摘 要：深入探究電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全的防護(hù)體系的構(gòu)成，分析電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全的防護(hù)現(xiàn)狀，總結(jié)出網(wǎng)絡(luò)安全層次式防護(hù)體系的構(gòu)建和實(shí)施策略，希望能夠促進(jìn)和完善電力企業(yè)信息網(wǎng)的網(wǎng)絡(luò)安全保障。

關(guān)鍵詞：電力企業(yè)；信息網(wǎng)網(wǎng)絡(luò)安全；層次式防護(hù)體系

中圖分類號(hào)：TN915.08

網(wǎng)絡(luò)信息安全的問題主要包括了網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護(hù)，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡(luò)安全就需要構(gòu)建一個(gè)層次式防護(hù)體系，這個(gè)防護(hù)體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全所面臨的各種問題，給企業(yè)一個(gè)良好的網(wǎng)絡(luò)環(huán)境。

1 信息網(wǎng)絡(luò)安全層次式防護(hù)體系的防護(hù)模式

結(jié)合電力企業(yè)的實(shí)際情況，按照層次式防護(hù)體系的防護(hù)模式，可將電力企業(yè)的網(wǎng)絡(luò)信息安全分為七大模塊，分別是入侵檢測(cè)、環(huán)境與硬件、防火墻、VPN（虛擬專用網(wǎng)）、隱患掃描、病毒防范、PKI（公開密鑰基礎(chǔ)設(shè)施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護(hù)模式的第一、二層，是對(duì)系統(tǒng)安全要求比較高的電網(wǎng)運(yùn)行與安全穩(wěn)定的控制，還包含了電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)等實(shí)時(shí)網(wǎng)絡(luò)，使用防火墻隔離網(wǎng)關(guān)設(shè)備來連接信息網(wǎng)絡(luò)，這樣就可以獲取實(shí)時(shí)的系統(tǒng)數(shù)據(jù)，不過這樣仍有一個(gè)小的缺陷，就是不可能直接或間接的修改實(shí)時(shí)系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡(luò)與實(shí)時(shí)網(wǎng)絡(luò)之間在物理網(wǎng)絡(luò)層的隔離，這樣就能從根本上防護(hù)非法用戶的入侵。

另外，也可在信息網(wǎng)的Internet接入口處安裝防火墻，這種防火墻主要防止來自外部的攻擊，而且企業(yè)內(nèi)各機(jī)構(gòu)之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護(hù)措施。不過防火墻對(duì)于一些利用合法通道而展開的網(wǎng)絡(luò)內(nèi)部攻擊顯得無能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網(wǎng)關(guān)，很容易就成為網(wǎng)絡(luò)防護(hù)發(fā)展的頸瓶，不適合做過多的擴(kuò)展研究。因此，還需要和層次式防護(hù)的第三層入侵檢測(cè)等相關(guān)工具聯(lián)合起來運(yùn)用，這樣就能提高整個(gè)網(wǎng)絡(luò)的安全。

1.2 入侵檢測(cè)（IDS）

整個(gè)防護(hù)體系的第三層防護(hù)便是入侵檢測(cè)，入侵檢測(cè)不屬于網(wǎng)絡(luò)訪問控制設(shè)備，對(duì)通訊流量沒有任何限制，采用的是一種通過實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)資源（系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動(dòng)分析和尋找入侵行為的跡象，屬于一種動(dòng)態(tài)的安全防護(hù)技術(shù)。一旦被檢測(cè)到入侵情況就會(huì)立即進(jìn)行日志、安全控制操作以及警告等操作，給網(wǎng)絡(luò)系統(tǒng)提供內(nèi)、外部攻擊以及一些失誤進(jìn)行安全防護(hù)。像CA公司的eTrustIntrusionDetection程序就是通過自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網(wǎng)絡(luò)系統(tǒng)提供了先進(jìn)的網(wǎng)絡(luò)保護(hù)功能。同時(shí)還能在服務(wù)器及相關(guān)業(yè)務(wù)受到影響時(shí)，按照預(yù)先定義好的策略采取相應(yīng)的措施。

1.3 隱患掃描

防護(hù)體系的第四層防護(hù)便是隱患掃描，隱患掃描是一個(gè)全自動(dòng)化的網(wǎng)絡(luò)安全評(píng)估軟件，它以黑客的視角對(duì)被檢測(cè)的系統(tǒng)進(jìn)行是否承受攻擊性的安全漏洞以及隱患掃描，同時(shí)還能夠查到可能危及網(wǎng)絡(luò)或系統(tǒng)安全的弱點(diǎn)，從而提出相應(yīng)的維修措施，提交詳細(xì)的風(fēng)險(xiǎn)評(píng)估報(bào)告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補(bǔ)漏洞，從而防患于未然，能夠預(yù)防在安全檢查中暴露出存在網(wǎng)絡(luò)系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網(wǎng)絡(luò)系統(tǒng)中運(yùn)行的風(fēng)險(xiǎn)降至最低。

隱患掃描系統(tǒng)的主要應(yīng)用在不同的場(chǎng)合和時(shí)宜，第一，對(duì)信息網(wǎng)作出定期的網(wǎng)絡(luò)安全自我檢測(cè)和評(píng)估。網(wǎng)絡(luò)管理員能夠定期的進(jìn)行網(wǎng)絡(luò)安全檢查服務(wù)，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進(jìn)行修補(bǔ)，從而優(yōu)化資源、提高網(wǎng)絡(luò)的運(yùn)行效率；第二，網(wǎng)絡(luò)建設(shè)以及網(wǎng)絡(luò)改造前后的安全規(guī)劃以及成效檢測(cè)。配備隱患掃描系統(tǒng)能夠方便的進(jìn)行安全規(guī)劃評(píng)估和成效檢測(cè)；第三，網(wǎng)絡(luò)安全隱患突發(fā)后的分析。網(wǎng)絡(luò)安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡(luò)被攻擊的漏洞所在，然后幫助修補(bǔ)漏洞，能夠提供盡可能多的資料來方便調(diào)查攻擊的來源。第四，重大網(wǎng)絡(luò)安全事件發(fā)生前的準(zhǔn)備，重大網(wǎng)絡(luò)安全事件發(fā)生以前，掃描系統(tǒng)能夠及時(shí)的幫用戶找出網(wǎng)絡(luò)中存在的漏洞，并及時(shí)將其修補(bǔ)。

1.4 虛擬專用網(wǎng)（VPN）

防護(hù)體系的第五層就是虛擬專用網(wǎng)，其主要為電力企業(yè)上下級(jí)網(wǎng)絡(luò)和外出人員訪問企業(yè)網(wǎng)絡(luò)時(shí)提供一條安全、廉價(jià)的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動(dòng)關(guān)系，這就使得VPN的網(wǎng)絡(luò)安全性大大的得到保障，VPN的網(wǎng)絡(luò)安全性也就得到了保證。不過，目前雖然實(shí)現(xiàn)VPN的網(wǎng)絡(luò)技術(shù)和方式比較多，但不是所有的VPN均可以保證公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)具有邏輯的、點(diǎn)對(duì)點(diǎn)的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術(shù)對(duì)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎(chǔ)設(shè)施）

PKI作為防護(hù)體系的第六層具有一個(gè)廣泛的接收標(biāo)準(zhǔn)，用來保護(hù)用戶的應(yīng)用和數(shù)據(jù)安全，許多安全應(yīng)用的安全標(biāo)準(zhǔn)通過PKI都有了適應(yīng)的安全標(biāo)準(zhǔn)。CA公司的eTrustPKI是個(gè)比較普遍的基礎(chǔ)設(shè)施，具有許多獨(dú)特的特點(diǎn)，如能夠優(yōu)化企業(yè)內(nèi)部的部署、簡(jiǎn)化管理、其擴(kuò)展性比較好、有可選擇的相關(guān)硬件支持。

1.6 對(duì)病毒的防范

對(duì)病毒的防范是防護(hù)體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經(jīng)許可的軟件，防范病毒系統(tǒng)對(duì)網(wǎng)關(guān)、郵件系統(tǒng)、文件服務(wù)器等進(jìn)行病毒防范，這就要求病毒防范系統(tǒng)做到對(duì)病毒代碼的及時(shí)更新，并保持對(duì)病毒的查殺能力。同時(shí)，當(dāng)防病毒與防火墻一起聯(lián)動(dòng)時(shí)，病毒防護(hù)系統(tǒng)會(huì)自動(dòng)通知防火墻進(jìn)行相關(guān)修改。

2 對(duì)層次式安全防護(hù)體系的規(guī)范管理

層次式安全防護(hù)體系的構(gòu)建是一個(gè)復(fù)雜的系統(tǒng)工程，包含了人力、技術(shù)、以及操作等幾大要素，在整個(gè)防護(hù)體系的運(yùn)行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術(shù)操作，需要建立一道信息安全管理制度來防止安全防護(hù)系統(tǒng)在運(yùn)行過程中因?yàn)閮?nèi)部人員出現(xiàn)差錯(cuò)而導(dǎo)致的各種網(wǎng)絡(luò)漏洞和安全隱患，其中建立規(guī)范的管理制度應(yīng)考慮以下幾點(diǎn)：第一，建立對(duì)應(yīng)的事故預(yù)防和應(yīng)急處理方案，每天都要例行檢查備案；第二，制定嚴(yán)格的防護(hù)系統(tǒng)運(yùn)行操作制度，對(duì)網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備以及服務(wù)器等重要部件的運(yùn)行操作制定標(biāo)準(zhǔn)的操作制度，相關(guān)工作人員都必須參與進(jìn)去；第三，強(qiáng)化對(duì)工作人員的安全教育和培訓(xùn)，做好及時(shí)的安全工作；第四，建立日志式的管理制度，對(duì)每位用戶的操作和行為都以日志的形式記載在案，并進(jìn)行及時(shí)的跟蹤調(diào)查和審計(jì)工作。

3 結(jié)束語

網(wǎng)絡(luò)安全防護(hù)是一個(gè)動(dòng)態(tài)的系統(tǒng)工程，構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系能夠有效保護(hù)電力企業(yè)信息網(wǎng)的安全，其中采取層次式安全防護(hù)體系，更是有效的將各個(gè)層次安全構(gòu)建有機(jī)的結(jié)合在一起，從而提高了整個(gè)網(wǎng)絡(luò)的安全性。

參考文獻(xiàn)：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護(hù)措施分析[J].電子技術(shù)與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護(hù)措施的研究與探討[J].電力信息化，2012（04）.

作者簡(jiǎn)介：舒曉慧（1982-），女，黑龍江大慶人，工程師，本科，研究方向：信息安全。

作者單位：國(guó)網(wǎng)黑龍江省電力有限公司大慶供電公司信息通信分公司，黑龍江大慶 163454；國(guó)網(wǎng)黑龍江省電力有限公司大慶供電公司物資供應(yīng)中心，黑龍江大慶 163454