電力企業(yè)計算機網(wǎng)絡(luò)安全管理策略

劉鶴

國網(wǎng)青海省電力公司信息通信公司 青海西寧 810000

摘要：本文首先介紹了電力企業(yè)網(wǎng)絡(luò)安全的思想，進而分析了電力企業(yè)的計算機網(wǎng)絡(luò)安全隱患，并通過對電力企業(yè)網(wǎng)絡(luò)安全的需求的研究，提出了提高電力企業(yè)網(wǎng)絡(luò)安全的策略。

關(guān)鍵詞：電力企業(yè)；計算機；網(wǎng)絡(luò)安全

前言

科技的不斷進步，不僅促進了社會經(jīng)濟的不斷發(fā)展，更迎來了電力時代、網(wǎng)絡(luò)時代的到來。目前的電力系統(tǒng)，網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)系統(tǒng)相對封閉，電力系統(tǒng)出現(xiàn)的網(wǎng)絡(luò)安全問題也基本產(chǎn)生于內(nèi)部。隨著近年來與外界接口的增加，特別是與銀行等合作單位中間業(yè)務(wù)的接口、網(wǎng)上電力服務(wù)、三網(wǎng)融合、數(shù)據(jù)大集中應(yīng)用、內(nèi)部各系統(tǒng)間的互聯(lián)互通等需求的發(fā)展，其安全問題不僅僅局限于內(nèi)部事件了，來自外界的攻擊已越來越多，已經(jīng)成為電力企業(yè)不可忽視的威脅來源。所以，做好計算機的網(wǎng)絡(luò)安全工作是電力企業(yè)亟需解決的問題，要未雨綢繆盡，建立一個相對安全的網(wǎng)絡(luò)。

1、電力企業(yè)網(wǎng)絡(luò)安全的思想

1.1 先進的網(wǎng)絡(luò)安全技術(shù)。影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全漏洞掃描、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素，它們是設(shè)計信息安全方案所必須考慮的，是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。要選擇相應(yīng)的安全機制，集成先進的安全技術(shù)，形成全方位的安全系統(tǒng)。

1.2 嚴格的安全管理。計算機網(wǎng)絡(luò)使用機構(gòu)、企業(yè)、單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)管理辦法，加強內(nèi)部管理，建立適合的網(wǎng)絡(luò)安全管理系統(tǒng)和管理制度，加強培訓和用戶管理，加強安全審計和跟蹤體系，提高人員對整體網(wǎng)絡(luò)安全意識。

1.3 嚴格的法律法規(guī)。建立健全與網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)，加強安全教育和宣傳，嚴肅網(wǎng)絡(luò)規(guī)章制度和紀律，對網(wǎng)絡(luò)犯罪嚴懲不貸。

綜上所述，服從“集約化管理”的企業(yè)戰(zhàn)略，樹立集團平臺理念；注重企業(yè)使命，一切為生產(chǎn)經(jīng)營服務(wù)；保證“信息化長效機制和體制”，保證企業(yè)生產(chǎn)控制系統(tǒng)不受干擾，保證系統(tǒng)安全事件（計算機病毒、篡改網(wǎng)頁、網(wǎng)絡(luò)攻擊等）不發(fā)生，保證敏感信息不外露，保障意外事件及時響應(yīng)與及時恢復，數(shù)據(jù)不丟失。這些成為電力企業(yè)信息安全的思想。

2、電力企業(yè)的計算機網(wǎng)絡(luò)安全隱患

電力企業(yè)為了避免外力因素對電力生產(chǎn)系統(tǒng)造成一定程度的損害，一般情況下，其計算機網(wǎng)絡(luò)會將管理信息系統(tǒng)與電力生產(chǎn)系統(tǒng)隔開，這兩者之間的物理連接很少，而在生產(chǎn)控制系統(tǒng)中常見的風險一般為生產(chǎn)設(shè)備和控制系統(tǒng)的故障。管理網(wǎng)絡(luò)中常見的風險種類比較多，通?？梢詣澐譃橄到y(tǒng)合法用戶造成的威脅、系統(tǒng)非法用戶造成的威脅、系統(tǒng)組建造成的威脅和物理環(huán)境的威脅。比如比較常見的風險有操作系統(tǒng)和數(shù)據(jù)庫存在漏洞、合法用戶的操作錯誤、行為抵賴、身份假冒（濫用授權(quán)）、電源中斷、通信中斷、軟硬件故障、計算機病毒（惡意代碼）等，上述風險所造成的后果一般為數(shù)據(jù)丟失或數(shù)據(jù)錯誤，使數(shù)據(jù)可用性大大降低。網(wǎng)絡(luò)中的線路中斷、病毒發(fā)作或工作站失效、假冒他人發(fā)布言論等風險，會使數(shù)據(jù)完整性和保密性大大降低。鑒于管理網(wǎng)絡(luò)中風險的種類多、受到攻擊的可能性較大，因此生產(chǎn)控制系統(tǒng)和管理系統(tǒng)之間盡量減少物理連接。一般在需要數(shù)據(jù)傳輸，采用專用隔離裝置或防火墻，利用專用單向傳輸方式和專用的通信線路進行數(shù)據(jù)的傳輸。

3、電力企業(yè)網(wǎng)絡(luò)安全的需求

一般電力系統(tǒng)的安全系統(tǒng)規(guī)劃主要從安全產(chǎn)品、安全策略、安全的人 3 方面著手，其中安全策略是安全系統(tǒng)的核心，直接影響安全產(chǎn)品效能的發(fā)揮和人員的安全性，定置好的安全策略將成為系統(tǒng)打造網(wǎng)絡(luò)安全最重要的環(huán)節(jié)，必須引起發(fā)電系統(tǒng)高度重視。安全產(chǎn)品主要為控制和抵御黑客和計算機病毒通過各種形式對網(wǎng)絡(luò)信息系統(tǒng)發(fā)起的惡意攻擊和破壞，是抵御外部集團式攻擊、確保各業(yè)務(wù)系統(tǒng)之間不產(chǎn)生消極影響的技術(shù)手段和工具，是確保業(yè)務(wù)和業(yè)務(wù)數(shù)據(jù)的完整性和準確性的基本保障，需要兼顧成本和實效。

4、電力企業(yè)提高網(wǎng)絡(luò)安全的策略

4.1 建立健全管理制度

如果沒有一個完善的管理制度，再好的措施在執(zhí)行時都會出現(xiàn)不同程度的問題，而對于網(wǎng)絡(luò)安全來說是容不得一點失誤的，任何失誤都有可能為網(wǎng)絡(luò)安全帶來不確定的影響。所以必須做到如下幾點：對安全管理等級和完全管理范圍進行明確的劃分；制定出完善的網(wǎng)絡(luò)操作使用規(guī)程和人員出入機房管理制度；最后是制定出網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。

4.2 計算機硬件的安全防護

為了避免被人為的破壞和各種自然災(zāi)害帶來的損失，要對計算機的硬件進行安全防護，它指的是對計算機硬件設(shè)備、計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件的安全防護，同時還包括了對通信鏈路等各種連接設(shè)備進行保護。所以，如何抑制與防止電磁泄漏在計算機硬件安全策略中是一個十分重要的問題。因為系統(tǒng)的顯示屏、機殼縫隙、鍵盤、連接電纜和接口等處會發(fā)生信息的電磁泄漏，而電磁泄漏也會泄漏機密。對于這種情況的主要的措施有：

①對計算機設(shè)備內(nèi)部產(chǎn)生和運行串行數(shù)據(jù)信息的部件、線路和區(qū)域采取電磁輻射發(fā)射抑制措施和傳導發(fā)射濾波措施，并視需要在此基礎(chǔ)上對整機采取整體電磁屏蔽措施，減小全部或部分頻段信號的傳導和輻射發(fā)射，對電源線和信號傳輸線則采取接口濾波和線路屏蔽等技術(shù)措施，最大限度的達到抑制電磁信息泄漏源發(fā)射的目的；

②使用電磁屏蔽技術(shù)，將涉密計算機設(shè)備或系統(tǒng)放置在全封閉的電磁屏蔽室內(nèi)；

③使用噪聲干擾法，即在信道上增加噪聲，從而降低竊收系統(tǒng)的信噪比，使其難以將泄漏信息還原。

4.3 嚴格進行行訪問控制

①入網(wǎng)控制。入網(wǎng)訪問控制是對用戶可以登錄的時間和允許他們可以登入的工作站進行控制。

②網(wǎng)絡(luò)權(quán)限控制。網(wǎng)絡(luò)權(quán)限控制的做法是根據(jù)用戶組與用戶的身份賦予相應(yīng)的權(quán)限，并對用戶與用戶組可以訪問哪些資源和進行什么操作進行規(guī)定限制。

③目錄級安全控制。該種控制指的是對用戶在目錄一級的文件和子目錄的權(quán)限進行控制，例如用戶的讀權(quán)限、寫權(quán)限等。第四種是屬性安全控制。屬性安全控制指的是網(wǎng)絡(luò)管理員根據(jù)需求為給各種文件和目錄所指定相應(yīng)的安全訪問屬性。第五種是服務(wù)器安全控制。該種控制指的是為服務(wù)器設(shè)置口令、登錄時間限制、非法訪問者檢測等，以防止非法用戶對信息的修改和破壞等。

④防火墻控制。防火墻控制，在內(nèi)部網(wǎng)與外部網(wǎng)的節(jié)點上安裝防火墻對一些危險的數(shù)據(jù)信息進行過濾已形成一個較為安全的網(wǎng)絡(luò)環(huán)境。

4.4 進行數(shù)據(jù)加密

①鏈路加密。鏈路加密是傳輸數(shù)據(jù)僅在物理層前的數(shù)據(jù)鏈路層進行加密，它必須要求節(jié)點本身是安全的，否則其加密也相當于沒有加密；

②端到端加密。該加密方式允許數(shù)據(jù)在從源點到終點的傳輸過程中始終以密文形式存在，與鏈路加密和節(jié)點加密相比更可靠，更容易設(shè)計、實現(xiàn)和維護，它的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；

③節(jié)點加密。目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。而各個電力企業(yè)應(yīng)該根據(jù)其自身的需求去選擇合適的加密算法。

5、結(jié)束語

總之，隨著科技的不斷進行，網(wǎng)絡(luò)時代進程的加快，計算機網(wǎng)絡(luò)技術(shù)已經(jīng)被成熟的應(yīng)用到各個領(lǐng)域、各個行業(yè)。其中由于電力企業(yè)具有自己眾多的網(wǎng)絡(luò)資源，網(wǎng)絡(luò)應(yīng)用已涉及到了電力系統(tǒng)工作的方方面面，但靈活應(yīng)用的網(wǎng)絡(luò)環(huán)境中存在信息安全問題。因此，做好電力企業(yè)計算機網(wǎng)絡(luò)的安全管理勢在必行。

參考文獻：

[1]魏寶林，李屹烜，電力企業(yè)網(wǎng)絡(luò)安全存在的問題和對策[J]，科技風，2013-09-15

[2]汪江，談網(wǎng)絡(luò)安全技術(shù)與電力企業(yè)網(wǎng)絡(luò)安全解決方案研究[J]，價值工程，2012-10-28

[3]王磊，電力自動化系統(tǒng)的網(wǎng)絡(luò)安全研究[J]，中國化工貿(mào)易，2012，04（1）