论文部分内容阅读
摘要:从目前已有的电力网络信息系统出发,探讨电力企业信息管理系统的安全防护措施,使企业的信息系统能够安全运行,数据的安全得到保障。希望可以为电力企业信息化系统管理的安全提供有效的帮助。
关键词:电力信息系统;安全防护;电力信息网络
中图分类号:TP3文献标识码:A 文章编号:1672-3791 (2010)6(b)-0000-00
伴随着电力企业的改革,被用于生产、决策、管理的决策支持系统和三层管理方式的应用已是大势所趋。因此,首先必须解决企业的信息问题。电力系统中的输电、变电、配电、用电等子系统中包含着大量信息。投入日渐加大是电力信息系统使企业效率提高,成本降低,业务和形象提升,为企业带来很多好处,但同时也带来了黑客、病毒等网络的负面因素。因此,必须对电力企业的信息系统采用相应的安全防护体系,以保证企业信息的安全。
1. 根据企业实际建立相应的信息网络防护体系
随着现代网络结构的改变,操作及应用系统的升级和变化,传统上仅对信息系统采用的一些安全措施已经无法适应以保证信息系统的安全,决策时需考虑到网络中可能出现的各种安全问题。然后目前的网络环境,于是,可适应当下网络环境的网络安全理论体系逐渐形成,其主要模型是P2DR2模型。它包括安全策略、防护、检测、响应和恢复。防护、检测、响应形成一个完整动态的安全循环。不同的网络需要不同的安全策略做指导,,针对这些问题做出解答,提出相应的解决方案,针对自己的企业拟出相应的安全策略作为企业安全的指导。
为了对企业的信息资源进行有效的保护,方案一般遵守最小化原则,下面从几个方面进行说明。
1. 1网络安全因素
影响网络安全的因素有很多种,这些是设计信息安全方案的基础,设计过程中所必须考虑的。主要包括加密和认证、网络反病毒、最小化原则、网络安全漏洞扫描、物理安全、网络入侵检测、网络隔离技术等。
1、2.设计安全方案
安全方案的设计对企业信息能否得到有效保护至关重要,一个好的安全方案能使企业的投入得到最大的安全回报。因此,应该从系统的角度,通过技术、策略、管理几方面的设计,使信息安全防护措施结合起来,彼此相互补充,对企业信息进行多角度保护。
A、 安全分析
首先要对企业的网络进行分析,找出需要保护的信息数据,然后对网络结构和应用情况进行分析,找出可能存在安全隐患的地方,以便做出相应的安全策略。
B、 制定安全策略
安全策略的制定必须经过充分的考察和研究,它在整个安全方案中起着统领的作用。企业要实现安全首先要明确本网提供的服务类型和服务对象以及本网的业务定位。通过对整体网络的透彻了解,制定出系统的安全目标、技术和工程规范,才能保证安全策略的连续性。大多数企业可通过网络安全风险评估、网络安全设计评估等服务来达到较好的安全水平。
C、 安全食品和安全服务
为了实现企业在制定系统的安全策略,必须通过服务和技术,对于安全的产品和服务的重要性是等同重要的,只有两者被结合起来得很好,才能把安全策略的执行彻底地贯彻下来。企业的目的是选择不同安全的产品和服务来实施安全
策略,这个目的是企业由系统安全策略为依据的,但是,产品的选择必须以企业信息网络构架和安全防护体系为依据,这样才能避免有问题的产品对系统造成危害。
2.电力信息系统安全性设计
目前,使用Power Builder作为数据前端的开发工具,不仅给已有的数据库资源带来全新窗口界面而且适用不同的数据库管理系统,它的接口驱动几乎可以与所有的数据库无缝连接,并高速地完成数据库的驱动。设计人员根据需求选取配置,为Power Builder定义了一些功能性模版,将它的应用植入Web上,并进行了页面的安全性设设计。
3.解决应用软件系统安全
安全问题应该贯穿到传统的软件工程的每一步,安全的应用软件系统的开发工作包括在软件的设计阶段要进行安全威胁建模和选择应对威胁的方法以及由安全小组进行审查,在软件的开发阶段要定义安全的编码准则和进行严
格的代码审查"在软件的测试阶段要根据威胁模型制定测试计划进行测试以及利用安全模板进行测试
3、1身份认证问题
開发安全的应用软件需要统一的身份认证,当前电力企业公司一般是将用户口令存在数据库里,用户登录时将口令在网上以明文形式发送至服务器端进而达到身份的认证,这种方式很不安全。
公司应该建立自己的公开密钥基础设施,用数字证书的形式进行身份认证,客户端证书保存在智能卡中,这样能提高系统的安全性,减少软件编程的复杂程度。
3、 2选择适当的访问控制
在创建应用软件的时候,应该选择合适的访问控制模型,在电力企业的管理系统中,基于角色的访问控制模型可以根据电力企业的业务需求在系统内设置若干个称之为“角色”的客体。此“角色”与实际中的岗位’职位或者分工一一对应。这种模型在政府机构和商业领域都能很好地应用。
3、 3最小授权原则
在安全领域有一个观点,总是用完成任务所需的最小特权集合来执行任务。比如在管理方面,网络中的帐号设置、服务配置、主机间的信任关系配置等应为其正常运行所需要的最小集合。
在应用软件设计上,最小授权原则同样适用。当前,电力行业的管理系统,例如连接数据库的操作,大多都是以管理员的身份连接的。其实用低权限的帐号完全能达到同样的目的。若是以管理员身份连接数据库,一旦应用软件有安全缺陷,造成的危害会很大,若是贯彻了最小授权原则,那可能不会造成多大的危害。
4、 信息系统安全建设
4、 1安全系统建设
安全整体系统规划包括三个步骤:结构安全、流程安全、对象安全。结构安全主要针对网络、应用、数据的边界确定、逻辑划分和物理规划。结构安全的目的是在网络、应用、数据 之间建立起安全隔离。结构安全是信息系统安全的基础,良好的安全隔离和防御体系不但能够相当彻底地解决数据泄密、非授权访问等信息安全核心问题,同时能够有效地降低管理成本和建设成本。比如政务网络的内外网物理隔离就是采用结构安全的策略解决信息安全问
题的。由于应用需求需要一定的数据交换而不能采用物理隔离方式的信息系统,例如银行、企业和一些政府信息系统,采用良好的结构安全方案并辅以网络隔离和防御技术,也有效利用建设投资、提高信息安全系统建设效果。
4、2安全管理建设
安全不仅仅是技术问题,更是一个管理的问题。安全管理建设与安全策略建设密不可分,管理是在策略的指导下进行的,而管理经验和运行管理之间的互
动为策略的制定提供依据。安全系统建设包括网络防火墙、入侵检测、安全审计、网络通讯加密、安全电子邮件、计算机防病毒、流量监控等在内的共九大类安全技术和产品,位置分布广。其系统配置、规则设置、反应处理、设备管理、
运行管理的复杂性高速增长所带来的管理成本和管理难度很大。
安全管理中心目的在于:解决用户大量采用的安全产品以及安全技术所造成的局面,在将与整体安全有关的各项安全技术和产品整合成一个规范的、集中的安全平台上的同时,使技术因素、策略因素以及人员的因素更加紧密地结合在一起,从而提高用户在安全领域的各种分散投资的最终整体安全效
安全管理中心。
5、总论:
在企业电力信息系统安全防护过程中,我们应在技术和管理方面做大量探索和实践。随着电力信息化的推进,信息和网络安全系统的保护已迫在眉睫。我们必须按照一定的原则和规范来考虑问题,制定完整的安全防护体系,这样才能保证企业信息的安全,以便企业更好地发展。要进一步实现全方位防护,还有很多工作要做,如规范业务系统服务器的日常运维工作、建设安全审计系统、部署漏洞扫描系统、实现数据库安全防护、实现补丁管理系统、业务系统编码安全规范和实现数据加密等。当前,电力企业都是在业务系统建设完成之后才补充进行安全防护,这种做法严重制约了企业信息安全防护建设的开展,存在很大的安全隐患。在企业信息安全建设中,应坚持信息安全与信息化建设同步规划、同步建设、同步投入运行的原则,才能不断提高信息安全的综合防护能力,确保企业网络与信息系统的安全运行。
参考文献:
[1] 李冰.电力企业信息管理系统的安全性解决方案[J].2006.12.
[2] 耿新民.胡春光;电力企业信息系统安全的隐患与对策[J].2005.10.
[3] 寇建涛.电力信息系统安全分析与思考[J]. 2009.
[4] 黄立文.浅谈网络与重要信息系统安全管理[J]2008.12
[5] 赵志宇.谈电力信息系统安全保障体系建设原则与思路[J].2009.6.
[6] 林小村.数据中心建设与运行管理[M].北京:科学出版社,2010:393- 452 .
[7] GBT22239—2008,信息系统安全等级保护基本要求[S].2007.
关键词:电力信息系统;安全防护;电力信息网络
中图分类号:TP3文献标识码:A 文章编号:1672-3791 (2010)6(b)-0000-00
伴随着电力企业的改革,被用于生产、决策、管理的决策支持系统和三层管理方式的应用已是大势所趋。因此,首先必须解决企业的信息问题。电力系统中的输电、变电、配电、用电等子系统中包含着大量信息。投入日渐加大是电力信息系统使企业效率提高,成本降低,业务和形象提升,为企业带来很多好处,但同时也带来了黑客、病毒等网络的负面因素。因此,必须对电力企业的信息系统采用相应的安全防护体系,以保证企业信息的安全。
1. 根据企业实际建立相应的信息网络防护体系
随着现代网络结构的改变,操作及应用系统的升级和变化,传统上仅对信息系统采用的一些安全措施已经无法适应以保证信息系统的安全,决策时需考虑到网络中可能出现的各种安全问题。然后目前的网络环境,于是,可适应当下网络环境的网络安全理论体系逐渐形成,其主要模型是P2DR2模型。它包括安全策略、防护、检测、响应和恢复。防护、检测、响应形成一个完整动态的安全循环。不同的网络需要不同的安全策略做指导,,针对这些问题做出解答,提出相应的解决方案,针对自己的企业拟出相应的安全策略作为企业安全的指导。
为了对企业的信息资源进行有效的保护,方案一般遵守最小化原则,下面从几个方面进行说明。
1. 1网络安全因素
影响网络安全的因素有很多种,这些是设计信息安全方案的基础,设计过程中所必须考虑的。主要包括加密和认证、网络反病毒、最小化原则、网络安全漏洞扫描、物理安全、网络入侵检测、网络隔离技术等。
1、2.设计安全方案
安全方案的设计对企业信息能否得到有效保护至关重要,一个好的安全方案能使企业的投入得到最大的安全回报。因此,应该从系统的角度,通过技术、策略、管理几方面的设计,使信息安全防护措施结合起来,彼此相互补充,对企业信息进行多角度保护。
A、 安全分析
首先要对企业的网络进行分析,找出需要保护的信息数据,然后对网络结构和应用情况进行分析,找出可能存在安全隐患的地方,以便做出相应的安全策略。
B、 制定安全策略
安全策略的制定必须经过充分的考察和研究,它在整个安全方案中起着统领的作用。企业要实现安全首先要明确本网提供的服务类型和服务对象以及本网的业务定位。通过对整体网络的透彻了解,制定出系统的安全目标、技术和工程规范,才能保证安全策略的连续性。大多数企业可通过网络安全风险评估、网络安全设计评估等服务来达到较好的安全水平。
C、 安全食品和安全服务
为了实现企业在制定系统的安全策略,必须通过服务和技术,对于安全的产品和服务的重要性是等同重要的,只有两者被结合起来得很好,才能把安全策略的执行彻底地贯彻下来。企业的目的是选择不同安全的产品和服务来实施安全
策略,这个目的是企业由系统安全策略为依据的,但是,产品的选择必须以企业信息网络构架和安全防护体系为依据,这样才能避免有问题的产品对系统造成危害。
2.电力信息系统安全性设计
目前,使用Power Builder作为数据前端的开发工具,不仅给已有的数据库资源带来全新窗口界面而且适用不同的数据库管理系统,它的接口驱动几乎可以与所有的数据库无缝连接,并高速地完成数据库的驱动。设计人员根据需求选取配置,为Power Builder定义了一些功能性模版,将它的应用植入Web上,并进行了页面的安全性设设计。
3.解决应用软件系统安全
安全问题应该贯穿到传统的软件工程的每一步,安全的应用软件系统的开发工作包括在软件的设计阶段要进行安全威胁建模和选择应对威胁的方法以及由安全小组进行审查,在软件的开发阶段要定义安全的编码准则和进行严
格的代码审查"在软件的测试阶段要根据威胁模型制定测试计划进行测试以及利用安全模板进行测试
3、1身份认证问题
開发安全的应用软件需要统一的身份认证,当前电力企业公司一般是将用户口令存在数据库里,用户登录时将口令在网上以明文形式发送至服务器端进而达到身份的认证,这种方式很不安全。
公司应该建立自己的公开密钥基础设施,用数字证书的形式进行身份认证,客户端证书保存在智能卡中,这样能提高系统的安全性,减少软件编程的复杂程度。
3、 2选择适当的访问控制
在创建应用软件的时候,应该选择合适的访问控制模型,在电力企业的管理系统中,基于角色的访问控制模型可以根据电力企业的业务需求在系统内设置若干个称之为“角色”的客体。此“角色”与实际中的岗位’职位或者分工一一对应。这种模型在政府机构和商业领域都能很好地应用。
3、 3最小授权原则
在安全领域有一个观点,总是用完成任务所需的最小特权集合来执行任务。比如在管理方面,网络中的帐号设置、服务配置、主机间的信任关系配置等应为其正常运行所需要的最小集合。
在应用软件设计上,最小授权原则同样适用。当前,电力行业的管理系统,例如连接数据库的操作,大多都是以管理员的身份连接的。其实用低权限的帐号完全能达到同样的目的。若是以管理员身份连接数据库,一旦应用软件有安全缺陷,造成的危害会很大,若是贯彻了最小授权原则,那可能不会造成多大的危害。
4、 信息系统安全建设
4、 1安全系统建设
安全整体系统规划包括三个步骤:结构安全、流程安全、对象安全。结构安全主要针对网络、应用、数据的边界确定、逻辑划分和物理规划。结构安全的目的是在网络、应用、数据 之间建立起安全隔离。结构安全是信息系统安全的基础,良好的安全隔离和防御体系不但能够相当彻底地解决数据泄密、非授权访问等信息安全核心问题,同时能够有效地降低管理成本和建设成本。比如政务网络的内外网物理隔离就是采用结构安全的策略解决信息安全问
题的。由于应用需求需要一定的数据交换而不能采用物理隔离方式的信息系统,例如银行、企业和一些政府信息系统,采用良好的结构安全方案并辅以网络隔离和防御技术,也有效利用建设投资、提高信息安全系统建设效果。
4、2安全管理建设
安全不仅仅是技术问题,更是一个管理的问题。安全管理建设与安全策略建设密不可分,管理是在策略的指导下进行的,而管理经验和运行管理之间的互
动为策略的制定提供依据。安全系统建设包括网络防火墙、入侵检测、安全审计、网络通讯加密、安全电子邮件、计算机防病毒、流量监控等在内的共九大类安全技术和产品,位置分布广。其系统配置、规则设置、反应处理、设备管理、
运行管理的复杂性高速增长所带来的管理成本和管理难度很大。
安全管理中心目的在于:解决用户大量采用的安全产品以及安全技术所造成的局面,在将与整体安全有关的各项安全技术和产品整合成一个规范的、集中的安全平台上的同时,使技术因素、策略因素以及人员的因素更加紧密地结合在一起,从而提高用户在安全领域的各种分散投资的最终整体安全效
安全管理中心。
5、总论:
在企业电力信息系统安全防护过程中,我们应在技术和管理方面做大量探索和实践。随着电力信息化的推进,信息和网络安全系统的保护已迫在眉睫。我们必须按照一定的原则和规范来考虑问题,制定完整的安全防护体系,这样才能保证企业信息的安全,以便企业更好地发展。要进一步实现全方位防护,还有很多工作要做,如规范业务系统服务器的日常运维工作、建设安全审计系统、部署漏洞扫描系统、实现数据库安全防护、实现补丁管理系统、业务系统编码安全规范和实现数据加密等。当前,电力企业都是在业务系统建设完成之后才补充进行安全防护,这种做法严重制约了企业信息安全防护建设的开展,存在很大的安全隐患。在企业信息安全建设中,应坚持信息安全与信息化建设同步规划、同步建设、同步投入运行的原则,才能不断提高信息安全的综合防护能力,确保企业网络与信息系统的安全运行。
参考文献:
[1] 李冰.电力企业信息管理系统的安全性解决方案[J].2006.12.
[2] 耿新民.胡春光;电力企业信息系统安全的隐患与对策[J].2005.10.
[3] 寇建涛.电力信息系统安全分析与思考[J]. 2009.
[4] 黄立文.浅谈网络与重要信息系统安全管理[J]2008.12
[5] 赵志宇.谈电力信息系统安全保障体系建设原则与思路[J].2009.6.
[6] 林小村.数据中心建设与运行管理[M].北京:科学出版社,2010:393- 452 .
[7] GBT22239—2008,信息系统安全等级保护基本要求[S].2007.