浅析电力调度数据专网设备安全

浅析电力调度数据专网设备安全

宋毅钟波

(四川科锐得电力通信技术有限公司四川成都610041)

摘要：电力调度数据专网是电力系统信息化发展过程中产生的,用于替代原有载波、微波等电力专线通道，是保障电力系统运行的一个重要的专用网络。电力调度数据专网是一个规模巨大的信息系统，保障网络的安全必然是一个系统工程。本文主要就网络设备本身分析了电力调度数据专网安全方面的问题。

关键词：电力调度数据专网；安全；防御。

引言

网络设备是调度数据专网的重要组成部分，也是网络安全的基石，是一个由很多物理设备、安全技术等通过合理的安全加固配置方案，组成的一个有机整体。随着业务的接入越来越多，面临的安全威胁也日趋严重，因此需要从多个层次构建、维护整个网络系统的安全屏障，提前发现并处理各种可能存在的安全问题。

一、网络安全类型

1.1拒绝服务

路由器设备转发处理能力强大，但是控制面和管理面处理能力有限。攻击者通过向设备发起海量的消息请求，导致设备CPU无法实时处理消息，引发正常的业务交互流程、内部处理流程阻塞，达到拒绝服务的目的。

2014年，爆发的运营商DNS网络DDoS攻击事件。攻击者通过在不同地域，在同一时间向同一个服务器发送查询请求，导致整个网络的拥塞和服务器的崩溃，多地不断出现网页访问缓慢和无法打开现象。对DNS网络的冲击可想而知。传统的安全设备是不具备精准识别此类攻击的能力，在电力调度数据专网中，通过对服务器等进行安全加固，使用专业DDoS防护工具和专业的团队同时配合，拒绝服务类攻击能有效的控制。

1.2信息泄漏

设备面临的信息泄漏威胁，最重要的风险就是非授权的访问，可以分成以下情况：设备为了某些特定场合的便利性，提供了免认证登录的模式，在现网部署是由于疏忽没有关闭此模式，导致恶意用户非授权访问；设备为了开局方便，通常使用一套配置文件作为模板开局，由于管理员疏忽，没有修改管理员账号密码，引发非授权访问；利用IP网络开放性的缺陷：恶意用户通过在网络上部署嗅探器、报文获取设备，把传输的IP报文截获并进行解析，达到信息泄漏目的。

2016年随着国家电网对电e宝的推广和普及APP的过程中，因信息监管的缺乏，数据的流出和使用无人知晓。因为无法明确在信息记录的后台，有谁记录了信息，下载了数据。从收集到生产、分析、发布等各个环节都没有数据隐私保护，这使得电网用户的信息安全受到了极大的危害。

1.3非授权访问

通过非授权访问，获得设备控制权限，或者获取更高权限的信息。恶意用户利用网络配置漏洞，从公网进行暴力破解等方式，强行进入系统。非法利用系统提供的调试手段：设备为了进行故障定位，提供了一些获取设备内部信息处理流程中的信息查看方法。恶意用户通过利用这些诊断调试接口，越权获取信息。

电力调度数据专网中，对网络设备的管理采用了多种手段同时进行；首先对每一个网络节点设备配置控制策略，使其只能使用固定IP地址进行管理该网络设备；其次使用V3版本以上SNMP协议，对SNMP访问团体字符进行加密；使用EIA认证等手段对每个用户进行授权访问，EIA服务器会记录相关日志信息，以便后续安全审计。

1.4身份欺骗

典型案例就是地址转换协议（ARP）攻击，但当攻击者向目标发送一个带有欺骗性的ARP请求时，可以改变该主机的ARP高速缓存中的地址映射，使得该被攻击的主机在地址解析时发送错误，导致数据发往攻击者所希望的目的地，从而使数据信息被截取。

在电力调度数据网专网中使用IP地址和MAC地址绑定，在ARP高速缓存中保存永久的地址映射表，只允许管理人员手动修改。

1.5重放攻击

攻击者利用网络监听或者其他方式盗取认证凭据发送一个目的主机已接收过得包，来达到欺骗系统的目的，主要用于身份认证程。

应对措施主要有：一是在关键消息内加入时间戳来保证消息的时鲜性。只有当消息的时戳与本地时间差值在一定范围内时,接收方才接收这条消息。要实现这种方法,在系统中需要有严格的时钟同步；

二是在消息中加入现时值,这个值是新鲜的、随机的。它是以一种需要保证它是惟一的方式生成,通过使用这个现时来建立消息之间的因果关系；

二、安全防御机制

1转发引擎安全防御机制

路由器的转发引擎由于处理性能高，如果能够在转发面实现安全检测，把非法的报文识别出来并合理的处理，对网络安全来说是最好的方案。

例如：畸形报文检测，把明显违反协议规则的报文检测出来并丢弃；广播风暴抑制，直接在转发面把风暴来源丢弃或者限速广播报文；uRPF直接在这方面查找端口和源地址匹配信息，不匹配直接丢弃；分片报文泛洪时，通过配置ACL由转发面直接进行分片报文限速；采用转发引擎来实施安全策略，由于性能高因此对流量泛洪攻击类的安全事件，能够非常好的应对，避免转发面把报文发给CPU处理，由于CPU的处理能力局限导致CPU过载，影响设备的可靠性。

uRPF可分为严格型和松散型：

松散型uRPF仅要求路由器的转发表中，存在去往报文的源地址路由即可，不再检查报文的入接口与转发表中去往源地址的路由的出接口是否一致。

严格型uRPF也是电网中调度数据专网所使用的类型，在其基础上进一步增加了缺省路由检查以及ACL检查功能，即在确认路由转发表中存在去往源地址的路由以及出接口后，再增加检查ARP表项，确保报文的源MAC地址和查到的ARP表项中的MAC地址一样才允许报文通过。

2转发面与控制面上送管道安全防御机制

转发面相对于控制面来说，其处理能力可以认为是无限的。因此，转发面能够轻易的上送海量的报文，把控制面直接冲击过载。为了防止转发面上送过多的报文给控制面，需要对上送管道进行限速；同时为了不影响正常的业务运行，也需要对高优先级的和通过安全检测的正常业务放行。综合了安全性和可用性，设备使用了如下几种机制，来综合保障在设备可靠运行：

cpu-defendpolicy：针对每一种协议（或者协议的某种典型的消息，如ARPRequest和ARPReply分开设置CPU-CAR），设置一个上送控制面的带宽限制；

黑名单：黑名单策略拒绝所有报文上送，防止被非法攻击；

白名单：通过白名单保证需要的报文不受限速控制；

攻击溯源：攻击溯源可以通过分析上送CPU的报文是否会对CPU造成攻击，对可能造成攻击的报文进行写日志或告警提醒用户。

在电力调度数据专网中往往使用的是黑名单和白名单结合方式，通过分析上送至网络设备CPU的报文中arp-replyarp-request报文drop数量和接入层业务量大小，来划分使用黑名单还是白名单。业务数量较少使用白名单方式，业务数量较多使用黑名单方式，通过限制报文的数量，才能保证转发面上送控制面的报文不会把CPU冲击过载，同时也保证CPU尽最大能力为业务服务不会造成资源浪费。

通过以上机制，我们能非常有效抑制大多数网络设备自身方面的漏洞。

结束语

安全是一个持续改进的过程，从来没有一蹴而就的安全，也没有一劳永逸的安全。当前电力调度数据专网在电力系统中占有不可替代的位置，因此我们必须对其安全状况予以高度重视，积极对其存在的问题进行研究，并对其进行不断优化、完善其不足，才能时刻保障电力调度数据专网稳定、可靠的运行。

参考文献：

[1]华为.安全加固与维护指南.2014.10.31.

[2]王明奇.关于智能化电力调度数据专网建设方案思考[J].农家参谋,2017,(10):258.