--**/

1.引言
　　电力信息系统由网络、设备和数据等要素组成，其中每个要素都存在着各种可被攻击的弱点。网络线路有被窃听的危险；网络连接设备、操作系统和应用系统所依赖的各种软件在系统设计、协议设计、系统实现以及配置等各个环节都存在大量的安全弱点和漏洞，有被利用和攻击的危险。每天都有新的安全漏洞在网上公布，每天都有系统受到攻击和入侵，每天都有计算机犯罪的报道，每天都有人出于好奇或其他目的加入到网络黑客的行列中。而且攻击者的手段也越来越多，面对一个复杂性日益增长的网络环境进行安全需求分析，动态地、发展地认识安全隐患和威胁是安全需求分析的重要前提。只有深入了解电力信息系统的网络发展和应用现状，结合对其网络软硬件设备的基础和原理的专业分析，才能深入了解影响电力系统信息安全的、潜在的矛盾、隐患和现实状况，才能制定出一整套完整而科学的网络安全结构体系，才能从根本上解决电力信息系统的网络安全。

　　2.电力信息系统的安全风险

　　攻击电力信息系统的黑客既可能来自电力系统的内部，也可能来自外部。内部攻击通常来自员工、系统管理员等，据权统计，在所有破坏安全活动中占近80。外部攻击主要来自竞争对手、政府或任何不怀好意的组织和个人。也就是说，风险同时存在于Internet网络的两端。电力信息系统的主要安全风险包括：

　　（1）用户标识截取：标识截取是指暗中发现合法用户的身份验证信息，通常是用户名和口令，这是大多数电力信息系统采用的安全防护措施。如果入侵者知道了某个用户的用户名和口令，即使该用户并没有额外的特权，也可能危及网络的安全。如果用户名，更重要的是口令，以明文的形式通过网络发送，入侵者通过常用的协议分析软件监视网络通信，可以截取用户标识信息。如果口令仍以明文格式保存在用户计算机的内存中或硬盘上，入侵者有很多种方法可以发现这些口令。而且，如果口令被记在某处或很容易被猜到（如电话号码、生日、汽车牌照号码、配偶或孩子的名字等），就更容易受到入侵者的攻击。另外，各种广为传播的黑客工具都试图利用几种语言的常用词的词典来获得口令。

　　（2）伪装：当未经授权的用户假装成合法用户，进入电力信息系统时就发生了伪装。当未经授权的用户企图冒充系统超级用户和具有附加管理特权或系统管理特权的其他用户时，标识截取是最危险的。因为入侵者已经截取了某个合法用户的标识，或者因为入侵者已经设法误导系统相信其拥有更多的而实际上却没有的特权，所以伪装是可能发生的。地址欺骗是伪装一种形式，在这种伪装中，入侵者虚构一个可信系统的IP地址，然后使用该地址获取已授予的对被假冒的设备或系统的访问权限。

　　（3）重放攻击：当登录队列受到监视时，例如，使用协议分析程序，可以将登录队列记录下来，以便以后“回放”。入侵者使用这种技术设法哄骗网络登录服务器验证合法用户的身份，而入侵者无需知道该用户的用户名和口令。或者，入侵者将登录服务器过去已经接受过的相同的加密或散列名称或密码，传递给该服务器。

　　（4）数据截取：当应用程序以明文格式通过网络传递数据时，通过电缆的分接头和监视设备可以截取数据，使得未经授权的人员能够捕获和访问调度数据广域网传输中的控制命令、参数设置、用电营销、电力交易报价等敏感数据。

　　（5）非法使用：非授权使用计算机或网络资源时，网络系统的安全就受到了威胁。例如，未受到保护的财务数据可能会按照入侵者的利益被修改并使用。

　　（6）否认：大多数发生在基于网络的业务活动中，如对电量交易和所做的操作进行否认。

　　（7）病毒：病毒是一种进行自我复制、广泛传染，对计算机及其数据进行严重破坏的计算机程序。由于病毒具有隐蔽性与随机性的特点，使用户防不胜防。根据国际权威机构对美国的调查表明，98的企业遇到过计算机病毒问题，63被病毒破坏数据和系统，病毒给企业带来的影响是时间和人力的浪费，重要数据文件损失造成触目惊心的经济损失。

　　（8）拒绝服务：向电力系统网络发送大量雪崩数据，这些攻击使用大量的请求涌向服务器，从而达到消耗系统资源，并最终导致目标服务器崩溃或使其无法正常工作之目的。在一些情况下，这种攻击可以用来破坏系统。

　　（9）恶意移动代码：随着可自动执行的应用程序与InternetWeb站点的集成，出现了作为MicrosoftActiveX控件或Java小程序而传送的恶意移动代码的威胁。

　　（10）滥用特权：一个计算系统的管理员故意或错误地使用对该操作系统的特权来获得专用数据。

　　（11）误用：信息系统管理员、网络管理员、安全管理员、普通用户等由于计算机技术上不熟练，造成对系统的误操作，引起对系统保密性、完整性和可用性的损害。

　　（12）特权提升：用户利用系统漏洞提升自己的等级，获得本来不具备的系统权限。

　　（13）后门：系统开发人员出于恶意、或仅是为了维护的方便在系统中设置后门，使用后门可以绕过系统的安全控制措施。存在被人利用来控制、破坏系统的威胁。

　　（14）应用系统开发中的错误和不完善：包括对输入数据未作充分的检查、对业务逻辑的处理不准确、不完善，而如果这些错误没有通过充分的系统测试检查出来，便有可能在运行中导致错误数据引入系统，和破坏原有数据的完整性。

　　（15）特洛伊木马：是这样一种程序，它提供了一些有用的，或仅仅是有意思的功能。但是通常要做一些用户不希望的事，诸如在你不了解的情况下拷贝文件或窃取你的密码,或直接将重要资料转送出去，或破坏系统等等。木马程序带来一种很高级别的危险，因为它们很难被发现，在许多情况下，特洛依程序是在二进制代码中发现的，它们大多数无法直接阅读，并且特洛依程序可以作用在许许多多系统上,它的散播和病毒的散播非常相似。

　　（16）社会工程攻击：社会工程攻击是利用人的心里活动进行攻击的，不需要复杂的技术手段，也不依靠调查和扫描来寻找系统的漏洞，只通过向某个人询问口令就能够获得相关业务系统或数据库的访问权。在大多数情况下，社会工程攻击的主要目标是咨询接待人员及行政或技术支持人员。对这些对象发起社会工程攻击不需要是面对面的，经常只需通过打电话，电子邮件或聊天室等。如：入侵者把单位的新职员叫过来，告诉他您是IT部门来的并要求他们提供系统口令以便与您的记录核对。

　　3.电力信息系统威胁行为的分析

　　安全威胁来自各种与网络有关的、对电力信息系统正常运行带来负面影响的行为。其中包括，人为主观上的恶意行为，以及由于客观因素导致的概率性事故。

　　3.1主观恶意行为的分析

　　人为主观上的恶意行为，从行为目的上可分为：欺诈盗窃和破坏两种类型，当然许多的恶意行为可能涵盖上述两个目的。从可能采用的攻击手段，有些只具备欺诈盗窃或破坏能力。
　　下面，我们对各种可能的安全威胁手段进行分析。

　　（1）系统探测和扫描

　　描述：攻击者一般采用探针类程序，对目标系统进行系统信息收集，如：系统漏洞探测、无用用户名尝试等。

　　危害：行为本身对目标系统并不构成危害，但是，其目的主要是为了进一步入侵行动作准备。因此，本行为之后随之而来的，往往是严重的安全威胁。
　　类型：欺诈盗窃（准备行为）、破坏（准备行为）。

　　（2）网络信息截获和监听

　　描述：攻击者主要通过使用网络信息监听程序（如：Sniffer）对网络上传输的信息包进行截获和监听。如果被监听的信息采用低强度加密甚至明文在网络上传输，那么，一些安全敏感信息就有可能被窃取，如：用户名、用户密码等。

　　危害：客户级或者系统级的敏感信息被窃取，其中，客户级敏感信息被窃取，只对被窃取客户造成影响；但是，如果系统级敏感信息被窃取，则将引发进一步的主机入侵威胁，从而导致更大程度的安全危害。

　　类型：欺诈盗窃

　　（3）信息完整性破坏

　　描述：通过网上信息截获手段，获得信息后，对信息进行篡改、插入、删除，然后再转发出去。
　　危害：对于电力网络，最有可能的是对控制、调度、信息系统的信息进行完整性破坏，从而骗取系统控制模块和权限控制模块进行错误的处理。
　　类型：欺诈盗窃

　　（4）非法访问

　　描述：利用系统的安全漏洞，绕过系统的安全控管机制，获得高级别的访问权限。例如：利用Web服务器的ACL机制的逻辑错误，访问服务器上的任意文件。
　　危害：非法访问理论上可能访问各种系统资源和数据，但是，从实际情况上分析，最大的可能是通过系统的入口：通讯服务器、应用服务器，进行非法访问。另外，通过非法访问获得信息的分析，非法访问可以作为进一步升级入侵的跳板。
　　类型：欺诈盗窃

　　（5）身份伪造

　　描述：攻击者伪造身份，欺骗系统的信任，获得非法的权限。
　　危害：如果攻击者伪造的是客户级身份，则只对具体客户构成安全危害；但是，如果攻击者伪造的是系统级身份，则能够对整个系统构成安全危害。
　　类型：欺诈盗窃

　　（6）恶意代码攻击

　　描述：恶意代码攻击是指在通过目标主机上运行一段特殊代码，从而达到控制主机或破坏系统的目的。在攻击方式上，又可以有以下几种方式：
　　缓冲区溢出攻击
　　利用网络服务程序的缓冲区溢出错误，攻击者将恶意代码夹在长信息包中传送给网络服务程序，从而导致网络服务程序在溢出后运行这段恶意代码。这是网络上最为常见的攻击手段。
　　特洛伊木马攻击
　　伪装成正常程序，或隐藏在正常程序中，诱导管理员或操作员运行程序，从而获得控制主机或破坏系统的权限。
　　病毒攻击
　　病毒往往采用上述两种攻击手段，不同的是，病毒会自动进行自我复制传播。例如：“红色代号”病毒就是一个典型采用缓冲区溢出攻击的病毒。
　　危害：恶意代码攻击一旦成功，恶意代码能够窃取、控制或破坏，运行时对应权限所能拥有的任何数据和资源，因此，危害性极大，危害程度难以估计，完全由恶意代码的逻辑决定。
　　类型：欺诈窃取、破坏

　　（7）拒绝服务攻击

　　描述：拒绝服务攻击主要通过大量占用有限的系统资源（如：网络带宽、主机CPU/内存资源等），导致正常用户无法访问系统服务。拒绝服务攻击并不以侵入主机、窃取数据为目的，是纯粹的破坏型攻击。
　　危害：拒绝服务攻击成功发生时，系统可用性急剧下降，无法为正常用户提供服务。
　　类型：破坏

　　（8）抵赖行为

　　描述：抵赖主要指用户对一些网上操作行为事后进行否定，如：调度员对动作行为事后进行否认。
　　危害：抵赖行为成功后，电力二次系统将造成不可估量的损失。
　　类型：欺诈

　　3.2客观因素导致的概率性事故分析

　　客观因素导致的概率性事故，主要有以下几种情况：
　　（1）关键组件失效
　　关键组件包括系统内部组件（主机节点、存储、软件构件等）和系统依赖的外部组件（路由器、网络线路等）。关键组件失效可能是由于软件设计错误、硬件故障、人为误操作等原因引起。关键组件失效将造成服务中断、数据丢失等危害。
　　据分析，2003年8月14日发生的美加大停电事故，原因是因为电力传输线路突然发生故障所致，这就属于关键组件失效造成的安全事故。

　　（2）自然灾害
　　自然灾害（如：火灾、台风、水灾、地震、海啸等）造成系统故障、数据被破坏，从而导致服务不可用。

　　4.结束语
　　在深入分析了电力信息系统的安全风险和威胁后，可以采用防火墙、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份、主机防护等技术和产品进行纵深防御，并对员工进行定期的安全培训，提高他们的技术水平和安全意识，从而保障电力信息系统的安全、稳定、优质运行。