供電企業(yè)信息安全防護(hù)措施的分析

王芬 吳海濤 李雪 張哲宇 吳家奇

摘要：在信息化社會(huì)中，電力系統(tǒng)和網(wǎng)絡(luò)信息應(yīng)用密切相關(guān)，而確保電力公司內(nèi)部的信息安全，防止發(fā)生風(fēng)險(xiǎn)是所有供電企業(yè)的必要工作。綜合供電企業(yè)系統(tǒng)運(yùn)行和網(wǎng)絡(luò)信息的具體狀況，詳細(xì)介紹了保護(hù)信息安全的各種手段，使供電企業(yè)在信息安全的基礎(chǔ)上不斷完善技術(shù)管理手段。

關(guān)鍵詞：供電企業(yè);信息安全;防護(hù)措施;電力系統(tǒng)

隨著電力信息化建設(shè)的不斷完善，電力系統(tǒng)更加依賴信息系統(tǒng)和信息網(wǎng)絡(luò)。由于電力信息系統(tǒng)利用網(wǎng)絡(luò)實(shí)現(xiàn)信息共享，這就使得一些非法入侵者利用某些技術(shù)手段破壞系統(tǒng)，進(jìn)而威脅到電力系統(tǒng)的安全，為系統(tǒng)的安全運(yùn)行埋下巨大的隱患，嚴(yán)重的甚至還會(huì)造成大范圍停電等。因此，確保電力企業(yè)內(nèi)部的信息安全，排除隱患，規(guī)避風(fēng)險(xiǎn)，是目前電力企業(yè)急需解決的問(wèn)題。

1企業(yè)信息安全網(wǎng)絡(luò)現(xiàn)狀分析

1.1自然安全因素

供電企業(yè)MIS網(wǎng)中網(wǎng)絡(luò)設(shè)備、軟硬件系統(tǒng)以及電力及其他設(shè)施各個(gè)組成部分的實(shí)體安全是企業(yè)網(wǎng)信息安全以及實(shí)現(xiàn)各項(xiàng)設(shè)計(jì)預(yù)定功能的基礎(chǔ)，而自然環(huán)境中的一些安全因素都可能給企業(yè)網(wǎng)絡(luò)的實(shí)體安全造成潛在的威脅。威脅企業(yè)MIS網(wǎng)實(shí)體及信息安全的自然因素主要包括兩大類，也就是自然災(zāi)害和環(huán)境干擾這兩類因素。由于自然災(zāi)害和環(huán)境干擾這兩種自然因素都可能給企業(yè)MIS網(wǎng)帶來(lái)不同程度的損失，所以在企業(yè)MIS網(wǎng)建設(shè)中應(yīng)該采用一些措施來(lái)防范這些自然因素的威脅，這些措施包括企業(yè)計(jì)算機(jī)機(jī)房的防震、防雷設(shè)計(jì)，防范火災(zāi)的消防和報(bào)警措施、采用保證電力供給的不間斷電源系統(tǒng)以及穩(wěn)壓和過(guò)載保護(hù)設(shè)備、采用空調(diào)設(shè)備維護(hù)計(jì)算機(jī)環(huán)境穩(wěn)定的工作溫度等等。此外，對(duì)于供電企業(yè)網(wǎng)絡(luò)系統(tǒng)，盡管已經(jīng)通過(guò)各種技術(shù)措施的采用來(lái)對(duì)各種自然因素的安全威脅進(jìn)行防范，但并不可能完全消除各種安全威脅，因而制定一個(gè)完整的災(zāi)難恢復(fù)計(jì)劃也是針對(duì)各種自然威脅的安全計(jì)劃的重要組成部分。

1.2人為安全因素

人為因素是供電企業(yè)MIS網(wǎng)面臨的最大的安全因素。這些因素既包括網(wǎng)絡(luò)系統(tǒng)用戶由于誤操作或者對(duì)于企業(yè)網(wǎng)絡(luò)的訪問(wèn)控制策略的不了解、理解錯(cuò)誤而引起的各種安全問(wèn)題，也包括內(nèi)部用戶或者企業(yè)網(wǎng)絡(luò)外部人員對(duì)企業(yè)網(wǎng)絡(luò)的有意破壞行為?？赡軐?duì)企業(yè)MIS網(wǎng)安全構(gòu)成威脅的人員可以分為兩類，一類是網(wǎng)絡(luò)用戶，另一類是網(wǎng)絡(luò)外部人員。網(wǎng)絡(luò)用戶是指根據(jù)網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)和管理規(guī)定，有權(quán)使用部分或者全部功能、或者有權(quán)管理部分或者全部網(wǎng)絡(luò)的人員，網(wǎng)絡(luò)用戶通常包括各種網(wǎng)絡(luò)服務(wù)或者應(yīng)用的用戶、主機(jī)系統(tǒng)的系統(tǒng)管理員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)安全管理員等等。而網(wǎng)絡(luò)外部人員指包括企業(yè)內(nèi)部沒(méi)有權(quán)力使用網(wǎng)絡(luò)的員工在內(nèi)的所有不允許使用企業(yè)網(wǎng)絡(luò)的所有人員，對(duì)于通過(guò)某種形式與Internet或者其他網(wǎng)絡(luò)互聯(lián)的企業(yè)網(wǎng)，還需考慮外部網(wǎng)絡(luò)人為因素的威脅。對(duì)于企業(yè)MIS網(wǎng)，為了達(dá)到網(wǎng)絡(luò)安全的目標(biāo)，減輕甚至消除各種人為安全因素的影響是很重要的。在實(shí)際的安全實(shí)現(xiàn)中可以通過(guò)采取一些安全措施來(lái)達(dá)到這個(gè)要求。

1.3網(wǎng)絡(luò)硬件設(shè)備存在的安全因素

供電企業(yè)MIS網(wǎng)中的硬件設(shè)備是網(wǎng)絡(luò)系統(tǒng)各項(xiàng)應(yīng)用和網(wǎng)絡(luò)服務(wù)運(yùn)行的基礎(chǔ)，它們所存在的安全問(wèn)題直接影響到整個(gè)網(wǎng)絡(luò)的安全。企業(yè)MIS網(wǎng)中的硬件設(shè)備可以分為兩類，一類是網(wǎng)絡(luò)傳輸線路，另一類是計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備。無(wú)論是傳輸線路還是計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備，主要都存在著兩個(gè)方面的安全因素，也即實(shí)體安全和電磁安全。其中，應(yīng)將MIS網(wǎng)硬件系統(tǒng)的實(shí)體安全及其防范作為信息網(wǎng)安全評(píng)估和安全管理的主要研究對(duì)象。

2安全防護(hù)方案

2.1防止病毒侵害

供電企業(yè)MIS網(wǎng)中集中了大量的服務(wù)器、工作站，病毒極易借助網(wǎng)絡(luò)高速擴(kuò)散，嚴(yán)重威脅著系統(tǒng)的安全和穩(wěn)定。病毒防范系統(tǒng)至少應(yīng)在文件服務(wù)器、EMAIL服務(wù)器等最易感染或傳播病毒的服務(wù)器上安裝，并通過(guò)統(tǒng)一的控制臺(tái)對(duì)系統(tǒng)的所有防病毒系統(tǒng)進(jìn)行管理，包括統(tǒng)一的分發(fā)、維護(hù)、更新和報(bào)警等。

2.2嚴(yán)密訪問(wèn)控制

實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)訪問(wèn)控制的主要手段是采用防火墻。部署防火墻的目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。具體說(shuō)，設(shè)置防火墻的目的是隔離內(nèi)部網(wǎng)和外部網(wǎng)，保護(hù)內(nèi)部不受攻擊，實(shí)現(xiàn)以下基本功能：禁止外部用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部機(jī)器;保證外部用戶可以且只能訪問(wèn)到某些指定的公開信息;限制內(nèi)部用戶只能訪問(wèn)到某些特定的Intranet資源，如WEB服務(wù)、FTP服務(wù)、TELNET服務(wù)等。對(duì)于內(nèi)部網(wǎng)中的關(guān)鍵服務(wù)器（群）、關(guān)鍵應(yīng)用等，也應(yīng)部署防火墻來(lái)進(jìn)行防護(hù)。

2.3監(jiān)控非法入侵

防火墻雖然能抵御網(wǎng)絡(luò)外部安全威脅，但對(duì)網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊卻無(wú)能為力。動(dòng)態(tài)地監(jiān)測(cè)網(wǎng)絡(luò)內(nèi)部活動(dòng)并做出及時(shí)地響應(yīng)，就要依靠基于網(wǎng)絡(luò)的實(shí)時(shí)入侵監(jiān)測(cè)技術(shù)。同時(shí)，還應(yīng)依靠基于主機(jī)的入侵檢測(cè)技術(shù)對(duì)關(guān)鍵主機(jī)進(jìn)行監(jiān)控，從中檢測(cè)出攻擊行為并給予響應(yīng)和處理。對(duì)于基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，可以采用全網(wǎng)統(tǒng)一的控制臺(tái)進(jìn)行管理。

2.4檢測(cè)安全漏洞

解決網(wǎng)絡(luò)層安全問(wèn)題，首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對(duì)大型網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。解決的方案是，尋找一種能查找網(wǎng)絡(luò)安全漏洞、評(píng)估并提出修改建議的網(wǎng)絡(luò)安全掃描工具，利用優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。

2.5加密傳輸數(shù)據(jù)

網(wǎng)上的業(yè)務(wù)數(shù)據(jù)傳輸安全性要求很高，而數(shù)據(jù)流經(jīng)的物理路徑環(huán)節(jié)又較多，數(shù)據(jù)在存儲(chǔ)和傳輸過(guò)程中極有可能被盜用、暴露、假冒和篡改，因此必須采取有效的數(shù)據(jù)加密措施，鑒別和監(jiān)督合法用戶的操作，防止對(duì)敏感數(shù)據(jù)的非法訪問(wèn)、使用、修改和破壞。通過(guò)VPN服務(wù)可以保證用戶在數(shù)據(jù)傳輸時(shí)的安全和降低企業(yè)外聯(lián)網(wǎng)的成本。VPN安全設(shè)備應(yīng)該易于配置、管理和維護(hù)，并且支持多臺(tái)設(shè)備的單點(diǎn)管理。另外，需要支持國(guó)際標(biāo)準(zhǔn)安全加密協(xié)議，例如Ipsec，以保證不同廠商設(shè)備之間的互通。

2.6備份關(guān)鍵數(shù)據(jù)

對(duì)供電企業(yè)而言，不論是天災(zāi)或是人為疏忽所造成數(shù)據(jù)損失，對(duì)企業(yè)造成的沖擊及財(cái)務(wù)損失就是一場(chǎng)可怕的災(zāi)難。防止這些災(zāi)難，最佳的解決之道便是事先做好數(shù)據(jù)備份，包括建立基于網(wǎng)絡(luò)的、集中的、全自動(dòng)的數(shù)據(jù)備份系統(tǒng)，建立數(shù)據(jù)遠(yuǎn)程容災(zāi)中心，并做好災(zāi)難恢復(fù)計(jì)劃。

2.7統(tǒng)一身份認(rèn)證

認(rèn)證技術(shù)主要解決網(wǎng)絡(luò)通訊過(guò)程中通訊雙方的身份認(rèn)可。主要的認(rèn)證技術(shù)有：（1）用戶名/口令字認(rèn)證;（2）生理特征的認(rèn)證;（3）數(shù)字簽名;（4）基于公開密鑰體系（PKI）的認(rèn)證等。數(shù)字簽名作為驗(yàn)證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)（如RSA）基于私有/公共密鑰對(duì)，CA使用私有密鑰技術(shù)進(jìn)行數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗(yàn)證簽名的真實(shí)性?；诠_密鑰體系（PKI）的認(rèn)證方法安全程度很高，綜合采用了摘要算法、非對(duì)稱加密、對(duì)稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效性結(jié)合起來(lái)。這種認(rèn)證方法目前應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問(wèn)、客戶認(rèn)證、防火墻認(rèn)證等領(lǐng)域。PKI包括：證書庫(kù)、證書頒發(fā)機(jī)構(gòu)（CA）、證書登記、證書吊銷、密鑰備份及恢復(fù)系統(tǒng)等。

3、總結(jié)

保障信息安全需要將管理與技術(shù)相結(jié)合。目前，信息技術(shù)發(fā)展得越來(lái)越快，信息安全也發(fā)生了變化，所以，很多安全問(wèn)題便出現(xiàn)了?？偨Y(jié)了一些電網(wǎng)停電事故的原因后發(fā)現(xiàn)，信息傳送不暢是造成大面積停電的主要原因。本文綜合供電企業(yè)系統(tǒng)運(yùn)行和網(wǎng)絡(luò)信息安全的具體狀況，詳細(xì)介紹了保護(hù)信息安全的各種防護(hù)手段，主要包括供電企業(yè)的信息安全技術(shù)策略和供電企業(yè)信息安全管理策略。由此可見(jiàn)，信息安全是維持電力系統(tǒng)穩(wěn)定、安全和可靠的主要組成部分，而判斷電力系統(tǒng)信息安全隱患、制訂相關(guān)的應(yīng)對(duì)措施對(duì)于保障信息安全有非常重要的作用，這是廣大電力工作人員需要不斷學(xué)習(xí)的內(nèi)容。

參考文獻(xiàn)：

[1]李東升.關(guān)于防火墻技術(shù)與網(wǎng)絡(luò)安全問(wèn)題研究[J].經(jīng)營(yíng)管理者，2011，13（02）：564-566.

[2]張淑英.網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢(shì)評(píng)測(cè)技術(shù)研究[D].長(zhǎng)春：吉林大學(xué)，2012，2（06）：53-54.

[3]徐飛.計(jì)算機(jī)技術(shù)與網(wǎng)絡(luò)安全[J].赤峰學(xué)院學(xué)報(bào)（科學(xué)教育版），2011，14（01）：96-97.