论文部分内容阅读
摘要:随着电力事业的快速发展,电力系统也越来越多的连接到互联网中,导致计算机病毒、黑客攻击等网络安全事件也在不断的增加。而防火墙作为最早出现的网络安全产品和使用量最大的安全产品,日益受到计算机用户的青睐。
关键词:电力信息安全;防火墙;
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Research on Firewall Technology in Power System Information Security
Yu Xiaoming
(Cangzhou Power Supply Company,Information Center,Cangzhou061001,China)
Abstract:By the development of our power corporationmore and more computers have been connected to Internet in power system,and hacker attacks,computer viruses,such as network security is increasing in the incident.Firewall as the first network security products and the use of the largest security products,day by day receives favor of the computer user.
Keywords: Power system information security;Firewall
近几年来随着我国经济的飞速发展,我国电力事业也得到了迅速发展。电力系统安全保障越来越依赖电力系统中高效、安全、可靠传输数据信息,因此,电力系统信息安全相关技术的研究具有重要意义。
一、电力系统网络所受到的威胁
目前电力企业网络所受威胁主要来自两个方面:物理方面、逻辑方面。
(一)物理安全威胁
物理设备不仅包括网络、防火墙、路由器、交换机和应用于网络互连的服务器,同时还包括各种提供不同网络服务的服务器,如:域名服务器、网络管理服务器、超文本传输协议、网络文件系统服务器、网络时间服务器、网络审计和入侵检测、用户认证和授权等。当物理设备因自然灾害、人为的损坏而无法正常工作时,从而会导致整个网络陷入瘫痪,无法正常工作,因此,可以说物理设备的安全直接影响着整个电力信息网络安全,物理设备是整个网络的基础,整个信息网络的正常运行离不开物理设备的安全。
(二)逻辑安全威胁
随着中国电力工业的迅速发展,电力系统信息网络化有了持续迅速的发展。随着具有全国性的电力计算机信息服务网络建设,从而有效的保障了电力企业的安全正常生产,提高了企业的效率,同时电力信息网络所面临的安全问题也日益突出。除了上面所说的物理安全威胁外,还受到各种各样的逻辑威胁。这种逻辑威胁可能来源于人为或程序编制缺陷而产生。当电力信息网络和国际互联网相连后,伴随着网络信息的交流,电力信息网络所受的外部威胁几率也大大增加。
二、防火墙主要技术在电力系统中的应用
目前实现防火墙的技术主要只有三种:包过滤技术、代理服务器和状态检测技术。
(一)包过滤防火墙
包过滤技术,顾名思义就是在网络中适当的位置对数据包实施有选择性的通过,是最早出现的防火墙技术。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
(二)应用代理防火墙
应用代理防火墙主要运用了代理服务器的技术。代理服务器在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发的作用。所有跨越防火墙的网络通信鏈路分为两段:内部主机和代理服务器之间的连接,以及代理服务器和外部主机之间的连接。内部主机和外部主机之间的通信都是通过代理服务器来完成的,内部主机和外部主机之间并没有直接的连接。代理服务器运行在两个网络之间,对于客户机来说它像一台真正的服务器,对于外界的服务器来说它有是一台客户机。由于每个内外网之间的连接都要经过代理服务器的介入和转换,没有给内外网直接会话的机会,从而可以确保内部网络的安全。
(三)状态检测防火墙
状态检测防火墙又叫动态包过滤防火墙,是在传统包过滤技术的基础上进行功能的扩展,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来根据过去的通信信息和其他应用程序获得的状态信息动态地生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
目前状态数据包检测技术已经防火墙系统中得到广泛的应用,具有状态数据包检测的防火墙只是检测IP包头的源IP、目的IP、源端口、目的端口、数据流、协议和TCP状态,不检测数据包的负载量以确信它附着在打开的服务上,防火墙将入侵检测和入侵阻止分开。对于网络应用层的脆弱点不能得到防火墙有效的检测,并且不能保护网络免受恶意SQL、震荡波、冲击波等的攻击。
总之,所以随着电力网络的应用越来越普及,网络安全性问题也显得愈发重要。而在众多安全防御的手段中,防火墙莫过于一种非常有效的手段,高性能的防火墙对电力行业的健康发展起到了重要作用。
参考文献:
[1]朱永利,黄敏,邸剑.基于广域网的电力远动系统的研究[J].中国电机工程学报.2005,25(7)
[2]胡炎,谢小荣,韩英铎,辛耀中.电力信息系统安全体系设计方法综述[J].电网技术.2005,29(1)
作者简介:于晓鸣(1976-),男,汉族,河北省沧州市人,工作单位:沧州供电公司信息中心,本科学历,工程师,研究方向:信息网络及安全。
关键词:电力信息安全;防火墙;
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Research on Firewall Technology in Power System Information Security
Yu Xiaoming
(Cangzhou Power Supply Company,Information Center,Cangzhou061001,China)
Abstract:By the development of our power corporationmore and more computers have been connected to Internet in power system,and hacker attacks,computer viruses,such as network security is increasing in the incident.Firewall as the first network security products and the use of the largest security products,day by day receives favor of the computer user.
Keywords: Power system information security;Firewall
近几年来随着我国经济的飞速发展,我国电力事业也得到了迅速发展。电力系统安全保障越来越依赖电力系统中高效、安全、可靠传输数据信息,因此,电力系统信息安全相关技术的研究具有重要意义。
一、电力系统网络所受到的威胁
目前电力企业网络所受威胁主要来自两个方面:物理方面、逻辑方面。
(一)物理安全威胁
物理设备不仅包括网络、防火墙、路由器、交换机和应用于网络互连的服务器,同时还包括各种提供不同网络服务的服务器,如:域名服务器、网络管理服务器、超文本传输协议、网络文件系统服务器、网络时间服务器、网络审计和入侵检测、用户认证和授权等。当物理设备因自然灾害、人为的损坏而无法正常工作时,从而会导致整个网络陷入瘫痪,无法正常工作,因此,可以说物理设备的安全直接影响着整个电力信息网络安全,物理设备是整个网络的基础,整个信息网络的正常运行离不开物理设备的安全。
(二)逻辑安全威胁
随着中国电力工业的迅速发展,电力系统信息网络化有了持续迅速的发展。随着具有全国性的电力计算机信息服务网络建设,从而有效的保障了电力企业的安全正常生产,提高了企业的效率,同时电力信息网络所面临的安全问题也日益突出。除了上面所说的物理安全威胁外,还受到各种各样的逻辑威胁。这种逻辑威胁可能来源于人为或程序编制缺陷而产生。当电力信息网络和国际互联网相连后,伴随着网络信息的交流,电力信息网络所受的外部威胁几率也大大增加。
二、防火墙主要技术在电力系统中的应用
目前实现防火墙的技术主要只有三种:包过滤技术、代理服务器和状态检测技术。
(一)包过滤防火墙
包过滤技术,顾名思义就是在网络中适当的位置对数据包实施有选择性的通过,是最早出现的防火墙技术。包过滤防火墙将对每一个接收到的包做出允许或拒绝的决定。具体地讲,它针对每一个数据报的报头,按照包过滤规则进行判定,与规则相匹配的包依据路由信息继续转发,否则就丢弃。
(二)应用代理防火墙
应用代理防火墙主要运用了代理服务器的技术。代理服务器在网络应用层提供授权检查,并且在内部用户与外部主机进行信息交换时起到中间转发的作用。所有跨越防火墙的网络通信鏈路分为两段:内部主机和代理服务器之间的连接,以及代理服务器和外部主机之间的连接。内部主机和外部主机之间的通信都是通过代理服务器来完成的,内部主机和外部主机之间并没有直接的连接。代理服务器运行在两个网络之间,对于客户机来说它像一台真正的服务器,对于外界的服务器来说它有是一台客户机。由于每个内外网之间的连接都要经过代理服务器的介入和转换,没有给内外网直接会话的机会,从而可以确保内部网络的安全。
(三)状态检测防火墙
状态检测防火墙又叫动态包过滤防火墙,是在传统包过滤技术的基础上进行功能的扩展,传统包过滤技术只能检查单个的数据包并且安全规则是静态的,而状态检测防火墙可以将前后数据包的上下文联系起来根据过去的通信信息和其他应用程序获得的状态信息动态地生成过滤规则,并根据此规则过滤新的通信。而新的通信结束后新生成的过滤规则将自动从规则表中删除。
状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
目前状态数据包检测技术已经防火墙系统中得到广泛的应用,具有状态数据包检测的防火墙只是检测IP包头的源IP、目的IP、源端口、目的端口、数据流、协议和TCP状态,不检测数据包的负载量以确信它附着在打开的服务上,防火墙将入侵检测和入侵阻止分开。对于网络应用层的脆弱点不能得到防火墙有效的检测,并且不能保护网络免受恶意SQL、震荡波、冲击波等的攻击。
总之,所以随着电力网络的应用越来越普及,网络安全性问题也显得愈发重要。而在众多安全防御的手段中,防火墙莫过于一种非常有效的手段,高性能的防火墙对电力行业的健康发展起到了重要作用。
参考文献:
[1]朱永利,黄敏,邸剑.基于广域网的电力远动系统的研究[J].中国电机工程学报.2005,25(7)
[2]胡炎,谢小荣,韩英铎,辛耀中.电力信息系统安全体系设计方法综述[J].电网技术.2005,29(1)
作者简介:于晓鸣(1976-),男,汉族,河北省沧州市人,工作单位:沧州供电公司信息中心,本科学历,工程师,研究方向:信息网络及安全。