李亭海拉爾熱電廠

電力企業(yè)信息網絡安全分析與防范措施研究

李亭
海拉爾熱電廠

隨著信息技術、通訊技術、網絡技術的迅速發(fā)展，信息網絡成為當今傳送信息和獲取信息的主要渠道，是實現資源共享、信息交換的重要手段，正因如此，信息網絡技術在各行各業(yè)得到了廣泛的應用。隨著信息技術在公司經營運作過程中的作用不斷凸現，越來越多的企業(yè)重視信息技術的投資，以提高企業(yè)的競爭能力。但隨著信息網絡安全威脅的日益增加，加強企業(yè)信息網絡安全防護能力、確保企業(yè)網絡的安全穩(wěn)定運行成為多數企業(yè)信息化建設的重點工作。本文淺析了電力企業(yè)信息網絡存在的安全威脅，研究并分析了進行信息網絡安全防護的關鍵技術措施和管理措施。

電力信息網絡；網絡安全；技術措施

1 前言

隨著我國電力企業(yè)信息化建設的進行，信息網絡已廣泛應用于電力企業(yè)的各個方面，與企業(yè)的生產、管理、經營和服務緊密相關的信息網絡成為電力系統(tǒng)的重要基礎設施，例如電力調度自動化系統(tǒng)、電廠自動控制系統(tǒng)、生產管理系統(tǒng)、辦公自動化系統(tǒng)等。信息網絡已經深入到電力生產和管理的全過程，涉及到生產的各個層面，因此對于信息網絡的安全要求也隨之提高。伴隨著電力信息化建設投入的不斷增多，不僅提高了企業(yè)的辦公效率和管理水平，提升了企業(yè)的形象，為企業(yè)創(chuàng)一流工作提供了信息技術支持等，還帶來了病毒、黑客等網絡安全威脅。電力企業(yè)的安全穩(wěn)定運營為社會提供可靠地供電保障，關系著國家、企業(yè)、人民的利益。網絡和信息安全問題已經成為影響電力系統(tǒng)工作效能的重要問題，分析信息網絡安全存在的問題，結合企業(yè)特點，制定出行之有效的安全防護策略和措施是電力企業(yè)信息化工作的重要內容。

2 電力企業(yè)信息網絡安全存在的問題

信息網絡安全的主要目標是保護網絡信息系統(tǒng)，使其遠離危險、不受威脅、不出事故。從技術角度來講，網絡安全體現在幾個方面：保密性。防止信息泄漏給非授權的個人或實體，只允許授權用戶訪問的特性。完整性。信息在未經合法授權時不能被改變的特性，也就是信息在生成、存儲或傳輸過程中保證不被偶然或蓄意的刪除、修改、偽造、插入等破壞和丟失的特性。可用性。網絡信息系統(tǒng)可被授權實體訪問并按需求使用的特性?？煽啃?。網絡信息系統(tǒng)能夠在規(guī)定的條件下和規(guī)定的時間內完成規(guī)定功能的特性。可靠性包括硬件可靠性、軟件可靠性、通信可靠性、人員可靠性和環(huán)境可靠性等方面。真實性。確保信息網絡的訪問者、應用程序與其生成的身份是一致的、網絡中的數據是真實有效的。不可抵賴性。通過信息網絡進行信息交互的參與者不能否認或抵賴曾經完成的操作的特性。

電力企業(yè)的信息安全不僅直接影響著企業(yè)信息化建設的進程，同時在一定程度上也影響著電力企業(yè)生產運行的穩(wěn)定性、經濟型和安全性。雖然電力企業(yè)信息系統(tǒng)建設以相對完善，并且具備了一定的電力信息網絡安全體系，有效實現了電力管理信息網絡與電力生產控制網絡的隔離，但在實際應用中仍存在些許不足，需要引起企業(yè)各級人員的重視并加以完善[1]。

2.1 安全意識不足

在電力企業(yè)中，許多員工對信息網絡安全的重要性沒有得到正確地認識，缺乏足夠的安全意識，對新出現的信息安全問題認識不足。存在計算機、信息系統(tǒng)用戶使用過于簡單或系統(tǒng)默認口令和部分人員將用戶名、口令轉借他人使用的現象。

2.2 基礎安全設施不健全

雖然電力企業(yè)在生產、運營、管理等多方面的信息化建設在不斷增加，但是對于電力信息網絡安全的重視程度不足，造成在信息網絡安全策略、安全技術、安全措施等方面的基礎設施相對較少，無法滿足信息網絡安全防護的需求。需要企業(yè)在信息化建設中加大對信息安全建設的投入。

2.3 企業(yè)缺乏統(tǒng)一的安全管理策略

由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網絡系統(tǒng)安全運行的管理規(guī)范，以用于企業(yè)安全措施的部署。

2.4 薄弱的身份認證管理

在電力企業(yè)信息化應用時，信息系統(tǒng)用戶的身份認證基本采用基于口令的鑒別方式，而這種身份認證方式存在缺陷，很容易被非法人員攻破。簡單基于口令的認證方式已無法滿足網絡安全的需求。

2.5 存在隱患的信息網絡架構

雖然當前很多電力企業(yè)基本實現了核心、匯聚和接入式的三層網絡架構，但仍有一部分企業(yè)采用二層交換的網絡。除此之外，網絡架構還存在著如下一些問題：首先，防火墻系統(tǒng)是力度比較粗的訪問控制產品，它僅在基于TCP/IP協(xié)議的過濾方面表現出色，企業(yè)網絡邊界僅部署防火墻無法實現真正的網絡安全。其次，網絡架構存在單點故障，網絡中個別設備出現故障導致大面積網絡用戶無法進行任何的信息訪問，此問題需要企業(yè)進行改進。

2.6 存在安全隱患的機房環(huán)境

很多電力企業(yè)的信息網絡機房僅做了機房本身的防雷措施，未對設備的端口采取防雷措施。另外，信息網絡機房在溫、濕度環(huán)境監(jiān)測、UPS供電系統(tǒng)、消防系統(tǒng)、機房門禁管理等方面存在著嚴重不足，需進一步的完善。當機房環(huán)境發(fā)生異常情況不能的得到及時有效的處理，造成異常情況擴大，甚至導致機房設備損壞、數據丟失，將給企業(yè)帶來嚴重的經濟損失[2]。

3 電力企業(yè)信息網絡安全防護的技術措施

電力企業(yè)信息網絡涉及電力企業(yè)的生產和管理的很多環(huán)節(jié)，它是一個復雜的系統(tǒng)。對于電力信息網絡安全防護，關鍵的技術措施主要包括防病毒技術、信息加密技術、漏洞掃描技術、防火墻技術、身份認證技術、入侵檢測技術、數據備份與恢復技術、安全審計技術、機房環(huán)境監(jiān)測技術。下面對這幾項技術進行描述。

3.1 防病毒技術

防病毒技術是有效識別惡意程序并消除其影響的一種技術手段。從防病毒商品對計算機病毒的作用來講，防病毒技術可以分為三類：一是通過一定的技術手段防止計算機病毒對系統(tǒng)的傳染和破壞，對病毒的規(guī)則進行分類處理并在有相似規(guī)則的程序運行時認定為病毒的病毒預防技術，它包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統(tǒng)監(jiān)控技術等。二是通過一定的技術手段判定出特定計算機病毒的病毒檢測技術。三是病毒出現后通過對病毒進行分析研究而研制出來的具有相應解讀功能軟件的病毒消除技術，該技術發(fā)展相對較被動，具有滯后性和局限性，對于變種的病毒的無法消除[3]。

3.2 信息加密技術

加密技術是信息安全領域的一種基本且非常重要的技術。數據加密技術主要分為對稱型加密、非對稱型加密兩類。對稱型加密使用單個秘鑰對數據進行加密或解密，特點是計算量小、加密效率高。非對稱型加密算法也稱公用秘鑰算法，其特點是有兩個秘鑰（即公用秘鑰和私有秘鑰）且相互搭配才能完成加密和解密的全過程。它特別適用于分布式系統(tǒng)中的數據加密。

3.3 漏洞掃描技術

漏洞掃描技術是對重點對象（包括工作站、服務器、路由器、交換機、數據庫等）進行掃描，它的原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查，發(fā)現其中可能被黑客利用的漏洞。漏洞掃描的結果是對系統(tǒng)安全性能的一個評估，指出哪些攻擊是可能的，是安全防護措施的一個重要組成部分。目前，漏洞掃描技術分為基于網絡的掃描和基于主機的掃描兩種類型。

3.4 防火墻技術

防火墻技術是一種綜合性的技術，涉及計算機網絡技術、密碼技術、安全技術、軟件技術、安全協(xié)議、網絡標準化組織的安全規(guī)范以及安全操作系統(tǒng)等多方面，它是設置在不同網絡（如可信任的企業(yè)內部護網絡和不可信任的公共網絡）或網絡安全域之間的一道屏障，以防止發(fā)生不可預測的潛在的破壞性侵入。防火墻是不同網絡或網絡安全域之間信息的唯一出口，可以根據企業(yè)的安全策略檢測、限制或更改出入防火墻的數據流，盡可能地對外部屏蔽不同網絡的信息、結構和運行狀況，以此來實現網絡的安全保護，防止一個需要被保護的網絡遭受外界因素的干擾和侵害。由于只有經過精心選擇的應用協(xié)議才能通過防火墻，所以網絡環(huán)境變得更為安全[4]。

3.5 身份認證技術

身份認證技術是信息網絡用戶在進入網絡或訪問不同保護級別的信息資源時，對用戶身份的真實性、合法性和唯一性進行確認的過程。身份認證是信息網絡安全的第一道防線，是保證信息網絡安全的重要措施之一。它的作用是防止非法人員進入網絡系統(tǒng)，防止非法人員通過各種違法操作獲取不正當的利益、非法訪問受控信息、惡意破壞系統(tǒng)數據的完整性等情況的發(fā)生，是嚴防“病從口入”的關口。常用的身份認證包括主體特征認證、口令認證、一次性口令認證和持證認證。

3.6 入侵檢測技術

入侵檢測技術是使網絡和系統(tǒng)免遭非法攻擊的一種網絡安全技術，它采用的是主動防護的工作模式，它能在入侵攻擊發(fā)生前檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊。入侵檢測技術是依照一定的安全策略，對網絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能的發(fā)現各種攻擊企圖、攻擊行為或攻擊結果，記錄主機和網絡系統(tǒng)上發(fā)生的一切事件，一旦發(fā)現有攻擊的跡象或其它不正?，F象就采取截斷、報警等方式進行處理并通知管理員，同時詳細記錄有關的事件日志，以備分析取證。入侵檢測技術是防火墻技術的合理補充，它有效填補了防火墻無法阻止內部人員攻擊的缺陷[5]。

3.7 數據備份與恢復技術

對于企業(yè)來說，最珍貴的信息化資源不是計算機、服務器、交換機和路由器等硬件設備，而是存儲在存儲介質中的數據信息，這些數據信息包括營銷、財務、檔案、辦公信息等，一旦數據丟失、被惡意篡改，將給企業(yè)帶來嚴重的損失。因此建立集中和分散相結合的數據備份恢復設施以及制定切實可行的數據備份和恢復策略是必不可少的。有效的數據備份是防止信息系統(tǒng)軟硬件損壞而造成的數據丟失有效途徑，從而降低系統(tǒng)故障帶來的損失。在條件適宜的情況下，對重要的生產、運營、管理數據進行異地備份，以提高數據的安全性。

3.8 安全審計技術

安全審計技術是信息網絡安全領域的重要組成部分，它是根據一定的安全策略記錄和分析網絡上發(fā)生的一切事件，不僅能識別網絡用戶還能記錄網絡用戶的行為，同時發(fā)現能夠改進系統(tǒng)運行性能和系統(tǒng)安全的地方。安全審計的作用包括對潛在的攻擊者起到震懾或警告的作用、監(jiān)測和制止對安全系統(tǒng)的入侵、發(fā)現計算機的濫用情況，為網絡入侵行為和攻擊行為提供有效的追究證據，是網絡事故處理的重要依據。

3.9 機房環(huán)境監(jiān)測技術

機房環(huán)境監(jiān)測報警系統(tǒng)整合了多個設備的監(jiān)控，使無人值守機房的物理運行環(huán)境、動力配電狀況、設備運行狀況、消防狀況的變化包括可能出現的危機情況得到全面的監(jiān)控。并且，系統(tǒng)可實現多種報警方式，例如，當機房環(huán)境出現異常時，系統(tǒng)通過電話報警或短信報警的方式通知用戶，使用戶及時獲取機房異常狀態(tài)。

4 電力企業(yè)信息網絡安全防護的管理措施

針對電力企業(yè)信息網絡，為實現全方位、整體的網絡安全保護。除了技術方面的措施，還有管理方面的措施，管理方面的措施主要包括組織機構管理、制度管理、安全培訓管理三個方面。制定完備的管理措施是信息網絡安全防護的關鍵。

4.1 組織機構管理

電力企業(yè)成立以一把手為組長的信息安全保障體系。保障體系包括信息安全領導小組，信息安全工作小組，信息運維部門以及信息專責。信息安全領導小組應全面掌握企業(yè)的信息狀況，指導信息安全工作。信息安全工作小組在信息安全領導小組的領導下執(zhí)行有關規(guī)章制度，對員工宣傳貫徹信息和保密方面的法律法規(guī)。

4.2 制度管理

結合電力企業(yè)信息網絡安全的需要，調整信息網絡安全管理策略，建立健全完善的安全管理制度，形成完整的安全管理體系，嚴格按照制度執(zhí)行。信息網絡安全管理制度體系分為三層結構：總體方針、具體管理制度和各類操作規(guī)程。

4.3 安全培訓管理

信息網絡安全教育是計算機信息安全的重要組成部分，是增強企業(yè)員工安全意識和安全技能的有效方法。其中針對信息網絡技術人員的培訓包括網絡安全理論培訓、安全意識培訓、崗位技能培訓、安全技術培訓、安全產品培訓。非專業(yè)人員可根據需要對其進行安全理論培訓、安全意識培訓。定期開展信息網絡安全培訓，根據不同崗位制定不同的培訓計劃，以增強員工的信息網絡安全防范意識。只有提高員工的網絡安全意識才能在管理和技術上有效的實現信息網絡安全。

5 結束語

綜上所述，本文從電力信息網絡安全存在的問題著手，以企業(yè)信息安全需求的角度重點分析信息網絡安全防范的技術措施和管理措施。電力信息網絡安全的可靠運行是保障電力企業(yè)安全穩(wěn)定運營和提供可靠供電的基礎，電力行業(yè)是關系到國計民生的基礎行業(yè)，隨著信息化建設的發(fā)展，各種信息管理系統(tǒng)在企業(yè)中扮演的角色越來越重要，企業(yè)對數據的完整性、真實性、可靠性的要求也隨之提高。因此，信息網絡安全防護工作成了信息化建設中的重點工作。

[1]溫運生.電力網絡中的安全問題與防范措施分析[J].科技與創(chuàng)新,2014,(17):149

[2]陸陽.淺談電力企業(yè)信息網絡安全[J].信息系統(tǒng)工程,2013, (01):84-85

[3]單士娟,沈洋.淺談網絡安全的主要威脅及防范措施[J].電腦編程技巧與維護,2008,(15):94-97

[4]吳強，劉蓉雷電力企業(yè)信息網絡安全分析與防范措施[J].計算機安全，2002，（09）：22-27

[5]魯德娟.電力企業(yè)信息網絡安全解決方案[C].2008年中國計算機信息防護年會暨信息防護體系建設研討會論文集,2008,(06): 252-257