電網的網絡安全范文

時間:2023-12-25 17:44:26

導語:如何才能寫好一篇電網的網絡安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

電網的網絡安全

篇1

關鍵詞:電網;調度自動化系統(tǒng);網絡安全;解決方案

一.引言

隨著電力行業(yè)信息化技術的深入發(fā)展,計算機網絡已成為電力系統(tǒng)正常、高效運作必不可少的基礎設施。而無人值班變電站的逐步推行,又使電網調度自動化系統(tǒng)成為電網調度及正常運行必不可少的工具。目前,在電力企業(yè)綜合信息網的建設中,從實時、準確控制業(yè)務及管理信息業(yè)務出發(fā),需要將多個系統(tǒng)緊密地連接起來,以實現各區(qū)域、各系統(tǒng)間的數據交換和軟件共享。電網調度自動化系統(tǒng)不再是孤立的,它與外界的連接越來越緊密,越來越多樣化。電網調度自動化系統(tǒng)實時數據網絡的安全將面臨新的挑戰(zhàn),并且直接影響到電網的安全、穩(wěn)定、經濟、優(yōu)質運行。在這種情況下,如何根據調度自動化系統(tǒng)中各種應用的不同特點,提出相應的安全解決措施,優(yōu)化電力調度數據網,建立調度自動化系統(tǒng)的安全防護以及應急恢復體系都具有十分重要的意義。

二.現階段電網調度自動化系統(tǒng)在整個電力網絡中的特點

根據業(yè)務類型、實時等級、安全等級等因素,電力系統(tǒng)的網絡應用可分為生產控制大區(qū)和管理信息大區(qū)兩大類,不同的應用系統(tǒng)對安全的要求不同。調度自動化系統(tǒng)是基于TCP/IP的數據業(yè)務,業(yè)務實時性較強,其中遙控、遙調更與電網設備安全直接相關,可靠性要求較高。因此調度自動化系統(tǒng)屬于生產控制大區(qū),承載著對電網中各設備數據的實時監(jiān)控功能,它的安全等級是最高的,如圖1所示。該系統(tǒng)一旦遭到破壞,將直接影響到電網設備的安全、穩(wěn)定運行,電網調度人員也無從了解電網設備的實際運行情況,從而無法實施電網的經濟、優(yōu)質調度。而管理信息類業(yè)務突發(fā)性很強,速率要求較高,實時性不強,覆蓋除生產控制類以外的所有業(yè)務數據,其網絡布局集中于行政辦公中心等等。

三.調度自動化系統(tǒng)網絡安全防護問題的提出

調度自動化系統(tǒng)信息安全問題主要分為內部管理、技術層問題和來自外部的威脅。具體而言,存在的安全威脅主要來自以下幾個方面:

內部管理、技術層問題:

維護人員的安全意識不高。目前,調度自動化維護人員對整個調度數據網絡安全重視程度不高,主要體現在系統(tǒng)及軟件的密碼設置:如密碼設置位數不夠,系統(tǒng)軟件對用戶的權限設置不合理,導致人員之間互相知道各自的操作密碼,甚至是系統(tǒng)管理員密碼;維護人員對系統(tǒng)和數據庫的漏洞不清楚,且沒有開展相應的修補措施以及安全審計工作等等。

運行人員的誤操作、對調度自動化系統(tǒng)的網絡安全意識不強,如在系統(tǒng)上使用與工作無關、而又可能被病毒光顧過的軟盤、移動硬盤、光盤等等。

操作系統(tǒng)及數據庫本身的安全漏洞。現階段調度自動化系統(tǒng)使用的操作系統(tǒng)普遍采用Windows、UNIX、LINUX系統(tǒng),數據庫普遍采用SQL Server、Access 、Orecle數據庫程序,而以上這些軟件均存在網絡安全漏洞等問題,并且隨著新系統(tǒng)的研發(fā),軟件廠家不再出臺對舊系統(tǒng)相關軟件的安全補丁等等,這些問題都對調度數據網絡的安全產生一定的影響。

網絡協議本身缺乏安全性,現階段絕大多數網絡運行主要用TCP/IP、NetBEUI等網絡協議,這些網絡協議并非專為安全通訊而設計,故利用這些網絡進行服務本身就可能存在多方面的安全威脅。

企業(yè)缺乏統(tǒng)一的安全管理規(guī)范,目前,還沒有一套統(tǒng)一的、完善的能夠指導整個電力系統(tǒng)計算機網絡的安全運行管理規(guī)范。且計算機網絡安全保密工作流于形式,缺乏實際監(jiān)管力度。

外部威脅主要來自黑客攻擊、計算機病毒和各種網絡攻擊等方面:

黑客侵襲,即黑客非法進入網絡非法使用網絡資源。列如,通過網絡監(jiān)聽獲取用戶的賬號和密碼;非法獲取網上傳輸的數據,通過隱蔽通道進行非法活動;采用匿名用戶訪問進行攻擊;突破防火墻等。

計算機病毒的侵襲。當前,活性病毒多達上上萬種,計算機病毒侵入網絡,對調度數據網絡資源進行破壞,使網絡不能正常工作,甚至造成整個網絡的癱瘓,嚴重時還將影響到電力設備的安全運行。

網絡攻擊,主要方式有:木馬威脅,它隱藏在文件中,竊取計算機系統(tǒng)的重要信息或破壞系統(tǒng)各種功能,它已成為網絡信息安全的最大危害。IP欺騙,它指網絡外部的攻擊者假冒受信主機或是通過使用你的網絡IP地址范圍內的IP,或是通過使用你信任并可提供特殊資源位置訪問的外部IP地址。例如攻擊者可以假扮內部網絡的一個用戶對變電站設備進行控制,或任意刪除修改數據庫內容,造成調度監(jiān)控人員誤判斷而影響電力設備的正常運行。拒絕服務,它的表現形式是用戶在很短的時間內收到大量無用的電子郵件,從而影響正常業(yè)務的運行。嚴重時會使系統(tǒng)關機,網絡癱瘓。

四.調度自動化系統(tǒng)安全防護方案

(1)在管理制度方面,要做到:① 對全網實施監(jiān)管,所有與調度數據網連接的節(jié)點都必須在有效的管理范圍內。② 加強人員管理,建立一支高素質的運維管理隊伍,防止來自內部的攻擊、越權、誤用及泄密。③加強運行管理,建立健全調度自動化系統(tǒng)各種運行管理及安全規(guī)章制度,建立電力二次系統(tǒng)安全防護應急預案,將網絡及系統(tǒng)安全作為日常性的工作來抓。④ 建立電力二次系統(tǒng)第三方安全評估機制,跟蹤網絡安全漏洞,及時做好修補工作。

(2)在技術措施方面,要做到:① 在網絡傳輸上,必須堅持調度自動化系統(tǒng)與企業(yè)局域網之間的安全物理隔離,信息只能采用單比特單向傳輸方式;調度自動化系統(tǒng)網頁與企業(yè)辦公自動化系統(tǒng)之間的安全隔離,主要采用物理防火墻方式。② 在調度專用數據網絡上,根據不同的業(yè)務系統(tǒng),還可采取安全訪問控制技術(可實施的安全措施有防火墻、VPN設備、訪問控制列表、用戶授權管理等)、加密通信技術(主要用于防止重要或敏感信息被泄密或篡改,如縱向加密認證技術)、身份認證技術(用于網絡設備和遠程用戶的身份認證,防止非授權使用網絡資源)、備份和恢復技術。

(3)在系統(tǒng)和應用層面,采用計算機防病毒技術、修復操作系統(tǒng)相應的安全漏洞、應用系統(tǒng)的關鍵軟硬件及關鍵數據的熱備份和冷備份等。防病毒技術和備份措施是通常采用的傳統(tǒng)安全技術,而安全的操作系統(tǒng)是一個新的發(fā)展趨勢。

①構建省、地、縣統(tǒng)一的防病毒平臺

為了防止病毒蔓延至電網調度自動化整個系統(tǒng),應在調度數據網絡各節(jié)點上安裝網絡版防病毒軟件,要求程序定時進行掃描,保證電網調度自動化系統(tǒng)網絡安全。并能在省調統(tǒng)一部署下獲得軟件的升級、最新的病毒庫和防病毒技術。還可以通過電話、傳真、傳統(tǒng)郵件、電子郵件在任何時間獲取技術支持。

②建立數據實時備份與應急恢復體系

數據庫備份的內容包含所有采集遙測量歷史數據、歷史電量、歷史總加負荷、遙信變位、保護告警及SOE等。數據庫及軟件備份要求:做到每周能自動備份一次,并在數據庫和軟件發(fā)生變化后,只要輕點下鼠標就能手動進行備份,以保證任意一臺數據出現故障后,不影響整個系統(tǒng)數據的存儲和查詢等。調度自動化系統(tǒng)在建設時通常均采用雙機雙網絡結構,同時也要做好相關的應急恢復措施,應急恢復系統(tǒng)要考慮到在硬件損壞等不可抗拒災難情況下,對重要的服務器或工作站,都要對其硬盤進行備份,并有相關的備用服務器和工作站,若遇故障必須停運時,要具備自動切換功能,以保證備用的服務器和工作站在最短時間內可以恢復運行。

五.應用成果

按照以上所述的調度自動化系統(tǒng)安全防護方案在我司調度自動化系統(tǒng)中得到了應用。具體采用方法有:

(1)從生產控制大區(qū)到企業(yè)管理信息大區(qū)的連接處安裝單向單比特物理隔離裝置,從調度自動化系統(tǒng)WEB到企業(yè)辦公自動化系統(tǒng)之間安裝硬件防火墻。為了防止防火墻被突破,在防火墻及交換機上設置相應的訪問控制策略,以限制用戶對WEB系統(tǒng)的訪問,從而保證整個調度數據網絡的安全,調度自動化系統(tǒng)的安全防護如圖2所示。

(2)針對調度自動化系統(tǒng)內的網絡,我們從系統(tǒng)管理的安全、數據安全、密鑰的使用等多方面有效的措施來保證網絡的安全,對運行及維護人員進行計算機網絡安全方面的系統(tǒng)培訓,提高系統(tǒng)內人員的保密意識、樹立敬業(yè)愛崗的良好工作作風。制定電力二次系統(tǒng)安全防護管理規(guī)程,堅決實行調度自動化系統(tǒng)專機專用原則,禁止在監(jiān)控機上進行其它無關的操作和安裝無關軟件,采用自動和手動相結合的方法對調度自動化系統(tǒng)軟件及數據進行備份,及時修復各種系統(tǒng)安全漏洞,進行防病毒軟件、病毒及規(guī)則庫的更新和病毒的定時查殺工作,通過采取以上措施,有效地防止了內、外部病毒和網絡黑客的入侵,提高了網絡的安全防護能力,調度自動化系統(tǒng)沒有發(fā)生因病毒入侵等造成的網絡癱瘓事故,從而保證了調度自動化系統(tǒng)的安全可靠運行,使之真正成為電網調度的“千里眼”。

六.結論

篇2

【關鍵詞】電力調度;自動化網絡;安全防范

近幾年來,隨著我國電網的快速發(fā)展,以及電網調度現代化程度的提升,對于電力調度自動化網絡安全的要求也愈來愈高。而調度自動化信息網絡安全是一個綜合性的課題,涉及技術、管理、使用等許多方面,下面筆者將結合當前的網絡安全情況展開分析。

1.當前電力調度自動化網絡存在的安全隱患

1.1系統(tǒng)本身的安全隱患

電網調度自動化系統(tǒng)本身數據采集錯誤,造成自動發(fā)電控制調節(jié)電廠出力錯誤,影響電網安全運行。操作系統(tǒng)存在安全漏洞,未能及時升級和進行系統(tǒng)安全補丁加固。路由器和防火墻的安全策略設置不合理,網絡拓撲結構變化和防護對象變化時沒有及時調整。web服務器上沒有關閉不必要的通信協議和服務,如telnet, ftp協議,端口開放過多等。

1.2外部網用戶帶來的安全隱患

用于遠程診斷的撥號modem長期處于接通狀態(tài),沒有采取安全防范措施,容易造成非授權用戶未經許可撥號進入調度自動化系統(tǒng)的危險。

1.3內部網用戶存在的安全隱患

部分用戶安全意識淡薄,用系統(tǒng)工作站撥號進人外部公共信息網,對系統(tǒng)安全造成威脅。用戶和維護人員口令簡單,長時間不修改,易泄密,容易被越權使用,對系統(tǒng)造成危害。用戶誤操作影響系統(tǒng)可靠運行,維護人員編程錯誤或維護錯誤,影響系統(tǒng)的可靠運行。

1.4電力調度自動化網絡安全管理工作不到位

主要表現在安全防護的有關規(guī)章制度不健全,安全防護技術措施和管理措施落實不到位,對安全防護工作的認識和重視程度有待提高。尤其是在設備管理方面,對各系統(tǒng)設置的專職維護人員沒有明確其對設備的安全維護職責,沒有嚴格限制在系統(tǒng)計算機上做任何與系統(tǒng)無關的事情,沒有提供必要的工具對系統(tǒng)的運行情況進行監(jiān)控,保證系統(tǒng)安全、非間斷運行。

2.加強電力調度自動化網絡安全防范的必要性

隨著計算機網絡技術的突飛猛進,數據網絡在電力系統(tǒng)中的應用日益廣泛,已經成為不可或缺的基礎設施。然而,開放的信息系統(tǒng)必然存在眾多潛在的安全隱患,黑客和反黑客、破壞和反破壞的斗爭仍將繼續(xù)。在這樣的斗爭中,安全技術作為一個獨特的領域越來越受到全球網絡建設者的關注。近年來調度自動化系統(tǒng)的內涵有了較大的延伸,由原來單一的SCADA系統(tǒng)擴展為EMS、DMS、TMS、廠站自動化、水調自動化、電力市場技術支持系統(tǒng)和調度生產管理系統(tǒng)等,數據網絡是支持調度自動化系統(tǒng)的重要技術平臺,承擔著實時、準實時控制業(yè)務及管理信息業(yè)務。調度自動化信息還需要與省調自動化系統(tǒng)、局MIS連接,網絡利用率較高,安全級別較低的業(yè)務與安全級別較高的業(yè)務混用,存在很多安全隱患。這就使保證信息的安全變得格外重要,有必要建立根據調度自動化系統(tǒng)中各種應用的不同特點,優(yōu)化電力調度數據網,建立調度自動化系統(tǒng)的安全防護體系。

3.電力調度自動化網絡安全控制

為了進一步加強電力調度自動化網絡安全控制,必須健全相關的保密制度、安全控制策略及安全聯防制度,將網絡及系統(tǒng)安全作為經常性的工作來抓,全面化引進高素質、高專業(yè)水平的網絡管理人員,并建立面向企業(yè)、應用系統(tǒng)、個人工作站的分級多層次和動態(tài)的安全策略體系,真正做好自動化網絡的安全性。

3.1提高系統(tǒng)本身的安全性

系統(tǒng)本身存在著些許安全隱患,例如出現硬件故障等,因此,要求各有關單位應制定安全應急措施和故障恢復措施,對關鍵數據做好備份并妥善存放:及時升級防病毒軟件及安裝操作系統(tǒng)漏洞修補程序:加強對電子郵件的管理:在關鍵部位配備攻擊監(jiān)測與告警設施,提高安全防護的主動性。在遭到黑客、病毒攻擊和其他人為破壞等情況后,必須及時采取安全應急措施,保護現場,盡快恢復系統(tǒng)運行,防止事故擴大,并立即向上級電力調度機構和本地信息安全主管部門報告。

3.2加強外部用戶的網絡安全控制

各電網、發(fā)電 、變電站等負責所屬范圍內計算機及信息網絡的安全管理:各級電力調度機構負責本地電力監(jiān)控系統(tǒng)及本級電力調度數據網絡的安全管理:各相關單位應設置電力監(jiān)控系統(tǒng)和調度數據網絡的安全防護小組或專職人員,相關人員應參加安全技術培訓和素質教育。對自然災害我們要以預測為主,盡量的減小破壞程度,這就對電力監(jiān)控系統(tǒng)作出很大的要求。電力監(jiān)控系統(tǒng)要通過專用局域網實現與本地其他電力監(jiān)控系統(tǒng)的互聯,或通過電力調度數據網絡實現上下級異地電力監(jiān)控系統(tǒng)的互聯。各電力監(jiān)控系統(tǒng)與辦公自動化系統(tǒng)或其他信息系統(tǒng)之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施。電力監(jiān)控系統(tǒng)要做到早發(fā)現,早報告,早預防,早治理。

3.3加強內部用戶安全管理

通過加強內部工作人員的責任心及運行管理,提倡值班調度員嚴格堅守崗位。調度員要對電網運行方式、電網主設備的運行狀況和當班需要完成的工作,做到心中有數,并針對當時天氣、電網運行方式和當班的主要工作,做好事故預想,提前做好應對措施,以便在發(fā)生異常時,能夠及時果斷進行處理。在進行調度操作時應一人操作、一人監(jiān)護,特別復雜的重大操作應雙重監(jiān)護,操作前應核對現場實際運行方式,分析負荷平衡情況、無功電壓運行情況,重大操作還應進行危險點分析和做好事故預想,防止來自內部的攻擊、越權、誤用及泄密。

3.4注重安全管理與安全防范技術培訓工作

通過加強技術培訓,提高調度人員的業(yè)務素質。培訓工作應以實用為目標,突出技能訓練和注重崗位練兵。如我公司調度人員在崗位培訓的基礎上,再送到仿真機進行培訓,使之達到三熟三能的要求。三熟即熟悉本地區(qū)電網的一次系統(tǒng)圖、主要設備的工作原理: 熟悉調度自動化系統(tǒng)的工作原理、電網繼電保護配置方案及工作原理;熟悉本地區(qū)電網的各種運行方式的操作和事故處理及本崗位的規(guī)程制度。三能即能 I 確F令進行倒閘操作、正確投退繼電保護及安全自動裝置; 能運用自動化系統(tǒng)準確分析電網運行情況;能及時準確判斷和排除故障,盡可能縮小事故范圍。調度人員只有通過各種形式的培訓學習,苦練過硬的本領,才能在指揮電網的運行和事故處理中做到準確無誤。

4.小結

綜上所言,由于電力調度自動化網絡安全性能與整個電網運行的可靠性、正常息相關,必須加強電網調度自動化網絡安全控制與防范,否則將極為容易出現事故,不利于配電網的安全控制。因此,事先制定電力調度自動化網絡安全防范對策,從基礎工作做起,全面化加強電力生產供應的安全性與可靠性。 [科]

【參考文獻】

[1]金濤,曾凌.電力調度自動化系統(tǒng)發(fā)展探討[J].科技致富向導,2011(26):145-146.

[2]徐揚.電力調度綜合數據平臺體系結構及相關技術探究[J].硅谷,2011(16):347-348.

篇3

[關鍵詞] 電力系統(tǒng) 網絡安全 風險控制

0 引言

對于電力部門來說,保奧運,確保電網和系統(tǒng)安全,是目前各發(fā)電集團公司、國家電網公司、南方電網公司的頭等大事。保護電力業(yè)務系統(tǒng)的安全,其核心在于保護電力數據的安全,包括數據存儲、傳輸的安全。影響電力系統(tǒng)網絡安全的因素很多,有些因素可能是有意的,也可能是無意的誤操作;可能是人為的或是非人為的;也有可能是內部或外來攻擊者對網絡系統(tǒng)資源的非法使用。

電力系統(tǒng)一直以來網絡結構和業(yè)務系統(tǒng)相對封閉,電力系統(tǒng)出現的網絡安全問題也基本產生于內部。但是,隨著近年來與外界接口的增加,特別是與政府、金融機構等合作單位中間業(yè)務的接口、網上服務、三網融合、數據大集中應用、內部各系統(tǒng)間的互聯互通等需求的發(fā)展,其安全問題不僅僅局限于內部事件了,來自外界的攻擊也越來越多,已經成為電力系統(tǒng)不可忽視的威脅來源。但是,據我所知,未來電力系統(tǒng)網上服務所采用的策略一般是由各省公司做統(tǒng)一對外服務出口,各級分局或電力公司和電廠將沒有對外出口;從內部業(yè)務應用的角度來看,除大量現存的C/S結構以外,還將出現越來越多的內部B/S結構應用。所以,對于電力系統(tǒng)整體來說,主要問題仍有一大部分是內部安全問題。其所面臨的威脅大體可分為兩種:一是對網絡中通訊、信息的威脅;二是對網絡中設備的威脅,造成電力系統(tǒng)癱瘓。對于電力系統(tǒng)來說,主要是保護電力業(yè)務系統(tǒng)的安全,其核心在于保護電力數據的安全,包括數據存儲,數據傳輸的安全。

1 電力網絡信息系統(tǒng)安全的威脅

(1)人為的無意失誤

如果網絡安全配置不當造成的安全漏洞,包括安全意識、用戶口令、賬號、共享信息資源等都會對網絡安全帶來威脅。主機存在系統(tǒng)漏洞,通過電力網絡入侵系統(tǒng)主機,并有可能登錄其它重要應用子系統(tǒng)服務器或中心數據庫服務器,進而對整個電力系統(tǒng)造成很大的威脅。

(2)人為的惡意攻擊

這是計算機網絡所面臨的最大威脅,黑客的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的可用性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成直接的極大的危害,并導致機密數據的泄漏和丟失。由于windows操作系統(tǒng)的漏洞不斷出現,針對windows操作系統(tǒng)漏洞的各種電腦病毒攻擊也日益多了起來。尤其是2003年8月份和2006年5月出現的沖擊波蠕蟲病毒和惡意程序給全世界80%的計算機造成了破壞,安徽省省電力公司系統(tǒng)內也有多個供電企業(yè)的信息系統(tǒng)遭到病毒的破壞,這一事件給網絡安全再次敲響了警鐘!

2 網絡安全風險和威脅的具體表現形式

電力系統(tǒng)網絡的安全性和可靠性已成為一個非常緊迫的問題。電力安全方案要能抵御黑客、病毒、惡意代碼等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,特別是能夠抵御集團式攻擊,防止由此導致的一次系統(tǒng)事故或大面積停電事故,二次系統(tǒng)的崩潰或癱瘓,以及有關信息管理系統(tǒng)的癱瘓。必須提出針對以上事故的各種應急預案。 隨著計算機技術、通信技術和網絡技術的發(fā)展,電力系統(tǒng)網上開展的業(yè)務及應用系統(tǒng)越來越多,要求在業(yè)務系統(tǒng)之間進行的數據交換也越來越多,對電力網絡的安全性、可靠性、實時性提出了新的嚴峻挑戰(zhàn)。其安全風險和威脅的具體表現形式如下:

(1)UNIX和Windows主機操作系統(tǒng)存在安全漏洞。

(2)Oracle,Sybase、MS SQL等主要關系型數據庫的自身安全漏洞。

(3)重要應用系統(tǒng)的安全漏洞,如:MS IIS或Netscape WEB服務應用的“緩存區(qū)溢出”等,使得攻擊者輕易獲取超級用戶權限。核心的網絡設備,如路由器、交換機、訪問服務器、防火墻存在安全漏洞。

(4)利用TCP/IP等網絡協議自身的弱點(DDOS分布式拒絕服務攻擊),導致網絡癱瘓。網絡中打開大量的服務端口(女IIRPC、FTP、TELNET、SMTP、FINGER等),容易被攻擊者利用。黑客攻擊工具非常容易獲得,并可以輕易實施各類黑客攻擊,如:特洛伊木馬、蠕蟲、拒絕服務攻擊、分布式拒絕服務攻擊、同時可利用ActiveX、Java、JavaScript、VBS等實施攻擊。造成網絡的癱瘓和關鍵業(yè)務數據的泄漏、篡改甚至毀壞。在電力內部網絡中非法安裝和使用未授權軟件。對網絡性能和業(yè)務造成直接影響。系統(tǒng)及網絡設備的策略(如防火墻等)配置不當。

(5)關鍵主機系統(tǒng)及數據文件被篡改或誤改,導致系統(tǒng)和數據不可用,業(yè)務中斷等。

(6)分組協議里的閉合用戶群并不安全,信任關系可能被黑客利用。

(7)應用軟件的潛在設計缺陷。

(8)在內部有大批的對內網和業(yè)務系統(tǒng)相當熟悉的人員,據統(tǒng)計,70%以上的成功攻擊來自于企業(yè)系統(tǒng)內部。與其他電力和合作單位之間的網絡互通存在著極大的風險。

(9)雖然將來由省局(公司)統(tǒng)一的WEB網站向外信息并提供網上信息服務,但很多分局和分公司仍允許以撥號、DDN專線、ISDN等方式單獨接入互聯網,存在著由多個攻擊入口進入電力內部網的可能。系統(tǒng)中所涉及的很多重要數據、參數直接影響系統(tǒng)安全,如系統(tǒng)口令、IP地址、交易格式、各類密鑰、系統(tǒng)流程、薄弱點等,技術人員的忠誠度和穩(wěn)定性,將直接關系到系統(tǒng)安全。

(10)各局使用的OA辦公自動化系統(tǒng)大量使用諸如WINDOWS操作系統(tǒng),可能存在安全的薄弱環(huán)節(jié),并且有些分局可能提供可拷貝腳本式的撥號服務,撥入網絡后,即可到達電力的內部網絡的其它主機。

系統(tǒng)為電力客戶提供方便服務的同時,數據的傳輸在局外網絡和局內局域網絡的傳輸中極有可能被竊取,通過 Sniffer 網絡偵聽極易獲得超級用戶的密碼。

3 系統(tǒng)的網絡風險基本控制策略

針對電力系統(tǒng)網絡的安全性和可靠性,電力安全方案要能抵御通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,防止由此導致的一次系統(tǒng)事故或大面積停電事故,二次系統(tǒng)的崩潰或癱瘓,以及有關信息管理系統(tǒng)的癱瘓??傮w來說,電力系統(tǒng)安全解決方案的總體策略如下:

(1)分區(qū)防護、突出重點。根據系統(tǒng)中業(yè)務的重要性和對一次系統(tǒng)的影響程度,按其性質可劃分為實時控 制區(qū)、非控制生產區(qū)、調度生產管理區(qū)、管理信息區(qū)等四個安全區(qū)域,重點保護實時控制系統(tǒng)以及生產業(yè)務系統(tǒng)。所有系統(tǒng)都必須置于相應的安全區(qū)內,納入統(tǒng)一的安全防護方案。

(2)區(qū)域隔離。采用防火墻裝置使核心系統(tǒng)得到有效保護。

(3)網絡專用。在專用通道上建立電力調度專用數據網絡,實現與其他數據網絡物理隔離,并通過采用MPLS-VPN形成多個相互邏輯隔離的IPSEC VPN,實現多層次的保護。

(4)設備獨立。不同安全區(qū)域的系統(tǒng)必須使用不同的網絡交換機設備。

(5)縱向防護。采用認證、加密等手段實現數據的遠方安全傳輸。

4 電力系統(tǒng)的網絡安全解決方案

針對電力網絡安全的薄弱環(huán)節(jié)全方位統(tǒng)籌規(guī)劃。解決方案注重防止非法入侵全網網絡設備;保護電力數據中心及其設備中心的網絡、服務器系統(tǒng)不受侵犯――數據中心與Internet間必須使用防火墻隔離,并且制定科學的安全策略;制定權限管理――這是對應用系統(tǒng)、操作系統(tǒng)、數據庫系統(tǒng)的安全保障;考慮網絡上設備安裝后仍然可能存在的安全漏洞,并制定相應措施策略。

(1)在網絡設備的安全管理方面,將所有網絡設備上的Console口加設密碼進行屏蔽,配置管理全部采用DUT-BAND帶外方式,并對每個被管理的設備均設置相應的帳戶和口令,只有網絡管理員具有對網絡設備訪問配置和更改密碼的權力。

(2)存網管中心通過劃分不同安全區(qū)域來規(guī)范管理網絡和工作網絡,從邏輯上把每個部門的資源獨立成一個安全區(qū)域,對安全區(qū)域的劃分基于安全性策略或規(guī)則,使區(qū)域的劃分更具安全性。網絡管理員可根據用戶需求,把某些共享資源分配到單獨的安全區(qū)域中,并控制區(qū)域之間的訪問。

(3)VPN和IPsec加密的使用。電力網絡將通過MPLS VPN把跨骨干的廣域網絡變成自己的私有網絡。為保障數據經VPN承載商(ISP)傳輸后不會對數據的完整與安全構成潛在危險,在數據進入MPLSVPN網絡之前首先經過IPsec加密,在離開VPN網絡后又再進行IPsec解密。

(4)通過網絡設置控制網絡的安全。在交換機、路由器、數據庫和各種認證上,層層進行安全設置,從而確保整個網絡的安全。

(5)通過專用網絡防火墻控制網絡邊界的安全。

(6)進行黑客防范配置。通過信息檢測、攻擊檢測、網絡安全性分析和操作系統(tǒng)安全性分析等一系列配置,對黑客進行監(jiān)控。可以部署在內網作為IDS進行監(jiān)控使用,也可以部署在服務器的前端作為防攻擊的IPS產品使用,前題是保障網絡的安全性。

5 電力系統(tǒng)局域網內部網絡安全解決方案

外部攻擊影響巨大,但內部攻擊危害巨大,為了解決內網安全問題,在一個電力/電廠系統(tǒng)的局域網內部,可以使用防火墻對不同的網段進行隔離,并且使用IPS設備對關鍵應用進行監(jiān)控和保護。同時,使用IPS設備架設在相應的安全區(qū)域,保證訪問電力系統(tǒng)內部重要數據的可監(jiān)控性,可審計性以及防止惡意流量的攻擊。并且實現以下的主要目的:

(1)網絡安全:防火墻可以允許合法用戶的訪問以及限制其正常的訪問,禁止非法用戶的試圖訪問。

(2)防火墻負載均衡:網絡安全性越來越成為電力系統(tǒng)擔心的問題了,網絡安全已經成為了關鍵部門關注的焦點。網絡安全技術將防火墻作為一種防止對網絡資源進行非授權訪問的常用方法。

(3)服務器負載均衡:執(zhí)行一定的負載均衡算法,可以針對電廠內關鍵的服務器群動態(tài)分配負載。

6 廣域網整體安全解決方案

對于整個廣域網,為了端對端,局對局的安全性,本著不受他系統(tǒng)影響/不影響他系統(tǒng)的安全原則,可對防火墻以及IPS設備進行分布式部署。

通過過濾的規(guī)則設置可以使得我們方便地控制網絡內部資源對外的開放程度,特別是針對國家電網公司、當地政府以及Internet僅僅開放某個IP的特殊端口,有效地限制黑客的侵入。

通過過濾、IP地址以及客戶端認證等規(guī)則的應用,可以確定不同的內部用戶享受不同的訪問外部資源的級別,對于內部用戶嚴格區(qū)分網段,而且可以利用獨特的內置LDAP的功能對客戶端進行認證。通過這種方式可以有效地限制內部用戶主動將信息通過網絡向外界傳遞。

雙機熱備(負載均衡):為了提高系統(tǒng)的可靠性,通過監(jiān)控設備的CPU Loading來確認誰轉發(fā)流量,極大的提高了防火墻的吞吐量。

友好的用戶界面:只需作簡單的培訓,用戶即可進行規(guī)則配置、系統(tǒng)管理、統(tǒng)計。

7 參考文獻

[1] 《StoneSoft電力系統(tǒng)網絡安全解決方案》StoneSoft

公司,2005。

[2] 王桂娟,張漢君?!毒W絡安全的風險分析》[J].中南民族

大學學報,2007,(11)。

[3] 陳 偉、鮑 慧.《電力系統(tǒng)網絡安全體系研究》[丁].電

力系統(tǒng)通信,2008,(1).

篇4

關鍵詞:電信計算機;網絡安全;管理策略

隨著我國電信事業(yè)的快速發(fā)展,計算機網絡技術的廣泛應用,使人們的溝通方式發(fā)生了改變,電信網絡成為傳遞信息的一種重要手段,隨著社會經濟信息化進程的發(fā)展,電信網絡為社會創(chuàng)造了巨大的經濟價值和社會價值,與此同時隨著黑客的攻擊,電信網絡安全也受到了嚴重威脅,導致人們間的信息溝通遇到障礙,給社會帶來了無可估量的經濟損失。

1.目前導致電信網絡安全問題的因素

影響通信網絡安全的因素有很多,其中包括:病毒感染、系統(tǒng)漏洞、網絡內部攻擊、外部攻擊、人為因素、資料存儲與輸出,下面分別做出詳細講解。

(1)病毒感染:病毒是計算機系統(tǒng)中最大的安全隱患,直接威脅到整個系統(tǒng)的正常運作,網絡對于病毒的快速傳播更是提供了便利條件,通過服務器上的軟件下載、聊天工具的點擊查看、電子郵件的收發(fā)等方式,對計算機展開攻擊,破壞安全系統(tǒng),給用戶造成損失。

(2)系統(tǒng)漏洞:無論操作系統(tǒng)還是網絡軟件,都存有這樣或那樣的漏洞,沒有百分百完善的,這樣無疑給黑客入侵提供了切入口,造成了嚴重的網絡事件。

(3)網絡內部攻擊:不少非法用戶,用假冒的合法身份登入到局域網的內部網站,對機密的信息進行查看、竄改,從而嚴重破壞了內部的網絡應用系統(tǒng)。

(4)網絡外部攻擊:顧名思義就是來自局域網以外的攻擊破壞,比如:在中間站讀取截獲機密信息;修改竊取網絡數據;破譯機密信息;偽造合法身份占用信息資源;破壞軟件執(zhí)行等等。

(5)人為因素:一些人為失誤的原因,造成的口令丟失、管理員安全配置不合理、資源訪問沒有得到合理控制等,對于網絡安全系統(tǒng)造成了一定的破壞。

(6)資料存儲與傳輸:當系統(tǒng)受到攻擊時,存儲的資料很容易被竊取,造成機密文件外泄,因此在機密文件的存儲和傳輸也是網絡安全的威脅因素。

2.分析目前我國電信網絡安全存在的問題

現代化的網絡環(huán)境,為我們相互間進行信息交流、信息共享和信息服務提供了便利的條件和廣闊的空間,滿足了人們所向往的信息開放、快速和靈活的共享,隨著網絡技術的廣泛推廣及應用,極大的促進了社會經濟的發(fā)展。然而因為互聯網所具有的開放性和交互性令其不可避免的受到安全威脅。目前計算機病毒的肆意橫行和快速傳播,為我國電網絡的安全帶來了嚴重威脅,為社會帶來了極大的經濟損失。當前電信網絡技術在我國各行各業(yè)都得到了普及應用,無論是商務活動還是社會互動,都離不開電信網絡技術的信息傳遞,但隨著黑客的攻擊,企業(yè)間的絕密信息被遭到了肆意的破壞或截取。

     通過我國電信保障局的相關網絡安全管理人士分析,我國目前電信網絡安全防護工作面臨著巨大挑戰(zhàn),他指出我國的電信基礎設施受到了嚴重的危害,針對計算機網絡系統(tǒng)所與生具有的開放性和分散性等特點,要求必須加強網絡安全管理,提升管理人員的技能水平,強化管理人員的安全意識,從而使通信網絡安全隱患得到有效的控制,所以必須大力加強網絡安全管理人員的保密意識和安全意識。

     在傳輸信道上存在的安全隱患。假如在傳輸信道上沒有采取相應的安全電磁屏蔽手段,信息在傳輸過程中就會對外產生磁輻射,不法分子會利用特制的盜取設備截獲機要信息。在硬件或軟件設備中存在的安全隱患。IT人員在設計軟硬件系統(tǒng)時,有可能會設計遠程的終端控制登陸通道,加之商用軟件源的程序大多具有公開性,信息就會因不法分子對通信系統(tǒng)的直接入侵而遭到竊取。

     3.我國電信網絡安全的管理策略

     下面將從安全技術、網絡安全策略和人員管理方面提出一些提高我國通信網絡安全的管理策略。

3.1提高網絡安全技術管理

(1)防火墻防護技術

      防火墻技術作為網絡安全最基礎的防護手段,已經得到了廣泛的應用,通過防火墻可以防止網絡中不安全的因素的入侵及蔓延,極大限度的阻擋了來自外部的黑客攻擊,防止外部不發(fā)分子未經授權的惡意訪問,從而保護內部的網絡安全,防止黑客隨意移動、更換、或者移除重要的信息。

       (2)采用入侵檢測技術

入侵檢測技術不同于防火墻技術,它是一種對于網絡內部安全環(huán)境的入侵檢測,是對防火墻技術的一種有效補充。入侵檢測技術為外部攻擊、內部攻擊及失誤操作提供了積極的實時保護,及時的攔截病毒入侵,從而保證網絡系統(tǒng)不會受到惡意侵害,從而確保信息的安全性。

(3)采用漏洞掃描技術

      當前隨著網絡技術的不斷變化,網絡技術更加的復雜化,僅憑網絡管理人員的經驗和技術來,對于安全漏進行人工式的尋找是遠遠不夠的,因此我們就要借助于網絡安全漏洞的掃描技術,利用打補丁和優(yōu)化系統(tǒng)的資源配置等方式,盡可能的消除安全隱患和彌補安全漏洞。在網絡安全要求不高的情形下,通過利用各種不同的黑客工具,進行網絡模擬攻擊進而使網絡的漏洞暴露出來。

(4)采用身份驗證技術

      通過提供身份驗證技術能夠保障信息的完整性、可控性、機密性和不可否認性等方面的安全性能。

(5)采用網絡加密技術

    作為網絡安全的核心技術,加密技術主要是防止信息在網絡上被惡意竊取或攔截,采用加密技術,可以通過對公共網絡中傳輸的IP地址包實行封鎖或進行加密,以此實現數據在網絡傳輸中的完整和安全,從而確保遠程用戶可以安全的訪問內網。

     (6)采用虛擬專用網技術

      在一個因特網上建立一個臨時的鏈接,它是一條橫穿混亂公用網絡的穩(wěn)定通道,通過這條安全的數據通道把公司的分支部門、遠程用戶、公司業(yè)務搭檔等和公司的內部網絡進行貫穿鏈接,構成一個安全的虛擬擴展網絡,使所有的計算機都仿佛都處于同一個網絡中。

3.2制定網絡安全策略

     在特定的環(huán)境中,要從政策法規(guī)、技術、管理等方面制定相應的安全策略,從而實現下面五項安全目的:

(1)利用授權機制,使網絡管理對終端用戶釋放訪問權利,防止未授權的用戶進入到網絡系統(tǒng),通過對用戶使用權限的控制,結合內審機制,達到對網絡信息或資源的控制目的。

(2)利用訪問控制機制。例如:用身份鑒別,輸入用戶口令及密碼,網絡系統(tǒng)達到權限分級,通過鑒別真?zhèn)危M行訪問限制,假如是權 限受限用戶或者是無權用戶,系統(tǒng)會自動屏蔽部分訪問地址或者終止用戶的全部訪問,從而有效阻止非法用戶的進入。

(3)利用防抵賴、監(jiān)控、審計等方面的安全機制,將網絡系統(tǒng)抵賴者、破壞者和攻擊者一網打盡,并對出現的網絡安全提供可查依據,使網絡信息的安全具有可審查性。

(4)利用加密機制,保證信息數據在傳輸或者儲存設備上不被非法用戶看到或者竊取,以此保證信息數據不會暴露給未經許可查看的實體,從而達到使信息數據得到保密的目的。

(5)利用數據完整性識別的機制,使數據的查核方式得到進一步的優(yōu)化,從而確保只有經過許可的人才能夠更改或刪除信息數據,最終防止了信息數據的惡意修改、插入、刪除等現象的發(fā)生,達到了保證信息數據完整的目的。

3.3強化電信管理人員安全意識

   人員的保密意識和安全意識尤為關鍵,如果僅憑網絡安全技術,沒有可靠的人員,通訊網絡安全無從得到真正的保障,因此要大力加強網絡管理人員的培訓,強化他們的專業(yè)技能的同時,提高他們的職業(yè)道德水準,選拔優(yōu)秀的職業(yè)技能高手,擴大他們的網絡技術知識,對電訊網絡進行有效的防護管理。

結束語:隨著電信網絡功能的日益強大,電訊網絡在人們日常的生活中,經濟貿易往來中,占據了相當重要的地位,因此,針對電信網絡安全問題,我們要采取有效的管理策略,使網絡安全隱患得到最大限度的控制。

參考文獻:

[1]張詠梅.計算機通信網絡安全概述[J].中國科技信息,2008(03)

[2]楊華.網絡安全技術的研究與應用[J].計算機與網絡,2008(06)i

篇5

【關鍵詞】計算機網絡;電力系統(tǒng);安全;問題;措施

在我國電力系統(tǒng)發(fā)展與信息化相結合越發(fā)緊密的結合的今天,計算機網絡自身的發(fā)展,極大的推動了我國電力系統(tǒng)自動化的發(fā)展,但是在計算機網絡技術應用越發(fā)深入應用的今天,其計算機網絡所面臨的病毒侵害風險也在持續(xù)不斷的提升,這從某種程度上來說也增大了電力系統(tǒng)運行的安全性。下文主要針對電力系統(tǒng)運行過程中的計算機網絡安全進行了全面詳細的探討。

1、計算機網絡信息安全對于電力系統(tǒng)運營穩(wěn)定的影響

在當前完全開放的電力市場機制體系之下,利用計算機網絡的方式來提高用電用戶與電力中心交易的緊密性,但是在這一過程中,如果說對全局進行管控的電力系統(tǒng)計算機網絡遭受到了病毒的侵害,那么不僅會給電力企業(yè)造成危害,還會給用電用戶本身也帶來極大的損失。為了避免這類現象的出現,就務必要在電力系統(tǒng)之中來對計算機網絡安全防護技術進行強化,而電力企業(yè)本身為了能夠最大限度的避免病毒、黑客等主體的侵害,就應當通過現代化的認證技術以及防護功能嚴密的加密措施等行為來對電力系統(tǒng)之中所涉及到的計算機網絡進行防護,但是在這一過程中,依然有部分不法分子能夠利用對于數據傳輸的速率、長度、流量等方面的信息來對于電力系統(tǒng)網絡的正常運行造成影響,并且使得計算機網絡受到控制。因此,針對電力系統(tǒng)之中的計算機網絡的安全性進行防護措施強化有著極大的必要性。

2、電力系統(tǒng)計算機網絡信息安全存在的問題

2.1工作環(huán)境的安全漏洞

目前在很多電力企業(yè)中電力操作系統(tǒng)以及數據庫系統(tǒng)等用戶環(huán)境自身就存在很多的安全漏洞,如對特定網絡協議實現的錯誤,自身體系結構中存在的問題等一些漏洞都會對電力系統(tǒng)造成嚴重的破壞,從而對電力企業(yè)造成嚴重的損失。對于安全漏洞的重視不夠一直是現在電力行業(yè)存在的通病,電力無小事,只有防患于未然才能保障電力的安全運行,尤其是在平時的工作中只有從小事抓起,才能夠避免出現大的披露,尤其是電力行業(yè)的操作系統(tǒng)越來越智能化和集成化,一旦出現問題就會導致大的事故,對于安全漏洞的查找和防患應該作為工作的重中之重,下大力氣來抓。

2.2網絡協議存在的安全問題

在電力系統(tǒng)計算機網絡(Internet)中采用的TCP IIP協議主要是面向信息資源共享的,所以會造成部分的計算機網絡協議存在一定的安全漏洞,這種漏洞也是目前計算機網絡以及信息安全問題中最為重要的根源。比如常見有FTP、Telnet、SMTP等協議中。并且在電力系統(tǒng)中用戶的口令信息主要是采用明文的形式在計算機網絡中進行傳輸的,這些網絡協議雖然是依賴的TCP協議本身但是也不能保證電力系統(tǒng)計算機網絡信息傳輸信號的安全性。網絡協議出現問題大多情況都可以通過及時處理得以解決,但是在進行網絡協議設定的時候應該更多的考慮到實際工作中可能存在的問題,只有這樣才能讓網絡協議存在的安全問題得以解決不會給電力系統(tǒng)的運行帶來嚴重的影響。

2.3計算機病毒的侵害

計算機病毒是最為常見的一種病毒形式,任何一個接觸計算機網絡的人員都可能會有遭到病危害的先向我。計算機病毒分為“蠕蟲”和“病毒”,計算機病毒是一種誠訊,是一段可以進行執(zhí)行代碼的程序。計算機病毒如同生物病毒,具有獨特的復制能力,并且蔓延的速度是非常之快的。但是也是非常難以清除的,并且病毒還能夠將自身附帶的各種病毒類型一個用戶傳到另一個用戶通過文件的復制進行傳遞。計算機病毒不僅具有復制能力,而且也具有其他的一些共性一個被污染的程序能夠傳送病毒的載體。

3、電力系統(tǒng)計算機網絡信息安全的防護措施

3.1加強對網絡安全的重視

電力系統(tǒng)之中的計算機網絡在實際運行的過程中,其自身所具有的安全性要持續(xù)不斷的提升,首先一個重點方面就是對計算機網絡管控的全體人員自身的安全技術以及安全意識水平進行提升,以此來促使計算機網絡信息所具有的防泄密水平能夠得以強化,避免電力系統(tǒng)計算機網絡之中所存在的大量機密資料被盜取,從而使得計算機網絡之中的保密責任能夠得到滿足。其次,要加強對于電力系統(tǒng)計算機網絡之中的信息安全進行相應的管理、監(jiān)督,利用定期檢查以及隨機檢查的機制來對各個不同部分的信息安全性進行檢查,同時,還要針對計算機網絡運行過程中的存檔、登記、銷毀等幾個方面的信息處理行為能夠得到強化,以此來保證第一時間發(fā)現電力系統(tǒng)運行過程中的計算機網絡信息安全性能夠得到防護,避免電力系統(tǒng)的網絡信息安全受到直接的影響。

信息化是我國加快實現現代化和工業(yè)化的必然選擇,堅持信息化帶動工業(yè)化,以工業(yè)化促進信息化,從而走出一條含有高科技的道路,不斷推進我國信息化的建設。我國最高人民檢察院以及中央保密委員會也多次發(fā)出相關文件要做好信息保密工作,切實防外部侵害和網絡化帶來的國家以及單位機密泄露。

3.2防火墻的攔截

防火墻技術是計算機網絡安全性保障體系之中所涉及到的一個重要環(huán)節(jié),其自身在實際使用的過程中能夠對于來自網絡的病毒、黑客等方面的入侵起到保護作用,同時,防火墻還能夠對于進出兩個不同方向的信息都進行控制監(jiān)管。在電力系統(tǒng)自身運行的過程中,在殺毒軟件本身的配置基礎上來對病毒進行防護,是一種安全性較高的措施。雖然說防火墻技術能夠滿足防護需求,但是部分因素不可控,其計算機系統(tǒng)在運行期間不排除受到破壞的可能性,這就要對整個系統(tǒng)信息進行備份,以便于第一時間恢復系統(tǒng)正常運行。

3.3防病毒

(1)在電力企業(yè)中管理信息系統(tǒng)應統(tǒng)一部署病毒防護的措施,嚴謹電力系統(tǒng)中的安全區(qū)Ⅰ和Ⅱ與管理信息系統(tǒng)共同使用一個防病毒的管理服務器;(2)在電力系統(tǒng)中對于所有系統(tǒng)中的服務器以及工作站都應該布置有恰當的防病毒產品的客戶端;(3)在對電力系統(tǒng)的計算機網絡進行布置單獨的電子郵件系統(tǒng)時,必須在電子郵件的服務器前段部署殺毒軟件以及病毒網關,從而可以有效防止帶有病毒的郵件在辦公網路中傳播蔓延;(4)電力系統(tǒng)與Internet的網絡接口處也應該部署防病毒的網關,從而可以防止蠕蟲以及病毒的傳播和蔓延到電力企業(yè)的管理信息系統(tǒng)中;(5)為了保證電力系統(tǒng)計算機網絡的安全性,還應該加強病毒的管理,從而可以保證病毒特征碼的全面及時的更新。

4、總結

綜上所述,計算機網絡技術的信息化對于電力系統(tǒng)的發(fā)展來說,起到了極大的促進作用,但是在信息技術快速發(fā)展的如今,其計算機網絡所具有的安全環(huán)境也在迅速的發(fā)展著變化,這對于電力系統(tǒng)的計算機網絡技術應用來說,帶來了較大的挑戰(zhàn)。要切實有效的解決這一問題,就必須要采取持續(xù)強化計算機網絡技術的措施,以此來使得防護能力能夠隨著信息技術的發(fā)展而發(fā)展,這對于我國電力系統(tǒng)的發(fā)展來說,起到了極大的保障性作用。

篇6

【關鍵詞】自動化 網絡建設 電力調度 安全機制

從電網調度自動化系統(tǒng)的配備情況來看,國家、省級三級調度系統(tǒng)已經配備了該系統(tǒng),并且電網調度均已經實現了全國聯網在功能方面,主要有SCADA功能、WEB服務、PAS功能系統(tǒng)接口和DTS功能等,電力調度自動化實現了這些功能。

1 從系統(tǒng)物理層方面解析電網調度自動化

1.1 使用達到的安全環(huán)境指標

從國標GB2887―89《計算機場地技術條件》、國家標準GB5O173_9《電子計算機機房設計規(guī)范》、GB9 361-88《計算站場地安全要求》三個指標來看,進行自動化機房調度能夠達到以上的三個標準。在實施調動自動化機房需要考慮到機房地板的條件范圍:機房溫度在15℃至30℃,機房濕度在10%到75%之間,火氣壓力范圍在86至108kPa之間,而機房溫度采用有質量保障的防靜電地板。

1.2 使用達標的設備安全指標

針對于機房電源的使用,雙機冗余在服務器領域使用,雙通道或者是比雙通道更高的一個標準作為數據信息搜集的安全指標,UNIX服務器在大型集控站和地調上使用,機柜使用的標準達到機柜的參數標準,所以機房電源需要的是大功率延時電源,方可確保電力使用的安全性。而定期檢測UPS電源的使用情況,以免使用時間較久出現漏液的問題。

1.3 確保傳輸介質安全所要達到的指標

由于受到電力企業(yè)和集控站的電磁干擾的原因,網線需要屏蔽電磁干擾,盡量選擇RJ45頭和雙絞線來解決。制作RJ45頭需要做到以下幾點:第一按照順序排列整齊,插入RJ45插頭,使用壓線鉗弄緊。第二雙絞線不能夠露在外面,如果露出的部分已經超過了12MM的話,就會降低網線通訊質量標準,導致近端串擾和回撥損耗的問題。

1.4 視頻監(jiān)視設備

在沒有人看守的情況下,處于110kv或者是110kv以下的變電站運行如何才能夠保證其安全?時刻監(jiān)控環(huán)境和操作環(huán)境,該設備是安全穩(wěn)定的,目前絕大多是使用視頻監(jiān)視設備。

2 網絡安全實現與防范的標準

確保網絡結構的安全是通過關鍵網絡結構、網絡系統(tǒng)和路由的優(yōu)化組成的,它也是確保網絡安全的一個重要方面。網絡結構通過體系結構分層來運行,達到安全管理實效的目的,便于業(yè)務的拓展以及進行有效的控制。

2.1 網絡拓樸的標準配置

地級以上調度網、冗余鏈路大規(guī)模的集控站通常使用的都是雙網結構模式,在數據采集通道上則是需要達到標準,采用的備用鏈路要達到2到3條,這個就是網絡拓撲所需要達標的一個標準配置。

2.2 網絡分段的有效方法

確保網絡安全的有效的方法就是進行網絡分段,同時也是對網絡廣播風暴的一種控制的有效措施。網絡分段的通常表現手法是進行邏輯分段和物理分段兩種。為了達到隔離敏感網絡資源和非法用戶的目的,有效控制可能遇到的非常監(jiān)聽。從目前的情況來看,以交換機為中心、路由器為邊界所形成的網絡環(huán)境格局是電力調度自動化局域網的主要運行手段,為了能夠突出三層交換功能和中心交換機的訪問功能兩個作用,同時為了能夠達到對局域網有效控制的方法,可以采用綜合應用物流分段和邏輯分段的方法來實現。

2.3 交換機、路由器的網絡設備安全的安全防護方法

不法分子對路由器和交換機進行攻擊,則會導致網絡的嚴重癱瘓,因為路由器和交交換機有效的解決辦法也就是說,加強IOS漏洞的安全性,對管理終端口命令進行嚴密的保密措施是解決黑客攻擊路由器和交換機的有效方法。

2.4 運行網絡主機安全和物理安全所需要達標的標準

單靠防火墻來確保整個網絡安全的話是不夠的,需要結合其他方法才能夠確保整個網絡系統(tǒng)的安全。加強對物理安全措施和網絡主機的操作系統(tǒng)安全是提高網絡系統(tǒng)安全的方法。對于電腦防護安全的重要程度來看的話,文件系統(tǒng)安排在第一位,接下來是應用服務安全、系統(tǒng)服務安全、操作系統(tǒng)的內核安全以及主機系統(tǒng)的物理安全。從安全防范措施來看,針對于主機的安全檢查和漏洞的修補,加上系統(tǒng)進行安全備份則是作為輔助檢查來保護系統(tǒng)的安全性。有效控制突破防火墻和發(fā)起的內部攻擊是確保網絡系統(tǒng)安全的第二個措施。最后的防護網絡系統(tǒng)的方法是進行系統(tǒng)備份,這個也是在黑客攻擊網絡系統(tǒng)之后進行的系統(tǒng)修復。對系統(tǒng)進行安全檢測,入侵查看和應急處理所采用的一整套的安全檢查和各項應對措施,則是在防火墻和主機安全措施使用之后所采取的方法。黑客攻擊的方法是這樣展開的,突破防火墻和網絡主機的限制,從網絡鏈路層識別網絡狀態(tài)信息,然后進行輸入,然后進行入侵檢測子系統(tǒng)。判定是否有入侵檢測系統(tǒng),可以看是否有相關入侵事件的發(fā)生,一旦有這樣的情況,采取應急措施,警示對方。系統(tǒng)安全審計還可以對信息來源加以修正,能夠有效預防攻擊者所發(fā)出的攻擊行為,妥善處理其后果,有效提高系統(tǒng)安全性。

2.5 網絡防火技術的安全性

隱蔽智能網關是目前安全指數最高的防火墻技術,它的隱秘性則是體現在公共系統(tǒng)之后,能夠避免入侵者的直接攻擊。隱蔽智能網關有連個作用,第一禁止不法分子對專用網絡在沒有授權訪問的基礎下進行訪問,也能夠對訪問互聯網的人進行有效的日志備忘。它的安全級別之高,也是確保網絡系統(tǒng)安全的一種非常有效的方法,同時也能夠阻止不法分子的破壞和入侵。

3 結語

通過上述分析,得出以下結論:為了確網絡安全的最大化效益準則,我們應該要對電力調度自動化系統(tǒng)網絡安全隱患加以重視,積極深入探索。為了確保電力調度系統(tǒng)和電力系統(tǒng)的安全使用的標準,應該做到各項安全措施的落實,采用科學的防護手段來提升其整體性的使用安全效益。

參考文獻

[1]許林沖.淺論現代電力系統(tǒng)自動化技術[J].中國城市經濟,2011.

[2]詹俊平,戴慧.淺談電力系統(tǒng)調度自動化技術應用及發(fā)展[J].科技創(chuàng)新與應用,2013.

篇7

關鍵詞:供電局;計算機信息系統(tǒng)網絡安全;優(yōu)化

中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2015)35-0008-02

Abstract: With more attention paid to the state grid corporation of the information system management system, the computer network system of power supply bureau can not meet production demands.Establish perfect computer network information system security is imperative in the development of power supply company.The reasonable optimization scheme was made to solve the hidden danger and security issues in the system by an analysis of the errors existed in the operation of the information network system running,to ensure the safe operation of power supply bureau information network system.

Key words: power supply company; the computer information network security system; optimize

隨著供電局信息化管理進程的不斷加快,在電力行業(yè)的日常業(yè)務中各種信息管理系統(tǒng)如資產、營銷、財務、人資、協同辦公、綜合管理等被廣泛應用,這些系統(tǒng)具有及時性、便捷化等優(yōu)勢,逐漸發(fā)展成為供電局的發(fā)展方向。但高技術和高信息化的作用下也伴隨著高風險的存在。隨著供電局電力業(yè)務對計算機的依賴越來越深,一旦計算機信息系統(tǒng)出現任何的故障和問題,就影響供電局電力系統(tǒng)的安全運行,會造成不可估計的經濟損失。因此對供電局計算機信息系統(tǒng)網絡安全的優(yōu)化對于保障供電局信息化業(yè)務安全、穩(wěn)定運行顯得十分的重要。

1 現狀分析

汕頭潮陽供電局的信息系統(tǒng)經過歷年的發(fā)展,已經初具一定的規(guī)模,也是廣東電網汕頭供電局信息系統(tǒng)的重要組成部分。潮陽供電局承載著資產、營銷、財務、人資、協同辦公、綜合管理等多項重要的業(yè)務,因此保障信息網絡的安全穩(wěn)定運行,對于供電局的安全生產和經營管理起著十分重要的作用。本文試從汕頭潮陽供電局的信息系統(tǒng)網絡安全等各個方面的問題進行分析。

1.1 信息網絡支持系統(tǒng)分析

隨著汕頭潮陽供電局信息化經營管理的不斷發(fā)展,信息化管理企業(yè)在其功能上實現了很大的改變,總體的布局滿足了信息管理的功能和建設的原則。隨著網絡技術的不斷發(fā)展,在供電局的日常業(yè)務和經營管理中已經對計算機信息系統(tǒng)越來越依賴,但網絡以及服務器設備經過長時間的使用存在著很大的安全隱患,具體表現為機房設備落后、系統(tǒng)數據存儲不可靠等問題日益突出。另一方面設備的供電電源存在著安全隱患。一旦電源出現故障,就會造成信息系統(tǒng)數據傳輸中斷,且沒有后背的電源用于供電,造成了計算機網絡設備的停止運行,信息系統(tǒng)的安全得不到有效地保障。因此需要改造這些網絡設備的單向供電線路,提供可靠的設備供電電源和后備電源,保障信息系統(tǒng)的安全運行。

1.2 計算機信息系統(tǒng)網絡的分析

計算機信息系統(tǒng)的網絡安全管理部分缺少核心設備,造成網絡系統(tǒng)對風險的抵御能力降低。供電局的計算機網絡設備一般將匯聚交換機作為核心,并且與各分局的網絡設備相互連接構成大型的局域網絡用于信息系統(tǒng)的連接。但交換機在多年的運行過程中安全性和穩(wěn)定性大大降低,且與分局之間的連接沒有采取有效的保護措施網絡防護設備,如果網絡傳輸線路一旦發(fā)生故障,網絡核心設備主要集中在市級供電局,導致下屬其他的分局信息系統(tǒng)無法正常的運行。供電局的內部信息一般情況只存在市級局層面信息設備中,抵御外部風險的能力較低。供電局內部和外部的信息傳輸只依賴于一個廣域網上,且在同一個信息系統(tǒng)中運行,且需要完成多項的業(yè)務操作,因此需要對網絡層面?zhèn)鬏斣O備的性能和接口的要求十分的高。如果一旦內部的網絡被黑客或者病毒攻擊,就有可能導致計算機信息系統(tǒng)的癱瘓,造成供電局信息系統(tǒng)數據的丟失和利益受損。

1.3 信息系統(tǒng)網絡的管理分析

供電局的信息系統(tǒng)網絡在運行的過程中需要加強實時的防護的監(jiān)測,并且要實時分析網絡系統(tǒng)的風險,及時地采取有效的技術措施抵御各種網絡風暴攻擊,提高系統(tǒng)運行的穩(wěn)定性和可靠性。供電局的信息系統(tǒng)網絡建成后需要制定相應的管理辦法,將管理的內容落到實處,按照相關的要求來進行操作,從而將信息系統(tǒng)網絡安全的風險降到最低。

2供電局信息系統(tǒng)網絡的優(yōu)化方案

2.1 安全防護建設

在供電局的日常經營管理過程中將信息系統(tǒng)劃分為三個主要的部分:信息外網、信息內網和生產經營數據存儲區(qū)域,加強對這三個部分的保護,提升三個部分的安全等級和防御措施。將供電局的信息系統(tǒng)網絡分為外網和內網,信息內網用于支持日常的業(yè)務,提供客戶終端的對各業(yè)務系統(tǒng)的運行和操作。外網主要與網絡連接用于業(yè)務的辦理,同時也用于用戶的互聯網訪問。信息外網和內網相互隔離開來,使用獨立的服務器和主機運行,防止出現故障導致供電局網絡的癱瘓。實現內部網絡和外部網絡安全分區(qū)和專網專用等措施,實現網絡的縱向和橫向的隔離,信息管理實現分區(qū)域管理,提高安全防御的策略。分區(qū)域防護的基礎上對每層網絡加強防護,劃分信息外網和內網范圍內的設備,加強對設備的多層維護,層層遞進,提高安全系數。生產經營數據存儲區(qū)域主要采取異地容災措施,信息系統(tǒng)運行產生的數據主要存儲于更高管理層面的市級局與省公司,避免由于網絡癱瘓或不可估量的各種網絡風暴攻擊而造成系統(tǒng)數據丟失。

2.2 優(yōu)化網絡結構

供電局信息系統(tǒng)網絡可以采用骨干級路由交換機,在每臺交換機上提供兩套電源設備,一套主要的電源設備,另一套用于設備故障后的備用電源,另外應配備相應的機箱風扇。在交換機上設置相應的管理模塊,不但可以進行冗余備份,還可以進行冗余負載。核心交換機之間配備交換模塊,并且通過冗余協議進行連接,實現網絡層面的冗余。優(yōu)化配置各級的虛擬局域網,并且選擇合適的路由器作為達到負載均衡。這樣如果設備出現任何的故障,可以由另一臺路由器承擔業(yè)務職能。對于接入層到骨干層的連接,采用兩條千兆以上的以太網進行連接,并且配備相應的接口,連接兩臺核心交換機,一條作為主要的鏈路,一條作為備用的鏈路,如果主鏈路發(fā)生故障,可以切換到備用的鏈路上,存放網絡核心交換設備和匯聚交換設備需配備恒溫網絡專用機房,提高網絡運行的穩(wěn)定性。

2.3 建立內外網訪問管理審批機制

隨著信息建設與應用的推廣,供電企業(yè)實現了生產與經營的信息化管理,信息支撐環(huán)境也在不斷的升級和改造,網絡信息系統(tǒng)更加凸顯便捷化和快速化的特性,企業(yè)員工日常對信息網絡的使用需求日益迫切。因此需要加強對用戶訪問信息系統(tǒng)網絡的管理和監(jiān)控也是不可欠缺的組成部分,信息系統(tǒng)管理員通過一系列行之有效的系統(tǒng)權限訪問管理審批流程,從而保障了信息系統(tǒng)的安全高效運行。網絡管理機制可以利用和優(yōu)化信息系統(tǒng)資源,能夠對供電局的業(yè)務和服務進行直接的監(jiān)控和管理。在網絡發(fā)生故障時可以提高信息系統(tǒng)管理的速度,從而及時的解決問題。網絡管理機制可以提高網絡的安全運行,保障設備和業(yè)務的穩(wěn)定性,分析匯總網絡的信息網絡系統(tǒng)的運行狀態(tài),然后把這些數據用于系統(tǒng)的維護和管理中。

3 建立信息管理的應急機制

為了進一步提高網絡信息系統(tǒng)的安全性和穩(wěn)定性,需要建立相應的信息管理應急機制,提高網絡與信息系統(tǒng)的應急防災和災難恢復能力。針對當前的網絡信息系統(tǒng)的應用環(huán)境,建立相應的應急機制,針對計算機病毒和黑客攻擊所造成的網絡癱瘓,建立相應的應對預案和故障處理措施,保障信息系統(tǒng)的安全穩(wěn)定運行和應急防災能力。應急預案的制定要根據信息系統(tǒng)上線后的狀態(tài)制定,并且對應急預案進行實時演練和動態(tài)評估,保障預案的可靠性。每年對信息網絡技術人員進行專業(yè)的培訓,提高技術人員對信息系統(tǒng)網絡應急預案的管理水平,加強對信息系統(tǒng)技術的人員的技術培訓,從而為信息網絡系統(tǒng)的運行提供可靠的技術支撐。

4 強化信息系統(tǒng)用戶的管理和訪問

信息網絡系統(tǒng)的安全要對交換機、防火墻等進行綜合的管理,對一些重要性的設備訪問權限提高訪問用戶的級別,用戶的訪問設置一定的權限,沒有授權的用戶不能隨意的更改信息和訪問數據,提高網絡訪問的安全性,防患于未然。

5總結

供電局的信息網絡安全是一項長期而復雜的工程,需要根據供電局現有的網絡運行環(huán)境和信息系統(tǒng)環(huán)境,加強安全和防護技術,采取有效的措施和預案計劃將信息系統(tǒng)網絡的運行風險降到最低,從而使信息系統(tǒng)為供電局的生產經營管理發(fā)揮更加優(yōu)質、便捷的服務,助力智能電網企業(yè)更好更快的發(fā)展。

參考文獻:

[1] 劉育權,華煌圣,李力,王莉,劉金生.多層次的廣域保護控制體系架構研究與實踐[J].電力系統(tǒng)保護與控制,2015(5):112-122.

篇8

國內外網絡安全產品和解決方案提供商,如思科、華為賽門鐵克、IBM、綠盟科技等,致力于為電信運營商提供電信網絡安全解決方案,它們的產品也越來越多地應用到電信的運營支撐系統(tǒng)中,成為電信網絡安全的“好管家”。

思科:PIX防火墻

作為領先的網絡安全產品提供商,思科提供的產品包括防火墻、入侵檢測系統(tǒng)、安全管理系統(tǒng)等等。其中,思科PIX防火墻系列能夠提供空前的安全保護能力,它的保護機制的核心是能夠提供面向靜態(tài)連接防火墻功能的自適應安全算法(ASA)。靜態(tài)安全性雖然比較簡單,但與包過濾相比,功能卻更加強勁;另外,與應用層防火墻相比,其性能更高,擴展性更強。ASA可以跟蹤源和目的地址、傳輸控制協議(TCP)序列號、端口號和每個數據包的附加TCP標志。只有存在已確定連接關系的正確的連接時,訪問才被允許通過思科PIX防火墻。這樣做,內部和外部的授權用戶就可以透明地訪問企業(yè)資源,而同時保護了內部網絡不會受到非授權訪問的侵襲。

編輯點評:目前國內政府、電信、金融等各類企業(yè)面臨著眾多復雜Web應用安全問題,如黑客攻擊、蠕蟲病毒、DDoS攻擊、SQL注入、跨站腳本、Web應用安全漏洞利用、網頁篡改等。防火墻的出現讓這些安全問題在很大程度上得到緩解。不過,目前現有的解決方案如運行在應用層的基于的防火墻具有很多限制條件,包括性能低、需要昂貴的通用平臺、使用開放系統(tǒng)如UNIX時本身就具有安全風險等。而由思科生產的PIX防火墻系列突破這些限制條件,大大地提高了安全防護能力,為電信運營商的網絡安全提供強有力的支持。

華為賽門鐵克:SecowayUSG5000

USG5000防火墻是華為賽門鐵克面向大中型企業(yè)以及電信運營網推出的統(tǒng)一安全網關設備,該產品除了提供命令行方式外,還提供了圖形化用戶界面。USG5000為1U標準機箱,帶Console口,有4對固定的以太網光電互斥GE口,2個USB2.0接口,并為用戶提供了2個擴展插槽,可安裝4FE或2GE光電互斥接口模塊。機箱還裝有兩個交流或直流電源模塊,可實現雙路供電及電源的冗余備份,支持熱插拔。USG5000采用集成的軟件和硬件平臺,采用了專有的、實時的操作系統(tǒng),可靈活劃分安全區(qū)域,當數據在分屬于兩個不同安全級別的接口之間流動的時候,會激活USG5000的安全規(guī)則檢查功能。

編輯點評:華為作為領先的電信行業(yè)解決方案提供者,賽門鐵克作為存儲和安全產品生產商,兩者的結合致力于為電信運營商提供更可靠的網絡安全產品和解決方案。USG5000支持HRP協議,備份關鍵配置命令和會話表狀態(tài)信息,在主設備出現故障時由備用設備平滑接替工作,在最大程度上確保了運營商的網絡系統(tǒng)安全。而近日華為賽門鐵克推出的USG6000防火墻產品更是將安全級別提高了一個層次,關注NAT、DDoS攻擊,另外還是一款綠色產品。

IBM:IBMISS防入侵系統(tǒng)

IBMISS防入侵系統(tǒng)通過IBMISSX-Force調查和開發(fā)組收集的最新弱點和威脅信息提供支持。擁有全面的解決方案,可以滿足企業(yè)用戶的多種需求。而且IBM提供的防入侵解決方案可以通過軟件和產品以及托管服務的形式提供,幫助企業(yè)用戶識別對網絡、桌面、服務器以及消息接發(fā)系統(tǒng)的威脅。IBMISS的Proventia網絡入侵防護系統(tǒng)(NIPS)產品,可以在互聯網攻擊影響到企業(yè)網絡之前提供前瞻性的安全防護。Proventia網絡入侵防護系統(tǒng)可以透明接入并以線速攔截入侵嘗試,拒絕服務(DoS)攻擊,惡意代碼傳播、后門活動和基于網絡的混合威脅,而并不會影響網絡性能,也不需要重新配置網絡。

編輯點評:IBMISS解決方案以IBMX-Force研發(fā)組為后盾,他們擁有豐富的安全知識,是全球實力最強大的企業(yè)網絡弱點和威脅研究機構。通過來自IBMISS的防入侵產品對企業(yè)用戶的網絡、服務器和桌面架構進行保護,免受入侵影響,推出的系列產品旨在阻止惡意數據傳輸對企業(yè)用戶網絡造成的影響。防入侵解決方案性能更卓越,能夠為用戶提供前瞻性的保護,具有更高的可用性,部署和管理也很簡單。

綠盟科技:冰之眼網絡入侵檢測系統(tǒng)

冰之眼網絡入侵檢測系統(tǒng)(ICEYENetworkIntrusionDetectionSystem)是對防火墻的有效補充,實時檢測網絡流量,監(jiān)控各種網絡行為,對違反安全策略的流量及時報警和防護,實現從事前警告、事中防護到事后取證的一體化解決方案。冰之眼網絡入侵檢測系統(tǒng)具有三大功能:入侵檢測:對黑客攻擊、蠕蟲病毒、木馬后門等行為進行實時檢測及報警,并通過與防火墻聯動、TCPKiller、發(fā)送郵件、控制臺顯示等方式進行動態(tài)防護;行為監(jiān)控:對網絡流量進行監(jiān)控,對P2P下載、IM即時通信等嚴重濫用網絡資源的事件提供告警和記錄;流量分析:對網絡進行流量分析,實時統(tǒng)計出當前網絡中的各種報文流量。

編輯點評:伴隨著網絡的發(fā)展,也產生了各種各樣的安全問題,網絡中蠕蟲、病毒及垃圾郵件肆意泛濫,木馬無孔不入,DDoS攻擊越來越常見,黑客攻擊行為幾乎每時每刻都在發(fā)生。如何及時地、準確地發(fā)現違反安全策略的事件,并及時處理,是廣大企業(yè)用戶迫切需要解決的問題。冰之眼網絡入侵檢測系統(tǒng)是綠盟科技自主知識產權的安全產品,包括從百兆到千兆處理性能的ICEYE-200D/600D/1200D/1600D四種型號,可以滿足從中小企業(yè)到大型企業(yè)和電信運營商的各種組網需求,為他們的系統(tǒng)安全提供強大支持。

趨勢科技:NetworkVirusWallEnforcer2500

篇9

[關鍵詞]分區(qū)防護;電力信息網絡;體系結構

引言

電力信息系統(tǒng)包括電力調度自動化系統(tǒng)、能量管理系統(tǒng)EMS、配電自動化系統(tǒng)DAS、配電管理系統(tǒng)DMS、管理信息系統(tǒng)等系統(tǒng)。隨著電力信息網絡系統(tǒng)的廣泛應用,既要防止外部的也要防止內部的各種攻擊,電力信息系統(tǒng)信息安全的問題日益突出,已成為影響電力系統(tǒng)生產和經營正常運行的重大問題。由于電力系統(tǒng)是國民經濟的基礎設施,決定了其網絡信息安全既具有一般計算機信息安全的特征,更要考慮高安全要求的特征。針對電力信息網絡系統(tǒng)的特點,設計了一種基于分區(qū)防護的電力網絡信息安全體系結構,并對其所用的安全隔離技術進行了分析,該設計可提高電力信息網絡系統(tǒng)的信息安全。

1、電力信息系統(tǒng)網絡信息安全的體系結構

電力信息系統(tǒng)網絡信息安全的體系結構采取專用網絡和公共網絡相結合的網絡結構,如圖1所示,其中,SPDnet(調度信息網)和SPnet(電力信息網)是電力專用網絡。為了保障電力系統(tǒng)的安全,根據電力系統(tǒng)各部分對安全的不同要求程度,將電力網絡信息系統(tǒng)劃分為三層四區(qū),具體分析如下。電力信息業(yè)務劃分為三層:第一層――自動化系統(tǒng),第二層――生產管理系統(tǒng),第三層――電力信息管理系統(tǒng)及辦公自動化系統(tǒng)。將三層功能與電力信息網絡結構對應起來產生四個安全工作區(qū)域:安全區(qū)Ⅰ――SPDnet支撐的自動化系統(tǒng),凡是具有實時監(jiān)控功能的系統(tǒng)或其中的監(jiān)控功能部分均應屬于該區(qū)。如,調度自動化系統(tǒng)、相量同步測量系統(tǒng)、配電自動化系統(tǒng)、變電站自動化系統(tǒng)、發(fā)電廠自動監(jiān)控系統(tǒng)等,是電力系統(tǒng)安全防護的重點。安全區(qū)Ⅱ――SPDnet支撐的生產管理系統(tǒng),原則上不具備控制功能的生產業(yè)務和批發(fā)交易業(yè)務系統(tǒng)屬于該區(qū),如,水調自動化系統(tǒng)、電能量計量系統(tǒng)、發(fā)電側電力市場交易系統(tǒng)等。安全區(qū)Ⅲ――SPnet支撐的進行生產管理系統(tǒng),如,調度生產管理系統(tǒng)、雷電檢測系統(tǒng)、氣象信息接入和客戶服務等。安全區(qū)Ⅳ――SPnet支撐的電力信息管理系統(tǒng),如MIS和OAS等。電力網絡信息安全的體系結構如圖1所示。

從圖1中可以看出,電力網絡信息安全的體系結構體現了以下安全策略:(1)分區(qū)安全防護。根據系統(tǒng)中業(yè)務的重要性和對一次系統(tǒng)的影響程度,將電力信息網絡系統(tǒng)劃分為四個安全工作區(qū),重點保護在安全區(qū)Ⅰ中的實時監(jiān)控系統(tǒng)和安全區(qū)Ⅱ中的電力交易系統(tǒng)。(2)網絡專用。SPDnet與SPnet通過正向型和反向型專用安全隔離裝置實現(接近于)物理隔離,SPDnet提供二個相互邏輯隔離的MPLS-VPN分別與安全區(qū)Ⅰ和安全區(qū)Ⅱ進行通信。(3)橫向隔離。安全區(qū)Ⅰ和安全區(qū)Ⅱ之間采用邏輯隔離,隔離設備為防火墻,安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ、Ⅳ之間實現(接近于)物理隔離,隔離設備為正向型和反向型專用安全隔離裝置。(4)縱向認證與防護。安全區(qū)Ⅰ、Ⅱ的縱向邊界部署具有認證、加密功能的安全網關(即IP認證加密裝置);安全區(qū)Ⅲ、Ⅳ的縱向邊界部署硬件防火墻。(5)胖Ⅲ區(qū)瘦Ⅱ區(qū)分區(qū)方案和對應的數據中心統(tǒng)一支撐平臺,為適應電網二次系統(tǒng)應用現狀和發(fā)展要求,SCADA/EMS等系統(tǒng)的數據需要在Ⅲ區(qū)重構,以建立適應網絡安全要求的電網調度運行系統(tǒng)數據中心統(tǒng)一支撐平臺。(6)安全區(qū)Ⅳ通過防火墻與Internet相連接。

2、安全隔離技術

電力系統(tǒng)的信息網絡相對Internet來說是一個內部網絡,從被動防護的角度來看,內部網絡的主要安全防護技術為放火墻、入侵檢測技術等;而主動防護則主要采用安全隔離技術等。安全隔離技術主要包括物理、協議隔離技術及防火墻技術。

2.1物理隔離技術。物理隔離技術是指在物理上將內部網與外部網分離,阻斷內部網與外部網的連接,內部網與外部網無法通過直接或間接的方式(包括放火墻或服務器等)連接。物理隔離是防范黑客入侵、病毒、拒絕服務等網絡攻擊的簡單而有效的手段,電力信息網絡系統(tǒng)的安全Ⅰ、Ⅱ區(qū)與安全Ⅲ、Ⅳ區(qū)之間采用物理隔離以保證其安全。物理隔離為內部網劃定了明確的安全邊界,使得網絡的可控性增強,結合有效的安全管理及監(jiān)測、審計等安全技術,可以準確地定位網絡攻擊來源,查找來自內部的攻擊制造者。物理隔離可以有效地確保外部網不能通過網絡連接而侵入內部網,同時防止內部網信息通過網絡連接泄露到外部網。

2.2協議隔離技術。協議隔離技術是在內部網與外部網的連接端點處,配置協議隔離器來隔離內外網。協議隔離器使用了兩臺不同設備上的通用網絡接口分別連接內部與外部網,而設備之間通過使用專用密碼通信協議的專用接口卡進行互連。通常情況下,內外網是斷開的,只有當有信息交換時,內外網才會通過協議隔離器連通。

2.3防火墻技術。防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發(fā)生不可預測的潛在的破壞入。它可以通過檢測、限制或更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。通過設置防火墻相關參數,可以實現數據包過濾、應用級網關和服務等安全功能。

3、結束結

由于電力系統(tǒng)是國民經濟的基礎設施,關系到國計民生,這就決定了其網絡信息安全的設計除了要考慮其一般計算機網絡信息安全的特征外,更要考慮其實時運行控制系統(tǒng)的更高安全要求,本文設計了一種基于分區(qū)防護的電力網絡信息安全體系結構,分析了其所用的安全隔離技術,該設計可提高電力信息網絡系統(tǒng)的信息安全。

參考文獻

[1]王剛軍,張學松,郭志忠.電力信息安全的監(jiān)控與分析[J].電網技術,2004,vol.28(9):50~53.

[2]高新華,王文,馬驍.電力信息網絡安全隔離設備的研究[J].電網技術,2003,vol.27(9):69~72.

[3]胡炎,謝小榮,辛耀中.電力信息系統(tǒng)現有安全設計方法分析比較[J].電網技術,2006,vol.30(4):36~42.

篇10

[關鍵詞]電子檔案;網絡安全;解決措施

電子檔案的網絡安全是指在網絡環(huán)境下,能夠確保電子檔案的保密性、完整性和可用性。其中,保密性是指電子檔案在傳輸和訪問的過程中,即使被截取,電子檔案的信息內容也不會泄露;完整性是指電子檔案的數據、結構、背景信息等內容在網絡環(huán)境下進行傳輸和利用時,不會發(fā)生缺損、篡改或者惡意刪除;可用性是指用戶在網絡環(huán)境下可以對被授權的電子檔案進行合法訪問,并獲取相應的電子檔案信息。

電子檔案的網絡安全是一項綜合性課題,也是一項動態(tài)性工程,既要注重技術因素,不斷改進和完善技術措施,又要從安全管理的角度出發(fā),引入非技術因素,即人為因素,加強管理,從而將檔案網絡安全工作引入更深的層次。

一、技術層面的保障策略

1.設置防火墻。如果管理檔案的計算機為數不多或者預算資金有限,可以購買防火墻軟件;如果管理檔案的計算機數目很多,則需要設置防火墻專用機器,并在其上安裝防火墻。同時,還必須對防火墻進行一些安全設置,包括設置正確的安全過濾規(guī)則,以便達到防范源地址假冒、源路由類型攻擊和防止IP地址被盜用的效果。管理人員應定期查看防火墻訪問日志,以便及時發(fā)現惡意攻擊行為和不良上網記錄,從而真正做到御“敵”于網外。

2.安裝正版殺毒軟件并及時更新。殺毒軟件是病毒的克星,首先要在管理電子檔案的計算機上安裝殺毒軟件。殺毒軟件應為正規(guī)廠家的正版產品,具備查殺一體功能,以便能徹底清除病毒。其次要設置提醒程序或者自動掃描日程,定期對計算機進行掃描。再次要及時更新安裝的殺毒軟件,使病毒數據庫始終保持在最新狀態(tài)。

3.操作系統(tǒng)及其應用軟件的安全使用。首先,在安裝操作系統(tǒng)的過程中,安裝所需軟件;其次,對使用頻率不高的應用程序可以選擇禁用,當需要時再開啟;再次,及時為操作系統(tǒng)安裝補丁,漏洞是操作系統(tǒng)致命的安全缺陷,只有及時更新補丁程序,才能有效預防操作系統(tǒng)漏洞型病毒的攻擊。

4.多種手段并行,切實做好防御工作。第一,采用虛擬專用網技術。虛擬專用網是在公共數據網絡上,通過采用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。第二,實行網絡地址轉換。即當內部與外部相連時,使用同一IP地址,而當外部絡與內部主機相連時,必須通過網關映射到內部主機上,從而起到隱藏內部網絡、偽裝和保密IP地址的作用。第三,使用服務器。服務器起到訪問的中介作用,使內部和外部網絡間不能直接訪問,從而保證了內部關鍵信息的安全。第四,定制備份。及時對電子檔案建立可靠的數據備份,以有效地預防黑客攻擊、病毒感染等,從而確保電子檔案的安全,提高其遠程訪問的有效性。而對于密級較高、較重要的電子檔案,還可以將其打印為紙質檔案或微縮到膠片上進行保存,以確保萬無一失。第五,創(chuàng)建電子檔案數據庫、電子檔案管理系統(tǒng)。充分利用現代信息安全技術,結合檔案工作特點,建立電子檔案數據庫、電子檔案管理系統(tǒng)是保證電子檔案安全的重要途徑。在一個完善的安全電子檔案數據庫或者管理系統(tǒng)中,用戶必須將其身份信息與利用請求發(fā)送給系統(tǒng),系統(tǒng)再將這些內容轉發(fā)給管理人員,而管理人員則利用相互認證機制,在驗證用戶身份真實、請求合理性之后,才能允許該用戶獲取相關檔案信息。同時,系統(tǒng)會自動生成檔案利用的記錄,即包含用戶的身份、調閱時間、管理人員姓名等,從而建立詳實的檔案利用記錄。對于密級較高的電子檔案,還可以由幾個或幾級管理人員共同審核。

二、管理層面的保障策略

技術是關鍵,管理是方法,如果沒有好的管理,電子檔案的網絡安全性也很難得到保障。因此,只有從管理的角度入手,加強領導層、管理人員和普通工作人員的網絡安全意識,發(fā)現系統(tǒng)安全漏洞,及時對電子檔案安全體系進行審查,才能從根本上減少人為的不安全因素。

1.建立健全電子文檔的歸檔與管理制度。即對電子文件的形成、積累、鑒定、歸檔及電子檔案的保管責任到人,明確規(guī)定歸檔時間、歸檔范圍、技術環(huán)境、相關軟件、版本、數據類型、格式、作數據、檢測數據等;對電子文檔的使用實施有效的監(jiān)控、嚴格的管理,以確保電子信息的真實性、安全性和完整性。