新形勢(shì)下電力系統(tǒng)中網(wǎng)絡(luò)安全薄弱點(diǎn)分析

新形勢(shì)下電力系統(tǒng)中網(wǎng)絡(luò)安全薄弱點(diǎn)分析

隨著新形勢(shì)下電力信息網(wǎng)絡(luò)系統(tǒng)接入Internet，網(wǎng)絡(luò)信息安全問題日趨嚴(yán)重，既要防止內(nèi)部的攻擊，也要防止病毒、黑客和非法訪問等各種互聯(lián)網(wǎng)上的攻擊，信息網(wǎng)絡(luò)的安全已成為影響電力系統(tǒng)安全運(yùn)行的關(guān)鍵。必須針對(duì)各自特點(diǎn)采取相應(yīng)的安全技術(shù)，通過綜合設(shè)計(jì)解決其網(wǎng)絡(luò)信息安全問題。

標(biāo)簽：電力信息系統(tǒng)；網(wǎng)絡(luò)信息安全；防范措施

電力信息安全問題

雖然國(guó)家電網(wǎng)電力信息系統(tǒng)己經(jīng)較為完善，并具備了一定的電力信息系統(tǒng)安全體系，可以實(shí)現(xiàn)電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時(shí)控制網(wǎng)絡(luò)的隔離，具有網(wǎng)絡(luò)防火墻，網(wǎng)絡(luò)防病毒軟件，同時(shí)設(shè)有數(shù)據(jù)備份設(shè)備。但仍有很多電力單位對(duì)信息安全性關(guān)注度不夠，沒有建立網(wǎng)絡(luò)防火墻和數(shù)據(jù)備份，對(duì)電力信息網(wǎng)絡(luò)安全更沒有長(zhǎng)遠(yuǎn)的規(guī)劃，尚存在許多安全風(fēng)險(xiǎn)和問題。

1.1計(jì)算機(jī)及信息網(wǎng)絡(luò)的安全意識(shí)有待提高

近年來(lái)計(jì)算機(jī)信息安全技術(shù)取得了突飛猛進(jìn)的進(jìn)展，但應(yīng)用在電力系統(tǒng)的計(jì)算機(jī)安全技術(shù)跟實(shí)際需要差距較大，同時(shí)對(duì)新出現(xiàn)的信息安全問題沒有足夠的認(rèn)識(shí)。

1.2缺乏完善的信息安全管理規(guī)范

目前電力系統(tǒng)中，還沒有一套行之有效的管理規(guī)范，能夠指導(dǎo)整個(gè)電力系統(tǒng)信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行。

1.3電力行業(yè)缺乏計(jì)算機(jī)信息安全體系投入

近年來(lái)，電力系統(tǒng)在生產(chǎn)、經(jīng)營(yíng)、管理等方面的計(jì)算機(jī)投入使用越來(lái)越多。但對(duì)于計(jì)算機(jī)安全策略、安全技術(shù)、安全措施、安全體系建設(shè)方面投入相對(duì)較少。

1.4存在外部網(wǎng)絡(luò)安全攻擊的風(fēng)險(xiǎn)

電力系統(tǒng)最先應(yīng)用的系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒有同外界連接。所以，防止意外破壞或者確保內(nèi)部人員的安全控制是主要的解決方法。在連接因特網(wǎng)后，就必須要面對(duì)互聯(lián)網(wǎng)上各種攻擊，諸如網(wǎng)絡(luò)病毒和黑客等。

1.5脆弱的用戶認(rèn)證

電力行業(yè)中所采用的應(yīng)用系統(tǒng)基本上基于商用款硬件系統(tǒng)設(shè)計(jì)和開發(fā)，用戶身份認(rèn)證基本上還是采用基于口令或密碼的認(rèn)證模式，而這種模式很容易被黑客攻破。有的應(yīng)用系統(tǒng)使用的鑒別方法，甚至將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫(kù)或文件中，這極大增加了系統(tǒng)危險(xiǎn)性。

1.6缺乏完善的數(shù)據(jù)備份措施

目前，很多企業(yè)僅選擇一臺(tái)工作站備份一下數(shù)據(jù)，根本沒有完善的數(shù)據(jù)備份設(shè)備，同時(shí)也沒有數(shù)據(jù)備份策略，沒有數(shù)據(jù)備份的管理制度，更沒有對(duì)數(shù)據(jù)備份介質(zhì)的妥善保管。

信息網(wǎng)絡(luò)安全分析

2.1信息金罔絡(luò)安全的基本特征

2.1.1相對(duì)性

只有相對(duì)的安全系統(tǒng)，沒有絕對(duì)的安全系統(tǒng)。操作系統(tǒng)與網(wǎng)絡(luò)管理存在相對(duì)性，安全性在系統(tǒng)的不同部件間可以轉(zhuǎn)移。

2.1.2時(shí)效性

新的漏洞與攻擊方法不斷出現(xiàn)，例如NT4.0已從SP1發(fā)展到SP6,目前安全的系統(tǒng)在未來(lái)不一定安全。

2.1.3配置相關(guān)性

日常管理中的不同配置會(huì)引入新的問題，常見的安全測(cè)評(píng)只證明特定環(huán)境與特定配置下的安全，如新的設(shè)備的引人、防火墻配置的修改等等。

2.1.4攻擊的不確定性

攻擊發(fā)起的時(shí)間、攻擊者、攻擊目標(biāo)和攻擊發(fā)起的地點(diǎn)都具有不確定性。

2.1.5復(fù)雜性

信息安全是一項(xiàng)系統(tǒng)工程，需要技術(shù)的和非技術(shù)的手段，涉及安全管理、教育、培訓(xùn)、立法、國(guó)際合作與互不侵犯協(xié)定、應(yīng)急反應(yīng)等。

2.2信息網(wǎng)絡(luò)安全實(shí)現(xiàn)要點(diǎn)

從本質(zhì)上講，信息網(wǎng)絡(luò)安全要實(shí)現(xiàn)3點(diǎn)：保護(hù)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及數(shù)據(jù)；防止系統(tǒng)遭受破壞、更改及泄漏；保證系統(tǒng)連續(xù)可靠運(yùn)行，服務(wù)不中斷。從廣義上講，信息網(wǎng)絡(luò)安全要考慮2點(diǎn)：技術(shù)方面要防止外部用戶的非法人侵，管理方面應(yīng)加強(qiáng)內(nèi)部員工的教育和管理，提高人員的安全意識(shí)。涉及領(lǐng)域包括網(wǎng)絡(luò)信息的保密性、完整性、可用性、真實(shí)性及可控性的相關(guān)技術(shù)和理論等。從面臨的問題講，信息網(wǎng)絡(luò)安全要考慮3點(diǎn)：行為管理的脆弱性，網(wǎng)絡(luò)配置的脆弱性，技術(shù)的脆弱性。

系統(tǒng)層安全分析與對(duì)策

3.1操作系統(tǒng)安全

操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)，其自身的安全性是整個(gè)系統(tǒng)安全的保障。WEB服務(wù)器、數(shù)據(jù)倉(cāng)庫(kù)服務(wù)器、外部數(shù)據(jù)交換服務(wù)器、門戶服務(wù)器、以及各類業(yè)務(wù)和辦公客戶機(jī)等設(shè)備所使用的操作系統(tǒng)，不論是NT、Win95/98/2000，還是Unix都存在信息安全漏洞，由操作系統(tǒng)信息安全漏洞帶來(lái)的安全風(fēng)險(xiǎn)是最普遍的安全風(fēng)險(xiǎn)。因此要采用安全加固的操作系統(tǒng)，并設(shè)置操作系統(tǒng)的安全機(jī)制，如在Unix平臺(tái)上完善和優(yōu)化用戶管理，Windows平臺(tái)上啟用用戶權(quán)限和用戶策略機(jī)制限制用戶訪問等。

3.2數(shù)據(jù)庫(kù)系統(tǒng)的安全

所有的業(yè)務(wù)應(yīng)用、決策支持、行政辦公和外部信息系統(tǒng)的信息管理核心都是數(shù)據(jù)庫(kù)，因此數(shù)據(jù)庫(kù)系統(tǒng)的安全至關(guān)重要。通常對(duì)數(shù)據(jù)庫(kù)的安全管理，包括訪問控制，敏感數(shù)據(jù)的安全標(biāo)簽，日志審計(jì)等多方面提升安全管理級(jí)別，規(guī)避風(fēng)險(xiǎn)。具體設(shè)計(jì)時(shí)，首先要選擇適用要求安全等級(jí)的DBMS，如oracle、notes數(shù)據(jù)庫(kù)系統(tǒng)就有很好的安全性措施；然后應(yīng)用這些數(shù)據(jù)庫(kù)的安全策略設(shè)置相應(yīng)的數(shù)據(jù)庫(kù)的安全性。比如，利用DBMS提供的機(jī)制，以“組”、“角色”等多種渠道劃分用戶權(quán)限，對(duì)表、文檔、視圖、數(shù)據(jù)庫(kù)進(jìn)行詳細(xì)的讀寫權(quán)限劃分，防止用戶訪問自己權(quán)限以外的信息。在系統(tǒng)平臺(tái)一級(jí)，一般都提供了數(shù)據(jù)加密的功能來(lái)保證系統(tǒng)的安全?？筛鶕?jù)具體的安全要求，在數(shù)據(jù)庫(kù)、視圖、表單、文檔甚至域進(jìn)行數(shù)據(jù)加密。對(duì)大量的數(shù)據(jù)采用速度快的對(duì)稱密鑰算法，對(duì)少量的簽名數(shù)據(jù)采用公開密鑰算法進(jìn)行加密。

確保網(wǎng)絡(luò)與信息安全的主要措施

4.1安全路由器

路由器設(shè)備主要負(fù)責(zé)WAN連接，也能系統(tǒng)的控制網(wǎng)絡(luò)的傳輸功能，為此可以利用路由器采用控制列表技術(shù)對(duì)網(wǎng)絡(luò)信息流加以控制。

4.2虛擬專用網(wǎng)VPN

就是利用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上把多個(gè)內(nèi)部網(wǎng)進(jìn)行相互連接，通常帶有加密功能的路由器和防火墻都可以構(gòu)成VPN，從而使信息在公共數(shù)據(jù)網(wǎng)絡(luò)上能夠安全傳遞。

4.3設(shè)置防火墻技術(shù)

防火墻是內(nèi)部網(wǎng)和外部網(wǎng)的一道保護(hù)層，能夠確保網(wǎng)絡(luò)路由的安全性，是保障網(wǎng)絡(luò)信息安全的重要手段。所有的內(nèi)部、外部的連接都要經(jīng)過這個(gè)保護(hù)層進(jìn)行系統(tǒng)的檢查過濾，才能允許被授權(quán)用戶進(jìn)行通信使用，整個(gè)過程具有很大的強(qiáng)制性。防火墻具有兩個(gè)安全意義，主要是防火墻可以在外部網(wǎng)對(duì)內(nèi)部網(wǎng)訪問的過程中進(jìn)行限制，同時(shí)內(nèi)部網(wǎng)對(duì)外部網(wǎng)帶來(lái)的不健康信息也可以限制訪問。防火墻對(duì)網(wǎng)絡(luò)運(yùn)行中的訪問情況進(jìn)行系統(tǒng)的記錄，如果出現(xiàn)可疑入侵的行為，防火墻會(huì)予以警告，并給出詳細(xì)的攻擊信息。但是防火墻自身也存在一定的安全因素，也有一定的潛在問題。

5.結(jié)束語(yǔ)

為了電力系統(tǒng)安全運(yùn)行和對(duì)社會(huì)可靠供電就必須保證電力信息安全，而電力系統(tǒng)安全是一項(xiàng)復(fù)雜的大型系統(tǒng)工程，它涉及電網(wǎng)調(diào)度自動(dòng)化、繼電保護(hù)及安全裝置、廠站自動(dòng)化、配電網(wǎng)自動(dòng)化、電力負(fù)荷控制、電力市場(chǎng)交易、電力營(yíng)銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營(yíng)和管理方面等多個(gè)領(lǐng)域。如果電力信息的遭到破壞，就會(huì)給電力系統(tǒng)的生產(chǎn)經(jīng)營(yíng)和管理造成巨大的損失。同時(shí)電力企業(yè)應(yīng)積極借鑒國(guó)外信息安全領(lǐng)域的豐富經(jīng)驗(yàn)和先進(jìn)技術(shù)，結(jié)合本身電網(wǎng)的特點(diǎn)，建立完善的電力信息安全防護(hù)體系和監(jiān)控中心，制定相關(guān)的技術(shù)措施和管理措施，這樣才能保證電力系統(tǒng)可以安全、可靠、穩(wěn)定的運(yùn)行。

參考文獻(xiàn)：

[1]林闖，汪洋，李泉林.網(wǎng)絡(luò)安全的隨機(jī)模型方法