電力監(jiān)控系統(tǒng)安全風險評估范文

時間:2024-01-02 17:44:19

導語:如何才能寫好一篇電力監(jiān)控系統(tǒng)安全風險評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公文云整理的十篇范文,供你借鑒。

電力監(jiān)控系統(tǒng)安全風險評估

篇1

關(guān)鍵詞:信息管理系統(tǒng);安全性;安全隔離

中圖分類號:TP309

隨著信息技術(shù)的廣泛應用,信息管理系統(tǒng)的安全問題也日益突出,信息管理系統(tǒng)需要同時防范內(nèi)部和外部的各種攻擊行為。對于通常意義上的信息管理系統(tǒng)而言,信息系統(tǒng)具有用戶類型眾多、用戶成員分散、訪問權(quán)限多變、系統(tǒng)中數(shù)據(jù)保密性強等特點。為了防止信息管理系統(tǒng)中用戶的操作不當,或者越權(quán)操作給系統(tǒng)帶來的影響,保證信息管理系統(tǒng)的正常運行,就要求信息管理系統(tǒng)必須要具備良好的安全性能,以滿足用戶對系統(tǒng)安全的需求。

1 信息管理系統(tǒng)常用的安全技術(shù)分析

1.1 安全隔離技術(shù)。安全隔離技術(shù)包括物理隔離、協(xié)議隔離和防火墻技術(shù)三種。(1)物理隔離。物理隔離技術(shù)從物理上將布設了信息管理系統(tǒng)的內(nèi)部網(wǎng)絡與Internet外部網(wǎng)絡隔離,從而使得外部網(wǎng)無法直接通過防火墻或者服務器訪問內(nèi)部網(wǎng)絡,是防范病毒、拒絕服務等網(wǎng)絡攻擊的有效手段;(2)協(xié)議隔離技術(shù)。使用協(xié)議隔離器隔離信息管理系統(tǒng)的內(nèi)部網(wǎng)絡和外部網(wǎng)絡,在協(xié)議隔離器上用兩個接口分別連接內(nèi)部網(wǎng)絡和外部網(wǎng)絡,當需要內(nèi)外網(wǎng)進行數(shù)據(jù)交互時,才會連通協(xié)議隔離器,而通常情況下的內(nèi)外網(wǎng)是斷開的;(3)防火墻技術(shù)。防火墻技術(shù)實現(xiàn)內(nèi)外部網(wǎng)絡的邏輯隔離,防火墻技術(shù)是內(nèi)外網(wǎng)之間的數(shù)據(jù)通信屏障,可以對內(nèi)外網(wǎng)之間的流通的數(shù)據(jù)進行檢測和限制,從而對外部網(wǎng)絡屏蔽內(nèi)網(wǎng)絡的網(wǎng)絡結(jié)構(gòu)、運行狀態(tài)以及內(nèi)部網(wǎng)絡中傳輸?shù)臄?shù)量,達到保護內(nèi)部網(wǎng)絡數(shù)據(jù)的目的。

1.2 系統(tǒng)級安全技術(shù)。(1)操作系統(tǒng)安全。操作系統(tǒng)是應用軟件的基礎支撐平臺,對整個系統(tǒng)的安全性有著非常重要的影響,可以根據(jù)具體的操作系統(tǒng)類型選擇合適的安全機制,例如UNIX平臺上的用戶優(yōu)化管理,以及Windows平臺的用戶權(quán)限和用戶訪問策略,以及在操作系統(tǒng)上安裝防毒軟件等手段來保護系統(tǒng)安全;(2)數(shù)據(jù)加密。數(shù)據(jù)加密技術(shù)無法防止系統(tǒng)中的數(shù)據(jù)被非法用戶竊取,但是可以保證非法用戶在非法獲得信息管理系統(tǒng)中的數(shù)據(jù)后,也無法了解這些數(shù)據(jù)所代表的具體信息。數(shù)據(jù)加密技術(shù)可以改變信息的原有表現(xiàn)形式,從而使得獲得加密數(shù)據(jù)的用戶無法了解數(shù)據(jù)中的真實信息,或者合法用戶可以確認所收到的數(shù)據(jù)是否被篡改。

1.3 應用級安全技術(shù)。(1)動態(tài)權(quán)限策略。根據(jù)信息管理的具體應用業(yè)務流程,并且結(jié)合系統(tǒng)級安全策略,動態(tài)對系統(tǒng)中的不同信息和用戶賦予不同的權(quán)限。例如,在OA系統(tǒng)中,可以設定系統(tǒng)中的具體文檔、合同的閱讀者和審核者范圍,甚至可以對哪些用戶可以文檔中某一部分的內(nèi)容進行閱讀或者修改的權(quán)限進行設定,采用動態(tài)權(quán)限機制來保證系統(tǒng)的安全;(2)操作記錄。將用戶操作進行自動記錄和存檔,同時保存文檔修改之前和之后的版本,從而記錄下文檔的修改軌跡。

2 安全技術(shù)具體應用案例

2.1 信息管理系統(tǒng)安全分析。由于電力市場的特點決定,電力系統(tǒng)參與的各個主體分別代表了不同的利益團體,例如電力公司信息管理系統(tǒng)中的交易熱暖,能夠申報授權(quán)范圍內(nèi)的交易數(shù)據(jù),對市場信息進行查詢;結(jié)算人員可以對各類交易的執(zhí)行情況和執(zhí)行結(jié)果進行考核結(jié)算。因此,為了防止系統(tǒng)用戶在信息管理系統(tǒng)中進行越權(quán)操作,或者操作不當給各方帶來的損失,需要對電力公司的信息管理系統(tǒng)進行安全控制。

由于電力公司所涉及的業(yè)務廣泛,為此電力公司內(nèi)部信息管理系統(tǒng)數(shù)量眾多,主要包括負責對發(fā)電廠、輸配電線、變電站的正常運行和生產(chǎn)進行監(jiān)控的SCADA/EMS系統(tǒng),負責電網(wǎng)調(diào)度運行、電網(wǎng)通信、繼電保護進行綜合管理的DMIS系統(tǒng),負責電力企業(yè)決策支持的MIS系統(tǒng),以及負責電力企業(yè)辦公自動化的OAS系統(tǒng)等。根據(jù)電力行業(yè)的特點,要求在電力公司信息管理系統(tǒng)中必須要確保SCADA/EMS系統(tǒng)的安全性,其他信息管理系統(tǒng)安全性要求也較高。

2.2 信息管理系統(tǒng)網(wǎng)絡結(jié)構(gòu)設計。目前,為了提高電力公司信息管理系統(tǒng)的安全性,電力公司采取如圖1所示的,包括SPnet(電力信息網(wǎng))和SPDnet(調(diào)度信息網(wǎng))的專用網(wǎng)絡和Internet公共網(wǎng)絡相結(jié)合的網(wǎng)絡結(jié)構(gòu)。通過內(nèi)網(wǎng)與外網(wǎng)的物理隔離,既滿足了MIS系統(tǒng)、OAS系統(tǒng)的Internet用網(wǎng)需求,同時也保證SCADA/EMS不能夠直接訪問Internet,從而最大程度上的保證系統(tǒng)安全。

2.3 信息管理系統(tǒng)安全體系結(jié)構(gòu)設計。

如圖1所示,在電力公司信息管理系統(tǒng)安全體系結(jié)構(gòu)中采用了如下的安全策略來保證信息管理系統(tǒng)的安全。(1)分區(qū)安全保護策略。根據(jù)電力公司內(nèi)部各信息管理系統(tǒng)所管理業(yè)務的重要性,對信息管理系統(tǒng)的安全級別進行劃分,重點保護網(wǎng)絡內(nèi)的安全區(qū)Ⅰ內(nèi)的SCADA/EMS實時監(jiān)控系統(tǒng),和安全區(qū)Ⅱ內(nèi)的交易系統(tǒng);(2)橫向隔離。安全區(qū)Ⅰ與安全區(qū)Ⅱ內(nèi)部的時監(jiān)控系統(tǒng),和交易系統(tǒng)采用防火墻進行邏輯隔離,而安全區(qū)Ⅰ、Ⅱ與安全區(qū)Ⅲ、Ⅳ之間采用正向和反向?qū)S玫陌踩綦x裝置進行物理隔離;(3)專網(wǎng)專用。SPDnet調(diào)度網(wǎng)提供兩個邏輯隔離的安全隔離裝置與安全區(qū)Ⅰ和Ⅱ進行通信,SPnet電力信息網(wǎng)與SPDnet調(diào)度網(wǎng)實現(xiàn)物理隔離;(4)縱向認證與保護。安全區(qū)Ⅰ和Ⅱ的邊界都設置了具有加密和認證功能的安全網(wǎng)關(guān),而Ⅲ和Ⅳ的邊界部署了防火墻;(5)整個網(wǎng)絡只有安全級別最低的安全區(qū)Ⅳ通過防火墻直接訪問Internet。從如上的分析可以看出,根據(jù)不同信息管理系統(tǒng)的需要,可以靈活應用物理隔離技術(shù)、邏輯隔離技術(shù),以及輔以系統(tǒng)安全技術(shù)和應用安全技術(shù),來多方位的保證系統(tǒng)中信息管理系統(tǒng)的安全。

3 結(jié)束語

隨著信息技術(shù)的發(fā)展,信息技術(shù)在社會各個領域中的應用也越來越廣泛,由于網(wǎng)絡的開放性,導致信息管理系統(tǒng)不可避免的會面臨著系統(tǒng)的安全性問題。在本研究中主要根據(jù)信息管理系統(tǒng)的特點,對信息管理系統(tǒng)中常用的安全技術(shù)進行分析,并且以電力公司信息管理系統(tǒng)為例,對安全技術(shù)在信息管理系統(tǒng)中的應用進行案例分析。

參考文獻:

[1]沈昌祥,張煥國,馮登國.信息安全綜述[J].中國科學,2007(37):129-150.

[2]陳頌,王光偉.信息系統(tǒng)安全風險評估研究[J].通信技術(shù),2012(01):128-130.

[3]鄭雷雷.故障樹分析法在信息安全風險評估中的應用[J].計算機科學,2011(B10):106-108.

篇2

關(guān)鍵詞:二次安防 電力系統(tǒng) 網(wǎng)絡安全

一、引言

電力生產(chǎn)直接關(guān)系到國計民生,其安全問題一直是國家關(guān)注的重點之一。電力監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡作為電力系統(tǒng)的重要基礎設施,不僅與電力系統(tǒng)生產(chǎn)、經(jīng)營和服務相關(guān),而且與電網(wǎng)調(diào)度和控制系統(tǒng)的安全運行緊密關(guān)聯(lián),是電力系統(tǒng)安全運行的重要組成部分。

隨著通信技術(shù)和網(wǎng)絡技術(shù)的發(fā)展,接入調(diào)度數(shù)據(jù)網(wǎng)的電力控制系統(tǒng)越來越多,調(diào)度中心、變電站、電廠、用戶等之間的數(shù)據(jù)交換也越來越頻繁,這對電力監(jiān)控系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性、可靠性和實時性提出了新的嚴峻挑戰(zhàn)。

二、本地110kV變電站二次系統(tǒng)現(xiàn)狀

目前電力二次系統(tǒng)存在的主要問題有:管理區(qū)和生產(chǎn)區(qū)存在著雙向的數(shù)據(jù)互換;缺乏加密,認證機制,沒有入侵檢測等預警機制;沒有漏洞掃描和審計手段,接入存在安全隱患等。

隨著網(wǎng)絡技術(shù)的迅猛發(fā)展,為滿足網(wǎng)絡技術(shù)在電力系統(tǒng)中的應用,加之通過網(wǎng)絡傳輸遠動信息的迫切要求,IEC國際電工委員會在IEC60870-5-101基本遠動任務配套標準的基礎上,又制定了IEC60870-5-104遠動傳輸規(guī)約標準,廣東電網(wǎng)公司則據(jù)此制定了廣東電網(wǎng)DL/T634.5104-2002實施細則。它采用平衡傳輸模式,通過TCP/IP協(xié)議實現(xiàn)網(wǎng)絡傳輸遠動信息,適用于調(diào)度主站(中心站)EMS系統(tǒng)和子站(遠方站)RTU或計算機監(jiān)控系統(tǒng)之間采用專用Intranet網(wǎng)絡進行通訊。

因此,本地電網(wǎng)在當前已建設完成的地調(diào)、500kV變電站及220kV變電站生產(chǎn)控制區(qū)業(yè)務系統(tǒng)接入調(diào)度數(shù)據(jù)網(wǎng)及相應調(diào)度數(shù)據(jù)網(wǎng)邊界的安全防護的基礎上,進一步完善局本部安全防護體系,并結(jié)合地區(qū)調(diào)度數(shù)據(jù)網(wǎng)建設將安全防護建設范圍拓展至110kV變電站。

三、整體解決方案

1. 安全防護目標及重點

電力二次系統(tǒng)安全防護的重點是抵御黑客、病毒等通過各種形式對系統(tǒng)發(fā)起的惡意破壞和攻擊,能夠抵御集團式攻擊,重點保護電力實時閉環(huán)監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全,防止由此引起電力系統(tǒng)故障。

安全防護目標是防止通過外部邊界發(fā)起的攻擊和侵入,尤其是防止由攻擊導致的一次系統(tǒng)的事故以及二次系統(tǒng)的崩潰;防止未授權(quán)用戶訪問系統(tǒng)或非法獲取信息和侵入以及重大的非法操作。

2. 安全防護策略

安全防護總體策略是:安全分區(qū)、網(wǎng)絡專用、橫向隔離、縱向認證。

2.1安全分區(qū)。

二次系統(tǒng)從邏輯上可劃分為生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū),其中生產(chǎn)控制區(qū)又分為實時控制區(qū)(Ⅰ區(qū))和非控制生產(chǎn)區(qū)(Ⅱ區(qū));生產(chǎn)管理區(qū)又分為調(diào)度生產(chǎn)管理區(qū)(Ⅲ區(qū))和管理信息區(qū)(Ⅳ區(qū)),調(diào)度系統(tǒng)主要負責安全區(qū)Ⅰ、Ⅱ、Ⅲ的安全防護。

2.2網(wǎng)絡專用。

在專用通道上建立調(diào)度專用數(shù)據(jù)網(wǎng)絡,實現(xiàn)與其他數(shù)據(jù)網(wǎng)絡物理隔離。并通過采用MPLS-VPN或IPsec-VPN在專網(wǎng)上形成多個相互邏輯隔離的VPN,以保障上下級各安全區(qū)的縱向互聯(lián)僅在相同安全區(qū)進行,避免安全區(qū)縱向交叉。

2.3橫向隔離。

采用不同強度的安全隔離設備使各安全區(qū)中的業(yè)務系統(tǒng)得到有效保護,在生產(chǎn)控制大區(qū)與管理信息大區(qū)之間,隔離強度應接近或達到物理隔離,必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。在生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間,進行邏輯隔離,采用具有訪問控制功能的網(wǎng)絡設備、防火墻或者相當功能的設施。

2.4縱向認證。

采用認證、加密等手段實現(xiàn)數(shù)據(jù)的遠方安全傳輸。

3. 110kV變電站安全防護方案

110kV變電站二次系統(tǒng)安全防護不接入省調(diào),生產(chǎn)控制大區(qū)可以不再細分,可將各業(yè)務系統(tǒng)和裝置均置于控制區(qū),其總體設計邏輯結(jié)構(gòu)如下圖。該圖示意了二次系統(tǒng)安全區(qū)域的劃分、安全區(qū)域之間橫向互聯(lián)的邏輯結(jié)構(gòu)、安全區(qū)域的縱向互聯(lián)的邏輯結(jié)構(gòu)以及網(wǎng)絡安全產(chǎn)品的總體部署。

3.1縱向加密裝置

用于生產(chǎn)控制大區(qū)的廣域邊界防護,為電力網(wǎng)關(guān)機之間的廣域通信提供認證與加密功能,實現(xiàn)數(shù)據(jù)傳輸?shù)臋C密性和完整性保護。

3.2縱向互聯(lián)防火墻

提供基于策略的會話限制,方便用戶對網(wǎng)絡中會話的管理,有效抵御內(nèi)外部對網(wǎng)絡的攻擊和濫用。

3.3控制區(qū)互聯(lián)交換機

在控制區(qū)互聯(lián)交換機上將站端調(diào)度數(shù)據(jù)網(wǎng)實時VPN業(yè)務段地址劃分為兩個VLAN(VLAN100和VLAN199),其中VLAN100用于遠動等自動化業(yè)務的接入和通過縱向加密認證裝置與調(diào)度數(shù)據(jù)網(wǎng)實時VPN的互聯(lián),VLAN199用于保信等其它業(yè)務系統(tǒng)的接入和通過防火墻與調(diào)度數(shù)據(jù)網(wǎng)非實時VPN互聯(lián)。

四、結(jié)束語

本文就目前電力監(jiān)控系統(tǒng)和調(diào)度數(shù)據(jù)網(wǎng)絡面臨越來越多的安全威脅,進而影響電網(wǎng)安全的形勢下,對電力二次系統(tǒng)安全防護的主要目標及防護策略展開分析,并介紹本地區(qū)供電局在110kV變電站二次系統(tǒng)安全防護的實施方案。隨著計算機技術(shù)發(fā)展,計算機網(wǎng)絡安全是電力生產(chǎn)安全密不可分的一部分。除了依據(jù)國家規(guī)定建立可靠的網(wǎng)絡安全技術(shù)構(gòu)成的安全防護體系外,還必須建立健全完善的網(wǎng)絡安全管理制度,形成技術(shù)和管理雙管齊下,才能真正達到保證安全的目的。同時,調(diào)度自動化安全防護是一個動態(tài)的工作過程,而不是一種狀態(tài)或目標。隨著風險、人員、技術(shù)不斷地變化發(fā)展,以及調(diào)度應用與應用環(huán)境的發(fā)展,安全目標和策略也發(fā)生著變化,電力二次系統(tǒng)的安全管理需要不斷跟蹤并應用新技術(shù),定期進行風險評估、加強管理,才能保障電力行業(yè)調(diào)度安全穩(wěn)定、高效可靠運行。

參考文獻:

[1]國家電力監(jiān)管委員會,電力二次系統(tǒng)安全防護總體方案[R],2006.

篇3

關(guān)鍵詞 電力企業(yè);信息安全;防護措施

中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2012)65-0022-03

信息化是社會生產(chǎn)力與生產(chǎn)方式發(fā)展的一個必然趨勢,是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業(yè)管理水平與生產(chǎn)效能的提高,信息資源作為一種重要的資源,其重要性逐漸被人們所認識。電力企業(yè)屬于技術(shù)密集型產(chǎn)業(yè),對于生產(chǎn)自動化與集約化都有著較高的要求,因此也是較早的進行信息化建設的一批企業(yè),并且也取得了一些顯著的成效,但是也正是因為起步較早,缺乏經(jīng)驗,因此在信息化網(wǎng)絡的建設中總是存在著很多問題,而這些問題已經(jīng)逐漸成為了電力企業(yè)網(wǎng)絡信息安全的隱患,因此,加強網(wǎng)絡信息安全已經(jīng)成為了電力企業(yè)發(fā)展的重要組成部分。

1 電力企業(yè)網(wǎng)絡信息安全現(xiàn)狀分析

各級電力企業(yè)因為生產(chǎn)經(jīng)營與管理的需要,都在不同程度上建成了自己的自動化系統(tǒng),變電站基本也實現(xiàn)了“四遙”和無人值守。并且也建立起了企業(yè)自己的管理系統(tǒng)來對生產(chǎn)、營銷、財務、行政辦公等工作進行覆蓋,并已經(jīng)進行了實用化具有較高安全等級的調(diào)度自動化系統(tǒng)已經(jīng)通過WEB網(wǎng)關(guān)與MIS之間進行相互的信息訪問,部分地方已經(jīng)安裝了正向隔離器,進而實現(xiàn)了物理隔離與數(shù)據(jù)的安全訪問。

各個電力企業(yè)已經(jīng)制定了安全策略,并實施了一部分,同時實現(xiàn)了互聯(lián)網(wǎng)的安全接入。

將營銷支持網(wǎng)絡與呼叫接入系統(tǒng)和MIS網(wǎng)絡進行了整合,并且已經(jīng)與用戶、銀行等企業(yè)實現(xiàn)了信息的安全共享,對自身的服務手段進行了優(yōu)化。

邊遠地區(qū)的班站基本都通過VPN技術(shù)來實現(xiàn)了遠程班組聯(lián)網(wǎng)的要求,并能夠?qū)崿F(xiàn)大范圍的信息共享,而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構(gòu)建起基于互聯(lián)網(wǎng)的各種遠程服務。

2 電力企業(yè)網(wǎng)絡信息安全方面存在的問題

2.1不同的網(wǎng)絡之間沒有嚴格的進行等級劃分

根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》,電力企業(yè)對于不同安全等級的網(wǎng)絡必須要進行安全等級的劃分。在縱向上,電力企業(yè)需要實現(xiàn)實時監(jiān)控系統(tǒng)之間的互聯(lián)。各個自動化系統(tǒng)與低調(diào)系統(tǒng)之間都是通過載波進行單向數(shù)據(jù)轉(zhuǎn)發(fā),而部分基層電力企業(yè)都沒有實現(xiàn)網(wǎng)絡化的數(shù)據(jù)傳輸,同時在主站與廠站之間也沒有實現(xiàn)光纖載波雙通道。在橫向上,要求能夠?qū)崿F(xiàn)實時監(jiān)控系統(tǒng)與非實時監(jiān)控系統(tǒng)之間的相互連接。根據(jù)當前的互聯(lián)網(wǎng)現(xiàn)狀與通信現(xiàn)狀,主要還存在著這些問題:1)單向數(shù)據(jù)的傳輸難以實現(xiàn)真正意義上的數(shù)據(jù)共享,同時在與非實時系統(tǒng)之間的接口上也沒有進行標準數(shù)據(jù)接口的建設;2)部分電力企業(yè)沒有利用MPLS VPN技術(shù)組建數(shù)據(jù)調(diào)度網(wǎng),沒有滿足相關(guān)的安全要求;3)上下級的調(diào)度之間沒有部署必須的認證加密裝置。

2.2隨著技術(shù)的發(fā)展與電力企業(yè)的業(yè)務發(fā)展,現(xiàn)有的網(wǎng)絡安全防護能力難以滿足要求

隨著信息技術(shù)的發(fā)展與電力企業(yè)自身業(yè)務的發(fā)展要求,網(wǎng)絡安全越來越受到重視,但是現(xiàn)有的網(wǎng)絡安全防護能力明顯不足,缺乏有效的管控手段,同時管理水平也急需要提高。如今的電力企業(yè)還缺少一套完善的服務器病毒防護系統(tǒng),有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件,有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件,相對而言,防護能力還有所不足。當受到攻擊時,容易出現(xiàn)系統(tǒng)癱瘓。同時還沒有能夠建立起一套完善的數(shù)據(jù)備份恢復機制,如果數(shù)據(jù)受到破壞,那么所受到的損失將難以估量。沒有一套完善的網(wǎng)管軟件,難以對一些內(nèi)部用戶的過激行為進行有效的監(jiān)管,例如IP盜用、沖突,濫用網(wǎng)絡資源(BT下載等),等等。還沒有能夠建立起一套完善的評測和風險評估制度,對于當前電力企業(yè)的網(wǎng)絡安全現(xiàn)狀難以進行有效的評估。同時,我國也缺乏專業(yè)的評測機構(gòu),這就使得電力企業(yè)網(wǎng)絡安全風險與隱患都難以被及時發(fā)現(xiàn)和進行有效的防范,使得電力企業(yè)的防范能力難以得到持續(xù)增強。

2.3電力企業(yè)服務器存在的安全隱患

在電力系統(tǒng)中有著十分眾多的服務器。隨著網(wǎng)絡攻擊手段與攻擊技術(shù)的不斷更新,服務器攻擊愈演愈烈,因此擁有眾多服務器的電力系統(tǒng)成為了攻擊的首選對象。在電力企業(yè)中的服務器主要包括了數(shù)據(jù)庫服務器、應用服務器、Web服務器、算費服務器、銀電聯(lián)網(wǎng)服務器等多種服務器,眾多的服務器也使得其存在著嚴重的安全隱患:1)電力企業(yè)的網(wǎng)絡中,每一個服務器都擁有自己獨立的認證系統(tǒng),但是這些服務器卻缺乏統(tǒng)一的權(quán)限管理策略,管理員難以進行統(tǒng)一的有效管理;2)Web服務器和流媒體服務器長期遭受到來自于互聯(lián)網(wǎng)的DDoS以及各種病毒的侵襲;3)讓郵件服務器中受到大量的垃圾郵件的干擾,并且也難以進行有效的信息監(jiān)管,經(jīng)常會發(fā)生企業(yè)員工通過電子郵件來傳遞企業(yè)的機密信息的安全事件;4)權(quán)限劃分不明確,容易受到來自外部黑客的攻擊,例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數(shù)據(jù)庫中的機密數(shù)據(jù);5)與總公司服務器通信過程中有些機密信息由于沒有采取加密措施,很容易被竊聽而泄密。

2.4各種惡意網(wǎng)頁所帶來的網(wǎng)絡安全威脅

電力企業(yè)擁有自己的主題網(wǎng)站,并通過互聯(lián)網(wǎng)與外網(wǎng)相連。每一個電腦使用者都會通過對網(wǎng)頁的點擊來尋找對自己有用的信息,電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連,因此,電力企業(yè)中的員工也會通過與外網(wǎng)的鏈接,從互聯(lián)網(wǎng)中搜索對自己有用的信息,但是并不是所有的網(wǎng)頁都是安全的,有一些網(wǎng)站的開發(fā)者或者是黑客會為了能夠達到某種目的對網(wǎng)頁進行修改,進而達到某種目的,當電力企業(yè)的內(nèi)部員工通過電力企業(yè)內(nèi)部的網(wǎng)絡進行訪問時,就會受到來自這些惡意網(wǎng)頁的攻擊。

2.5設備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化建設較早,這就導致了很多設備與軟件都出現(xiàn)了各種安全漏洞,這些都導致了不良安全后果的程度增加。信息網(wǎng)絡自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素;存儲介質(zhì)損壞造成大量信息的丟失,殘留信息泄密,計算機設備工作時產(chǎn)生的輻射電磁波造成的信息泄密。信息網(wǎng)絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊,是導致安全事件發(fā)生的主要原因。

3 電力企業(yè)網(wǎng)絡信息安全防護措施

3.1進行網(wǎng)絡安全風險評估

電力企業(yè)要解決網(wǎng)絡安全問題并不能夠僅僅是從技術(shù)上進行考慮,技術(shù)是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。網(wǎng)絡安全離不開各種安全技術(shù)的具體實施以及各種安全產(chǎn)品的部署,但是現(xiàn)在在市面上出現(xiàn)的安全技術(shù)、安全產(chǎn)品實在是讓人感覺眼花繚亂,難以進行選擇,這時就需要進行風險分析,可行性分析等,對電力企業(yè)當前所面臨的網(wǎng)絡風險進行分析,并分析解決問題或最大程度降低風險的可行性,對收益與付出進行比較,并分析有哪一些產(chǎn)品能夠讓電力企業(yè)用自己最小的代價滿足其對網(wǎng)絡安全的需要,同時還需要考慮到安全與效率的權(quán)衡等。對于電力企業(yè)來說,搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響,將是電力企業(yè)實施安全建設必,須首先解決的問題,也是制定安全策略的基礎與依據(jù)。

3.2構(gòu)建防火墻

防火墻是一種能有效保護計算機網(wǎng)絡安全的技術(shù)性措施,有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網(wǎng)絡中的各種非法訪問以及構(gòu)建起起一道安全的屏障,對于信息的輸入、輸出都能夠進行有效的控制??梢栽诰W(wǎng)絡邊界上通過硬件防火墻的構(gòu)建,對電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的通信進行監(jiān)控,并能夠有效的對內(nèi)網(wǎng)和外網(wǎng)進行隔離,從而能夠阻檔外部網(wǎng)絡的侵人。對于電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對內(nèi)部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發(fā)生,需要對各種數(shù)據(jù)進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業(yè)防火墻體系構(gòu)建如下:

訪問控制列表構(gòu)建防火墻控制體系。通過對訪問控制列表的調(diào)節(jié)能夠有效的實現(xiàn)路由器對數(shù)據(jù)包的選擇。通過對訪問控制列表的增刪,能有效的對網(wǎng)絡進行控制,對流入和流出路由器接口的數(shù)據(jù)包進行過濾,達到部分網(wǎng)絡防火墻的效果。

配置硬件防火墻。在電力企業(yè)中硬件防火墻的使用較多,但是能夠真正發(fā)揮作用的就不多了。在使用硬件防火墻前,需要將防火墻與企業(yè)的整個網(wǎng)絡配置好。首先需要對防火墻的工作模式進行選擇,例如WatchGuard這款防火墻具有兩種工作模式,一種是Drop-In Mode,另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區(qū)”或者是沒有內(nèi)網(wǎng)的網(wǎng)絡環(huán)節(jié)中,因此,電力企業(yè)中就應該選擇Routed Mode這種模式。然后將其中的外接網(wǎng)口、內(nèi)部接口、“非軍事區(qū)”等選項添好,當對網(wǎng)絡設置完成之后,就可以利用相應的GUI 程序與硬件防火墻進行連接,并對應將防火墻進行進一步的配置。在電力企業(yè)中有很多部門,每一個部門對網(wǎng)絡安全的具體需求都不相同。因此,在設置時需要考慮到部門的具體情況。

3.3加強對計算機病毒的預防控制

計算機病毒的防治是網(wǎng)絡安全的主要組成部分,而對電力企業(yè)的網(wǎng)絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態(tài)病毒對企業(yè)的威脅,就必須從監(jiān)控、強制、防止及恢復等四個階段對新型態(tài)病毒進行管理。

控制計算機病毒爆發(fā)次數(shù),降低病毒對業(yè)務所產(chǎn)生的影響。我們知道,病毒從感染單臺客戶機?擴散?爆發(fā),均需要一段空窗期。很多時候,管理人員都是在病毒爆發(fā)之后才能夠發(fā)現(xiàn)問題,但是這時已經(jīng)太晚。因此需要能夠在病毒擴散期就發(fā)現(xiàn)問題根源,才能夠有效的降低病毒爆發(fā)的概率。

網(wǎng)絡層防毒將能夠有效的對病毒進行預防。在電力企業(yè)中,需要將網(wǎng)絡病毒的防范作為最重要的防范對象,通過在網(wǎng)絡接口和重要安全區(qū)域部署網(wǎng)絡病毒墻,在網(wǎng)絡層全面消除外來病毒的威脅,使得網(wǎng)絡病毒不能再肆意傳播,同時結(jié)合病毒所利用的傳播途徑,對整個安全策略進行貫徹。

預防病毒并不能夠完全的依靠病毒的特征碼,還必須要實現(xiàn)對病毒發(fā)作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制,通過這些機制來保障病毒能夠被高效處理,防毒系統(tǒng)需要在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除,快速恢復系統(tǒng)至正常狀態(tài)。

3.4開展電力企業(yè)內(nèi)部的全員信息安全教育和培訓活動

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,信息安全不僅僅是信息部門的事,它牽涉到企業(yè)所有的員工,為了保證安全的成功和有效,應當對企業(yè)各級管理人員,用戶,技術(shù)人員進行安全培訓,減少人為差錯,失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業(yè)信息安全的整體策略及目標,信息安全體系的構(gòu)成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術(shù)的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應該承擔的安全職責等。

4 結(jié)論

網(wǎng)絡安全是一個綜合系統(tǒng),不僅僅涉及到技術(shù)層面的問題同時還會涉及到管理上面的問題。網(wǎng)絡上,無論是硬件還是軟件出現(xiàn)問題都會對整個網(wǎng)絡安全形成威脅,產(chǎn)生出網(wǎng)絡安全問題。我們需要通過系統(tǒng)工程的觀點、方法對當前電力企業(yè)中的網(wǎng)絡安全現(xiàn)狀進行分析,并提出提高網(wǎng)絡安全性的措施。在電力企業(yè)的網(wǎng)絡中,包括了個人、硬件設備、軟件、數(shù)據(jù)等多個環(huán)節(jié),這些環(huán)節(jié)在網(wǎng)絡中所具有的地位與影響都需要從整個電力企業(yè)的網(wǎng)絡系統(tǒng)去進行整體的看待和分析。電力企業(yè)的網(wǎng)絡安全必須要進行風險評估才能夠制定出合理的計劃。

參考文獻

[1]余志榮.淺析電力企業(yè)網(wǎng)絡安全[J].福建電腦,2011(7).

[2]周偉.計算機網(wǎng)絡安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界,2012(1).

[3]張鵬宇.電力行業(yè)網(wǎng)絡安全技術(shù)研究[J].信息與電腦(理論版),2011(1).

篇4

【關(guān)鍵詞】電力系統(tǒng);信息安全;關(guān)鍵技術(shù);探究

電力系統(tǒng)信息安全涉及到電力生產(chǎn)、傳輸、分配以及使用各個環(huán)節(jié),是一項技術(shù)復雜,管理程度較深的系統(tǒng)工程,隨著電力自動化水平的不斷發(fā)展,電力系統(tǒng)對于數(shù)據(jù)信息網(wǎng)絡的依賴越來越嚴重。本文就來探討一下電力系統(tǒng)信息安全存在的問題以及相應的解決措施。

1 電力系統(tǒng)信息安全存在的安全隱患

隨著我國電力信息系統(tǒng)的不斷發(fā)展,在運行過程中還存在著一些問題,具體如下。

1.1 現(xiàn)狀及局限性

(1)對電力系統(tǒng)信息安全的管理不規(guī)范,要加強對電力系統(tǒng)的管理,就要建立一套統(tǒng)一的、規(guī)范的以及標準的管理系統(tǒng),用來指導電力系統(tǒng)信息網(wǎng)絡的安全、高效、穩(wěn)定的運行;(2)電力企業(yè)職工網(wǎng)絡安全意識淡薄,隨著信息技術(shù)的不斷發(fā)展,信息安全策略與相關(guān)技術(shù)也得到很快發(fā)展,對于一些新的信息安全問題還是不能有效的解決;(3)要根據(jù)電力企業(yè)的特點來制定一套信息安全體系,對電力信息網(wǎng)絡的應用可以分為管理信息類型、生產(chǎn)控制類型、話音視頻類型以及經(jīng)營類型四個類型,在對生產(chǎn)控制類型進行應用時應該與其他三種類型相隔離來保證其使用過程中的安全性。

1.2 密碼保護措施

當網(wǎng)絡交易進行完之后,要采取有效措施避免交易過程中資料被泄露、篡改等各種非法侵入,因此,必須加強對信息安全的管理,現(xiàn)在很多金融企業(yè)都采用DES和RSA加密技術(shù)來保證信息的安全。

1.3 電力系統(tǒng)信息安全關(guān)鍵技術(shù)分析

電網(wǎng)能夠安全有效運行以及供電的前提就是對電力系統(tǒng)的安全管理,對其的管理是一項復雜的工程,所涉及的范圍也較廣,主要有電網(wǎng)的自動調(diào)度、配電網(wǎng)的自動化、繼電保護裝置、電力市場以及電力有效營銷等領域。但是,目前我國的電力系統(tǒng)還沒有建立起一個安全的管理體系,一些網(wǎng)絡只是安裝了防火墻或者防毒軟件,這樣只能起到簡單的保護作用,一旦出現(xiàn)重大問題,是沒有辦法防御的,有些網(wǎng)絡甚至連防火墻都沒有,缺乏對網(wǎng)絡安全的規(guī)劃與重視。

2 電力系統(tǒng)信息安全關(guān)鍵技術(shù)的應用展望

2.1 網(wǎng)絡安全技術(shù)的優(yōu)化

為了保證電力系統(tǒng)信息安全,必須對網(wǎng)絡安全技術(shù)進行改善和優(yōu)化。首先就要對電力信息系統(tǒng)的密碼進行設定,對密碼的設定主要是為了防止電力系統(tǒng)網(wǎng)絡信息被盜取或肆意修改,造成電力信息的缺失,影響電力企業(yè)的健康發(fā)展,還要保證密碼的隱蔽性,加強其強度,保證密碼不易被人破譯;其次,要加強對電力信息系統(tǒng)網(wǎng)絡端口和節(jié)點的控制與管理,電力企業(yè)的相關(guān)信息管理人員要定期對電力信息系統(tǒng)進行檢測,主要是對病毒進行查殺,進行安全體檢以及數(shù)據(jù)審核等。要對電力信息系統(tǒng)的重要文件進行備份,避免文件丟失造成的損失,保證電力信息系統(tǒng)的順利運行;最后,要不斷提高電力信息系統(tǒng)管理人員的安全意識,要認識到期風險,對于那些地址不明確的資料不能隨意下載,盡量不要修改系統(tǒng)密碼,以免病毒侵入,對電力信息系統(tǒng)造成破壞。

2.2 建立完善的電力監(jiān)控系統(tǒng)

對電力信息系統(tǒng)進行全面的管理與控制就要不斷完善電力監(jiān)控技術(shù)。首先,要設立電力數(shù)據(jù)管理系統(tǒng),這個系統(tǒng)主要是運用網(wǎng)絡設備、同步數(shù)字程序以及網(wǎng)絡專線等形式,把電力系統(tǒng)與網(wǎng)絡系統(tǒng)進行隔離,使其只能對電力數(shù)據(jù)進行傳輸,保證數(shù)據(jù)的安全;其次,要保證電力監(jiān)控系統(tǒng)與電力數(shù)據(jù)管理系統(tǒng)不能與網(wǎng)絡連接,這樣能夠預防病毒或黑客的入侵;最后,電力監(jiān)控系統(tǒng)可以利用數(shù)據(jù)管理系統(tǒng)或局域網(wǎng)進行連接,從而建立起全面的監(jiān)控系統(tǒng)。

3 電力系統(tǒng)的信息安全策略

電力系統(tǒng)的信息安全的特點主要有,訪問方式多樣、網(wǎng)絡行為具有突發(fā)性 、用戶群龐大等,信息安全問題要從網(wǎng)絡規(guī)劃設計階段就應該重視,在實際運營過程中加強管理,為了保障信息安全,可以采取以下策略。

3.1 設備安全策略

將一些重要的電力設備,比如服務器、路由器、主干交換機等要集中管理,對于通信線路最好深埋、穿線,并且做好標記,防止意外損壞。對于終端設備,比如,工作站、集線器、小型交換機等都要落實到具體的責任人,進行嚴格的管理。

3.2 安全技術(shù)策略

為了保證電力信息的安全,需要采取各種安全技術(shù),具體有以下措施。(1)防火墻技術(shù),這種技術(shù)主要是隔離信任網(wǎng)絡與非信任網(wǎng)絡的一種技術(shù),主要通過安全檢查點的方式,實施相應的安全策略來防止對重要信息資源的訪問和竊取,電力系統(tǒng)的生產(chǎn)、營銷以及管理之間,信息的整合、共享,都需要對這些訪問行為進行控制,阻斷破壞行為的發(fā)生;(2)病毒防護保護,為防止病毒帶來的損失,需要采用多種預防病毒體系,要在每臺PC機上安裝具有預防病毒的軟件,在服務器上也要按照這樣的軟件。要在電力信息系統(tǒng)的各個環(huán)節(jié)都要做好防病毒策略,不斷完善管理制度,有效防止病毒的侵害。(3)虛擬局域網(wǎng)技術(shù),這種技術(shù)可以將一個物理的LAN劃分為幾個不同的廣播域,每一個虛擬局域網(wǎng)都有一個相同需要的計算機工作站。由于是邏輯劃分的,所以同一個虛擬局域網(wǎng)內(nèi)的各個工作站要在統(tǒng)一空間里,虛擬局域網(wǎng)內(nèi)的廣播不會到其他局域網(wǎng)內(nèi),這樣對于流量的控制、設備投資的減少以及網(wǎng)絡的管理都有重要意義。(4)數(shù)據(jù)與系統(tǒng)備份技術(shù),因為電力企業(yè)的數(shù)據(jù)對于整個電力企業(yè)來說有重要意義,所以要定期對數(shù)據(jù)庫進行備份,以免數(shù)據(jù)丟失帶來損失。可以通過建立數(shù)據(jù)備份中心、數(shù)據(jù)灰縫技術(shù)等手段,對重要業(yè)務的數(shù)據(jù)進行備份,在數(shù)據(jù)損壞或系統(tǒng)崩潰的情況下保證數(shù)據(jù)能夠迅速恢復,從而保證信息系統(tǒng)的安全性與可靠性。(5)安全審計技術(shù),隨著電力系統(tǒng)規(guī)模的不斷擴大,應該逐步引入智能安全審計系統(tǒng),通過技術(shù)手段,運用自動化的方式對網(wǎng)絡設備日志、操作系統(tǒng)、數(shù)據(jù)庫訪問以及業(yè)務應用系統(tǒng)等進行安全審計,對系統(tǒng)安全問題進行及時分析,對電力系統(tǒng)進行安全管理。(6)建立信息安全身份認證體系,電力市場交易系統(tǒng)的實質(zhì)是電子商務系統(tǒng),所以在交易時要保證數(shù)據(jù)的安全。在電力系統(tǒng)中,市場交易成員的身份確認、財務結(jié)算以及物流控制等都要經(jīng)過權(quán)威的身份驗證,電力系統(tǒng)中,電子商務已經(jīng)擴展到電力系統(tǒng)的各個方面,所以信息安全身份認證體系的建立是十分必要的。

3.3 組織管理策略

技術(shù)措施和組織管理措施的統(tǒng)一就是信息安全,在計算機安全事件中,管理方面造成的原因占到70%左右,沒有很好的管理,安全問題就一直存在,就算安全技術(shù)和產(chǎn)品再好,也形同虛設。安全意識與技能方面,通過對電力人員安全知識的培訓,提高他們的安全意識,使他們具備安全防護意識,通過培訓使他們的安全操作技能不斷提高,這樣再加上安全技術(shù)與產(chǎn)品就能使電力信息安全系統(tǒng)順利運行。4 結(jié)語

隨著經(jīng)濟的不斷發(fā)展,電力信息系統(tǒng)的安全性也逐漸得到重視,電力信息系統(tǒng)的安全與人們的生活息息相關(guān),并且對企業(yè)的發(fā)展也有重要影響,所以,企業(yè)要加強對電力信息系統(tǒng)的管理,設置密碼保護,不斷優(yōu)化信息安全技術(shù),完善電力監(jiān)控系統(tǒng),為電力信息系統(tǒng)的安全性提供保障,促進電力系統(tǒng)的順利運行。

參考文獻:

[1]李文武,游文霞,王先培.電力系統(tǒng)信息安全研究綜述[J].電力系統(tǒng)保護與控制,2011(10).

[2]楊尚瑾,董超.淺談電力系統(tǒng)信息安全策略[J].中國電力教育,2009(9).

[3]劉勁風,王述洋.電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[J].森林工程,2010(4)

[4]翟紹思.電力系統(tǒng)信息安全關(guān)鍵技術(shù)的研究[J].中國科技信息,2009(15).

篇5

關(guān)鍵詞:三峽船閘;綜合監(jiān)控;在線監(jiān)測

中圖分類號:U641.3+4 文獻標識碼:A 文章編號:1006-7973(2016)05-0031-03

長江作為我國的“黃金水道”,橫貫東中西部,連接東部沿海和廣袤的內(nèi)陸,依托黃金水道打造新的經(jīng)濟帶,有獨特的優(yōu)勢和巨大的潛力。長江經(jīng)濟帶的建設,對于有效擴大內(nèi)需、促進經(jīng)濟穩(wěn)定增長、調(diào)整區(qū)域結(jié)構(gòu)、實現(xiàn)中國經(jīng)濟升級具有重要意義。國務院《關(guān)于依托黃金水道推動長江經(jīng)濟帶發(fā)展的指導意見》(國發(fā)[2014]39號)指出,要充分發(fā)揮長江運能大、成本低、能耗少等優(yōu)勢,加快推進長江干線航道系統(tǒng)治理,打造暢通、高效、平安、綠色的黃金水道。

1.通航形勢分析

隨著三峽工程建設對長江航道條件的明顯改善,以及近年來長江水運企業(yè)的迅猛發(fā)展,船閘的過閘貨運總量快速增長。從2008年至2014年,總體呈提升態(tài)勢,其中2011年、2013年、2014年貨運量均突破了設計通過能力。2008至2014年,三峽及葛洲壩船閘通過量情況如圖1所示。

自2008年以來,三峽船閘、葛洲壩船閘客、貨運量始終維持在高位水平,常年突破設計能力運行。三峽船閘貨運量從2008年的5370.26萬噸增長至2014年的10898.0萬噸,增長趨勢明顯。著力打造長江經(jīng)濟帶及西部地區(qū)開發(fā)力度加大,將進一

步深化并促進長江航運的發(fā)展,與此同時,三峽壩區(qū)通航壓力也將進一步增大。伴隨國家長江經(jīng)濟帶戰(zhàn)略的實施,將提前達到預測通過量。盡管三峽升船機將于2015年底投入使用,但以其350萬噸的單向設計通過能力,難以起到大幅度改善三峽壩區(qū)通過能力的作用。因此,如何解決壩區(qū)船閘現(xiàn)有通過能力與航運需求快速增長之間的矛盾是目前必須重點考慮的問題。

2.應對措施分析

三峽船閘設備設施點多面廣,運行時要求設備具有高可考性。開展以三峽船閘設備設施綜合監(jiān)控能力提升技術(shù)研究,實現(xiàn)三峽、葛洲壩船閘設備設施運行狀態(tài)的全面監(jiān)控,利用專家決策系統(tǒng)進行設備設施的狀態(tài)評價、風險評估、決策支持,使船閘重點設備設施的健康狀況得到有效診斷,達到科學地、前瞻性地設備維修,盡量減少船閘停航檢修的時間。另外,三峽船閘設備設施綜合監(jiān)控能力提升技術(shù)研究,可以實現(xiàn)船閘設備設施重大運行缺陷監(jiān)測,實現(xiàn)設備設施重大運行安全風險預防,為設備設施重大技術(shù)更新改造提供決策依據(jù)。

3.總體方案

3.1總體框架

在結(jié)構(gòu)上方案總體上分為數(shù)據(jù)采集層、數(shù)據(jù)整合與應用支撐層、綜合應用層和前端展現(xiàn)層四個部分,如下圖2所示。

數(shù)據(jù)采集層:實現(xiàn)船閘主要設備設施由“目測、耳昕、鼻嗅和手摸”的傳統(tǒng)檢測方式,到“客觀、科學、精確”的現(xiàn)代化、自動化方式的轉(zhuǎn)變,為實現(xiàn)由計劃性檢修到狀態(tài)性檢修,提供技術(shù)支撐,為實現(xiàn)基于海量數(shù)據(jù)的船閘運行狀態(tài)智能化診斷提供數(shù)據(jù)積累。

數(shù)據(jù)整合與應用支撐層:實現(xiàn)設備運行數(shù)據(jù)和船舶過閘數(shù)據(jù)相關(guān)數(shù)據(jù)的資源整合,形成基于設備設施監(jiān)測、電子巡檢、船閘通航生產(chǎn)運行監(jiān)控、船舶過閘監(jiān)測的基礎數(shù)據(jù)、業(yè)務數(shù)據(jù)和主題數(shù)據(jù)的集中管理與共享,提供各業(yè)務應用系統(tǒng)開發(fā)和建設的支撐環(huán)境,各類資源和技術(shù)手段集中管理、統(tǒng)一分配、充分共享。

綜合應用層:將船閘設備運行和船舶過閘數(shù)據(jù)監(jiān)測進行集中管控,圍繞通航管理的業(yè)務主線,針對船閘運行、維護和管理、設備設施養(yǎng)、維、管、用等核心業(yè)務,實現(xiàn)精細化、流程化、規(guī)范化管理。

前端展現(xiàn)層:為船閘運行管理部門的各類用戶提供人口,利用可視化手段將三峽、葛洲壩船閘與升船機的實時調(diào)度運行狀況、各類設施設備狀態(tài),對用戶進行直觀展示。

3.2技術(shù)方案

通過三峽船閘設備設施綜合監(jiān)控平臺建設,實現(xiàn)對三峽、葛洲壩船閘重要機械及金屬結(jié)構(gòu)、電氣設備、水工建筑物和液壓設備設施的運行狀態(tài)的即時采集,實現(xiàn)因船舶過閘超速、超線和低能見度對船閘安全運行風險的有效監(jiān)管,實現(xiàn)設備設施監(jiān)測數(shù)據(jù)的集中管理、快速流轉(zhuǎn)、便捷使用、直觀展示和有序積累。為進一步保障船閘安全穩(wěn)定運行,為實現(xiàn)三峽“安全、暢通、和諧、高效”通航管理目標提供堅實的技術(shù)支撐??傮w結(jié)構(gòu)如圖3所示。

3.2.1機械及金屬結(jié)構(gòu)監(jiān)測

實現(xiàn)對三峽、葛洲壩船閘人字門、閘門啟閉機、反弧門啟閉機等機械設備及金屬結(jié)構(gòu)進行全方位在線監(jiān)測。通過先進的檢測技術(shù)實現(xiàn)上述機械及金屬結(jié)構(gòu)運行狀態(tài)信息的動態(tài)監(jiān)測,為機械及金屬結(jié)構(gòu)故障及事故原因的分析提供可靠的數(shù)據(jù)和信息。其所采集的機械及金屬結(jié)構(gòu)狀態(tài)運行的數(shù)據(jù)和事故分析結(jié)果作為基礎素材和中間成果,將被直接推送至船閘通航生產(chǎn)運行監(jiān)控,為船閘總體運行狀態(tài)準確判斷和船閘運行精細化、規(guī)范化管理提供依據(jù)。

3.2.2電氣設備監(jiān)測

實現(xiàn)對三峽、葛洲壩船閘變電所內(nèi)的高/低壓供配電設備進行全方位在線監(jiān)測。電力監(jiān)測通過可視化方式實現(xiàn)船閘供電系統(tǒng)的運行狀態(tài)信息的動態(tài)監(jiān)測及故障報警,主要包括:三相電壓、三相電流、零序電壓、零序電流、頻率、功率因數(shù)、有功功率、無功功率、視在功率、有功電度、無功電度等。為供電系統(tǒng)安全運行并降低供電系統(tǒng)的能耗和進行故障及事故原因的分析動態(tài)提供可靠的數(shù)據(jù)。通過船閘電力監(jiān)測的建設將大大提高船閘電力監(jiān)測的自動化與智能化水平,在實現(xiàn)船閘變電所的無人或少人值守的前提下,提高電力數(shù)據(jù)的反饋效率和準確程度,為船閘供電系統(tǒng)的安全、穩(wěn)定、可靠運行提供保障。采集的船閘電氣設備運行數(shù)據(jù)和分析結(jié)果,將被作為基礎數(shù)據(jù)直接推送至船閘通航生產(chǎn)運行監(jiān)控系統(tǒng),為設備、設施運行狀態(tài)的準確判斷和運行精細化、規(guī)范化監(jiān)管提供依據(jù)。

3.2.3水工建筑物監(jiān)測

實現(xiàn)對三峽、葛洲壩船閘現(xiàn)有廊道內(nèi)引張線監(jiān)測儀系統(tǒng)數(shù)據(jù)、原有內(nèi)埋數(shù)據(jù)傳感器及滲流滲壓傳感器等監(jiān)測設備的監(jiān)測數(shù)據(jù)進行分項采集、集中管理、綜合應用,為確保船閘水工建筑物安全、穩(wěn)定、可靠運行提供科學診斷數(shù)據(jù)依據(jù)。依托三峽、葛洲壩水工監(jiān)測設施,側(cè)重于針對葛洲壩現(xiàn)有設施監(jiān)測數(shù)據(jù)進行數(shù)據(jù)共享集成,水工建筑物監(jiān)測通過配置數(shù)據(jù)共享工作站,利用安全隔離與數(shù)據(jù)交換設備接入原有水工建筑探測傳感器系統(tǒng)的數(shù)據(jù)服務器,實時單向讀取測量數(shù)據(jù),進而實現(xiàn)數(shù)據(jù)的動態(tài)傳遞到生產(chǎn)運行設備管理系統(tǒng)并協(xié)同共享,形成水工建筑物高效監(jiān)管。

3.2.4液壓設備監(jiān)測

實現(xiàn)對葛洲壩船閘反弧門液壓啟閉機控制系統(tǒng)主要參數(shù)的在線動態(tài)監(jiān)測及故障報警,主要包括:壓力、流量、溫度、泄漏量、液位等。擬采用先進的數(shù)據(jù)采集技術(shù)實現(xiàn)上述液壓系統(tǒng)運行狀態(tài)信息的動態(tài)監(jiān)測,可為液壓系統(tǒng)故障及事故原因的分析提供可靠的數(shù)據(jù)和信息。在線狀態(tài)監(jiān)測可以及時了解和掌握船閘液壓系統(tǒng)運行過程中的狀態(tài),以便早期發(fā)現(xiàn)故障、查明原因、并掌握故障的發(fā)展趨勢,可以避免船閘液壓系統(tǒng)故障的發(fā)生和重大事故的發(fā)生,最大限度的提高船閘液壓系統(tǒng)的工作效率,有效地提高液壓設備運行的可靠性與安全性。通過船閘液壓設備在線監(jiān)測的建設將大大提高船閘液壓設備管理的自動化與智能化水平。

3.2.5船閘通航生產(chǎn)運行監(jiān)控

實現(xiàn)三峽、葛洲壩船閘與升船機的實時調(diào)度運行狀況、各類設施設備狀態(tài),利用可視化手段向用戶進行直觀展示。面向船閘安全監(jiān)管的決策與技術(shù)人員,充分利用與整合現(xiàn)有和各個系統(tǒng)所提供的數(shù)據(jù)資源,充分依托三峽、葛洲壩船閘機械及金屬結(jié)構(gòu)監(jiān)測、水工建筑物監(jiān)測、電氣設備監(jiān)測、電子巡檢、船舶過閘監(jiān)測與應急管控以及葛洲壩船閘液壓設備檢測等數(shù)據(jù),通過對機械及金屬結(jié)構(gòu)、水工建筑物、電氣設備、液壓設備等監(jiān)測數(shù)據(jù)的綜合獲取、展示與分析,實施船閘綜合管控和簡單的智能分析。

3.2.6船舶過閘監(jiān)測與應急管控

面向船閘運行管理和調(diào)度人員,圍繞船舶過閘對船閘運行帶來的間接運行風險,針對船舶進出閘綜合監(jiān)控,采用自動化監(jiān)測、智能聯(lián)動報警的方式,實現(xiàn)船閘閘室內(nèi)包括船舶超速、超線、超吃水以及船閘氣象情況等對船閘運行構(gòu)成潛在風險因素的有效監(jiān)控,并構(gòu)建能夠在惡劣氣候條件下進行有效輔助導航的裝備,有效降低通航安全風險。

篇6

關(guān)鍵詞:防護體系;醫(yī)院信息系統(tǒng);立體安全

現(xiàn)如今,醫(yī)院已經(jīng)可以采用電子信息技術(shù)實現(xiàn)對整個醫(yī)院各個環(huán)節(jié)的覆蓋,其中包括設備物資管理、HIS、PASS、LIS、PACS、醫(yī)療統(tǒng)計分析,全面覆蓋管理、研究、護理、醫(yī)療、教學、后勤等,在遠程醫(yī)療、合作醫(yī)療的條件下,醫(yī)院信息系統(tǒng)無法脫離網(wǎng)絡的客觀因素來實現(xiàn)操作。而在復雜、龐大的網(wǎng)絡結(jié)構(gòu)背景下,如何保證醫(yī)院的信息系統(tǒng)能在安全穩(wěn)定的環(huán)境下展開有序的運行,是醫(yī)療服務正常開展的重要前提與保障,并且醫(yī)院信息系統(tǒng)的安全性也關(guān)系到患者和醫(yī)院的隱私、是維護患者和醫(yī)院基本權(quán)益的重要基礎。我們要引起高度的重視。

1 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的設計需求

在醫(yī)院運行信息系統(tǒng)的過程中,具有良好的安全手段、安全管理、安全策略、安全環(huán)境等良好的特性,所以在開放的網(wǎng)絡背景下,醫(yī)院信息系統(tǒng)的安全問題主要是由于黑客等人為的故意入侵與破壞,造成數(shù)據(jù)泄露、醫(yī)院信息系統(tǒng)配置問題等隱患。針對這樣的安全風險,我們主要通過建立科學合理的安全防護體系來確保其正常運行,可以分為以下4個環(huán)節(jié):網(wǎng)絡安全、物理級安全、系統(tǒng)級安全、應用級安全。安全管理標準和制度是整個信息系統(tǒng)防護體系的中心任務。對數(shù)據(jù)安全起到多角度、多方位、多層次的立體防護。

2 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的設計構(gòu)想

為了更好的應對上訴提到的安全風險,我們應該建立安全可靠的安全防護體系,堅持以多角度、多方位為體系設計的基本原則,制定網(wǎng)絡安全策略、應用安全策略、系統(tǒng)安全策略、安全管理策略等,更好的完善整個防護體系。在等級保護的作用指引下,應該采用P2DR(防護、響應、檢測)安全模型作為系統(tǒng)建設和安全規(guī)劃的基本方針和思路。防護體系根據(jù)事中檢測、事前防護、時候?qū)徲嫷茸鳛楦局笇Р呗浴?/p>

3 醫(yī)院信息系統(tǒng)立體安全防護系統(tǒng)的全面設計

3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應等。

3.2網(wǎng)絡層面的安全防護 關(guān)于網(wǎng)絡層面的安全防護控制主要內(nèi)容有訪問安全控制、入侵防范、結(jié)構(gòu)安全、惡意代碼防范、網(wǎng)絡防備防護等。其中通過幾個方面進行具體的操作:

3.2.1劃分安全區(qū)域 對安全區(qū)域的劃分主要包括以下幾項基本原則:結(jié)構(gòu)簡化原則、立體防護原則、業(yè)務保障原則、生命周期原則、等級保護原則。

3.2.2對邊界訪問進行控制 在網(wǎng)絡體系中,對個區(qū)域的邊界訪問進行控制是很有效的防護手段,主要是對醫(yī)院信息防護系統(tǒng)的各個邊界進行安全防護措施,例如部署防火墻、運行入侵檢測系統(tǒng)、隔離網(wǎng)閘、對vlan進行劃分等高級別的網(wǎng)絡控制手段。

3.2.3開展網(wǎng)絡審計 在開展信息系統(tǒng)網(wǎng)絡維護的過程中,在交換機的旁邊布置網(wǎng)絡審計和網(wǎng)絡監(jiān)控系統(tǒng),對網(wǎng)絡流量數(shù)據(jù)展開相應的網(wǎng)絡審計,與此同時,將其他網(wǎng)絡設備的監(jiān)控數(shù)據(jù)收集起來共同為整個防護體系提供檢測數(shù)據(jù)。

3.2.4開展網(wǎng)絡入侵防范措施 交換機是信息系統(tǒng)的核心設備,可以在交換機的旁邊部開展對網(wǎng)絡入侵的檢測測試系統(tǒng)。將計算機網(wǎng)絡收集的信息進行具體全面的檢測與分析,一旦發(fā)現(xiàn)有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發(fā)現(xiàn)嚴重危險信號時應該馬上報警。

3.3對主機層的安全防護 對主機層面進行安全防護的內(nèi)容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內(nèi)容。

3.3.1身份鑒別 為了更好的提高網(wǎng)絡防護的性能要求,保證運行的穩(wěn)定性和安全性,我們對主機系統(tǒng)采用身份鑒別的方式加以鞏固,相關(guān)的步驟為:首先對網(wǎng)絡操作的用戶進行身份識別,確保用戶名不重復的登陸。然后根據(jù)口令要求,采用長度高于8位數(shù)、3種不同字符的口令。最后,如果登陸失敗,應該立即關(guān)鍵會話窗口,并對關(guān)鍵的主機系統(tǒng)進行重新驗證。

3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現(xiàn)的主機入侵情況進行防護,在操作過程中應該注意以最小安裝為基本原則,降低在服務和程序中可能出現(xiàn)的漏洞。

3.4應用層的防護

3.4.1安全審計 對應用層進行安全審計主要是針對業(yè)務管理系統(tǒng)來說的,業(yè)務管理與應用應該和信息安全系統(tǒng)相聯(lián)系起來。將應用功能和審計功能放在同等重要的位置上??梢詫︶t(yī)院里一些比較重大的事情發(fā)生時間、發(fā)生情況、主要人物等進行相關(guān)的記錄和描述。并且做好相應的保護措施,禁止非法修改、刪除等[1-3]。信息系統(tǒng)可以對收集到的數(shù)據(jù)進行分析、統(tǒng)計、查詢等操作。審計系統(tǒng)要對每個具體的事件狀態(tài)進行安全審計,確保數(shù)據(jù)庫的穩(wěn)定性。

3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護,可以采用密碼機等相關(guān)的防護措施來確保數(shù)據(jù)遠程交換的完整性。

4 結(jié)束語

要完善醫(yī)院信息系統(tǒng)的安全防護體系是醫(yī)院開展正常工作的重要保障與條件,但是面對復雜多變的網(wǎng)絡環(huán)境,信息系統(tǒng)還存在很多的安全隱患需要我們及時的進行維護與改善,除了加強相應的技術(shù)手段外,還要建立安全的信息管理體系對信息系統(tǒng)進行全面的管理,加強規(guī)范化的操作手段,要提升技術(shù)與管理的相互合作、相互協(xié)調(diào)性,確保信息系統(tǒng)的穩(wěn)定性。

參考文獻:

[1]劉金長,賴征田,楊成月,等.面向智能電網(wǎng)的信息安全防護體系建設[J].電力信息化,2013(09).

篇7

一、推行電子政務應用

1、建設統(tǒng)一的電子政務外網(wǎng)。利用現(xiàn)有的網(wǎng)絡資源,建設全市統(tǒng)一的電子政務外網(wǎng),與國家電子政務外網(wǎng)相連接。逐步推進各級政府部門在電子政務外網(wǎng)開展社會管理、公共服務等業(yè)務應用,并將已建的部門公共服務業(yè)務專網(wǎng)逐步整合到電子政務外網(wǎng)(市數(shù)字辦負責,相關(guān)單位配合)。

2、實施政府網(wǎng)站整合提升工程。依托“龍巖”政府門戶網(wǎng)站平臺,繼續(xù)推進政府網(wǎng)站群建設,實現(xiàn)統(tǒng)一托管的政府部門網(wǎng)站數(shù)量達到40個以上。深入推進政府信息公開、網(wǎng)上辦事資源的梳理,形成統(tǒng)一的網(wǎng)上信息公開和辦事服務平臺。進一步完善政府網(wǎng)站功能,深化政府門戶網(wǎng)站應用。繼續(xù)開展政府網(wǎng)站績效評估工作,推動各縣(市、區(qū))和市政府各部門網(wǎng)站建設(市政府辦牽頭,市數(shù)字辦、行政服務中心、市政府信息公開辦配合)。

3、推進市應急指揮中心應急平臺建設。加快推進市應急指揮中心應急平臺(一期)技術(shù)方案的制訂、論證、招標和實施,實現(xiàn)與省應急平臺、專業(yè)應急平臺的相互銜接與資源共享,使政府應急指揮與決策過程更加科學化、規(guī)范化、制度化。完善市應急視頻會商指揮系統(tǒng),整合相關(guān)職能部門的視頻系統(tǒng)資源,進一步完善傳輸網(wǎng)絡及應用系統(tǒng),擴大應急視頻會商指揮系統(tǒng)應用,發(fā)揮系統(tǒng)的綜合效益(市政府辦牽頭,市數(shù)字辦、水利局、廣電局、公安局、氣象局等相關(guān)部門配合)。

4、全面推進辦公自動化系統(tǒng)建設。依托政務信息網(wǎng)絡,全面推進市級黨政機關(guān)辦公自動化系統(tǒng)建設,啟動建設市直部門電子公文交換平臺,推進業(yè)務協(xié)同,早日實現(xiàn)“無紙化”辦公(市政府辦牽頭,市數(shù)字辦負責)。

5、推進網(wǎng)上審批系統(tǒng)建設和深化應用。加快推進縣級網(wǎng)上審批系統(tǒng)建設進程,實現(xiàn)省、市、縣(市、區(qū))三級聯(lián)網(wǎng),逐步實現(xiàn)所有行政許可事項和非行政許可事項網(wǎng)上辦理(龍巖行政服務中心負責,市數(shù)字辦配合)。

二、推進便民系統(tǒng)建設

1、推進全市社會保障卡系統(tǒng)建設。在全省的統(tǒng)一部署下,加快推進社??ㄏ到y(tǒng)建設,開展社保卡在城鎮(zhèn)醫(yī)療等社會保險系統(tǒng)和就業(yè)、新農(nóng)合系統(tǒng)中的應用;推進社??ㄗ鳛獒t(yī)療就診卡,實現(xiàn)醫(yī)療就診一卡通(市勞動與社會保障局、衛(wèi)生局、各縣〈市、區(qū)〉政府負責)。

2、加快有線數(shù)字電視整體轉(zhuǎn)換。大力推進有線電視整體轉(zhuǎn)換,完善市級有線數(shù)字電視公共信息服務平臺。力爭年內(nèi)完成縣(市)城區(qū)和主要鄉(xiāng)鎮(zhèn)的有線數(shù)字電視整體轉(zhuǎn)換(市廣電局負責)。

3、加快新型農(nóng)村合作醫(yī)療管理平臺建設。加快建設新型農(nóng)村合作醫(yī)療管理平臺和應用系統(tǒng),推進社??ㄔ谛罗r(nóng)合系統(tǒng)中的應用(市衛(wèi)生局、勞動和社會保障局負責)。

4、完善遠程醫(yī)療會診系統(tǒng)。推進遠程醫(yī)療會診系統(tǒng)向基層醫(yī)療機構(gòu)擴展,今年完成省定鄉(xiāng)鎮(zhèn)中心衛(wèi)生院遠程醫(yī)療會診系統(tǒng)接入,提高鄉(xiāng)鎮(zhèn)衛(wèi)生院診療水平,滿足農(nóng)村群眾共享優(yōu)質(zhì)醫(yī)療資源的需求(市衛(wèi)生局負責)。

三、加快城鄉(xiāng)信息化進程

1、建設農(nóng)村綜合信息服務平臺。依托市政府門戶網(wǎng)站,加快農(nóng)村綜合信息服務平臺建設,進一步整合各級涉農(nóng)信息資源,推進科技、教育、文化、市場、就業(yè)等信息進村入戶(市數(shù)字辦牽頭,市農(nóng)辦等其他部門配合)。

2、加快推進無線城市建設。以第三代通信技術(shù)為主,分階段、分步驟推進龍巖“無線城市”建設進程,進一步拓展網(wǎng)絡覆蓋的廣度和深度,加強無線寬帶網(wǎng)絡應用,重點支持和鼓勵TD—SCDMA無線網(wǎng)絡技術(shù)推廣應用。年底前完成全市城區(qū)無線寬帶網(wǎng)絡覆蓋(市數(shù)字辦牽頭,龍巖電信公司、移動公司、聯(lián)通公司負責)。

3、全面建成農(nóng)村黨員干部現(xiàn)代遠程教育網(wǎng)絡體系。依托電信龍巖分公司網(wǎng)絡資源,整合各單位農(nóng)村綜合信息服務資源,加快推進全市1916個終端站點的建設,形成功能完備、標準較高的農(nóng)村黨員干部現(xiàn)代遠程教育平臺(市遠程辦負責,電信公司等單位配合)。

四、推進企業(yè)信息化應用

1、推進信息化與工業(yè)化的融合。著力推進信息技術(shù)在“10+3”產(chǎn)業(yè)的應用,促進產(chǎn)業(yè)結(jié)構(gòu)升級。開展節(jié)能減排信息化服務,重點研究電力、煤炭、冶金、化工、建材、輕紡等重點耗能行業(yè)的節(jié)能減排信息化工作方案。利用信息技術(shù)助力企業(yè)提高核心競爭力,培育工業(yè)品牌(市經(jīng)貿(mào)委、科技局、環(huán)保局負責)。

2、促進電子商務發(fā)展。構(gòu)建信息咨詢服務平臺,建立和完善龍巖中小企業(yè)在線服務系統(tǒng),為全市企業(yè)提供及時、便利的政策咨詢等方面的信息服務(市經(jīng)貿(mào)委負責)。

3、啟動“千企萬店”上網(wǎng)工程。啟動建設龍巖企業(yè)信息化門戶網(wǎng)站,并以此為平臺分批次免費為龍巖市內(nèi)的企業(yè)商戶建立WEB、WAP網(wǎng)站以及企業(yè)信息化應用界面,促進企業(yè)信息化水平提升,加強營銷宣傳與品牌建設(市數(shù)字辦、經(jīng)貿(mào)委等單位負責)。

五、創(chuàng)新信息化管理體制和工作機制

開展電子政務總體設計調(diào)研,做好與省電子政務總體框架的銜接。在年開展電子政務績效考核的基礎上,進一步完善考核辦法和實施方案,根據(jù)年度工作計劃確定績效考核指標。探索推進統(tǒng)建共用的集約化建設模式,推進集中式機房、集成式OA、政府網(wǎng)站群建設。試行應用系統(tǒng)建設及運行維護外包服務(市數(shù)字辦、效能辦負責)。

六、加強基礎信息資源開發(fā)

1、積極推進政務信息目錄體系和交換體系建設,逐步實現(xiàn)市本級應用系統(tǒng)的集成和數(shù)據(jù)庫的共享。建設證照信息服務系統(tǒng),開展證照電子化申報審核,建立證照驗證和服務機制(市數(shù)字辦、行政服務中心負責,相關(guān)單位配合)。

2、推進基礎地理信息應用平臺建設。整合國土、城建、交通、地質(zhì)等相關(guān)單位數(shù)據(jù)資源,建設基礎地理信息應用平臺(市數(shù)字辦,市國土資源局、城鄉(xiāng)規(guī)劃局、建設局、交通局、勘測設計院等相關(guān)單位負責)。

七、加強信息網(wǎng)絡安全體系建設

1、進一步完善政務信息網(wǎng)和政府網(wǎng)站的安全保障措施。建設市政務信息網(wǎng)防病毒中心,為政務信息網(wǎng)絡應用提供安全的環(huán)境。完善政府網(wǎng)站群信息身份認證系統(tǒng),確保信息安全(市數(shù)字辦負責)。

2、積極推進信息系統(tǒng)安全等級分級保護工作,提高重要信息系統(tǒng)安全測評和安全風險評估工作覆蓋面(市網(wǎng)安辦,市公安局、保密局負責)。

3、建設政務信息內(nèi)網(wǎng)防護監(jiān)控系統(tǒng),及時發(fā)現(xiàn)和處置內(nèi)網(wǎng)違規(guī)外聯(lián)等信息安全事件。組織開展信息安全保密宣傳教育,推動落實安全保密工作(市保密局負責)。

4、擴展CA證書的應用領域,開發(fā)個人數(shù)字證書的使用功能,為我市電子商務、電子政務提供安全保障(市機要局負責)。

篇8

【 關(guān)鍵詞 】 大數(shù)據(jù);電網(wǎng)安全;防護策略

1 引言

電力系統(tǒng)在國家基礎設施建設中具有十分重要的地位。隨著云計算、大數(shù)據(jù)等新興技術(shù)的不斷發(fā)展,電力系統(tǒng)的數(shù)字化、信息化、智能化程度越來越高。新技術(shù)在推動電網(wǎng)企業(yè)不斷發(fā)展的同時,也帶來了一系列安全問題,構(gòu)成了較大的威脅與挑戰(zhàn)。本文著眼于大數(shù)據(jù)時代下的電網(wǎng)企業(yè)安全,系統(tǒng)分析了電網(wǎng)企業(yè)面臨的主要威脅,并針對性地提出安全防護策略,為電網(wǎng)企業(yè)安全建設與應用提供指導。

2 大數(shù)據(jù)發(fā)展現(xiàn)狀

2.1 大數(shù)據(jù)推動社會進步

大數(shù)據(jù)(Big Data)是指所涉及的數(shù)據(jù)量規(guī)模巨大到無法通過人工在合理時間內(nèi)達到截取、管理、處理,并整理成為幫助企業(yè)經(jīng)營決策更積極目的信息。

2011年,全球知名咨詢公司麥肯錫的研究報告,引起了IT界的廣泛關(guān)注。Google、IBM、EMC、Facebook等公司相繼開展了大數(shù)據(jù)技術(shù)研究,并紛紛推出各自的大數(shù)據(jù)解決方案和相關(guān)產(chǎn)品,例如Google公司的MapReduce、GFS,Apache組織推出的Hadoop大數(shù)據(jù)分析框架等。 2012年,美國政府聯(lián)合六大部門了高達2億美元的“大數(shù)據(jù)研究和發(fā)展計劃”,標志著美國政府在政策層面將大數(shù)據(jù)提升到國家戰(zhàn)略層面,該計劃共投入了155個項目種類,涉及國防、醫(yī)療、能源等多個領域。

我國也在不斷提高對大數(shù)據(jù)的認識與應用,認為大數(shù)據(jù)在降低經(jīng)濟社會運行成本和提高政府決策效率方面具有廣闊的應用空間,許多呼聲要求盡快出臺中國的大數(shù)據(jù)發(fā)展戰(zhàn)略。能源、醫(yī)療、工業(yè)制造、金融、電信等行業(yè)率先投入了大量的人力物力進行大數(shù)據(jù)創(chuàng)新實踐與應用,著力解決本領域數(shù)據(jù)資源積累與有效轉(zhuǎn)換,輔助優(yōu)化企業(yè)運營與效率提升。

2.2 大數(shù)據(jù)推動電網(wǎng)企業(yè)轉(zhuǎn)型發(fā)展

近年來,隨著互聯(lián)網(wǎng)技術(shù)的不斷突破,智能電網(wǎng)成為電網(wǎng)企業(yè)發(fā)展的重要方向,并多次出現(xiàn)在政府工作報告中。智能電網(wǎng)(Smart Grid)是以物理電網(wǎng)為基礎,將現(xiàn)代先進的傳感測量技術(shù)、通信技術(shù)、信息技術(shù)、計算機技術(shù)和控制技術(shù)與物理電網(wǎng)高度集成而形成的新型電網(wǎng)。智能電網(wǎng)能夠優(yōu)化整個電網(wǎng)企業(yè)的資源配置,實現(xiàn)電力的可靠、安全、經(jīng)濟、高效運行和安全使用,支撐新一代電網(wǎng)安全生產(chǎn)和管理發(fā)展。隨著智能電網(wǎng)的加快部署與業(yè)務應用的深化拓展,電網(wǎng)業(yè)務數(shù)據(jù)不斷豐富與擴增,結(jié)構(gòu)化和非結(jié)構(gòu)化的電力數(shù)據(jù)中心不斷運行,形成了規(guī)模龐大且結(jié)構(gòu)復雜的數(shù)據(jù)集合,這為智能電網(wǎng)優(yōu)化配置、電力服務行業(yè)發(fā)展提供了寶貴的數(shù)據(jù)資源,對電網(wǎng)企業(yè)“以電力生產(chǎn)為中心”的工作模式,向“以用戶為中心”的服務模式的轉(zhuǎn)型發(fā)展起了極大的推動作用。

當前,國家電網(wǎng)企業(yè)大數(shù)據(jù)建設尚處于試點研究階段,其主要涉及的領域與業(yè)務主要集中在電網(wǎng)企業(yè)的運檢、營銷、運監(jiān)等各個環(huán)節(jié),通過挖掘數(shù)據(jù)之間的關(guān)系與規(guī)律,提高電網(wǎng)企業(yè)在生產(chǎn)、經(jīng)營、管理等方面的質(zhì)量與效率。例如開展電網(wǎng)設備狀態(tài)監(jiān)測的大數(shù)據(jù)應用,實現(xiàn)電網(wǎng)設備狀態(tài)的智能監(jiān)測,實時分析電網(wǎng)線損、配電負載等數(shù)據(jù),及時發(fā)現(xiàn)電網(wǎng)企業(yè)運行異常,為電網(wǎng)調(diào)度、交易和檢修提供支撐,提高電網(wǎng)企業(yè)的資源合理優(yōu)化。開展用電信息與客戶服務的數(shù)據(jù)分析,實時反饋客戶購電與用電信息,建立合理的分時階梯電價模型,促進電力效能的整體優(yōu)化。同時,電網(wǎng)企業(yè)數(shù)據(jù)還能夠與其他互聯(lián)網(wǎng)、交通、經(jīng)濟等社會數(shù)據(jù)相融合,為經(jīng)濟宏觀發(fā)展、產(chǎn)業(yè)分布情況調(diào)查、公共事業(yè)管理提供有力支持。

3 電網(wǎng)企業(yè)大數(shù)據(jù)分析

3.1 電網(wǎng)企業(yè)大數(shù)據(jù)概念與特征

電網(wǎng)企業(yè)大數(shù)據(jù)旨在對電力生產(chǎn)與使用過程中產(chǎn)生的大規(guī)模數(shù)據(jù)進行分析與處理,實現(xiàn)大數(shù)據(jù)對電網(wǎng)企業(yè)效能的“增值”。電網(wǎng)企業(yè)的數(shù)據(jù)主要包括三類:一是電網(wǎng)企業(yè)的設備運行數(shù)據(jù),主要包括電網(wǎng)設備監(jiān)測數(shù)據(jù)、狀態(tài)數(shù)據(jù)等;二是電網(wǎng)企業(yè)的管理數(shù)據(jù),主要包括跨單位、跨部門的電網(wǎng)企業(yè)職工數(shù)據(jù)、財務數(shù)據(jù)等;三是電網(wǎng)企業(yè)的運營數(shù)據(jù),主要包括客戶信息、客戶用電數(shù)據(jù)、電費數(shù)據(jù)等。電力信息化委員會進行了專項研究,并提出電網(wǎng)企業(yè)大數(shù)據(jù)具有3V、3E特征。

(1)數(shù)據(jù)體量大(Volume):電網(wǎng)企業(yè)數(shù)據(jù)體量超大,并隨著智能電網(wǎng)的發(fā)展不斷擴增。當前,中國電網(wǎng)企業(yè)已經(jīng)采集了135TB的數(shù)據(jù),并以每年90TB的數(shù)據(jù)在不斷增長,規(guī)模十分龐大。

(2)數(shù)據(jù)類型多(Varity):隨著智能電網(wǎng)的不斷發(fā)展,電網(wǎng)企業(yè)大數(shù)據(jù)類型也在不斷擴增,除了傳統(tǒng)的結(jié)構(gòu)化數(shù)據(jù),以視頻、音頻、文本為主的非結(jié)構(gòu)化數(shù)據(jù)也在迅速增長,這對現(xiàn)有的數(shù)據(jù)分析技術(shù)提出了新的挑戰(zhàn)。

(3)數(shù)據(jù)速度快(Velocity):電力生產(chǎn)、傳輸、使用速度十分迅速,其產(chǎn)生的相關(guān)數(shù)據(jù)對“實時性”需求也十分緊迫,例如電力調(diào)度、運維數(shù)據(jù)必須進行實時處理,這直接關(guān)系到電網(wǎng)企業(yè)的公共服務質(zhì)量。

(4)數(shù)據(jù)即能量(Energy):電網(wǎng)企業(yè)大數(shù)據(jù)的產(chǎn)生與應用,就是電力能量不斷的釋放過程,對電網(wǎng)企業(yè)大數(shù)據(jù)的分析、處理與優(yōu)化,就是對基礎能源與基礎設施的優(yōu)化改進。

(5)數(shù)據(jù)即交互(Exchange):電網(wǎng)企業(yè)大數(shù)據(jù)的生產(chǎn)與利用,實質(zhì)上是與外部國民經(jīng)濟、社會成員不斷的數(shù)據(jù)交互,其具有顯著的交互特性。

(6)數(shù)據(jù)即共情(Empathy):電網(wǎng)企業(yè)作為基礎服務行業(yè),應不斷改進電網(wǎng)企業(yè)工作模式,建立電網(wǎng)企業(yè)與用戶的情感聯(lián)系,增進兩者共情。

3.2 電網(wǎng)企業(yè)大數(shù)據(jù)安全威脅分析

大數(shù)據(jù)在電網(wǎng)企業(yè)具有廣闊的應用前景與市場需求,電網(wǎng)企業(yè)大數(shù)據(jù)勢必會推動電網(wǎng)企業(yè)向著更為優(yōu)質(zhì)、高效的服務方向前進。同時,大數(shù)據(jù)時代的到來,對電網(wǎng)企業(yè)的安全帶來了一些新的威脅與挑戰(zhàn),如何構(gòu)建多層次的安全防護體系,是未來電網(wǎng)企業(yè)發(fā)展中必須面臨的重要問題。

大數(shù)據(jù)時代下電網(wǎng)企業(yè)工作模式如圖1所示:(1)電網(wǎng)企業(yè)物理設施采用分布式的物理部署方式,主要維持日常的電力生產(chǎn)、輸電、變電、配電、用電等操作,并利用設備監(jiān)控系統(tǒng)不斷實時采集所需數(shù)據(jù),傳輸至電網(wǎng)企業(yè)大數(shù)據(jù)中心。同時,企業(yè)應用平臺所需的非設備數(shù)據(jù)也將不斷采集與傳輸至電網(wǎng)企業(yè)大數(shù)據(jù)中心,為應用平臺的運行提供數(shù)據(jù)支撐;(2)電網(wǎng)企業(yè)大數(shù)據(jù)中心提供云存儲與云計算功能(也可將兩者分離),為企業(yè)應用平臺提供所需的數(shù)據(jù)與計算服務;(3)面向不同的應用(電力運維、電力分配、企業(yè)管理、市場分析等),企業(yè)應用平臺進行相應的數(shù)據(jù)分析與處理,自動優(yōu)化與管理電力物理設施,提高電網(wǎng)企業(yè)的運行效率。本文對電網(wǎng)企業(yè)存在的主要安全威脅進行了系統(tǒng)分析,主要包括三個方面內(nèi)容。

(1)電網(wǎng)企業(yè)物理安全威脅。電網(wǎng)企業(yè)擁有大量的物理設備,包括變電站、輸配電線路等物理設備,這些設備是電網(wǎng)企業(yè)的核心,其安全性必須得到高度重視。隨著網(wǎng)絡物理系統(tǒng)(CPS:Cyber Physical Systems)與大數(shù)據(jù)在電網(wǎng)企業(yè)的不斷應用,越來越多的安全問題隨之產(chǎn)生。監(jiān)控與數(shù)據(jù)采集系統(tǒng)(SCADA)是承載電力物理實體與網(wǎng)絡空間的連接紐帶,往往成為物理攻擊的重點突破方向。2010年,“震網(wǎng)”病毒武器通過網(wǎng)絡對伊朗布什爾核電站發(fā)動攻擊,導致伊朗濃縮鈾工程約1/5的離心機報廢,極大延遲了伊朗的核進程,并開啟了世界各國對網(wǎng)絡物理系統(tǒng)安全的重視與管控。

(2)電網(wǎng)企業(yè)平臺安全威脅。電網(wǎng)企業(yè)的信息化程度越來越高,除了傳統(tǒng)的電力調(diào)度管理信息系統(tǒng)(DMIS)、企業(yè)管理信息系統(tǒng)(MIS)、企業(yè)辦公自動化系統(tǒng)(OAS)等信息平臺之外,電網(wǎng)企業(yè)大數(shù)據(jù)平臺將會成為未來電網(wǎng)企業(yè)的核心公共平臺,它將對現(xiàn)有電網(wǎng)企業(yè)信息系統(tǒng)進行數(shù)據(jù)接入,通過統(tǒng)一的數(shù)據(jù)融合、分析挖掘、可視化等功能服務建設,實現(xiàn)對電網(wǎng)企業(yè)的優(yōu)化配置。同時,以上電網(wǎng)企業(yè)平臺連接于不同安全等級的網(wǎng)絡中,在安全建設方面仍然存在一定的技術(shù)缺陷與安全隱患,隨著病毒、木馬、DDOS攻擊、APT攻擊等先進網(wǎng)絡攻擊手段的技術(shù)提升,電網(wǎng)企業(yè)平臺安全成為未來電力系統(tǒng)能夠高效、穩(wěn)定運行的關(guān)鍵。

(3)電網(wǎng)企業(yè)數(shù)據(jù)安全威脅。電網(wǎng)企業(yè)大數(shù)據(jù)中心的建設旨在將電網(wǎng)企業(yè)數(shù)據(jù)進行集中匯總,實現(xiàn)數(shù)據(jù)采集、存儲、分析與應用等服務。同時,大數(shù)據(jù)自身存在的安全威脅不可避免的影響未來電網(wǎng)企業(yè)的安全建設與應用,主要包括電網(wǎng)企業(yè)大數(shù)據(jù)云存儲環(huán)境安全、電網(wǎng)企業(yè)大數(shù)據(jù)用戶隱私安全、電網(wǎng)企業(yè)大數(shù)據(jù)可控共享安全等眾多問題,這對未來電網(wǎng)企業(yè)大數(shù)據(jù)的建設應用提出了較高的需求。

4 電網(wǎng)企業(yè)縱深防護策略

針對大數(shù)據(jù)時代下電網(wǎng)企業(yè)的安全威脅,根據(jù)常見的網(wǎng)絡攻擊及電網(wǎng)企業(yè)信息化建設情況,本文從電網(wǎng)企業(yè)的物理環(huán)境安全防護、終端安全防護、邊界安全防護、網(wǎng)絡安全防護、應用平臺安全防護、數(shù)據(jù)安全防護等技術(shù)層面提出如圖2所示的縱深防護策略,形成具有層次特性的電網(wǎng)企業(yè)安全防護體系,提高大數(shù)據(jù)時代下的電網(wǎng)企業(yè)安全。與此同時,在管理層面開展相關(guān)的保障措施以保證防護工作的順利開展。

4.1 物理環(huán)境安全防護

電網(wǎng)企業(yè)物理環(huán)境根據(jù)設備部署安裝位置的不同,選擇相應的防護措施。大數(shù)據(jù)時代下的電網(wǎng)企業(yè)物理環(huán)境安全防護策略具體所述。

(1)室內(nèi)物理環(huán)境要按照國家電網(wǎng)公司信息化工程的安全防護總體方案,并按照等級保護對應安全等級的物理安全要求進行防護,確保電網(wǎng)企業(yè)室內(nèi)物理設備安全。

(2)室外物理設備如采集器、集中器、表計、信息采集類終端等,其主體需安裝于室外設備機柜/機箱中,其安全防護要求應遵循國家相關(guān)工業(yè)安全標準。同時,室外物理設備還需滿足國家對于電氣、環(huán)境、噪音、電磁、防腐蝕、防火、防雷、電源等要求。

4.2 終端安全防護

電網(wǎng)企業(yè)擁有配電網(wǎng)子站、信息內(nèi)外網(wǎng)辦公計算機、移動作業(yè)類設備等多種類型終端,對于不同終端,需要根據(jù)具體終端的類型、應用環(huán)境以及通信方式等選擇適宜的防護措施,具體的終端安全防護策略如下所述。

(1)配電網(wǎng)子站終端需要配置安全模塊,對來源于主站系統(tǒng)的控制命令和參數(shù)設置指令采取安全鑒別和數(shù)據(jù)完整性驗證措施,以防范冒充主站對子站終端進行攻擊,惡意操作電氣設備。

(2)信息內(nèi)外網(wǎng)辦公計算機終端需按照國家信息安全等級保護的要求實行分類分級管理,根據(jù)確定的等級實施必要的安全防護措施。例如,內(nèi)網(wǎng)終端關(guān)閉FTP、Telnet等具有安全風險的服務,統(tǒng)一安裝殺毒軟件,定時更新病毒庫與漏洞補丁,有效防范木馬、蠕蟲等惡意程序入侵。

(3)移動作業(yè)類終端嚴格執(zhí)行公司辦公終端嚴禁“內(nèi)外網(wǎng)機混用”原則,移動終端接入內(nèi)網(wǎng)需采用軟硬件相結(jié)合的加密方式接入,確保移動終端的接入安全。

4.3 邊界安全防護

電網(wǎng)企業(yè)網(wǎng)絡具有分層分區(qū)的特點,例如用于電力生產(chǎn)的電網(wǎng)生產(chǎn)控制大區(qū),用于企業(yè)管理的管理信息大區(qū)等,在不同區(qū)的網(wǎng)絡邊界需要加強安全防護,使邊界的內(nèi)部不受來自外部的攻擊,具體的防護策略涉及幾個方面。

(1)在電網(wǎng)生產(chǎn)控制大區(qū)與管理信息大區(qū)之間必須設置經(jīng)國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應接近或達到物理隔離。對于重點防護的調(diào)度中心、發(fā)電廠、變電站,在生產(chǎn)控制大區(qū)與廣域網(wǎng)的縱向連接處,應當設置經(jīng)過國家指定部門檢測認證的電力專用縱向加密認證裝置,或者加密認證網(wǎng)關(guān)及相應設施,實現(xiàn)雙向身份認證、數(shù)據(jù)加密和訪問控制。

(2)在管理信息大區(qū)內(nèi)部,審核不同業(yè)務網(wǎng)絡密級與安全等級,在網(wǎng)絡邊界進行相應的隔離保護。按照業(yè)務網(wǎng)絡的安全等級、用途以及實時性需求等評價指標,對關(guān)鍵核心業(yè)務網(wǎng)絡與其他網(wǎng)絡進行安全隔離,實現(xiàn)內(nèi)部網(wǎng)與外部網(wǎng)的資源訪問限制。其中,可以采用的安全隔離技術(shù)包括三類:(a)物理隔離技術(shù),在物理上將內(nèi)部網(wǎng)與外部網(wǎng)分離,阻斷內(nèi)外網(wǎng)之間的連接;(b)協(xié)議隔離技術(shù),在內(nèi)外網(wǎng)的連接端點處,配置協(xié)議隔離器實現(xiàn)內(nèi)外網(wǎng)的連通與阻斷;(4)防火墻隔離技術(shù),在內(nèi)外網(wǎng)之間設置防火墻,利用防火墻配置實現(xiàn)數(shù)據(jù)流的檢測、限制與阻斷,實現(xiàn)內(nèi)外網(wǎng)之間的邏輯隔離。

4.4 網(wǎng)絡安全防護

網(wǎng)絡是連接電網(wǎng)企業(yè)物理設備、應用平臺與數(shù)據(jù)的基礎環(huán)境,是整個電網(wǎng)企業(yè)正常運轉(zhuǎn)的重要保障。當前電網(wǎng)企業(yè)主要采用專用網(wǎng)絡和公共網(wǎng)絡相結(jié)合的網(wǎng)絡結(jié)構(gòu),其中專用網(wǎng)絡用以支撐電網(wǎng)企業(yè)的設備管理、調(diào)度管理、生產(chǎn)管理、資源管理等核心業(yè)務,并且不同業(yè)務的基礎網(wǎng)絡享有不同密級與安全等級,需要采取不同的防護策略。大數(shù)據(jù)時代下,電網(wǎng)企業(yè)的業(yè)務網(wǎng)絡將會不斷拓展,安全風險不斷增加,具體的防護策略如下所述。

(1)對網(wǎng)絡設備、網(wǎng)絡基礎服務、網(wǎng)絡業(yè)務信息流等基礎網(wǎng)絡環(huán)境加強安全防護,采用訪問控制、安全加固、監(jiān)控審計、身份鑒別、入侵檢測、資源控制等措施進行網(wǎng)絡環(huán)境安全防護。

(2)針對信息資源的安全交換需求,構(gòu)建電網(wǎng)企業(yè)的業(yè)務虛擬專網(wǎng)(VPN)。在電網(wǎng)企業(yè)網(wǎng)絡中,有些重要數(shù)據(jù)與信息需要安全通信,考慮成本因素,建議在已有基礎網(wǎng)絡中建立安全通信機制,此時應采用VPN技術(shù)。VPN采用隧道、信息加密、用戶認證、訪問控制等相關(guān)技術(shù),建立數(shù)據(jù)加密的虛擬網(wǎng)絡隧道進行信息傳輸,能夠有效防止敏感數(shù)據(jù)的竊取。

(3)采用先進的網(wǎng)絡防護技術(shù),增強網(wǎng)絡的安全性與彈性。網(wǎng)絡彈性是指網(wǎng)絡在遇到災難事件時快速恢復和繼續(xù)運行的能力,建立電網(wǎng)企業(yè)基礎網(wǎng)絡的一體化感知、檢測、響應和恢復機制,采取硬件冗余、網(wǎng)絡疊加、虛擬化等方法提高企業(yè)網(wǎng)絡彈性。

4.5 應用平臺安全防護

電網(wǎng)企業(yè)應用平臺安全直接關(guān)系到各業(yè)務應用的穩(wěn)定運行,對電網(wǎng)企業(yè)應用平臺進行安全防護,可以有效避免電力業(yè)務的阻斷、擾亂、欺騙等破壞行為。為此,本文提出幾種防護策略。

(1)加強應用平臺的安全測評,確保應用平臺的安全可靠。在應用平臺投入使用前,應依賴第三方開展測評,對應用系統(tǒng)進行全面、系統(tǒng)的安全風險評估,并制定相應的安全保障措施,確保應用平臺的安全可靠。

(2)加強應用平臺的訪問權(quán)限與訪問控制??梢赃x擇采用下列訪問控制技術(shù):基于動態(tài)和控制中心的訪問控制、基于屬性的訪問控制、基于域的訪問控制、基于角色的訪問控制等。

(3)記錄應用平臺操作日志,便于調(diào)查取證與追蹤溯源??梢詫τ脩舻脑L問記錄、操作記錄等信息進行歸檔存儲,防范內(nèi)部人員進行異常操作,為安全事件分析提供取證與溯源數(shù)據(jù)。

4.6 數(shù)據(jù)安全防護

大數(shù)據(jù)時代下電網(wǎng)企業(yè),是以數(shù)據(jù)為中心進行電力的生產(chǎn)、傳輸與應用,因此,數(shù)據(jù)是電網(wǎng)企業(yè)的核心資源,需要受到高度重視。目前,大數(shù)據(jù)的應用尚不成熟,相關(guān)技術(shù)產(chǎn)品也存在很多安全問題,尤其是大數(shù)據(jù)的隱私保護、數(shù)據(jù)存儲安全、數(shù)據(jù)訪問安全、數(shù)據(jù)追蹤溯源等問題,仍然制約與困擾著大數(shù)據(jù)的發(fā)展。本文提出如下安全策略,用以提升電網(wǎng)企業(yè)大數(shù)據(jù)的安全應用。

(1)加強電網(wǎng)企業(yè)數(shù)據(jù)的隱私安全,提高電網(wǎng)企業(yè)的可信度。電網(wǎng)企業(yè)擁有近乎國家人口規(guī)模的用戶數(shù)據(jù),這些數(shù)據(jù)不僅包含個人的隱私信息,而且還包括個人、家庭的電力消費行為信息,如果數(shù)據(jù)不妥善處理,會對用戶造成極大的危害。為了保護電網(wǎng)企業(yè)數(shù)據(jù)的隱私安全,此處可采用的措施包括:(a)數(shù)據(jù)分享、分析、時進行匿名保護;(b)隱私數(shù)據(jù)存儲加密保護。

(2)強化數(shù)據(jù)存儲安全,提高大數(shù)據(jù)的應用安全。大數(shù)據(jù)一般在云端存儲,主要采用分布式文件系統(tǒng)技術(shù)。為了提高電網(wǎng)企業(yè)大數(shù)據(jù)的安全性,在對云存儲環(huán)境進行安全防護的前提下,還需要對電網(wǎng)關(guān)鍵數(shù)據(jù)與核心數(shù)據(jù)進行冗余備份,提高電網(wǎng)企業(yè)大數(shù)據(jù)存儲的安全性能。

(3)嚴格控制數(shù)據(jù)訪問權(quán)限,有效抵制外部惡意行為。針對電網(wǎng)企業(yè)大數(shù)據(jù)的應用現(xiàn)狀,對大數(shù)據(jù)用戶進行分類與角色劃分,明確各角色的數(shù)據(jù)訪問權(quán)限,規(guī)范各級用戶的訪問行為,確保不同等級密級數(shù)據(jù)的讀、寫操作,有效管理云存儲環(huán)境下的電網(wǎng)企業(yè)大數(shù)據(jù)安全。

4.7 大數(shù)據(jù)安全技術(shù)

應該大力發(fā)展基于大數(shù)據(jù)信息安全技術(shù)的研究,提升企業(yè)網(wǎng)絡與信息安全水平。在網(wǎng)絡安全防范方面,內(nèi)部威脅大于外部威脅,應積極研究網(wǎng)絡內(nèi)部人員威脅探測技術(shù)、異常檢查技術(shù)以及運用圖形分析和認知主動發(fā)現(xiàn)威脅技術(shù)等;另外針對那些使用過程中保持加密狀態(tài)的數(shù)據(jù),開發(fā)加密數(shù)據(jù)編程計算技術(shù),使加密數(shù)據(jù)狀態(tài)的數(shù)據(jù)仍然能使用在云環(huán)境中,客服大數(shù)據(jù)云計算環(huán)境中的信息安全問題;開發(fā)數(shù)據(jù)管理架構(gòu)和處理工具,包括用于自動識別重大異常事件的大數(shù)據(jù)云存儲與分析技術(shù),提供電網(wǎng)持續(xù)監(jiān)控系統(tǒng)的安全性,任務數(shù)據(jù)的可用性與可靠性性,減少對審計日志的時間和資源消耗,實現(xiàn)多種分析方法,提供日志腳本的實現(xiàn)、開發(fā)與支持;針對外部威脅,定義惡意軟件和定向攻擊等漏洞,創(chuàng)建通過分析Web、防火墻等其它硬件設備日志來應對惡意軟件和網(wǎng)絡漏洞威脅的分析方法等技術(shù)。

4.8 管理層面

在以數(shù)據(jù)為中心的新型電力系統(tǒng)構(gòu)建與應用過程中,應首先從電力大數(shù)據(jù)政策法規(guī)層面建立相應的安全防護策略,規(guī)范電力企業(yè)的總體安全防護能力,約束與管理整個行業(yè)的安全操作行為,確保物理安全與管理安全。

(1)著眼統(tǒng)一認識,明確安全防護遵循原則,制定相應管理規(guī)定。為確保電力企業(yè)的安全管理,應從戰(zhàn)略的角度開展行業(yè)整體安全理論研究,從安全認識、建設原則、工作思路等多個方面進行專項研究,制定整個行業(yè)的安全管理規(guī)定,宏觀指導大數(shù)據(jù)時代下各電力企業(yè)的建設、管理與工作。

(2)制定行業(yè)標準,指導與規(guī)范電力系統(tǒng)安全管理。從技術(shù)的角度出發(fā),制定電力行業(yè)信息安全系列標準,對不同的應用與系統(tǒng)進行分類,并設置不同的安全等級與防護措施,指導電力系統(tǒng)安全建設與管理。

(3)聚焦關(guān)鍵設施,建設專職安全防護力量,確保電力系統(tǒng)穩(wěn)定運行。為了有效防護電力系統(tǒng)安全,應對電力系統(tǒng)關(guān)鍵基礎設施進行隔離保護,設置安全管理機構(gòu),建立專職的安全運維與防護力量,保證電力系統(tǒng)的穩(wěn)定運行。

(4)加強崗位培訓,提高電力員工信息安全防護能力。嚴格執(zhí)行電力企業(yè)員工崗位培訓制度,分別對管理層、技術(shù)層和職工層進行針對性的安全教育與培訓,對關(guān)鍵崗位人員、專業(yè)防護人員進行信息安全知識和安全法規(guī)教育,并定期進行安全檢查與考核。

5 結(jié)束語

大數(shù)據(jù)在推動電網(wǎng)企業(yè)不斷向前發(fā)展的同時,也為電網(wǎng)企業(yè)的轉(zhuǎn)型發(fā)展與應用創(chuàng)新帶來了新的威脅與安全隱患。本文對電網(wǎng)企業(yè)面臨的安全威脅進行了系統(tǒng)分析,從電網(wǎng)企業(yè)的物理環(huán)境安全防護、終端安全防護、邊界安全防護、網(wǎng)絡安全防護、應用平臺安全防護、數(shù)據(jù)安全防護等技術(shù)層面,提出了相應的安全防護策略。本文的研究能夠為未來電網(wǎng)企業(yè)大數(shù)據(jù)的安全建設與應用提供有效的指導,相應的防護策略與方法有待在進一步探索與實踐中不斷優(yōu)化與改進。

參考文獻

[1] James Manyika,MichaelChui,BradBrown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute,2011.

[2] 中國電機工程學會電力信息化委員會.中國電力大數(shù)據(jù)發(fā)展白皮書[R].中國電力出版社,2013.

[3] 張培,楊華飛,許元斌.電力大數(shù)據(jù)及其在電網(wǎng)公司的應用[J].中國電機工程學報,2014(z1):85-92.

[4] 高新華,王文,馬曉.電力信息網(wǎng)絡安全隔離設備的研究[J].電網(wǎng)技術(shù),2003,27(9)69-72.

[5] 王保義,王藍婧電力信息系統(tǒng)中基于屬性的訪問控制模型的設計[J].電力系統(tǒng)自動化,2007,31(7):81-84.

[6] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005,1115-1122.

作者簡介:

蔣明(1979-),男,安徽淮北人,華北電力大學計算機科學與技術(shù)專業(yè),工學學士,現(xiàn)任國網(wǎng)安徽省電力公司信通公司信息通信運檢中心副主任,高級工程師;主要工作業(yè)績: 負責電力信息化運行和管理工作,多次獲得安徽省電力公司科技進步獎和群眾性創(chuàng)新獎。