王云海
(云南电网公司临沧供电局 云南 677000)
电力行业是国民经济发展的基础产业,随着电力行业的不断发展,其关键业务不断增加,因此各级供电企业纷纷建立信息系统和基于Internet的治理应用,其有利于加强信息反馈,提高电力行业的劳动生产率和综合竞争力。但随着计算机网络应用的逐渐扩大,也导致诸多网络安全隐患,因此电力信息网络系统的网络安全问题也成为我们必须重视的一个重要问题,必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。加强对网络安全问题的控制,应首先明确网络安全存在的安全风险,并针对这些安全风险提出相应的解决方案,从而有效减少和避免其发生。
电力网络系统中的安全防护应主要包括两个方面的内容,即网络系统中存储、传输的信息数据和各类设备。当前电力行业计算机及信息网络安全意识亟待提高,普遍缺乏统一的信息安全管理规范,亟需建立同电力行业特点相适应的网络安全体系。具体而言,电力行业网络安全风险主要包括以下几个方面:
物理层安全是指各种服务器、路由器、交换机、工作站等硬件设备和通信链路的安全。网络的物理层安全风险是指由于网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。如设备自身的缺陷、电磁辐射、各种自然灾害及人为的破坏和错误操作等。
计算机网络化使电力系统网络由过去孤立的局域网转化为广域网,这种开放的网络面临巨大的外部安全攻击,入侵者可以利用各种工具扫描其存在的安全漏洞,对其进行恶意攻击,导致系统的拒绝服务、信息被窃取和篡改,甚至导致整个网络的瘫痪。
在电力系统的网络中,包含的主要设备有各类服务器和路由器/交换机系统。这些系统都存在一定的安全漏洞,一旦被利用并攻击,危害严重。如服务器配置错误、服务器软件和操作系统的漏洞、网络通讯的TCP/IP协议缺乏相应的安全机制等。另外电力行业应用系统基本上基于商业软硬件系统设计和开发,其基本采用口令的鉴别模式进行用户身份认证,其安全系数低,同时数据库数据和文件的明文存储,也容易导致信息的泄露。
网络病毒是指通过计算机网络传染网络中的可执行文件,其具有极大的扩散能力,病毒会突破系统的访问控制,易导致机器死机、信息泄漏、文件丢失、网络瘫痪等问题。
安全管理是保证网络安全的前提和基础,因此电力企业应遵循分级保护、适度安全、管理与技术并重、全过程、动态调整的网络安全防护原则,建立科学的安全管理框架,加强网络安全的日常管理工作。在具体实施过程中,应注意:(1)要加强网络管理人员的安全教育,提高其网络安全意识,保持管理人员的稳定性,避免网络机密泄露,做好计算机操作系统权限管理及密码管理。(2)加强网络安全技术管理,实施的网络安全防护技术要切合电力行业的特点,并及时做好数据备份工作,建立集中和分散相结合的数据备份设施和策略。(3)加强网络设备的物理安全管理,密切注意计算机、服务器、路由器、交换机、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等工作,有效防范物理层安全风险。(4)加强信息介质的安全管理,报废介质应及时做好清除和销毁工作,备份介质防止丢失和被盗用,对于需送出修理的设备应注意所存储信息的安全问题。
合理配置电脑硬件、路由器等设备,有效避免对路由协议和远程配置端口的攻击。为确保网络相关设备登陆的安全性,建议选用两个特定的因素辨别,运用一次性的口令技术,并在登陆过程中,要求参与一些相关的认证硬件,以有效防止口令泄密。
为保护电力系统内部网免遭外部攻击,应分别在电力系统各级内部网与外部广域网之间设置防火墙,将防火墙作为内外网之间的一道牢固的安全屏障,设置安全策略,有效控制电力系统内部网的访问,建议可以配置基于状态检测、包过滤技术上的流过滤技术的防火墙--硬件防火墙系统,既防止内网资源被外部未授权用户非法访问和破坏,又防止内部用户对外部不良资源的滥用。另外计算机管理人员应定期查看防火墙访问日志,对网络攻击行为及不正常的网络访问日志信息,及时做出相应处理。
为防范来自电力系统内部网络的攻击,应在电力系统内部网各重要网段配备入侵检测系统,对网络行为进行全程监视,识别网络入侵行为。入侵检测系统可实时捕获计算机网络中的传输数据,通过其内置的攻击特征库,运用模式匹配和智能分析的方法,检测入侵行为和异常现象,并进行详细记录。另外入侵检测系统能实现实时报警,以便管理人员及时发现问题并解决,有效减少和避免计算机网络安全隐患的发生,更大限度的提高计算机的安全性能。
网络安全漏洞扫描系统通过对系统安全的脆弱性进行检测,可及时的发现计算机中可能存在的安全问题或漏洞。电力行业中网络环境复杂,漏洞扫描技术的运用是网络安全体系构建的重要组成部分,其扫描范围涵盖所有支持TCP/IP协议的设备,扫描可以针对网络层、操作系统层、数据库层、应用系统层等多个层面,其主要运用安全漏洞库和各种模拟攻击方式的原理查找漏洞。扫描结束后可生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行全面分析。在运用过程中,应重点针对关键且易出现系统漏洞和配置漏洞的主机操作系统和数据库进行扫描。
为提高数据信息从发起端到接收端传输过程的安全性,在每一级网络配备的防火墙系统与边界路由器之间配备网络层加密机,利用加密技术及安全认证机制,认证通信双方的身份,实现基于应用的访问控制,并可提供穿越防火墙的VPN应用模式,运用直连的方式把通过认证的数据直接传送到主机的应用程序。另外其可与第三方认证产品集成,实现更加严密的身份认证和访问控制功能,从而保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
为保护电力行业网络系统受到病毒侵害,应构建从主机到服务器的完善的防病毒体系。根据不同的操作系统类型、数据库平台、应用软件,配备相应的防病毒软件。以服务器为网络核心,及时更新病毒代码库,建立完善的防病毒系统,保证电力行业网络系统的正常运行。
总之,电力行业网络安全是一个系统的、全局的管理问题,是电力行业必须重视的重要工作内容,因此我们应提高网络安全意识,遵循整体性、安全性的原则,提高计算机管理人员的素质和水平,定期对全网进行安全检测,发现安全问题及时采取措施修补网络安全漏洞,采取科学的网络安全管理措施,建立完善的计算机网络安全系统,以促进电力行业的可持续发展。
[1]周彬.探讨计算机网络存在的安全隐患及其维护措施[J].电脑知识与技术.2012年第9期
[2]王迎新,牛东晓.电力企业网络信息安全管理研究[J].中国管理信息化(综合版).2007年第3期