摘要:电力公司作为国家战略性企业,紧跟时代发展步伐,充分利用大云物移智和信息化的优势,国家调度、地方调度及员工的正常工作都需要网络,而当前网络面临着用户帐号、密码被大量窃取/误用、私有或机密资料被泄露或被篡改、个人被假冒身份而造成损害、钓鱼网站层出不穷等问题,因此亟待总结归纳网络安全防护措施。本课题根据笔者所从事的网络安全工作实际出发,提出网络安全防护合理化建议。
关键词:智能电网;信息安全;防护机制;策略;分区分域
引言
电网企业信息安全需解决物理层、通信层、数据层以及系统层的安全问题,以确保电网企业信息维护中的保密性、可控性与完整性。目前网络攻击的方式从应用层渗透到离线攻击,手段多种多样,传统的单点防御安全设备面对层次攻击已难以胜任。目前国内外学者在电力信息系统的安全防护问题上已取得一定的研究成果。同时,电力企业的管理实践也证明,信息安全管理与技术需要齐头并进。
1智能电网信息安全需求分析
信息安全包括物理安全、网络安全、数据安全及备份恢复等方面。在智能电网的实际运行过程中,随着业务拓展等原因而不断地添加新的信息系统,使其规模逐日增加、业务依赖性越来越强。在这样的业务应用环境下智能电网系统会越来越复杂,其中各区域的运行状况都影响着整个智能电网的安全稳定。另一方面,随着智能电网的逐渐普及,大量的智能终端设备接入网络,而其中的部分设备由于特殊条件限制,只能以公共网络进行接入,从而给智能电网的安全管理带来了风险,各种智能设备彼此间的通信安全问题也日益凸显。智能电网信息安全需求主要包括以下几点:
第一,控制安全的需求。智能电网的控制安全需求主要是指智能电网的监控系统与调度数据网络系统能够有效防御计算机病毒程序或网络黑客从智能电网系统外部进行的恶意攻击,从而避免因此引发电力系统事故,使电力系统能够安全运行。
第二,接入安全的需求。该需求主要是指对非法用户通过非法手段访问智能电网系统的问题能够有效进行相应的安全防范,从而避免智能电网运行、调度等机密信息被非法盗取,保障智能电网系统业务以及数据的完整性与连续性;
第三,应用安全的需求。该需求包括两个方面,一方面是指提高智能电网系统中各业务应用的可靠性,降低故障发生的几率,另一方面是指智能电网系统发生故障后能够及时恢复。从这两方面来保障智能电网系统能够持续稳定运行,以此满足电力生产、控制以及业务等方面的需求。
2电力信息安全防护技术体系设计
2.1网络安全防护
网络安全防护的目标是防范恶意人员通过网络对网络设备和业务系统进行攻击和信息窃取以及对信息内外网、终端和防护设备等安全状态的感知和监测,实现安全事件的提前预警;在安全事件发生后可以通过集中的事件审计系统及入侵检测系统进行事件追踪、事件源定位,及时制定相应的安全策略防止事件再次发生;并能实现事后审计,对恶意行为和操作的追查稽核、探测入侵、重建事件和系统条件,生成问题报告。主要技术措施有:安全分区,网络专用,横向隔离,纵向认证;双网双机、分区分域;网络访问控制、入侵检测、安全准入、加密等措施;网络链路冗余、带宽冗余;各业务VPN相互独立;互联网出口统一;全网安全监测等。
2.2数据安全防护
对数据的安全防护分为数据的灾难恢复、域内数据接口安全防护和域间数据接口安全防护,用以保障系统运行能快速恢复正常,并最大限度地保障企业数据的完整性和安全性。
期刊文章分类查询,尽在期刊图书馆域内数据接口是指数据交换发生在同一个安全域的内部,由于同一个安全域的不同应用系统之间需要通过网络共享数据,而设置的数据接口;域间数据接口是指发生在不同的安全域间,由于跨安全域的不同应用系统间需要交换数据而设置的数据接口。采取的主要技术措施有:重要数据本地/异地备份、重要数据存储加密、建设非结构化数据管理平台和电子文件管理系统等。
2.3接入安全策略设计
接入安全策略设计的关键在于如何有效地对非法用户入侵系统的问题进行防范,从而保护智能电网系统中的运行数据等重要保密信息不被非法窃取,维护智能电网系统的数据完整性。从这一目标出发,接入安全策略必须能够基于安全控制防护的基础,通过身份验证以及数据加密等安全防护技术来有效地控制用户对智能电网系统的访问,从而保障智能电网系统的数据完整性。在接入安全策略中,用户身份验证是关键环节。对智能电网系统的监控主要由控制区负责,在前文中提出了以分区隔离策略对电网系统的安全风险进行防范,然而单独依赖于这种策略显然无法避免人为因素造成的系统安全风险,因此需要添加对用户的身份识别验证技术,以此确保用户访问系统方面的安全。此外,为了进一步保障智能电网系统的安全,还应当结合使用数据加密技术。具体来说,数据加密技术的应用主要有以下几个方式:第一,通过应用开发控件实现跨安全业务数据传输的加密;第二,采用修改配置的方法对具备加密功能的程序进行加密;第三,在无法采取前两个加密方式的情况下,可通过第三方等手段进行数据加密封装。终端安全防护目标则是确保信息内外网办公计算机终端以及接入信息内、外网的各种业务终端的安全。目前重点终端类型包括:内、外网办公计算机终端;移动作业终端;信息采集类终端。对于各种终端,需根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施,如安装桌面终端安全管理软件、恶意代码检测防御软件;绑定IP/MAC并进行访问控制、入侵检测和病毒防护等。
2.4应用边界防护
应用边界安全防护的目标是使边界的内部不受来自外部的攻击,同时也用于防止内部人员向外开放接口、通道;同时在数据交换时需考虑合法用户请求和业务范围,杜绝自动触发式的强行写数据;在发生安全事件前期可通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可提供入侵事件记录以进行审计追踪。
另外,按照国家信息安全等级保护的要求,根据确定的等级,部署身份鉴别及访问控制、数据加密、应用安全加固、应用安全审计、剩余信息保护、抗抵赖、资源控制、等应用层安全防护措施。主要技术措施包括:应用安全需求分析和设计;代码安全检测、软件安全测试、上线安全测评;CA、数字证书、门户目录、权限管理平台等措施;风险评估和安全加固等.
3信息安全防护体系实践与工程应用
本文提出的安全防护体系在电力业务信息安全管控一体化平台中得到了应用。国网电力公司自全面贯彻实施信息化工程以来,其网络技术与安全防护意识在电力系统中的应用越来越深入。公司决策层至今,始终将信息化管理作为电力系统运维与信息安全的首要任务,并加以在所属供电局、送配电及运维部门进行推广与实施,突出了网络与应用“两票”管理模式,并将信息安全、个人职责、运维防护等纳入安全生产环节,取得了良好的成果。
结语
通过上述方案,实现了对整体电网信息安全的方案,解决了其中的安全问题。而通过上述的总结看出,要加强电网的安全,需要从控制安全、应用安全和接入安全的角度进行控制,并在该策略指导下,以某实际的智能网络进行设计,体现出该方法的可行性和实用性。
参考文献:
[1]陈树勇,宋书芳,李兰欣.智能电网技术综述[J].电网技术,2009,33(8):1-7.
[2]胡炎,董名垂.用SSL协议加强电力系统网络安全[J].电力系统自动化,2002,26(15):70-73.
[3]王宁波,王先培.容侵技术在电力系统数据网络安全中的应用[J].电力自动化设备,2004,24(10):35-38.
论文作者:王建军,贺岳山,闫祖凤,胥晓龙,蒲文慧,潘东
论文发表刊物:《河南电力》2018年13期
论文发表时间:2018/12/27
标签:电网论文; 智能论文; 数据论文; 系统论文; 安全防护论文; 终端论文; 信息安全论文; 《河南电力》2018年13期论文;