0引言
網(wǎng)絡(luò )安全是一個(gè)系統的����、全局的管理問(wèn)題���,網(wǎng)絡(luò )上的任何一個(gè)漏洞�,都會(huì )導致全網(wǎng)的安全問(wèn)題����,我們應該用系統工程的觀(guān)點(diǎn)�、方法�,分析網(wǎng)絡(luò )的安全及具體措施�。安全措施是技術(shù)措施����、各種管理制度���、行政法律手段的綜合��,一個(gè)較好的安全措施往往是多種方法適當綜合的應用結果��。
1電力信息網(wǎng)安全防護框架
根據電力企業(yè)的特點(diǎn)����,信息安全按其業(yè)務(wù)性質(zhì)一般可分為四種:一種為電網(wǎng)運行實(shí)時(shí)控制系統�����,包括電網(wǎng)自動(dòng)發(fā)電控制系統及支持其運行的調度自動(dòng)化系統�,火電廠(chǎng)分布控制系統(DCS���,BMS�����,DEH��,CCS)����,水電廠(chǎng)計算機監控系統����,變電所及集控站綜合自動(dòng)化系統��,電網(wǎng)繼電保護及安全自動(dòng)裝置�����,電力市場(chǎng)技術(shù)支持系統���。第二種為電力營(yíng)銷(xiāo)系統��,電量計費系統���,負荷管理系統����。第三種為支持企業(yè)經(jīng)營(yíng)�����、管理��、運營(yíng)的管理信息系統��。第四種為不直接參與電力企業(yè)過(guò)程控制��、生產(chǎn)管理的各類(lèi)經(jīng)營(yíng)�、開(kāi)發(fā)�、采購�、銷(xiāo)售等多種經(jīng)營(yíng)公司����。針對電力信息網(wǎng)業(yè)務(wù)的這種的層次結構���,從電力信息網(wǎng)安全需求上進(jìn)行分析�����,提出不同層次與安全強度的網(wǎng)絡(luò )信息安全防護框架即分層�����、分區的安全防護方案�。第一是分層管理�����。根據電力信息網(wǎng)共分為四級網(wǎng)的方式�����,每一級為一層���,層間使用網(wǎng)絡(luò )防火墻進(jìn)行網(wǎng)絡(luò )隔離����。第二是分區管理�。根據電力企業(yè)信息安全的特點(diǎn)�,分析各相關(guān)業(yè)務(wù)系統的重要程度和數據流程�、目前狀況和安全要求�,將電力企業(yè)信息系統分為四個(gè)安全區:實(shí)時(shí)控制區��、非控制生產(chǎn)區���、生產(chǎn)管理區和管理信息區����。區間使用網(wǎng)絡(luò )物理隔離設備進(jìn)行網(wǎng)絡(luò )隔離��,對實(shí)時(shí)控制區等關(guān)鍵業(yè)務(wù)實(shí)施重點(diǎn)防護�����,并采用不同強度的安全隔離設備使各安全區中的業(yè)務(wù)系統得到有效保護�。文章來(lái)源:淘金者論文范文中心
2電力信息網(wǎng)安全防護技術(shù)措施
2.1網(wǎng)絡(luò )防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口�����,這里的外網(wǎng)包括到不同層次的電力網(wǎng)�、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò )���、internet�,所有的訪(fǎng)問(wèn)都將通過(guò)防火墻進(jìn)行�,不允許任何繞過(guò)防火墻的連接�。DMZ�;饏^放置了企業(yè)對外提供各項服務(wù)的服務(wù)器��,即能夠保證提供正常的服務(wù)�,又能夠有效地保護服務(wù)器不受攻擊�����。要正確設置防火墻的訪(fǎng)問(wèn)策略��,遵循“缺省全部關(guān)閉�����,按需求開(kāi)通的原則”��,拒絕除明確許可外的任何服務(wù)���,也即是拒絕一切未予準許的服務(wù)���。與Internet連接的防火墻的訪(fǎng)問(wèn)策略中����,必須禁止Rlogin����,NNTP�,Finger����,Gopher��,RSH����,NFS等危險服務(wù)����,也必須禁止Telnet���,SNMP�����,TerminalServer等遠程管理服務(wù)����。
2.2物理隔離裝置:主要用于電力信息網(wǎng)的不同區之間的隔離���。物理隔離裝置實(shí)際上是專(zhuān)用的防火墻�,由于其不公開(kāi)性��,使得更難被黑客攻擊�。
2.3入侵檢測系統:入侵檢測系統是專(zhuān)門(mén)針對黑客攻擊行為而研制的網(wǎng)絡(luò )安全產(chǎn)品����。國際上先進(jìn)的分布式入侵檢測構架�����,可最大限度地�����、全天候地實(shí)施監控���,提供企業(yè)級的安全檢測手段��。在事后分析的時(shí)候�����,可以清楚地界定責任人和責任事件���,為網(wǎng)絡(luò )管理人員提供強有力的保障���。入侵檢測系統采用攻擊防衛技術(shù)��,具有高可靠性�����、高識別率����、規則更新迅速等特點(diǎn)����。系統具有強大的功能�����、方便友好的管理機制�,可廣泛應用于電力行業(yè)各單位����。所選擇的入侵檢測系統能夠有效地防止各種類(lèi)型的攻擊�����,中心數據庫應放置在DMZ區����,通過(guò)在網(wǎng)絡(luò )中不同的位置放置比如內網(wǎng)�����、DMZ區網(wǎng)絡(luò )引擎�����,可與中心數據庫進(jìn)行通訊����,獲得安全策略��,存儲警報信息��,并針對入侵啟動(dòng)相應的動(dòng)作��。管理員可在網(wǎng)絡(luò )中的多個(gè)位置訪(fǎng)問(wèn)網(wǎng)絡(luò )引擎�����,對入侵檢測系統進(jìn)行監控和管理�����。
2.4網(wǎng)絡(luò )隱患掃描系統:網(wǎng)絡(luò )隱患掃描系統能夠掃描網(wǎng)絡(luò )范圍內的所有支持TCP/IP協(xié)議的設備����,掃描的對象包括掃描多種操作系統�����,掃描網(wǎng)絡(luò )設備包括:服務(wù)器��、工作站�、防火墻��、路由器���、路由交換機等�。在進(jìn)行掃描時(shí)���,可以從網(wǎng)絡(luò )中不同的位置對網(wǎng)絡(luò )設備進(jìn)行掃描���。掃描結束后生成詳細的安全評估報告�����,采用報表和圖形的形式對掃描結果進(jìn)行分析����,可以方便直觀(guān)地對用戶(hù)進(jìn)行安全性能評估和檢查����。
2.5網(wǎng)絡(luò )防病毒:為保護整個(gè)電力信息網(wǎng)絡(luò )免受病毒侵害�,保證網(wǎng)絡(luò )系統中信息的可用性����,應構建從主機到服務(wù)器的完善的防病毒體系��。網(wǎng)絡(luò )防毒系統可以采用C/S模式�,在網(wǎng)絡(luò )防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序����,以服務(wù)器作為網(wǎng)絡(luò )的核心�,通過(guò)派發(fā)的形式對整個(gè)網(wǎng)絡(luò )部署查�、殺毒�,服務(wù)器通過(guò)Internet利用LiveUpdate(在線(xiàn)升級)功能����,從免疫中心實(shí)時(shí)獲取最新的病毒碼信息���,及時(shí)更新病毒代碼庫�。服務(wù)器和網(wǎng)絡(luò )工作站都安裝客戶(hù)端軟件��,利用從服務(wù)器端獲取的病毒碼信息對本地工作站進(jìn)行病毒掃描���,并對發(fā)現的病毒采取相應措施進(jìn)行清除������?蛻(hù)端根據需要可用三種方式進(jìn)行病毒掃描:實(shí)時(shí)掃描��、預置掃描和人工掃描��。由于病毒掃描可能帶來(lái)服務(wù)器性能上的降低���,因此可采用預置掃描方式���,將掃描時(shí)間設定在服務(wù)器訪(fǎng)問(wèn)率最低的夜間���。網(wǎng)絡(luò )工作站可根據各自需要���,選擇合適的方式進(jìn)行病毒掃描���������?蛻(hù)端采用登錄網(wǎng)絡(luò )自動(dòng)安裝方式����,確保每一臺上網(wǎng)的計算機都安裝并啟動(dòng)病毒防火墻�����。同時(shí)要注意�����,選擇的網(wǎng)絡(luò )防病毒軟件應能夠適應各種系統平臺�����,各種數據庫平臺��,各種應用軟件��。例如能對電力信息網(wǎng)辦公自動(dòng)化系統使用的LotusDomino/NOTE平臺進(jìn)行查���、殺毒�。
2.6數據加密及傳輸安全:對與文件安全���,通過(guò)文件加密��、信息摘要和訪(fǎng)問(wèn)控制等安全措施�,來(lái)實(shí)現文件存儲和傳輸的保密和完整性要求�,并實(shí)現對文件訪(fǎng)問(wèn)的控制����。對通信安全����,采用數據加密�、信息摘要和數字簽名等安全措施對通信過(guò)程中的信息進(jìn)行保護��,實(shí)現數據在通信中的保密�、完整和不可抵賴(lài)性安全要求��。對遠程接入安全�,通過(guò)VPN技術(shù)�,提高時(shí)的信息(如電子公文���,MAIL等等)在傳輸過(guò)程中的保密性和安全性�。
2.7數據備份:對于企業(yè)來(lái)說(shuō)�����,最珍貴的不是計算機�����、服務(wù)器���、交換機和路由器等硬件設備���,而是存儲在存儲介質(zhì)中的數據信息����。因此對于一個(gè)信息管理系統來(lái)說(shuō)���,數據備份和容錯方案是必不可少的�。因此必須建立集中和分散相結合的數據備份設施以及切合實(shí)際的數據備份策略��。
2.8可靠安全審計:通過(guò)記錄審計信息來(lái)為信息安全問(wèn)題的分析和處理提供線(xiàn)索��。除了使用軟的密碼外����,還可以使用象USBKEY等硬件的密碼認證�,更可以采用二者相結合的方式��。
2.9數據庫安全:通過(guò)數據存儲加密�����、完整性檢驗和訪(fǎng)問(wèn)控制來(lái)保證數據庫數據的機密和完整性���,并實(shí)現數據庫數據的訪(fǎng)問(wèn)安全����。
3電力信息網(wǎng)安全防護管理措施
技術(shù)是安全的主體�,管理是安全的靈魂��。只有將有效的安全管理實(shí)踐自始至終貫徹落實(shí)于信息安全當中�,網(wǎng)絡(luò )安全的長(cháng)期性和穩定性才能有所保證��。
3.1人員管理����,要加強信息人員的安全教育��,保持信息人員特別是網(wǎng)絡(luò )管理人員和安全管理人員的相對穩定�,防止網(wǎng)路機密泄露��,特別是注意人員調離時(shí)的網(wǎng)絡(luò )機密的泄露���。對網(wǎng)絡(luò )設備����、服務(wù)器���、存儲設備的操作要履行簽字許可制度和操作監護制度��,杜絕誤修改和非法修改����。
3.2密碼管理���,對各類(lèi)密碼要妥善管理���,杜絕默認密碼�����,出廠(chǎng)密碼�,無(wú)密碼�����,不要使用容易猜測的密碼��。密碼要及時(shí)更新��,特別是有人員調離時(shí)密碼一定要更新�。
3.3技術(shù)管理��,主要是指各種網(wǎng)絡(luò )設備����,網(wǎng)絡(luò )安全設備的安全策略���,如防火墻��、物理隔離設備����、入侵檢測設備�����、路由器的安全策略要切合實(shí)際��。
3.4數據管理�����,數據的備份策略要合理�,備份要及時(shí)����,備份介質(zhì)保管要安全���,要注意備份介質(zhì)的異地保存����。
3.5加強信息設備的物理安全�����,注意服務(wù)器�、計算機�、交換機��、路由器�����、存儲介質(zhì)等設備的防火���、防盜�����、防水��、防潮�����、防塵����、防靜電等�����。
3.6注意信息介質(zhì)的安全管理�����,備份的介質(zhì)要防止丟失和被盜����。報廢的介質(zhì)要及時(shí)清除和銷(xiāo)毀���,特別要注意送出單位修理的設備上存儲的信息的安全�。
3.7客戶(hù)端的防病毒軟件不得隨意卸載�,要及時(shí)更新病毒代碼庫�����。
