论文部分内容阅读
【摘 要】电作为我国国民经济的基础产业,是一切电子设备正常运行的基础,也是电力部门工作重点。随着计算机信息技术的发展,大大增加了电力系统对信息系统的依赖性,网络已成为我们工作中的重要组成部分。
【关键词】问题;网络安全体系;安全策略;管理策略;检测技术
1.电力系统信息网络安全存在的问题
1.1安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。
1.2信息化机构、制度建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门下,还有的仅设一个“信息化专责”人员。
1.3电力企业网络信息安全风险的主要表现
1.3.1网络结构不合理
常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。
1.3.2来自互联网的风险
几乎所有电力企业的网络都是以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样,任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。
1.3.3来自企业内部的风险
电力公司信息应用集中集成的逐步推广,各种应用,包括办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。
1.3.4病毒的侵害
计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。
1.3.5管理人员素质风险
许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。
1.3.6系统的安全风险
系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
2.电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:(1)物理层面安全,环境安全,设备安全,介质安全;(2)网络层面安全,网络运行安全,网络传输安全,网络边界安全;(3)系统层面安全,操作系统安全,数据库管理系统安全;(4)应用层面安全,辦公系统安全,业务系统安全,服务系统安全;(5)管理层面安全,安全管理制度,部门与人员的组织规则。
3.电力信息网络安全策略
3.1设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记。防止意外损坏。
3.2安全技术策略
3.2.1防火墙技术
防火墙是用于将信任网络与非信任网络隔离的一种技术.它通过单一集中的安全检查点.强制实糟相应的安全策略进行检查.防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
3.2.2病毒防护技术
为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件.在网关上安装基于网父的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略。在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
3.3.3拟局域网技术(VLAN技术)
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含l组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个IAN内的各工作站无须放置在同一物理空LAN里。既这些工作站不一定属于同一个物理IAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
3.3.4数据备份及容错方案对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。应用信息系统对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。
3.3.5安全审计技术
随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。 4.组织管理策略
4.1安全意识与安全技能
通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识。使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技術和产品,将使信息安全保障工作得到提升。
4.2安全策略与制度
电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全;没有法规,无从遵循信息安全的制度;没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
4.3安全组织与岗位
电力企业的组织体系应实行“统一组织、分散管理”的方式.建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。
五、入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)得到了广泛的应用。银行、电信、电力等行业都把入侵检测系统作为安全防护的必备措施进行了部署,我国政府更是要求涉密单位必须部署入侵检测系统,以发现来自外部的入侵和来自内部的异常行为并进行预警。但是,随着黑客技术的发展,网络攻击日益呈现集群化、自动化、复合式、快速化等特点。应对这些攻击,传统的能够起到的作用越来越受限制,不容易对应急响应体系的建设进行有效的支撑,从而不能形成“一盘棋”的预警体系。因此,必须降低系统面临的风险、增强应急响应能力,使入侵检测系统更好地支持应急响应。目前以天阗入侵检测与预警系统”就是典型代表。它能够与绝大多数知名品牌的防火墙、漏洞扫描系统、网管等其它安全产品进行联动,组成入侵防御系统(Intrusion Protection System,简称IPS)。为了提高IDS的可用性,提高对应急响应体系的支持力度,又着力加强了的安全防范及管理功能,提高对全局入侵行为的可视管理具有良好可视化、可控性、可管理性的新一代入侵检测系统被称为入侵管理系统(Intrusion Management System,简称IMS)。结合国家电网公司的业务实际,未来IMS网络将为国家电网公司带来如下更加丰富、更加灵活的业务体验。
总之,电力系统信息安全是一个系统的、全局的管理问题.我们应该用系统工程的观点、方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果.只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
【关键词】问题;网络安全体系;安全策略;管理策略;检测技术
1.电力系统信息网络安全存在的问题
1.1安全意识淡薄
企业人员忙于利用网络工作学习,对网络信息的安全性无暇顾及,安全意识相当淡薄。电力企业注重的是网络效应,对安全领域的投入和管理远远不能满足安全防范的要求,网络信息安全处于被动的封堵漏涮状态。
1.2信息化机构、制度建设尚需进一步健全
信息部门未受到应有的重视。信息部门在电力公司没有专门机构配置,没有规范的建制和岗位,信息部门附属在生产技术部下,有的作为设在科技部下的科室,有的设在总经理工作部门下,还有的仅设一个“信息化专责”人员。
1.3电力企业网络信息安全风险的主要表现
1.3.1网络结构不合理
常见的有:核心交换机选择不合理。不少企业网络的核心交换机是一台二层交换机,这样,所有网络用户在网络中的地位将是平等的,安全问题只有通过应用系统去解决。
1.3.2来自互联网的风险
几乎所有电力企业的网络都是以各种方式与互联网连接,企业用户可以直接访问互联网的资源,这给企业职工带来很大方便;同样,任何能上互联网的用户也可以访问企业网络的资源,这对宣传企业、扩大企业的影响和知名度很有好处。但是,在带来方便的同时,也带来安全风险。
1.3.3来自企业内部的风险
电力公司信息应用集中集成的逐步推广,各种应用,包括办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。
1.3.4病毒的侵害
计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。
1.3.5管理人员素质风险
许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明,安全管理制度不完善、人员素质不高是网络风险的重要来源之一。
1.3.6系统的安全风险
系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。不管使用哪一种操作系统都存在大量已知和未知的漏洞,这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施拒绝服务攻击。
2.电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露信息安全应该实行分层保护措施.有以下五个方面:(1)物理层面安全,环境安全,设备安全,介质安全;(2)网络层面安全,网络运行安全,网络传输安全,网络边界安全;(3)系统层面安全,操作系统安全,数据库管理系统安全;(4)应用层面安全,辦公系统安全,业务系统安全,服务系统安全;(5)管理层面安全,安全管理制度,部门与人员的组织规则。
3.电力信息网络安全策略
3.1设备安全策略
这是在企业网规划设计阶段就应充分考虑安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并有明显标记。防止意外损坏。
3.2安全技术策略
3.2.1防火墙技术
防火墙是用于将信任网络与非信任网络隔离的一种技术.它通过单一集中的安全检查点.强制实糟相应的安全策略进行检查.防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
3.2.2病毒防护技术
为免受病毒造成的损失,要采用的多层防病毒体系。即在每台Pc机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件.在网关上安装基于网父的防病毒软件。必须在信息系统的各个环节采用全网全面的防病毒策略。在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
3.3.3拟局域网技术(VLAN技术)
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含l组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。但由于它是逻辑而不是物理划分,所以同一个IAN内的各工作站无须放置在同一物理空LAN里。既这些工作站不一定属于同一个物理IAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
3.3.4数据备份及容错方案对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。应用信息系统对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。
3.3.5安全审计技术
随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。 4.组织管理策略
4.1安全意识与安全技能
通过普及安全知识的培训,可以提高电力企业职员安全知识和安全意识。使他们具备一些基本的安全防护意识和发现解决某些常见安全问题的能力。通过专业安全培训提高操作维护者的安全操作技能,然后再配合第三方安全技術和产品,将使信息安全保障工作得到提升。
4.2安全策略与制度
电力企业应该从企业发展角度对整体的信息安全工作提供方针性指导,制定一套指导性的、统一的安全策略和制度。没有标准,无法衡量信息的安全;没有法规,无从遵循信息安全的制度;没有策略,无法形成安全防护体系。安全策略和制度管理是法律管理的形式化、具体化,是法规与管理的接口和信息安全得以实现的重要保证。
4.3安全组织与岗位
电力企业的组织体系应实行“统一组织、分散管理”的方式.建立一个有效、独立的信息安全部门作为企业的信息安全管理机构,全面负责企业范围内的信息安全管理和维护工作。
五、入侵检测技术
入侵检测系统(Intrusion Detection System,简称IDS)得到了广泛的应用。银行、电信、电力等行业都把入侵检测系统作为安全防护的必备措施进行了部署,我国政府更是要求涉密单位必须部署入侵检测系统,以发现来自外部的入侵和来自内部的异常行为并进行预警。但是,随着黑客技术的发展,网络攻击日益呈现集群化、自动化、复合式、快速化等特点。应对这些攻击,传统的能够起到的作用越来越受限制,不容易对应急响应体系的建设进行有效的支撑,从而不能形成“一盘棋”的预警体系。因此,必须降低系统面临的风险、增强应急响应能力,使入侵检测系统更好地支持应急响应。目前以天阗入侵检测与预警系统”就是典型代表。它能够与绝大多数知名品牌的防火墙、漏洞扫描系统、网管等其它安全产品进行联动,组成入侵防御系统(Intrusion Protection System,简称IPS)。为了提高IDS的可用性,提高对应急响应体系的支持力度,又着力加强了的安全防范及管理功能,提高对全局入侵行为的可视管理具有良好可视化、可控性、可管理性的新一代入侵检测系统被称为入侵管理系统(Intrusion Management System,简称IMS)。结合国家电网公司的业务实际,未来IMS网络将为国家电网公司带来如下更加丰富、更加灵活的业务体验。
总之,电力系统信息安全是一个系统的、全局的管理问题.我们应该用系统工程的观点、方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果.只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。