王帥

（國(guó)網(wǎng)河南許昌縣供電公司，河南 許昌 461000）

電力信息系統(tǒng)信息安全管理關(guān)鍵技術(shù)分析

王帥

（國(guó)網(wǎng)河南許昌縣供電公司，河南 許昌 461000）

電力信息系統(tǒng)信息安全管理是系統(tǒng)建設(shè)及維護(hù)的核心內(nèi)容，保證信息安全才能保證整個(gè)系統(tǒng)的運(yùn)行安全，本文根據(jù)收集到的資料，結(jié)合自身在電力信息系統(tǒng)信息安全管理中的經(jīng)驗(yàn)，分析了安全隔離技術(shù)、系統(tǒng)級(jí)安全技術(shù)等在電力信息系統(tǒng)信息安全管理中的應(yīng)用，希望能夠?qū)﹄娏ζ髽I(yè)的電力信息系統(tǒng)管理維護(hù)部門提供一些幫助和啟示。

電力信息系統(tǒng)；安全管理；虛擬專網(wǎng)

電力信息系統(tǒng)信息安全管理水平，主要受各種安全管理技術(shù)及其運(yùn)用的影響，一般來說安全管理技術(shù)運(yùn)用的越多、越合理，信息安全水平也就越高。其中的關(guān)鍵技術(shù)有很多，但主要集中在安全隔離技術(shù)、系統(tǒng)級(jí)安全技術(shù)等方面上。

一、安全隔離技術(shù)

（一）物理隔離技術(shù)。

物理隔離是在物理上將電力信息系統(tǒng)與因特網(wǎng)隔離開，控制內(nèi)部網(wǎng)與外部網(wǎng)之間的連接，通過防火墻、代理服務(wù)器直接和間接隔離。這種方法是方案病毒、黑客入侵、拒絕服務(wù)等網(wǎng)絡(luò)攻擊最簡(jiǎn)單、最有效的手段。從目前國(guó)內(nèi)電力信息系統(tǒng)物理技術(shù)技術(shù)的運(yùn)用來看，一般是在安全Ⅰ、Ⅱ區(qū)與安全Ⅲ、Ⅳ區(qū)之間設(shè)立物理安全隔離層，從而為電力信息同劃定了一個(gè)安全便捷，增強(qiáng)了整個(gè)網(wǎng)絡(luò)系統(tǒng)的可控性，結(jié)合安全管理、監(jiān)測(cè)、審計(jì)等技術(shù)，可以有效的預(yù)防攻擊發(fā)生和準(zhǔn)確的確定網(wǎng)絡(luò)攻擊 的來源，尤其是來自內(nèi)部的攻擊。物理隔離技術(shù)主要分為兩類，也就是時(shí)間隔離系統(tǒng)和安裝網(wǎng)絡(luò)隔離卡。其中，國(guó)內(nèi)主要采用前一種技術(shù)，也就是通過轉(zhuǎn)換器根據(jù)需要在內(nèi)外網(wǎng)之間進(jìn)行切換，達(dá)到內(nèi)外以往之間的通信要求，主要是由物理隔離轉(zhuǎn)換裝置、數(shù)據(jù)暫存區(qū)等組成，其中還要運(yùn)用防火墻技術(shù)、基于內(nèi)核的入侵檢測(cè)機(jī)書、安全皂搓技術(shù)等，從技術(shù)特點(diǎn)來看比較復(fù)雜，效果也比較好。第二種技術(shù)應(yīng)用也比較廣泛，也就是通過虛擬技術(shù)將一臺(tái)機(jī)器模擬為兩臺(tái)機(jī)器，虛擬的兩臺(tái)機(jī)器當(dāng)中有公共與安全兩種狀態(tài)，這兩種狀態(tài)是安全隔離的，硬盤也被劃分為安全和公共兩個(gè)分區(qū)，甚至可以安裝兩個(gè)硬盤。技術(shù)難度比較低，但是對(duì)計(jì)算機(jī)性能的要求比較高，有時(shí)候并不能避免人為操作帶來的危險(xiǎn)，并且建設(shè)的成本相對(duì)也比較高。

（二）防火墻技術(shù)。

防火墻是在內(nèi)網(wǎng)與外網(wǎng)之間的一道安全屏障，主要預(yù)防潛在的破壞入侵，主要是通過檢測(cè)、限制和更改經(jīng)過防火前高的數(shù)據(jù)流，防止破壞性的數(shù)據(jù)流進(jìn)入內(nèi)網(wǎng)，對(duì)外網(wǎng)屏蔽內(nèi)網(wǎng)的信息、運(yùn)行等情況。目前，大多數(shù)操作系統(tǒng)內(nèi)部都嵌入了防火墻，主要有數(shù)據(jù)包過濾、應(yīng)用級(jí)網(wǎng)關(guān)管理、代理服務(wù)等功能。其中，數(shù)據(jù)包過濾是主要功能，在過濾的過程中由系統(tǒng)判斷其安全等級(jí)，這就需要預(yù)先設(shè)置過濾邏輯，在數(shù)據(jù)包到達(dá)防火墻以后也被存儲(chǔ)在緩存區(qū)之內(nèi)，由防火墻根據(jù)安全邏輯判斷數(shù)據(jù)包源地址、目的地址、端口號(hào)和協(xié)議狀態(tài)等因素，以判斷書否允許其通過。有的防火窮有主動(dòng)識(shí)別技術(shù)，不同人工操作就可以阻止，有的則需要人工操作才能完成。當(dāng)然，目前操作系統(tǒng)內(nèi)嵌的防火墻的作用大大降低，但是可以安裝一些專業(yè)級(jí)的防火墻，有些專業(yè)的防火墻軟件可以通過定期的更新、打補(bǔ)丁等方式，對(duì)黑客入侵、病毒等起到有效的預(yù)防作用。

二、系統(tǒng)級(jí)安全技術(shù)

（一）操作系統(tǒng)安全。

任何一個(gè)計(jì)算機(jī)首先要安裝的就是操作系統(tǒng)，電力信息系統(tǒng)當(dāng)中每一臺(tái)計(jì)算機(jī)都有自己的操作系統(tǒng)。在安裝操作系統(tǒng)的時(shí)候絕大多數(shù)公司都購買了正版軟件，能夠使用系統(tǒng)自帶的安全加固措施和防火墻，并能夠定期更新。但也有少數(shù)電力企業(yè)為了降低成本使用了盜版安裝軟件，安全性上比較差， 并且多數(shù)本身就帶有病毒、木馬程序等，這一點(diǎn)應(yīng)該引起電力企業(yè)的注意。同時(shí)，電力信息系統(tǒng)所使用的操作系統(tǒng)多數(shù)是專業(yè)級(jí)，在使用過程中應(yīng)該在不同的平臺(tái)上應(yīng)用操作安全管理。比如說使用nuix平臺(tái)，要完善和優(yōu)化用戶管理，在Windows平臺(tái)上要開題用戶權(quán)限、限制部分用戶訪問功能，當(dāng)然所有的計(jì)算機(jī)都應(yīng)該安裝專業(yè)級(jí)正版殺毒軟件。

（二）數(shù)據(jù)庫系統(tǒng)安全。

數(shù)據(jù)庫系統(tǒng)安全是信息安全管理的最后一道物理防線，并且其它安全技術(shù)都是建立在數(shù)據(jù)庫的基礎(chǔ)之上的，這就決定了數(shù)據(jù)庫系統(tǒng)安全的重要地位?，F(xiàn)在，很多電力公司在信息系統(tǒng)建設(shè)當(dāng)中，忽視了數(shù)據(jù)庫系統(tǒng)安全，當(dāng)黑客破譯其它技術(shù)以后，就能直接入侵?jǐn)?shù)據(jù)庫進(jìn)行破壞。在數(shù)據(jù)庫系統(tǒng)安全當(dāng)中，電力企業(yè)在信息系統(tǒng)建設(shè)當(dāng)中有兩種選擇，也就是集中控制和分散控制。集中控制是通過單個(gè)授權(quán)者來控制系統(tǒng)的整個(gè)安全維護(hù)，分散控制是將管理程序控制數(shù)據(jù)路的不同部分單獨(dú)進(jìn)行控制，在此基礎(chǔ)上形成最小特權(quán)策略、最大共享策略、開放與封閉系統(tǒng)、按名存取策略等功能，不同的策略安全防護(hù)級(jí)別和內(nèi)容有較大的差異。最小特權(quán)策略只能了解與自己相關(guān)的信息，最大共享策略是在保證信息保密控制條件下實(shí)現(xiàn)最大共享，但并不能隨意存儲(chǔ)信息，按名存取策略是按照操作者的名字對(duì)應(yīng)的權(quán)限范圍內(nèi)存取信息等，對(duì)應(yīng)不同權(quán)限的操作者，實(shí)現(xiàn)從外部操作上保證數(shù)據(jù)庫系統(tǒng)的安全。

總之，電力信息系統(tǒng)信息安全管理關(guān)鍵技術(shù)比較多，在應(yīng)用的過程中需要根據(jù)系統(tǒng)安全管理的需求，以及系統(tǒng)的特點(diǎn)確定使用何種技術(shù)，以最大程度的保障信息安全。

[1]余洋. 電力信息系統(tǒng)動(dòng)態(tài)訪問控制研究[J]. 制造業(yè)自動(dòng)化. 2012(21)

[2]牛方華,楊大哲,劉瑞芳. 電力信息系統(tǒng)結(jié)構(gòu)化查詢語言注入攻擊原理及安全防護(hù)[J]. 山西電力. 2014(04)

TM76

：A

：1671-864X（2015）10-0204-01