電力信息系統(tǒng)安全.doc

淺析電力系統(tǒng)信息網絡安全【摘要】隨著電力行業(yè)信息化不斷發(fā)展，信息安全的重要性日漸突顯，所面臨的考驗也日益嚴峻。全文分析了威脅電力系統(tǒng)安全的幾個主要來源及局域網安全管理所涉及的問題，并從信息安全技術與管理上提出了自己的幾點思路和方法，增強智能電網信息安全防護能力，提升信息安全自主可控能力【關鍵詞】 電力系統(tǒng) 網絡安全 計算機隨著計算機信息技術的發(fā)展，電力系統(tǒng)對信息系統(tǒng)的依賴性也逐步增加，信息網絡已成為我們工作中的重要組成部分。電力的MIS系統(tǒng)、電力營銷系統(tǒng)、電能電量計費系統(tǒng)、SAP系統(tǒng)、電力業(yè)務、經營財務系統(tǒng)、人力資源系統(tǒng)等，可以說目前的電力資源的整合已經完全依賴計算機信息系統(tǒng)來管理了。因此在加強信息系統(tǒng)自身的穩(wěn)定性同時，也要防范利用網絡系統(tǒng)漏洞進行攻擊、通過電子郵件進行攻擊解密攻擊、后門軟件攻擊、拒絕服務攻擊等網絡上帶來諸多安全問題。 如何應對好網絡與信息安全事件。要把信息安全規(guī)劃好，就要從軟件和硬件兩個方面下功夫。首先我們來談談軟件這塊，其實這塊主要是指安全防護意識和協(xié)調指揮能力和人員業(yè)務素質。作為企業(yè)信息網絡安全架構，最重要的一個部分就是企業(yè)網絡的管理制度，沒有任何設備和技術能夠百分之百保護企業(yè)網絡的安全，企業(yè)應該制定嚴格的網絡使用管理規(guī)定。對違規(guī)內網外聯(lián)，外單位移動存儲介質插入內網等行為要堅決查處，絕不姑息。企業(yè)信息網絡安全架構不是一個簡單的設備堆加的系統(tǒng)，而是一個動態(tài)的過程模型，安全管理問題貫穿整個動態(tài)過程。因此，網絡安全管理制度也應該貫穿整個過程。通過貫徹堅持“安全第一、預防為主”的方針，加強網絡與信息系統(tǒng)突發(fā)事件的超前預想，做好應對網絡與信息系統(tǒng)突發(fā)事件的預案準備、應急資源準備、保障措施準備，編制各現(xiàn)場處置預案，形成定期應急培訓和應急演練的常態(tài)機制，提高對各類網絡與信息系統(tǒng)突發(fā)事件的應急響應和綜合處理能力。按照綜合協(xié)調、統(tǒng)一領導、分級負責的原則，建立有系統(tǒng)、分層次的應急組織和指揮體系。組織開展網絡與信息系統(tǒng)事件預防、應急處置、恢復運行、事件通報等各項應急工作。充分發(fā)揮公司專家隊伍和專業(yè)人員的作用，切實提高應急處理人員的業(yè)務素質,定期參加基礎知識的梳理和各類信息系統(tǒng)的培訓，以及上崗前的考核機制。把保障公司正常生產、經營、管理秩序、保障公司員工信息安全保密作為首要任務，最大程度減少突發(fā)事件造成的經濟損失和利益損害。而硬件這部分也不僅僅是簡單的網絡設備、服務器小型機、UPS等硬件設備，還包括配合電力生產需要的各個信息系統(tǒng)以及網絡資源。以上的信息設備，信息系統(tǒng)和整個網絡的架構每一個細節(jié)直接關系到系統(tǒng)運行的穩(wěn)定性。為了確保信息系統(tǒng)穩(wěn)定性，近年來，我們在硬件設備的投入上一直是逐步增加，在網絡設備的采購上，我們選取的一直是CISCO品牌的交換機和路由器，CISCO交換機的帶寬的吞吐量、IPV6路由、組播路由以及訪問控制列表（ACL）、CISCO CATALYS智能電源管理等技術的穩(wěn)定性在同級別的產品中都是最優(yōu)質的。服務器小型機基本上以IBM、HP和DELL為主，在服務器的選型上盡量好的和社會口碑突出的品牌，以確保其運行的穩(wěn)定性。同樣，在軟件開發(fā)上也是和國內知名軟件公司合作開發(fā)各種生產需要的應用系統(tǒng)，如中軟的防火墻，北塔的網管軟件等,ORACLE的OA系統(tǒng)。在網絡的架構上，實行邊界防護通過防火墻，作為網絡安全重要的一環(huán)，防火墻是在整個網絡安全建設中都是不能缺少的主角之一，并且?guī)缀跛械木W絡安全公司品牌的防火墻。在防火墻的參數中，最?？匆姷氖遣l(fā)連接數、忘了吞吐量兩項指標。并發(fā)連接數是指防火墻或代理服務器對其業(yè)務信息流的處理能力，是防火墻能夠同時處理的點對點連接的最大數目，他反映出防火墻設備對多個連接的訪問控制能力和連接狀態(tài)跟蹤能力，這個參數的大小直接影響到防火墻所能支持的最大信息點數。吞吐量的大小主要是由防火墻內網卡，及程序算法的效率決定，尤其是程序算法，會使防火墻系統(tǒng)進行大量運算，通信量大大折扣。對于我們大型國有企業(yè)來說，當然還是選擇1000M的防火墻來保證流量。根據國家電網公司對外網建設“強邏輯隔離”的目標和要求，在省、市供電公司和直屬單位重新架設一套物理外網，該網絡與現(xiàn)有內網物理隔離，兩網之間加裝物理隔離裝置?；ヂ?lián)網出口位于省電力公司，地市供電公司和直屬單位統(tǒng)一從省電力公司出口訪問互聯(lián)網；改造后的外網應用系統(tǒng)與內網相關系統(tǒng)的訪問必須通過隔離裝置進行。訪問控制識別并驗證用戶，將用戶限制在已授權的活動和資源范圍內，這是訪問控制安全機制應該實現(xiàn)的基本功能，訪問控制安全機制可以在網絡入口處對惡意訪問用戶進行甄別和過濾，在極大程度上保證了網絡訪問用戶的可靠性。訪問控制的實現(xiàn)首先是要考慮對合法用戶進行驗證，然后對控制策略的選用于管理，最后要對沒有非法用戶或者是越權操作進行管理，所以，訪問控制包括認證、控制策略實現(xiàn)和審計三方面的內容。目前主流的控制技術有可以基于角色的訪問控制技術（Role-based Access,RBAC）,基于任務的訪問控制模型（Task-based Access Control Model,TBAC Model），基于對象的訪問控制模型（Object-Based Access Control Model）。數據傳輸安全要求保護網絡上被傳輸的信息，以防止被動地和主動地侵犯。主要是通過文件加密技術和電子簽章兩種方式。網絡上的加密可以分為三層：第一層是數據鏈路層加密，即將數據在線路傳輸前后分別對其加密和解密，這樣可以減少在傳輸線路上被竊取的危險；第二層是對傳輸層的加密，使數據在網絡傳輸期間保持加密狀態(tài)；第三層使應用層上的加密，讓網絡應用程序對數據進行加密和解密。通常采用的方式使對這三層進行綜合加密，以增強信息的安全性和可靠性。電子簽章是對數據的接受者用來證實數據的發(fā)送者確實無誤的一種方法，他主要通過加密算法和驗證協(xié)議來實現(xiàn)。來自網絡威脅還有很重要的一點是病毒的危害。病毒本身就是計算機程序，但是它確用來破壞和干擾計算機系統(tǒng)或網絡的正常使用，通過編寫所謂的惡意代碼，來控制或者偷窺計算機資源或使其整個網絡癱瘓。計算機病毒可謂是防不勝防，總結了病毒的傳播途徑主要是通過以下幾種方式1通過光盤、軟盤傳播2通過移動存儲介質傳播3通過網絡傳播所以我們通過安裝防病毒軟件symantec并跟新最新的病毒庫，實時監(jiān)控病毒，一經發(fā)現(xiàn)馬上處理。保證網絡的良好環(huán)境。電力系統(tǒng)的信息化應用是隨著企業(yè)的發(fā)展而不斷發(fā)展的，信息網絡安全也是一個動態(tài)過程，需要定期對信息網絡安全狀況進行評估，改進安全方案，調整安全策略。我們不能保證能杜絕來自信息網絡上的各種威脅和攻擊，但是我相信通過全體電力人的責任心和使命感，我們一定能最大限度的保障電力信息網絡的安全，更好的為電力生產服務，更好的為全社會服務。