电力信息安全风险分析及解决方案探讨样本

电力信息安全风险分析及解决方案探讨[摘

要]本文详细分析了电力系统信息安全现状，存在安全风险，对信息安全解决方案从技术和治理两个方面进行了探讨[核心词]电力信息安全解决方案

近年来，国内电力系统走向市场步伐加快，国家电力产业体制开始向市场转变，各级供电公司纷纷建立信息系统和基于Internet治理应用，以进步劳动生产率，进步治理水平，加强信息反馈，进步决策科学性和对的性，进步公司综合竞争力。但是，随着电力信息网互联和完全溶进Internet，电力信息网络面临日益突出信息系统安全题目。在电力公司综合信息治理系统中，必要从网络、操纵系统、应用程序和业务需求等各方面来保证系统安全。研究电力系统信息网络安全题目、开发相应应用系统、设计系统安全防护方案，制定切实可行在电力信息网遭受外部袭击时防范办法与系统劫难时恢复办法等信息安全应急预案是当前信息化工作重要内容。电力系统信息安全已经成为电力公司生产、经营和治理重要构成某些。特别是在电力系统体制改革使得厂网分开后，发电厂信息网和供电信息网在网络上紧密联系，在治理上却互相独立，又给电力信息网安全提出新课题。一．电力信息化应用和发展1.电力信息化应用当前电力公司信息化建设硬件环境已经基本构建完毕，硬件设备数目和网络建设状况良好，在电力生产、电力调度、输变电、配网自动化等核心环节已大某些实行了信息化。在网络硬件方面，基本上已经实现千兆骨干网，百兆互换到桌面，三层互换，VLAN，MPLS等技术也在普及使用。在软件方面，应用重要涉及电网(国调、网、省、地市以及县级)调度自动化系统、电力市场技术支持系统、用电营销信息系统、配网自动化以及公司ERP等。计算机及信息网络系统在电力生产、建设、经营、治理、科研、设计等各个领域有着十分广泛应用，特别在电网调度自动化、厂站自动控制、治理信息系统、电力市场技术支持系统、电力营销系统、办公自动化系统、财务治理信息系统、客户服务支持系统、电力负荷治理、计算机辅助设计、科学计算以及教诲培训等方面获得了较好应用效果，在安全生产、节能降耗、减少本钱、缩短工期、进步劳动生产率等方面获得了明显社会效益和经济效益，同步也逐渐健全和完善了信息化治理机制，培养和建立了一支强有力技术队伍，有力增进了电力产业发展。2.电力信息网络建设电力通讯网以光纤通讯为主、微波通讯为辅构成电力通讯传播干线网络，为高速数据通讯提供了网络平台。信息网络分为两大某些，一是电力调度信息网，重要由国家电力调度数据一级网，大区电网和省级网二级调度信息网，区、市建成三级调度信息网以及县级供电公司电力调度信息四级网，覆盖各级调度中心和发电厂、变电站，重要传播电力调度实时信息，国调及各级调度均配有调度自动化系统，各级调度、厂、站实时信息按调度管辖权限划分送至关于调度。二是电力治理信息网，重要由国家电网公司一级电力信息网、大区和省级二级电力信息网、(区、市)建成三级电力信息网以及县级供电公司四级电力信息网。电力信息网是以电力信息主干网络为中心，覆盖各发、供电、施工、修造、学校、医院等单位计算机信息网络系统。涉及：电科院、电力医院,供电公司、发电厂、水电站等和其他单位。通过各地ISP接进互联网，同步还与地方政府网络联网，与银行联网实现实时代收费等。二．电力信息网安全现状分析电力系统信息安全是电力系统安全运营和对社会可靠供电保障，是一项涉及电网调度自动化、继电保护及安全装置、厂、站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等关于生产、经营和治理方面多领域、复杂大型系统工程。电力信息化发展使电力生产、经营诸多环节完全依托电力信息网正常运营与否，如电网调度自动化系统对无人值班变电所运营影响，用电营销信息系统对电费回收影响等。结合电力生产特点，从电力信息系统和电力运营实时控制系统两个方面，分析电力系统信息安全存在题目。电力信息系统已经初步建立其安全体系，将电力信息网络和电力运营实时控制网络进行隔离，网络间设立了防火墙，购买了网络防病毒软件，有了数据备份设备。但电力信息网络安全是不平衡，诸多单位没有网络防火墙，没有数据备份观念，更没有对网络安全做同一、长远规划，网络中有诸多安全隐患。三．电力信息网安全风险分析1．计算机及信息网络安全意识亟待进步。由于近十几年计算机信息技术高速发展，计算机信息安全方略和技术也获得了非常大进展。电力系统各种计算机应用对信息安全熟悉间隔实际需要差距较大，对新浮现信息安全题目熟悉局限性。2．缺少同一信息安全治理规范。电力系统固然对计算机安全始终非常注重，但由于各种因素，当前还没有一套同一、完善可以指引整个电力系记录算机及信息网络系统安全运营治理规范。3．急需建立同电力行业特点相适应计算机信息安全体系。近几年来，计算机在整个电力系统生产、经营、治理等方面应用越来越多。但是，在计算机安全方略、安全技术、和安全办法投进较少。因此，为保证电力系统安全、稳定、高效运营，应建立一套结合电力计算机应用特点计算机信息安全体系。4．计算机网络化使过往孤立局域网在联成广域网后，面临巨大外部安全袭击。电力系统较早计算机系同普通都是内部局域网，并没有同外界连接。因此，初期计算机安全只是防止意外破坏或者内部职工安全控制就可以了，但当前就必要要面对国际互联网上各种安全袭击，如网络病毒和电脑“黑客”等。5．数据库数据和文献明文存储：电力系记录算机网络中信息普通存储在由数据库治理系统维护数据库中或操纵系统文献中。这些以明文形式存储信息存在泄漏也许，由于拿到存储介质人可以读出这些信息；黑客可以绕过操纵系统、数据库治理系统控制获取这些信息；系统后门使软硬件系统制造商很容易得到这些信息。6．信息明文传播：当代应用系同普通采用C/S（客户/服务器）或B/S（浏览器/服务器）构造，都在网络上运营，所解决信息也必要在网络主机间频繁传播。在电力行业计算机网络系统中，信息传播基本上是明文方式。偶有采用SSL（安全套接字层）等加密传播，但由于外国安全系统出口限制，所可以用到SSL是低安全级别。这些明文或只受到低安全保护信息在网络上传播，不具备信息安全所规定保密、完整和发送方不可抵赖性规定。7．弱身份认证：电力行业应用系统基本上基于商用软硬件系统设计和开发，顾客身份认证基本上采用基于口令鉴别模式，而这种模式很容易被攻破。有应用系统还使用自己顾客鉴别办法，将顾客名、口令以及某些安全控制信息以明文形式记录在数据库或文献中，这种脆弱安全控制办法在操纵职工计算机应用水平不断进步，信息敏感性不断增强今天不能再用了。8．没有完善数据备份办法：诸多单位只是选取一台工作站备份一下数据就了事，没有完善数据备份设备，没有数据备份方略，没有数据备份治理制度，没有对数据备份介质妥善保管。四．电力信息网安全防护方案1．加强电力信息网安全教诲安全意识和有关技能教诲是公司安全治理中重要内容，实在施力度将直接关系到公司安全方略被理解限度和被执行效果。为了保证安全成功和有效，高档治理某些应当对公司各级治理职工、顾客、技术职工进行安全培训。所有公司职工必要理解并严格执行公司安全方略。在安全教诲详细实行过程中应当有一定层次性和普遍性：⑴.主管信息安全工作高档负责人或各级治理职工，重点是理解、把握公司信息安全整体方略及目的、信息安全体系构成、安全治理某些建立和治理制度制定等。⑵.负责信息安全运营治理及维护技术职工，重点是充分理解信息安全治理方略，把握安全评估基本办法，对安全操纵和维护技术公道运用等。⑶.信息顾客，重点是学习各种安全操纵流程，理解和把握与其有关安全方略，涉及自身应当承担安全职责等。固然，对于特定职工要进行特定安全培训。安全教诲应当定期、持续进行。在公司中建立安全文化并容纳到整个公司文化体系中才是最主线解决办法。2.电力信息网安全防护框架：依照电力公司特点，信息安全按其业务性质普通可分为四种：一种为电网运营实时控制系统，涉及电网自动发电控制系统及支持其运营调度自动化系统，火电厂分布控制系统（DCS，BMS，DEH，CCS）,水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷治理系统。第三种为支持公司经营、治理、运营治理信息系统。第四种为不直接参加电力公司过程控制、生产治理各类经营、开发、采购、销售等各种经营公司。针对电力信息网业务这种层次构造，从电力信息网安全需求上进行分析，提出不同层次与安全强度网络信息安全防护框架即分层、分区安全防护方案。第一是分层治理。依照电力信息网共分为四级网方式，每一级为一层，层间使用网络防火墙进行网络隔离。第二是分区治理。依照电力公司信息安全特点，分析各有关业务系统重要限度和数据流程、当前状况和安全规定，将电力公司信息系统分为四个安全区：实时控制区、非控制生产区、生产治理区和治理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等核心业务实行重点防护，并采用不同强度安全隔离设备使各安全区中业务系统得到有效保护。3．电力信息网安全防护技术办法⑴网络防火墙：防火墙是公司局域网到外网唯一出口，这里外网涉及到不同层次电力网、其她信息网如政府网和银行网络、internet，所有访问都将通过防火墙进行，不答应任何绕过防火墙连接。DMZ停火区放置了公司对外提供各项服务服务器，即可以保证提供正常服务，又可以有效地保护服务器不受袭击。要对的设立防火墙访问方略，遵循“缺省所有封闭，按需求开通原则”，拒尽除明确允许外任何服务，也即是拒尽一切未予准许服务。与Internet连接防火墙访问方略中，必要禁止Rlogin，NNTP，Finger，Gopher，RSH，NFS等危险服务，也必要禁止Telnet，SNMP，TerminalServer等远程治理服务。⑵．物理隔离装置：重要用于电力信息网不同区之间隔离。物理隔离装置事实上是专用防火墙，由于其不公然性，使得更难被黑客袭击。⑶.进侵检测系统：进侵检测系统是专门针对黑客袭击行为而研制网络安全产品。国际上先进分布式进侵检测构架，可最大限度地、全天候地实行监控，提供公司级安全检测手段。在事后分析时候，可以清晰地界定负责人和责任事件，为网络治理职工提供强有力保障。进侵检测系统采用袭击防卫技术，具备高可靠性、高辨认率、规则更新迅速等特点。系统具备强大功能、以便和谐治理机制，可广泛应用于电力行业各单位。所选取进侵检测系统可以有效地防止各种类型袭击，中心数据库应放置在DMZ区，通过在网络中不同位置放置例如内网、DMZ区网络引擎，可与中心数据库进行通讯，获得安全方略，存储警报信息，并针对进侵启动相应动作。治理员可在网络中各种位置访问网络引擎，对进侵检测系统进行监控和治理。⑷.网络隐患扫描系统：网络隐患扫描系统可以扫描网络范畴内所有支持TCP／IP合同设备，扫描对象涉及扫描各种操纵系统，扫描网络设备涉及：服务器、工作站、防火墙、路由器、路由互换机等。在进行扫描时，可以从网络中不同位置对网络设备进行扫描。扫描结束后天生详细安全评估报告,采用报表和图形形式对扫描成果进行分析，可以以便直观地对顾客进行安全性能评估和检查。⑸.网络防病毒:为保护整个电力信息网络免受病毒侵害，保证网络系统中信息可用性，应构建从主机到服务器完善防病毒体系。网络防毒系统可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，以服务器作为网络核心，通过派发形式对整个网络布置查、杀毒，服务器通过Internet运用LiveUpdate（在线升级）功能，从免疫中心实时获取最新病毒码信息，及时更新病毒代码库。服务器和网络工作站都安装客户端软件，运用从服务器端获取病毒码信息对本地工作站进行病毒扫描，并对发现病毒采用相应办法进行清除。客户端依照需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描也许带来服务器性能上减少，因而可采用预置扫描方式，将扫描时间设定在服务器访问率最低夜间。网络工作站可依照各自需要，选取适当方式进行病毒扫描。客户端采用登录网络自动安装方式，保证每一台上网计算机都安装并启动病毒防火墙。同步要留意，选取网络防病毒软件应可以适应各种系统平台，各种数据库平台，各种应用软件。例如能对电力信息网办公自动化系统使用LotusDomino/NOTE平台进行查、杀毒。⑹.数据加密及传播安全：对与文献安全，通过文献加密、信息摘要和访问控制等安全办法，来实现文献存储和传播保密和完整性规定，并实现对文献访问控制。对通讯安全，采用数据加密、信息摘要和数字签名等安全办法对通讯过程中信息进行保护，实现数据在通讯中保密、完整和不可抵赖性安全规定。对远程接进安全，通过VPN技术，进步时信息（如电子公文，MAIL等等）在传播过程中保密性和安全性。⑺.数据备份：对于公司来说，最贵重不是计算机、服务器、互换机和路由器等硬件设备，而是存储在存储介质中数据信息。因而对于一种信息治理系统来说，数据备份和容错方案是必不可少。因而必要建立集中和分散相结合数据备份设施以及切合实际数据备份方略。⑻．可靠安全审计：通过记录审计信息来为信息安全题目分析和解决提供线索。除了使用软密码外，还可以使用象USBKEY等硬件密码认证，更可以采用两者相结合方式。⑼.数据库安全：通过数据存储加密、完整性检查和访问控制来保证数据库数据机密和完整性，并实现数据库数据访问安全。4.电力信息网安全防护治理办法技术是安全主体，治理是安全灵魂。只有将有效安全治理实践自始至终贯彻贯彻于信息安全当中，网络安全长期性和稳定性才干有所保证。⑴职工治理，要加强信息职工安全教诲，保持信息职工特别是网络治理职工和安全治理职工相对稳定，防止网路机密泄露，特别是留意职工调离时网络机密泄露。对网络设备、服务器、存储设备操纵要履行签字允许制度和操纵监护制度，杜尽误修改和非法修改。⑵密码治理，对各类密码要妥善治理，杜尽默认密码，出厂密码，无密码，不要使用容易猜测密码。密码要及时更新，特别