摘要:在通信和信息技术的推动下,电力信息系统发展迅速,已建成生产、管理、营销等不同类型的应用系统,这些系统为传统电力系统的运行管理带来方便的同时,不可避免地引入了信息安全问题。国家电网公司强调在电网信息化建设过程中,要始终把自主、可控放在重要位置,保障信息安全,下文就对此加以简要的论述。
关键词:电力系统;网络终端;安全管理
一、电力系统网络终端安全管理需求分析
1、电力系统信息安全防护体系。电力二次系统是指各级电力监控系统和调度数据网络以及各级管理信息系统和电力数据通信网络构成的系统。根据各业务系统重要性的差别及不同的安全防护需求,电力二次系统安全防护总体框架将电力信息系统划分为:实时控制区、非控制生产区、生产管理区和管理信息区。
2、电力信息内网安全需求。信息安全包括机密性、可用性、完整性、不可抵赖性4个基本要求,电力信息内网安全防护需要重点考虑以下方面。
2.1保证数据的完整性。在电力信息网络中,如果数据不能够保证完整,会对系统运行产生重大影响。如电网中的电源节点出力大小调节和负荷节点的投入、切除都是通过信息网操作来完成。
2.2保证终端主机访问的安全性。即对终端主机的访问设置一定的权限,终端主机是连接涉密内网的重要通道,不能使非法实体通过终端主机访问内部资源或相关数据信息。终端主机内资源如电力交易信息或安全生产采购合同遭遇非法实体窃取,可能造成严重危害。
2.3保证终端主机所在网络边界的有效检控。网络边界安全防护主要是对流经该边界的数据进行检测和控制,检测机制主要有入侵检测系统、对进出边界信息内容进行过滤等,控制机制主要包括入侵防护、虚拟专用网、网络访问控制以及用户访问认证/权限控制等。这些检测和控制机制联合起来给内网提供一个良好的防护系统,目的是防范非法实体跨越边界进行攻击,主要是使边界内部网络避免接收来自边界外部的攻击。在终端主机的网络访问控制方面,需要考虑对内网终端主机的违规外联控制和对外部主机的非法接入控制。
2.4需要对外设访问进行控制。主要是针对可移动存储设备的控制研究,不能简单的采用禁用所有外设的方法,要对不同的主机分别配置不同的读取权限,或者将可移动设备进行分类、合法的移动设备允许接入等。
2.5能够提供安全审计功能。如在电力营销系统中,需要对终端主机登录营销系统的行为及相关操作进行记录,为安全事件发生后的及时排查、补救及取证提供依据。
二、电力系统内部网络终端存在的安全问题
1、人为因素造成的问题。在计算机网络应用早期,人为非恶意失误是造成为网络安全事件的主要威胁。随着计算机网络技术的发展,此因素的威胁性不断降低。人为恶意攻击成为计算机网络安全的主要威胁,包括对手攻击与计算机犯罪。恶意攻击可以分为被动攻击与主动攻击。被动攻击是在网络正常运行状态下,窃取与破译机密信息。主动攻击多是有选择性地破坏数据信息,使得数据失效或者不完整。
2、网络软件漏洞。网络软件漏洞与缺陷会给黑客攻击创造机会,黑客攻入内容,主要是在安全措施不完善的环境下,以及软件防护失效状态下。若获取软件补丁程序不及时祸或者漏洞未修复,极易受到黑客攻击。除此之外,使用盗版软件,使得网络系统在病毒环境下运行,极易引发各类安全问题,造成严重损失。
期刊文章分类查询,尽在期刊图书馆
三、电力系统内部网络终端安全管理
1、网终端主机安全管理总体方案。根据电力信息内网的安全需求,设计内网终端主机安全管理系统,系统由内网安管服务器、外网报警服务器和客户端程序3部分组成,重点包括3个功能模块:基于USBKey的Windows系统登录认证模块、涉密主机违规外联监控模块以及客户端程序保护模块。其中登录认证模块主要负责用户登录权限的控制,防止非法用户登录内网主机,窃取相关机密信息;涉密主机违规外联监控模块主要负责查找并报警试图或者已经成功外联的主机行为,及时切断外联行为,并将外联主机标示信息如计算机名、IP以及MAC地址存档方便审计;程序保护模块主要对上述2个模块进行安全加固,
2、客户端。内网主机客户端程序主要功能是接收内网主机监控服务下发的安全策略,检测主机外联行为(双网卡、拨号、无线以及其他外设等上网方式),当发现外联行为时,及时上报内网服务器并产生安全事件日志,并切断外联行为。具体外联监测是通过客户端发送TCP探测包给外网报警服务器和查看路由表技术相结合的方法:当主机连接内网网线被人为拔掉时,通过客户端发送TCP探测包给外网服务器来进行探测,若外网服务器收到数据包,则说明已经产生外联行为;通过查看Windows系统路由表可以检查是否通过安装双网卡、拨号、无线等方式进行外联上网,一旦通过这些方式进行上网,系统路由表项就会发生变化,通过查看该路由表项和系统默认路由表项进行比对来判断是否外联。同时该客户端具有产生安全事件日志功能,在主机发生外联事件时,及时上报内网服务器,同时发送一个报警指令给外网服务器。
3、加强计算机设备管理。针对计算机网络安全保密管理工作,电力企业方面需要加强计算机设备管理,严格落实接入设备申请登记制度,以确保电力数据的安全性。电力企业各部门接入网络的有线设备,需要进行认证审批,重新分配IP地址,对于接入电力企业网络设备的IP地址与MAC地址,需要做好物理绑定。构建设备台账,将设备安全管理工作落实到具体人员头上,推行专机专用。同时要严格部署专业管控软件,来规范计算机设备的使用。利用上网行为管理系统,进行互联网终端管理,屏蔽各类软件,净化网络运行环境,提升电力企业人员办公效能。利用桌面终端控制软件,进行内网终端动态化控制,以此杜绝终端设备违规操作。除此之外,配置保密移动存储介质。成立数据科,来管理存储介质,相关人员在使用时,需要做好登记。重要数据要定期做好备份管理,做好加密移动存储介质认证,限制介质使用。
4、加强保密监管力度。电力企业若想全面提升计算机网络安全保密管理效率,需要加强保密监管,做好保密检查工作,提升保密工作管理水平。湖南某供电公司组织检查人员,进行计算机保密专项检查,按照检查表内容,按条进行检查工作,采取抽查与自查的方式,明确计算机安全状态。同时采取多项措施,提升信息保密工作水平,组织办公人员学习网络安全知识,并且签订安全使用责任书,以落实网络安全责任,全面提升电力人员的网络安全风险意识。同时加强物理隔离管理,推行专网专用,禁止使用交叉扫描机与其它外设,严格落实计算机网络安全保护制度,加强涉密载体的保密管理力度,落实谁使用、谁保管、谁负责制度。
5、加强设备报修管理。通过严格把控设备流程报修,避免发生窃密与泄密事件。通过明确计算机设备维修与销毁等流程,完善设备报修管理机制,禁止个人私自将计算机设备带维修。在保密设备区域,设置提示标语,严禁无关人员进入。除此之外,定期开展网络安全教育,以营造安全氛围,使得电力人员树立网络安全保密意识,全面提升保密管理水平,以推动电力公司计算机网络保密工作的发展。
结束语
[1]周凯.电力信息管理系统中统一身份认证技术研究及应用[D].上海:上海交通大学,2016.
[2]余为军.电力数字证书服务系统的设计及应用[J].电力系统自动化,2016(20):164-165.
[3]王乐.内网安全管理系统中主机安全研究[D]:北京:北京邮电大学,2015.
[4]杨鑫.基于Windows环境下的进程保护技术的研究与实现[J].计算机应用与软件,2017(13):318-321.
论文作者:龙章勇
论文发表刊物:《电力设备》2017年第30期
论文发表时间:2018/3/12
标签:终端论文; 主机论文; 外联论文; 内网论文; 电力论文; 系统论文; 网络论文; 《电力设备》2017年第30期论文;