2023年6月24日发(作者：)

2019年10月电力讯息247针对横向NAT防火墙的网络安全威胁分析贵州兴义562400）（南方电网超高压输电公司天生桥局，梁昌奇，林礼华姚发兴，张正江，【摘要】在电力监控系统中，横向NAT防火墙是二次安防设备中，重要的安全防护设备。横向NAT防火墙在作为安全防护设备，自身的具有但也存在着部分风险。本文主要针对横向NAT防火墙存在的风险进行分析，阐述了黑客如何很强的安全性，具有访问控制和地址转换等功能，通过直接和间接方式对横向NAT防火墙进行攻击，本文最后，给出了防御措施。主机加固；【关键词】横向NAT防火墙；访问控制；DDOS攻击【中图分类号】【文献标识码】【文章编号】（2019）TP393.08A1006-422210-0247-02按照叶电力监控系统安全防护规定曳渊国家发展和改革委员会令2014年14号冤尧叶中国南方电网电力监控系统安全防护管理办法曳等规定袁坚持野安全分区尧网络专用尧横向隔离尧纵向认证冶的原则遥在电力调度数据网部署横向NAT防火墙装置袁使生产控制大区和管理信息大区内部的安全区之间实现逻辑隔离[1]遥横向NAT防火墙对保证调度数据网传输数据的可靠性尧稳定性有重要作用袁研究横向NAT防火墙装置的安全相关性能具有重要意义遥目前与NAT防火墙装置有关的研究多围绕在NAT防火墙的使用和技术来展开袁对于NAT防火墙的可用性尧安全性的研究较少遥由于NAT防火墙在调度数据网中袁是将生产玉区和生产域区业务进行逻辑隔离袁生产域区的安全等级低于生产玉区袁相关防护措施不是太高袁运维人员放松了警惕袁所以其往往成为黑客或不法分子攻击的重要对象遥横向NAT防火墙的主要功能是在换流站调度数据网中袁使用ACL策略袁将两个信任程度不同的网络进行数据访问控制袁使不被策略运行的数据通过防火墙袁构成了网络安全的第一道防线遥此外袁横向NAT防火墙袁还能将安全玉区和安全域区的地址进行转换袁隐藏了厂站装置的真实IP地址袁避免了安全玉区装置直接与总调尧中调尧各厂站之间的通信[2]遥但是NAT防火墙在安全性上袁存在很大的风险遥横向防火墙主要性能指标有两个院淤可用性袁能否对内部网络和外部网络提供过滤和地址转换服务袁能否提供抵抗外部攻击的能力曰于安全性袁通过横向NAT防火墙数据袁能具备身份识别及验证尧信息的保密性保护尧信息的完整性校验尧系统的访问控制机制尧授权管理等遥从网络结构上袁从图1所知袁横向防火墙位于调度数据网纵向加密与二次安防交换机之间袁而由于纵向加密装置的安全性非常的高袁如果位于换流站外面的黑客袁攻击横向NAT防火墙的可能性很小遥因此袁对于NAT防火墙来说袁换流站外的攻击不是主要安全威胁袁外部进入NAT防火墙传输的数据安全是有保证的遥但是对于现有电力监控系统的运行管理机制袁对防火墙的安全性和可用性造成带来严重的威胁遥换流站内电力监控系统主机大部分仍然使用Windows操作系统袁Windows系统存在较多的系统漏洞袁由于考虑到业务的连续性袁很难对Windows系统进行补丁安装曰另外袁电力监控系统主机考虑到安全程序会被误杀的袁所以很大一部分电脑也未安装杀毒软件袁导致主机中存在一部分病毒曰此外袁部分电力监控系统主机使用弱口令袁密码很容易被破解袁成为黑客肉鸡遥由于Windows系统尧Linux系统安全加固要求较高袁部0引言1横向NAT防火墙的潜在威胁图1变电站内生产系统网络架构2针对防火墙的间接攻击分运维人员技术没有达到要求袁未能及时开启计算机审计功能尧关闭端口尧关闭共享和关闭不必要的服务等袁都为黑客攻击NAT防火墙打开了方便的大门遥这个病毒等袁运维人员插入U盘和网线等袁在这些过程中袁存在被恶意分子利用的隐患遥通过总结袁对防火墙的攻击主要有两种院淤针对NAT防护墙的直接攻击曰于针对NAT防火墙的间接攻击遥如上所述袁位于换流站外的攻击者是很难实施对换流站电力监控系统进行攻击的袁特别对个人来说袁几乎是不可能的袁除非是国家尧组织或者军队的力量进行长时间尧大规模尧有针对性的渗透攻击遥在换流站内部袁对于电力监控系统来说袁是分成的脆弱的袁首先袁对于NAT防火墙来说袁存在很多的漏洞袁攻击者袁可以利用NAT防火墙自身的漏洞袁进行直接的攻击遥目前国内NAT防火墙生产厂商均使用Linux作为NAT防火墙的操作系统袁Linux作为开源的操作系统袁具有安全性高尧可伸缩性强的有点遥但是袁Linux也不是完美的袁也存在一定的漏洞袁而且特定Linux版本的操作系统漏洞是公开的遥另外袁NAT防火墙使用的数据库尧中间件尧客户端软件均存在不同层度的漏洞和不安全性袁也给黑客查找漏洞和弱点袁提供便利性遥对于NAT防火墙来说袁一旦投入使用袁由于电力行业的连续工作的特点袁很难对其应用程序和操作系统进行升级遥攻击者可以利用Linux和应用程序的漏洞对NAT防火墙进行攻击袁攻击成功后袁提升权限袁可以更改NAT防火墙装置2.1针对NAT防火墙的直接攻击248电力讯息2019年10月初探分布式电源对供电可靠性的影响邱李晋杰，（国网南平供电公司，福建南平353000）华加上设备质量及用户安全意识不足的限制，给配电网【摘要】分布式电源并网是电力系统改革的主要方向之一。分布式电源的灵活性较大，给出分布式电源并网后，保证供电可靠的运行安全带来一定影响。本文介绍分布式电源理论基础，重点分析分布式电源对供电可靠性的影响，提升供电可靠性。性的具体措施。进一步推动分布式电源在电力系统中的普及，供电可靠性【关键词】分布式电源；配电网；【中图分类号】【文献标识码】【文章编号】（2019）TM732A1006-422210-0248-02分布式电源指的是直接接入配电网或安装在负荷节点处的发电设备袁可显著提升供电活动的稳定性尧有效性和经济性袁以满足用户多样化的用电需求遥当前主流的分布式电源包括风力发电尧光伏发电尧微型燃气轮机发电等袁以上分布式电源本身都存在明显的优势和不足袁需要结合配电网及特殊用户的实际需求进行选择遥分布式电源并网系统的设置目的是为了更好满足用户的用电需求袁降低配电网的运行成本遥一般情况下袁并网系统的设置要满足环境友好的要求袁并遵照就近原则遥分布式电源并网系统能源可以是可再生能源或不可再生能源遥以可再生能源为例袁此类型的并网系统可将废热尧废气等资源回收利用袁进行电能及热能的生产遥分布式电源并网系统可依照不同的标准进行分类遥如依0引言1分布式电源理论简介照是否需要与电网相连分成电源-用户及电源-配电网-用户两种类型曰依照产品构成不同又可被分为热电冷三联产和热电联产[1]遥相较于未接入电网的并网系统袁电源-配电网-用户类型的运行效率更高袁一般可达到75%左右遥但电源-用户类型在运行时不会给环境带来任何的污染袁其运行效率最高可达到50%遥当前袁热电冷三联产可最大限度的激发电源性能袁带来的环境损伤很小袁因此被作为未来分布式电源的主要发展趋势遥2分布式电源对供电可靠性的影响2.1对供电稳定的影响保证供电稳定性是电力用户对电力服务的最基本要求袁也关系到供电企业社会形象的建立和维护遥配电网作为电力系统的核心构成袁直接与供电稳定性相关遥配电网负责电力的输送和分配袁覆盖面积大尧分支较多袁因此故障发生率较高袁其供电可靠性备受关注遥将分布式电源并入到配电网当中袁供电的配置袁关闭NAT防火墙的服务袁还可以实现其他方式的攻击遥例如伪造控制报文发给远动装置袁造成变电站内开关错误分合等遥NAT防火墙的可用性可以理解为两点院淤作为一台网络中间设备能够正常传输数据曰于作为一台网络安全设备应能对其传输的数据提供访问控制尧身份验证遥因此针对NAT防火墙的可用性攻击可以考虑两个方面袁一方面令NAT防火墙无法正常传输网络数据袁另一方面如果NAT防火墙可以传输数据袁令其无法对传输的数据无法进行访问控制和身份验证遥这两种攻击方向均可以视为对NAT防火墙提供服务能力的攻击袁令NAT防火墙失去或下降服务能力袁成为事实上的拒绝服务攻击遥NAT防火墙作为一种网络设备袁处理网络数据流量是有限度的袁一旦超过NAT防火墙的标称流量限度袁NAT防火墙将失去所有功能遥攻击者可以利用TCP/IP尧UDP尧NTP等协议的漏洞袁采用SYNflood尧ACKflood尧ICMPflood尧UDPflood尧NTPflood尧DNSflood等攻击方式对NAT防火墙进行DDOS攻击遥在换流站内部袁攻击者发起DDOS攻击的方式主要是利用了换流站内主机的漏洞和相关运维者的管理方法不够完善遥攻击者可以利用如上文所述的操作系统主机加固没完成尧端口未关闭尧开启了135尧139尧445尧3389等高危端口尧USB端口和网口未上锁等遥都可能成为黑客利用袁发起DDOS攻击的源头遥3防御措施2.2针对NAT防火墙的间接攻击随着网络攻击手段的不断进步袁目前按照叶电力监控系统安全防护规定曳采取的安全措施并不足以应对电力监控系统面临的巨大威胁遥应注重横向NAT防火墙自身的安全袁在NAT防火墙和接入交换机之间袁应部署抗DDOS攻击设备袁抗DDOS攻击设备负责抵御网络的攻击袁NAT防火墙负责控制策略转发的地址转换功能遥两者协调工作袁串行部署遥对于电力监控系统的安全袁技术手段和管理手段结合使[3]用遥换流站的运维者袁应该建立电力监控系统信息安全体系建设袁应该针对NAT防火墙编制风险评估报告和应急处置方案袁以有效的安全管理作为基础袁强化NAT防火墙的维护技术技能袁最终保护电力监控系统的安全稳定运行遥[1]刘博袁齐岩袁秦岩.防火墙在电力系统应用与研究[J].网络财富袁2010袁6渊6冤院147-148.[2]贺抒袁梁昔明.NAT技术分析及其在防火墙中的应用[J].微计算机信息渊测控自动化冤袁2005渊21冤院167-168.[3]刘淼.浅谈网络安全技术[J].网络财富袁2010袁6渊6冤院148-149.参考文献收稿日期：2019-08-19作者简介：姚发兴渊1987-冤袁男袁云南大理人袁工程师袁从事电力信息通信系统运行和维护工作遥