2019年10月
针对横向NAT防火墙的网络安全威胁分析姚发兴,张正江,梁昌奇,林礼华(南方电网超高压输电公司天生桥局,贵州兴义562400)
【摘要】在电力监控系统中,横向NAT防火墙是二次安防设备中,重要的安全防护设备。横向NAT防火墙在作为安全防护设备,自身的具有很强的安全性,具有访问控制和地址转换等功能,但也存在着部分风险。本文主要针对横向NAT防火墙存在的风险进行分析,阐述了黑客如何通过直接和间接方式对横向NAT防火墙进行攻击,本文最后,给出了防御措施。
【关键词】横向NAT防火墙;访问控制;主机加固;DDOS攻击
【中图分类号】TP393.08【文献标识码】A【文章编号】1006-4222(2019)10-0247-02
0引言
按照《电力监控系统安全防护规定》(国家发展和改革委银赫 iu
员会令2014年14号)、《中国南方电网电力监控系统安全防
护管理办法》等规定,坚持“安全分区、网络专用、横向隔离、纵
向认证”的原则。在电力调度数据网部署横向NAT防火墙装
置,使生产控制大区和管理信息大区内部的安全区之间实现
逻辑隔离[1]。横向NAT防火墙对保证调度数据网传输数据的
可靠性、稳定性有重要作用,研究横向NAT防火墙装置的安
全相关性能具有重要意义。
目前与NAT防火墙装置有关的研究多围绕在NAT防火
墙的使用和技术来展开,对于NAT防火墙的可用性、安全性
的研究较少。由于NAT防火墙在调度数据网中,是将生产Ⅰ
区和生产Ⅱ区业务进行逻辑隔离,生产Ⅱ区的安全等级低于
转租需要注意什么生产Ⅰ区,相关防护措施不是太高,运维人员放松了警惕,所
win10安全模式以其往往成为黑客或不法分子攻击的重要对象。
萨默海尔德
冷冻食品1横向NAT防火墙的潜在威胁
横向NAT防火墙的主要功能是在换流站调度数据网中,使用ACL策略,将两个信任程度不同的网络进行数据访问控制,使不被策略运行的数据通过防火墙,构成了网络安全的第一道防线。此外,横向NAT防火墙,还能将安全Ⅰ区和安全Ⅱ区的地址进行转换,隐藏了厂站装置的真实IP地址,避免了安全Ⅰ区装置直接与总调、中调、各厂站之间的通信[2]。但是NAT防火墙在安全性上,存在很大的风险。
横向防火墙主要性能指标有两个:①可用性,能否对内部网络和外部网络提供过滤和地址转换服务,能否提供抵抗外部攻击的能力;②安全性,通过横向NAT防火墙数据,能具备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。
从网络结构上,从图1所知,横向防火墙位于调度数据网纵向加密与二次安防交换机之间,而由于纵向加密装置的安全性非常的高,如果位于换流站外面的黑客,攻击横向NAT 防火墙的可能性很小。因此,对于NAT防火墙来说,换流站外的攻击不是主要安全威胁,外部进入NAT防火墙传输的数据安全是有保证的。但是对于现有电力监控系统的运行管理机制,对防火墙的安全性和可用性造成带来严重的威胁。
换流站内电力监控系统主机大部分仍然使用Windows操作系统,Windows系统存在较多的系统漏洞,由于考虑到业务的连续性,很难对Windows系统进行补丁安装;另外,电力监控系统主机考虑到安全程
序会被误杀的,所以很大一部分电脑也未安装杀毒软件,导致主机中存在一部分病毒;此外,部分电力监控系统主机使用弱口令,密码很容易被破解,成为黑客肉鸡。由于Windows系统、Linux系统安全加固要求较高,部分运维人员技术没有达到要求,未能及时开启计算机审计功能、关闭端口、关闭共享和关闭不必要的服务等,都为黑客攻击NAT防火墙打开了方便的大门。
这个病毒等,运维人员插入U盘和网线等,在这些过程中,存在被恶意分子利用的隐患。通过总结,对防火墙的攻击主要有两种:①针对NAT防护墙的直接攻击;②针对NAT防火墙的间接攻击。
2针对防火墙的间接攻击
2.1针对NAT防火墙的直接攻击
如上所述,位于换流站外的攻击者是很难实施对换流站电力监控系统进行攻击的,特别对个人来说,几乎是不可能的,除非是国家、组织或者军队的力量进行长时间、大规模、有针对性的渗透攻击。在换流站内部,对于电力监控系统来说,是分成的脆弱的,首先,对于NAT防火墙来说,存在很多的漏洞,攻击者,可以利用NAT防火墙自身的漏洞,进行直接的攻击。
目前国内NAT防火墙生产厂商均使用Linux作为NAT 防火墙的操作系统,Linux作为开源的操作系统,具有安全性高、可伸缩性强的有点。但是,Linux也不是完美的,也存在一定的漏洞,而且特定Linux版本
的操作系统漏洞是公开的。另外,NAT防火墙使用的数据库、中间件、客户端软件均存在不同层度的漏洞和不安全性,也给黑客查漏洞和弱点,提供便利性。对于NAT防火墙来说,一旦投入使用,由于电力行业的连续工作的特点,很难对其应用程序和操作系统进行升级。
攻击者可以利用Linux和应用程序的漏洞对NAT防火墙进行攻击,攻击成功后,提升权限,可以更改NAT防火墙装
置
图1变电站内生产系统网络架构
电力讯息247
2019年10月
的配置,关闭NAT防火墙的服务,还可以实现其他方式的攻击。例如伪造控制报文发给远动装置,造成变电站内开关错误分合等。
2.2针对NAT防火墙的间接攻击
NAT防火墙的可用性可以理解为两点:①作为一台网络中间设备能够正常传输数据;②作为一台网络安全设备应能对其传输的数据提供访问控制、身份验证。因此针对NAT防火墙的可用性攻击可以考虑两个方面,一方面令NAT防火墙无法正常传输网络数据,另一方面如果NAT防火墙可以传输数据,令其无法对传输的数据无法进行访问控制和身份验证。这两种攻击方向均可以视为对NAT防火墙提供服务能力的攻击,令NAT防火墙失去或下降服务能力,成为事实上的拒绝服务攻击。
NAT防火墙作为一种网络设备,处理网络数据流量是有限度的,一旦超过NAT防火墙的标称流量限度,NAT防火墙将失去所有功能。攻击者可以利用TCP/IP、UDP、NTP等协议的漏洞,采用SYN flood、ACK flood、ICMP flood、UDP flood、NTP flood、DNS flood等攻击方式对NAT防火墙进行DDOS攻击。
在换流站内部,攻击者发起DDOS攻击的方式主要是利用了换流站内主机的漏洞和相关运维者的管理方法不够完善。攻击者可以利用如上文所述的操作系统主机加固没完成、端口未关闭、开启了135、139、445、3389等高危端口、USB端口和网口未上锁等。都可能成为黑客利用,发起DDOS攻击的源头。3防御措施
随着网络攻击手段的不断进步,目前按照《电力监控系统安全防护规定》采取的安全措施并不足以应对电力监控系统面临的巨大威胁。应注重横向NAT防火墙自身的安全,在NAT防火墙和接入交换机之间,应部署抗DDOS攻击设备,抗DDOS攻击设备负责抵御网络的攻击,NAT防火墙负责控制策略转发的地址转换功能。两者协调工作,串行部署。
对于电力监控系统的安全,技术手段和管理手段结合使用[3]。换流站的运维者,应该建立电力监控系统信息安全体系建设,应该针对NAT防火墙编制风险评估报告和应急处置方案,以有效的安全管理作为基础,强化NAT防火墙的维护技术技能,最终保护电力监控系统的安全稳定运行。
参考文献
[1]刘博,齐岩,秦岩.防火墙在电力系统应用与研究[J].网络财富, 2010,6(6):147-148.
[2]贺抒,梁昔明.NAT技术分析及其在防火墙中的应用[J].微计算机
明星 古巨基
信息(测控自动化),2005(21):167-168.
[3]刘淼.浅谈网络安全技术[J].网络财富,2010,6(6):148-149.
收稿日期:2019-08-19
作者简介:姚发兴(1987-),男,云南大理人,工程师,从事电力信息通信系统运行和维护工作。
初探分布式电源对供电可靠性的影响
李晋杰,邱华(国网南平供电公司,福建南平353000)
【摘要】分布式电源并网是电力系统改革的主要方向之一。分布式电源的灵活性较大,加上设备质量及用户安全意识不足的限制,给配电网的运行安全带来一定影响。本文介绍分布式电源理论基础,重点分析分布式电源对供电可靠性的影响,给出分布式电源并网后,保证供电可靠性的具体措施。进一步推动分布式电源在电力系统中的普及,提升供电可靠性。
【关键词】分布式电源;配电网;供电可靠性
【中图分类号】TM732【文献标识码】A【文章编号】1006-4222(2019)10-0248-02
0引言
分布式电源指的是直接接入配电网或安装在负荷节点处的发电设备,可显著提升供电活动的稳定性、有效性和经济性,以满足用户多样化的用电需求。当前主流的分布式电源包括风力发电、光伏发电、微型燃气轮机发电等,以上分布式电源本身都存在明显的优势和不足,需要结合配电网及特殊用户的实际需求进行选择。
1分布式电源理论简介
分布式电源并网系统的设置目的是为了更好满足用户的用电需求,降低配电网的运行成本。一般情况下,并网系统的设置要满足环境友好的要求,并遵照就近原则。分布式电源并网系统能源可以是可再生能源或不可再生能源。以可再生能源为例,此类型的并网系统可将废热、废气等资源回收利用,进行电能及热能的生产。
分布式电源并网系统可依照不同的标准进行分类。如依照是否需要与电网相连分成电源-用户及电源-配电网-用户两种类型;依照产品构成不同又可被分为热电冷三联产和热
电联产[1]。相较于未接入电网的并网系统,电源-配电网-用户类型的运行效率更高,一般可达到75%左右。但电源-用户类
型在运行时不会给环境带来任何的污染,其运行效率最高可达到50%。当前,热电冷三联产可最大限度的激发电源性能,带来的环境损伤很小,因此被作为未来分布式电源的主要发展趋势。
2分布式电源对供电可靠性的影响
2.1对供电稳定的影响
保证供电稳定性是电力用户对电力服务的最基本要求,
也关系到供电企业社会形象的建立和维护。配电网作为电力
系统的核心构成,直接与供电稳定性相关。配电网负责电力的
输送和分配,覆盖面积大、分支较多,因此故障发生率较高,其供电可靠性备受关注。将分布式电源并入到配电网当中,供电
电力讯息248
发布评论