祝培培

(國網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

電力企業(yè)信息安全技術(shù)防護體系構(gòu)建

祝培培

(國網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

在日新月異的信息技術(shù)給公司帶來管理效能的變革提升的信息時代,信息與業(yè)務(wù)全面融合,信息安全與生產(chǎn)經(jīng)營密切相關(guān)。在技術(shù)上防護物理、網(wǎng)絡(luò)、主機系統(tǒng)、數(shù)據(jù)應(yīng)用各層面安全,建設(shè)一套先進、實用、高效的信息安全保障體系,在安全可靠前提下以信息化持續(xù)穩(wěn)定地支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化。

信息安全 防護體系 電力信息化

電力系統(tǒng)是我國計算機應(yīng)用起步較早的行業(yè)，信息技術(shù)的高速發(fā)展和廣泛應(yīng)用，為公司門戶網(wǎng)站、辦公自動化、電網(wǎng)調(diào)度、生產(chǎn)運行、財務(wù)資金、營銷管理等各方面提供了有力支撐，信息安全的重要性不言而喻。

1 信息安全定義

國際標準中對信息安全的定義是：信息本身的機密性(Confi dentiality)、完整性(Integrity)和可用性(Availability)的保持，即防止未經(jīng)授權(quán)使用信息、防止對信息的不當修改或破壞、確保及時可靠地使用信息。通俗的說，信息安全就是：確保信息系統(tǒng)持續(xù)、可靠、穩(wěn)定運行，以及防止信息丟失、篡改和泄密。對于地市供電公司來說，信息安全的保障對象為：主營業(yè)務(wù)系統(tǒng)及數(shù)據(jù)安全，網(wǎng)絡(luò)區(qū)域邊界安全，網(wǎng)絡(luò)、機房等基礎(chǔ)設(shè)施安全，桌面終端使用安全。

2 信息安全技術(shù)防護體系建設(shè)

2.1 物理安全

信息機房是各類信息設(shè)備的存放地點，是公司信息化工作的核心樞紐。在制定《機房管理制度》、《運行值班制度》做好人員進出和設(shè)備監(jiān)控管理基礎(chǔ)上，常州公司全面開展了安全管理專項整治工作，對中心機房、沿線機房、52個供電所(點)等所有信息設(shè)備所在地的信息設(shè)備、空調(diào)、UPS及電纜走線等進行全面排查，收集照片千余張，形成了完備的現(xiàn)場資料。在完成對隱患細節(jié)的梳理分析后，明確分工落實責任，扎實開展隱患整改工作，保障設(shè)備物理安全。

2.2 網(wǎng)絡(luò)安全

信息網(wǎng)絡(luò)的安全與穩(wěn)定是應(yīng)用正常流轉(zhuǎn)，數(shù)據(jù)順暢交互的前提與基礎(chǔ)。

2.2.1 DHCP熱備,提升基礎(chǔ)服務(wù)可靠性

DHCP作為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)支撐，關(guān)系到全網(wǎng)終端用戶能否正常獲取IP地址。在路由交換設(shè)備、線路都實現(xiàn)冗余的同時，單機在線運行的DHCP服務(wù)器就成了一個薄弱環(huán)節(jié)。

目前的DHCP服務(wù)器一般采用冷備方案，平時只有一臺提供服務(wù)，只有在主用服務(wù)器宕機時才會啟用備份服務(wù)器。這種方案的缺點是主用服務(wù)器故障時切換延遲大，此時需要將主用從網(wǎng)絡(luò)上斷開，將備用服務(wù)器的IP更改為主用的IP，而在發(fā)現(xiàn)問題執(zhí)行切換操作之前，用戶已經(jīng)或多或少受到了影響。

圖1 802.1X網(wǎng)絡(luò)準入認證圖示

為消除薄弱環(huán)節(jié)，常州公司進行技術(shù)攻關(guān)，利用服務(wù)器群集技術(shù)，實現(xiàn)了DHCP服務(wù)器的雙機熱備。在添置磁盤陣列之后，通過使用windows server 2003附帶提供的cluster服務(wù)，部署DHCP服務(wù)器群集，實現(xiàn)了更高的DHCP服務(wù)可靠性，避免了因單機宕機而引起的服務(wù)中斷。

2.2.2 雙重準入,嚴守信息網(wǎng)絡(luò)入口

常州公司已經(jīng)在一市二縣所有辦公區(qū)域、變電站、營業(yè)網(wǎng)點全面啟用802.1X網(wǎng)絡(luò)準入認證和IP/MAC綁定雙重準入機制，對入網(wǎng)設(shè)備設(shè)置了雙重技術(shù)屏障的同時，也為信息網(wǎng)絡(luò)安全識別與規(guī)范管理打下堅實基礎(chǔ)。

第一重準入：采用基于國網(wǎng)桌面終端管理系統(tǒng)的802.1X網(wǎng)絡(luò)準入認證，對入網(wǎng)用戶進行嚴格的身份認證與準入控制。802.1x認證技術(shù)的特點是簡潔高效：純以太網(wǎng)技術(shù)內(nèi)核，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余，在二層網(wǎng)絡(luò)上實現(xiàn)用戶認證，對設(shè)備的整體性能要求不高。802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問局域網(wǎng)。在認證通過之前，802.1x只允許認證信息數(shù)據(jù)通過設(shè)備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口?？蛻舳苏J證時需提供的密碼等信息，由國網(wǎng)桌面終端管理系統(tǒng)事先統(tǒng)推到合法的內(nèi)網(wǎng)終端。非法用戶在進行認證時，由于提供不出正確的認證信息，因此被拒絕訪問。如圖1所示。

第二重準入：合法用戶通過第一重準入認證后，還需在DHCP服務(wù)器上建立保留實現(xiàn)IP/MAC綁定。DHCP服務(wù)器按照保留為每個用戶分配與MAC地址唯一對應(yīng)的IP地址，地址池中的172網(wǎng)段的未分配地址全部手工排除在外，同時在DHCP上給各vlan增加一段私有地址，提供自動分配。未進行過IP/MAC綁定的用戶，在認證通過后，會首先得到一個私有地址，這時用戶只能訪問市公司很有限的幾個網(wǎng)頁，門戶等辦公業(yè)務(wù)均無法開展，私有地址的主要目的是可以明確此新進用戶機處于哪個vlan。在待入網(wǎng)設(shè)備履行入網(wǎng)審批登記流程后，網(wǎng)管人員會給設(shè)備分配和綁定一個172網(wǎng)段地址，設(shè)備方能正常聯(lián)網(wǎng)。

2.3 系統(tǒng)安全

業(yè)務(wù)應(yīng)用是公司信息化建設(shè)的核心內(nèi)容，作為流轉(zhuǎn)平臺的信息系統(tǒng)必須保證穩(wěn)定可靠。對于承載應(yīng)用的服務(wù)器，常州公司將原單線聯(lián)網(wǎng)方式改造為二套網(wǎng)絡(luò)一主一備方式，并用技術(shù)手段實現(xiàn)發(fā)生網(wǎng)絡(luò)故障時的自動實時切換，通過網(wǎng)絡(luò)冗余極大提高了服務(wù)器的可靠性。

為應(yīng)對數(shù)據(jù)篡改、應(yīng)用數(shù)據(jù)丟失、業(yè)務(wù)中斷等信息系統(tǒng)事件，有針對性地編寫了《信息系統(tǒng)數(shù)據(jù)庫管理標準化作業(yè)指導書》、《服務(wù)器備機及應(yīng)用恢復(fù)作業(yè)指導書》，從日常管理、備份管理、應(yīng)急恢復(fù)管理三方面規(guī)范了信息系統(tǒng)數(shù)據(jù)庫和服務(wù)器應(yīng)用的管理與操作，內(nèi)容精細至命令級，具有較強的可操作性。

此外，模擬服務(wù)器故障導致應(yīng)用系統(tǒng)無法使用場景開展信息系統(tǒng)應(yīng)急演練，在最短時間內(nèi)恢復(fù)應(yīng)用和數(shù)據(jù)，降低事故損失，提高了應(yīng)急恢復(fù)技能。

2.4 應(yīng)用安全

每一臺終端的規(guī)范應(yīng)用都關(guān)乎公司整體信息安全。常州公司全面推廣實施國家電網(wǎng)公司桌面終端管理系統(tǒng)，并啟動用戶權(quán)限、用戶密碼、補丁檢測等各項安全策略對終端設(shè)備進行安全管控。每天檢查、通報終端注冊、防病毒安裝、補丁安裝、弱口令等使用規(guī)范情況，每日通報處理病毒發(fā)作次數(shù)前5位的終端設(shè)備。公司在所有內(nèi)外網(wǎng)終端上統(tǒng)一推廣保密自動檢測系統(tǒng)，指導員工開展自查并進行了保密檢查，嚴格確?！吧婷苄畔⒉簧暇W(wǎng)，上網(wǎng)信息不涉密”。

3 結(jié)語

在計算機應(yīng)用由簡單的數(shù)學運算、文件處理發(fā)展到與企業(yè)內(nèi)部的信息共享和業(yè)務(wù)應(yīng)用融會貫通的今天，電力信息安全已與企業(yè)生產(chǎn)經(jīng)營管理密切相關(guān)。不能單純依靠管理教條的生搬硬套和靜態(tài)技術(shù)的堆砌疊加盲目管控，必須結(jié)合公司實情，研究信息安全各要素間的聯(lián)系，不斷進行管理創(chuàng)新與技術(shù)實踐，建立一套先進、實用、高效的信息安全保障體系，確保公司信息系統(tǒng)安全、可靠、穩(wěn)定運行。

[1]關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全[J].電力安全技術(shù),2010.

[2]趙志宇.談電力信息系統(tǒng)安全保障體系建設(shè)原則及思路[J].計算機安全,2009.

祝培培(1980—),女,江蘇常州人,工程師,研究方向:電力信息技術(shù)&信息安全技術(shù)。