摘要:在日新月异的信息时代,信息与业务全面融合,信息安全与生产经营密切相关。在技术上防护物理、网络、主机系统、数据应用各层面安全,建设一套先进、实用、高效的信息安全保障体系,有助于生产专业化与管理现代化。
关键词:信息安全;防护体系;电力信息化
电力系统是我国计算机应用起步较早的行业,信息技术的高速发展和广泛应用,为公司门户网站、办公自动化、电网调度、生产运行、财务资金、营销管理等各方面提供了有力支撑,信息安全的重要性不言而喻。
一、信息安全定义
国际标准中对信息安全的定义是:信息本身的机密性(Confidentiality)、完整性(Integrity)和可用性(Availability)的保持,即防止未经授权使用信息、防止对信息的不当修改或破坏、确保及时可靠地使用信息。通俗的说,信息安全就是:确保信息系统持续、可靠、稳定运行,以及防止信息丢失、篡改和泄密。对于地市供电公司来说,信息安全的保障对象为:主营业务系统及数据安全,网络区域边界安全,网络、机房等基础设施安全,桌面终端使用安全。
二、信息安全防护体系的核心思想
电力企业信息安全防护体系的核心思想是“分级、分区、分域”。分级是将各系统分别确定安全保护级别实现等级化防护;分区是将信息系统划分为生产控制大区和管理信息大区两个相对独立区进行安全防护;分域是依据系统级别及业务系统类型划分不同的安全域,实现不同安全域的独立化、差异化防护。
三、信息安全防护系统建设方针
3.1整体规划:在全面调研的基础上,分析信息安全的风险和差距,制订安全目标、安全策略,形成安全整体架构。
3.2分步实施:制定信息安全防护系统建设计划,分阶段组织项目实施。
3.3分级分区分域:根据信息系统的重要程度,确定该系统的安全等级,省级公司的信息系统分为二级和三级系统;根据生产控制大区和管理信息大区,划分为控制区(安全I区)、非控制区(安全II区)、管理信息大区(III区);依据业务系统类型进行安全域划分,二级系统统一成域,三级系统独立成域。
3.4等级防护:按照国家和电力行业等级保护基本要求,进行安全防护措施设计,合理分配资源,做好重点保护和适度保护。
3.5多层防御:在分域防护的基础上,将各安全域的信息系统划分为边界、网络、主机、应用、数据层面进行安全防护设计,以实现纵深防御。
3.6持续改进:定期对信息系统进行安全检测,发现潜在的问题和系统可能的脆弱性并进行修正;检查防护系统的运行及安全审计日志,通过策略调整及时防患于未然;定期对信息系统进行安全风险评估,修补安全漏洞、改进安全防护体系。
四、信息安全技术防护体系建设
4.1 物理安全
信息机房是各类信息设备的存放地点,是公司信息化工作的核心枢纽。在制定《机房管理制度》、《运行值班制度》做好人员进出和设备监控管理基础上,常州公司全面开展了安全管理专项整治工作,对中心机房、沿线机房、52个供电所(点)等所有信息设备所在地的信息设备、空调、UPS及电缆走线等进行全面排查,收集照片千余张,形成了完备的现场资料。在完成对隐患细节的梳理分析后,明确分工落实责任,扎实开展隐患整改工作,保障设备物理安全。
4.2 网络安全
信息网络的安全与稳定是应用正常流转,数据顺畅交互的前提与基础。
期刊文章分类查询,尽在期刊图书馆
4.2.1 DHCP热备,提升基础服务可靠性
DHCP作为基础的网络服务支撑,关系到全网终端用户能否正常获取IP地址。在路由交换设备、线路都实现冗余的同时,单机在线运行的DHCP服务器就成了一个薄弱环节。
目前的DHCP服务器一般采用冷备方案,平时只有一台提供服务,只有在主用服务器宕机时才会启用备份服务器。这种方案的缺点是主用服务器故障时切换延迟大,此时需要将主用从网络上断开,将备用服务器的IP更改为主用的IP,而在发现问题执行切换操作之前,用户已经或多或少受到了影响。
4.2.2 双重准入,严守信息网络入口
第一重准入:采用基于国网桌面终端管理系统的802.1X网络准入认证,对入网用户进行严格的身份认证与准入控制。802.1x认证技术的特点是简洁高效:纯以太网技术内核,不需要进行协议间的多层封装,去除了不必要的开销和冗余,在二层网络上实现用户认证,对设备的整体性能要求不高。802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问局域网。在认证通过之前,802.1x只允许认证信息数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。客户端认证时需提供的密码等信息,由国网桌面终端管理系统事先统推到合法的内网终端。非法用户在进行认证时,由于提供不出正确的认证信息,因此被拒绝访问。
第二重准入:合法用户通过第一重准入认证后,还需在DHCP服务器上建立保留实现IP/MAC绑定。DHCP服务器按照保留为每个用户分配与MAC地址唯一对应的IP地址,地址池中的172网段的未分配地址全部手工排除在外,同时在DHCP上给各vlan增加一段私有地址,提供自动分配。未进行过IP/MAC绑定的用户,在认证通过后,会首先得到一个私有地址,这时用户只能访问市公司很有限的几个网页,门户等办公业务均无法开展,私有地址的主要目的是可以明确此新进用户机处于哪个vlan。在待入网设备履行入网审批登记流程后,网管人员会给设备分配和绑定一个172网段地址,设备方能正常联网。
4.3 系统安全
业务应用是公司信息化建设的核心内容,作为流转平台的信息系统必须保证稳定可靠。对于承载应用的服务器,常州公司将原单线联网方式改造为二套网络一主一备方式,并用技术手段实现发生网络故障时的自动实时切换,通过网络冗余极大提高了服务器的可靠性。
为应对数据篡改、应用数据丢失、业务中断等信息系统事件,有针对性地编写了《信息系统数据库管理标准化作业指导书》、《服务器备机及应用恢复作业指导书》,从日常管理、备份管理、应急恢复管理三方面规范了信息系统数据库和服务器应用的管理与操作,内容精细至命令级,具有较强的可操作性。
此外,模拟服务器故障导致应用系统无法使用场景开展信息系统应急演练,在最短时间内恢复应用和数据,降低事故损失,提高了应急恢复技能。
4.4 应用安全
每一台终端的规范应用都关乎公司整体信息安全。常州公司全面推广实施国家电网公司桌面终端管理系统,并启动用户权限、用户密码、补丁检测等各项安全策略对终端设备进行安全管控。每天检查、通报终端注册、防病毒安装、补丁安装、弱口令等使用规范情况,每日通报处理病毒发作次数前5位的终端设备。公司在所有内外网终端上统一推广保密自动检测系统,指导员工开展自查并进行了保密检查,严格确保“涉密信息不上网,上网信息不涉密”。
结束语
电力企业在全面落实国家信息安全等级保护制度的同时,结合电力企业信息化的特点,建立主动防御机制,形成安全防护动态的体系,安全防护建设不是一次性任务,而是一项长期不懈的工作。
参考文献:
[1]关良辉.电力企业局域网的信息安全[J].电力安全技术,2015.
[2]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全,2014.
[3]冯登国.网络信息密码学原理与实现[M].电子工业出版社,2016,6:123-124.
论文作者:唐佳佳
论文发表刊物:《电力设备》2018年第36期
论文发表时间:2019/6/11
标签:信息安全论文; 信息系统论文; 信息论文; 终端论文; 系统论文; 服务器论文; 防护论文; 《电力设备》2018年第36期论文;