王晨
(重慶市電力公司市區(qū)供電局,重慶 400000)
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),就是利用通訊設(shè)備和線路將地理位置不同的、功能獨(dú)立的多個(gè)計(jì)算機(jī)系統(tǒng)互連起來,以功能完善的網(wǎng)絡(luò)軟件(網(wǎng)絡(luò)通信協(xié)議、信息交換方式及網(wǎng)絡(luò)操作系統(tǒng)等)實(shí)現(xiàn)網(wǎng)絡(luò)中資源共享和信息傳遞的系統(tǒng)。它的主要功能表現(xiàn)在兩個(gè)方面:一是實(shí)現(xiàn)資源共享,包括硬件資源和軟件資源的共享;二是在用戶之間交換信息。隨著計(jì)算機(jī)的廣泛應(yīng)用和網(wǎng)絡(luò)的流行,目前電力系統(tǒng)企業(yè)員工的很多日常工作(包括生產(chǎn)MIS、OA、電力營銷、視頻監(jiān)控、集群錄音等各種系統(tǒng))已經(jīng)與網(wǎng)絡(luò)密不可分,但由于各單位、各部門之間的計(jì)算機(jī)網(wǎng)絡(luò)硬件設(shè)備與操作系統(tǒng)千差萬別,應(yīng)用水平也參差不齊。
計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用,擴(kuò)大了管理范圍,大大提高了員工的工作效率,但計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)安全問題也隨之變得更加嚴(yán)重。例如:計(jì)算機(jī)病毒通過電子郵件感染并傳播;管理網(wǎng)絡(luò)互聯(lián)接口的防火墻只配置了包過濾規(guī)則,提供的安全保證很低,容易受到基于IP欺騙的攻擊,泄露企業(yè)機(jī)密;部分局域網(wǎng)沒有進(jìn)行虛擬網(wǎng)絡(luò)VLAN劃分和管理,造成網(wǎng)絡(luò)阻塞,使工作效率減低;絕大多數(shù)操作系統(tǒng)是非正版軟件,或網(wǎng)上下載的免費(fèi)軟件,不能夠做到及時(shí)補(bǔ)丁 (PATCH)更新,造成系統(tǒng)漏洞,給攻擊者進(jìn)行木馬攻擊留下后門;絕大多數(shù)工作站沒有關(guān)閉不必要的通訊端口,使得計(jì)算機(jī)易遭受遠(yuǎn)程攻擊、病毒入侵等等。
電力系統(tǒng)企業(yè)管理人員能夠通過計(jì)算機(jī)網(wǎng)絡(luò)在企業(yè)本部辦公室了解分散在全國各地項(xiàng)目部的財(cái)務(wù)報(bào)表、工程進(jìn)度、工程質(zhì)量、工程中存在的問題等信息;在企業(yè)本部計(jì)算機(jī)網(wǎng)絡(luò)會議系統(tǒng)中獲取分散在全國各地項(xiàng)目部的項(xiàng)目資料,與其他管理人員進(jìn)行研討,商量出解決問題的辦法。電力系統(tǒng)企業(yè)擔(dān)負(fù)的電網(wǎng)建設(shè)任務(wù)決定了電力企業(yè)要使用計(jì)算機(jī)網(wǎng)絡(luò),它能將分散的電網(wǎng)設(shè)施連接成一個(gè)整體,同時(shí)能將分散在各地的員工連接成一個(gè)整體并能將管理范圍縮小。利用計(jì)算機(jī)網(wǎng)絡(luò),企業(yè)可以發(fā)揮每一個(gè)員工的積極性,是企業(yè)與每個(gè)員工聯(lián)系的平臺。管理者的決策要依賴企業(yè)員工直接提供的素材,計(jì)算機(jī)網(wǎng)絡(luò)能將企業(yè)員工提供的大量素材直接呈現(xiàn)至領(lǐng)導(dǎo)者面前。計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用為電力系統(tǒng)企業(yè)提供了現(xiàn)代化的管理手段,從而提高電力系統(tǒng)企業(yè)經(jīng)濟(jì)效益。
開展電力系統(tǒng)企業(yè)信息安全建設(shè),首先必須做好安全狀況評估分析。評估應(yīng)聘請專業(yè)權(quán)威的信息安全咨詢機(jī)構(gòu),并組織企業(yè)內(nèi)部信息人員和專業(yè)人員深度參與,全面進(jìn)行信息安全風(fēng)險(xiǎn)評估,發(fā)現(xiàn)問題、明確需求、制定策略后開展實(shí)施工作,實(shí)施完成后還要定期評估和改進(jìn)。信息安全系統(tǒng)建設(shè)著重點(diǎn)在安全和穩(wěn)定,應(yīng)盡量采用成熟的技術(shù)和產(chǎn)品,不能過分求全求新。
電力系統(tǒng)企業(yè)信息安全面臨的問題很多,應(yīng)該根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題,根據(jù)信息安全技術(shù)的成熟度進(jìn)行綜合分析判斷,采取分步實(shí)施。技術(shù)成熟的,能快速見效的電力安全系統(tǒng)先行實(shí)施。
目前防病毒軟件主要分為單機(jī)版和網(wǎng)絡(luò)版兩種。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)病毒的危害越來越大,因此,必須將電力系統(tǒng)內(nèi)各臺計(jì)算機(jī)加裝防病毒軟件,并且要及時(shí)更新防病毒軟件的病毒庫版本,建議采用單機(jī)版、網(wǎng)絡(luò)版防病毒軟件及其他防護(hù)手段相結(jié)合的綜合病毒防范體系。單機(jī)版防病毒軟件安裝在單機(jī)工作站上,保護(hù)工作站免受病毒侵?jǐn)_。病毒防火墻安裝在網(wǎng)關(guān)處,對出入網(wǎng)關(guān)的數(shù)據(jù)包進(jìn)行檢查,及時(shí)發(fā)現(xiàn)并殺死企圖進(jìn)入內(nèi)網(wǎng)的網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)版防病毒軟件管控中心安裝在網(wǎng)絡(luò)服務(wù)器上,用戶安裝網(wǎng)絡(luò)版防病毒軟件客戶端,每臺客戶端都能實(shí)施連接管控中心服務(wù)器,管控中心可以對客戶端下發(fā)安全防護(hù)策略、升級客戶端病毒庫,從而全面監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒情況。
通過信息檢測、攻擊檢測、網(wǎng)絡(luò)安全性分析和操作系統(tǒng)安全性分析等一系列配置,對黑客進(jìn)行監(jiān)控。利用防火墻可以阻斷非法的數(shù)據(jù)包,屏蔽針對網(wǎng)絡(luò)的非法攻擊,阻斷黑客入侵。一般情況下,防火墻設(shè)置會導(dǎo)致信息傳輸?shù)拿黠@延時(shí)。因此,在需要考慮實(shí)時(shí)性要求的電力系統(tǒng),建議采用實(shí)時(shí)系統(tǒng)專用的防火墻組件,以降低電力系統(tǒng)通用防火墻軟件延時(shí)帶來的影響。
通過對網(wǎng)絡(luò)流量采樣.來實(shí)時(shí)地監(jiān)視網(wǎng)絡(luò)流量和進(jìn)行非授權(quán)使用檢測。同時(shí)可通過封鎖網(wǎng)絡(luò)訪問或終止非法對話主動(dòng)響應(yīng)非法活動(dòng)。
電力系統(tǒng)重要網(wǎng)絡(luò)采用物理隔離的方法保證其安全性。物理隔離是在物理鏈路上進(jìn)行隔離,是一種最安全的防護(hù)技術(shù)。大體可分成單機(jī)物理隔離、隔離集線器和網(wǎng)際物理隔離三類。單機(jī)物理隔離:分為內(nèi)置隔離卡和外置隔離器。隔離卡安裝在機(jī)器內(nèi)部,安裝和使用比較麻煩,切換內(nèi)外網(wǎng)時(shí)需要重新啟動(dòng),但安全性最高。隔離卡又分為單硬盤物理隔離卡和雙硬盤物理隔離卡。隔離器是外置設(shè)備,安裝很簡單,使用起來十分方便,缺點(diǎn)是安全性不如隔離卡高。電力系統(tǒng)隔離集線器不需要改變布線結(jié)構(gòu),單網(wǎng)線到桌面??梢酝瑫r(shí)接入多個(gè)工作站,使用方便。網(wǎng)際物理隔離:電力系統(tǒng)物理隔離器可以完成外網(wǎng)信息的搜集、轉(zhuǎn)發(fā)和內(nèi)網(wǎng)發(fā)布三個(gè)工作環(huán)節(jié),在轉(zhuǎn)發(fā)的過程中需要重新啟動(dòng)隔離傳送器。適合實(shí)時(shí)性要求不高的部門的外網(wǎng)接口處。
加強(qiáng)信息安全管理工作的重點(diǎn)是培養(yǎng)信息安全專門人才,人才培養(yǎng)和必須與電力系統(tǒng)信息安全防護(hù)系統(tǒng)建設(shè)同步進(jìn)行,才能真正發(fā)揮電力系統(tǒng)的信息安全防護(hù)系統(tǒng)和設(shè)備的作用。
計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)工作內(nèi)容包括:設(shè)備、鏈路、電源和配線架等附屬設(shè)備的維護(hù)。具體要求包括:(1)保證設(shè)備工作條件,包括供電條件和環(huán)境條件等。(2)對系統(tǒng)故障進(jìn)行判斷和處理,根據(jù)故障現(xiàn)象和告警指示,利用網(wǎng)管及各種測試工具進(jìn)行故障定位,找出故障原因,在最短時(shí)間內(nèi)排除故障。(3)通常采用集中維護(hù)方式,將維護(hù)人員和必要的維護(hù)儀表集中在一個(gè)主要站。(4)經(jīng)常檢查交換機(jī)與路由器中的端口狀態(tài),尤其需要關(guān)注端口差錯(cuò)統(tǒng)計(jì)信息,對于出錯(cuò)包特別多的端口,應(yīng)該檢查其是交換機(jī)或路由器本身的、鏈路的原因,還是接入設(shè)備的原因。交換機(jī)或路由器主要查CPU利用率和MEM利用率,接入設(shè)備若是計(jì)算機(jī),則主要看網(wǎng)卡的設(shè)置是否正確、網(wǎng)卡的驅(qū)動(dòng)程序是否和網(wǎng)卡匹配,查出原因后進(jìn)行整改,檢查完后對端口統(tǒng)計(jì)信息清零。(5)鏈路若是光纜,則主要檢查現(xiàn)有衰耗和投運(yùn)時(shí)的衰耗差,鏈路是網(wǎng)線則用專用儀器進(jìn)行現(xiàn)場測試,光纖不允許小角度彎折,更不能出現(xiàn)直角。(6)網(wǎng)管監(jiān)控系統(tǒng)和本地維護(hù)終端用的計(jì)算機(jī)是專用設(shè)備,禁止挪用,以免病毒侵害。
(1)對運(yùn)行中的網(wǎng)絡(luò)設(shè)備在進(jìn)行變更設(shè)置的操作時(shí),必須有兩人同時(shí)在場方可進(jìn)行,一人操作,一人監(jiān)護(hù),并做好如何在操作失敗而導(dǎo)致網(wǎng)絡(luò)設(shè)備異常的情況下的處理預(yù)案,履行必要手續(xù)。(2)處理光接口信號時(shí),不得將光發(fā)送器的尾纖端面或上面活動(dòng)連接器的端面對著眼睛,并注意尾纖端面和連接器的清潔。(3)熟練掌握所維護(hù)的設(shè)備的基本操作。(4)做好設(shè)備的日常巡視工作。
計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)現(xiàn)代化企業(yè)管理中正在發(fā)揮著積極的作用。同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)在電力系統(tǒng)的安全防護(hù)形勢越來越嚴(yán)峻,電力企業(yè)面臨的困難和挑戰(zhàn)還很多,工作任重而道遠(yuǎn),值得電力系統(tǒng)管理者和全體員工一起積極探索,不斷發(fā)展和完善。
[1]周軍輝,胡湘任.校園網(wǎng)IPv4向IPv6過渡技術(shù)的研究[J].大眾科技.2008.7:30-31.
[2]方世峰.1Pv6在下一代校園網(wǎng)中部署[J],云夢學(xué)刊.2007.12(2 8):181-182
[3]張五紅,王宇.高校IPv6校園網(wǎng)的部署與配置[J].計(jì)算機(jī)工程與設(shè)計(jì).2007.28(13):31 06-31 10.