楊濤

摘要：隨著發(fā)電企業(yè)信息化水平不斷提高，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，信息化應(yīng)用系統(tǒng)不斷增多，信息安全逐漸越來越得到發(fā)電企業(yè)的重視，因此合理設(shè)計(jì)發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)就顯得尤為重要。

關(guān)鍵詞：信息安全；網(wǎng)絡(luò)安全危脅；安全防護(hù)系統(tǒng)

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2012)26-6245-03

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)迅猛發(fā)展，各發(fā)電企業(yè)信息化網(wǎng)絡(luò)日漸普及，成為了企業(yè)科技化管理的重要手段。通過對數(shù)據(jù)的集中、共享、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產(chǎn)經(jīng)營、安全生產(chǎn)等各方面提供了巨大的科技支撐。但同時(shí)伴隨出現(xiàn)的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題，同時(shí)對發(fā)電企業(yè)的安全生產(chǎn)也形成了巨大的威脅，以此進(jìn)一步加強(qiáng)發(fā)電企業(yè)信息化安全是在信息化建設(shè)初期首要考慮的問題。

1發(fā)電企業(yè)面臨的網(wǎng)絡(luò)安全威脅

因?yàn)樾畔⒕W(wǎng)絡(luò)的互通性，發(fā)電企業(yè)信息化威脅，既有可能來自本企業(yè)內(nèi)部，也同時(shí)可能來源于外部。其內(nèi)部威脅主要來自于員工、各信息系統(tǒng)管理員等，根據(jù)統(tǒng)計(jì)，網(wǎng)絡(luò)安全破壞活動(dòng)近80%來自于競爭對手、任何惡意的組織和個(gè)人。主要表現(xiàn)的安全威脅為：

1）截獲用戶標(biāo)識：截獲標(biāo)識指以非法手段取得合法用戶的身份信息，主要是用戶的帳號和密碼，這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認(rèn)證防護(hù)措施。如果侵入者得知了某位合法用戶的帳號和密碼，即便該合法用戶并未被賦予其他的特權(quán)，也有可能威脅整個(gè)系統(tǒng)的安全。如果帳號，特別是密碼，被以明文的方式由信息網(wǎng)絡(luò)傳遞，侵入者通過安裝協(xié)議分析軟件對網(wǎng)絡(luò)通信進(jìn)行監(jiān)視，則可以輕松獲取。如果密碼通過明文格式保存在用戶的計(jì)算機(jī)的內(nèi)存或者硬盤中，侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼，同時(shí)如果密碼很簡單（如手機(jī)號碼、用戶生日、私家車號牌、用戶姓名等），更加容易被侵入者通過軟件得知，在網(wǎng)絡(luò)上大肆傳播的黑客工具都是通過幾種常用習(xí)慣的詞典來獲取用戶密碼。

2）偽裝：當(dāng)未通過授權(quán)的用戶假扮成具有合法授權(quán)的用戶，登錄發(fā)電信息系統(tǒng)時(shí)就形成了偽裝。當(dāng)未通過授權(quán)的用戶經(jīng)過偽裝成信息系統(tǒng)管理員或者具有信息管理超級特權(quán)的有關(guān)用戶時(shí)，截獲用戶標(biāo)識的情況是威脅最大的。應(yīng)為侵入者已經(jīng)獲取了某位合法用戶的標(biāo)識，或者因?yàn)榍秩胝咭呀?jīng)使信息系統(tǒng)相信其擁有另外的而實(shí)際上并不存在的權(quán)限，所以偽裝是很容易出現(xiàn)的。網(wǎng)絡(luò)地址欺騙實(shí)際上就是偽裝的一中形式，侵入者通過一個(gè)合法的IP地址，然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務(wù)器訪問權(quán)限。

3）非授權(quán)操作：非授權(quán)操作使用信息系統(tǒng)或者資源時(shí)，信息網(wǎng)絡(luò)安全就受到了極大的威脅。例如，企業(yè)的發(fā)電數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)有可能被未經(jīng)授權(quán)的侵入者，非法修改并利用。

4）病毒：病毒是伴隨計(jì)算機(jī)技術(shù)產(chǎn)生，能夠通過不斷自我復(fù)制，大范圍傳播，對計(jì)算機(jī)、信息系統(tǒng)及其數(shù)據(jù)產(chǎn)生極大破壞的程序。因?yàn)椴《揪哂械碾[藏性和可變異性，使得廣大用戶無法防范。據(jù)有關(guān)資料調(diào)查，99%的企業(yè)或者個(gè)人受到過計(jì)算機(jī)病毒的感染，63%的數(shù)據(jù)和系統(tǒng)損壞來源于病毒。給受害企業(yè)或個(gè)人帶來巨大的時(shí)間和人力資源的浪費(fèi)，同時(shí)重要數(shù)據(jù)文件的丟失和損壞是無法用金錢來衡量的。

5）服務(wù)拒絕：通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請求或者垃圾數(shù)據(jù)，使得服務(wù)器的資源被大量占用，直至資源耗盡，使其達(dá)到無法繼續(xù)提供正常服務(wù)或者服務(wù)器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中，這樣的攻擊可能造成重大的安全威脅。

6）惡意程序代碼：伴隨著可自執(zhí)行的計(jì)算機(jī)程序與WWW站點(diǎn)的集成，惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。

7）特權(quán)濫用：信息系統(tǒng)的超級管理員故意或者錯(cuò)誤地通過對某系統(tǒng)的特權(quán)來獲取其不應(yīng)獲取的敏感數(shù)據(jù)。

8）誤操作：信息系統(tǒng)超級管理員、業(yè)務(wù)系統(tǒng)管理員、一般用戶等因?qū)夹g(shù)方面熟練度不高，操作時(shí)的失誤，引起對信息系統(tǒng)安全性、完整性和可靠性的損壞。

9）權(quán)限變更：一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級，以獲取未經(jīng)授權(quán)的系統(tǒng)權(quán)限。

10）后門：信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護(hù)便利在信息系統(tǒng)中設(shè)置的專用通道，使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經(jīng)常被人為利用控制、破壞正常運(yùn)行的系統(tǒng)。

11）系統(tǒng)研發(fā)中的錯(cuò)誤和調(diào)試不全：其包含對有關(guān)數(shù)據(jù)不進(jìn)行充分的檢查、對系統(tǒng)的邏輯運(yùn)行定義不準(zhǔn)確，同時(shí)這些錯(cuò)誤和不完善沒有通過大量的、齊全的系統(tǒng)調(diào)試檢查出來，有可能在運(yùn)行中導(dǎo)致數(shù)據(jù)被錯(cuò)誤生成且引入信息系統(tǒng)，破壞了實(shí)際數(shù)據(jù)的準(zhǔn)確性。

12）特洛伊木馬：它通過提供一些有價(jià)值的或者僅僅是有趣的功能，在用未經(jīng)用戶許可的情況下拷貝文件、竊取用戶的帳號和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等。木馬程序是一種常見的危害性較大的威脅，由于其不易被發(fā)現(xiàn)，在一般情況下，它是在二進(jìn)制代碼中被發(fā)現(xiàn)，且大多數(shù)后綴名都為無法直接打開的文件，其特點(diǎn)與病毒有許多相似的地方。

13）社會(huì)工程共計(jì)：主要是的是攻擊者利用人的心理活動(dòng)進(jìn)行攻擊，其無需采用高深的科技手段，同時(shí)無需入侵系統(tǒng)來完成。僅需要通過向特定用戶了解帳號和密碼，達(dá)到其獲取數(shù)據(jù)或者信息系統(tǒng)訪問權(quán)的目的。絕大多數(shù)情況下、攻擊者的主要目標(biāo)是企業(yè)的辦公室接待員、行政或者技術(shù)支撐人員，通過對這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。

2發(fā)電企業(yè)信息化情況（以五大發(fā)電集團(tuán)某下屬發(fā)電公司為例）

2.1信息化網(wǎng)絡(luò)狀況

圖1

2.2信息化系統(tǒng)狀況

1）財(cái)務(wù)及資產(chǎn)管理（簡稱：FAM）系統(tǒng)，是集中部署的核心應(yīng)用系統(tǒng)，涵蓋電廠財(cái)務(wù)核算、費(fèi)用報(bào)銷、資金計(jì)劃、物資采購、庫存管理、物資計(jì)劃、超市管理、合同管理、缺陷管理、檢修管理、設(shè)備維護(hù)等功能模塊。

2）OA辦公自動(dòng)化系統(tǒng)。實(shí)現(xiàn)下屬企業(yè)以及與集團(tuán)公司間收發(fā)文交互、內(nèi)部收發(fā)文管理、郵件及通訊目錄功能。系統(tǒng)還提供了值班管理、督察督辦、會(huì)議管理、車輛管理、辦公用品等行政辦公管理功能。

3）PI實(shí)時(shí)信息系統(tǒng)：本系統(tǒng)采集、存儲DCS系統(tǒng)、電能量、環(huán)保系統(tǒng)等實(shí)時(shí)運(yùn)行參數(shù)，除滿足電廠對實(shí)施信息的管理需求外，還將有關(guān)數(shù)據(jù)實(shí)時(shí)傳送集成到集團(tuán)公司實(shí)時(shí)系統(tǒng)、集團(tuán)公司生產(chǎn)與營銷實(shí)時(shí)監(jiān)管系統(tǒng)。

4）電廠多業(yè)務(wù)管理平臺。系統(tǒng)包括運(yùn)行管理、計(jì)劃管理、生產(chǎn)統(tǒng)計(jì)、班組管理、標(biāo)準(zhǔn)制度、政工管理、監(jiān)審管理、合理化建議等功能，其中統(tǒng)計(jì)、政工、監(jiān)審等模塊實(shí)現(xiàn)了與集團(tuán)公司層面相應(yīng)管理模塊的系統(tǒng)集成。

5）安全管理平臺：功能包括安全信息、安全報(bào)表、安全檢查、工作票、操作票等管理。

6）公司MIS系統(tǒng)：本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶，還提供了項(xiàng)目申報(bào)、生產(chǎn)日報(bào)、人力資源、融合機(jī)制管理、培訓(xùn)考試、安全認(rèn)證管理、靈活報(bào)表等應(yīng)用功能。

7）檔案管理系統(tǒng)：本系統(tǒng)由集團(tuán)公司統(tǒng)一實(shí)施，各單位檔案系統(tǒng)建設(shè)須按照集團(tuán)公司統(tǒng)一規(guī)劃，以便于OA系統(tǒng)統(tǒng)一接口、版本升級、技術(shù)培訓(xùn)等。

8）網(wǎng)站系統(tǒng)由各下屬企業(yè)自主建設(shè)和運(yùn)維管理，界面設(shè)計(jì)須符合集團(tuán)公司VI視覺識別系統(tǒng)標(biāo)準(zhǔn)，內(nèi)容、運(yùn)維管理遵照公司和集團(tuán)公司有關(guān)規(guī)定和要求，嚴(yán)格執(zhí)行安全保密等有關(guān)規(guī)定。

3發(fā)電企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案

發(fā)電企業(yè)信息安全體系機(jī)構(gòu)由網(wǎng)絡(luò)安全防護(hù)、數(shù)據(jù)備份和恢復(fù)、應(yīng)用系統(tǒng)安全、信息安全管理等幾部分組成。

3.1網(wǎng)絡(luò)安全防護(hù)

3.1.1系統(tǒng)安全域防護(hù)

將企業(yè)信息系統(tǒng)通過網(wǎng)絡(luò)安全域的形式，分為服務(wù)器、用戶兩個(gè)安全域，同時(shí)劃分多個(gè)二級安全域，主要為生產(chǎn)信息系統(tǒng)、財(cái)務(wù)系統(tǒng)、系統(tǒng)管理員、一線生產(chǎn)班組、普通用戶等。

3.1.2網(wǎng)絡(luò)的高可靠性

1）企業(yè)核心網(wǎng)絡(luò)設(shè)備采取雙機(jī)互為熱備形式，兩臺中心交換機(jī)設(shè)備通過雙鏈路互聯(lián)；接入層與核心層也通過雙鏈路互聯(lián)。

2）重要用戶安全域通過雙鏈路與企業(yè)核心交換連接，進(jìn)一步保證其鏈路的可靠性。

3）企業(yè)核心業(yè)務(wù)系統(tǒng)服務(wù)器也必須通過雙鏈路接入核心層。

3.1.3防病毒

1）企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng)，采用國內(nèi)知名品牌網(wǎng)絡(luò)版。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務(wù)器。

2）對管理信息大區(qū)的服務(wù)器、終端用戶，強(qiáng)制按照規(guī)定部署統(tǒng)一的可網(wǎng)管的防病毒產(chǎn)品。

3）在互聯(lián)網(wǎng)接口部署防病毒網(wǎng)關(guān)，以防其從外部傳播到企業(yè)管理信息大區(qū)。

4）注重防病毒管理，保證病毒特征碼得到有效的更新，通過查看病毒軟件的歷史記錄，了解病毒威脅情況并積極應(yīng)對。

3.1.4防火墻

在位于內(nèi)外網(wǎng)接口處部署防火墻一臺，采用高性能硬件防火墻，國內(nèi)知名品牌，具有雙安全操作系統(tǒng)；可以提供對復(fù)雜環(huán)境的接入支持，包括路由、透明以及混合接入模式；具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。

3.1.5入侵檢測系統(tǒng)

在核心層部署一個(gè)入侵檢測的探頭，保證入侵檢測系統(tǒng)能夠及時(shí)發(fā)現(xiàn)有關(guān)威脅。

3.1.6主機(jī)安全加固

發(fā)電企業(yè)的關(guān)鍵應(yīng)用系統(tǒng)（如生產(chǎn)營銷實(shí)施監(jiān)管系統(tǒng)、財(cái)務(wù)系統(tǒng)）的服務(wù)器，采取定期安全加固的形式。形式包括：定期檢查安全配置、安全補(bǔ)丁、加強(qiáng)服務(wù)器系統(tǒng)的訪問控制能力等。

3.2備份與恢復(fù)

對于關(guān)鍵應(yīng)用系統(tǒng)，必須采用每天定期備份，同時(shí)人工每月全備份一次。備份的數(shù)據(jù)必須采用異地存儲的形式，且需做到專人定期檢查，防止遺漏。

3.3應(yīng)用系統(tǒng)安全

管理信息大區(qū)中的發(fā)電企業(yè)應(yīng)用系統(tǒng)應(yīng)著重確保其安全性能夠得到保證。其主要安全建設(shè)內(nèi)容包括：對系統(tǒng)的訪問控制、用戶帳號密碼及權(quán)限管理、操作審計(jì)管理、數(shù)據(jù)加密管理、數(shù)據(jù)完整性檢查等。

3.4信息安全管理

1）通過成立企業(yè)信息化領(lǐng)導(dǎo)小組，加強(qiáng)信息工作包括信息安全工作的整體管理；

2）通過制定信息網(wǎng)絡(luò)管理制度及各級安全防護(hù)策略；并通過正式公文下發(fā)，嚴(yán)格執(zhí)行。

3）通過設(shè)立專業(yè)的信息管理人員和成立涵蓋各業(yè)務(wù)部門的兼職信息員，形成覆蓋全面的信息化安全管理網(wǎng)絡(luò)。

綜上所述，發(fā)電企業(yè)網(wǎng)絡(luò)信息安全是一個(gè)系統(tǒng)工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護(hù)，還要意識到計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)人機(jī)系統(tǒng)，在建立以計(jì)算機(jī)網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時(shí)，也應(yīng)樹立各個(gè)用戶的網(wǎng)絡(luò)信息安全意識才能防微杜漸，構(gòu)建一個(gè)高效、安全的網(wǎng)絡(luò)系統(tǒng)。

綜上所述，發(fā)電企業(yè)信息安全是一個(gè)系統(tǒng)工程，不僅需要入侵檢測系統(tǒng)、防火墻等硬件安全設(shè)備，同時(shí)還要注意信息系統(tǒng)是一個(gè)廣泛使用的人機(jī)互動(dòng)系統(tǒng)，必須通過系列的安全管理措施和規(guī)章制度，進(jìn)一步強(qiáng)化各級用戶的信息安全意識，做到信息安全人人有責(zé)、信息安全從自我做起，才能構(gòu)建起一個(gè)高效、安全的企業(yè)信息化網(wǎng)絡(luò)。

參考文獻(xiàn)：

[1]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].北京:科學(xué)出版社,2003.

[2]葛秀慧.計(jì)算機(jī)網(wǎng)絡(luò)安全管理[M]. 2版.北京:清華大學(xué)出版社,2008.