加载中...
今天是:
设为首页 | 加入收藏 | 全站地图 | RSS订阅
您现在的位置:中国电力资料网 >> 电力创一流 >> 办公室创一流资料 >> 浏览文章
安全 电力 农电 用电 开展 2009 农安 全员

电力信息安全分析与防范措施

作者:刘一诺     文章来源:电力资料网    更新时间:2011年11月06日     
内容预览

各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。但是,随着电力信息网的互联和完全溶入Internet,电力信息网络面临日益突出的信息系统安全问题。在电力企业的综合信息管理系统中,必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。研究电力系统信息网络安全问题、开发相应的应用系统、设计系统的安全防护方案,制订切实可行的在电力信息网遭受外部攻击时的防范措施与系统灾难时恢复措施等信息安全应急预案是当前信息化工作的重要内容。电力系统信息安全已经成为电力企业生产、经营和管理的重要组成部分。特别是在电力系统体制改革使得厂网分开后,发电厂信息网和供电信息网在网络上紧密联系,在管理上却相互独立,又给电力信息网的安全提出新的课题。
一.电力信息化应用和发展
1.电力信息化应用
目前电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,在电力生产、电力调度、输变电、配网自动化等关键环节已大部分实施了信息化。在网络硬件方面,基本上已经实现千兆骨干网,百兆交换到桌面,三层交换,VLAN, MPLS等技术也在普及使用。在软件方面,应用主要包括电网(国调、网、省、地市以及县级)调度自动化系统、电力市场技术支持系统、用电营销信息系统、配网自动化以及企业ERP等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,尤其在电网调度自动化、厂站自动控制、管理信息系统、电力市场技术支持系统、电力营销系统、办公自动化系统、财务管理信息系统、客户服务支持系统、电力负荷管理、计算机辅助设计、科学计算以及教育培训等方面取得了较好的应用效果,在安全生产、节能降耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有力促进了电力工业的发展。
2.电力信息网络建设
  电力通信网以光纤通信为主、微波通信为辅组成电力通信传输干线网络,为高速数据通信提供了网络平台。信息网络分为两大部分,一是电力调度信息网,主要由国家电力调度数据一级网,大区电网和省级网的二级调度信息网,区、市建成三级调度信息网以及县级供电公司的电力调度信息四级网,覆盖各级调度中心和发电厂、变电站,主要传输电力调度实时信息,国调及各级调度均配有调度自动化系统,各级调度、厂、站实时信息按调度管辖权限划分送至有关调度。二是电力管理信息网,主要由国家电网公司一级电力信息网、大区和省级的二级电力信息网、 (区、市)建成三级电力信息网以及县级供电公司的四级电力信息网。电力信息网是以电力信息主干网络为中心,覆盖各发、供电、施工、修造、学校、医院等单位的计算机信息网络系统。包括:电科院、电力医院,供电公司、发电厂、水电站等和其它单位。通过各地的ISP接入互联网,同时还与地方政府网络联网,与银行联网实现实时代收费等。
  二.电力信息网安全现状分析
  电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息化的发展使电力生产、经营很多环节完全依赖电力信息网的正常运行与否,如电网调度自动化系统对无人值班变电所的运行影响,用电营销信息系统对电费回收的影响等。结合电力生产特点,从电力信息系统和电力运行实时控制系统两个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的观念,更没有对网络安全做统一、长远的规划,网络中有许多的安全隐患。
  三.电力信息网安全风险分析
1.计算机及信息网络安全意识亟待提高。由于近十几年计算机信息技术高速发展,计算机信息安全策略和技术也取得了非常大的进展。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
2.缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
3.急需建立同电力行业特点相适应的计算机信息安全体系。近几年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、和安全措施投入较少。所以,为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
4.计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。
5.数据库数据和文件的明文存储:电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。这些以明文形式存储的信息存在泄漏的可能,因为拿到存储介质的人可以读出这些信息;黑客可以绕过操作系统、数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。
6.信息的明文传输:现代应用系统一般采用C/S(客户/服务器)或B/S(浏览器/服务器)结构,都在网络上运行,所处理的信息也必须在网络主机间频繁传输。在电力行业的计算机网络系统中,信息传输基本上是明文方式。偶有采用SSL(安全套接字层)等加密传输的,但由于外国安全系统出口的限制,所能够用到的SSL是低安全级别的。这些明文或只受到低安全保护的信息在网络上传输,不具有信息安全所要求的保密、完整和发送方的不可抵赖性要求。
7.弱身份认证:电力行业应用系统基本上基于商用软硬件系统设计和开发,用户身份认证基本上采用基于口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高,信息敏感性不断增强的今天不能再用了。
8.没有完善的数据备份措施:很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备,没有数据备份策略,没有数据备份的管理制度,没有对数据备份的介质妥善保管。
四.电力信息网安全防护方案
1.加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性:
⑴.主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。
⑵.负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
⑶.信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并容纳到整个企业文化体系中才是最根本的解决办法。
2.电力信息网安全防护框架:
根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统(DCS,BMS,DEH,CCS),水电厂计算机监控系统,变电所及集控站综合自动化系统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构,从电力信息网安全需求上进行分析,提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。
第一是分层管理。根据电力信息网共分为四级网的方式,每一级为一层,层间使用网络防火墙进行网络隔离。
第二是分区管理。根据电力企业信息安全的特点,分析各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力企业信息系统分为四个安全区:实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
3.电力信息网安全防护技术措施
⑴ 网络防火墙:防火墙是企业局域网到外网的唯一出口,这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器,即能够保证提供正常的服务,又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可外的任何服务,也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中,必须禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危险服务,也必须禁止Telnet,SNMP,Terminal Server等远程管理服务。
⑵.物理隔离装置:主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
⑶. 入侵检测系统:入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击,中心数据库应放置在DMZ区,通过在网络中不同的位置放置比如内网、DMZ区网络引擎,可与中心数据库进行通讯,获得安全策略,存储警报信息,并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎,对入侵检测系统进行监控和管理。
  ⑷. 网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
  ⑸. 网络防病毒:为保护整个电力信息网络免受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,以服务器作为网络的核心,通过派发的形式对整个网络部署查、杀毒,服务器通过Internet利用LiveUpdate(在线升级)功能,从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式,确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意,选择的网络防病毒软件应能够适应各种系统平台,各种数据库平台,各种应用软件。例如能对电力信息网办公自动化系统使用的Lotus Domino/NOTE平台进行查、杀毒。
⑹. 数据加密及传输安全: 对与文件安全,通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。对通信安全,采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高时的信息(如电子公文,MAIL等等)在传输过程中的保密性和安全性。
⑺.数据备份:对于企业来说,最珍贵的不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。
⑻.可靠安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外,还可以使用象USB KEY等硬件的密码认证,更可以采用二者相结合的方式。
⑼.数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
⑴人员管理,要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。
⑵密码管理,对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
⑶技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
⑷数据管理,数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
⑸加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
⑹注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出单位修理的设备上存储的信息的安全。
⑺客户端的防病毒软件不得随意卸载,要及时更新病毒代码库。
五.电力信息网络安全工作应注意的问题
1.理顺技术与管理的关系。解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。不然投资再大,技术水平再高,都无法得到一个真正安全的网络和信息系统。
2.解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
3.要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,这可以参照国际上通行的一些标准来实现,如:BS7799、ISO17799、ISO15408、RFC1296、SSE-CMM、ISO11131、ISO13569等。
4.网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合,一个较好的安全措施往往是多种方法适当综合的应用结果。

 

发表评论】【告诉好友】【打印此文】【收藏此文】【关闭窗口
0% (0)
0% (10)
上一篇文章:电力信息安全保障措施
下一篇文章:没有了


网友评论

顶客DIGG排行
最新帖子
最新电力书籍
赞助商链接
建议使用1024X768分辨率浏览本站,本站网络实名:中国电力资料网
客服QQ:56143402 | 网站500人超级QQ群:52321122 |变电群号:14754363|投稿信箱:56143402@QQ.com| 24小时联系电话:189-920-82051
Copyright © 2002-2008 WWW.52data.CN All Rights Reserved.陕ICP备05002507号