王云海

（云南電網(wǎng)公司臨滄供電局 云南 677000）

0 前言

電力行業(yè)是國民經(jīng)濟(jì)發(fā)展的基礎(chǔ)產(chǎn)業(yè)，隨著電力行業(yè)的不斷發(fā)展，其關(guān)鍵業(yè)務(wù)不斷增加，因此各級供電企業(yè)紛紛建立信息系統(tǒng)和基于Internet的治理應(yīng)用，其有利于加強(qiáng)信息反饋，提高電力行業(yè)的勞動生產(chǎn)率和綜合競爭力。但隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的逐漸擴(kuò)大，也導(dǎo)致諸多網(wǎng)絡(luò)安全隱患，因此電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全問題也成為我們必須重視的一個重要問題，必須從網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用程序和業(yè)務(wù)需求等各方面來保證系統(tǒng)的安全。加強(qiáng)對網(wǎng)絡(luò)安全問題的控制，應(yīng)首先明確網(wǎng)絡(luò)安全存在的安全風(fēng)險，并針對這些安全風(fēng)險提出相應(yīng)的解決方案，從而有效減少和避免其發(fā)生。

1 網(wǎng)絡(luò)安全現(xiàn)狀及安全風(fēng)險分析

電力網(wǎng)絡(luò)系統(tǒng)中的安全防護(hù)應(yīng)主要包括兩個方面的內(nèi)容,即網(wǎng)絡(luò)系統(tǒng)中存儲、傳輸?shù)男畔?shù)據(jù)和各類設(shè)備。當(dāng)前電力行業(yè)計(jì)算機(jī)及信息網(wǎng)絡(luò)安全意識亟待提高，普遍缺乏統(tǒng)一的信息安全管理規(guī)范，亟需建立同電力行業(yè)特點(diǎn)相適應(yīng)的網(wǎng)絡(luò)安全體系。具體而言，電力行業(yè)網(wǎng)絡(luò)安全風(fēng)險主要包括以下幾個方面：

1.1 物理層安全風(fēng)險

物理層安全是指各種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全。網(wǎng)絡(luò)的物理層安全風(fēng)險是指由于網(wǎng)絡(luò)周邊環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用，而造成網(wǎng)絡(luò)系統(tǒng)的不可用。如設(shè)備自身的缺陷、電磁輻射、各種自然災(zāi)害及人為的破壞和錯誤操作等。

1.2 網(wǎng)絡(luò)層安全風(fēng)險

計(jì)算機(jī)網(wǎng)絡(luò)化使電力系統(tǒng)網(wǎng)絡(luò)由過去孤立的局域網(wǎng)轉(zhuǎn)化為廣域網(wǎng)，這種開放的網(wǎng)絡(luò)面臨巨大的外部安全攻擊，入侵者可以利用各種工具掃描其存在的安全漏洞，對其進(jìn)行惡意攻擊，導(dǎo)致系統(tǒng)的拒絕服務(wù)、信息被竊取和篡改，甚至導(dǎo)致整個網(wǎng)絡(luò)的癱瘓。

1.3 系統(tǒng)安全風(fēng)險

在電力系統(tǒng)的網(wǎng)絡(luò)中，包含的主要設(shè)備有各類服務(wù)器和路由器/交換機(jī)系統(tǒng)。這些系統(tǒng)都存在一定的安全漏洞，一旦被利用并攻擊，危害嚴(yán)重。如服務(wù)器配置錯誤、服務(wù)器軟件和操作系統(tǒng)的漏洞、網(wǎng)絡(luò)通訊的TCP/IP協(xié)議缺乏相應(yīng)的安全機(jī)制等。另外電力行業(yè)應(yīng)用系統(tǒng)基本上基于商業(yè)軟硬件系統(tǒng)設(shè)計(jì)和開發(fā)，其基本采用口令的鑒別模式進(jìn)行用戶身份認(rèn)證，其安全系數(shù)低，同時數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲，也容易導(dǎo)致信息的泄露。

1.4 網(wǎng)絡(luò)病毒的安全威脅

網(wǎng)絡(luò)病毒是指通過計(jì)算機(jī)網(wǎng)絡(luò)傳染網(wǎng)絡(luò)中的可執(zhí)行文件，其具有極大的擴(kuò)散能力，病毒會突破系統(tǒng)的訪問控制，易導(dǎo)致機(jī)器死機(jī)、信息泄漏、文件丟失、網(wǎng)絡(luò)癱瘓等問題。

2 電力行業(yè)網(wǎng)絡(luò)安全防護(hù)管理措施

安全管理是保證網(wǎng)絡(luò)安全的前提和基礎(chǔ)，因此電力企業(yè)應(yīng)遵循分級保護(hù)、適度安全、管理與技術(shù)并重、全過程、動態(tài)調(diào)整的網(wǎng)絡(luò)安全防護(hù)原則，建立科學(xué)的安全管理框架，加強(qiáng)網(wǎng)絡(luò)安全的日常管理工作。在具體實(shí)施過程中，應(yīng)注意:(1)要加強(qiáng)網(wǎng)絡(luò)管理人員的安全教育，提高其網(wǎng)絡(luò)安全意識，保持管理人員的穩(wěn)定性，避免網(wǎng)絡(luò)機(jī)密泄露，做好計(jì)算機(jī)操作系統(tǒng)權(quán)限管理及密碼管理。(2)加強(qiáng)網(wǎng)絡(luò)安全技術(shù)管理，實(shí)施的網(wǎng)絡(luò)安全防護(hù)技術(shù)要切合電力行業(yè)的特點(diǎn)，并及時做好數(shù)據(jù)備份工作，建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施和策略。(3)加強(qiáng)網(wǎng)絡(luò)設(shè)備的物理安全管理，密切注意計(jì)算機(jī)、服務(wù)器、路由器、交換機(jī)、存儲介質(zhì)等設(shè)備的防火、防盜、防水、防潮、防塵、防靜電等工作，有效防范物理層安全風(fēng)險。(4)加強(qiáng)信息介質(zhì)的安全管理，報廢介質(zhì)應(yīng)及時做好清除和銷毀工作，備份介質(zhì)防止丟失和被盜用，對于需送出修理的設(shè)備應(yīng)注意所存儲信息的安全問題。

3 網(wǎng)絡(luò)安全防護(hù)技術(shù)解決方案

3.1 網(wǎng)絡(luò)設(shè)施安全防護(hù)技術(shù)

合理配置電腦硬件、路由器等設(shè)備，有效避免對路由協(xié)議和遠(yuǎn)程配置端口的攻擊。為確保網(wǎng)絡(luò)相關(guān)設(shè)備登陸的安全性，建議選用兩個特定的因素辨別，運(yùn)用一次性的口令技術(shù)，并在登陸過程中，要求參與一些相關(guān)的認(rèn)證硬件，以有效防止口令泄密。

3.2 防火墻

為保護(hù)電力系統(tǒng)內(nèi)部網(wǎng)免遭外部攻擊，應(yīng)分別在電力系統(tǒng)各級內(nèi)部網(wǎng)與外部廣域網(wǎng)之間設(shè)置防火墻，將防火墻作為內(nèi)外網(wǎng)之間的一道牢固的安全屏障，設(shè)置安全策略，有效控制電力系統(tǒng)內(nèi)部網(wǎng)的訪問，建議可以配置基于狀態(tài)檢測、包過濾技術(shù)上的流過濾技術(shù)的防火墻--硬件防火墻系統(tǒng)，既防止內(nèi)網(wǎng)資源被外部未授權(quán)用戶非法訪問和破壞，又防止內(nèi)部用戶對外部不良資源的濫用。另外計(jì)算機(jī)管理人員應(yīng)定期查看防火墻訪問日志，對網(wǎng)絡(luò)攻擊行為及不正常的網(wǎng)絡(luò)訪問日志信息，及時做出相應(yīng)處理。

3.3 入侵監(jiān)測系統(tǒng)

為防范來自電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)的攻擊，應(yīng)在電力系統(tǒng)內(nèi)部網(wǎng)各重要網(wǎng)段配備入侵檢測系統(tǒng)，對網(wǎng)絡(luò)行為進(jìn)行全程監(jiān)視，識別網(wǎng)絡(luò)入侵行為。入侵檢測系統(tǒng)可實(shí)時捕獲計(jì)算機(jī)網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，通過其內(nèi)置的攻擊特征庫，運(yùn)用模式匹配和智能分析的方法，檢測入侵行為和異?，F(xiàn)象，并進(jìn)行詳細(xì)記錄。另外入侵檢測系統(tǒng)能實(shí)現(xiàn)實(shí)時報警，以便管理人員及時發(fā)現(xiàn)問題并解決，有效減少和避免計(jì)算機(jī)網(wǎng)絡(luò)安全隱患的發(fā)生，更大限度的提高計(jì)算機(jī)的安全性能。

3.4 漏洞掃描系統(tǒng)

網(wǎng)絡(luò)安全漏洞掃描系統(tǒng)通過對系統(tǒng)安全的脆弱性進(jìn)行檢測，可及時的發(fā)現(xiàn)計(jì)算機(jī)中可能存在的安全問題或漏洞。電力行業(yè)中網(wǎng)絡(luò)環(huán)境復(fù)雜，漏洞掃描技術(shù)的運(yùn)用是網(wǎng)絡(luò)安全體系構(gòu)建的重要組成部分，其掃描范圍涵蓋所有支持TCP／IP協(xié)議的設(shè)備，掃描可以針對網(wǎng)絡(luò)層、操作系統(tǒng)層、數(shù)據(jù)庫層、應(yīng)用系統(tǒng)層等多個層面，其主要運(yùn)用安全漏洞庫和各種模擬攻擊方式的原理查找漏洞。掃描結(jié)束后可生成詳細(xì)的安全評估報告，采用報表和圖形的形式對掃描結(jié)果進(jìn)行全面分析。在運(yùn)用過程中，應(yīng)重點(diǎn)針對關(guān)鍵且易出現(xiàn)系統(tǒng)漏洞和配置漏洞的主機(jī)操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行掃描。

3.5 信息傳輸加密產(chǎn)品的配置

為提高數(shù)據(jù)信息從發(fā)起端到接收端傳輸過程的安全性，在每一級網(wǎng)絡(luò)配備的防火墻系統(tǒng)與邊界路由器之間配備網(wǎng)絡(luò)層加密機(jī)，利用加密技術(shù)及安全認(rèn)證機(jī)制，認(rèn)證通信雙方的身份，實(shí)現(xiàn)基于應(yīng)用的訪問控制，并可提供穿越防火墻的VPN應(yīng)用模式，運(yùn)用直連的方式把通過認(rèn)證的數(shù)據(jù)直接傳送到主機(jī)的應(yīng)用程序。另外其可與第三方認(rèn)證產(chǎn)品集成，實(shí)現(xiàn)更加嚴(yán)密的身份認(rèn)證和訪問控制功能，從而保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性，并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。

3.6 防病毒系統(tǒng)

為保護(hù)電力行業(yè)網(wǎng)絡(luò)系統(tǒng)受到病毒侵害，應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。根據(jù)不同的操作系統(tǒng)類型、數(shù)據(jù)庫平臺、應(yīng)用軟件，配備相應(yīng)的防病毒軟件。以服務(wù)器為網(wǎng)絡(luò)核心，及時更新病毒代碼庫，建立完善的防病毒系統(tǒng)，保證電力行業(yè)網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。

總之，電力行業(yè)網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，是電力行業(yè)必須重視的重要工作內(nèi)容，因此我們應(yīng)提高網(wǎng)絡(luò)安全意識，遵循整體性、安全性的原則，提高計(jì)算機(jī)管理人員的素質(zhì)和水平，定期對全網(wǎng)進(jìn)行安全檢測,發(fā)現(xiàn)安全問題及時采取措施修補(bǔ)網(wǎng)絡(luò)安全漏洞，采取科學(xué)的網(wǎng)絡(luò)安全管理措施，建立完善的計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)，以促進(jìn)電力行業(yè)的可持續(xù)發(fā)展。

[1]周彬.探討計(jì)算機(jī)網(wǎng)絡(luò)存在的安全隱患及其維護(hù)措施[J].電腦知識與技術(shù).2012年第9期

[2]王迎新,牛東曉.電力企業(yè)網(wǎng)絡(luò)信息安全管理研究[J].中國管理信息化(綜合版).2007年第3期