论文部分内容阅读
1.智能电网对信息安全要求
在智能电网发展中最需要高度重视的就是信息系统的安全防护。它需要强壮的信息骨干网络,进一步实现智能电网信息安全的同步建设,提升信息安全主动防御能力。需要加强信息安全的技术和措施,适应云计算和物联网技术发展需求,适应智能电网在配电侧、用户侧的延伸和发展需求,适应智能电网互动化发展需求。
2.智能电网的信息安全威胁
针对智能电网的信息安全威胁来自两方面:一是外部的网络攻击、病毒破坏、研究成果被窃取、电力设施的数据被破坏或被篡改以之获利、外部的非法言论造成恶劣影响给企业带来不可估量的损失等。另一最大的威胁来源于内部,如内部缺乏有效的安全手段,不存在信息安全管理机构或具备但职责不明晰;信息内外网混用的现象还存在;信息网络分区界限不明确,网络设备策略混乱等;员工信息安全意识不平衡,造成企业机密信息的丢失, 严重影响业务工作效率;信息系统漏洞和隐患普遍存在。
二、强化信息骨干网
1.机房建设
为保证新形势下各类信息设备运行环境的安全,应按照国家电网公司A、B类标准对信息主机房进行建设或改造。UPS具备双路电源供电并互为冗余,可网管理,保证实现负载均衡,负荷不超过70%;将机房烟感、温感、湿度检测、UPS运行状态纳入综合管理系统,接地防雷系统设置防雷保安器;实施精密空调建设和备用空调配置等。
2.网络结构升级
广域网主链路应采用双路由器、双交换机配置。对局域网核心层和主干网络通道须实现冗余,而且提升支路带宽,具备条件可双通道。如果是2层平面化网络,应改造为成熟的网络层次性结构,即核心层、汇聚层、接入层3层网络结构,核心层必须具备双机热备份,负责整个网络的网内数据交换。汇聚层应配置千兆单模光纤模块双链路分别上行到主备核心,负责汇聚和转发各区域数据流量,扩大核心层设备的端口密度,实现链路冗余和骨干网络的优化传输。在接入层必须将所有网络交换机更新为可网管交换机,减少网络拥堵,以便进行监控管理。
三、安全防护体系建设
1.信息安全管理体系
1.1管理机制
供电企业应健全信息安全工作的管理机制。结合供电企业实际情况,完善责权划分,加强信息安全监管。要明确信息安全责任,将其纳入供电企业的安全生产考核范围,强化企业信息管理的一把手建设,成立信息安全管理机构,确保信息安全工作责权清晰。建立健全相应的信息安全管理制度。提升人员信息安全素质培养,应按工作需求、所在部门性质有针对性的进行,有重点、分层次对职工进行信息安全技术培训。
1.2应急体系
供电企业必须具备信息系统应急预案,根据信息化最新规划进行编制和适应性滚动修订,根据信息网络系统出现各种突发事件的可能性,定期组织应急预案演练,检验应急预案各环节之间是否符合快速、高效的要求。对预案中存在的问题和不足及时进行了修改完善,保证应急响应方案的及时实施,建立起了信息安全应急响应体系。
2.信息安全技术护方案
2.1双网双机
管理信息大区划分为信息内网和信息外网,管理信息内外网间采用逻辑强隔离设备进行隔离,信息内外网分别采用独立的服务器及桌面主机;信息内网的计算机终端严禁以任何方式接入外网,以确保信息内网的安全可靠。
2.2分区分域
按照公司的等级保护的原则进行分区防御,按业务系统的重要程度划分为若干个安全域,按“二级系统统一成域、三级系统独立成域”的原则,将电力信息系统分为管理信息大区与生产控制大区的基础上,将管理信息大区的系统,依据定级情况及业务系统类型,并有选择性地进行深度防护,如域间部署防火墙或IPS,旁路部署安全审计系统,以实现不同安全域的独立化。
2.3等级防护
在安全等级防护建设方面,严格遵守国网公司信息安全等级的基本要求,构建具有电网特色的信息安全等级保护纵深防御体系。根据信息系统重要性不同,将管理信息系统主要划分为2、3级,生产控制系统主要为3、4级,积极开展定级备案,进行等级保护符合性测评,依据供电企业整体安全方针、等级保护符合性测评报告,编制符合本企业实际情况的等级保护实施方案,再进行实施建设。
2.4多层防御
在分域防护的基础上,将各安全域划分为边界、网络、主机、应用4个层次进行安全防防护设计,以实现层层递进,纵深防御。在信息内网纵向上下级边界、横向域间边界、信息内网与外网边界、信息内外网第三方边界分别部署防火墙、入侵防御、安全审计等安全防护措施。
3.信息安全控制技术
3.1网络监控技术
对网络与系统进行综合监控与管理的网管平台是不可缺少的。网络监控系统不仅可优化网络和有效利用系统资源,而且能够直接支撑和监控网上业务,保障网络和应用系统正常运行。供电企业应致力实施好国家电网公司大力推广的桌面管理系统和网络管理系统,监控移动存储介质的使用和实施网络准入技术;应实施IMS信息监管平台,采收集网络设备、服务器、数据库、中间件等网元的实时运行状态进行统一汇总、整理,为系统运行分析模块提供数据支持;可在信息外网部署信息采集器,对信息外网边界的安全实时监测和分析。
3.2防火墙技术
防火墙应作为安全防护体系统的第一道防线,通过访问控制,防御网络攻击。应根据国网公司的统一发展要求和业务数据流量、安全性要求不同购置,其边界上基于最小权限,实施最小范围化细化防火墙策略。同时根据实际业务要求进行部署,如在财务系统边界、互联网出口、不同安全域间部署防火墙、业务系统实施VLAN及访问控制策略进行防护等。
3.3防病毒系统
供电企业应建立覆盖全公司的易于集中管理和部署、病毒处理能力强的网络版防病毒防范系统,通过多平台工作站和服务器的病毒码信息集中部署和更新,大幅度降低部署更新的成本,并简化企业服务器层次规划和创建,极大地提高了计算机终端的安全性。每个终端也应安装相应的防木马软件。
3.4入侵防御系统IPS
入侵防御系统比入侵检测系统更具备主动防御性。作为最后一道防线,能够准确监测企业网络异常流量,自动对各类攻击性流量,有效定位及时阻断内外部攻击行为。部署方式应为在线部署方式,严格遵循“最小化”原则基础上开放边界端口。IPS配合上网行为采集器,能够全面监测并采集管理即时通信、P2P下载、网络游戏、在线视频以及在线炒股等网络行为,能够协助网络管理员辨识和限制非授权网络流量,净化网络使用环境。
3.5主机加固
对于主机的加固,要做到漏洞全面升级,定期备份,并做好定期备份恢复测度。只开启主机应用系统所需的服务,关闭非需服务和端口,关闭所有共享,安装正版防病毒和防木马软件,修改主机系统策略中的帐号策略(含密码和帐户锁定策略)和审核策略,还需定期审核主机日常登录日志。
3.6网络设备加固
核心交换机应开启ROOT保护功能,汇聚层开启环路保护功能,接入层交换机应采用SSH登录方式,修改默认口令,将IP地址与MAC地址绑定,所有交换机未用端口关闭,消除广播风暴,按部门细划VLAN,将所有VLAN通过改为指定VLAN通过等。
3.7应用加固
应用系统的加固,在应用程序的开发上要注重安全性的同步开发,如WEB网站尽量使用HTTPS协议,在程序开发时就做好防注入等攻击设计,严格应用权限管理,强化其应用口令策略,做好帐户管理,对其用户登录进行安全审计等。
結束语
信息安全是个系统工程,一个安全稳定能有效抵御内外攻击的信息网络是智能电网的基础需求。构建智能电网的信息安全体系,要有管理与技术并重的安全理念,一方面要强化信息管理和使用人员的安全意识,规范网络使用行为,另一方面,各级电力企业、各级电网信息安全部门同心同力,提升安全保障手段,关注现代信息安全技术和安全设备,有规划、成体系的部署相应信息安全产品。
在智能电网发展中最需要高度重视的就是信息系统的安全防护。它需要强壮的信息骨干网络,进一步实现智能电网信息安全的同步建设,提升信息安全主动防御能力。需要加强信息安全的技术和措施,适应云计算和物联网技术发展需求,适应智能电网在配电侧、用户侧的延伸和发展需求,适应智能电网互动化发展需求。
2.智能电网的信息安全威胁
针对智能电网的信息安全威胁来自两方面:一是外部的网络攻击、病毒破坏、研究成果被窃取、电力设施的数据被破坏或被篡改以之获利、外部的非法言论造成恶劣影响给企业带来不可估量的损失等。另一最大的威胁来源于内部,如内部缺乏有效的安全手段,不存在信息安全管理机构或具备但职责不明晰;信息内外网混用的现象还存在;信息网络分区界限不明确,网络设备策略混乱等;员工信息安全意识不平衡,造成企业机密信息的丢失, 严重影响业务工作效率;信息系统漏洞和隐患普遍存在。
二、强化信息骨干网
1.机房建设
为保证新形势下各类信息设备运行环境的安全,应按照国家电网公司A、B类标准对信息主机房进行建设或改造。UPS具备双路电源供电并互为冗余,可网管理,保证实现负载均衡,负荷不超过70%;将机房烟感、温感、湿度检测、UPS运行状态纳入综合管理系统,接地防雷系统设置防雷保安器;实施精密空调建设和备用空调配置等。
2.网络结构升级
广域网主链路应采用双路由器、双交换机配置。对局域网核心层和主干网络通道须实现冗余,而且提升支路带宽,具备条件可双通道。如果是2层平面化网络,应改造为成熟的网络层次性结构,即核心层、汇聚层、接入层3层网络结构,核心层必须具备双机热备份,负责整个网络的网内数据交换。汇聚层应配置千兆单模光纤模块双链路分别上行到主备核心,负责汇聚和转发各区域数据流量,扩大核心层设备的端口密度,实现链路冗余和骨干网络的优化传输。在接入层必须将所有网络交换机更新为可网管交换机,减少网络拥堵,以便进行监控管理。
三、安全防护体系建设
1.信息安全管理体系
1.1管理机制
供电企业应健全信息安全工作的管理机制。结合供电企业实际情况,完善责权划分,加强信息安全监管。要明确信息安全责任,将其纳入供电企业的安全生产考核范围,强化企业信息管理的一把手建设,成立信息安全管理机构,确保信息安全工作责权清晰。建立健全相应的信息安全管理制度。提升人员信息安全素质培养,应按工作需求、所在部门性质有针对性的进行,有重点、分层次对职工进行信息安全技术培训。
1.2应急体系
供电企业必须具备信息系统应急预案,根据信息化最新规划进行编制和适应性滚动修订,根据信息网络系统出现各种突发事件的可能性,定期组织应急预案演练,检验应急预案各环节之间是否符合快速、高效的要求。对预案中存在的问题和不足及时进行了修改完善,保证应急响应方案的及时实施,建立起了信息安全应急响应体系。
2.信息安全技术护方案
2.1双网双机
管理信息大区划分为信息内网和信息外网,管理信息内外网间采用逻辑强隔离设备进行隔离,信息内外网分别采用独立的服务器及桌面主机;信息内网的计算机终端严禁以任何方式接入外网,以确保信息内网的安全可靠。
2.2分区分域
按照公司的等级保护的原则进行分区防御,按业务系统的重要程度划分为若干个安全域,按“二级系统统一成域、三级系统独立成域”的原则,将电力信息系统分为管理信息大区与生产控制大区的基础上,将管理信息大区的系统,依据定级情况及业务系统类型,并有选择性地进行深度防护,如域间部署防火墙或IPS,旁路部署安全审计系统,以实现不同安全域的独立化。
2.3等级防护
在安全等级防护建设方面,严格遵守国网公司信息安全等级的基本要求,构建具有电网特色的信息安全等级保护纵深防御体系。根据信息系统重要性不同,将管理信息系统主要划分为2、3级,生产控制系统主要为3、4级,积极开展定级备案,进行等级保护符合性测评,依据供电企业整体安全方针、等级保护符合性测评报告,编制符合本企业实际情况的等级保护实施方案,再进行实施建设。
2.4多层防御
在分域防护的基础上,将各安全域划分为边界、网络、主机、应用4个层次进行安全防防护设计,以实现层层递进,纵深防御。在信息内网纵向上下级边界、横向域间边界、信息内网与外网边界、信息内外网第三方边界分别部署防火墙、入侵防御、安全审计等安全防护措施。
3.信息安全控制技术
3.1网络监控技术
对网络与系统进行综合监控与管理的网管平台是不可缺少的。网络监控系统不仅可优化网络和有效利用系统资源,而且能够直接支撑和监控网上业务,保障网络和应用系统正常运行。供电企业应致力实施好国家电网公司大力推广的桌面管理系统和网络管理系统,监控移动存储介质的使用和实施网络准入技术;应实施IMS信息监管平台,采收集网络设备、服务器、数据库、中间件等网元的实时运行状态进行统一汇总、整理,为系统运行分析模块提供数据支持;可在信息外网部署信息采集器,对信息外网边界的安全实时监测和分析。
3.2防火墙技术
防火墙应作为安全防护体系统的第一道防线,通过访问控制,防御网络攻击。应根据国网公司的统一发展要求和业务数据流量、安全性要求不同购置,其边界上基于最小权限,实施最小范围化细化防火墙策略。同时根据实际业务要求进行部署,如在财务系统边界、互联网出口、不同安全域间部署防火墙、业务系统实施VLAN及访问控制策略进行防护等。
3.3防病毒系统
供电企业应建立覆盖全公司的易于集中管理和部署、病毒处理能力强的网络版防病毒防范系统,通过多平台工作站和服务器的病毒码信息集中部署和更新,大幅度降低部署更新的成本,并简化企业服务器层次规划和创建,极大地提高了计算机终端的安全性。每个终端也应安装相应的防木马软件。
3.4入侵防御系统IPS
入侵防御系统比入侵检测系统更具备主动防御性。作为最后一道防线,能够准确监测企业网络异常流量,自动对各类攻击性流量,有效定位及时阻断内外部攻击行为。部署方式应为在线部署方式,严格遵循“最小化”原则基础上开放边界端口。IPS配合上网行为采集器,能够全面监测并采集管理即时通信、P2P下载、网络游戏、在线视频以及在线炒股等网络行为,能够协助网络管理员辨识和限制非授权网络流量,净化网络使用环境。
3.5主机加固
对于主机的加固,要做到漏洞全面升级,定期备份,并做好定期备份恢复测度。只开启主机应用系统所需的服务,关闭非需服务和端口,关闭所有共享,安装正版防病毒和防木马软件,修改主机系统策略中的帐号策略(含密码和帐户锁定策略)和审核策略,还需定期审核主机日常登录日志。
3.6网络设备加固
核心交换机应开启ROOT保护功能,汇聚层开启环路保护功能,接入层交换机应采用SSH登录方式,修改默认口令,将IP地址与MAC地址绑定,所有交换机未用端口关闭,消除广播风暴,按部门细划VLAN,将所有VLAN通过改为指定VLAN通过等。
3.7应用加固
应用系统的加固,在应用程序的开发上要注重安全性的同步开发,如WEB网站尽量使用HTTPS协议,在程序开发时就做好防注入等攻击设计,严格应用权限管理,强化其应用口令策略,做好帐户管理,对其用户登录进行安全审计等。
結束语
信息安全是个系统工程,一个安全稳定能有效抵御内外攻击的信息网络是智能电网的基础需求。构建智能电网的信息安全体系,要有管理与技术并重的安全理念,一方面要强化信息管理和使用人员的安全意识,规范网络使用行为,另一方面,各级电力企业、各级电网信息安全部门同心同力,提升安全保障手段,关注现代信息安全技术和安全设备,有规划、成体系的部署相应信息安全产品。