1電力企業信息網絡安全存在的問題
1.1安全意識不足
在電力企業中,許多員工對信息網絡安全的重要性沒有得到正確地認識,缺乏足夠的安全意識,對新出現的信息安全問題認識不足。存在計算機、信息系統用戶使用過於簡單或系統默認口令和部分人員將用戶名、口令轉借他人使用的現象。
1.2基礎安全設施不健全
雖然電力企業在生產、運營、管理等多方面的信息化建設在不斷增加,但是對於電力信息網絡安全的重視程度不足,造成在信息網絡安全策略、安全技術、安全措施等方面的基礎設施相對較少,無法滿足信息網絡安全防護的需求。需要企業在信息化建設中加大對信息安全建設的投入。
1.3企業缺乏統一的安全管理策略
由於各種原因,目前還沒有一套統一、完善的能夠指導整個電力系統計算機及信息網絡系統安全運行的管理規範,以用於企業安全措施的部署。
1.4薄弱的身份認證管理
在電力企業信息化應用時,信息系統用戶的身份認證基本採用基於口令的鑑別方式,而這種身份認證方式存在缺陷,很容易被非法人員攻破。簡單基於口令的認證方式已無法滿足網絡安全的需求。
1.5存在隱患的信息網絡架構
雖然當前很多電力企業基本實現了核心、匯聚和接入式的三層網絡架構,但仍有一部分企業採用二層交換的網絡。除此之外,網絡架構還存在着如下一些問題:首先,防火牆系統是力度比較粗的訪問控制產品,它僅在基於TCP/IP協議的過濾方面表現出色,企業網絡邊界僅部署防火牆無法實現真正的網絡安全。其次,網絡架構存在單點故障,網絡中個別設備出現故障導致大面積網絡用戶無法進行任何的信息訪問,此問題需要企業進行改進。
1.6存在安全隱患的機房環境
很多電力企業的信息網絡機房僅做了機房本身的防雷措施,未對設備的端口採取防雷措施。另外,信息網絡機房在溫、溼度環境監測、UPS供電系統、消防系統、機房門禁管理等方面存在着嚴重不足,需進一步的完善。當機房環境發生異常情況不能的得到及時有效的處理,造成異常情況擴大,甚至導致機房設備損壞、數據丟失,將給企業帶來嚴重的經濟損失[2]。
2電力企業信息網絡安全防護的技術措施
電力企業信息網絡涉及電力企業的生產和管理的很多環節,它是一個複雜的系統。對於電力信息網絡安全防護,關鍵的技術措施主要包括防病毒技術、信息加密技術、漏洞掃描技術、防火牆技術、身份認證技術、入侵檢測技術、數據備份與恢復技術、安全審計技術、機房環境監測技術。下面對這幾項技術進行描述。
2.1防病毒技術
防病毒技術是有效識別惡意程序並消除其影響的一種技術手段。從防病毒商品對計算機病毒的作用來講,防病毒技術可以分爲三類:一是通過一定的技術手段防止計算機病毒對系統的傳染和破壞,對病毒的規則進行分類處理並在有相似規則的程序運行時認定爲病毒的病毒預防技術,它包括磁盤引導區保護、加密可執行程序、讀寫控制技術和系統監控技術等。二是通過一定的技術手段判定出特定計算機病毒的病毒檢測技術。三是病毒出現後通過對病毒進行分析研究而研製出來的具有相應解讀功能軟件的病毒消除技術,該技術發展相對較被動,具有滯後性和侷限性,對於變種的病毒的無法消除[3]。
2.2信息加密技術
加密技術是信息安全領域的一種基本且非常重要的技術。數據加密技術主要分爲對稱型加密、非對稱型加密兩類。對稱型加密使用單個祕鑰對數據進行加密或解密,特點是計算量小、加密效率高。非對稱型加密算法也稱公用祕鑰算法,其特點是有兩個祕鑰(即公用祕鑰和私有祕鑰)且相互搭配才能完成加密和解密的全過程。它特別適用於分佈式系統中的數據加密。
2.3漏洞掃描技術
漏洞掃描技術是對重點對象(包括工作站、服務器、路由器、交換機、數據庫等)進行掃描,它的原理是採用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查,發現其中可能被病毒利用的漏洞。漏洞掃描的結果是對系統安全性能的一個評估,指出哪些攻擊是可能的,是安全防護措施的一個重要組成部分。目前,漏洞掃描技術分爲基於網絡的掃描和基於主機的掃描兩種類型。
2.4防火牆技術
防火牆技術是一種綜合性的技術,涉及計算機網絡技術、密碼技術、安全技術、軟件技術、安全協議、網絡標準化組織的安全規範以及安全操作系統等多方面,它是設置在不同網絡(如可信任的企業內部護網絡和不可信任的公共網絡)或網絡安全域之間的一道屏障,以防止發生不可預測的潛在的破壞入。防火牆是不同網絡或網絡安全域之間信息的唯一出口,可以根據企業的安全策略檢測、限制或更改出入防火牆的數據流,儘可能地對外部屏蔽不同網絡的信息、結構和運行狀況,以此來實現網絡的安全保護,防止一個需要被保護的網絡遭受外界因素的干擾和侵害。由於只有經過精心選擇的應用協議才能通過防火牆,所以網絡環境變得更爲安全[4]。
2.5身份認證技術
身份認證技術是信息網絡用戶在進入網絡或訪問不同保護級別的信息資源時,對用戶身份的真實性、合法性和唯一性進行確認的過程。身份認證是信息網絡安全的第一道防線,是保證信息網絡安全的重要措施之一。它的作用是防止非法人員進入網絡系統,防止非法人員通過各種違法操作獲取不正當的利益、非法訪問受控信息、惡意破壞系統數據的完整性等情況的發生,是嚴防“病從口入”的關口。常用的身份認證包括主體特徵認證、口令認證、一次性口令認證和持證認證。
2.6入侵檢測技術
入侵檢測技術是使網絡和系統免遭非法攻擊的一種網絡安全技術,它採用的是主動防護的工作模式,它能在入侵攻擊發生前檢測到入侵攻擊,並利用報警與防護系統驅逐入侵攻擊。入侵檢測技術是依照一定的安全策略,對網絡、系統的運行狀況進行監視,儘可能的發現各種攻擊企圖、攻擊行爲或攻擊結果,記錄主機和網絡系統上發生的一切事件,一旦發現有攻擊的跡象或其它不正常現象就採取截斷、報警等方式進行處理並通知管理員,同時詳細記錄有關的事件日誌,以備分析取證。入侵檢測技術是防火牆技術的合理補充,它有效填補了防火牆無法阻止內部人員攻擊的缺陷[5]。
2.7數據備份與恢復技術
對於企業來說,最珍貴的信息化資源不是計算機、服務器、交換機和路由器等硬件設備,而是存儲在存儲介質中的數據信息,這些數據信息包括營銷、財務、檔案、辦公信息等,一旦數據丟失、被惡意篡改,將給企業帶來嚴重的損失。因此建立集中和分散相結合的數據備份恢復設施以及制定切實可行的數據備份和恢復策略是必不可少的。有效的數據備份是防止信息系統軟硬件損壞而造成的數據丟失有效途徑,從而降低系統故障帶來的損失。在條件適宜的情況下,對重要的生產、運營、管理數據進行異地備份,以提高數據的安全性。
2.8安全審計技術
安全審計技術是信息網絡安全領域的重要組成部分,它是根據一定的安全策略記錄和分析網絡上發生的一切事件,不僅能識別網絡用戶還能記錄網絡用戶的行爲,同時發現能夠改進系統運行性能和系統安全的地方。安全審計的作用包括對潛在的攻擊者起到震懾或警告的作用、監測和制止對安全系統的入侵、發現計算機的濫用情況,爲網絡入侵行爲和攻擊行爲提供有效的追究證據,是網絡事故處理的重要依據。
2.9機房環境監測技術
機房環境監測報警系統整合了多個設備的監控,使無人值守機房的物理運行環境、動力配電狀況、設備運行狀況、消防狀況的變化包括可能出現的`危機情況得到全面的監控。並且,系統可實現多種報警方式,例如,當機房環境出現異常時,系統通過電話報警或短信報警的方式通知用戶,使用戶及時獲取機房異常狀態。
3電力企業信息網絡安全防護的管理措施
針對電力企業信息網絡,爲實現全方位、整體的網絡安全保護。除了技術方面的措施,還有管理方面的措施,管理方面的措施主要包括組織機構管理、制度管理、安全培訓管理三個方面。制定完備的管理措施是信息網絡安全防護的關鍵。
3.1組織機構管理
電力企業成立以一把手爲組長的信息安全保障體系。保障體系包括信息安全領導小組,信息安全工作小組,信息運維部門以及信息專責。信息安全領導小組應全面掌握企業的信息狀況,指導信息安全工作。信息安全工作小組在信息安全領導小組的領導下執行有關規章制度,對員工宣傳貫徹信息和保密方面的法律法規。
3.2制度管理
結合電力企業信息網絡安全的需要,調整信息網絡安全管理策略,建立健全完善的安全管理制度,形成完整的安全管理體系,嚴格按照制度執行。信息網絡安全管理制度體系分爲三層結構:總體方針、具體管理制度和各類操作規程。
3.3安全培訓管理
信息網絡安全教育是計算機信息安全的重要組成部分,是增強企業員工安全意識和安全技能的有效方法。其中針對信息網絡技術人員的培訓包括網絡安全理論培訓、安全意識培訓、崗位技能培訓、安全技術培訓、安全產品培訓。非專業人員可根據需要對其進行安全理論培訓、安全意識培訓。定期開展信息網絡安全培訓,根據不同崗位制定不同的培訓計劃,以增強員工的信息網絡安全防範意識。只有提高員工的網絡安全意識才能在管理和技術上有效的實現信息網絡安全。
4結束語
綜上所述,本文從電力信息網絡安全存在的問題着手,以企業信息安全需求的角度重點分析信息網絡安全防範的技術措施和管理措施。電力信息網絡安全的可靠運行是保障電力企業安全穩定運營和提供可靠供電的基礎,電力行業是關係到國計民生的基礎行業,隨着信息化建設的發展,各種信息管理系統在企業中扮演的角色越來越重要,企業對數據的完整性、真實性、可靠性的要求也隨之提高。因此,信息網絡安全防護工作成了信息化建設中的重點工作。