摘 要:文章介紹了新疆電力營銷系統(tǒng)的現(xiàn)狀,分析了電力營銷網(wǎng)絡(luò)存在的安全問題和安全需求,提出了安全體系整體架,并給出了安全問題的解決方案,以提升電力營銷系統(tǒng)的網(wǎng)絡(luò)整體安全性為目的。針對現(xiàn)有安全架構(gòu)提供了基于四個層次的安全建設(shè)方案,包括終端安全、傳輸安全、主機系統(tǒng)安全和應(yīng)用安全。配合安全管理手段,包括安全運行、安全服務(wù)、安全評估等,共同實現(xiàn)電力營銷網(wǎng)絡(luò)的安全防護(hù)。對營銷系統(tǒng)安全問題的及時發(fā)現(xiàn)和有效監(jiān)管具有一定的指導(dǎo)意義。
關(guān)鍵詞:電力營銷;網(wǎng)絡(luò)安全;安全建設(shè);安全管理
1 引言
營銷業(yè)務(wù)作為“SG186”工程的八大業(yè)務(wù)系統(tǒng)之一,應(yīng)用上涵蓋了新裝增容及變更用電、資產(chǎn)管理、計量點管理、抄表管理、核算管理、電費收繳、帳務(wù)管理、用電檢查管理、95598業(yè)務(wù)等領(lǐng)域,需要7×24小時不間斷、安全可靠運行的保障[1]。因此在遵循國家電網(wǎng)公司“SG186”工程的建設(shè)標(biāo)準(zhǔn)和信息網(wǎng)絡(luò)等級保護(hù)要求的基礎(chǔ)上,結(jié)合營銷關(guān)鍵業(yè)務(wù)應(yīng)用,加強信息安全防護(hù),保障營銷系統(tǒng)網(wǎng)絡(luò)的安全運行。本文針對新疆電力營銷系統(tǒng)的現(xiàn)狀,給出了一種多層次的安全防護(hù)方案,對保障營銷系統(tǒng)網(wǎng)絡(luò)穩(wěn)定運行,保護(hù)用戶信息安全,傳輸安全、存儲安全和有效安全管理方面給出了建設(shè)意見。
2 新疆營銷網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀
新疆電力營銷業(yè)務(wù)應(yīng)用經(jīng)過了多年的建設(shè),目前大部分地區(qū)在業(yè)擴(kuò)報裝、電費計算、客戶服務(wù)等方面的營銷信息化都基本達(dá)到實用化程度,在客戶服務(wù)層、業(yè)務(wù)處理層、管理監(jiān)控層三個層次上實現(xiàn)了相應(yīng)的基本功能。結(jié)合新疆電力公司的實際情況,主要分析了管理現(xiàn)狀和網(wǎng)絡(luò)現(xiàn)狀。
2.1 管理現(xiàn)狀
根據(jù)公司總部提出的“集團(tuán)化運作、集約化發(fā)展、精細(xì)化管理”的工作思路,從管理的需求上來說,數(shù)據(jù)越集中,管理的力度越細(xì),越能夠達(dá)到精細(xì)化的管理的要求。但由于目前各地市公司的管理水平現(xiàn)狀、IT現(xiàn)狀、人員現(xiàn)狀等制約因素的限制,不可能使各地市公司的管理都能夠一步到位,尤其是邊遠(yuǎn)地區(qū)。因此,營銷業(yè)務(wù)應(yīng)用管理在基于現(xiàn)狀的基礎(chǔ)上逐步推進(jìn)。根據(jù)對當(dāng)前各地市公司的營銷管理現(xiàn)狀和管理目標(biāo)需求的分析,管理現(xiàn)狀可分為如下三類:實時化、精細(xì)化管理;準(zhǔn)實時、可控的管理;非實時、粗放式管理。目前大部分管理集中在第二類和第三類。
2.2 網(wǎng)絡(luò)現(xiàn)狀
網(wǎng)絡(luò)建設(shè)水平將直接影響營銷業(yè)務(wù)應(yīng)用的系統(tǒng)架構(gòu)部署,目前新疆公司信息網(wǎng)已經(jīng)形成,實現(xiàn)了公司總部到網(wǎng)省公司、網(wǎng)省公司本部到下屬地市公司的信息網(wǎng)絡(luò)互連互通,但是各地市公司在地市公司到下屬基層供電單位的之間的信息網(wǎng)絡(luò)建設(shè)情況差別較大,部分地市公司已經(jīng)全部建成光纖網(wǎng)絡(luò),并且有相應(yīng)的備用通道,能夠滿足實時通信的要求,部分地市公司通過租用專線方式等實現(xiàn)連接,還有一些地市公司由于受地域條件的限制,尚存在一些信息網(wǎng)絡(luò)無法到達(dá)的地方,對大批量、實時的數(shù)據(jù)傳輸要求無法有效保證,通道的可靠性相對較差。
2.3 需求分析
營銷業(yè)務(wù)系統(tǒng)通常部署在國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)的核心機房,為國家電網(wǎng)公司內(nèi)部信息網(wǎng)絡(luò)和國家電網(wǎng)公司外部信息網(wǎng)絡(luò)的用戶提供相關(guān)業(yè)務(wù)支持。該網(wǎng)絡(luò)涉及業(yè)務(wù)工作和業(yè)務(wù)應(yīng)用環(huán)境復(fù)雜,與外部/內(nèi)部單位之間存在大量敏感數(shù)據(jù)交換,使用人員涵蓋國家電網(wǎng)公司內(nèi)部人員,外部廠商人員,公網(wǎng)用戶等。因此,在網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)存儲、網(wǎng)絡(luò)邊界防護(hù)與管理等層面上都有很高的安全需求。[2]
3 關(guān)鍵技術(shù)和架構(gòu)
3.1 安全防護(hù)體系架構(gòu)
營銷網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系的總體目標(biāo)是保障營銷系統(tǒng)安全有序的運行,規(guī)范國家電網(wǎng)公司內(nèi)部信息網(wǎng)員工和外部信息網(wǎng)用戶的行為,對違規(guī)行為進(jìn)行報警和處理。營銷網(wǎng)絡(luò)系統(tǒng)安全防護(hù)體系由3個系統(tǒng)(3維度)接入終端安全、數(shù)據(jù)傳輸安全和應(yīng)用系統(tǒng)安全三個方面內(nèi)容,以及其多個子系統(tǒng)組成,其體系結(jié)構(gòu)如圖1所示。
圖1 營銷系統(tǒng)安全防護(hù)總體防護(hù)架構(gòu)
3.2 接入終端安全
接入營銷網(wǎng)的智能終端形式多樣,包括PC終端、智能電表和移動售電終端等。面臨協(xié)議不統(tǒng)一,更新?lián)Q代快,網(wǎng)絡(luò)攻擊日新月異,黑客利用安全漏洞的速度越來越快,形式越來越隱蔽等安全問題。傳統(tǒng)的基于特征碼被動防護(hù)的反病毒軟件遠(yuǎn)遠(yuǎn)不能滿足需求。需要加強終端的安全改造和監(jiān)管,建立完善的認(rèn)證、準(zhǔn)入和監(jiān)管機制,對違規(guī)行為及時報警、處理和備案,減小終端接入給系統(tǒng)帶來的安全隱患。
3.3 數(shù)據(jù)傳輸安全
傳統(tǒng)的數(shù)據(jù)傳輸未采取加密和完整性校驗等保護(hù)措施,電力營銷數(shù)據(jù)涉及國家電網(wǎng)公司和用戶信息,安全等級較高,需要更有效的手段消除數(shù)據(jù)泄露、非法篡改信息等風(fēng)險。
市場上常見的安全網(wǎng)關(guān)、防火墻、漏洞檢測設(shè)備等,都具有數(shù)據(jù)加密傳輸?shù)墓δ?,能夠有效保證數(shù)據(jù)傳輸?shù)陌踩浴5珒H僅依靠安全設(shè)備來保證數(shù)據(jù)通道的安全也是不夠的。一旦設(shè)備被穿透,將可能造成營銷系統(tǒng)數(shù)據(jù)和用戶信息的泄露。除此之外,還需要采用更加安全可靠的協(xié)議和通信通道保證數(shù)據(jù)通信的安全。
3.4 應(yīng)用系統(tǒng)安全
目前營銷系統(tǒng)已經(jīng)具有針對應(yīng)用層的基于對象權(quán)限和用戶角色概念的認(rèn)證和授權(quán)機制,但是這種機制還不能在網(wǎng)絡(luò)層及以下層對接入用戶進(jìn)行細(xì)粒度的身份認(rèn)證和訪問控制,營銷系統(tǒng)仍然面臨著安全風(fēng)險。增強網(wǎng)絡(luò)層及以下層,比如接入層、鏈路層等的細(xì)粒度訪問控制,從而提高應(yīng)用系統(tǒng)的安全性。
4 安全建設(shè)
營銷系統(tǒng)安全建設(shè)涉及安全網(wǎng)絡(luò)安全、主機操作系統(tǒng)安全、數(shù)據(jù)庫安全、應(yīng)用安全以及終端安全幾個層面的安全防護(hù)方案,用以解決營銷系統(tǒng)網(wǎng)絡(luò)安全目前存在的主要問題。
4.1 終端安全加固
終端作為營銷系統(tǒng)使用操作的發(fā)起設(shè)備,其安全性直接關(guān)系到數(shù)據(jù)傳輸?shù)陌踩酥羶?nèi)網(wǎng)應(yīng)用系統(tǒng)的安全。終端不僅是創(chuàng)建和存放重要數(shù)據(jù)的源頭,而且是攻擊事件、數(shù)據(jù)泄密和病毒感染的源頭。這需要加強終端自身的安全防護(hù)策略的制定,定期檢測被攻擊的風(fēng)險,對安全漏洞甚至病毒及時處理。對終端設(shè)備進(jìn)行完善的身份認(rèn)證和權(quán)限管理,限制和阻止非授權(quán)訪問、濫用、破壞行為。
目前公司主要的接入終端有PC、PDA、無線表計、配變檢測設(shè)備、應(yīng)急指揮車等。由于不同終端采用的操作系統(tǒng)不同,安全防護(hù)要求和措施也不同,甚至需要根據(jù)不同的終端定制相應(yīng)的安全模塊和安全策略,主要包括:針對不同終端(定制)的操作系統(tǒng)底層改造加固;終端接入前下載安裝可信任插件;采用兩種以上認(rèn)證技術(shù)驗證用戶身份;嚴(yán)格按權(quán)限限制用戶的訪問;安裝安全通信模塊,保障加密通訊及連接;安裝監(jiān)控系統(tǒng),監(jiān)控終端操作行為;安裝加密卡/認(rèn)證卡,如USBKEY/PCMCIA/ TF卡等。
4.2 網(wǎng)絡(luò)環(huán)境安全
網(wǎng)絡(luò)環(huán)境安全防護(hù)是針對網(wǎng)絡(luò)的軟硬件環(huán)境、網(wǎng)絡(luò)內(nèi)的信息傳輸情況以及網(wǎng)絡(luò)自身邊界的安全狀況進(jìn)行安全防護(hù)。確保軟硬件設(shè)備整體在營銷網(wǎng)絡(luò)系統(tǒng)中安全有效工作。
4.2.1 網(wǎng)絡(luò)設(shè)備安全
網(wǎng)絡(luò)設(shè)備安全包括國家電網(wǎng)公司信息內(nèi)、外網(wǎng)營銷管理系統(tǒng)域中的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全防護(hù)。主要防護(hù)措施包括,對網(wǎng)絡(luò)設(shè)備進(jìn)行加固,及時安裝殺毒軟件和補丁,定期更新弱點掃描系統(tǒng),并對掃描出的弱點及時進(jìn)行處理。采用身份認(rèn)證、IP、MAC地址控制外來設(shè)備的接入安全,采用較為安全的SSH、HTTPS等進(jìn)行遠(yuǎn)程管理。對網(wǎng)絡(luò)設(shè)備配置文件進(jìn)行備份。對網(wǎng)絡(luò)設(shè)備安全事件進(jìn)行定期或?qū)崟r審計。采用硬件雙機、冗余備份等方式保證關(guān)鍵網(wǎng)絡(luò)及設(shè)備正常安全工作,保證營銷管理系統(tǒng)域中的關(guān)鍵網(wǎng)絡(luò)鏈路冗余。
4.2.2 網(wǎng)絡(luò)傳輸安全
營銷系統(tǒng)數(shù)據(jù)經(jīng)由網(wǎng)絡(luò)傳輸時可能會被截獲、篡改、刪除,因此應(yīng)當(dāng)建立安全的通信傳輸網(wǎng)絡(luò)以保證網(wǎng)絡(luò)信息的安全傳輸。
在非邊遠(yuǎn)地方建立專用的電力通信網(wǎng)絡(luò)方便營銷系統(tǒng)的用戶安全使用、在邊遠(yuǎn)的沒有覆蓋電力局和供電營業(yè)所的地方,采用建立GPRS、GSM,3G專線或租用運營商ADSL、ISDN網(wǎng)絡(luò)專網(wǎng)專用的方式,保障電力通信安全。
電力營銷技術(shù)系統(tǒng)與各個銀行網(wǎng)上銀行、郵政儲蓄網(wǎng)點、電費代繳機構(gòu)進(jìn)行合作繳費,極大方便電力客戶繳費。為了提高通道的安全性,形成了營銷系統(tǒng)信息內(nèi)網(wǎng)、銀行郵政等儲蓄系統(tǒng)、internet公網(wǎng)、供電中心網(wǎng)絡(luò)的一個封閉環(huán)路,利用專網(wǎng)或VPN、加密隧道等技術(shù)提高數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>
在數(shù)據(jù)傳輸之前需要進(jìn)行設(shè)備間的身份認(rèn)證,在認(rèn)證過程中網(wǎng)絡(luò)傳輸?shù)目诹钚畔⒔姑魑膫魉?,可通過哈希(HASH)單向運算、SSL加密、Secure Shell(SSH)加密、公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure 簡稱PKI)等方式實現(xiàn)。
此外,為保證所傳輸數(shù)據(jù)的完整性需要對傳輸數(shù)據(jù)加密處理。系統(tǒng)可采用校驗碼等技術(shù)以檢測和管理數(shù)據(jù)、鑒別數(shù)據(jù)在傳輸過程中完整性是否受到破壞。在檢測到數(shù)據(jù)完整性被破壞時,采取有效的恢復(fù)措施。
4.2.3 網(wǎng)絡(luò)邊界防護(hù)
網(wǎng)絡(luò)邊界防護(hù)主要基于根據(jù)不同安全等級網(wǎng)絡(luò)的要求劃分安全區(qū)域的安全防護(hù)思想。營銷系統(tǒng)安全域邊界,分為同一安全域內(nèi)部各個子系統(tǒng)之間的內(nèi)部邊界,和跨不同安全域之間的網(wǎng)絡(luò)外部邊界兩類。依據(jù)安全防護(hù)等級、邊界防護(hù)和深度防護(hù)標(biāo)準(zhǔn),具有相同安全保護(hù)需求的網(wǎng)絡(luò)或系統(tǒng),相互信任,具有相同的訪問和控制策略,安全等級相同,被劃分在同一安全域內(nèi)[3],采用相同的安全防護(hù)措施。
加強外部網(wǎng)絡(luò)邊界安全,可以采用部署堡壘機、入侵檢測、審計管理系統(tǒng)等硬件加強邊界防護(hù),同時規(guī)范系統(tǒng)操作行為,分區(qū)域分級別加強系統(tǒng)保護(hù),減少系統(tǒng)漏洞,提高系統(tǒng)內(nèi)部的安全等級,從根本上提高系統(tǒng)的抗攻擊性。
跨安全域傳輸?shù)臄?shù)據(jù)傳輸需要進(jìn)行加密處理。實現(xiàn)數(shù)據(jù)加密,啟動系統(tǒng)的加密功能或增加相應(yīng)模塊實現(xiàn)數(shù)據(jù)加密,也可采用第三方VPN等措施實現(xiàn)數(shù)據(jù)加密。
4.3 主機安全
從增強主機安全的層面來增強營銷系統(tǒng)安全,采用虛擬專用網(wǎng)絡(luò)(Virtual Private Network 簡稱VPN)等技術(shù),在用戶網(wǎng)頁(WEB)瀏覽器和服務(wù)器之間進(jìn)行安全數(shù)據(jù)通信,提高主機自身安全性,監(jiān)管主機行,減小用戶錯誤操作對系統(tǒng)的影響。
首先,掃描主機操作系統(tǒng)評估出配置錯誤項,按照系統(tǒng)廠商或安全組織提供的加固列表對操作系統(tǒng)進(jìn)行安全加固,以達(dá)到相關(guān)系統(tǒng)安全標(biāo)準(zhǔn)。安裝第三方安全組件加強主機系統(tǒng)安全防護(hù)。采用主機防火墻系統(tǒng)、入侵檢測/防御系統(tǒng)(IDS/IPS)、監(jiān)控軟件等。在服務(wù)器和客戶端上部署專用版或網(wǎng)絡(luò)版防病毒軟件系統(tǒng)或病毒防護(hù)系統(tǒng)等。
此外,還需要制定用戶安全策略,系統(tǒng)用戶管理策略,定義用戶口令管理策略[4]。根據(jù)管理用戶角色分配用戶權(quán)限,限制管理員使用權(quán)限,實現(xiàn)不同管理用戶的權(quán)限分離。對資源訪問進(jìn)行權(quán)限控制。依據(jù)安全策略對敏感信息資源設(shè)置敏感標(biāo)記,制定訪問控制策略嚴(yán)格管理用戶對敏感信息資源的訪問和操作。
4.4 數(shù)據(jù)庫安全
數(shù)據(jù)庫安全首要是數(shù)據(jù)存儲安全,包括敏感口令數(shù)據(jù)非明文存儲,對關(guān)鍵敏感業(yè)務(wù)數(shù)據(jù)加密存儲,本地數(shù)據(jù)備份與恢復(fù),關(guān)鍵數(shù)據(jù)定期備份,備份介質(zhì)場外存放和異地備份。當(dāng)環(huán)境發(fā)生變更時,定期進(jìn)行備份恢復(fù)測試,以保證所備份數(shù)據(jù)安全可靠。
數(shù)據(jù)安全管理用于數(shù)據(jù)庫管理用戶的身份認(rèn)證,制定用戶安全策略,數(shù)據(jù)庫系統(tǒng)用戶管理策略,口令管理的相關(guān)安全策略,用戶管理策略、用戶訪問控制策略,合理分配用戶權(quán)限。
數(shù)據(jù)庫安全審計采用數(shù)據(jù)庫內(nèi)部審計機制或第三方數(shù)據(jù)庫審計系統(tǒng)進(jìn)行安全審計,并定期對審計結(jié)果進(jìn)行分析處理。對較敏感的存儲過程加以管理,限制對敏感存儲過程的使用。及時更新數(shù)據(jù)庫程序補丁。經(jīng)過安全測試后加載數(shù)據(jù)庫系統(tǒng)補丁,提升數(shù)據(jù)庫安全。
數(shù)據(jù)庫安全控制、在數(shù)據(jù)庫安裝前,必須創(chuàng)建數(shù)據(jù)庫的管理員組,服務(wù)器進(jìn)行訪問限制,制定監(jiān)控方案的具體步驟。工具配置參數(shù),實現(xiàn)同遠(yuǎn)程數(shù)據(jù)庫之間的連接[5]。
數(shù)據(jù)庫安全恢復(fù),在數(shù)據(jù)庫導(dǎo)入時,和數(shù)據(jù)庫發(fā)生故障時,數(shù)據(jù)庫數(shù)據(jù)冷備份恢復(fù)和數(shù)據(jù)庫熱備份恢復(fù)。
4.5 應(yīng)用安全
應(yīng)用安全是用戶對營銷系統(tǒng)應(yīng)用的安全問題。包括應(yīng)用系統(tǒng)安全和系統(tǒng)的用戶接口和數(shù)據(jù)接口的安全防護(hù)。
4.5.1 應(yīng)用系統(tǒng)安全防護(hù)
應(yīng)用系統(tǒng)安全防護(hù)首先要對應(yīng)用系統(tǒng)進(jìn)行安全測評、安全加固,提供系統(tǒng)資源控制功能以保證業(yè)務(wù)正常運行。定期對應(yīng)用程序軟件進(jìn)行弱點掃描,掃描之前應(yīng)更新掃描器特征代碼;弱點掃描應(yīng)在非核心業(yè)務(wù)時段進(jìn)行,并制定回退計劃。依據(jù)掃描結(jié)果,及時修復(fù)所發(fā)現(xiàn)的漏洞,確保系統(tǒng)安全運行。
4.5.2 用戶接口安全防護(hù)
對于用戶訪問應(yīng)用系統(tǒng)的用戶接口需采取必要的安全控制措施,包括對同一用戶采用兩種以上的鑒別技術(shù)鑒別用戶身份,如采用用戶名/口令、動態(tài)口令、物理識別設(shè)備、生物識別技術(shù)、數(shù)字證書身份鑒別技術(shù)等的組合使用。對于用戶認(rèn)證登陸采用包括認(rèn)證錯誤及超時鎖定、認(rèn)證時間超出強制退出、認(rèn)證情況記錄日志等安全控制措施。采用用戶名/口令認(rèn)證時,應(yīng)當(dāng)對口令長度、復(fù)雜度、生存周期進(jìn)行強制要求。
同時,為保證用戶訪問重要業(yè)務(wù)數(shù)據(jù)過程的安全保密,用戶通過客戶端或WEB方式訪問應(yīng)用系統(tǒng)重要數(shù)據(jù)應(yīng)當(dāng)考慮進(jìn)行加密傳輸,如網(wǎng)上營業(yè)廳等通過Internet等外部公共網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)系統(tǒng)訪問必須采用SSL等方式對業(yè)務(wù)數(shù)據(jù)進(jìn)行加密傳輸。杜絕經(jīng)網(wǎng)絡(luò)傳輸?shù)挠脩裘?、口令等認(rèn)證信息應(yīng)當(dāng)明文傳輸和用戶口令在應(yīng)用系統(tǒng)中明文存儲。
4.5.3 數(shù)據(jù)接口安全防護(hù)
數(shù)據(jù)接口的安全防護(hù)分為安全域內(nèi)數(shù)據(jù)接口的安全防護(hù)和安全域間數(shù)據(jù)接口的安全防護(hù)。安全域內(nèi)數(shù)據(jù)接口在同一安全域內(nèi)部不同應(yīng)用系統(tǒng)之間,需要通過網(wǎng)絡(luò)交換或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口;安全域間數(shù)據(jù)接口是跨不同安全域的不同應(yīng)用系統(tǒng)間,需要交互或共享數(shù)據(jù)而設(shè)置的數(shù)據(jù)接口。
5 安全管理
安全管理是安全建設(shè)的各項技術(shù)和措施得以實現(xiàn)不可缺少的保障,從制度和組織機構(gòu)到安全運行、安全服務(wù)和應(yīng)急安全管理,是一套標(biāo)準(zhǔn)化系統(tǒng)的流程規(guī)范,主要包括以下方面。
5.1 安全組織機構(gòu)
建立營銷業(yè)務(wù)應(yīng)用安全防護(hù)的組織機構(gòu),并將安全防護(hù)的責(zé)任落實到人,安全防護(hù)組織機構(gòu)可以由專職人員負(fù)責(zé),也可由運維人員兼職。
5.2 安全規(guī)章制度
建立安全規(guī)章制度,加強安全防護(hù)策略管理,軟件系統(tǒng)安全生命周期的管理,系統(tǒng)安全運維管理,安全審計與安全監(jiān)控管理,以及口令管理、權(quán)限管理等。確保安全規(guī)章制度能夠有效落實執(zhí)行。
5.3 安全運行管理
在系統(tǒng)上線運行過程中,遵守國家電網(wǎng)公司的安全管理規(guī)定,嚴(yán)格遵守業(yè)務(wù)數(shù)據(jù)安全保密、網(wǎng)絡(luò)資源使用、辦公環(huán)境等的安全規(guī)定。
首先,系統(tǒng)正式上線前應(yīng)進(jìn)行專門的系統(tǒng)安全防護(hù)測試,應(yīng)確認(rèn)軟件系統(tǒng)安全配置項目準(zhǔn)確,以使得已經(jīng)設(shè)計、開發(fā)的安全防護(hù)功能正常工作。
在上線運行維護(hù)階段,應(yīng)定期對系統(tǒng)運行情況進(jìn)行全面審計,包括網(wǎng)絡(luò)審計、主機審計、數(shù)據(jù)庫審計,業(yè)務(wù)應(yīng)用審計等。每次審計應(yīng)記入審計報告,發(fā)現(xiàn)問題應(yīng)進(jìn)入問題處理流程。建立集中日志服務(wù)器對營銷交易安全域中網(wǎng)絡(luò)及安全設(shè)備日志進(jìn)行集中收集存儲和管理。
軟件升級改造可能會對原來的系統(tǒng)做出調(diào)整或更改,此時也應(yīng)從需求、分析、設(shè)計、實施上線等的整個生命周期對運行執(zhí)行新的安全管理。
5.4 安全服務(wù)
安全服務(wù)的目的是保障系統(tǒng)建設(shè)過程中的各個階段的有效執(zhí)行,問題、變更和偏差有效反饋,及時解決和糾正。從項目層面進(jìn)行推進(jìn)和監(jiān)控系統(tǒng)建設(shè)的進(jìn)展,確保項目建設(shè)質(zhì)量和實現(xiàn)各項指標(biāo)。
從項目立項、調(diào)研、開發(fā)到實施、驗收、運維等各個不同階段,可以階段性開展不同的安全服務(wù),包括安全管理、安全評審、安全運維、安全訪談、安全培訓(xùn)、安全測試、安全認(rèn)證等安全服務(wù)。
5.5 安全評估
安全評估是對營銷系統(tǒng)潛在的風(fēng)險進(jìn)行評估(Risk Assessment),在風(fēng)險尚未發(fā)生或產(chǎn)生嚴(yán)重后果之前對其造成后果的危險程度進(jìn)行分析,制定相應(yīng)的策略減少或杜絕風(fēng)險的發(fā)生概率。
營銷系統(tǒng)的安全評估主要是針對第三方使用人員,評估內(nèi)容涵蓋,終端安全和接入網(wǎng)絡(luò)安全。根據(jù)國家電網(wǎng)公司安全等級標(biāo)準(zhǔn),對核心業(yè)務(wù)系統(tǒng)接入網(wǎng)絡(luò)安全等級進(jìn)行測評,并給出測評報告和定期加固改造辦法,如安裝終端加固軟件/硬件,安裝監(jiān)控軟件、增加網(wǎng)絡(luò)安全設(shè)備、增加安全策略,包括禁止違規(guī)操作、禁止越權(quán)操作等。
5.6 應(yīng)急管理
為了營銷系統(tǒng)7×24小時安全運行,必須建立健全快速保障體系,在系統(tǒng)出現(xiàn)突發(fā)事件時,有效處理和解決問題,最大限度減小不良影響和損失,制定合理可行的應(yīng)急預(yù)案,主要內(nèi)容包括:明確目標(biāo)或要求,設(shè)立具有專門的部門或工作小組對突發(fā)事件能夠及時反應(yīng)和處理。加強規(guī)范的應(yīng)急流程管理,明確應(yīng)急處理的期限和責(zé)任人。對于一定安全等級的事件,要及時發(fā)布或上報。
6 實施部署
營銷系統(tǒng)為多級部署系統(tǒng)。根據(jù)國家電網(wǎng)信息網(wǎng)絡(luò)分區(qū)域安全防護(hù)的指導(dǎo)思想原則,結(jié)合新疆多地市不同安全級別需求的實際情況,營銷系統(tǒng)網(wǎng)絡(luò)整體安全部署如圖2所示。
在營銷系統(tǒng)部署中,對安全需求不同的地市子網(wǎng)劃分不同的安全域,網(wǎng)省管控平臺部署在網(wǎng)省信息內(nèi)網(wǎng),負(fù)責(zé)對所有安全防護(hù)措施的管控和策略的下發(fā),它是不同安全級別地市子系統(tǒng)信息的管理控制中心,也是聯(lián)接總部展示平臺的橋梁,向國網(wǎng)總公司提交營銷系統(tǒng)安全運行的數(shù)據(jù)和報表等信息。
7 結(jié)束語
電力營銷網(wǎng)絡(luò)安全技術(shù)的發(fā)展伴隨電力營銷技術(shù)的發(fā)展而不斷更新,伴隨安全技術(shù)的不斷進(jìn)步而不斷進(jìn)步。電力營銷網(wǎng)絡(luò)的安全不僅僅屬于業(yè)務(wù)系統(tǒng)的安全范疇,也屬于網(wǎng)絡(luò)信息化建設(shè)范疇,其安全工作是一個系統(tǒng)化,多元化的工作,立足于信息內(nèi)網(wǎng)安全,覆蓋信息外網(wǎng)安全和其他網(wǎng)絡(luò)。
本文基于新疆電力營銷系統(tǒng)網(wǎng)絡(luò)安全的現(xiàn)狀,結(jié)合現(xiàn)有安全技術(shù)和安全管理手段來提高營銷系統(tǒng)整體安全水平,為提升原有網(wǎng)絡(luò)的安全性,構(gòu)造一個安全可靠的電力營銷網(wǎng)絡(luò)提供了一套安全解決方案,對國家電網(wǎng)其他具有類似需求的網(wǎng)省公司營銷系統(tǒng)網(wǎng)絡(luò)安全問題解決提供參考和借鑒。
參考文獻(xiàn)
[1]趙宏斌,陳超.電力營銷數(shù)據(jù)安全防護(hù)體系及其關(guān)鍵技術(shù)研究[J].電力信息化,2008年6卷7期:135-139.
[2]呂萍萍.當(dāng)前電力企業(yè)電力營銷的現(xiàn)狀與安全防護(hù)保障系統(tǒng)構(gòu)建[J].華東科技:學(xué)術(shù)版,2012年11期:282.
[3]蔣明,吳斌.電力營銷系統(tǒng)信息安全等級保護(hù)的研究與實踐[J].電力信息化,2009年3期:25-27.
[4]朱芳,肖忠良,趙建梅.淺析電力營銷業(yè)務(wù)應(yīng)用系統(tǒng)的安全風(fēng)險[J].黑龍江科技信息,2010年35期:153-154.
[5]李紅文.論加強電力營銷信息系統(tǒng)安全[J].信息通信,2012年1月:115-116.
作者簡介:劉陶(1983-),男,漢族,四川樂山,本科,技師,電力營銷稽查與實施調(diào)度。
陳曉云(1974-),女,大專,技師,新疆烏魯木齊,電力營銷稽查。
祝麗芳(1981-),女,河北保定,碩士,講師,電力營銷培訓(xùn)。
馮揚(1980-),女,湖北武漢,碩士,工程師,網(wǎng)絡(luò)信息。