摘要:从目前网络技术的发展情况来看,基本上呈现出一种网络防护技术略落后于网络攻击技术的现状。虽然网络技术的普及和应用,在很大程度上给我国的电力企业的经营和管理带来了极大的便利,也极大的促进了我国电力企业的进一步发展,但是伴随而来的也有一定程度的网络安全威胁和隐患,这也在很大程度上阻碍了电力企业的进一步发展。
关键词:电力企业;网络安全;漏洞
1、当前电力数据通信网的主要特点
应用电力数据通信网的环节非常多,而任何一个环节出现问题都会给电力企业正常生产带来不利影响,所以管理好电力数据通信网非常重要。但是实际上,在开展相关的管理工作过程中我们可以发现,管理工作难度非常大。因为每个本地网的运维单位不同,那么不同的人在处理工作的过程中就可能会给电力数据网带来一些不稳定的因素。例如,某个员工将一根网线二端同时接到一台本地网数据交换机,就可能产生严重的二层环路问题使得网络系统瘫痪;而将网络设备数据配置错误也会使网络系统出现大面积的中断等。这些人为因素都难以避免,因为很难从细节上对这些问题做出规定,所以电力数据通信网管理难度非常大。
2、电力企业信息安全管理存在的问题
2.1数据泄露
2018年3月17日曝光Facebook上超过5000万用户信息数据被一家名为“剑桥分析”的数据挖掘公司泄露,导致只有一半的人信任Facebook遵守美国的隐私法,公司市值蒸发了360多亿美元。这起事件源于Facebook和剑桥分析公司合作开发一款新应用,经用户授权合法获取27万用户数据,剑桥分析公司通过分析这些数据以及Facebook数据开放规则的缺陷,非法获取了5000万用户数据,由于与第三方企业合作,企业的违规商用操作和企业平台数据规则的缺失,导致用户数据的大量泄漏。在电力企业中,企业间相互合作,采用业务外包和劳务外包以及专业外包的形式普遍,第三方人员因工作需要接入企业内网,能够轻而易举的获取企业核心数据,因此传统的划分内网和外网,限制外部人员访问内网数据,基于防火墙、IPS等安全设备构建的网络安全体系都不再适用了,第三方人员的管理问题,内部人员违规操作、内部恶意人员信息外泄,都极大的增加企业核心数据外泄的风险。另外,虽然业务外包是通过合法合规的方式授予第三方企业获取信息的权力,但无法限制第三方企业通过现有数据的分析提取,采用脱库、洗库、撞库等技术手段进一步获取其它重要信息。
2.2电力工控系统的网络安全问题
虽然,我国绝大多数的电力企业都进行了信息网络系统的完善工作,但是随着新能源及配网的发展,导致电力行业的边界不断扩展,风险点增加,使得其系统方面可能会存在一定程度的漏洞,例如由于系统设计人员设计程序时考虑的较为片面或者是细节上的疏忽等导致的安全隐患,严重时甚至会造成整个系统的瘫痪;除此之外,电力企业信息网络构建完毕后,不时会进行一定的对外远程服务,例如远程维护、数据传输等,在此过程中可能会存在一些不法分子利用系统漏洞非法的入侵系统,给企业带来难以预估的损失。能源行业遭遇到的网络攻击在数量上远超其它行业,在电力系统中,电力基础设施首要原则是保障业务连续性,在设计之初并没有考虑安全因素,缺乏安全设计,使用大量的专有和私有协议,另外电力工控系统网络范围覆盖全国,具有规模大、距离远、覆盖范围广的特点,对故障范围控制及实时响应要求更高。信息基础设施是为电力基础设施服务的,服务于电力系统的信息基础设施很大程度上属于典型的工业控制系统,因此工控系统自身存在的安全漏洞、工控系统运行所处的系统和环境存在安全漏洞和隐患。
3、提升电力企业网络信息安全漏洞管理水平的有效措施
3.1建立与漏洞管理需求相适配的IT资产管理机制
首先通过加强IT资产管理,识别资产的操作系统、应用、组件的类型、版本信息,当高危漏洞爆发时,根据漏洞影响的资产类型及版本等信息,快速定位漏洞影响范围,继而紧急开展漏洞处置工作。许多大型企业都建立了CMDB(配置管理系统)对IT资产信息进行管理,但是由于资产数据普遍依靠人工维护,数据信息与实际不一致、不准确、不完整的情况较为严重。单位引入了资产采集雷达,结合CMDB系统用于对比发现在线资产的动态变化,自动识别网络资产的类型和版本信息。由于目前资产采集雷达准确率普遍不高,为提高准确率,单位还进一步引入了资产审核流程,构建了新IT资产管理机制:当系统发现新增资产或已有资产发生变化时,自动发起变更确认流程,相关责任人完成资产的类型、版本等技术信息确认,并补充相关资产归属、资产用途等管理信息,通过技术与管理相结合,实现资产全生命周期动态管理,以适应快速定位漏洞影响的资产范围的需要,具体过程如下:
图1 漏洞快速治理流程图
3.2构建坚强的信息安全防御体系
加强安全检测。电力企业要从建网的实际情况出发,不断的提升网络边界的防护功能,切实减少由于边界扩张带来的风险点数量的增加,就必须要考虑建立新的安全体系。传统的基于防火墙、IPS和终端管控构建的面向边界的安全模型逐渐不再适用,可以考虑构建面向人和数据的安全模型,通过持续监控及分析数据资产、数据传输、数据使用以及人员行为,新产品、新技术的研究应用推广(可信计算、拟态安全防御、量子加密通信),加强安全监测,提升安全防护,从被动防御转为主动防御。漏洞检测、恶意代码检测、APT检测,尽早识别APT恶意行为并采取相应安全防范措施。加强对电力工控系统的安全防护。一方面,落实国家的等级保护要求,修复系统自身的缺陷及隐患。对其安全域进行科学合理的划分,安全等级不同的区域要开展与之相对应的信息网络业务,以确保网络安全隐患的避免和隔离;同时也要注意到,网络信息系统在应用的过程中,必须要严格遵守功能区与安全域相互匹配的原则。另一方面,建立电力工控系统的安全监测,从设备的运行状态、软硬件配置变更、设备资源占用情况、网络流量等进行监测,及时发现问题处置问题。
结束语
电力企业网络安全信息漏洞管理,要针对目前漏洞管理存在的检测周期过长、处置效果不好等缺陷,构建与电力企业发展漏洞管理需求匹配的IT资产管理机制,构建漏洞快速治理管控平台,及时获取漏洞情报信息,结合内外网资源快速定位漏洞相关的信息资产,精准评估漏洞危害等级,指导资产相关部门快速消除漏洞或隔离利用条件,以实现有效管控网络安全风险的目的。
参考文献
[1]廖谦.应急机制下电力信息安全存在的问题研究[J].通讯世界,2018(11):123-124.
[2]杨先杰,蔡翔,叶磊.电力无线虚拟专网信息安全防护技术探讨[J].通讯世界,2018(11):172-173.
[3]蔡翔,杨先杰,叶磊.电力企业内部局域网安全技术分享[J].通讯世界,2018(11):57-58.
[4]杨博,汪文丽.电力企业网络信息安全防护体系的构建[J].中小企业管理与科技(下旬刊),2018(11):134-135.
[5]张志,常永娟.电力企业信息安全管理策略研究[J].现代信息科技,2018,2(11):139-141.
论文作者:毛晨,王霞,徐超,张涛,师远渊
论文发表刊物:《基层建设》2019年第17期
论文发表时间:2019/9/12
标签:数据论文; 资产论文; 漏洞论文; 电力论文; 电力企业论文; 信息论文; 系统论文; 《基层建设》2019年第17期论文;