0引言
網(wǎng)絡(luò)安全是一個系統(tǒng)的���、全局的管理問題�����,網(wǎng)絡(luò)上的任何一個漏洞���,都會導(dǎo)致全網(wǎng)的安全問題���,我們應(yīng)該用系統(tǒng)工程的觀點����、方法,分析網(wǎng)絡(luò)的安全及具體措施�。安全措施是技術(shù)措施、各種管理制度���、行政法律手段的綜合�,一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果����。
1電力信息網(wǎng)安全防護(hù)框架
根據(jù)電力企業(yè)的特點,信息安全按其業(yè)務(wù)性質(zhì)一般可分為四種:一種為電網(wǎng)運行實時控制系統(tǒng)�,包括電網(wǎng)自動發(fā)電控制系統(tǒng)及支持其運行的調(diào)度自動化系統(tǒng),火電廠分布控制系統(tǒng)(DCS���,BMS�,DEH����,CCS),水電廠計算機(jī)監(jiān)控系統(tǒng)��,變電所及集控站綜合自動化系統(tǒng)����,電網(wǎng)繼電保護(hù)及安全自動裝置�����,電力市場技術(shù)支持系統(tǒng)���。第二種為電力營銷系統(tǒng),電量計費系統(tǒng)��,負(fù)荷管理系統(tǒng)����。第三種為支持企業(yè)經(jīng)營、管理��、運營的管理信息系統(tǒng)�����。第四種為不直接參與電力企業(yè)過程控制�����、生產(chǎn)管理的各類經(jīng)營���、開發(fā)��、采購�、銷售等多種經(jīng)營公司��。針對電力信息網(wǎng)業(yè)務(wù)的這種的層次結(jié)構(gòu)���,從電力信息網(wǎng)安全需求上進(jìn)行分析����,提出不同層次與安全強度的網(wǎng)絡(luò)信息安全防護(hù)框架即分層��、分區(qū)的安全防護(hù)方案�����。第一是分層管理�。根據(jù)電力信息網(wǎng)共分為四級網(wǎng)的方式,每一級為一層���,層間使用網(wǎng)絡(luò)防火墻進(jìn)行網(wǎng)絡(luò)隔離�����。第二是分區(qū)管理����。根據(jù)電力企業(yè)信息安全的特點,分析各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程���、目前狀況和安全要求���,將電力企業(yè)信息系統(tǒng)分為四個安全區(qū):實時控制區(qū)、非控制生產(chǎn)區(qū)��、生產(chǎn)管理區(qū)和管理信息區(qū)�����。區(qū)間使用網(wǎng)絡(luò)物理隔離設(shè)備進(jìn)行網(wǎng)絡(luò)隔離���,對實時控制區(qū)等關(guān)鍵業(yè)務(wù)實施重點防護(hù)���,并采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)。文章來源:淘金者論文范文中心
2電力信息網(wǎng)安全防護(hù)技術(shù)措施
2.1網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口����,這里的外網(wǎng)包括到不同層次的電力網(wǎng)、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò)、internet��,所有的訪問都將通過防火墻進(jìn)行����,不允許任何繞過防火墻的連接����。DMZ停火區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器�����,即能夠保證提供正常的服務(wù)����,又能夠有效地保護(hù)服務(wù)器不受攻擊。要正確設(shè)置防火墻的訪問策略��,遵循“缺省全部關(guān)閉��,按需求開通的原則”���,拒絕除明確許可外的任何服務(wù)����,也即是拒絕一切未予準(zhǔn)許的服務(wù)。與Internet連接的防火墻的訪問策略中���,必須禁止Rlogin���,NNTP,F(xiàn)inger��,Gopher�����,RSH���,NFS等危險服務(wù)����,也必須禁止Telnet�����,SNMP��,TerminalServer等遠(yuǎn)程管理服務(wù)。
2.2物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離���。物理隔離裝置實際上是專用的防火墻���,由于其不公開性,使得更難被黑客攻擊����。
2.3入侵檢測系統(tǒng):入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品�。國際上先進(jìn)的分布式入侵檢測構(gòu)架,可最大限度地����、全天候地實施監(jiān)控,提供企業(yè)級的安全檢測手段���。在事后分析的時候��,可以清楚地界定責(zé)任人和責(zé)任事件��,為網(wǎng)絡(luò)管理人員提供強有力的保障����。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性��、高識別率��、規(guī)則更新迅速等特點�����。系統(tǒng)具有強大的功能�����、方便友好的管理機(jī)制�����,可廣泛應(yīng)用于電力行業(yè)各單位�。所選擇的入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊,中心數(shù)據(jù)庫應(yīng)放置在DMZ區(qū)��,通過在網(wǎng)絡(luò)中不同的位置放置比如內(nèi)網(wǎng)����、DMZ區(qū)網(wǎng)絡(luò)引擎,可與中心數(shù)據(jù)庫進(jìn)行通訊����,獲得安全策略���,存儲警報信息,并針對入侵啟動相應(yīng)的動作��。管理員可在網(wǎng)絡(luò)中的多個位置訪問網(wǎng)絡(luò)引擎�,對入侵檢測系統(tǒng)進(jìn)行監(jiān)控和管理。
2.4網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備���,掃描的對象包括掃描多種操作系統(tǒng)���,掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器���、工作站��、防火墻��、路由器���、路由交換機(jī)等。在進(jìn)行掃描時���,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描��。掃描結(jié)束后生成詳細(xì)的安全評估報告�����,采用報表和圖形的形式對掃描結(jié)果進(jìn)行分析��,可以方便直觀地對用戶進(jìn)行安全性能評估和檢查��。
2.5網(wǎng)絡(luò)防病毒:為保護(hù)整個電力信息網(wǎng)絡(luò)免受病毒侵害�����,保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性��,應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系��。網(wǎng)絡(luò)防毒系統(tǒng)可以采用C/S模式�,在網(wǎng)絡(luò)防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序,以服務(wù)器作為網(wǎng)絡(luò)的核心�,通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒���,服務(wù)器通過Internet利用LiveUpdate(在線升級)功能����,從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫���。服務(wù)器和網(wǎng)絡(luò)工作站都安裝客戶端軟件�����,利用從服務(wù)器端獲取的病毒碼信息對本地工作站進(jìn)行病毒掃描��,并對發(fā)現(xiàn)的病毒采取相應(yīng)措施進(jìn)行清除����?�?蛻舳烁鶕?jù)需要可用三種方式進(jìn)行病毒掃描:實時掃描����、預(yù)置掃描和人工掃描�。由于病毒掃描可能帶來服務(wù)器性能上的降低,因此可采用預(yù)置掃描方式�,將掃描時間設(shè)定在服務(wù)器訪問率最低的夜間。網(wǎng)絡(luò)工作站可根據(jù)各自需要�����,選擇合適的方式進(jìn)行病毒掃描?���?蛻舳瞬捎玫卿浘W(wǎng)絡(luò)自動安裝方式,確保每一臺上網(wǎng)的計算機(jī)都安裝并啟動病毒防火墻����。同時要注意,選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺���,各種數(shù)據(jù)庫平臺�����,各種應(yīng)用軟件�����。例如能對電力信息網(wǎng)辦公自動化系統(tǒng)使用的LotusDomino/NOTE平臺進(jìn)行查��、殺毒����。2.6數(shù)據(jù)加密及傳輸安全:對與文件安全,通過文件加密����、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸?�,并實現(xiàn)對文件訪問的控制��。對通信安全��,采用數(shù)據(jù)加密���、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù)�,實現(xiàn)數(shù)據(jù)在通信中的保密��、完整和不可抵賴性安全要求�。對遠(yuǎn)程接入安全,通過VPN技術(shù)����,提高時的信息(如電子公文�����,MAIL等等)在傳輸過程中的保密性和安全性。
2.7數(shù)據(jù)備份:對于企業(yè)來說��,最珍貴的不是計算機(jī)����、服務(wù)器、交換機(jī)和路由器等硬件設(shè)備��,而是存儲在存儲介質(zhì)中的數(shù)據(jù)信息��。因此對于一個信息管理系統(tǒng)來說����,數(shù)據(jù)備份和容錯方案是必不可少的。因此必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施以及切合實際的數(shù)據(jù)備份策略����。
2.8可靠安全審計:通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外�,還可以使用象USBKEY等硬件的密碼認(rèn)證,更可以采用二者相結(jié)合的方式�。
2.9數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性���,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全����。
3電力信息網(wǎng)安全防護(hù)管理措施
技術(shù)是安全的主體,管理是安全的靈魂���。只有將有效的安全管理實踐自始至終貫徹落實于信息安全當(dāng)中�,網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證���。
3.1人員管理����,要加強信息人員的安全教育��,保持信息人員特別是網(wǎng)絡(luò)管理人員和安全管理人員的相對穩(wěn)定�,防止網(wǎng)路機(jī)密泄露,特別是注意人員調(diào)離時的網(wǎng)絡(luò)機(jī)密的泄露����。對網(wǎng)絡(luò)設(shè)備、服務(wù)器���、存儲設(shè)備的操作要履行簽字許可制度和操作監(jiān)護(hù)制度����,杜絕誤修改和非法修改�。
3.2密碼管理,對各類密碼要妥善管理�,杜絕默認(rèn)密碼,出廠密碼�,無密碼,不要使用容易猜測的密碼����。密碼要及時更新,特別是有人員調(diào)離時密碼一定要更新����。
3.3技術(shù)管理,主要是指各種網(wǎng)絡(luò)設(shè)備����,網(wǎng)絡(luò)安全設(shè)備的安全策略,如防火墻���、物理隔離設(shè)備�、入侵檢測設(shè)備����、路由器的安全策略要切合實際�。
3.4數(shù)據(jù)管理����,數(shù)據(jù)的備份策略要合理,備份要及時�,備份介質(zhì)保管要安全,要注意備份介質(zhì)的異地保存�。
3.5加強信息設(shè)備的物理安全,注意服務(wù)器����、計算機(jī)、交換機(jī)�����、路由器��、存儲介質(zhì)等設(shè)備的防火���、防盜�、防水�、防潮�����、防塵����、防靜電等���。
3.6注意信息介質(zhì)的安全管理,備份的介質(zhì)要防止丟失和被盜�。報廢的介質(zhì)要及時清除和銷毀,特別要注意送出單位修理的設(shè)備上存儲的信息的安全���。
3.7客戶端的防病毒軟件不得隨意卸載�,要及時更新病毒代碼庫����。
