淺論電力信息網(wǎng)絡(luò)安全管理

【摘 要】電作為我國(guó)國(guó)民經(jīng)濟(jì)的基礎(chǔ)產(chǎn)業(yè)，是一切電子設(shè)備正常運(yùn)行的基礎(chǔ)，也是電力部門(mén)工作重點(diǎn)。隨著計(jì)算機(jī)信息技術(shù)的發(fā)展，大大增加了電力系統(tǒng)對(duì)信息系統(tǒng)的依賴性，網(wǎng)絡(luò)已成為我們工作中的重要組成部分。

【關(guān)鍵詞】問(wèn)題；網(wǎng)絡(luò)安全體系；安全策略；管理策略；檢測(cè)技術(shù)

1.電力系統(tǒng)信息網(wǎng)絡(luò)安全存在的問(wèn)題

1.1安全意識(shí)淡薄

企業(yè)人員忙于利用網(wǎng)絡(luò)工作學(xué)習(xí)，對(duì)網(wǎng)絡(luò)信息的安全性無(wú)暇顧及，安全意識(shí)相當(dāng)?shù)?。電力企業(yè)注重的是網(wǎng)絡(luò)效應(yīng)，對(duì)安全領(lǐng)域的投入和管理遠(yuǎn)遠(yuǎn)不能滿足安全防范的要求，網(wǎng)絡(luò)信息安全處于被動(dòng)的封堵漏涮狀態(tài)。

1.2信息化機(jī)構(gòu)、制度建設(shè)尚需進(jìn)一步健全

信息部門(mén)未受到應(yīng)有的重視。信息部門(mén)在電力公司沒(méi)有專門(mén)機(jī)構(gòu)配置，沒(méi)有規(guī)范的建制和崗位，信息部門(mén)附屬在生產(chǎn)技術(shù)部下，有的作為設(shè)在科技部下的科室，有的設(shè)在總經(jīng)理工作部門(mén)下，還有的僅設(shè)一個(gè)“信息化專責(zé)”人員。

1.3電力企業(yè)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的主要表現(xiàn)

1.3.1網(wǎng)絡(luò)結(jié)構(gòu)不合理

常見(jiàn)的有：核心交換機(jī)選擇不合理。不少企業(yè)網(wǎng)絡(luò)的核心交換機(jī)是一臺(tái)二層交換機(jī)，這樣，所有網(wǎng)絡(luò)用戶在網(wǎng)絡(luò)中的地位將是平等的，安全問(wèn)題只有通過(guò)應(yīng)用系統(tǒng)去解決。

1.3.2來(lái)自互聯(lián)網(wǎng)的風(fēng)險(xiǎn)

幾乎所有電力企業(yè)的網(wǎng)絡(luò)都是以各種方式與互聯(lián)網(wǎng)連接，企業(yè)用戶可以直接訪問(wèn)互聯(lián)網(wǎng)的資源，這給企業(yè)職工帶來(lái)很大方便；同樣，任何能上互聯(lián)網(wǎng)的用戶也可以訪問(wèn)企業(yè)網(wǎng)絡(luò)的資源，這對(duì)宣傳企業(yè)、擴(kuò)大企業(yè)的影響和知名度很有好處。但是，在帶來(lái)方便的同時(shí)，也帶來(lái)安全風(fēng)險(xiǎn)。

1.3.3來(lái)自企業(yè)內(nèi)部的風(fēng)險(xiǎn)

電力公司信息應(yīng)用集中集成的逐步推廣，各種應(yīng)用，包括辦公自動(dòng)化，財(cái)務(wù)管理系統(tǒng)，用電營(yíng)銷系統(tǒng)等生產(chǎn)，經(jīng)營(yíng)方面的重要系統(tǒng)投入在線運(yùn)行，越來(lái)越多的重要數(shù)據(jù)和機(jī)密信息都通過(guò)企業(yè)的內(nèi)部廣域網(wǎng)來(lái)傳輸。網(wǎng)絡(luò)中傳輸?shù)倪@些信息面臨著各種安全風(fēng)險(xiǎn)，例如被非法用戶截取從而泄露企業(yè)機(jī)密；被非法篡改，造成數(shù)據(jù)混亂，信息錯(cuò)誤從而造成工作失誤。非法用戶還有可能假冒合法身份，發(fā)送虛假信息，給正常的生產(chǎn)經(jīng)營(yíng)秩序帶來(lái)混亂，造成破壞和損失。

1.3.4病毒的侵害

計(jì)算機(jī)病毒的威脅最為廣泛：計(jì)算機(jī)病毒自產(chǎn)生以來(lái)，一直就是計(jì)算機(jī)系統(tǒng)的頭號(hào)敵人，在電力企業(yè)信息安全問(wèn)題中，計(jì)算機(jī)病毒發(fā)生的頻度大，影響的面寬，并且造成的破壞和損失也列在所有安全威脅之首。

1.3.5管理人員素質(zhì)風(fēng)險(xiǎn)

許多電力企業(yè)網(wǎng)絡(luò)都存在重建設(shè)、重技術(shù)、輕管理的傾向。實(shí)踐證明，安全管理制度不完善、人員素質(zhì)不高是網(wǎng)絡(luò)風(fēng)險(xiǎn)的重要來(lái)源之一。

1.3.6系統(tǒng)的安全風(fēng)險(xiǎn)

系統(tǒng)的安全風(fēng)險(xiǎn)主要指操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)和各種應(yīng)用系統(tǒng)所存在的安全風(fēng)險(xiǎn)。不管使用哪一種操作系統(tǒng)都存在大量已知和未知的漏洞，這些漏洞可以導(dǎo)致入侵者獲得管理員的權(quán)限，可以被用來(lái)實(shí)施拒絕服務(wù)攻擊。

2.電力信息網(wǎng)絡(luò)安全體系

信息網(wǎng)絡(luò)安全指的是為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因遭到破壞、更改和泄露信息安全應(yīng)該實(shí)行分層保護(hù)措施．有以下五個(gè)方面：（1）物理層面安全，環(huán)境安全，設(shè)備安全，介質(zhì)安全；（2）網(wǎng)絡(luò)層面安全，網(wǎng)絡(luò)運(yùn)行安全，網(wǎng)絡(luò)傳輸安全，網(wǎng)絡(luò)邊界安全；（3）系統(tǒng)層面安全，操作系統(tǒng)安全，數(shù)據(jù)庫(kù)管理系統(tǒng)安全；（4）應(yīng)用層面安全，辦公系統(tǒng)安全，業(yè)務(wù)系統(tǒng)安全，服務(wù)系統(tǒng)安全；（5）管理層面安全，安全管理制度，部門(mén)與人員的組織規(guī)則。

3.電力信息網(wǎng)絡(luò)安全策略

3.1設(shè)備安全策略

這是在企業(yè)網(wǎng)規(guī)劃設(shè)計(jì)階段就應(yīng)充分考慮安全問(wèn)題。將一些重要的設(shè)備，如各種服務(wù)器、主干交換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空，并有明顯標(biāo)記。防止意外損壞。

3.2安全技術(shù)策略

3.2.1防火墻技術(shù)

防火墻是用于將信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)隔離的一種技術(shù)．它通過(guò)單一集中的安全檢查點(diǎn)．強(qiáng)制實(shí)糟相應(yīng)的安全策略進(jìn)行檢查．防止對(duì)重要信息資源進(jìn)行非法存取和訪問(wèn)。電力系統(tǒng)的生產(chǎn)、計(jì)量、營(yíng)銷、調(diào)度管理等系統(tǒng)之間，信息的共享、整合與調(diào)用，都需要在不同網(wǎng)段之間對(duì)這些訪問(wèn)行為進(jìn)行過(guò)濾和控制，阻斷攻擊破壞行為，分權(quán)限合理享用信息資源。

3.2.2病毒防護(hù)技術(shù)

為免受病毒造成的損失，要采用的多層防病毒體系。即在每臺(tái)Pc機(jī)上安裝防病毒軟件客戶端，在服務(wù)器上安裝基于服務(wù)器的防病毒軟件．在網(wǎng)關(guān)上安裝基于網(wǎng)父的防病毒軟件。必須在信息系統(tǒng)的各個(gè)環(huán)節(jié)采用全網(wǎng)全面的防病毒策略。在計(jì)算機(jī)病毒預(yù)防、檢測(cè)和病毒庫(kù)的升級(jí)分發(fā)等環(huán)節(jié)統(tǒng)一管理。

3.3.3擬局域網(wǎng)技術(shù)(VLAN技術(shù))

VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域，每一個(gè)VLAN都包含l組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有相同的屬性。但由于它是邏輯而不是物理劃分，所以同一個(gè)IAN內(nèi)的各工作站無(wú)須放置在同一物理空LAN里。既這些工作站不一定屬于同一個(gè)物理IAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到其他VLAN中，有助于控制流量、控制廣播風(fēng)暴、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。

3.3.4數(shù)據(jù)備份及容錯(cuò)方案對(duì)于企業(yè)來(lái)說(shuō)，最珍貴的不是計(jì)算機(jī)、硬盤(pán)、CPU和顯示器等硬件設(shè)備，而是存儲(chǔ)在存儲(chǔ)介質(zhì)中的數(shù)據(jù)信息。因此對(duì)于一個(gè)信息管理系統(tǒng)來(lái)說(shuō)，數(shù)據(jù)備份和容錯(cuò)方案是必不可少的。應(yīng)用信息系統(tǒng)對(duì)電力行業(yè)系統(tǒng)安全解決方案的數(shù)據(jù)備份采用軟、硬結(jié)合的全面解決方案，包括磁帶機(jī)、備份管理軟件和存儲(chǔ)區(qū)域網(wǎng)絡(luò)在內(nèi)的各種技術(shù)，具有可靠性高、速度快、性能價(jià)格比高等特點(diǎn)。

3.3.5安全審計(jì)技術(shù)

隨著系統(tǒng)規(guī)模的擴(kuò)展與安全設(shè)施的完善，應(yīng)該引入集中智能的安全審計(jì)系統(tǒng)，通過(guò)技術(shù)手段，實(shí)現(xiàn)自動(dòng)對(duì)網(wǎng)絡(luò)設(shè)備日志、操作系統(tǒng)運(yùn)行日志、數(shù)據(jù)庫(kù)訪問(wèn)日志、業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行日志、安全設(shè)施運(yùn)行日志等進(jìn)行統(tǒng)一安全審計(jì)。及時(shí)自動(dòng)分析系統(tǒng)安全事件，實(shí)現(xiàn)系統(tǒng)安全運(yùn)行管理。

4.組織管理策略

4.1安全意識(shí)與安全技能

通過(guò)普及安全知識(shí)的培訓(xùn)，可以提高電力企業(yè)職員安全知識(shí)和安全意識(shí)。使他們具備一些基本的安全防護(hù)意識(shí)和發(fā)現(xiàn)解決某些常見(jiàn)安全問(wèn)題的能力。通過(guò)專業(yè)安全培訓(xùn)提高操作維護(hù)者的安全操作技能，然后再配合第三方安全技術(shù)和產(chǎn)品，將使信息安全保障工作得到提升。

4.2安全策略與制度

電力企業(yè)應(yīng)該從企業(yè)發(fā)展角度對(duì)整體的信息安全工作提供方針性指導(dǎo)，制定一套指導(dǎo)性的、統(tǒng)一的安全策略和制度。沒(méi)有標(biāo)準(zhǔn)，無(wú)法衡量信息的安全；沒(méi)有法規(guī)，無(wú)從遵循信息安全的制度；沒(méi)有策略，無(wú)法形成安全防護(hù)體系。安全策略和制度管理是法律管理的形式化、具體化，是法規(guī)與管理的接口和信息安全得以實(shí)現(xiàn)的重要保證。

4.3安全組織與崗位

電力企業(yè)的組織體系應(yīng)實(shí)行“統(tǒng)一組織、分散管理”的方式．建立一個(gè)有效、獨(dú)立的信息安全部門(mén)作為企業(yè)的信息安全管理機(jī)構(gòu)，全面負(fù)責(zé)企業(yè)范圍內(nèi)的信息安全管理和維護(hù)工作。

五、入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)（Intrusion Detection System，簡(jiǎn)稱IDS）得到了廣泛的應(yīng)用。銀行、電信、電力等行業(yè)都把入侵檢測(cè)系統(tǒng)作為安全防護(hù)的必備措施進(jìn)行了部署，我國(guó)政府更是要求涉密單位必須部署入侵檢測(cè)系統(tǒng)，以發(fā)現(xiàn)來(lái)自外部的入侵和來(lái)自內(nèi)部的異常行為并進(jìn)行預(yù)警。但是，隨著黑客技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊日益呈現(xiàn)集群化、自動(dòng)化、復(fù)合式、快速化等特點(diǎn)。應(yīng)對(duì)這些攻擊，傳統(tǒng)的能夠起到的作用越來(lái)越受限制，不容易對(duì)應(yīng)急響應(yīng)體系的建設(shè)進(jìn)行有效的支撐，從而不能形成“一盤(pán)棋”的預(yù)警體系。因此，必須降低系統(tǒng)面臨的風(fēng)險(xiǎn)、增強(qiáng)應(yīng)急響應(yīng)能力，使入侵檢測(cè)系統(tǒng)更好地支持應(yīng)急響應(yīng)。目前以天闐入侵檢測(cè)與預(yù)警系統(tǒng)”就是典型代表。它能夠與絕大多數(shù)知名品牌的防火墻、漏洞掃描系統(tǒng)、網(wǎng)管等其它安全產(chǎn)品進(jìn)行聯(lián)動(dòng)，組成入侵防御系統(tǒng)（Intrusion Protection System，簡(jiǎn)稱IPS）。為了提高IDS的可用性，提高對(duì)應(yīng)急響應(yīng)體系的支持力度，又著力加強(qiáng)了的安全防范及管理功能，提高對(duì)全局入侵行為的可視管理具有良好可視化、可控性、可管理性的新一代入侵檢測(cè)系統(tǒng)被稱為入侵管理系統(tǒng)（Intrusion Management System，簡(jiǎn)稱IMS）。結(jié)合國(guó)家電網(wǎng)公司的業(yè)務(wù)實(shí)際，未來(lái)IMS網(wǎng)絡(luò)將為國(guó)家電網(wǎng)公司帶來(lái)如下更加豐富、更加靈活的業(yè)務(wù)體驗(yàn)。

總之，電力系統(tǒng)信息安全是一個(gè)系統(tǒng)的、全局的管理問(wèn)題．我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)、方法，分析信息的安全及具體措施。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果．只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。