电力网络信息安全(通用12篇)
电力网络信息安全 篇1
0 引言
在电力企业信息化水平快速发展的背景下, 面对网络违规行为日益增多, 需要强化对各直属机构的信息系统的安全建设, 尤其是面对内部大量终端的使用, 对以终端为安全边界的内网安全列上了议事日程。电力企业加强内网中各类终端的管理, 避免因终端缺乏专业的安全技术手段, 而成为违规行为的发源地、网络安全的脆弱点或成为网络攻击的跳板。为此, 电力企业把保护终端的信息安全管理工作, 提升到“一把手”负责制的高度。
电力企业希望通过部署终端管理产品, 有效解决非法终端接入内网并对安全生产造成破坏的风险。电网公司希望选择一个既能紧密结合电网公司网络规模大、使用部门多和应用系统复杂的特点, 有效防止不符合规定的终端接入内网和访问资源的限制, 同时, 又能清晰划分电网公司的网络边界, 并能顺应不断变化的信息安全发展新趋势的终端管理产品, 来有效解决终端接入对内网造成破坏的风险。
1 网络安全现状分析
目前在县市级供电企业, 已经实施多种网络安全产品, 如Symantec企业版病毒防护系统、微软补丁分发产品WSUS补丁更新系统。年初, 国家电网公司统一部署了桌面终端管理系统, 国家电网公司部署中心服务器, 省公司部署一级服务器, 市局部署二级服务器, 并给县市级供电企业提供一个管理客户端, 实现对接入终端的外联管理、外设管理、资产管理、远程运维、协议管理等。在统一的管理和控制策略下, 使县市级供电企业对终端初步具有可管理性。同时, 国家电网公司通过定期下发各类管理和安全检查等策略, 对县市级供电企业的终端安全进行定期抽查。通过这套系统, 一方面解决了数量众多的计算机的安全、管理、维护问题, 降低了单位的基础设施构建成本;另一方面保障了数据信息的安全。
虽然县市级供电企业在内网终端安全方面做了很多工作, 部署了防火墙、安全VLAN的划分、刚实施的内外网物理隔离、Symantec企业版病毒防护系统、补丁统一更新系统以及国家电网统一部署的桌面终端管理系统, 但是对下面的安全问题还不能做到真正意义上的解决。
(1) 是否已经做到真正的隔离?目前在县市级供电企业实现了内外网的物理隔离, 但无法从技术手段来判断并杜绝内网计算机连接外网。
(2) 终端接入可控吗?虽然县市级供电企业已经有一套IP与MAC绑定的系统, 但是可以伪造IP与MAC信息接入网络。虽然作了物理隔离, 可是正常工作中还是经常会碰到外来计算机, 如何来控制接入及做接入前管控?怎么样可以做到很灵活的终端接入审查呢?在系统正常运行之后, 所有接入网络的终端如何做到只有通过管理员审查批准才可以接入呢?
(3) 目前县市级供电企业接入终端为数众多, 分布地域很广, 接入计算机密码过于简单, 管理人员、不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库, 信息管理人员如何及时发现计算机的安全漏洞, 提供用户更改密码, 安装杀毒软件, 更新病毒库等, 以保障系统不因为弱口令的原因被病毒和黑客攻击?
(4) 怎么对终端进行强制的安全加固?通过桌面终端管理系统, 管理人员对计算机终端的安全隐患将更加了解, 但终端使用人员操作水平参差不齐, 如何来保证计算机的操作系统没有漏洞, 补丁全部打齐, 杀毒软件版本及病毒库都更新到最新以及账号密码具有一定强度的呢?
(5) 终端计算机如果需要修复怎么办?如何保证接入终端是处于健康状态的, 如果保障存在安全隐患的终端的安全修复, 甚至强制让接入终端修复其安全隐患呢?
(6) 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的引入点, 快速、安全的切断安全事件发生点和相关网络?
因此, 目前在信息安全上, 内网终端还是存在很大的安全隐患。
2 网络准入控制系统功能
作为终端安全管理整体解决方案, 县市级供电企业已经部署了桌面安全管理系统, 但无有效地技术手段控制客户端的准入;同时, 对于桌面管理系统采集上来的安全隐患, 也没有强制手段保证终端及时有效的加固。因此终端安全准入控制系统建设重要性突显出来, 与桌面管理系统同时作为整体方案的两块重要部分, 二者缺一不可。与传统桌面管理系统的关系如图1所示。
一个完整的网络准入控制系统, 在终端设备接入时, 需提供以下5步检查和控制流程, 缺少其中一个方面的内容, 就不是完善的准入解决方案, 都无法达到完整的安全风险控制、预防和响应要求, 会给准入控制系统的部署和推广使用带来问题。网络接入认证流程如图2所示。
第1步, 注册登记:内部终端要访问网络资源之前, 需要在网络上注册登记 (用户账户登记、终端ID注册等) , 取得接入网络的权限。
第2步, 接入检查:终端在接入网络时, 准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
第3步, 安全隔离:如果在接入检查时, 发现终端不符合安全规定, 需要对终端进行隔离或拒绝其访问网络资源, 例如:发现是外来终端则拒绝接入或进入“访客区”网段, 或者是内部不符合安全规定的终端, 则让其进入“修复区”。
第4步, 安全通知:对被隔离的终端进行通知, 告知其被隔离的原因, 在访问网页资源时也会有相应的安全通知告示。
第5步, 安全修复:自动引导被隔离的终端, 让其修复安全设置或者进行注册登记, 使得其可以正常访问网络资源。
3 网络准入控制系统部署
图3是网络安全准入控制联动和终端安全管理系统所有相关服务器的部署连接示意图。其中策略管理服务器2台 (1台作为正常使用, 1台作为备份) 、联动控制器2台 (要求可实时切换) 、终端安全代理以及其它第3方修复服务器。
通过准入控制系统解决方案的部署, 可以将整个网络划分为2个不同的区:隔离修复区和正常工作区。准入控制系统可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这2个区域中。终端在不同安全区域能够访问到的网络资源不同, 比如:隔离修复区一般限制只能访问安全修复服务器等资源;正常工作区是正常办公需要的所有网络资源, 这个区域是大多数的安全区域。
准入控制系统可以支持多用户、多权分立管理, 根据不同管理员所拥有的管理权限与管理范围, 管理员只能操作被授权的功能以及限制的管理范围, 管理员所有的操作都可以让审计员进行审计。
4 结语
准入控制系统可以防止病毒、蠕虫甚至人为破坏等技术和行为对企业网络安全造成的危害。借助准入控制系统, 可以只允许合法的、值得信任的端点设备接入网络, 而不允许其他设备接入。在初始阶段, 当端点设备进入网络时, 准入控制系统能够实施访问权限。准入控制系统的接入规则可以根据端点设备的信息制定, 例如设备的当前防病毒状况以及操作系统补丁等。准入控制系统将按照制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。通过实施网络准入控制系统, 可以有效地保障终端接入的信息安全。
电力网络信息安全 篇2
[摘 要]目前,电力行业在落实网络信息服务的过程中仍存在一些问题,影响到用户信息的安全性,在此背景下,当代电力行业在发展的过程中应注重提高对此问题的重视程度,应以加强系统漏洞扫描的方式应对信息服务过程中存在的安全风险,继而为用户提供良好的服务。本文从当前电力行业信息网络安全现状分析入手,详细阐述提升电力行业信息网络安全的措施,旨在其能推动当前电力行业信息管理手段的进一步创新。
[关键词]电力行业;网络安全;现状
doi:10.3969/j.issn.1673-0194.2015.24.068
[中图分类号]TM73 [文献标识码]A [文章编号]1673-0194(2015)24-00-01
随着计算机技术的不断发展,其被广泛应用于电力行业网络信息管理中,但随着网络平台开放性的不断增加,信息网络安全问题也逐渐引起了人们关注,在此基础上,为了给予用户一个良好的网络服务平台,要求当代电力行业在发展的过程中也应注重对信息网络安全措施的应用,以此达到良好的信息管理目标。以下就是对电力行业信息网络安全现状的详细阐述,希望能为当代电力行业的健康稳定发展提供借鉴。当前电力行业信息网络安全现状分析
1.1 安全防范意识薄弱
经过大量的调查数据表明,我国互联网用户正在以每年34%的速度持续增长中,因而在此背景下,安全防范意识的薄弱会在一定程度上影响信息管理工作的有序开展。同时,当前电力行业在信息网络安全管理中也逐渐凸显出防范意识较为薄弱的问题,即部分电力部门在内部数据整合过程中未实现网络安全维护平台的构建,导致信息管理人员在实际工作开展过程中无法全面掌控到信息管理现状,导致信息安全风险问题凸显。此外,未实现对本单位网络安全现状的清晰认知也是当代电力行业信息管理中体现出的主要问题,为此,电力行业在发展的过程中应提高对此问题的重视程度,且应注重培养信息管理人员形成主动预防意识。
1.2 病毒泛滥
近年来,随着网络病毒侵袭案件的不断增多,公安部门出台了《第九次全国信息网络安全状况与计算机病毒疫情调查报告》,并在报告中明确指出网络病毒侵袭事件已经占据了全部类型的70%,为此,应注重强化对其的有效处理。此外,从电力行业信息安全网络现状分析中也可看出,随着计算机病毒木马品种的不断更新,其对杀毒软件的整体能力也提出了更高要求,但由于部分电力部门未引进新型的杀毒软件,导致其在实施信息管理工作的过程中逐渐凸显出病毒泛滥的现象,最终由此影响到整体信息管理水平。另外,由于网络病毒主要存储于网页及移动介质中,在此基础上为了提升信息管理的安全性,要求电力部门在发展的过程中应注重结合病毒传播特点采用有针对性的病毒防御手段。
1.3 存在系统安全风险
系统安全风险也是影响电力行业信息网络安全管理的因素之一,而导致系统安全风险产生的原因主要归咎于以下几个方面:第一,在电力系统网络运行过程中需要通过服务器及交换机系统来开展服务环节,但由于部分电力部门此类系统中存在着一定安全漏洞,致使其在网络信息管理过程中易受到系统安全风险的影响而凸显出服务器配置错误现象,最终由此影响到信息的有效管理;第二,网络通讯缺乏相应的安全机制也是系统安全风险的主要问题之一,为此,电力部门在开展网络信息管理工作的过程中应着重对其提高重视。提升电力行业信息网络安全的对策
2.1 加强系统漏洞扫描
在电力行业信息网络安全管理中加强系统漏洞扫描是非常必要的,对此,首先要求信息管理人员在实际工作开展过程中应注重强调对系统安全脆弱性的检测,继而在掌握系统实际运行状况的基础上,及时发现计算机系统应用过程中存在的安全风险问题,并对此问题展开有效解决,最终达到良好的安全漏洞处理状态。其次,在系统漏洞扫描过程中注重对漏洞扫描技术的应用也至关重要,即有助于促使电力行业在复杂的网络环境中能对网络层及操作系统层展开有针对性的扫描行为,并将扫描结果以安全评估报告的形式展现出来,提升电力行业信息网络安全管理的整体效率。
2.2 加强网络安全教育
加强网络安全教育有助于提高电力行业信息管理人员信息安全防护意识,因而在此基础上,当代电力行业在发展的过程中应强化对其有效落实,且应注重安排相关工作人员参与到培训项目中,使其在培训过程中形成良好的网络安全意识,并在实际工作开展过程中加强信息安全防护措施的实施,最终由此避免安全风险的产生影响到信息网络安全的有效管理。此外,在网络安全教育工作开展过程中注重宣传网络病毒防护也非常必要,即其有助于相关工作人员在信息管理的过程中规范自身操作行为,避免不规范操作现象感染网络病毒。结 语
就电力行业信息网络安全管理现状来看,其在实施信息管理工作的过程中仍然存在着系统安全风险、病毒泛滥、安全防范意识薄弱等相应的问题影响到了信息管理工作的有序开展,因而在此背景下,电力部门在发展的过程中应从加强安全教育工作入手来引导信息管理人员在实际工作开展过程中提高自身网络安全意识,避免系统安全风险的产生影响到信息的安全性。另外,系统漏洞扫描行为的开展也有助于信息网络安全的管理,为此,对其应提高重视。
主要参考文献
电力网络信息安全 篇3
【关键词】信息化;服务;信息安全
【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158(2012)09-0030-01
一、新疆电力公司业务应用情况
新疆电力公司始终坚持“服务党和国家工作大局、服务电力客户、服务发电企业、服务社会发展”的宗旨,从事电力购销业务,负责所辖区域电网之间的电力交易和调度。为了服务电力生产和统一调度的发展,以宽带达到100M以上。数据交换体系建设加快,实现了数据统计等关键信息的及时上报、自动汇总和动态发布。网省公司、地州电力调度机构实现了调度自动化系统,引入了电能计费系统和广域测量系统;变电站实现了计算机监控额无人、少人值守,大大提高了生产自动化水平。
建立地理信息系统(GIS),应用于输电、变电、配电管理业务。电力负荷、电力营销管理手段广泛应用,实现业务报装、电费抄核、故障报修、投诉受理等功能。地州供电企业营业窗口基本实现计算机受理用电业务,投运全国统一的“95598”电力客户电话服务系统。为方便用电客户缴费通过实现会计核算、业务报表及信息及时监控;实现银电联网,方便用电客户和发电企业进行缴费和资金结算;实现实现电子公文传输的单轨制运行和无纸化公文传输;建立集中规模招投标系统,在网上实现全过程招标和评标。
二、新疆电力公司网络结构
新疆电力公司广域网设计采用“双星形”网络拓扑结构。涵盖新疆电力公司下属22家单位及86个县供,覆盖率达到100%,实现了乌鲁木齐市内单位网络带宽1000M,地州单位网络带宽不低于100M互联,备用链路不低于10M;乌鲁木齐电业局及地州12家单位已经实现“双设备,双链路”设备及链路双冗余上行至新疆公司本部,主用155Mb通道,备用10Mb通道广域网核心路由使用NFA0-8及NFAOE,核心交换使用$9508设备,地州接入设备采用MSR50-60设备。
三、信息安全隐患分析
计算机信息安全面临来自多个方面的信息安全威胁,影响原因可能是系统本身、数据库以及移动储存介质,而它们在使用、管理过程中的疏忽也加剧了问题的严重性。
3.1 操作系统和应用程序的安全漏洞现在广泛使用的操作系统在安全体系结构上都先天不足,靠打补丁逐步完善,缺乏严密的安全框架,安全漏洞较多。访问控制与认证功能薄弱,用户认证方式单一,绝大多数仅为口令方式,一些更可靠的生物特征认证手段因缺少硬件认证部件没有得到广泛应用。有的操作系统还有陷门和隐蔽信道。在应用程序安全的问题上,主要是缺少完备的安全机制。在开发过程中没有遵照安全軟件工程的原则开发,用户只关心是否实现了所要求的功能,安全完全由程序员开发与控制,从而留下安全隐患。
3.2 移动储存介质
移动储存介质由于其本身具有方便小巧、存储量大、通用性强、易携带等特点,得到了广泛的使用。但这些特点也给网络带来了许多安全隐患,造成网络系统不易管理,尤其是涉密单位移动储存介质的管理。现阶段涉密介质的使用大多缺乏设备登记、身份认证、访问控制和审计机制,这给网络系统的信息安全造成很大的威胁。
3.3 数据库系统的安全隐患
数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的范围。我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。
3.4 路由和交换设备安全隐患路由器是企业网络的核心部件。它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。
3.5 黑客的威胁和攻击
黑客具有非常强的计算机网络系统知识,能熟练使用各种计算机技术和软件工具。黑客善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或利用为攻击的途径,并对网络系统的安全构成了非常大的威胁。目前,在各个国家计算机信息网络上的黑客攻击事件都是越演越烈。
3.6 计算机病毒的侵害
由于计算机病毒具有蔓延速度快、范围广等特点,是计算机网络系统的最大的威胁造成的损失难以估计。计算机病毒破坏的对象直接就是计算机系统或者网络系统。一旦计算机感染上病毒后,轻则使系统执行效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机系统硬件设备等部件的损坏。
四、网络信息安全应对策略
4.1 访问控制策略
访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面分述各种访问控制策略。
4.2 信息加密策略
信息系统的数据加密常用的方法有链路加密、端点加密和节点加密三种。对于网络信息和电子文件具体加密的方法很多,如名称加密、内容加密、属性加密、形式加密等信息加密的目的是保护网络内部和网上传输的数据、文件、口令和控制信息的安全。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。按照收发双方密钥是否相同来分类,可将加密算法分为私钥加密算法和公钥加密算法。
4.3 网络安全管理策略
安全管理手段主要是从制度上完善信息系统的安全性,防止由于人的主观行为或制度问题导致信息系统的泄密。加强网络的安全管理,对于确保网络的安全、可靠运行和信息的安全保密,将起到十分有效的作用。在应对各种突发、紧急事件上建立起完备的应急预案:新疆电力公司信息系统应急计划的目标是分析信息系统可能出现的紧急事件或者灾难事故,技术支持和业务部门应建立一整套应急措施,以保障新疆电力公司核心业务的连续服务。一旦发生重大的或灾难性事故时,信息中心工作人员迅速进行灾情分析,并上报信息安全工作领导小组即成为应急领导小组,负责指挥执行紧急应变计划,排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作,防止事态的扩大,
五、结束语
电力公司信息网络安全问题探讨 篇4
当前社会生活水平不断提高, 科技水平日新月异。对电量的需求和负荷也越来越高。人们对供电系统的可靠性以及电能整体要求较高。因此, 供电公司需要开发一套新的信息系统保障安全供电, 并且依据信息安全的总体思路对信息安全实施总体改革。
采取综合防治电网安全措施, 坚持积极防御, 全方位的提高信息防护能力保障基础网络的安全以及系统的整体安全。国家信息化领导小组将国家信息安全的指导思想作为三次会议的主要思想路线。通过完善信息安全的监控体系, 建立安全有效的应急处理机制。进行等级保护, 把不同程度的系统规划为不同的等级保护。根据重点保障系统和基础性网络安全思想, 对信息安全理解为信息系统的四个方面保障。保证信息系统中信息的授权使用。检查信息的可用性。与对自身产生威胁的对手保持抗衡, 实现信息安全, 防止信息泄露。对信息系统和信息实施有效的保护和监控。保证信息的完整。保证信息不被篡改不经过他人随意授权不得擅自修改。根据ISO17799的有关国家计算机网络安全标准和网络安全指标, 对国家电网公司的相关规定进行修改。信息系统的安全体系应该具有两方面特征:一、安全技术防护体系和安全管理体系。二、安全管理体系主要包括组织、改进评估等重要的管理方式。使用安全技术防护体系包括应用体系。
采取综合防治电网安全措施, 坚持积极防御, 全方位的提高信息防护能力保障基础网络的安全, 以及系统的整体安全。
信息安全保护系统的现状
信息安全保护系统通过以下四个方面表现:1) 不断地满足人们群众日益增多的要求, 供电公司信息安全系统需要相关部门的人员不断的探究和努力。为了保证质量安全, 不被不法分子利用。目前供电公司的数据库系统逐步减少漏洞。并且做出以下改进:系统增加启动和关闭按钮, 方便开启和关闭, 避免信息被盗用。2) 信息系统中增加确认和取消按钮, 每一笔涉及金额的金融交易, 都会在信息系统中显示。交易的类型, 账号, 金额, 关键内容等, 等到用户按下确认按钮才能将信息送往银行后台。当用户按下取消按钮, 交易结束。每笔交易需要设定时间, 超过时间, 用户没有及时进行操作, 交易同样会自动取消。3) 在信息系统上增加密码, 或者输入信息系统能够接键盘, 并且在信息系统中输入密码。避免信息或者关键信息被病毒掌控。4) 结合信息系统密码和动态密码。将动态密码作为信息密码的登录密码, 这样每次登录时输入密码不同, 即使被盗用, 也没有办法使用, 提高信息的安全。
信息安全保护系统存在问题及改进措施
计算机危害主要是指计算机信息系统的硬件或者软件遭受破坏, 甚至是泄漏。导致系统无法正常运行。计算机的安全性是通过多方面综合反映的, 照目前的情况看来, 是出现了以上几种情况。
电力系统的自动化是现代计算机技术应用的一个重要领域, 电力系统的计算机网络设备不统一系统的结构和功能以及通信协议都还缺乏工业标准。不同厂家的设备不能互联, 计算机与设备的通信主要是采用低速率的串通, 实时性弱, 设备灵活性差。缺乏管理规范, 当期, 还未造成严重的漏洞, 这些被用来实施的整体网络信息系统是为了解除系统漏洞和攻击。信息安全体系尚未建立, 电力行业存在缺乏计算机网络安全的意识, 缺少完善的计算机数据备份, 因此, 防护能力减弱, 大量的使用局域网之后, 网络的整体安全问题上升, 电力系统信息安全应对策略根据性质不同, 信息系统安全策略主要分为:管理、组织、技术、设备四个方面, 针对不同问题采取不同解决方法。
系统安全稳定的主要因素是管理的严格化, 标准化, 规范化。在制定规范的过程中, 根据电力行业的特点, 完善相关的国家标准。保障信息的相对安全是以技术安全策略和国际安全标准为准则。在技术中主要是采取一定的措施, 并且针对防火墙设置将非信任网络和信任网络进行隔离, 通过单一集中的安全检查, 全方面地检查并且强制性的实施安全策略, 防止未经授权的对电力系统的访问或者是对重要信息资源的使用。电力系统的计量和生产主要是营销管理的一项手段。是系统之间用作调用和整合的关键。计算机防病毒系统是发展时间最长的信息安全技术。计算机应用技术的成果非常明显, 防病毒系统的应用主要是保障信息系统安全, 防病毒策略主要是将各个计算机的运算环节都进行监控。在计算机检测和病毒预防中对病毒库进行升级, 并且在计算机病毒预防检测中统一管理病毒库的升级, 建立完善的管理制度, 抑制和防止病毒侵害。
网络控制技术和信息确认技术是与审计相关的工作。针对用户在网络上的记录和检测完成网络的相关活动。在网络中分析人们常用的关键节点, 并且做好记录, 对这些记录信息进行安全分析。检查是否违反安全策略或者是存在相应的安全漏洞, 可以检查系统日志文件或者网络检测分析, 检查是否出现非法用户活动, 甚至是将活动定期对存储的关键数据进行审计, 帮助我们快速地从存储数据的细微变化之中找到非法入侵者的蛛丝马迹。
结语
科技水平的飞速发展, 人们对电量的需求和负荷能力的要求逐步提高。因此, 对电力供电系统中的可靠性要求越来越高。基于当前电网用户普遍高要求高指标的形势。供电公司采取的措施主要是设计、实施一套新的信息系统进行安全供电。供电公司还对电力设备依据信息安全的总体思路对信息安全实施总体改革。通过信息系统和安全保护系统的保护, 减小电网用户对电能系统的担忧。综合提升电网安全措施, 坚持采取积极的电网防御措施。为了能保证系统高效运行, 需要系统长期安全稳定运行, 不断完善系统方面的不足, 给电网用户一定的品质保证。
电力网络信息安全 篇5
摘要
电力系统通信网络安全是电力系统安全管理的重要内容,是关系到电力系统能否有效的、安全的保证电力供应、保障社会发展的重要工作。本文通过对当前我国电力系统网络安全方面的问题进行分析,并提出自己的见解。
关键字:电力系统、信息、网络安全、防护
1引言
随着经济的发展,技术的进步,电力已经成为社会发展、人们生活的重要资源,成为推动社会发展的重要动力。伴随着电力系统的自动化、网络化、智能化技术的深入和广泛的应用,如何确保电力系统的安全性、稳定性成为保障社会发展的重要问题。虽然当前我国在电力系统网络管理和控制方面,为保障电力专网的安全,降低外网攻击电力系统信息通信网络的风险,采用了信息内、外网双网运行的模式,但是这种网络安全防护模式在运用和管理过程中仍然发现了许多风险和漏洞,在通信设备运维方面、网络管理方面仍有许多问题亟待解决。
2电力系统国内外信息通信网络设备使用现状分析
电力系统信息通信网络是一个覆盖全面的网络,其各项通信和控制活动需要大量的硬件设备进行运转和工作。然而,在当前技术水平下,我国自主知识产权、自主核心技术的设备比重相对较小,在网络管理和运行上大量依赖从国外进口技术和设备,导致我国电力系统安全防护工作存在巨大安全隐患,鉴于网络设备功能和操作的特殊性和电力部门对国家的重要程度,必须加强网络安全管理和防护。一方面为保障电力系统运行稳定可靠,电力系统通信网络部分技术和设备必须使用;另一方面,国外供应商、尤其是有政治背景的供应商、提供所谓“质量安全”的技术、产品的供应商,可能在产品上留有“后门”、在软、硬件上存在固有漏洞,隐藏了可以导致通信中断、错误、设备瘫痪等恶意程序,威胁我国电力系统的安全。
3电力系统信息通信网络安全风险分析
经过多年的发展,我国为提高电力系统运行效率,积极构建了电力系统管理专用网络。为防止电力系统网络受到互联网攻击,造成电力系统故障、瘫痪等重大安全事故,我国在构建电力系统网络时采用内外网双网模式,通过逻辑强隔离或物理隔离的方法构建信息通信网络安全防护的基础。然而,随着技术手段的不断升级和更新,新的网络安全问题不断出现,即便内、外网采用物理隔离的情况下,仍然可
以通过各种方式实现对电力系统信息网络的入侵和破坏。
3.1设备与系统方面
在网络设备上的选择上,由于当前过度依赖国外进口设备,一旦供应商在供应的网络设备上植入后门、木马等程序,将导致电力系统信息通信网络完全局部开放给外部网络,最终形成电力系统信息通信网的安全风险。随着科技的不断发展,网络入侵和控制手段也不断丰富,通过采用电磁辐射或者无线电信号可以实现对电力系统信息通信网络的入侵。通过利用供应商预设在硬件设备中的木马程序,使其发射出特有的辐射或者无线电信号,攻击者可利用这些信号实现对信息通信网络的侦测、破译和控制,从而实现对内网的破坏。
同时,在系统设备的缺陷上、漏洞上的防护不全面也是极其容易被攻击者所利用。由于部分系统漏洞被供应商公开或是电网系统修复不及时,使得服务器等网络设备可能遭至频繁的攻击和利用,更加剧了我国电力系统信息通信网络的安全风险。
3.2人员控制方面
我国电力系统内外网分离的策略取得了一定的成效,降低和消除了一部分由网络攻击等造成的系统故障。但是,在内网管理和运营上,管理和操作人员在运行维护过程中存在大量风险。一方面,由于部分核心设备依赖进口,其故障、维护、升级等过程,过度依赖外来技术人员,在进行内网系统监测维护期间,大量敏感数据可能为他人所得
进行非法研究。另一方面,电网公司内部管理人员、操作人员也可以通过移动存储介质、终端等数据通讯时,利用设备预留的后门、漏洞等植入病毒或木马,使得电力系统信息通信网络遭受内网式攻击。
4电力系统信息通信网络安全防护的几点措施
4.1设备供应国产化
设备安全是电力系统信息通信网络安全的基础,确保设备供应的的国产化,尤其是核心设备的国产化可以在一定程度上规避进口设备的安全风险,降低由于进口设备存在预留后门、开放漏洞等隐患造成的各类设备风险,防止设备安全隐患威胁整个电力系统通信网络安全。
4.2设备供应审查化
在针对设备供应商的选择上,进行严格的审查化,通过对供应企业的资质审核、设备选型、安全准入、企业投资人、操作人员、企业背景等等进行严格的审查,提高供应商准入门槛,确保供应商的在政治和经济利益上与国家的一致性。
4.3设备投运管控化
首先,在设备选购、实用分析阶段,对网络设备进行全方位的安全检测,降低和消除各类后门、策略配臵以及代码等潜在的风险,对设备运行进行可行性分析,针对后门、策略配臵以及代码等问题,与
供应商一起积极协作,消除风险。其次,在使用过程中,针对系统和设备所出现的各类问题和漏洞,与供应商积极沟通,升级消除,并通过完善漏洞数据库,实现漏洞监测和跟踪修复工作。同时,在实际控制过程中,建立防范预警模式,优化电力系统信息网络安全监测系统,对系统运行状况、操作记录等进行日记化备份,对系统重要内容进行隔离备份,以防遭受攻击后,系统不能正常恢复。
4.4人员控制严格化
在人员控制方面,建立相关人员管理和控制制度,对人员进行审查、教育,完善队伍管理工作,保障在电力系统通信网络操控过程中的安全,在内网独立的基础上,保障人员控制质量,消除人员控制失误和恶意攻击风险。同时做好离线设备的信息处理和消除教育工作,防止重要信息的泄漏。
5结论
我国处在发展阶段,各项技术仍不完善,电力系统信息通信网络的安全存在问题较多,电力系统信息通信网络的安全直接关系到电力系统的有效运行,直接关系到我国电网的调度使用和安全,是关系到社会生产、国家命运的重大安全问题,只有保障了电力系统信息通信网络安全,才能保障社会发展的动力。
参考文献
电力网络信息安全 篇6
【摘 要】随着电力行业信息化的不断发展,信息安全面临日益严峻的考验。电网是关系到我们每天正常生活的,如何确保供电系统的正常安全运行是十分重要的。本文阐述了电力信息网络安全体系,分析了电力信息网络安全隐患问题,提出了防御策略。
【关键词】电力企业 信息网络安全体系 隐患分析 防御策略
电力企业的信息安全不仅影响着其自身的网络信息的化建设进程,也关系着电力生产系统的安全、稳定、经济、优质运行。所以,强化信息网络安全管理,确保电力信息网络的安全性,保证业务操作平台能够稳定、可靠的运行具有重要意义。
1 电力信息网络安全体系
信息网络安全指的是为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
2 电力信息网络安全体系存在的隐患分析
2.1 系统漏洞。电力企业使用的都是微软所开发的Windows操作系统。由于一个计算机操作系统过于庞大、复杂,所以它不可能第一次性地发现并解决所有存在的各种漏洞和安全问题,这需要在我们的使用当中不断地被完善。这些长久存在或是刚被披露的漏洞,易造成对企业信息网络安全的威胁。
2.2 黑客的恶意攻击。在这些攻击行为当中,一部分是主动的进行系统破坏或是更改、删除重要的信息,另一部分是被动的进行监听,窃取电力企业内部网络交流信息,导致信息外泄。
2.3 网络硬件系统不牢固。网络硬件系统不牢固是一个普遍性的问题。尽管互联网的硬件系统已经具有了较高的稳定性和安全性,但其仍然存在的脆弱性也不可忽视,比如雷电所引发的硬件故障,各种传输过程当中受其他因素影响所出现的信息失真等。
2.4 员工的信息网络安全意识不健全。电力企业中,许多员工多信息网络的安全意识还不健全。比如用户安全意识不强,系统登录口令过于简单,或是将账户及密码借给他人使用,盲目地进行资源信息共享,这些带全安全威胁性的操作都可能会对企业的信息网络安全带来隐患。还有的员工长时间占用网络,大量消耗了网络资源,增加了企业的网络通信负担,导致企业内部的通信与生产效率较低。
2.5 管理人员技术水平低。电力企业作为重要的工业企业,其“重建设,轻管理”的思想是非常明显的。安全管理体制不合理,导致企业疏于对管理人员的技术培养,最终导致管理人员的技术水平低下,即使网络安全出现问题,也不能及时修理。
3 加强电力信息网络安全防御体系的策略
3.1设备安全策略
建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
建立电网信息安全事故应急处理预案,例如“突发情况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
成立网络信息安全组织机构,例如:成立某公司信息安全领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
3.2安全技术策略
使用VPN(虚拟隧道)技术。按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对应的访问控制,设置高强度的网络登录密码,保证网络的安全性。
运用安全审计技术。随着系统规模的扩展与安全设施的完善,应该引入集中智能的安全审计系统,通过技术手段,实现自动对网络设备日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一安全审计。及时自动分析系统安全事件,实现系统安全运行管理。
病毒防护技术。为免受病毒造成的损失,要采用的多层防病毒体系。即在每台PC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件,在网关上安装基于网父的防病毒软件,必须在信息系统的各个环节采用全网全面的防病毒策略,在计算机病毒预防、检测和病毒库的升级分发等环节统一管理。
启用防火墙技术。防火墙是用于将信任网络与非信任网络隔离的一种技术。它通过单一集中的安全检查点,强制实操相应的安全策略进行检查,防止对重要信息资源进行非法存取和访问。电力系统的生产、计量、营销、调度管理等系统之间,信息的共享、整合与调用,都需要在不同网段之间对这些访问行为进行过滤和控制,阻断攻击破坏行为,分权限合理享用信息资源。
拟局域网技术(VLAN技术)。局域网技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域,每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有相同的属性。由于它是逻辑而不是物理划分,所以同一个LAN内的各工作站无须放置在同一物理空LAN里,但这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,有助于控制流量、控制广播风暴、减少设备投资、简化网络管理、提高网络的安全性。
4 结语
总之,供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献:
[1] 邝德昌.电力企业信息网络安全探讨[J].信息與电脑(理论版).2011(10).
[2] 王伟.浅谈电力企业网络信息安全管理[J].技术与市场.2011(06).
电力企业的信息网络安全与防护 篇7
一、电力企业信息网络安全主要面临的威胁
企业由于资金、技术等方面原因, 网络及信息应用在安全性方面普遍存在诸多漏洞, 与大型企业、行业用户相比, 它们更容易受到安全攻击或应用中断。网络维护、运行、升级等事务性工作繁重而且成本较高, 这也使得资金有限的电力企业在防范病毒问题上进退两难。此外, 由于安全意识和人才的缺乏, 网络安全管理和维护能力不足, 使得电力企业的信息网络难以形成纵深防御的安全体系, 缺乏动态的安全防护能力。
电力企业出于自身资金、技术等方面的局限, 对于自身信息网络和信息安全的使用常常存在不足, 和一些大型企业比较来说, 更容易受到信息网络的安全威胁或应用程序人为的中断。通过研究我们发现, 对于电力企业来说, 信息网络的安全所面对的主要威胁存在于以下几个方面:
1) 网络中泛滥的病毒。通过网络信息传递路径传播、存储、复制等多种方式, 迅速传播的计算机病毒是网络安全中最常见的问题, 电力企业信息网络也难逃计算机病毒的干扰;
2) 网络中黑客的攻击。在互联网中, 存在着不少计算机黑客, 他们利用自身高超的计算机技术, 查找企业使用系统的漏洞, 通过企业使用系统的后门或某些恶意软件对企业信息网络进行攻击, 还有网络上各种类型的木马软件, 钓鱼网站, 间谍软件等等都可以通过互联网来对企业信息网络进行攻击, 盗取企业重要的内部信息, 为企业信息网络的安全带来极大的威胁;
3) 恶意的邮件骚扰。电子邮件服务是互联网上一种最常用的信息传递手段, 但是大量的无关紧要甚至是恶意、无信息邮件的出现会阻碍正常邮件的信息传输以及接收速度, 这样也会给企业信息网络的信息传递带来许多安全隐患;
4) 数据存储失控。企业信息化的核心内容应用程序数据, 但由于硬件、网络安全出现问题等各种原因, 导致企业存储的信息数据丢失、损坏, 它会给企业信息化产生灾难性的后果。
二、电力企业信息网络安全控制的难点
在电力企业信息网络中的信息时刻面临着安全上的隐患, 企业网络信息安全管理对于企业的发展来说越来越重要, 网络信息安全已成为企业面前的一个重要课题, 面对日益变化的社会和信息的爆炸, 我们需要对企业信息的安全提供保障:
>企业内部网络的安全操作;
>企业分支和远程用户快速、安全访问, 实现实时跨域协作办公室;
>企业网络和网络访问和应用程序之间的安全;
>企业信息系统访问安全;
>企业信息系统的高可用性, 确保可持续提供服务;
>企业数据安全管理;
>企业用户的安全行为管理;
>企业安全服务和安全策略建立和实施, 确保企业安全系统的完整, 适应新形势下的安全性和需求变化的动态调整;
三、保证电力企业信息网络安全的策略
企业信息网络安全必须保证整个系统具有一定的整体性、动态性、人为因素性和相对性, 因此, 我们必须加强企业信息网络的安全管理, 从企业发展战略和管理方案, 系统性的构建电力企业信息网络安全的基础。
1) 系统连接策略:在企业所有访问网络域边缘应该使用防火墙访问安全控制, 为企业灵敏度或关键网络应该将其分解成独立的逻辑域安全边界保护。所有的远程访问应该使用加密和身份验证的措施, 以确保远程访问用户级及系统整体的安全。禁止所有访问内部网络用户通过不受控制的方式同时, 建立和第三方网络连接。
2) 防病毒策略:企业网络必须安装企业杀毒软件服务器, 实现企业杀毒软件病毒预防和控制。所有访问内部网络计算机必须安装这个企业的反病毒软件, 员工不得私自携带传输的软件。对于任何来源是未知的, 未经授权, 没确信安全性的收到电子文件, 在你使用它之前, 您应该检查该病毒。
3) 电子邮件使用策略:企业应用程序和安装邮件反病毒和反垃圾邮件技术。严禁使用企业电子邮件发送一个违反法律信息。电子邮件账户和密码由雇员负责保管、电子邮件账户仅供个人使用, 员工的电子邮件账户的所有活动和事件负责。
4) 互联网接入策略:企业总部互联网接入链接最好使用光纤线路进行访问, 有两个或更多的互联网接入固定的IP地址。防火墙根据禁止任何访问和服务, 除非特别允许策略配置, 在企业网络和互联网网络框架的病毒之间的网关, 过滤互联网的恶意程序。
5) 密码保护策略:个人计算机系统登陆时刻必须设置密码, 企业局域网络和信息系统应该是每个使用用户分布网络访问账户和密码, 密码必须由字母和其他字符组成并且没有遵循一定的规律分布, 长度不少于六个, 每半年至少应该改变一次。
6) 加密策略:在保护网络数据、文档、密码和控制的信, 可以使用DES、RSA和对称密钥和非对称加密的关键技术。对于不安全的网络数据传输应该采取SSL, IPSec, SSH加密保护, 可以使用加密软件加密处理。这个文件;应该是企业系统访问、数据传输, 关键数据和文件存储加密和数字签名认证, 并建立企业内部CA认证中心。
参考文献
[1]张卫清.网络安全与网络安全文化[D].南华大学, 2009.
[2]党林.电力企业网络信息安全的防护措施[J].科技传播, 2012.
电力企业信息网络安全分析与对策 篇8
随着电力企业信息化的不断发展, 信息安全问题变得越来越重要。电力企业的信息安全关系到电力系统的安全、稳定、经济、优质运行, 影响着电力系统数字信息化的实现进程。保证信息网络的安全运行, 确保业务系统的稳定可靠, 加强信息化的管理都是电力企业网络信息系统安全不可忽视的组成部分。
保证信息网络的安全运行, 是当前信息安全的一个挑战。虽然当前安全防护技术和安全产品发展迅速, 但很多企业仍然遇到各种各样的攻击, 究其根本就是很多企业没有建立一套完善的信息安全体系。
1 信息安全的意义
信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性, 其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织 (ISO) 把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说, 就是要保障电子信息的有效性。”
纵观从不同的角度对信息安全的不同描述, 可以看出2种描述风格。一种是从信息安全所涉及层面的角度进行描述, 大体上涉及了实体 (物理) 安全、运行安全、数据 (信息) 安全;另一种是从信息安全所涉及的安全属性的角度进行描述, 大体上涉及了机密性、完整性、可用性。后来国内学者根据信息安全的发展, 总结形成了信息安全的四要素, 即机密性、真实性、可用性和可控性, 简称CACA。
其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。这4个基本属性实际上就是信息安全的4个核心属性, 相互不能蕴涵, 反映了信息安全的基本概貌。
2 网络安全现状
近年来, 信息技术在电力企业管理、生产管理和过程管理中的应用, 提高了电力企业的生产运行和经营管理水平。电力企业是国家重要的能源支柱产业, 也是日常工作和生活的基础保障。电力企业的信息网络采用全网统一调度, 分级管理的管理模式。其安全防护的核心业务系统包括二次系统、电力市场监控系统, 完成生产过程中控制、调节、保护和监测管理的信息系统, 其运行的基础网络平台包括调度数据网和数据通信网。电力企业的核心网络按业务类型可以分成四大区域:实时控制区、非控制区、生产管理区和管理信息区。
2002年国家经贸委根据我国电网调度系统的具体情况发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》, 电网和电厂围绕着加强电力调度数据网络安全、保证电力安全生产等方面做了大量工作, 采取了许多有效措施防止病毒入侵和黑客攻击。但在网络建设、网络划分及网络连接等过程中仍然存在不同程度的隐患。为了使电力调度数据网络安全在建设、运行、维护和管理等方面有章可循、有法可依, 2005年国家电力监管委员会颁布了《电力二次系统安全防护规定》用以指导电力部门在信息化方面的建设。
3 网络风险分析
随着电力企业网络系统与外界接口的增加, 特别是电力企业的办公、管理区与互联网接入, 使得安全问题不仅仅源于内部事件, 来自外界的攻击也越来越多。加上网络应用的扩大, 网络安全影响的范围也增加了, 例如原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机, 引起大范围的瘫痪和损失。另外, 由于电力企业的一些员工缺乏安全控制机制和对网络安全防护意识的不足, 使电力企业面临的风险日益增多。归结起来, 电力企业的网络安全威胁主要涉及2个层面。
3.1 信息网络安全体系层面
电力企业虽然制定了指导整个电力信息网络系统安全运行的管理规范, 但尚未建立同电力行业特点相适应的健全的信息网络安全体系。在信息网络安全体系层面仍面临着以下风险。
(1) 网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施, 来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
(2) 业务安全风险。缺乏严格的验证机制, 导致非法用户使用关键业务系统, 不同业务系统之间缺少较细粒度的访问控制。
(3) 数据传输的安全风险。电力企业的数据通过互联网传输时被窃听。
(4) 系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。
(5) 病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏, 网络化的环境需要网络化的防病毒方案及多层次的防护体系。
3.2 安全管理层面
信息安全不仅仅是技术上的问题, 更多的涉及到安全管理层面。安全管理主要就是对人的管理, 人是使用信息网络的主体, 很多信息安全问题都是由于人的不正确使用或者是安全意识薄弱造成的。事实上, 网络安全最薄弱的环节不是系统漏洞而是人的漏洞。所以加强信息安全的管理将是电力企业建立信息安全体系的一个重要部分。
由此可见, 电力企业面临着多方面的风险。要保证电力企业信息网络的安全运行和可控管理, 需要建立一套完善的信息安全体系。
4 信息安全体系
根据国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》, 结合当前电力行业信息安全现状以及信息安全的需求, 电力企业需要建立一套完善的信息安全体系, 主要内容包括加强二次系统安全防护, 建立全面的安全防护体系和完整的安全管理策略。
4.1 二次系统安全防护
国家电力监管委员会第5号令通过的《电力二次系统安全防护规定》, 指出电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。从各安全区的横向隔离、纵向加密认证、电力调度的数字证书系统、电力调度信任体系、数据与系统的备份与恢复、系统内部的访问控制、Web系统的安全、远程拨号的防护、线路的加密、安全审计等方面给出了指导性意见, 并对系统的规划设计、项目审查、工程实施、系统改造、运行管理等提出了建设要求。电力企业在信息化网络安全建设及在信息系统的运行与管理中, 都应该依据《电力二次系统安全防护规定》, 加强安全防护, 保障电力监控系统和电力调度数据网络的安全。
4.2 安全防护体系
全面的安全防护体系是保证电力企业信息网络安全运行的根本, 是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品, 建议有重点的布置安全产品。
(1) 划分安全区域并制定明确的边界访问制度, 根据数据敏感程度, 在关键业务网段处部署网闸系统, 在管理和办公网段以及其他出口处部署防火墙系统, 实现严格的访问控制机制。
(2) 建立网络入侵检测系统, 增强审计响应手段, 提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。
(3) 建立网络入侵保护系统, 在出口处对网络流量进行检测, 并实时阻断来自外部或内部的各种攻击, 同时净化网络流量。
(4) 构建节点间的VPN体系, 保护在节日间数据传输的机密性、完整性和可认证性。
(5) 布署漏洞扫描系统, 检查网络、系统以及终端存在的弱点和漏洞。
(6) 建立网络防病毒体系, 以增强全网抗病毒和防蠕虫攻击的能力。
(7) 在对外信息发布系统前布署抗拒绝服务系统, 抵御来自外部的各种拒绝服务攻击。
(8) 建立数据备份系统, 提高关键业务数据的可用性。
(9) 布署集中的认证系统, 实现认证信息的集中存储与鉴权控制。
4.3 安全管理策略
完善的安全管理策略是对电力企业信息网络安全进行可控管理的关键, 安全管理策略的建设包括以下内容。
(1) 制定完善的信息安全规章制度, 规范整个企业对网络以及信息系统的使用。
(2) 定期对全网进行安全评估和加固, 通过安全评估, 实时了解和掌握整个网络的安全现状, 通过安全加固使网络和系统更加健壮。
(3) 建立内网安全管理系统, 从终端安全、桌面管理、行为监控、网络准入控制等方面对内部网络进行保护, 加强对内部网络和系统的管理。
(4) 建立一套完备的应急响应机制, 以便在遇到突发事件时可以及时响应并解决问题。
(5) 定期对企业员工进行安全培训, 加强员工对安全的认识, 提升员工的安全意识。
5 结语
电力企业的信息网络已经涉及到电力生产的各个层面, 并深入到生产和管理的全过程, 企业生产与管理对其信赖性也日益增加。建立一套完善的信息安全体系不仅可以充分保证电力企业信息网络的安全运行, 加强电力系统二次安全防护, 而且还可以实现对信息网络的可控管理, 保证电力企业数字信息化的顺利进行, 同时对于构建一个健康的绿色电力安全网络环境具有重要的意义。
摘要:根据电力企业的信息网络安全现状和需求, 阐述通过建立完善的信息安全体系以保证电力企业信息网络的安全运行与可控管理, 构建健康绿色电力安全网络环境。提出建设信息安全体系需要从2个方面来进行:建立全面的安全防护体系, 制定完善的安全管理策略。
关键词:信息安全,安全风险,安全防护,安全策略
参考文献
[1]汪涛.应对非传统安全因素的挑战[J].公安研究, 2004 (8) :65-67.
[2]周曦民.我国网络安全现状的分析及建议[J].电信快报, 2004 (10) :1-4.
[3]张昕楠.可用性保证信息安全[J].软件世界, 2006 (3) :85-89.
电力网络信息安全 篇9
一、电力信息网设计总原则
以下按重要顺序列出的设计目标则是决策制订过程的指导准则:
1.安全性和基于政策的攻击缓解;
2.整个基础设施的安全实施 (而非仅为具体安全设备) ;
3.安全性管理和报告;
4.对关键网络资源的用户和管理员验证与授权;
5.针对关键资源和子网的入侵检测。
二、电力信息网络模块化设计
模块化方式有两种主要优势。首先, 它允许体系结构实现网络各功能块间的安全关系, 其次, 它让设计者可逐个模块地评估和实施安全性, 而非试图在一个阶段就完成整个体系结构1。在充分考虑安全性及业务功能的前提下, 将电力管理信息网分为信息内网和信息外网。
信息内网:信息化"SG186"工程业务应用承载网络+内部办公网络 (涉及企业商业秘密) 。
信息外网:对外业务网络+互联网用户终端网络 (不涉及企业商业秘密) 。
因采用逻辑强隔离设备联接内外网, 实现对内外网交互的严格控制采用, 解决由于木马事件导致内部资料泄漏、黑客攻击入侵内网办公系统、病毒 (蠕虫) 影响内网业务系统等安全威胁问题, 大大缓解了外部网络 (Internet) 对信息内网安全威胁。
三、电力信息网络安全风险分析与风险缓解
1.信息外网边界安全风险分析与风险缓解
由于信息外网与Internet相连, 且该网络内部署对外业务应用系统, 因而对外应用系统主机在攻击中最有可能成为目标, 从安全角度来讲, 也是最难保护的。存在用户终端由于访问不安全网站而感染病毒 (蠕虫、木马) 使得信息外网瘫痪, 影响对外业务应用;存在黑客攻击入侵互联网用户终端进而威胁对外应用业务系统;存在黑客直接攻击入侵对外业务应用系统等安全威胁问题。
做好边界安全, 部署必要的防火墙、入侵防护、边界防病毒、上网行为安全控制器。
对外业务应用系统必须部署在防火墙的DMZ区, 该区只开放必要对外服务端口。
采取必要身份认证, 保证只有合法的用户才能使用应用资源;自动保存用户的操作日志;数据对外传输进行必要加密。根据应用场合可选择采用VPN或PKI
2、路由器风险分析与风险缓解
路由器控制网络间接入。它们向网络广播信息并过滤可以使用它们的人, 它们是黑客潜在的最好朋友。路由器安全性是安全部署中的关键元素。
2.1.为路由器间的协议交换增加认证功能, 提高网络安全性对网络内的路由器之间相互交流的路由信息进行认证。当路由器配置了认证方式, 就会鉴别路由信息的收发方。
2.2.路由器的物理安全防范
路由器控制端口是具有特殊权限的端口, 如果攻击者物理接触路由器后, 断电重启, 实施"密码修复流程", 进而登录路由器, 就可以完全控制路由器。
2.3.保护路由器口令
一旦密码泄漏, 网络也就毫无安全可言。
2.4.阻止察看路由器诊断信息
2.5.阻止查看到路由器当前的用户列表
2.6.关闭CDP或类似服务
链路层的基础上可发现对端路由器的部分配置信息:设备平台、操作系统版本、端口、IP地址等重要信息。
2.7.阻止路由器接收带源路由标记的包, 将带有源路由选项的数据流丢弃
启用源路由选项后, 源路由信息指定的路由使数据流能够越过默认的路由。
2.8.关闭路由器广播包的转发
DOS攻击以有广播转发配置的路由器作为反射板, 占用网络资源, 甚至造成网络的瘫痪。应在每个端口关闭路由器广播包。
2.9.管理HTTP服务
HTTP服务提供Web管理接口。如果必须使用HTTP, 一定要使用访问列表命令, 严格过滤允许的IP地址, 同时用命令设定授权限制。
2.10.抵御spoofing (欺骗) 类攻击
使用访问控制列表, 过滤掉所有目标地址为网络广播地址和宣称来自内部网络, 实际却来自外部的包。在路由器端口配置:
2.11.防止包嗅探
在不可信任的网络上不要用非加密协议登录路由器。如果路由器支持加密协议, 请使用SSH或Kerberized Telnet, 或使用IPSec加密路由器所有的管理流。
2.12.校验数据流路径的合法性
使用反相路径转发, 由于攻击者地址是违法的, 所以攻击包被丢弃, 从而达到抵御spoofing攻击的目的。
2.13.防止SYN攻击
2.14.使用安全的SNMP管理方案
利用访问列表仅仅允许来自特定工作站的SNMP访问通过这一功能可以来提升SNMP服务的安全性能。不同的路由器设备配置不同的数字签名密码, 这是提高整体安全性能的有效手段。
3.交换机风险分析与风险缓解
第二层的多数攻击都将使设备失去攻击者 (跟踪能力, 这样, 攻击者就能够在转发路径上大肆执行恶意操作, 先修改配置, 然后攻击网络, 可以通过以下工具和最佳实践经验实现风险缓解:3.1流量和协议ACL或过滤器;
3.2 Qo S标记和优先级划分 (控制协议由相应的服务等级或DSCP值区分) ;
3.3有选择地关闭不可信端口上的第二层协议;
3.4只在专用VLAN上配置带内管理端口;
3.5避免使用VLAN 1传输任何数据流量;
3.6无需中继的端口应将中继设备置于关闭而非自动;
3.7确保中继端口使用的虚拟LAN号不会在交换机中的其他地方使用;
3.8将交换机上所有未用端口设置为第3层连接的VLAN;
3.9避免将VLAN用作保护两个子网间接入的唯一方式。
4.应用系统主机与服务风险分析与缓解
信息内网内有部署一体化平台八大业务应用服务器。虽然内网使用者为内部员工, 但计算机桌面的安全管理不规范, 会导致内部员工有意无意的攻击, 加上难以规范内部员工移动存储使用、笔记本接入、外部维护人员计算机接入, 给这些应用系统主机与服带来极大的隐患。以下这些措施可极大缓解应用系统主机与服务风险:
4.1部署防病毒软件;
4.2密切注意系统中的每个组件, 使系统保持与最新补丁、修复等的同步;
4.3将服务器专门划在单独一个网段 (VLAN)
;4.4针对该网段, 部署入侵检测系统;
4.5应用系统主机只开启必须的服务, 对外只开放必要访问端口;
4.6提供双机热备;
4.7对于一些企业的关键应用, 实行本地数据备份与异地备份相结合, 并实施灾难备份, 提高这些关键业务的高可用性。
5.网络安全事故响应管理
通过制定一份系统化事故响应预案而做好准备, 是电力企业可以采取的成本效益最好的安全措施之一。IRP可以帮助电力企业回答在安全事故发生之中乃至之后所引发的关键问题。同时建立一个针对安全管理而定制的全面的事故响应管理系统--这个系统应该完美地集成到总体安全信息管理解决方案之中, 再配合事故响应管理模块就构成了对任何IRP系统的完美补充, 该系统应专注于收集安全事件数据并将其组织成逻辑形式, 然后执行适当的安全响应工作流, 从而实现对安全事故的快速和有效响应。此外, 通过利用该系统的事故响应管理知识库, 用户就能获得进一步的决策支持来帮助自己解决几乎任何安全事件。用该系统能实现安全信息管理系统与事故响应管理模块的紧密集成, 并为所有的安全操作员和分析员提供很多重要优势。通过建立一个同时针对事件管理和事故响应管理的控制点, 分析员可轻松监控各类事件进而对已发生事件进行响应和跟踪。
摘要:本文提出了电力信息网络安全架构的最佳实践方案。针对电力信息网络实际情况, 对最佳实践方案的各个环节进行详细说明。
关键词:网络,安全,实践
参考文献
[1]..SAFE:企业网的安全蓝图, http://www.cisco.com/go/safe/
[2].VLAN安全性测试报告, 2000年7月, http://www.sans.org/newlook/resources/IDFAQ/vlan.htm
电力网络信息安全 篇10
关键词:电力信息安全,新一代安全,安全模型,安全架构,安全能力
0 引言
电力行业是国家重要的基础性行业,随着电力行业信息系统实用化水平的不断提高,电力信息系统安全严重性也日益凸显,电力信息安全的重要性已不言而喻。随着“互联网+”模式的创新突破和快速应用,能源互联网正在快速改变电力工业的生态环境,电力工业呈现出了“广泛互联、高度智能、开放互动、灵活服务”的全新特点,信息网络技术对电力系统的影响将是空前的,但由此也将带来一系列的信息安全问题。
为解决新一代网络安全问题,国内外信息安全研究人员纷纷提出了一些安全体系加以应对,如“木桶理论”安全体系、“云+端+边界”安全体系、大数据安全体系等,这些安全体系的思想有一个共同点,即摒弃了过去单点化、孤立式的防护思想,取而代之的是立体化、全局式的智能防护和控制思想[1,2,3]。
但是,这些安全体系大都还停留在理论和初级实践阶段,并没有提出明确的安全需求,也没有对新一代网络安全模型的具体框架和内涵进行阐述,更无法切合新一代电力信息网络的发展需要,可以说目前尚未有成熟的关于新一代电力信息网络安全架构方面的研究成果。
全新的能源互联网架构及其新业务形态对电力信息网络安全防护提出了新需求,同时信息安全形势愈发严峻,新型信息安全攻击快速衍变,也对电力信息安全工作提出了新挑战。在此大背景下,本文借鉴了国内外先进信息安全治理和运营理念,以立体化、全局式的智能防护和控制思想为出发点,在继承电力行业信息安全主动防护体系基础之上,提出了一种新型的电力信息网络安全架构设想及其演进路线,以持续满足电力行业“十三五”期间信息安全工作的新要求。
1 电力信息安全新挑战
电力行业在“十二五”期间不断强化信息安全投入,持续加强了信息安全的全生命周期管理体系建设,具有电力行业特色的信息安全防护体系不断完善。电力信息网络划分为生产控制与管理信息两个大区。生产控制区采用“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略;管理信息区采用“分区分域、安全接入、动态感知、全面防护”的安全防护策略,构筑互联网与信息外网之间强化控制策略、信息外网与内网之间强逻辑隔离、管理信息与生产控制物理隔离的信息安全三道防线。全面应用信息内、外网安全监测系统,实现对内、外网各类网络、边界、主机、应用、终端、机房、互联网出口安全与运行状态的实时监测,实现以攻击促防御,有效提升网络安全主动监测及防御能力。
但是,随着信息安全环境的日益严峻和恶化,网络攻防环境正在发生快速变化。首先,攻击者的动机已不仅仅在于炫耀技术,而是更具有功利性。受政治、经济等多方面的影响,攻击者正在形成拥有强大技术和经济实力的集团化组织。其二,攻击者的目标选择更明确、攻击更为专注,目前传统的安全防护设备之间相对孤立,设备之间缺乏联动,安全孤岛现象突出,在高级持续性威胁(APT)攻击面前束手无策,无法形成真正的安全体系。其三,针对电力工业控制系统的攻击事件日益频繁,也说明了安全攻防战场正在从通用网络向专用网络逐步扩展。此外,云计算、虚拟化、大数据、移动互联网等新技术在电力行业迅速应用,在深刻改变电力行业信息系统架构和服务模式的同时,也不可避免的引入新的安全问题并对当前的信息安全防护能力提出新的挑战。这里归纳电力信息安全在以下5 方面的新挑战。
1)电力信息系统安全的独特性
电力信息系统是信息基础架构在电力基础架构之上的应用和融合,电力信息系统安全和电力安全存在较大关联性,信息安全在某些条件下会影响电力系统的稳定运行。另一方面,电力信息系统与常规的网络和信息系统相比,在系统规模、结构和组成对象上,都存在较大差异性。这些因素的存在都使得电力信息安全无论在管理还是在技上都均有独特性,必然存在有别于传统信息安全的安全威胁。
2)电力信息系统安全体系化的防护手段
长期以来,电力行业主要通过一些独立、分散的安全设备和系统进行防护,存在安全孤岛现象,各单位安全防护水平参差不齐,防护能力达不到高级水平。信息安全管理也未覆盖信息系统全生命周期,一体化闭环式的安全管理措施存在缺失,这无疑给电力信息安全带来了风险。
3)电力信息系统安全的高可控性需求
电力信息系统遵循大电网的高可控性安全需求,信息系统安全防护涵盖系统招标、开发、测试、上线等多个环节,如果任何一个环节植入恶意代码、加装恶意后门或加入隐蔽指令等都会给电力信息系统造成不可估量的安全威胁。目前,电力行业信息系统仍大量使用国外非安全可控的产品和技术,针对软硬件系统的仿真验证能力还较弱。总体上讲,电力信息系统的可控性、可预知性水平不强。
4)电力移动互联网技术带来的新风险
随着智能电网工作的开展,电力移动互联网生态环境逐步形成,同时也增加了电力信息系统的复杂度,提高了安全防护的难度。营销、运检、电动汽车等电力新业务的发展使得大量智能、可编程设备的接入,也会带来额外的安全风险。面对更加复杂的接入环境、灵活多样的接入方式,数量庞大的智能接入终端对电力信息安全也提出了新的挑战[4,5,6]。
5)电力云虚拟化新技术带来了新隐患
随着电力行业信息化建设的持续推进,目前已开始大量应用基于云计算虚拟化资源池技术,正在深刻改变电力行业信息系统技术架构和运行方式。随之产生两方面的问题:一是虚拟化技术引入以后产生了一些特定的安全风险,怎样解决虚拟化方面的安全是云计算与传统安全的一个重大区别;二是云计算代表着一种架构方式的转变,在终端、网络和主站端的安全需求均发生了相应变化,传统的安全保护手段难以满足云计算虚拟化环境的需求[7]。
2 新一代电力信息网络安全架构模型
电力信息网络系统具有复杂性、开放性、动态性等特点,这些特点使其具有天生的脆弱性,拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷,既有来自外部的恶意入侵,又有来自内部的权限滥用,来自内外部的安全风险给信息安全工作带来了不小的压力与挑战。
面对严峻的信息安全形势和复杂的信息安全挑战,结合电力行业信息安全发展需要,新一代电力信息网络安全架构必须是以“智能+防护+控制”的基础的,必须贯穿信息系统全生命周期,必须更加强调整体安全能力,必须是涵盖“云+端+边界”的立体防护体系。该防护体系是假设前一道防线没有防住的情况下,后面的防护手段仍然可以去补救,并强调多链条、多层次安全防线之间的联动和协同,以形成真正体系化的信息安全能力。
电力信息网络安全是一项复杂的系统工程,必须加以科学的顶层设计,形成合理的安全架构模型,才能有效指导电力信息网络安全防护体系的建设。必须以体系化的视角考虑电力信息网络安全模型的构成要素,以及各要素间的关联关系,采用“智能+防护+控制”的方针,集中反映大视角、多维度、全过程、一体化的高级信息安全防护思想。模型在设计上应遵循整体性与分布性、主动性与动态性的原则[8]。
整体性与分布性:模型应对信息网络安全的构成进行明确定义,并确保各构成要素间关联关系的合理,应力求从整体上反映信息安全能力,此外,还需充分考虑不同信息安全保护对象间的差异,提供层次化、差异化的安全防护,模型应是全方位、多层次的。
主动性与动态性:模型应贯彻积极防护与事前控制的思想,需具备完整的安全漏洞发现机制和弥补机制,以及对未知安全事件的防范能力和免疫能力,各安全功能应构成一个闭环的动态控制系统,安全组件的部署应能随着系统安全需求的变化而动态地进行调整。
按照“云+端+边界”立体智能防护的要求,结合国际先进信息安全管理体系(ISMS)理念,合理确定电力信息网络的安全需求,从管理、策略、角色、技术多个安全维度综合考虑应对安全策略及管理措施,组成一种新一代的电力信息网络安全架构模型(见图1),以下对模型进行深入分析[9,10,11]。
2.1 安全需求
信息安全需求首先要包含CIA(即机密性、完整性和可用性)3个基本属性。但是随着电力新业务和信息技术的发展,针对电力信息系统的安全威胁手段也越来越复杂多样,信息安全CIA三要素已经不能满足未来电力信息网络安全能力提升的要求。因此,为全面应对各类安全威胁,建设主动智能的新一代电力信息网络安全防护能力,引入可认证性、可控制性、可识别性、可追溯性、可验证性和可预测性等属性,提出了九大安全需求。
机密性:是指信息网络系统中的信息不会被泄露给未经授权的用户或者非法利用的特性。即信息等只能给合法授权用户使用,拒绝其他非法用户访问。
完整性:是指信息网络系统中的信息在存储或传输的过程中保持未经授权不能改变的特性。即信息在传输过程中不会被随意篡改、删除、伪造,在存储过程中不会被非法用户修改和破坏。
可用性:是指授权用户可访问并按需求使用信息网络系统的资源、数据和信息的特性。即保证合法用户对资源和信息的使用不会被异常拒绝。
可认证性:是指对用户身份、用户发送的信息内容真实性和有效性的认证能力。即可以对信息所有者或发送者的身份进行认证和鉴别,对信息的来源、传输真实可靠性的核实等[12,13]。
可控制性:是指对信息网络系统授权范围内的信息流向具有可以控制的能力。即信息可以被选择性阻断,网络和信息系统可被控制者监控管理,确保信息内容安全合法。
可识别性:是指对影响信息网络系统中存在的安全风险是可以主动鉴别的。即对信息网络系统本身漏洞的检测能力,以及对攻击行为和用户非法操作行为的主动发现等。
可追溯性:是指对信息网络系统的活动和状态具有可以追踪和审计能力。即有相应的日志系统记录用户对信息网络系统的操作、网络流量等活动以及系统本身的运行状态,并且能够对这些日志信息进行追踪和审计。
可验证性:是指对信息安全相关指标的测试验证能力。即可以验证信息网络系统的安全防控能力、测试数据的安全以及对安全风险所带来的后果进行验证等。
可预测性:是指对信息网络系统全网安全状态实时感知和动态预警能力。即通过海量数据采集、大数据分析等技术,实现对信息网络系统的整体安全态势的预测判断。
2.2 安全模型四维度
模型包括管理、策略、角色与技术四个维度。其中管理是基础、策略是规则、角色是保障、技术是核心,通过四个安全维度的建设,以有效消除安全威胁,实现预期的安全需求。
管理:是安全的重要基石,渗透于从模型设计到运行过程的各个阶段。其中对制度的管理,主要包括制度与规程的制定、执行和改进;对技术的管理,主要通过制度使各种技术成为一个有机整体,从而提高系统的整体安全能力。管理性措施在某种意义上比技术性措施更重要、更有效。
策略:是为发布、管理及保护信息资源而制定的一组制度和规定的总和,是对信息资源使用和管理的规范性描述。其中安全策略为信息安全提供管理方向和支持手段,是信息安全研发、测试和运行各过程中需要严格遵守的规则。
角色:是信息安全实现的主体,所有策略、技术都是由相应角色的人员设计或实现的,因此安全角色的划分是否清晰合理对系统安全影响非常大。依据信息安全全生命周期管理理念,应确立管理、研发、测评、运维、督查和用户等多个角色,并对各角色承担的信息安全责任进行明确划分,使各角色够严格按照既定的安全策略进行操作。
技术:是完成信息安全风险防控的保障手段。在这个模型中分为闭环的六个部分:分级防护、事件感知、预警调度、应急响应、灾难恢复和攻防对抗,它们具有很强的时序性和动态性,能够较好地反映出新一代信息网络安全架构技术架构的先进性、主动性和完备性。
2.3 安全模型应用
在技术维度上对信息系统研发、测试和运行三个平面的安全防护进行应用分析,根据信息系统全生命周期特性,三个平面承担不同的安全技术功能,三个平面以异构性保障整体技防措施的完备性,并将三个平面均划分为云安全、互联安全和端安全,充分满足新一代电力信息网络架构条件下的全方位安全防护需要。
同时模型将信息系统研发、测试、运行三个阶段的安全技术融合到六个环节中,构建闭环的信息安全技术支撑体系,并以相应的技术手段防护安全威胁并实现安全需求。以下对这六个环节的主要技术作进一步的说明:
分级防护:确定信息系统保护对象,并根据对象重要程度进行分等级的防护,综合采用网络隔离、访问控制、数据加密、权限控制、身份认证、防病毒等适当的技术手段全方位保障信息系统生命周期的三个阶段的信息安全[14]。
事件感知:通过安全检测手段及时发现网络中存在的攻击行为,及时识别系统存在的安全风险与漏洞,对网络安全事件进行动态感知,为有效地阻止网络攻击事件并快速控制风险提供有效的预警支撑信息[15,16]。
预警调度:充分利用大数据分析和挖掘等技术综合计算安全事件时间、数量、频度等属性,对安全事件的扩散范围、持续时间进行预警,还包括对已发现系统漏洞的全面评估排查,通过分析网络恶意行为数据,对可能发生的安全事件进行预警。并依据预警信息,对安全防护力量进行动态调度[17,18]。
应急响应:针对预警的信息安全事件,立即启动应急预案,采取有效的安全应急措施,对安全事件进行处置和消缺,降低安全事件给信息系统带来的破坏和损失。同时,对事件源进行定位、溯源和取证,遏制安全事件的扩大化[19]。
灾难恢复:在系统遭受攻击后,及时恢复系统并快速提供正常的服务,有效降低安全事件造成的损失。恢复依赖于对事件预想采取的预备措施,包括系统冷热备份、双链路、应用级灾备等,以达到快速、有效恢复服务的目的[20,21]。
攻防对抗:安全保护需要被动与主动的手段的双管齐下,在防护的同时,需要对攻击者进行反向的对抗。通过各种安全设备,综合采取各种手段对攻击者进行反击,使其攻击失效或者阻断其攻击。对抗应仅在必要必需的时候、及遵守法律的前提下进行[22,23]。
2.4 安全模型评价
与其他安全模型相比,本文提出的安全模型从理论上对新一代电力信息网络安全体系应满足的安全需求进行了明确定义,使得新一代电力信息网络安全体系的建设不再盲目,更具方向性。本安全模型涵盖管理、策略、角色与技术四个维度,较为全面的覆盖了信息安全全生命周期理念中包含的各类安全元素,充分体现出了立体化、全局式的信息安全防护和控制思想,尤其在技术层面,本模型充分融合吸收了业界最新的技术发展趋势,确保以优秀的技术体系应对动态的威胁和创新的业务。总体评价,本模型构建一种全面的信息安全防护架构,完全可以适应未来复杂的电力信息网络发展需要,是解决电力信息安全挑战的一种有效途径。
3 新一代电力信息网络安全架构的构建措施
电力行业具有较好的信息安全基础,新一代电力信息网络安全体系应秉承继承创新、自主可控、协同对抗、智能防护的原则,结合电力企业自身信息网络发展特点,在管理、策略、角色与技术等方面多措并举,稳步形成适应自身实际情况的新一代信息网络安全架构,在架构演进的过程中,应重点做好以下几方面的工作。
1)统一开展信息安全顶层设计
必须坚持信息安全同步业务发展的思路,树立大安全理念,开展涵盖电力全业务、全单位、全系统、全过程的信息安全顶层优化设计,明确定义信息安全管理架构、策略架构、技术架构、角色架构及其配套流程体系,建立标准化的信息安全顶层框架,形成覆盖规划、可研、设计、开发、测试、实施、运行、应用、检修、下线等各个阶段的信息安全全过程管控工作机制,为可持续信息安全工作的开展提供有效的方法论指导。
2)打造高水平信息安全专业队伍
建设高水平的信息安全专业队伍,以人才队伍建设保障信息安全工作有效开展,创新人才培养和选拔模式,加快建设信息安全红队、信息安全研发蓝队、信息安全运维蓝队三支队伍建设,重点提高人员技术能力和装备技术水平,构建合理的信息安全人才梯队。
3)融合构建新型信息安全技术防护体系
坚持信息系统自主可控发展战略,加快推进高端服务器,操作系统、数据库、中间件基础软件以及密钥算法的国产化替代工作,构建安全可控的研发与供应链生态环境。充分整合“应用安全+主机安全+ 边界安全+ 网络安全”防护体系,按照 “云+端+边界”立体智能防护体系演进方向,完成安全接入平台、安全认证平台、安全交互平台、安全隔离平台等四大安全基础设施建设,同时,融合云计算、大数据、移动互联网等新技术,构建测试验证中心、漏洞补丁中心、权限控制中心、日志审计中心、智能预警中心、攻防对抗中心等九大安全中心,融合构建新型信息安全协同联动技术防护体系。
4 结语
电力信息通信中网络技术的运用 篇11
国网山东郓城县供电公司 山东郓城 274700
摘要:网络技术的应用,一方面,它是经济发展的助推力;另一方面,也有助于电网系统的整体创新。网络技术具有自身独特的优势特点,可以很好的保障电力系统的安全、高效、稳定运行,应该积极的推广应用。本文即分析了当前我国电力信息通信网络的现状,然后详细阐述了电力信息通信中网络技术的运用,最后探讨了电力信息通信网络技术的发展趋势。
关键词:电力信息通信;网络技术;业务支持;网络结构
前言
作为我国重要的基础产业,电力系统中的通信系统的整体技术水平,直接决定了我国电网能否安全、稳定、高效的运行。网络技术具有自身独特的优势特点,可以很好的保障电力系统的安全、高效、稳定运行,应该积极的推广应用。网络技术的应用,一方面,它是经济发展的助推力;另一方面,也有助于电网系统的整体创新。通过将网络技术进行深入的研究与应用,可以更好地推进我国电力信息通信技术的发展。
一、电力信息通信系统概述
在我国当前电力通信系统中,整体结构大致分为了分布式实时计算机网络结构、电力系统信息网络结构、星盘系统、电力战略防御系统结构、智能电网结构等多种结构体系。作为我国重要的基础产业,电力系统中的通信系统的整体技术水平,直接决定了我国电网能否安全、稳定、高效的运行。电力通信系统整体对
于各类技术的专业化技术水平要求较高,并且具有一定的综合性,其涉及了计算机技术、网络技术、通信技术、自动化技术、电力技术等多方面的专业技术内容。与此同时,电力信息通信系统中,涉及的信息范围相对较广,不同种类的信息数据量较大。我国电力网络中,不同地区的电力系统其本身具有不同的特点,并且运营管理和相关规范规定也存在很大的不同。
二、当前我国电力信息通信网络的现状
(一)网络结构的构成不合理
从目前我国电力企业通信网络的发展来看,其结构大体上呈现出星型结构和树形结构,这种构成方式使得电力资源在共享上没有达到预期的效果,而且长此
以往,很多电力基础设施的维护工作也无法做到彻底,这就为后期的电力工序活动开展带来一定的不便,遗留下安全隐患。
(二)电力信息通信网络的资源传输质量不高
经济的迅速发展,导致电力企业的电能资源输送管理出現了很多的不足,在
很多的通信网线上只是简单的包装,没有进一步的屏蔽层包装,加大了外界因素的干扰,而且在线质的选择上大多采用的是单股的铜线,这种材质很容易折断,加上地域间的差异性和需求性的不同,SDH节点的数目就会增多,这在很大程度上降低了传输线路的质量,影响到信息通信的有效性。
(三)地域间发展失衡
我国地域辽阔,各个地区间由于经济水平的差异,在电力建设上形成不均衡的现象,有的地方经济条件好,选用的建设材料质量好,基础设施也就更稳固,而有的地区由于资金缺乏,建设材料也只是根据资金状况来决定,而且这种差异性也随着电力系统的发展变得越来越明显。
三、电力信息通信中网络技术的运用
(一)电力信息通信系统的功能实现
在当前电力信息通信系统中,调度功能的实现是整个系统的关键。在传统的调度行为中,语音业务的实现主要依靠调度电话与行政电话来实现,电话是重要的通信平台,其对于通信的稳定性、可靠性与安全性的要求较高,并且就有较快的调度速度。整个通信系统中,要对于视频监控信息、自动化运行实时数据进行统一管理,并且对于所涉及的参数和数据进行统筹管理控制。通过网络技术应用,可以将以往的调度效率进行提高,通过时分复用技术和 IP 技术等网络技术的应用,可以对于调度业务的类型进行扩展,并且为通信信息的承载提供更多的选择。
(二)提高对网络技术应用优势的认知
相对于传统的电力信息通信技术来说,通过网络技术的运用,可以有效的提高整体的信息控制能力,并且将智能化建设工作进行良好的推进。这对于改善电网的整体控制效率,提高管理水平有着良好的推动作用。网络技术的应用,也可以对于电力企业的内部管理模式进行转变和发展,为我国电网建设管理工作的开展提供了新的思路。通过利用计算机网络来进行数据的处理,可以高效的对信息网络进行维护和运行管理,这对于提高整体服务效率和质量也有着重要的意义。
(三)技术改进与发展
在当前电网建设改革工作开展的过程中,很多电力企业本身都认识到了网络技术应用所带来的优势,并且初步的开展了相关通信网络的建设工作。但是,虽然网络技术已经进行了一定程度的应用,但是整体通信网络结构的设计上,还存在着一定的问题。
1、结构科学性问题
当前网络结构中,链状结构是大多数网络结构的主要选择,其本身的可靠性有待进一步的提高。在网络拓扑结构上,通信网络数据传输线路与输电线路的走向相同,缺乏对整个环形网络的有效保护,容易出现一定的可靠性问题。
2、网络业务支持方面的问题
当前电力信息通信网络中,对于网络业务的支持方面还存在一定的问题,IP 业务的开展受到诸多的限制。在现阶段的通信网络中,大多数依然采取分时复用的业务来进行相关信息的传输。这种传输模式与新型的数字传输模式存在一定的不同,并且数字传输的方式具有一定的复杂性,需要采取集中供应和扩展管理来进行保障实现,这对于 IP 业务的突发性特点和不平衡性特点难以实现有效的满足。
随着电力通信技术水平的发展和相关需求的变化,IP 业务的重要性也逐渐得到凸显,要想对于以上的问题进行有效的解决,就必须积极地对新技术进行开发和应用。当前电力通信系统中,密集型光波复用技术、基于 SDH 的多业务传送平台以及弹性分组环技术的应用,可以有效地对 IP 业务的实现需求进行满足。在一些经济发展水平较好的地区,支持同步数字体系的网络已经投入建设,并且在初步使用的过程中。针对于新类型网络的设计需求,要最大限度的对于当前的通讯设备进行利用,采取合理的升级方案,对于 IP 业务的承载需求进行实现和满足。在通信网络建设中,相关网络技术的应用,要与实际业务需求进行满足,采取符合网络建设需求和通信需求的技术。电力信息通信专网的发展趋势是在保证可靠传输TDM 业务的前提下,可以做到支持 IP 和以太网业务的接入。
四、电力信息通信网络技术的发展趋势探究
将网络技术运用在电力信息通信中,具备多方面的优势,主要表现为:可以转变电力企业传统的发展模式,同时可以使电网的输电组织管理实现智能化。笔者认为,电力信息通信网络技术的发展趋势主要体现为能够对 IP 于以太网业务的接入给予足够的支持。当然,这需要在 TDM 业务实现可靠传输的前提下才能
有效完成。就目前而言,我国电网呈现了快速发展势态,在电网建设过程中,其建设思想极具明显性,例如电网结构的强化、自动化水平及信息化水平的提高等。这些建设思想一旦实现,那么将大大提高电网的整体运作水平。在未来发展领域里,网络技术在电力信息通信当中的运用将更具广泛性,并且还能够起到至关重要的作用。另外,基于智能化电网建设中,网络技术是一项不可或缺的技术,能够为电网建设实现智能化提供重要依据及帮助。
结语
综上,网络技术的应用,是新时期电力系统建设中所不可忽视的内容,其应用的重要性是毋庸置疑的。通过将网络技术进行深入的研究与应用,可以更好地推进我国电力信息通信技术的发展,这对于我国整体电网建设工作的顺利开展有着密切的关联,也是当前电网建设工作的重点内容。
参考文献:
[1]詹华,向伟. 网络技术在电力信息通信中的应用[J]. 科技创新与应用. 2013(32)
[2]倪俊龙. 电力信息通信工程中网络技术的应用与发展研究[J]. 中华民居(下旬刊). 2012(10)
电力网络信息安全 篇12
电力信息自动化网络安全与实现一直是有关企业电力部门工作人员关注的重点。由于网络是一个相对开放的平台, 因此在电力系统中应用网络技术不可避免的就会受到一些网络技术的负面影响, 例如病毒袭击, 黑客入侵等。因此我国有关电力工作人员针对电力信息自动化网络的安全进行了周密的研究, 就如何实现电力信息自动化网络安全提出了诸多的有效的策略。
1 加强设备管理, 注重设备维护
将电力系统与网络技术相结合不仅需要网络技术的支持还需要一些计算机以及相关电子设备的辅助, 而这些计算机以及相关电子设备在实际应用的过程中, 经常会成为威胁网络安全的主要因素。因此有关管理人员在维护电力信息自动化网络安全的过程中应对相关设备产生一定的重视, 具体来说有关管理人员应从以下几个方面入手对其进行管理:1) 加强设备管理。加强设备管理最有效的办法之一就是将所有设备进行统一的管理, 针对设备的种类, 特征等进行有效的记录。并且构建起高效的设备管理体系, 在进行设备管理的过程中, 可以针对设备出现的问题进行及时的发现与解决;2) 注重设备的维护。设备在进行使用的过程中经常会出现一定的耗损, 而过度的耗损将对设备的使用效果以及设备的实际功能等产生影响。因此有关管理人员应加强对设备的维护工作, 针对设备存在的故障进行及时的检修, 同时要对设备的性能进行了解, 针对性能下降或是需要更新的设备进行及时的淘汰, 进行新设备的更换。
2 强化技术应用, 促进技术革新
网络平台最突出的安全问题就是病毒与黑客, 因此在进行电力信息自动化网络安全的控制过程中有关人员应通过网络安全技术的应用对病毒与黑客进行一定的预防。具体来说有关人员应从以下几个方面入手:1) 强化技术应用。网络安全技术的应用应侧重全面性与专业性。在进行杀毒软件选择的过程中应选取信誉有保障, 有专业技术支持的杀毒软件品牌, 例如:360, 金山, 瑞星等。另外, 由于电力系统具有一定的特殊性, 因此应在单位范围内建立局域网便于单位内部交流, 避免病毒以及黑客从外部进行入侵。同时有关管理人员还应借助网络技术建立其有效的网络预警与保护系统, 对整个电力信息自动化网络安全进行全方面的保障;2) 促进技术革新。网络技术的发展具有着日新月异的特点, 因此电力信息自动化网络安全管理人员应对网络安全技术的发展给予足够的关注, 积极的对单位内部的网络安全技术进行更新。同时有关人员还应对病毒的发展以及升级产生重视, 针对新兴的病毒提前制定出有效的预防措施, 避免电力系统受到病毒的侵害。
3 建立管理部门, 施行全程监督
为了有效的对电力信息自动化网络安全进行保障, 有关企业电力部门应对电力信息自动化网络安全管理产生重视, 具体来说可以做到以下几个方面:1) 建立管理部门。专门的管理部门可以让电力信息自动化网络安全管理更加的系统化, 全面化, 同时对于管理的目的与管理的职能也更加的明确。因此有关企业应积极的在单位内部针对电力信息自动化网络安全管理建立起专门的管理部门, 并制定出条理清晰, 内容具体的管理制度, 对管理人员的工作进行详细的指导与规范, 提升电力信息自动化网络安全的管理质量;2) 施行全程监督。监督管理是减少系统运行问题的主要手段之一。因此在对电力信息自动化网络安全进行保障的过程中, 管理人员应对网络安全问题进行全程的监督。具体来说这种全程的监督包括两个方面, 一是通过建立网络预警系统的方式进行自动化的网络安全监督。二是加强对设备管理以及设备维修等方面的监督, 这部分的监督一般应以人力为主, 就工作中的问题进行及时的指出, 强化安全管理的职能。
4 完善物理环境, 强化安全意识
物理环境一般是指设备放置的外在环境, 在实际的工作过程中由于物理环境管理不善而造成网络安全事件出现的案例时有发生, 例如, 由于散热工作不到位, 导致火灾的产生。因此有关人员在进行电力信息自动化网络安全保障的过程中, 不仅要对网络技术本身进行考虑, 同时还要对设备存放的环境进行一定的管理, 具体来说包括选择合适存放空间, 保持室内卫生, 注重设备通风降温, 准备备用电源避免断电引起网络瘫痪等。除此了要进行必要的工作之外有关管理人员还应培养起一定的安全意识, 通过学习安全知识, 了解安全常识的方式, 强化管理人员在对物理环境进行管理过程中的管理质量, 在最大的限度内减少物理环境问题的出现。
5 招聘专业人员, 提高操作规范
通过对我国电力信息自动化网络安全管理现状进行研究, 我们发现我国大多数企业在进行网络安全管理与维护的过程中, 其工作人员在专业性上存在着一定的不足, 使得网络安全的管理难以得到有效的保障。因此在今后的工作过程中有关企业应从以下几个方面入手对问题进行解决:1) 招聘专业人员。虽然计算机在我国已经得到了一定的普及, 绝大多数的民众都可以对计算机进行基础性的操作。但是电力信息自动化系统其在进行应用的过程中对于操作人员网络技术的掌握水平有着更高的要求, 因此非专业人员难以对其进行有效的维护。因此有关电力企业应对网络安全维护人员进行素质审查, 将不具有专业资格的管理人员从网络安全管理部门剔除, 并有针对性的招聘专业人士进行网络安全管理。只有这样才能对电力信息自动化网络安全质量起到一定的促进作用;2) 提高操作规范。由于电力系统对社会生活有着密切的影响, 因此电力企业应对有关人员具体的操作规范进行一定的提升, 使得网络安全管理人员可以对自己的工作进行更加严格的要求, 对网络安全的管理效率进行有效的提升。
6 结论
综上所述, 我国电力信息自动化网络安全应从加强专业性的角度入手, 建立起专业的管理部门对其进行管理与维护, 通过提升人员素质、加强技术应用、维护物理环境等方法, 对电力信息自动化网络安全进行有效的实现。
摘要:电力信息自动化系统是对我国电力系统的发展, 其在进行应用的过程中, 主要借助了现代网络技术将电力系统与网络相结合, 加快了信息的传递, 丰富了系统的功能。鉴于此, 本文主要就电力信息自动化网络安全与实现进行分析, 着重对电力信息自动化网络安全实现的具体策略进行介绍。
关键词:电力,信息,自动化,网络,安全
参考文献
[1]肖红亮.电力系统网络安全及其对策浅析[J].科技信息, 2010 (3) :34-36.
[2]傅达宏.浅谈电力调度自动化系统及其网络安全性分析[J].机电信息, 2011 (9) :56-59.
【电力网络信息安全】推荐阅读:
加强电力信息网络安全01-12
电力系统信息网络安全06-24
电力行业信息网络安全的现状研究12-17
电力通信网络信息管理01-18
电力调度网络安全05-28
电力企业网络安全10-24
电力行业网络安全08-28
新疆网络安全电力营销08-01
2018电力安全生产知识网络答题答案10-08
网络技术在电力信息通信中的应用论文11-26