摘要:对于电力企业而言,大数据背景既面临诸多挑战亦存有不少机遇。大数据为电力企业增添了不少难题,带来了不少隐患,但如若能及时开展全面、深入调研,并采取妥当对策予以巧妙应对,即可很好的将其所带来的各种冲击予以巧妙化解,将各类潜在问题、威胁予以彻底根除,为电力企业的长足稳定发展带来极大助力。
关键词:大数据背景;电力企业;安全防护
1大数据概述
大数据(Big Date)是指规模海量且结构复杂的数据集合,应用传统的数据处理模式无法进行数据的提取、存储、搜索、共享以及分析处理,需要通过新型的数据处理工具才能进一步发挥大数据的决策力。电力企业大数据贯穿于电力发电、输变电以及用电的各个环节,通过进一步的数据分析与处理,从而有效提高电力企业效能。
2大数据背景下电力企业所面临的多种潜在威胁
2.1电网物理设施方面
对于维持电力企业发电、输变电以及用电的关键物理设备,除了会受到人为干扰、外界破坏以及设备故障异常等威胁外,还会因信息物理系统(CPS)以及大数据技术的深度应用,而面临更多的信息安全问题。其中,数据采集与监控系统(SCADA)作为连接电力企业物理设备与网络空间的桥梁,已逐渐成为攻击者发动物理攻击的关键突破口。例如,2010年的“震网”病毒,就是一个专门对电力基础设施实施攻击的病毒。
2.2电网应用平台方面
随着电力企业信息化程度的逐渐深入,除传统的电力调度管理信息系统(DMIS)、办公自动化系统(OAS)等信息化平台外,为电力企业应用平台提供数据存储与计算服务的大数据应用平台,将会发展成为智能电网的统一数据支撑平台,其将对当前电力企业信息系统予以数据接入,并通过数据融合、分析处理、数据挖掘以及可视化等技术,进一步优化电力企业信息化应用。由于各个信息化应用平台的安全等级不同,其安全防护措施也各不相同,统一数据支撑平台在面临新型网络攻击时,各个应用平台的安全防护能力成为关键点。
2.3电网大数据方面
通过构建大数据中心应用平台,从而对企业数据予以集中汇总,实现数据收集、数据存储、数据分析以及处理等服务。基于数据安全管理,电网大数据平台在数据存储安全、用户隐私安全、数据传输安全以及数据共享安全等方面具有潜在的安全威胁,这会对电力企业的安全建设造成一定的影响,这些问题给电力企业大数据的安全建设提出了更高的要求。
3大数据背景下的电力企业安全防护
3.1物理安全
3.1.1管理层面的防护策略
根据电力企业信息系统安全防护的基本原则及要求,对物理设施进行合理的选择、建设与管理,并定期进行企业员工安全防护知识的教育培训,提升突发事件的应急响应与处理能力。
3.1.2技术层面的防护策略
电力企业信息系统应根据防护级别的要求进行虚拟安全域的划分,并采取防火墙技术、入侵检测技术、病毒防护技术以及相应的物理防护装置,如报警系统、监控设备(闭路电视)以及数据备份与恢复等装置,提高物理环境的安全防护能力。
3.1.3物理层面的防护策略
根据机房物理环境按照不同安全需求进行控制区与非控制区的划分,并设置不同的安全等级。对控制区应采取物理隔离防护并做好门禁系统的设置,加强物理机房的环境防护措施。
期刊文章分类查询,尽在期刊图书馆
3.2边界安全
基于电网数据网络分层分区运行的特点,应强化不同区域网络边界的安全防护,防止网络边界内部受到外部网络的非法攻击,同时也可有效避免不法分子从开放接口入侵内网。而借助安全隔离设备对电网生产控制大区以及管理信息大区予以有效隔离,能够有效提升安全区防护水平。通过边界安全防护能够事先预测攻击企图,并在发生安全攻击后通过入侵事件记录予以审计追踪,便于及时找到攻击源。(1)于生产控制大区网络边界与管理信息大区网络边界之间设置正反向隔离装置,并以能够达到物理隔离防护的相关要求为目的,实现生产、信息大区间的物理隔离。对于电力发电厂、变电站以及生产调度中心等重点防护对象,应于生产大区纵向连接广域网的位置处,通过专用纵向加密认证装置,实现网络访问控制及数据加密。生产大区内部通过防火墙以及相应具备访问控制功能的装置达到逻辑隔离的目的。(2)于管理信息大区内部,根据不同网络的安全等级及相关要求等,对核心业务网络边界与其他网络边界之间予以安全隔离,从而限制内外网的信息资源访问。此处,较为常见的安全隔离技术为物理隔离、协议隔离以及防火墙隔离三种。
3.3网络安全
网络安全防护是有效避免攻击者借助网络对电力网络设备、业务系统发动攻击与窃取信息的基础防护措施,并且能够通过入侵检测、日志审计以及安全状态监测与感知,对安全攻击予以提前预警,在发生安全攻击后予以追踪定位,从而便于及时制定安全防护策略,避免再次发生安全攻击。当前,电力企业网络安全防护坚持“安全分区、网络专用、横向隔离、纵向认证”的防护原则。(1)安全分区是依据电力系统安全防护分区的原则,将电力企业通信网络划分为4个安全分区,分别为安全区Ⅰ、安全区Ⅱ、安全区Ⅲ以及安全区Ⅳ。依循各个安全分区的不同防护要求,制定相应的安全防护措施,安全防护等级以安全区Ⅰ最高并依次低之。(2)网络专用是指对于较为重要的电力数据信息通过使用物理专网或虚拟专网(VPN)确保电网数据的传输安全,实现与其它数据网的物理层隔离。VPN通过访问控制、用户认证等技术的应用,构建数据加密的专网通道予以数据传输,有效避免了敏感信息的泄露风险。(3)横向隔离是电力系统安全防护的横向防线,通过单(双)向隔离装置、访问控制、防火墙、入侵检测等设备的应用,实现对各安全分区的逻辑隔离。(4)纵向认证是指通过数字证书系统,对电力生产控制大区的关键业务系统实施认证加密,有效提高网络的安全性。
3.4主机安全
主机系统的安全防护是通过信息保障技术,保证数据在服务器进出或存贮时的完整性、可靠性,通过访问控制技术、身份认证加密技术等对未经授权的访问行为予以阻止,并通过入侵检测、防火墙、漏洞扫描以及安全加固技术等大大提升主机系统的可靠性;同时,通过日志审计及时发现潜在的入侵威胁,并通过安全事件日志分析对攻击源予以追踪定位,确定主机所遭受的损失,并做好相应的应急处理。
3.5终端安全
电力企业终端类型复杂化、多样化,使得电力企业面临着更多的非法破坏以及信息泄露等安全威胁。因此,对于不同类型的终端,应根据其类别、通信方式以及应用环境的差异选择合理的安全防护策略,具体如下:(1)对配电子站终端予以相应安全模块的配置,并通过数据原发鉴别以及数据安全性验证对来自电网主站系统的控制命令与参数进行识别,防止不法分子利用病毒冒充主站攻击子站终端,对电气设备进行蓄意破坏或恶意操控。(2)电力企业信息系统办公终端应依据国家与行业相关要求,以“分类分级”的原则予以管理,并依据相应的防护等级选择适宜的安全防护策略。例如,将具有潜在安全威胁服务的FTP等信息系统内网终端予以关闭,安设统一的杀毒软件,并对病毒库以及漏洞补丁予以定时定期更新,避免木马以及病毒等的恶意入侵。(3)移动终端必须结合企业办公终端的相关要求,严格遵循内外网专机专用的原则,而为防止移动终端接入内网时遭受安全威胁,可采取软件+硬件的加密形式予以接入。
参考文献
[1]佚名. 电力大数据应用建设中的重要数据保护[C]// 2018智能电网信息化建设研讨会论文集. 2018.
[2]陈洁莹. 大数据背景下的计算机信息安全及防护对策[J]. 数字通信世界, 2017(11):160+177.
[3]佚名. 大数据背景下企业网络信息安全技术体系研究[J]. 网络空间安全, 2018, 9(06):70-73.
[4]佚名. 大数据技术背景下企业敏感数据安全保障分析[J]. 通讯世界, 2019, 26(4):115-116.
[5]佚名. 基于大数据的电网企业风险预警防控体系研究[D]. 华北电力大学, 2018.
论文作者:胡非
论文发表刊物:《基层建设》2019年第26期
论文发表时间:2019/12/18
标签:数据论文; 电力企业论文; 安全防护论文; 物理论文; 防护论文; 网络论文; 终端论文; 《基层建设》2019年第26期论文;