黄海燕
(广西合浦供电公司,广西 北海536100)
在全球信息化的推动下,计算机信息网络作用不断扩大的同时,信息网络的安全也变得日益重要,一旦遭受破坏,其影响或损失也十分巨大,电力系统信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。网络安全是一个系统的概念,可靠的网络安全解决方案必须建立在集成网络安全技术的基础上,比如系统认证和各类服务授权,数据库的加密及备份,访问及操作的控制等。但是,通过对现有电力网络的粗略调查,发现网络本身的脆弱性才是现有电力网络安全的最大威胁。
网络攻击人侵是一项系统性很强的工作,主要内容包括:目标分析;文档获取;密码破解;登陆系统、获取资料与日志清除等技术。这种恶意入侵的行为,在电力企业网络中变得相对简单了许多。密码的获得,简直容易之至,因为有些就是空。当人侵者得到了密码之后,就可以很方便的与该机器建立连接,得到机器上的资料轻而易举,且不留痕迹。
随着计算机技术的推广,计算机安全技术也得到了广泛的应用,各种计算机安全软件随处可见。其中不乏功能强大且完全免费的网络安全软件,就是某些软件的共享版的功能也丝毫不可小看。在电力企业内部使用计算机的人员中,有很多计算机安全技术的爱好者。他们没有接受过系统的安全知识的学习,但是,很多网络安全软件的使用相当简单,只需点几下鼠标,就可以执行其强大的功能。而其使用者可能根本不知道这种行为所存在的危险性,也不知道目标机器的功能何在。
计算机病毒对大家来说并不陌生,任何一个接触计算机的人可能都遭遇过病毒的危害。准确来讲,计算机病毒又可以分为两大种:一种是病毒,另一种称之为蠕虫。
病毒是一个程序,就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时他们就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。 蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中)对网络造成拒绝服务,以及和黑客技术相结合等等。
当我们的电力企业拥有了自己的网站,连接上了INTERNET,每一个电脑使用者都在不断地点击各种网页,以寻找对自己有用的信息。这是我们不可避免的问题,但是,并不是所有的网页都是安全的。有的网站的开发者或是拥有者,为了达到某种目的,就会修改自己的网页,使之具有某种特殊的功能。例如:当我们不经意间,点击了某个网站的链接,发现我们的浏览器IE已经被改头换面,标题永远被换成了那个恶意网站的名称。通过正常的途径已经无法修改。还有的网页本身具有木马的功能,只要你浏览之后,你的机器就有可能被种下了木马,随之而来的就是你个人信息的泄露。
软件本身的特点决定了它一定是个不完善的产品,会不断的涌现出不同严重程度的BUG。随着软件的使用,使得软件所接触的条件日趋复杂,从而暴露出没有发现的自身缺陷。以我们熟悉的微软公司的WINDOWS系列操作系统为例,每隔一段时间,都会在微软的官方网站上贴出最近发现的漏洞补丁。
防火墙是最近几年发展起来的一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制逾出两个方向通信的门槛。在网络边界上通过建立起相应的网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入;针对电力企业的实际,我个人认为“防火墙十杀毒软件”的配置手段是比较合适的,但定期的升级工作是必须的,否则也只能是一种摆设。
即便企业有了各种各样防火墙和杀毒软件的保护,企业系统管理员也不能够高枕无忧。为了预防意外的破坏造成信息丢失和网络瘫痪,有必要事先做好网络信息和系统的备份。当然,定期检验备份的有效性也非常重要。定期的恢复演习是对备份数据有效性的有力鉴定,同时也是对网管人员数据恢复技术操作的演练,做到遇到问题不慌乱,从容应付,提供有保障的网络访间服务。
防火墙类型主要包括包过滤防火墙、代理防火墙和双穴防火墙。其中包过滤防火墙设置在网络层,可以在路由器上实现包过滤。这种防火墙可以用于禁止外部非法用户的访问,也可以用来禁止访问某些服务类型。代理防火墙又称应用层网管级防火墙,由代理服务器和过滤路由器组成,是目前教为流行的一种防火墙。双穴防火墙从一个网络搜集数据,并具有选择的把它发送到另一个网络。
合理的配置防火墙,是确保我们电力企业网络安全的首要选项。保证我们的网络之间的连接安全,不会在连接端口出现安全漏洞。
计算机在网络中的应用,存在两种身份:一种是作为本地计算机,用户可以对本地的计算机资源进行管理和使用;另一种是作为网络中的一份子。高级的操作系统,都支持多用户模式,可以给使用同一台计算机的不同人员分配不同的帐户,并在本地分配不同的权限。在网络的服务器中安装的网络操作系统,更是存在严格的用户管理模式。微软的WINDOWS系列操作系统,从WINNf开始,到WIN2000SERVER的用户管理日趋完善,从单纯的域管理,发展到活动目录的集成管理。在月朗民务器上我门可以详细规定用户的权限,有效地防止非法用户的登陆和恶意人侵。
生活在信息时代,密码对每个人来说,都不陌生。在能源部门的主力军—电力企业的网络环境里,密码更是显得尤为重要。可以这样说,谁掌握了密码,谁就掌握了信息资源。当你失去了密码,就像你虽然锁上了门,可是别人却有了和你同样的门钥匙一样。
特别将这个题目单独列出,是因为作为一个网络管理人员,深刻感觉到我们电力企业内部网络中,存在大量不安全的密码。比如弱口令:123,000,admin等等。这些密码表面上看是存在密码,但实际上用专用的网络工具查看的时候,很容易的就会被破解。某些网站和服务器的密码便是如此。
随着硬件的升级和对软件功能要求的不断提高、软件漏洞的出现,我们必须要不断的对自己使用的软件升级。我们所使用的操作系统和应用软件,随着使用频率的提高和使用条件的多样化,软件的漏洞不断涌现。
安全是一个相对的概念,计算机及信息网络系统和计算机应用实时控制系统的作用主要是使企业高效运作,优化运行,可根据实际需要,确定合理的信息安全措施。要妥善处理好安全与运行质量性能的关系,规范、标准、合理的安全措施可提高系统的运行效果。电力系统信息安全是一个系统的、全局的管理问题,我们应该用系统工程的观点、方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构,这样才能真正做到整个系统的安全。
[1]尹传烨.电力信息系统安全策略应用研究【硕士】华中科技大学,2006-10-01.