电力系统信息网络安全
郭 强
(重庆市奉节县供电有限责任公司,重庆404600)
摘要:如今,网络的价值让其得到了广泛运用,而网络的最大价值在于信息化的运用。企业信息化是推进整个国民经济信息化的重要组成部分,它是,通过对信息资源的深度开发和广泛利用,不断提高生产、经营、管理、决策的效率和水平,从而提高企业经济效益和企业竞争力的过程。正是由于企业信息化与企业生产经营已经逐渐成为一个共同的载体,企业对网络安全保护的要求日益提高。随着电力系统信息网络技术的不断深化,网络与信息安全问题已经成为影响电力系统工作效能的重要问题。本文首先强调信息了网络安全的重要性,其次分析了当前信息网络安全的威胁,最后通过在整体把握电力系统的信息网络安全的基础上,对奉节供电公司信息网络安全现状进行分析,解析了威胁电力信息网络安全的问题,并且提出了具体的解决手段。
关键词:信息化;信息网络安全;威胁;解决手段
1 引言
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,人们称它为信息高速公路。网络是计算机技术和通信技术的产物,是应社会对信息共享和信息传递的要求发展起来的,各国都在建设自己的信息高速公路。我国近年来计算机网络发展的速度也很快,在国防、电信、银行、广播等方面都有广泛的应用。正因为网络应用之广泛,重要性也是有目共睹,所以其安全性是不容忽视的,它是网络能否经历考验的关键。
从本质上来讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的
1750
领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。 网络管理的核心是网络应用,如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天,安全需求格外重要。在架构网络前,应当全面的分析相应网络中可能存在的安全隐患,以及网络应用中必要的安全需求。
当前利用结构化的观点和方法来看待企业网络安全系统是主流思想,通过各层的弱点及攻击的可能性对各层进行分析及防护,对可能发生的攻击事件或漏洞做到事前防护,合理地利用各种硬件设备,通过完善的管理手段来建设一个稳定、安全、可靠的企业信息网络平台。
2 企业网络安全架构
企业网络管理的核心是网络应用,如何架构一个安全、可靠的网络环境是网络管理的一大课题。在网络安全隐患无处不在的今天,安全需求格外重要。当企业在架构网络前,应当全面的分析相应网络中可能存在的安全隐患,以及网络应用中必要的安全需求。
2.1 网络安全威胁
从目前的企业网络使用情况及日后的应用发展来看,主要存在以下几种安全威胁.(1)、病毒感染。病毒感染是危害面最广的安全隐患,威胁整体网络运行。组建企业网络时选择部署整个网络系统的病毒防御系统。(2)、黑客入侵和攻击。黑客攻击的危害性很大,入侵途径和攻击方式多
电力系统信息网络安全
样化,难以预防。目前防御措施主要是通过部署防火墙系统、入侵检测系统、网络隔离技术等防御黑客攻击,还应辅以系统漏洞和补丁升级系统。(3)、非法访问。非法用户访问企业网络时可能携带、放置病毒或其它恶意程序,也可能删除服务器系统文件和数据以及窃取企业机密信息等。防御措施除了防火墙系统、入侵检测系统和网络隔离技术外,还应注意在网络管理中引入安全机制,如对关键部门划分子网隔离保护,对重要的数据和文件进行加密以及对于需要进行远程访问的用户,注意权限配置工作。(4)、数据损坏或丢失。网络数据对于企业来说是非常重要的。数据的备份是一切安全措施中最彻底有效,也是最后一项保护措施。
2.2 网络架构概念
企业网络安全是系统结构本身的安全,应利用结构化的观点和方法来看待企业安全系统。全方位的、整体的信息安全防范体系应是分层次的,不同层次反映了不同的安全问题。根据搭建网络的应用现状和结构,从物理层安全、系统层安全、网络层安全、应用层安全及安全管理五个方面来考虑网络的安全架构。
3 电力系统信息安全存在的问题
3.1 安全意识淡薄
企业人员忙于利用网络工作学习,网络与信息安全培训不到位,对网络信息的安全性无暇顾及,安全意识很是淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。从上到下普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识,更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。3.2 信息化机构、制度建设尚需进一步健全信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门
下,还有的仅设一个―信息化专责‖人员。信息化作为一项系统工程,需要专门的机构来推动和企业各个部门的配合。这种状况势必不能适应信息化对人才、机构的要求。网络安全措施简单,缺乏完整的安全防护及预警系统。
4 电力企业网络信息安全风险的主要表现
4.1 来自互联网的风险
几乎所有电力企业的网络区乡与本部大楼核心交换机之间都是借助其他公司的宽带或光纤进行传输,、任何能上互联网的用户都有可能会访问企业网络的资源,甚至攻击核心交换机。互联网上的一些用户出于种种动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业的商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
4.2 来自企业内部的风险
对于电力企业网络来说,来自内部的风险是非常主要的安全风险。随着网络技术的发展,电力系统的信息网络已从过去的小范围局域网,发展为网络终端数以万计的大规模广域网。电力公司信息应用集中集成的逐步推广,各种应用,包括办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉,不经意之间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。 1751
重庆市电机工程学会2012年学术会议论文
4.3 病毒的侵害
计算机病毒的威胁最为广泛,它的出现,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在短期内可以感染到区域内所有的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
4.4 管理风险
俗话说―三分技术,七分管理‖,管理对信息网络安全极为重要。许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如,网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等,都会给信息安全带来严重威胁。
4.5 系统的安全风险
系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
5 奉节供电公司的信息网络安全
成立于2007年的奉节供电公司,在防御信息网络安全上,首先进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业权威的信息安全咨询机构,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。信息安全系统建设着重点在安全和稳定,采用了成熟的技
1752
术和产品。重视维护安全的人才培养。其二采用信息安全新技术,建立信息安全防护体系,建立计算机防病毒系统、建立网络安全防护系统,环环相扣。其三依据法规,遵循标准,提高安全管理水平信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。
6 加强电力信息网络安全的措施
6.1 重视安全规划
要以系统的观点去考虑安全问题,进行有效的安全管理,建立起一套系统全面的信息安全管理体系。
6.2 合理划分安全域
电力企业是完全实行物理隔离的企业网络,在内网上要合理划分安全域,根据整体的安全规划和信息安全密级,从逻辑上划分核心重点防范区域、一般防范区域和开放区域,并采用严格的访问控制策略。
6.2.1 物理层安全
物理层的安全主要就是对设备和链路及其物理环境的安全保护。这里着重考虑信息中心的建设。信息中心作为公司的数据中心,承载所有的应用服务器的运行,所以信息中心的安全是最基础的安全保障。信息中心的建设除了要保证温度、湿度、防雷、防火以及不问断供电以外,还应注重信息中心的综合布线布局,做好整体规划及标记,力争布线的简洁、有序,便于日后维护及故障排查。
6.2.2 系统层安全
主要包括操作系统安全和应用系统安全。系统层的安全,主要考虑操作系统的漏洞补丁。利用内网架设的补丁升级中心(WSUS),对于徼软发布的系统补丁,进行补丁下载和安装,提高操作系统的安全性,有效降低系统的安全风险。我们还可以采用绿盟的极光远程安全评估系统扫描出整个网络中所有设备上的漏洞,并且与wsus服务联动,仅在绿盟的设备上就可以对这些漏洞
电力系统信息网络安全
进行修补。对于应用系统服务器来说,除了加强登陆的身份认证权限,还应该尽量开放最少的端口,保证服务器的正常使用。
6.2.3 网络层安全
网络层安全是我们考虑最多,也是防范要求最多的一个层面。这里从以下几个方面进行阐述:
6.2.3.1 确定安全域的划分
安全域的划分就是制定安全边界。根据资源位置进行划分的目标是将同一网络安全等级的资源,根据对公司的重要性、面临的外来攻击风险、内在的运行风险不同,划分成多个网络安全区域。划分的原则是将同一网络安全层次内客户端之间的连接控制在相同的安全域内,尽量消除不同安全层次之间的联系,实施相互逻辑或物理隔离。
从目前情况分析,公司内部的财务和人事因业务及数据的保密性和敏感度,需要阻止任何的外部访问。所以这两个位置与网络中其它处室在逻辑上应是隔离状态。这里主要使用交换机利用vlan对各个不同的功能区域进行划分。除了保证物理位置及逻辑位置的隔离以外,划分vlan的另一个好处就是减小广播包的数量,控制网络流量,避免广播风暴的产生。在实际工作中曾经遇到财务处网段被其他网段访问的安全问题。此问题涉及财务的机密文件和重要报表数据,所以问题较严重。在这之前财务处是被独立划分为一个网段,与其它网段用ACL列表进行隔离。但是在客户端统一纳入公司域之后,之前做的ACL列表不起任何作用。经分析,我们发现在域内PC之间的通讯协议发生了变化,于是将所有的TCP、UDP协议进行拦截,只对部分可以互访的终端服务器进行允许控制。对于需要外网进行访问的服务器,比如web服务器、ftp服务器、邮件服务器等需要把它们分离出来,不需要进入内网进行保护。其它服务器则放置于内网保护区域内,独立划分为一个vlan。 6.2.3.2 攻击阻断
这里主要采用防火墙、入侵防护、防病毒系统进行外部阻断。
首先,为了保护内部网络,在Internet出口部署防火墙,将内部网络与因特网隔离,只在内
部网与外部网之间设立唯一的通道,将攻击危险阻断在外,并限制网络互访从而保护企业内部网络。另外,利用防火墙的端口,设置LAN区、SSN区以及外网区。LAN区是不对外开放区,所有的客户端及需要保护的服务器放置在这个区域里。SSN区域里放置需要外部访问的服务器,如web服务器、ftp服务器及邮件服务器。由于防火墙处于网关的位置,不可能对进出攻击做出太多判断,否则会严重影响网络性能。所以这里需要部署入侵保护系统(Ips)作为防火墙的有力补充。将Ips串联在主干线路中,是网络安全的第二道屏障,可构成完整的网络安全解决方案。除此之外,我们还可以进行恰当的设置,使防火墙、lps联动起来。当Ips检测到入侵和攻击后,会通过联动接口部件,将入侵特征和事件报告给防火墙,防火墙接到入侵信息后会动态地修改自己的安全访问控制策略,在下一次防火墙不需要Ips也可以将入侵流量屏蔽掉。
这样防火墙和Ips联动起来后,防火墙的访问控制规则和Ips的规则链会随着网络安全状况的变化而不断调整,这样不仅能提高安全性,而且不必要的访问控制规则和规则链会被及时地删除掉,对网络性能造成的影响也会降到最低。防病毒系统应该是网络安全的第三道屏障。在网络技术日新月异的今天,即使网络部署了防火墙和入侵保护系统后,仍然会存在漏洞。公司网络应该建立立体防毒体系,就是指在网络的边界处部署硬件防毒墙,然后再在整个网络内部部署网络版杀毒软件。这样防病毒系统不仅部署在每一个客户端上,能够对源于内部网络的攻击或者是防火墙无法隔离的攻击行为、恶意代码进行阻拦,而且防病毒系统也部署在服务器上和网络边界处。这样从边界到内部,整个网络进行立体地防护,极大地提高了全网的防毒能力,是防火墙及入侵保护系统的有力补充。 6.2.3.3 身份认证
对于不同的应用,访问者的操作权限应该通过身份认证系统来实现。身份认证有利于保证被访问资源的安全,也是对远程接入安全控制的有益补充。
6.2.4 应用层安全
主要包括网页防篡改、数据库的漏洞修补、
1753
重庆市电机工程学会2012年学术会议论文
数据的完整性检验以及数据的备份和恢复。这里将注意力大部分集中在数据库的安全上。主要的工作应该是登陆的身份验证管理、数据库的使用权限管理和数据库中对象的使用权限管理。对于网页防篡改可以在web服务器前部署web应用防火墙。对于数据库来说,为了提高用户访问数据库的速度和数据库中数据的安全性,我们可以采取磁盘阵列来代替普通的存储设备,极大地扩展了存储容量,在性能和安全性上也有了大幅度的提高。考虑到以后我们的应用不断增多,数据量不断加大,为了保证性能和安全性,我们可以着手建设SAN或NAS,甚至可以做异地容灾备份,即使发生自然灾害,我们也可以在最短的时间内恢复我们的数据和我们的应用。
6.3 网络安全管理体系的建立
实现网络安全的过程是复杂的。这个复杂的过程需要严格有效的管理才能保证整个过程的有效性,才能保证安全控制措施有效地发挥其效能,从而确保实现预期的安全目标。因此,建立有组织的安全管理体系是网络安全的核心。其过程如下:
6.3.1 安全需求分析
明确目前及未来几年的安全需求,即我们需要建设什么样的网络,网络状况如何,未来发展如何等等,有针对性地构建适用的安全体系结构,从而有效地保证网络系统的安全;
6.3.2制定安全策略
根据不同部门的应用及安全需求,分别制定部门的计算机网络安全策略,做到资源最优化:6.3.3)外部支持。通过专业的安全服务机构的支持,将使网络安全体系更加完善,并可以得到更新的安全资讯,为计算机网络安全提供预警。定期进行巡检,保证所有网络设备和安全系统的运转正常,提早发现隐患,将网络故障对公司整体的影Ⅱ向降至最低。
7 计算机网络安全管理
安全管理是计算机网络安全的重要环节之一,也是计算机网络安全体系结构的基础性组成
1754
部分。通过恰当的管理活动,规范组织的各项业务活动,使网络有序地运行,这是获取安全的一个重要条件。安全管理是构建安全架构的核心。网络安全所要达到的目的是保证网络应用在需要时可以被随时使用。在安全方面,我们倡导―三分技术,七分管理‖,指的是通过管理手段和技术手段来实现更高的安全性。信息安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规则等。管理措施的另外一个方面,就是加强网络安全宣传,提高公司职工对网络安全的认识和保护网络安全的自觉性,从每个网络用户开始进行―主动防护‖,防止―病从口入‖。
7.1 加强安全管理
企业网络的安全问题,安全管理和制度建设非常重要(特别是内网)。应该不断加强日志管理与安全审计、建立内网的统一认证系统,实现身份鉴别服务和访问控制服务等、建立防护体系如防病毒体系的安装和管理,在局域网部署架设微软更新服务器等等。
7.2 重视网络管理制度建设
首先领导应当高度重视网络信息安全问题,其次加强基础设施和运行环境的管理建设,再次建立必要的安全管理制度,最后坚持安全管理原则。
7.3 加强企业员工和网络管理人员安全意识教育
企业员工和网络管理人员的素质对信息网络安全的防御和维护及其重要。信息安全意识和相关技能必须引起足够的重视。各级管理人员、用户、技术人员都必须进行适当的安全培训,提高整体的安全意识和处理水平。当然这里的安全教育是有层次性的,对特定维护人员必须要有强硬的技能,对于一般人员要在基础的了解上再进行加强。
7.4 与时俱进
安全问题的产生,才有相应的解决办法,当然不可能有完全抵御信息网络安全的系统,在解
电力系统信息网络安全
决一个出现的安全问题后,还会有其他问题的出现。要在前进中不断发展自己,面对不可知的安全问题,丰富自己处理的能力。
8 结束语
电力系统信息网络安全问题是一个全方位、多层次问题,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。本文详细介绍的电力系统网络安全问题风险和解决方案,对改善电力系统信息网络安全问题有积极的作用。在实际工作中,要根据业务环境与安全目标和信息网络安全工作中出现的新问题、新风险,及时调整安全防护策略,只有这样,才能有效保障网络与信息系统的安全。
参考文献
[1] 成思危.企业信息化与管理变革[M].北京:中国人民
大学出版社,2001.2.5~2.8.
[2] 梁滨.企业信息化的基础理论与评价方法[M].北京:
科学出版社,2000.12.4.
[3] 顾巧论.计算机网络安全[M].北京:科学出版
社,2002.3.5-3.8.
[4] 张越今.网络安全与计算机犯罪勘查技术学[M].北
京:清华大学出版社,2003.69-72.
[5] 王鲁滨.现代信息管理[M].北京:经济管理出版
社,2005.59~60.
[6] 余勇.电力系统中的信息安全策略[M],2003.9. [7] 魏晓著.柳英楠.来风刚.国家电力信息安全防护体系
框架与策略[M],2004,2.
[8] 余勇.电力系统的网络安全研究(上)[M],2002. [9] 余勇.电力系统的网络安全研究(下)[M],2002.
1755
因篇幅问题不能全部显示,请点此查看更多更全内容