论文部分内容阅读
摘要:本文结合多年工作经验,分析了在电力行业中信息网络的特点及安全属性,针对供电企业信息网络安全需求的四个方面及防护进行了深入的探讨,以供参考;
关键词:信息网络;特点;防护;供电企业;
1. 前言
当今社会是一个信息化社会,信息网络技术在政治、经济、军事、交通、文教等方面的作用日益增大。社会对信息网络的依赖也日益增强,网络的重要性和对社会的影响也越来越大。目前,企业的信息化也已成为全球的趋势,网络与信息系统作为先进生产力的象征,被广大企业广泛运用,但是我们在享受信息网络便利的同时,也不得不为企业的信息网络安全而担忧,企业的信息网络既面临来自外部的安全威胁,也面临来自内部的安全威胁,由此需要加强防范措施,以保证企业的信息网络的安全。我们以供电企业为例,就企业的信息网络安全需求及防护进行探讨。
2.电力行业网络拓扑结构特点
电力行业地域跨度大,应用系统多,网络结构复杂。国家电力信息网(SPInet),即中国电力数据网(CEDnet)或国家电力数据网(SPDnet),共分4级,连接了国电公司、网公司、以及各地、市或县供电公司。网上开通的业务主要有:调度自动化系统、电子邮件服务、WWW服务、域名解析服务、办公自动化系统、管理信息系统、视频点播系统等,同时承载着实时、准实时生产控制业务和管理信息业务。
3. 供电公司網络安全的属性
网络安全有自己特定的属性,主要有机密性、完整性、可用性和可控性这四个方面。
(1) 机密性
是为了使信息不泄露给非授权用户、非授权实体或非授权过程,或供其利用,防止用户非法获取关键的敏感信息或机密信息。通常采用加密来保证数据的机密性。
(2) 完整性
是为了使数据未经授权不能被修改,即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失。它主要包括软件的完整性和数据的完整性两个方面的内容。
•软件完整性是为了防止对程序的修改,如病毒。
•数据完整性是为了保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏,保持数据整体的完整。
(3) 可用性
是为了被授权实体访问并按需求使用,即当用户需要时能够在提供服务的服务器上进行所需信息的存取。例如:网络环境下拒绝服务、破坏网络和破坏有关系统的正常运行等,都属于对可用性的攻击。
(4) 可控性
是为了对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控,如密码的托管政策等。
4.供电企业的信息网络安全需求及防护
正确的风险分析是保证网络环境安全的非常重要的一环,一个性能优良的安全系统结构和安全系统平台,能够以低的安全代价换得高的安全强度。根据供电企业网络系统覆盖面大、数据处理量大、安全性要求高等特点,在设计网络安全体系时,必须充分考虑各种安全要素,合理的进行网络安全的技术设计,针对面临的风险,采取相应的安全措施。结合供电公司的实际情况,按上述层次对供电企业的信息网络安全需求进行分析。
4.1 物理安全
物理安全包括通信线路,物理设备,机房等安全。物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份,防灾害能力、防干扰能力,设备的运行环境,不间断电源保障等等,可分为环境安全、设备安全、媒体安全三方面。要满足供电企业的信息网络物理安全需求,以下设备和措施是必要的:
(1)安装机房专用空调,满足各类网络设备和服务器的散热需要,保持机房环境温度和湿度基本恒定;铺设防静电地板,且需满足设备机柜承重需要;服务器和主要交换机应配置冗余电源,根据42U标准机柜空间计算,每个机柜应至少应配送一路32A供电,或两路16A供电;机柜和设备应满足接地要求;
(2)机房配备UPS电源供电,现有设备负荷应不超过UPS额定输出的70%,UPS提供的后备电源时间不应小于2小时;机房应安装门禁系统;机房应安装消防报警及自动灭火系统;机房应安装防雷击系统;主要办公设施内的网络布线应采用千兆双绞线结构化布线,各单位间的长距离网络布线应采架设光纤专线。
4.2 网络安全
网络平台的安全涉及网络拓扑结构、网络路由状况及网络的环境等。
供电企业所面对的网络风险主要来自以下几方面:
(1)来自互联网的风险
供电企业一般都建设了银电联网系统、远程负荷控制系统和远程抄表系统等,这些系统都通过Internet向供电企业传输数据,供电企业的内部网络如果与Internet直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,像电力行业这样的能源企业自然会被恶意的入侵者列入其攻击目标的前列。
(2)来自合作单位的风险
由于业务需要,供电企业一般要与当地移动、联通和各家银行等单位网络互联。由于供电企业与这些单位之间不可能是完全任信关系,因此,它们之间的互联,也使得供电企业网络系统面临着来自外单位的安全威胁。
(3)来自电力内部网的风险
电力系统的网络建设已有一定规模,形成了电力内部网,很多供电企业网络与地区、全省甚至全国的其他供电企业都有互联。对每一个供电企业来说,其它供电企业都可以说是不受信任的,有可能存在安全危胁。
(4)来自内部局域网的风险
据调查统计,己发生的网络安全事件中,70%的攻击是来自内部。因此内部局域网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
(5)管理安全风险
企业员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。
要满足供电企业的系统安全需求,以下设备和措施是必要的:鉴于供电企业采用Windows操作系统较为普遍,企业的信息内外网均应部署WSUS系统,及时为服务器和PC更新系统补丁,填补漏洞,保障安全;企业内外网均应部署企业版杀毒软件,设定合适的病毒防护策略; 各系统账号和密码应具有足够的强度,由专人管理,定时更换;操作系统应配置合理,安全可靠。
4.3 应用安全
应用安全是指主机系统上应用软件层面的安全。大部分应用系统软件没有进行安全性设计。
供电企业所面对的应用安全风险主要来自以下几方面:网络资源共享应用风险;数据信息安全风险和用户使用的安全风险要应对多种应用安全风险,满足供电企业的信息应用安全需求,以下设备和措施是必要的:
安装部署企业版杀毒软件,全网设置统一防毒策略和日志收集,严格防控病毒和木马的传播;建立WSUS服务器,并在全网安装部署补丁分发系统,及时修补各类漏洞,降低安全风险;使用专用扫描软件,定时对网络内的WWW、FTP、邮件、数据库以及操作系统等各种应用进行安全风险扫描,及时掌握动态的安全风险状况;定时由专人对数据库等重要和特殊应用系统进行升级或漏洞修补,做好操作前和操作后备份工作,保证数据的安全;为全网主机统一安装部署基于主机IPS,关停不使用的服务和共享文件,设置好操作系统的各类权限,帮助保护用户终端的安全;对重要数据做好集中保存、备份、访问权限控制和加密措施。
4.4 管理安全
管理是网络中安全最最重要的部分,除了从技术上下功夫外,还得依靠安全管理来实现。要应对多种管理安全风险,满足供电企业的信息管理安全需求,以下设备和措施是必要的:
(1)制定详尽的供电企业信息安全规章制度,通过管理手段为信息网络安全提供有力支持;在所有内网、外网及专线连接等所有边界部署日志审计系统,记录、审计和保存网络日志,以追踪定位攻击行为和违规操作; 全网主机应统一安装部署桌面行为管理系统,监控和记录用户终端行为,防止用户的违规操作,统一操作系统和软硬件设置,保护用户终端安全;
(2)全网主机应统一安装部署移动存储介质管理系统,防止重要信息通过移动存储介质外泄;全网主机应统一安装部署防非法外联系统,防止内部局域网主机通过私拉网线、无线网卡等防止连接Internet,保证内部网和Internet的真正隔离;设置接入控制措施,防止非法主机随意入网,并做好网内IP地址分配和管理工作,以定位和排查故障及攻击源。
5. 结 语
本文以供电企业信息网络安全的需求进行了分析,阐述了网络的不安全因素及其可能的后果,并以此为基础,对供电企业的信息网络进行了分层的安全风险分析,得出了其在物理、网络、系统、应用和管理等各方面的安全需求。然后根据需求分析的结果,给出了信息网络安全体系的设计原则,为方案的详细设计与实践奠定了基础。
参考文献:
[1]郝玉洁,常征.网络安全与防火墙技术.北京:电子科技大学学报社科版,2002,1(4):24~28
[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报 2002,3(14).
[3]Bace Rebecca.Intrusion Detection.Macmillan TechnicalPublishing. 2000.
[4] 刘永华. 基于A g e n t 的分布式入侵检测系统. 潍坊学院学报.2006,3(6-2).
关键词:信息网络;特点;防护;供电企业;
1. 前言
当今社会是一个信息化社会,信息网络技术在政治、经济、军事、交通、文教等方面的作用日益增大。社会对信息网络的依赖也日益增强,网络的重要性和对社会的影响也越来越大。目前,企业的信息化也已成为全球的趋势,网络与信息系统作为先进生产力的象征,被广大企业广泛运用,但是我们在享受信息网络便利的同时,也不得不为企业的信息网络安全而担忧,企业的信息网络既面临来自外部的安全威胁,也面临来自内部的安全威胁,由此需要加强防范措施,以保证企业的信息网络的安全。我们以供电企业为例,就企业的信息网络安全需求及防护进行探讨。
2.电力行业网络拓扑结构特点
电力行业地域跨度大,应用系统多,网络结构复杂。国家电力信息网(SPInet),即中国电力数据网(CEDnet)或国家电力数据网(SPDnet),共分4级,连接了国电公司、网公司、以及各地、市或县供电公司。网上开通的业务主要有:调度自动化系统、电子邮件服务、WWW服务、域名解析服务、办公自动化系统、管理信息系统、视频点播系统等,同时承载着实时、准实时生产控制业务和管理信息业务。
3. 供电公司網络安全的属性
网络安全有自己特定的属性,主要有机密性、完整性、可用性和可控性这四个方面。
(1) 机密性
是为了使信息不泄露给非授权用户、非授权实体或非授权过程,或供其利用,防止用户非法获取关键的敏感信息或机密信息。通常采用加密来保证数据的机密性。
(2) 完整性
是为了使数据未经授权不能被修改,即信息在存储或传输过程中保持不被修改、不被破坏和不被丢失。它主要包括软件的完整性和数据的完整性两个方面的内容。
•软件完整性是为了防止对程序的修改,如病毒。
•数据完整性是为了保证存储在计算机系统中或在网络上传输的数据不受非法删改或意外事件的破坏,保持数据整体的完整。
(3) 可用性
是为了被授权实体访问并按需求使用,即当用户需要时能够在提供服务的服务器上进行所需信息的存取。例如:网络环境下拒绝服务、破坏网络和破坏有关系统的正常运行等,都属于对可用性的攻击。
(4) 可控性
是为了对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控,如密码的托管政策等。
4.供电企业的信息网络安全需求及防护
正确的风险分析是保证网络环境安全的非常重要的一环,一个性能优良的安全系统结构和安全系统平台,能够以低的安全代价换得高的安全强度。根据供电企业网络系统覆盖面大、数据处理量大、安全性要求高等特点,在设计网络安全体系时,必须充分考虑各种安全要素,合理的进行网络安全的技术设计,针对面临的风险,采取相应的安全措施。结合供电公司的实际情况,按上述层次对供电企业的信息网络安全需求进行分析。
4.1 物理安全
物理安全包括通信线路,物理设备,机房等安全。物理层的安全主要体现在通信线路的可靠性,软硬件设备安全性,设备的备份,防灾害能力、防干扰能力,设备的运行环境,不间断电源保障等等,可分为环境安全、设备安全、媒体安全三方面。要满足供电企业的信息网络物理安全需求,以下设备和措施是必要的:
(1)安装机房专用空调,满足各类网络设备和服务器的散热需要,保持机房环境温度和湿度基本恒定;铺设防静电地板,且需满足设备机柜承重需要;服务器和主要交换机应配置冗余电源,根据42U标准机柜空间计算,每个机柜应至少应配送一路32A供电,或两路16A供电;机柜和设备应满足接地要求;
(2)机房配备UPS电源供电,现有设备负荷应不超过UPS额定输出的70%,UPS提供的后备电源时间不应小于2小时;机房应安装门禁系统;机房应安装消防报警及自动灭火系统;机房应安装防雷击系统;主要办公设施内的网络布线应采用千兆双绞线结构化布线,各单位间的长距离网络布线应采架设光纤专线。
4.2 网络安全
网络平台的安全涉及网络拓扑结构、网络路由状况及网络的环境等。
供电企业所面对的网络风险主要来自以下几方面:
(1)来自互联网的风险
供电企业一般都建设了银电联网系统、远程负荷控制系统和远程抄表系统等,这些系统都通过Internet向供电企业传输数据,供电企业的内部网络如果与Internet直接或间接互联,那么由于互联网自身的广泛性、自由性等特点,像电力行业这样的能源企业自然会被恶意的入侵者列入其攻击目标的前列。
(2)来自合作单位的风险
由于业务需要,供电企业一般要与当地移动、联通和各家银行等单位网络互联。由于供电企业与这些单位之间不可能是完全任信关系,因此,它们之间的互联,也使得供电企业网络系统面临着来自外单位的安全威胁。
(3)来自电力内部网的风险
电力系统的网络建设已有一定规模,形成了电力内部网,很多供电企业网络与地区、全省甚至全国的其他供电企业都有互联。对每一个供电企业来说,其它供电企业都可以说是不受信任的,有可能存在安全危胁。
(4)来自内部局域网的风险
据调查统计,己发生的网络安全事件中,70%的攻击是来自内部。因此内部局域网的安全风险更严重。内部员工对自身企业网络结构、应用比较熟悉,自已攻击或泄露重要信息内外勾结,都将可能成为导致系统受攻击的最致命安全威胁。
(5)管理安全风险
企业员工的安全意识薄弱,企业的安全管理体制不健全也是网络存在安全风险的重要因素之一,健全的安全管理体制是一个企业网络安全得以保障及维系的关键因素。
要满足供电企业的系统安全需求,以下设备和措施是必要的:鉴于供电企业采用Windows操作系统较为普遍,企业的信息内外网均应部署WSUS系统,及时为服务器和PC更新系统补丁,填补漏洞,保障安全;企业内外网均应部署企业版杀毒软件,设定合适的病毒防护策略; 各系统账号和密码应具有足够的强度,由专人管理,定时更换;操作系统应配置合理,安全可靠。
4.3 应用安全
应用安全是指主机系统上应用软件层面的安全。大部分应用系统软件没有进行安全性设计。
供电企业所面对的应用安全风险主要来自以下几方面:网络资源共享应用风险;数据信息安全风险和用户使用的安全风险要应对多种应用安全风险,满足供电企业的信息应用安全需求,以下设备和措施是必要的:
安装部署企业版杀毒软件,全网设置统一防毒策略和日志收集,严格防控病毒和木马的传播;建立WSUS服务器,并在全网安装部署补丁分发系统,及时修补各类漏洞,降低安全风险;使用专用扫描软件,定时对网络内的WWW、FTP、邮件、数据库以及操作系统等各种应用进行安全风险扫描,及时掌握动态的安全风险状况;定时由专人对数据库等重要和特殊应用系统进行升级或漏洞修补,做好操作前和操作后备份工作,保证数据的安全;为全网主机统一安装部署基于主机IPS,关停不使用的服务和共享文件,设置好操作系统的各类权限,帮助保护用户终端的安全;对重要数据做好集中保存、备份、访问权限控制和加密措施。
4.4 管理安全
管理是网络中安全最最重要的部分,除了从技术上下功夫外,还得依靠安全管理来实现。要应对多种管理安全风险,满足供电企业的信息管理安全需求,以下设备和措施是必要的:
(1)制定详尽的供电企业信息安全规章制度,通过管理手段为信息网络安全提供有力支持;在所有内网、外网及专线连接等所有边界部署日志审计系统,记录、审计和保存网络日志,以追踪定位攻击行为和违规操作; 全网主机应统一安装部署桌面行为管理系统,监控和记录用户终端行为,防止用户的违规操作,统一操作系统和软硬件设置,保护用户终端安全;
(2)全网主机应统一安装部署移动存储介质管理系统,防止重要信息通过移动存储介质外泄;全网主机应统一安装部署防非法外联系统,防止内部局域网主机通过私拉网线、无线网卡等防止连接Internet,保证内部网和Internet的真正隔离;设置接入控制措施,防止非法主机随意入网,并做好网内IP地址分配和管理工作,以定位和排查故障及攻击源。
5. 结 语
本文以供电企业信息网络安全的需求进行了分析,阐述了网络的不安全因素及其可能的后果,并以此为基础,对供电企业的信息网络进行了分层的安全风险分析,得出了其在物理、网络、系统、应用和管理等各方面的安全需求。然后根据需求分析的结果,给出了信息网络安全体系的设计原则,为方案的详细设计与实践奠定了基础。
参考文献:
[1]郝玉洁,常征.网络安全与防火墙技术.北京:电子科技大学学报社科版,2002,1(4):24~28
[2]蔡忠闽、孙国基等.入侵检测系统评估环境的设计与实现系统.仿真学报 2002,3(14).
[3]Bace Rebecca.Intrusion Detection.Macmillan TechnicalPublishing. 2000.
[4] 刘永华. 基于A g e n t 的分布式入侵检测系统. 潍坊学院学报.2006,3(6-2).