電力信息系統(tǒng)信息安全管理關(guān)鍵技術(shù)分析

王帥

（國網(wǎng)河南許昌縣供電公司，河南 許昌 461000）

電力信息系統(tǒng)信息安全管理關(guān)鍵技術(shù)分析

王帥

（國網(wǎng)河南許昌縣供電公司，河南 許昌 461000）

電力信息系統(tǒng)信息安全管理是系統(tǒng)建設(shè)及維護的核心內(nèi)容，保證信息安全才能保證整個系統(tǒng)的運行安全，本文根據(jù)收集到的資料，結(jié)合自身在電力信息系統(tǒng)信息安全管理中的經(jīng)驗，分析了安全隔離技術(shù)、系統(tǒng)級安全技術(shù)等在電力信息系統(tǒng)信息安全管理中的應(yīng)用，希望能夠?qū)﹄娏ζ髽I(yè)的電力信息系統(tǒng)管理維護部門提供一些幫助和啟示。

電力信息系統(tǒng)；安全管理；虛擬專網(wǎng)

電力信息系統(tǒng)信息安全管理水平，主要受各種安全管理技術(shù)及其運用的影響，一般來說安全管理技術(shù)運用的越多、越合理，信息安全水平也就越高。其中的關(guān)鍵技術(shù)有很多，但主要集中在安全隔離技術(shù)、系統(tǒng)級安全技術(shù)等方面上。

一、安全隔離技術(shù)

（一）物理隔離技術(shù)。

物理隔離是在物理上將電力信息系統(tǒng)與因特網(wǎng)隔離開，控制內(nèi)部網(wǎng)與外部網(wǎng)之間的連接，通過防火墻、代理服務(wù)器直接和間接隔離。這種方法是方案病毒、黑客入侵、拒絕服務(wù)等網(wǎng)絡(luò)攻擊最簡單、最有效的手段。從目前國內(nèi)電力信息系統(tǒng)物理技術(shù)技術(shù)的運用來看，一般是在安全Ⅰ、Ⅱ區(qū)與安全Ⅲ、Ⅳ區(qū)之間設(shè)立物理安全隔離層，從而為電力信息同劃定了一個安全便捷，增強了整個網(wǎng)絡(luò)系統(tǒng)的可控性，結(jié)合安全管理、監(jiān)測、審計等技術(shù)，可以有效的預(yù)防攻擊發(fā)生和準(zhǔn)確的確定網(wǎng)絡(luò)攻擊 的來源，尤其是來自內(nèi)部的攻擊。物理隔離技術(shù)主要分為兩類，也就是時間隔離系統(tǒng)和安裝網(wǎng)絡(luò)隔離卡。其中，國內(nèi)主要采用前一種技術(shù)，也就是通過轉(zhuǎn)換器根據(jù)需要在內(nèi)外網(wǎng)之間進行切換，達到內(nèi)外以往之間的通信要求，主要是由物理隔離轉(zhuǎn)換裝置、數(shù)據(jù)暫存區(qū)等組成，其中還要運用防火墻技術(shù)、基于內(nèi)核的入侵檢測機書、安全皂搓技術(shù)等，從技術(shù)特點來看比較復(fù)雜，效果也比較好。第二種技術(shù)應(yīng)用也比較廣泛，也就是通過虛擬技術(shù)將一臺機器模擬為兩臺機器，虛擬的兩臺機器當(dāng)中有公共與安全兩種狀態(tài)，這兩種狀態(tài)是安全隔離的，硬盤也被劃分為安全和公共兩個分區(qū)，甚至可以安裝兩個硬盤。技術(shù)難度比較低，但是對計算機性能的要求比較高，有時候并不能避免人為操作帶來的危險，并且建設(shè)的成本相對也比較高。

（二）防火墻技術(shù)。

防火墻是在內(nèi)網(wǎng)與外網(wǎng)之間的一道安全屏障，主要預(yù)防潛在的破壞入侵，主要是通過檢測、限制和更改經(jīng)過防火前高的數(shù)據(jù)流，防止破壞性的數(shù)據(jù)流進入內(nèi)網(wǎng)，對外網(wǎng)屏蔽內(nèi)網(wǎng)的信息、運行等情況。目前，大多數(shù)操作系統(tǒng)內(nèi)部都嵌入了防火墻，主要有數(shù)據(jù)包過濾、應(yīng)用級網(wǎng)關(guān)管理、代理服務(wù)等功能。其中，數(shù)據(jù)包過濾是主要功能，在過濾的過程中由系統(tǒng)判斷其安全等級，這就需要預(yù)先設(shè)置過濾邏輯，在數(shù)據(jù)包到達防火墻以后也被存儲在緩存區(qū)之內(nèi)，由防火墻根據(jù)安全邏輯判斷數(shù)據(jù)包源地址、目的地址、端口號和協(xié)議狀態(tài)等因素，以判斷書否允許其通過。有的防火窮有主動識別技術(shù)，不同人工操作就可以阻止，有的則需要人工操作才能完成。當(dāng)然，目前操作系統(tǒng)內(nèi)嵌的防火墻的作用大大降低，但是可以安裝一些專業(yè)級的防火墻，有些專業(yè)的防火墻軟件可以通過定期的更新、打補丁等方式，對黑客入侵、病毒等起到有效的預(yù)防作用。

二、系統(tǒng)級安全技術(shù)

（一）操作系統(tǒng)安全。

任何一個計算機首先要安裝的就是操作系統(tǒng)，電力信息系統(tǒng)當(dāng)中每一臺計算機都有自己的操作系統(tǒng)。在安裝操作系統(tǒng)的時候絕大多數(shù)公司都購買了正版軟件，能夠使用系統(tǒng)自帶的安全加固措施和防火墻，并能夠定期更新。但也有少數(shù)電力企業(yè)為了降低成本使用了盜版安裝軟件，安全性上比較差， 并且多數(shù)本身就帶有病毒、木馬程序等，這一點應(yīng)該引起電力企業(yè)的注意。同時，電力信息系統(tǒng)所使用的操作系統(tǒng)多數(shù)是專業(yè)級，在使用過程中應(yīng)該在不同的平臺上應(yīng)用操作安全管理。比如說使用nuix平臺，要完善和優(yōu)化用戶管理，在Windows平臺上要開題用戶權(quán)限、限制部分用戶訪問功能，當(dāng)然所有的計算機都應(yīng)該安裝專業(yè)級正版殺毒軟件。

（二）數(shù)據(jù)庫系統(tǒng)安全。

數(shù)據(jù)庫系統(tǒng)安全是信息安全管理的最后一道物理防線，并且其它安全技術(shù)都是建立在數(shù)據(jù)庫的基礎(chǔ)之上的，這就決定了數(shù)據(jù)庫系統(tǒng)安全的重要地位?，F(xiàn)在，很多電力公司在信息系統(tǒng)建設(shè)當(dāng)中，忽視了數(shù)據(jù)庫系統(tǒng)安全，當(dāng)黑客破譯其它技術(shù)以后，就能直接入侵數(shù)據(jù)庫進行破壞。在數(shù)據(jù)庫系統(tǒng)安全當(dāng)中，電力企業(yè)在信息系統(tǒng)建設(shè)當(dāng)中有兩種選擇，也就是集中控制和分散控制。集中控制是通過單個授權(quán)者來控制系統(tǒng)的整個安全維護，分散控制是將管理程序控制數(shù)據(jù)路的不同部分單獨進行控制，在此基礎(chǔ)上形成最小特權(quán)策略、最大共享策略、開放與封閉系統(tǒng)、按名存取策略等功能，不同的策略安全防護級別和內(nèi)容有較大的差異。最小特權(quán)策略只能了解與自己相關(guān)的信息，最大共享策略是在保證信息保密控制條件下實現(xiàn)最大共享，但并不能隨意存儲信息，按名存取策略是按照操作者的名字對應(yīng)的權(quán)限范圍內(nèi)存取信息等，對應(yīng)不同權(quán)限的操作者，實現(xiàn)從外部操作上保證數(shù)據(jù)庫系統(tǒng)的安全。

總之，電力信息系統(tǒng)信息安全管理關(guān)鍵技術(shù)比較多，在應(yīng)用的過程中需要根據(jù)系統(tǒng)安全管理的需求，以及系統(tǒng)的特點確定使用何種技術(shù)，以最大程度的保障信息安全。

[1]余洋. 電力信息系統(tǒng)動態(tài)訪問控制研究[J]. 制造業(yè)自動化. 2012(21)

[2]牛方華,楊大哲,劉瑞芳. 電力信息系統(tǒng)結(jié)構(gòu)化查詢語言注入攻擊原理及安全防護[J]. 山西電力. 2014(04)

TM76

：A

：1671-864X（2015）10-0204-01