策群力搞好设计，才能保证安全性。

　　原则之八：自主和可控性原则。网络安全与保密问题关系着一个国家的主权和安全，所以网络安全产品不可能完全依赖于从国外进口，必须解决网络安全产品的自主权和自控权问题，尽量采用有自主产权的安全产品。同时为了防止安全技术被不正当使用，必须采取相应的控制措施，如密钥托管技术等。

　　原则之九：权限分割、互相制约、最小化原则。在很多系统中都有一个系统超级用户或系统管理员，拥有对系统全部资源的存取和分配权，所以其安全至关重要，如果不加以限制，有可能由于超级用户的恶意行为、口令泄密、偶然破坏、大意疏忽等对系统造成不可估量的损失和破坏。因此有必要对系统超级用户权限加以限制，按权限最小化原则分配权限，并使管理权限交叉，由多个管理用户来动态地控制系统的管理，实现互相制约。而对于非管理用户即普通用户，则按权限最小原则，不允许其进行非授权以外的操作。

　　原则之十：有的放矢、各取所需原则。安全无价，但是网络系统的建设是受经费限制的。因此在考虑安全问题解决方案时必须考虑性能价格的平衡，而且不同的网络系统所要求的安全侧重点各不相同。有的侧重于存取控制强度，有的侧重于身份认证、审计、网络容错，有的侧重于实时性和准确性。因此必须有的放矢，具体问题具体分析，把有限的经费花在刀刃上。

　　以上设计原则可以在一定程度上为电力实时数据网络安全与保密系统的设计提供参考。随着技术的进步和社会和发展，各种新的设计原则还将会层出不穷，应注意随时吸纳。以下对主要的网络安全措施予以分析探讨。

三、 安全措施之一：物理隔离
　　互联网的特点是国际化、开放和多台计算机互联，而安全和开放永远是一对矛盾。虽然，目前可以利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联网的非法入侵，但至今这些手段都还存在漏洞，还不能彻底保证内部网络信息的绝对安全，只有使内部网络和公共网络“物理隔离”，才能真正保证内部网络不受攻击。此外，物理隔离也为企业内部网划定了明确的安全边界，使得网络的可控性增强，便于内部管理。
信息安全的目标是保障信息系统安全有效地运行，实施物理隔离的目的在于保障秘密信息在系统中能安全有效地存储和传输。

3．1 采取物理隔离措施的必要性
　　通常使用的防火墙设备是为网络出入节点所设计的最主要的网络监控和安全设备，但类似的常规性网络安全防护产品已不能满足某些重要或敏感信息、包括电力实时数据网络信息的保密需求。为保证这些重要信息在处理、传输和存贮过程中的安全保密性，目前所能采取的最好的解决方法就是建立一个与外部完全隔绝的内部网络。

　　物理隔离技术是近几年出现的安全保密手段，它解决了重要单位及要害部门对信息保密性的突出需求，已成为网络安全保密体系中不可缺少的重要环节。

3．2 物理隔离的含义
　　物理隔离技术是指内部信息网络不和外部信息网络相连、从物理上断开的技术。这种方法基本杜绝了因为网络互通互连所造成的外部攻击或内部泄密的可能。

3．3 物理隔离的作用
　　网络安全的其它的措施，如防火墙、防病毒系统，有接近半数被破坏过。因此必须有一道绝对安全的大门，来保证涉密网的信息不被泄漏和破坏，这就是物理隔离所起到的作用。物理隔离是电力实时数据网络安全的必要保证。

3．4 物理隔离的技术发展
　　第一代技术只是将两台计算机合并到一个机箱中使用，这种采用两套主板、芯片、网卡和硬盘的系统，只是节约了用户一个电源和显示器的投资而已。

　　第二代技术以双硬盘隔离和网络隔离技术为主，采用两个硬盘各自安装一个操作系统，在内、外不同的网络环境中独立启动一个硬盘，以达到单机分离接入不同网络的目的。

　　以上两代技术对用户来说都不是很方便，往往需要通过繁复的切换才能在双网内工作，而且还无法在两个工作区内拷贝文件。第三代技术则克服了以上缺点，在一台计算机上安装两个互相独立的操作系统。用户可以根据自己的需要在不同的网络环境（内网或外网）中自由切换，并且在任何一种网络环境下，用户只能对该网络中的信息进行处理。除此之外，操作时感受不到任何区别。

　　第三代技术的工作原理是，通过对单个硬盘上磁道的读写控制技术，在一个硬盘上分隔出两个工作区间，这两个区间无法互相访问。同时该卡可提供一个第三分区，通过读写技术允许数据从外网分区向内网分区单向流动，方便了用户从互联网上下载数据。单硬盘物理隔离卡能在不增加其它任何硬件和软件成本、不用对系统重新设置的情况下，实现单台计算机连接内外两个网络替代用独立的两套计算机网络实施的物理隔离方案，完全杜绝了各种可能的内部及外部网络的攻击或泄密的情况。即使是软盘及调制解调器这类通常无法控制的接入方式都可以处于网络管理员的严格监控之下。而且，不同网络环境下的信息可以在网络管理人员的监控下进行交换，解决了物理隔离之后某些信息无法安全地进行交换处理的问题。

3．5 物理隔离的防护分类
　　网络物理隔离主要在如下几个方面进行防护：

3．5．1 客户端的物理隔离
　　现在应用最多的是客户端的物理隔离方案，这种方案用于解决网络的客户端的信息安全问题。假定某机构的网络已经分为了两个网络，一个是内部涉密网，一个是外部公共网，内部涉密网用于工作于安全的涉密环境，不与外部网络有任何的连接；外部公共网则是开放的，可以连接Internet等公网以获取及发布信息。在网络的客户端应用物理隔离卡产品可以使一台计算机既可连接内网又可连接外网，可在内外网上分时工作，同时绝对保证内外网之间物理隔离，起到了方便工作、节约资源等目的。

3．5．2 集线器级的物理隔离
　　集线器级的物理隔离产品需要与客户端的物理隔离产品结合起来应用，可以在客户端的内外双网的布线上使用一条网络线来通过远端切换器连接内外双网，实现一台工作站连接内外两个网络的目的，并在网络布线上避免了客户端计算机要用两条网络线连接网络。

3．5．3 服务器端的物理隔离
　　服务器端的物理隔离产品是一种新的高级隔离技术，它通过复杂的软硬件技术实现了在服务器端的数据过滤和传输任务，其技术关键是在同一时刻内外网络没有物理上的数据连通，但又快速分时地处理并传递数据。

四、 安全措施之二：数据备份
4．1目前数据管理存在的问题
　　这些问题主要表现在：
　　（1） 数据管理工作难以形成制度化，数据丢失现象时常发生；

　　（2） 数据分散在不同的机器、不同的应用上，管理分散，安全得不到保障；

　　（3）难以实现数据库数据的高效在线备份；

　　（4）储存媒体管理困难；

　　（5）历史数据保留困难。

4．2数据备份的重要性
　　随着计算机网络建设的深入，数据变得越来越举足轻重，如何有效地管理网络系统数据日益成为保障系统正常运行的关键环节。然而网络上的数据格式不一，物理位置分布广泛，应用分散，数据量大，造成了数据难以有效地管理，这给日后的工作带来诸多隐患。因此，建立一套制度化的数据备份系统有着非常重要的意义。

4．3数据备份的含义
　　数据备份是指通过在网络中选定一台机器作为数据备份的管理服务器，在其它机器上安装客户端软件，从而将整个网络的数据自动备份到与备份服务器相连的储存设备上，并在备份服务器上为各个备份客户端建立相应的备份数据的索引表，利用索引表自动驱动存储介质来实现数据的自动恢复。如有意外事件发生，如系统崩溃、非法操作等，可利用数据备份系统进行恢复。从可靠性角度考虑，备份数量最好大于等于2。

4．4 数据备份的主要内容
　　（1）跨平台数据备份管理： 要支持各种操作系统和数据库系统；

　　（2）备份的安全性与可靠性： 双重备份保护系统，确保备份数据万无一失；

　　（3）自动化排程/智能化报警： 通过Mail/Broadcasting/Log产生报警；

　　（4）数据灾难防治与恢复：提供指定目录/单个文件数据恢复。

4．5 数据备份方案
　　每个计算环境的规模、体系结构、客户机平台和它支持的应用软件都各不相同，其存储管理需求也会有所区别，所以要选择最适合自身环境的解决方案。目前虽然没有统一的标准，但至少要具有以下功能：集成的客户机代理支持、广泛的存储设备支持、高级介质管理、高级日程安排、数据完整性保证机制、数据库保护。

五、 安全措施之三：多级网管
5．1网络管理的重要性
　　当前计算机网络的发展特点是规模不断扩大，复杂性不断增加，异构性越来越高。一个网络往往由若干个大大小小的子网组成，集成了多种网络操作系统（NOS）平台，包括了不同的网络设备和通信设备等。同时，网络中还有许多网络软件提供各种服务。随着用户对网络性能要求的提高，如果没有一个高效的管理系统对网络系统进行管理，就很难保证向用户提供令人满意的服务。

5．2 网络管理的功能
　　网络系统规模的日益扩大和网络应用水平的不断提高，一方面使得网络的维护成为网络管理的重要问题之一，例如排除网络故障更加困难、维护成本上升等；另一方面，如何提高网络性能也成为网络系统应用的主要问题。虽然可以通过增强或改善网络的静态措施来提高网络的性能，比如增强网络服务器的处理能力、采用网络交换等新技术来拓宽网络的带宽等，但是网络运行过程中负载平衡等动态措施也是提高网络性能的重要方面。通过静态或动态措施提高的网络性能分别称为网络的静态性能和动态性能。而网络动态性能的提高是通过网络管理系统即“网管系统”来加以解决的。

　　一般说来，网络管理就是通过某种方式对网络状态进行调整，使网络能正常、高效地运行。其目的很明确，就是使网络中的各种资源得到更加高效的利用，当网络出现故障时能及时作出报告和处理，并协调、保持网络的高效运行等。网络管理有五大功能：网络的失效管理、网络的配置管理、网络的性能管理、网络的安全管理、网络的计费管理。这五大功能包括了保证一个网络系统正常运行的基本功能。

5．3 网络管理的要素
　　现代计算机网络管理系统主要由四个要素组成：若干被管的代理（Managed Agents）；至少一个网络管理器（Network Manager）；一种公共网络管理协议（Network Management Protocol）；一种或多种管理信息库（MIB,Management Information Base）。其中网络管理协议是最重要的部分，它定义了网络管理器与被管代理间的通信方法，规定了管理信息库的存储结构、信息库中关键字的含义以及各种事件的处理方法。目前有影响的网络管理协议是SNMP（Simple Network Management Protocol）和CMIS/CMIP（the Common Management Information Service/Protocol）。它们代表了目前两大网络管理解决方案。其中，SNMP流传最广，应用最多，获得支持也最广泛，已经成为事实上的工业标准。

5．4　网管软件的主要功能
　　网管软件的功能可以归纳为三个部分：体系结构、核心服务和应用程序。

　　首先，从基本的框架体系方面，网管软件需要提供一种通用的、开放的、可扩展的框架体系。为了向用户提供最大的选择范围，网管软件应该支持通用操作系统平台。网管软件既可以是分布式的体系结构，也可以是集中式的体系结构，实际应用中一般采用集中管理子网和分布式管理主网相结合的方式。同时，网管软件是在基于开放标准的框架的基础上设计的，它应该支持现有的协议和技术的升级。开放的网络管理软件可以支持基于标准的网络管理协议，如SNMP和CMIP，也必须能支持TCP/IP协议族及其它的一些专用网络协议。

　　网管软件应该能够提供一些核心的服务来满足网络管理的部分要求。核心服务是一个网络管理软件应具备的基本功能，大多数的企业网络管理系统都用到这些服务。核心服务的内容很多，包括网络搜索、查错和纠错、支持大量设备、友好操作界面、报告工具、警报通知和处理、配置管理等等。

　　此外，为了实现特定的事务处理和结构支持，网管软件中有必要加入一些有价值的应用程序，以扩展网管软件的基本功能。这些应用程序可由第三方供应商提供，网管软件集成水平的高低取决于网络管理系统的核心服务和厂商产品的功能。常见网管软件中的应用程序主要有：高级警报处理、网络仿真、策略管理和故障标记等。

　　需要指出的是，体系结构、核心服务和应用程序三者之间是相互联系、密不可分的。体系结构提供一个系统平台，是一个多种资源有机联系的场所；核心服务提供最基本、最重要的服务；应用程序满足具体的、个性化的需求。

5．5 选择网管软件需考虑的因素

　　选择网管软件主要应考虑以下几个方面：以业务为中心；为应用软件和服务提供环境；可用性、可扩展性、易用性的结合；高性能价格比；标准支持和协议的独立性；传统支持；集成性和灵活性。

　　此外，应认识到，实现网络管理是一个渐进的过程，在实际应用中，各个企业的网络不尽相同。在规划网管系统时，要重点考虑以下几个方面：基于现有网络，需要时能方便升级额外的功能；符合工业标准，最好是基于SNMP的管理系统；支持第三方插件的能力，允许应用开发人员开发其它的模块，以支持其他公司的产品；支持专用数据库；数据库的统一，能使网络管理员在不同的网络管理平台进行管理，而不需建立不同的映像和相应的数据库。

　　虽然网管软件和网管系统是用来管理网络、保障网络正常运行的关键手段，但在实际应用中，并不能完全依赖于网管产品，由于网络系统的复杂和多变，现成的产品往往难以解决所有的网管问题。另外，因为网管系统的运行和企业的管理机制、人员分配、职责划分等管理因素有着密切的关系，所以，在进行网管系统的规划和建设时，还要保证企业的管理体制能够配合网管系统的实施和运行。

下一页