摘要:随着电力信息化的快速发展,计算机网络已广泛应用于电力企业的各个方面。电力企业的信息安全问题威胁着电力系统的安全、稳定、经济和高质量运行,影响着“数字电力系统”的实现过程。电力企业信息安全是电力系统安全运行和向社会可靠供电的保证。它是涉及电网调度自动化、电网自动化、电力负荷控制、电力营销、信息通信系统等生产、运行和管理方面的复杂大型系统工程。结合电力行业的特点,分析电力企业信息安全管理中存在的问题,制定统一长远的网络安全规划,是当前电力企业信息化工作的重要内容之一。
关键词:电力企业信息安全现状;防范措施
1电力企业信息安全管理现状
目前电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,生产、传输、配供等关键环节已部分实施了信息化,企业信息化的深度已触及到用电营业厅和变电所。在信息网络上承载了财务、物资、用电、生产、劳资、安全监察、电网调度信息等子系统和业务综合信息查询、办公自动化、WEB、E―mail系统等应用。尤其在电网调度、厂站自动控制、管理信息系统、电力营销系统、电力负荷管理、人力资源以及教育培训等方面取得了较好的应用效果,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的专业技术队伍,有力的支持了电力企业的安全运营和健康发展。
2电力企业信息安全风险分析
随着通信技术和网络技术的发展,接人企业信息网络的电力控制及业务应用系统越来越多。特别是随着电力体制改革的推进和电力市场的建立,要求在调度中心、电厂、用户等之间进行的数据交换也越来越频繁。电力一次设备的改善使得其可控性能满足闭环的要求。电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网络的安全性、可靠性、实时性都提出了新的挑战。电力企业信息网络系统的安全主要包含四个层面,即物理安全、网络安全、信息安全、用户安全。
3电力企业信息安全威胁
外部安全威胁。网络安全威胁主要来自连接的外部网络。不管企业内部的组网方式如何,通过Internet网络对企业内部网络构成的安全威胁却总是存在。这些威胁主要包括冒充其他用户、数据包重发、拒绝服务(DoS)的攻击、远程暴力字典式破解、系统身份欺骗、通信窃听等,同时还存在物理和环境的威胁,包括断电、自然灾害、恶意破坏等。
内部安全威胁。网络安全的内部威胁,主要来自于企业内部的工作人员,其中最主要的形式是采用逻辑炸弹。其他的内部攻击形式还包括木马、非授权拷贝(盗用)机密数据、监听密码、病毒等。
4电力企业信息安全防范措施
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。
管理制度。信息系统最主要的安全还是在于系统管理。
期刊文章分类查询,尽在期刊图书馆在信息中心与各厂站都应配备专职的网络管理员,对内部网络进行有效的控制与管理。具体来说,网络管理员应负责操作系统与数据库的安全管理,应用软件的安全管理,密钥的安全管理,病毒的防治等等。在内部网络中,应绝对杜绝不设口令的账号存在,应注意保证每个用户的账号是唯一的,避免使用公用账号,对于过期的账号要及时封闭,对于长期不用的账号要定期检查,必要时封闭。平时应注意加强审计工作,每位用户的各项操作活动都应在日志中得到体现,及时进行跟踪检查。
虚拟专用网(VPN)技术。VPN技术是近几年比较热门的网络技术之一,它为网络的安全提供了一个比较好的解决方案,是一种以费用低廉的公网为基础的传输媒体,通过L2TP、IPSec等协议及密码技术的处理,向用户提供虚拟的专用网络服务技术。其采用的关键技术包括安全隧道技术、信息加密技术、用户认证技术和访问控制技术。
防火墙技术。防火墙为不同网络或网络安全域之间构建了一道安全屏障,它通过有选择地拒绝非法端口,允许合法的TCP/IP数据流通过,以保证内部网的数据和资源不会流向非法地点。通常使用包过滤、应用级网关、电路级网关和规则检查防火墙等安全控制手段实现其安全防护功能。
身份验证和授权机制。身份验证包括身份识别(Identifi-cation)和身份认证(Authentication)两个环节,是确认通信双方真实身份的关键。身份识别是指定用户向系统出示自己的身份证明过程。身份认证是系统查核用户的身份证明的过程。用户授权是确定一个用户是否有权对某一特定资源进行一定的操作(如共享、修改、签字等)。
数据的加密与传输安全。所谓加密是将一个信息明文经过加密钥匙及加密函数转换,变成无意义的密文,而接受方则将此密文通过一个解密函数、解密钥匙还原成明文。加密技术是网络安全技术的基石。
防范措施。根据电力企业信息系统的结构及各类业务的实际应用,我们初步考虑采用以下具体措施以达到企业信息网络及系统的安全:
・在信息网络中按照各种业务安全等级的不同划分VPN,充分做到信息传输的安全隔离。
・配备防火墙系统以实现公司与外部网络之间及不同安全等级业务之间的连接的访问控制。
・作为防火墙的补充,须在内部关键业务网段配备入侵检测系统,在各关键业务的边界布置IDS(入侵检测系统)探头以防备来自内部的攻击及外部通过防火墙的攻击。
・配备安全评估系统,定期对电力网络系统进行扫描,主动发现安全漏洞,及时修补。
・关闭不用的服务、给系统打补丁、重要主机单独设立网段、定期检查系统日志文件,在备份设备上及时备份、定期检查关键配置文件、重要用户的口令应该定期修改,不同主机使用不同的口令。
・配备灾难恢复系统,防止意外的发生。对一些重要的实时应用系统在具备条件的前提下进行异地的数据与系统备份,提供系统级容灾功能,保证在规模灾难情况下,保持系统业务的连续性。
・建立完善的网络及系统安全管理制度,保证不出现人为的安全隐患。
5结束语
随着通信与信息产业的飞速发展,网络与信息管理的各种业务成为可能,但与此同时,信息安全也面临着巨大的挑战。只有整理出详细的系统数据流,确定实际的网络连接状态和系统的逻辑,物理边界,扫描每个系统的安全漏洞,评估网络和系统的安全风险机制,及时调整结构、加固主机、清理边界、制定详细的安全保护策略等方面着手。最终形成的综合解决方案,使信息安全管理适应电力企业信息网络的要求。
论文作者:陈惠
论文发表刊物:《电力设备》2018年第31期
论文发表时间:2019/5/6
标签:系统论文; 电力企业论文; 电力论文; 网络论文; 网络安全论文; 信息安全论文; 用户论文; 《电力设备》2018年第31期论文;