電力系統(tǒng)信息組網(wǎng)的若干安全問題

顧飛 張敏

摘要 網(wǎng)絡(luò)用戶的多樣化以及Internet已經(jīng)滲透到各個領(lǐng)域?？陀^地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾。電力系統(tǒng)是一個獨立龐大的組織，其內(nèi)部信息組網(wǎng)同樣難免有各種安全問題，本文細(xì)致分析當(dāng)前網(wǎng)絡(luò)安全的各個方面，把電力組網(wǎng)中應(yīng)該遵守的部分予以總結(jié)。

關(guān)鍵詞 網(wǎng)絡(luò)系統(tǒng)；信息安全；入侵檢測

中圖分類號TM7 文獻(xiàn)標(biāo)識碼A 文章編號 1674-6708（2011）43-0075-02

Some Security Problem of the Network Information Systems of Electricity Systems

GU Fei，ZHANG Min

Chuzhou suburban Electricity Company limited CO LTD，Chuzhou 239000

Abstract With the diversity of internet users and internet have been sink into every area. Objectively, no one internet can abstain boring of safe. Electricity System is a form with single and large, but inner information is also hard to avoid any other safety issues. This essay carefully analysis every safety aspects of internet currently, and summarize which issues should abbey in electricity internet.

Keywords Network systems；Information security；Intrusion detection

社會在進(jìn)步，各種技術(shù)發(fā)展突飛猛進(jìn)，互聯(lián)網(wǎng)亦然。一方面，隨著全球各種人群的介入，網(wǎng)絡(luò)黑客的各種手段攻擊和入侵手段多樣和密集；另一方面，各行各業(yè)與互聯(lián)網(wǎng)的聯(lián)系越來越密切，互聯(lián)網(wǎng)信息成為關(guān)鍵的一環(huán)。網(wǎng)絡(luò)安全以及網(wǎng)絡(luò)數(shù)據(jù)信息的安全，正在成為與公司，政府，國防，以及個人的切身利益有重大關(guān)聯(lián)的頭等大事。沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20s就有一個網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過100億美元。

中國電力電網(wǎng)公司的行業(yè)特殊性導(dǎo)致電力系統(tǒng)分支龐大，很多分公司，供電所，電廠已經(jīng)相配套的能源設(shè)施分布復(fù)雜，經(jīng)?？缡】绲貐^(qū)，設(shè)置國外設(shè)置分公司，偏遠(yuǎn)山區(qū)的供電所，變電站多不勝數(shù)。電力公司總部，各公司各分支部門的業(yè)務(wù)網(wǎng)，信息網(wǎng)，收費服務(wù)網(wǎng)相互交叉，如何合理安排，如何合理連接，如何保證各部門高效安全進(jìn)行信息交流和溝通是電力組網(wǎng)網(wǎng)絡(luò)管理部門必須解決的頭等大事。

省市一級的公司、總部規(guī)模一般都比較大，相應(yīng)的業(yè)務(wù)組網(wǎng)都采用專用專線，通過租借網(wǎng)絡(luò)運(yùn)營商來連接總部，分部的業(yè)務(wù)信息等內(nèi)網(wǎng)，在內(nèi)部網(wǎng)絡(luò)上進(jìn)行內(nèi)部的業(yè)務(wù)信息溝通，這種組網(wǎng)方式存在的問題在于組網(wǎng)貴，信息不安全，網(wǎng)絡(luò)覆蓋率差，很多偏遠(yuǎn)地方也沒有能力讓專線覆蓋到，這些多公司的整體業(yè)務(wù)規(guī)劃，運(yùn)營模式都造成了很多反向影響。

網(wǎng)絡(luò)安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公文信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重的影響工作。所以安全產(chǎn)品的選型事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。

網(wǎng)絡(luò)與信息安全平臺的任務(wù)就是創(chuàng)建一個完善的安全防護(hù)體系，對所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，做到事前預(yù)防、事中報警并阻止，事后能有效的將系統(tǒng)恢復(fù)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。所以網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：

全局考慮：遵循中心統(tǒng)一調(diào)配，各單位分類分別監(jiān)察的原則，水總是從最矮的環(huán)節(jié)漏出，全局整體考慮，不遺漏。

綜合協(xié)調(diào)：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，在各地方建立網(wǎng)絡(luò)安全設(shè)施體系的同時必須建立相應(yīng)的制度和管理體系。

保持平衡：安全措施的實施必須以根據(jù)安全級別和經(jīng)費限度統(tǒng)一考慮，保持協(xié)調(diào)。網(wǎng)絡(luò)中相同安全級別的保密強(qiáng)度保持一致。

集中管理：所有的數(shù)據(jù)產(chǎn)品要求在數(shù)據(jù)中心進(jìn)行集中管理，這樣才能保證在中心服務(wù)器上可以掌握備份和處理全局敏感數(shù)據(jù)。

交叉控制：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計。

綜上所述，一個好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個部分組成：

1）防火墻

網(wǎng)絡(luò)防火墻是保證網(wǎng)絡(luò)數(shù)據(jù)和控制安全的重要防線，阻隔網(wǎng)絡(luò)黑客的惡意攻擊。其主要作用是根據(jù)網(wǎng)絡(luò)訪問數(shù)據(jù)的來源和目的對訪問數(shù)據(jù)流識別，禁止非法訪問，放行合法數(shù)據(jù)流。其最大的意義就是筑起一道防護(hù)墻，提供統(tǒng)一的安全策略。降低管理成本和內(nèi)在風(fēng)險。所以設(shè)置安全策略是非常重要的

2）入侵檢測

檢測入侵就是通過掃描訪問數(shù)據(jù)流里的某些特征字段，或者探測網(wǎng)絡(luò)本身系統(tǒng)的異常，例如主機(jī)病毒等來發(fā)覺某些系統(tǒng)攻擊。察覺異樣就報警并作出相應(yīng)處理，或者根據(jù)預(yù)定的處理步驟作出反應(yīng)，例如隔斷該數(shù)據(jù)流的IP，或者不返回數(shù)據(jù)。從某種意義上說，入侵檢測不能完全精確的發(fā)現(xiàn)所謂的攻擊痕跡。Hacker可以講一些常用的網(wǎng)絡(luò)攻擊交叉，并行組合成另外形式的攻擊，而入侵預(yù)防系統(tǒng)不可能把所有的攻擊形式或者相變異的形式都概括進(jìn)來。所以不能在思想上確定入侵檢測系統(tǒng)是萬能的概念，隨時做好預(yù)防補(bǔ)救措施。

3）安全考核管理

該系統(tǒng)必須時刻檢測網(wǎng)絡(luò)中和主機(jī)系統(tǒng)，客戶交換系統(tǒng)中各類與安全息息相關(guān)的事件，比如資料復(fù)制，資料外泄，文件刪除、破壞，非法登錄等，將這些情況真實記錄，并能對重大違規(guī)行為及時中斷。所有的這些手段就好像讓罪犯留下證據(jù)，在后期處理時能夠提供寶貴的偵破和取證數(shù)據(jù)，并防止被銷毀和篡改。其后續(xù)步驟應(yīng)該是根據(jù)證據(jù)和數(shù)據(jù)，跟蹤下次違規(guī)行為并提前做出防范措施。經(jīng)過多次學(xué)習(xí)剔除等，系統(tǒng)考慮做出記錄什么樣的數(shù)據(jù)已經(jīng)在什么條件下記錄等。

4）防病毒以及特洛伊木馬

計算機(jī)病毒的危害不言而喻，計算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，就是一黑客使用特洛伊木馬所為。

5）做好安全保密教育工作

網(wǎng)絡(luò)安全的宣傳普及，相關(guān)的防泄密保安全的措施的嚴(yán)格執(zhí)行是保證公司內(nèi)部安全的重要保障。做好重要文件和數(shù)據(jù)的隔段備份，也是信息安全的重要后補(bǔ)措施，防止惡意攻擊和意外災(zāi)害帶來的無可挽回性損失。

我們假設(shè)某電力系統(tǒng)整體結(jié)構(gòu)是—通過WAN連接的二級網(wǎng)絡(luò)，整個網(wǎng)絡(luò)分為內(nèi)網(wǎng)和外網(wǎng)兩個網(wǎng)，內(nèi)外網(wǎng)之間物理隔離。網(wǎng)絡(luò)中心與下屬7個分單位通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，在網(wǎng)絡(luò)每一級的節(jié)點上具有一個局域網(wǎng)，在二級網(wǎng)絡(luò)上運(yùn)行著電力業(yè)務(wù)系統(tǒng)、辦公自動化服務(wù)等，該網(wǎng)由網(wǎng)絡(luò)中心和7個分單位組成。在給各局域網(wǎng)出入口安裝防火墻。在關(guān)鍵部位安放入侵檢測系統(tǒng)，而且所有的服務(wù)器和普通PC機(jī)需要安裝防病毒軟件。而且這些防火墻和入侵檢測系統(tǒng)需要集中在數(shù)據(jù)中心進(jìn)行管理和審計。對重要的數(shù)據(jù)和文件做好隔期備份，切實做好網(wǎng)絡(luò)安全是高效完成經(jīng)營業(yè)務(wù)的有效保證。

參考文獻(xiàn)

[1]肖紅亮.電力系統(tǒng)網(wǎng)絡(luò)安全及其對策淺析[J].科技信息，2010(3).

[2]趙聰銳.數(shù)字圖書館的網(wǎng)絡(luò)安全與防范對策[J].科技情報開發(fā)與經(jīng)濟(jì)，2007(13).

[3]馬莉.基于防火墻病毒防護(hù)的計算機(jī)網(wǎng)絡(luò)安全[J].科技資訊，2010(2).

[4]趙建平.信息安全風(fēng)險及對策研究[J].科技情報開發(fā)與經(jīng)濟(jì)，2004(5).

[5]丁振波.淺論醫(yī)院信息系統(tǒng)的安全管理[J].今日科苑，2009(6).

[6]白海濤，馬惠鋮.小型局域網(wǎng)安全策略研究[J].科技資訊，2009(33).

[7]徐俊.電力二次系統(tǒng)信息網(wǎng)絡(luò)安全防護(hù)體系整改的探討[J].湖北電力，2010(1).

[8]徐嚴(yán)軍.淺談電力行業(yè)網(wǎng)絡(luò)安全解決方案[J].價值工程，2010(27).