论文部分内容阅读
【摘 要】近年来,国家电网公司提出了"坚强智能电网"的发展战略,对公司信息化水平有了更高的要求。建立健全信息安全保障体系是加快推进信息化工作的前提。本文通过对电力企业信息安全风险的分析,就电力企业信息安全防护技术措施进行了阐述。
【关键词】电力企业;信息安全;研究
1.前言
随着电力信息化建没和应用高潮的到来,信息技术在电力企业的生产运行中发挥着重要作用,特别是随着厂网分开、电力市场构建,电力企业已建立起庞大复杂的调度数据网和综合信息网,计算机网络信息系统成为电力企业日益重要的技术支持系统。信息安全问题已日益突出,信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。电力企业调度数据网和综合信息网在物理上实现隔离,在一定程度上保证了调度数据网的安全运行,避免受到来自综合信息网的可能的攻击;然而,财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。
2.电力企业信息安全风险分析
2.1网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如:办公自动化系统、用电营销系统、远程教育培训系统等,通过广域网传递数据。电力企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取电力企业商业秘密和机密信息,非法使用网络资源等。给电力企业造成巨大的损失。如何加强网络的安全防护,保护电力企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
2.2缺乏信息安全管理规范。电力企业信息化的发展虽然很快,但是起步较晚,各项管理规范和规章制度还不够健全,已有的规章制度也多是写在纸上,没有严格落实执行。对信息的管理,信息部门的设置,信息技术人员的配备,各电力企业参差不齐,没有一个统一的、完善的管理规范。
2.3身份认证及脆弱的密码。电力企业的应用系统基本上基于内部的应用需求而设计开发的,这些应用系统的用户身份认证,基本上是采用基于口令的鉴别模式,而用户密码的设置往往是非常简单的,比如用abc、1 2 3、姓名简拼、生日、系统初始密码、空密码等等,而且从来不去更改,随意告诉同事,甚至系统管理员的口令也是如此。有些应用系统的口令还是以明文形式记录在数据库或文件中。应用系统的这种设计以及在这样的用户环境中是没有安全可言的。
2.4信息系统的访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立甩户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
2.5没有完善的数据备份措施:缺乏重要系统备份恢复应用经验。目前维护员对公文等重要数据基本上都能做到“每周一备”,做到每周刻录数据备份光盘,而在实际工作中,备份数据的有效性只有也仅有通过实战恢复演练才能检验。但由于数据恢复演练需要搭建系统运行环境,其操作复杂性远远大于数据备份过程。因此,很多维护员宁可“天天做备份、月月做拷贝”,也不愿尝试做一次数据恢复演练。更有甚者,连一年一次数据恢复演练都无法实现。数据备份就像为汽车配备用车钥匙一样,钥匙配好了,如果不去检验用车钥匙是否能正常使用,那么下次紧急要用的时候非常有可能新配的车钥匙没法启动车。
3.电力企业信息安全防护技术措施
3.1网络防火墙:防火墙是网络安全的屏障,网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许,并监视网络运行状态。这也是近年来维护网络安全最重要的手段。防火墙系统的安全防御能力很强,能抵抗各种外部网络的进攻和渗透。
3.2入侵检测系统:入侵检测技术是一种主动的安全防护技术,也是网络安全研究的一个热点。它是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软、硬件的组合就是入侵检测系统(Instrusion Detection System,简称IDS)。它通过被认为是网络安全的第二道安全闸门,作为防火墙的合理补充,这也极大提高了信息安全基础结构的完整性。目前入侵检测系统主要分两种:基于网络的入侵检测系统和基于主机的入侵检测系统,相比较而言,前者更具易部署、占用资源少、隐蔽性好、检测速度快等优点。
3.3网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操纵系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成具体的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。 3.4病毒防护技术。为免受病毒造成的损失,要采用多层防病毒体系,即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.5文件加密技术。加密的目的是把明文变成密文。使未被授权的人看不懂它,从而保护网络中数据传输的安全性。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全:端点加密的目的是对源端用户到目的端用户的数据提供保护:节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
3.6数据备份:对于电力企业来说,数据是最珍贵的,这些常年累月积累的数据是电力企业庞大的、最有价值的无形资产,对这些数据的备份是必需的。而电力企业的数据往往比较分散,用的数据库有ORACLE、SYBASE、SQLServer、LOTUS DOMINO等等。对这些分散的、结构多样的数据进行备份管理时,最好的办法就是用一套备份系统,将所有需要备份的数据,按照备份策略进行统筹备份。同时在异地安装一套存储设备进行异地备份,不具备异地备份条件的,则必须将备份介质异地存放一份,所有的备份介质必须有专人保管。
3.7加强日志管理与安全审计。一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,作好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
3.8网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。对于已经投入使用的信息系统,可以通过采用增加安全访问网父的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
4.结束语
信息安全是一个相对的概念,我们只能使系统越来越安全,而做不到绝对的安全。为了保护计算机系统里各种信息,我们必须时刻保持高度的警惕,做到对自己的系统安全情况始终有一个清醒的认识。 统筹规划,分步实施,要建立完整的信息安全防护体系,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资,使信息系统受到最大程度的保护,从而保障单位及个人信息的安全。
参考文献:
[1]唐琳,李云峰,电力信息系统的安全性初探[J],信息安全与通信保密,2006(10).
[2]李劲,遵循等级化保护的电力调度数据网安全防护[J],广西电力,2008(04).
[3]汪江,谈网络安全技术与电力企业网络安全解决方案研究[J],价值工程,2012(30).
【关键词】电力企业;信息安全;研究
1.前言
随着电力信息化建没和应用高潮的到来,信息技术在电力企业的生产运行中发挥着重要作用,特别是随着厂网分开、电力市场构建,电力企业已建立起庞大复杂的调度数据网和综合信息网,计算机网络信息系统成为电力企业日益重要的技术支持系统。信息安全问题已日益突出,信息安全所面临的危险同时渗透到电力企业生产、经营的各个方面。信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储、处理、传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。电力企业调度数据网和综合信息网在物理上实现隔离,在一定程度上保证了调度数据网的安全运行,避免受到来自综合信息网的可能的攻击;然而,财务、营销、客户管理等系统的网络信息安全还相当薄弱。网络信息安全已成为影响电力安全生产的重大问题。
2.电力企业信息安全风险分析
2.1网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如:办公自动化系统、用电营销系统、远程教育培训系统等,通过广域网传递数据。电力企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取电力企业商业秘密和机密信息,非法使用网络资源等。给电力企业造成巨大的损失。如何加强网络的安全防护,保护电力企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
2.2缺乏信息安全管理规范。电力企业信息化的发展虽然很快,但是起步较晚,各项管理规范和规章制度还不够健全,已有的规章制度也多是写在纸上,没有严格落实执行。对信息的管理,信息部门的设置,信息技术人员的配备,各电力企业参差不齐,没有一个统一的、完善的管理规范。
2.3身份认证及脆弱的密码。电力企业的应用系统基本上基于内部的应用需求而设计开发的,这些应用系统的用户身份认证,基本上是采用基于口令的鉴别模式,而用户密码的设置往往是非常简单的,比如用abc、1 2 3、姓名简拼、生日、系统初始密码、空密码等等,而且从来不去更改,随意告诉同事,甚至系统管理员的口令也是如此。有些应用系统的口令还是以明文形式记录在数据库或文件中。应用系统的这种设计以及在这样的用户环境中是没有安全可言的。
2.4信息系统的访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立甩户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。
2.5没有完善的数据备份措施:缺乏重要系统备份恢复应用经验。目前维护员对公文等重要数据基本上都能做到“每周一备”,做到每周刻录数据备份光盘,而在实际工作中,备份数据的有效性只有也仅有通过实战恢复演练才能检验。但由于数据恢复演练需要搭建系统运行环境,其操作复杂性远远大于数据备份过程。因此,很多维护员宁可“天天做备份、月月做拷贝”,也不愿尝试做一次数据恢复演练。更有甚者,连一年一次数据恢复演练都无法实现。数据备份就像为汽车配备用车钥匙一样,钥匙配好了,如果不去检验用车钥匙是否能正常使用,那么下次紧急要用的时候非常有可能新配的车钥匙没法启动车。
3.电力企业信息安全防护技术措施
3.1网络防火墙:防火墙是网络安全的屏障,网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源, 保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查, 以决定网络之间的通信是否被允许,并监视网络运行状态。这也是近年来维护网络安全最重要的手段。防火墙系统的安全防御能力很强,能抵抗各种外部网络的进攻和渗透。
3.2入侵检测系统:入侵检测技术是一种主动的安全防护技术,也是网络安全研究的一个热点。它是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软、硬件的组合就是入侵检测系统(Instrusion Detection System,简称IDS)。它通过被认为是网络安全的第二道安全闸门,作为防火墙的合理补充,这也极大提高了信息安全基础结构的完整性。目前入侵检测系统主要分两种:基于网络的入侵检测系统和基于主机的入侵检测系统,相比较而言,前者更具易部署、占用资源少、隐蔽性好、检测速度快等优点。
3.3网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操纵系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成具体的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。 3.4病毒防护技术。为免受病毒造成的损失,要采用多层防病毒体系,即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网关的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理,建立较完善的管理制度,才能有效的防止和控制病毒的侵害。
3.5文件加密技术。加密的目的是把明文变成密文。使未被授权的人看不懂它,从而保护网络中数据传输的安全性。网络加密常用的方法有链路加密、端点加密和节点加密3种。链路加密的目的是保护网络节点之间的链路信息安全:端点加密的目的是对源端用户到目的端用户的数据提供保护:节点加密的目的是对源节点到目的节点之间的传输链路提供保护。
3.6数据备份:对于电力企业来说,数据是最珍贵的,这些常年累月积累的数据是电力企业庞大的、最有价值的无形资产,对这些数据的备份是必需的。而电力企业的数据往往比较分散,用的数据库有ORACLE、SYBASE、SQLServer、LOTUS DOMINO等等。对这些分散的、结构多样的数据进行备份管理时,最好的办法就是用一套备份系统,将所有需要备份的数据,按照备份策略进行统筹备份。同时在异地安装一套存储设备进行异地备份,不具备异地备份条件的,则必须将备份介质异地存放一份,所有的备份介质必须有专人保管。
3.7加强日志管理与安全审计。一般的防火墙与入侵检测系统都具备审计功能,要充分利用它们的审计功能,作好网络的日志管理和安全审计工作。对审计数据要严格管理,不允许任何人修改、删除审计记录。
3.8网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。对于已经投入使用的信息系统,可以通过采用增加安全访问网父的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
4.结束语
信息安全是一个相对的概念,我们只能使系统越来越安全,而做不到绝对的安全。为了保护计算机系统里各种信息,我们必须时刻保持高度的警惕,做到对自己的系统安全情况始终有一个清醒的认识。 统筹规划,分步实施,要建立完整的信息安全防护体系,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资,使信息系统受到最大程度的保护,从而保障单位及个人信息的安全。
参考文献:
[1]唐琳,李云峰,电力信息系统的安全性初探[J],信息安全与通信保密,2006(10).
[2]李劲,遵循等级化保护的电力调度数据网安全防护[J],广西电力,2008(04).
[3]汪江,谈网络安全技术与电力企业网络安全解决方案研究[J],价值工程,2012(30).