(国网河南偃师市供电公司 河南偃师 471900)
摘要:随着l T技术的发展和企业网上交易规模的扩大,财务的网络化将成为今后财务发展的方向。但病毒的快速传播、“黑客”的入侵、重要财务信息的泄密等,也对企业网络财务信息系统的安全构成了严重威胁。为了构筑更加安全的网络技术平台,许多新的信息安全技术规范不断涌现,PKI技术便是其中之一。那么P心中的关键技术是什么,以及如何应用这些技术来保障网络财务信息系统的安全呢,本文就此展开讨论。
关键词:论述PKI;电力系统;网络安全
近年来,随着电力行业的不断发展,信息化应用也逐渐增强,网络系统中的应用越来越多。各级供电企业纷纷建立信息系统,以提高劳动生产率和管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。同时,随着Inter-net技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。目前电力信息网络已不仅是单一的局域网络,已建设成为包括财务管理网、人事管理网、用电营销网、调度自动化网等的大型企业管理信息平台。但是,电力企业网络的发展,也面临日益突出的信息系统安全问题。
一、PK I心技术概述
(一)P K l安全技术原理一一功口密机制的概述
PKI(PublieKeyInafrstureture)是建立在公钥密码体制上的信息安全基础设施,是保障信息安全最关键和最基本的技术手段和理论基础。它通过为应用提供身份认证、加密、数字签名、时间戳等安全服务来保障网络信息的安全。其原理是通过数学加解密的公式制成两种数字钥匙,即公开发行的公钥(PublicKcy)和由使用
者自己保管的私钥(PirvateKey)来解决数据传输的安全问题。加密是通过Intranet、Extranet和Intenret进行安全的信息交换的基础。从技术的角度来看,加密是利用数学方法将数据转换为不可读格式从而达到保护数据目的的一门科学。从业务功能的角度来看,通过加密实现的安全功能包括“主体身份验证,使信息接收者确信信息发送者就是他所希望的发送主体:数据机密性,确保只有预期的接收者能够阅读数据;数据完整性,确保数据在传输过程中没有被更改。目前网络安全中,常用的信息加密方法有对称密钥加密和非对称加密,各自的特点如下:第一,对称密钥加密,也叫做共享密钥加密或机密密钥加密,它使用发送者和接收者共同拥有的单个密钥。这种密钥既用于加密,也用于解密。对称加密机制具有加
密速度快的良好特性,特别适用于加密传输大量财务信息。但同时它也存在着一个致命的弱点:用此方法加密的数据容易被破译。
第二,非对称密钥加密也称公钥加密,宣使用两个密钥:一个公钥(Public Key)和一个私钥(Private Key),这两个密钥在数学上是相关的。公钥可在通信双方之间公开传递,或在公用储备库中发布,相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据,而使用私钥加密的数据只能用公钥解密。不同公钥算法的工作方式完全不同,因此它们不可互换。非对称加密机制具有很好的机密性,但由于它使用特殊的加密算法,加密速度较低。在加密大量财务信息时,这种局限性显得尤为突出。
二、电力系统信息网络的安全分析
电力系统信息安全问题已威胁到电力系统的安全、稳定、经济、优质运行,影响着“数字电力系统”的实现进程,已经成为电力企业生产、经营和管理的重要组成部分。近年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、和安全措施投入较少。计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者内部人员的安全控制,但现在必须面对国际互联网上各种安全攻击。在这种情况下,对网络攻击的方式主要有两种:主动攻击和被动攻击。主动攻击中, Hacker可利用多种病毒进入系统,窃取或篡改数据,被动攻击是通过网络监听等方式截取数据并加以分析理解。无论主动或被动攻击,最终造成数据的丢失、篡改或删除,导致电力系统受到极大影响,甚至造成事故。电力行业中网络管理与一般网络管理相比有其特殊性,例如其中的发电报价系统等电力市场信息系统要求做加密和隔离处理。
期刊文章分类查询,尽在期刊图书馆电力系统信息安全的防护对网络设备、数据备份及容错、病毒防范比较重视,但对应用层的防护重视不够,主要的信息安全隐患有:(1)身份认证,“用户名+口令”的传统认证方式安全性较弱,用户口令易被窃取而导致损失。(2)信息机密性,在内、外部网络上传输的敏感信息和数据有可能在传输过程中被非法用户截取。 (3)信息的完整性:敏感、机密信息和数据在传输过程中有可能被恶意篡改。(4)信息的不可抵赖性,财务报表、采购清单、生产计划等电子文件一旦被一方所否认,另一方没有已签名的记录来做为仲裁的依据。根据上面的分析,本文设计一个基于PKI的安全系统平台,提供身份认证、访问控制、数据传输加密和安全管理等服务,以加强电力系统信息网络的安全防护。
2、PKI结构框架
PKI主要由4部分组成,策略批准中心PAA、策略证书中心PCA、证书认证中心CA以及注册中心ORA。PKI可提供加密服务,Microsoft PKI的基础是它的加密API——— CryptoAPI 2.0,该API为公钥安全机制提供了加密服务和证书管理服务。Win-dows2000 PKI的组成部件有,密码服务提供者(Cryptographic Service Provider, CSP)、证书服务器(Certificate Server)、安全通道、认证码(Authen-
ticode)、加密文件系统(Encrypting File System,EFS)、Microsoft Exchange Server密钥管理(KeyManagement, KM)服务器和PKI应用程序。
三、安全系统平台的设计
1、基本框架
为加强系统的身份认证,设计基于信息共享机制的系统平台,系统主要使用Microsoft ActiveServer Pages与Microsoft SQL Server相结合,构筑标准化三层B/S
结构应用系统,采用数字证书系统作为身份认证的通道。安全系统平台是基于Microsoft提供的PKI部件设计的,同时使用CryptoAPI和数字证书以加密和认证应用程序中的消息。系统运行中,可以很好地完成身份认证和其它加密功能。
2、数字系统的实现
系统在设计时,使用Windows2000提供的证书服务器,设置证书颁发者,其它用户可向证书颁发者申请证书,当用户登陆系统或者在系统中要实施某些操作时,需进行身份认证。基于证书的身份认证过程为:当用户想对重要服务器(如Web、数据库服务器等)进行读、写操作时,系统首先需对用户进行身份认证,检查该用户是否是合法用户(即设定的颁发者签发证书的用户)。由用户的操作引发
系统请求,服务器接到请求后,向用户发送消息,请求用户的证书。用户接到请求后,用自己的私钥对证书做一个签名,并将签名证书发送给服务器。服务器首先验证证书的合法性。证书合法性验证通过后取出证书中的公钥,验证用户对证书所做的签名,验证通过后,即实现了对用户的身份认证,用户就可登陆页面。
3、数字签名及认证的实现
为了加强信息系统的安全性,利用基于数字证书的用户身份认证技术对文档数据进行数字签名,可以确保文档数据信息的完整性,确认文档数据的真实来源,防止出现抵赖行为或他人冒充伪造篡改数据。
四、总结
随着IT技术的发展和企业网上交易规模的扩大 财务的网络化将成为今后财务发展的方向。但病毒的快速传播、“黑客”的入侵、重要财务信息的泄密等 也对企业网络财务信息系统的安全构成了严重威胁。为了构筑更加安全的网络技术平台 许多新的信息安全技术规范不断涌现 PKI技术便是其中之一。
参考文献:
[1]赵文清、王德文,PKI在电力系统信息网络安全中的应用,电力科学与工程,2003年09月。
[2]李纯,网络日志审计系统在电力信息安全中的应用分析,硅谷,2013年04月。
[3]郝国翔,浅析信息网络在电力系统中的应用及安全防护,电子制作,2013年06月。
论文作者:周丽鸽,王爱合
论文发表刊物:《电力设备》2017年第23期
论文发表时间:2017/11/29
标签:证书论文; 密钥论文; 数据论文; 系统论文; 信息论文; 电力系统论文; 用户论文; 《电力设备》2017年第23期论文;