电力信息系统安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
浅析电力系统信息网络安全
【摘要】
随着电力行业信息化不断发展,信息安全的重要性日渐突显,所面临的考验也日益严峻。全文分析了威胁电力系统安全的几个主要来源及局域网安全管理所涉及的问题,并从信息安全技术与管理上提出了自己的几点思路和方法,增强智能电网信息安全防护能力,提升信息安全自主可控能力
【关键词】电力系统网络安全计算机
随着计算机信息技术的发展,电力系统对信息系统的依赖性也逐步增加,信息网络已成为我们工作中的重要组成部分。电力的MIS系统、电力营销系统、电能电量计费系统、SAP 系统、电力ISP业务、经营财务系统、人力资源系统等,可以说目前的电力资源的整合已经完全依赖计算机信息系统来管理了。因此在加强信息系统自身的稳定性同时,也要防范利用网络系统漏洞进行攻击、通过电子邮件进行攻击解密攻击、后门软件攻击、拒绝服务攻击等网络上带来诸多安全问题。
如何应对好网络与信息安全事件。要把信息安全规划好,就要从软件和硬件两个方面下功夫。
首先我们来谈谈软件这块,其实这块主要是指安全防护意识和协调指挥能力和人员业务素质。
作为企业信息网络安全架构,最重要的一个部分就是企业网络的管理制度,没有任何设备和技术能够百分之百保护企业网络的安全,企业应该制定严格的网络使用管理规定。对违规内网外联,外单位移动存储介质插入内网等行为要坚决查处,绝不姑息。企业信息网络安全架构不是一个简单的设备堆加的系统,而是一个动态的过程模型,安全管理问题贯穿整个动态过程。因此,网络安全管理制度也应该贯穿整个过程。
通过贯彻坚持“安全第一、预防为主”的方针,加强网络与信息系统突发事件的超前预想,做好应对网络与信息系统突发事件的预案准备、应急资源准备、保障措施准备,编制各现场处置预案,形成定期应急培训和应急演练的常态机制,提高对各类网络与信息系统突发事件的应急响应和综合处理能力。
按照综合协调、统一领导、分级负责的原则,建立有系统、分层次的应急组织和指挥体系。组织开展网络与信息系统事件预防、应急处置、恢复运行、事件通报等各项应急工作。
充分发挥公司专家队伍和专业人员的作用,切实提高应急处理人员的业务素质,定期参加基础知识的梳理和各类信息系统的培训,以及上岗前的考核机制。把保障公司正常生产、经营、管理秩序、保障公司员工信息安全保密作为首要任务,最大程度减少突发事件造成的经济损失和利益损害。
而硬件这部分也不仅仅是简单的网络设备、服务器小型机、UPS等硬件设备,还包括配合电力生产需要的各个信息系统以及网络资源。以上的信息设备,信息系统和整个网络的架构每一个细节直接关系到系统运行的稳定性。为了确保信息系统稳定性,近年来,我们在硬件设备的投入上一直是逐步增加,在网络设备的采购上,我们选取的一直是CISCO品牌的交换机和路由器,CISCO交换机的带宽的吞吐量、IPV6路由、组播路由以及访问控制列表(ACL)、CISCO CATALYS智能电源管理等技术的稳定性在同级别的产品中都是最优质的。服务器小型机基本上以IBM、HP和DELL为主,在服务器的选型上尽量好的和社会口碑突出的品牌,以确保其运行的稳定性。同样,在软件开发上也是和国内知名软件公司合作开发各种生产需要的应用系统,如中软的防火墙,北塔的网管软件等,ORACLE的OA系统。
在网络的架构上,实行边界防护通过防火墙,作为网络安全重要的一环,防火墙是在整个网络安全建设中都是不能缺少的主角之一,并且几乎所有的网络安全公司品牌的防火墙。在防火墙的参数中,最常看见的是并发连接数、忘了吞吐量两项指标。并发连接数是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,他反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数。吞吐量的大小主要是由防火墙内网卡,及程序算法的效率决定,尤其是程序算法,会使防火墙系统进行大量运算,通信量大大折扣。对于我们大型国有企业来说,当然还是选择1000M的防火墙来保证流量。
根据国家电网公司对外网建设“强逻辑隔离”的目标和要求,在省、市供电公司和直属单位重新架设一套物理外网,该网络与现有内网物理隔离,两网之间加装物理隔离装置。互联网出口位于省电力公司,地市供电公司和直属单位统一从省电力公司出口访问互联网;改造后的外网应用系统与内网相关系统的访问必须通过隔离装置进行。
访问控制识别并验证用户,将用户限制在已授权的活动和资源范围内,这是访问控制安全机制应该实现的基本功能,访问控制安全机制可以在网络入口处对恶意访问用户进行甄别和过滤,在极大程度上保证了网络访问用户的可靠性。访问控制的实现首先是要考虑对合法用户进行验证,然后对控制策略的选用于管理,最后要对没有非法用户或者是越权操作进行管理,所以,访问控制包括认证、控制策略实现和审计三方面的内容。目前主流的控制技术有可以基于角色的访问控制技术(Role-based Access,RBAC),基于任务的访问控制模型
(Task-based Access Control Model,TBAC Model),基于对象的访问控制模型(Object-Based Access Control Model)。
数据传输安全要求保护网络上被传输的信息,以防止被动地和主动地侵犯。主要是通过文件加密技术和电子签章两种方式。网络上的加密可以分为三层:第一层是数据链路层加密,即将数据在线路传输前后分别对其加密和解密,这样可以减少在传输线路上被窃取的危险;第二层是对传输层的加密,使数据在网络传输期间保持加密状态;第三层使应用层上的加密,让网络应用程序对数据进行加密和解密。通常采用的方式使对这三层进行综合加密,以增强信息的安全性和可靠性。电子签章是对数据的接受者用来证实数据的发送者确实无误的一种方法,他主要通过加密算法和验证协议来实现。
来自网络威胁还有很重要的一点是病毒的危害。病毒本身就是计算机程序,但是它确用来破坏和干扰计算机系统或网络的正常使用,通过编写所谓的恶意代码,来控制或者偷窥计算机资源或使其整个网络瘫痪。计算机病毒可谓是防不胜防,总结了病毒的传播途径主要是通过以下几种方式1通过光盘、软盘传播2通过移动存储介质传播3通过网络传播
所以我们通过安装防病毒软件symantec并跟新最新的病毒库,实时监控病毒,一经发现马上处理。保证网络的良好环境。
电力系统的信息化应用是随着企业的发展而不断发展的,信息网络安全也是一个动态过程,需要定期对信息网络安全状况进行评估,改进安全方案,调整安全策略。我们不能保证能杜绝来自信息网络上的各种威胁和攻击,但是我相信通过全体电力人的责任心和使命感,我们一定能最大限度的保障电力信息网络的安全,更好的为电力生产服务,更好的为全社会服务。