電力企業(yè)網(wǎng)絡(luò)信息安全的防護(hù)措施

黨 林

西安供電局，陜西西安 710032

信息化是社會(huì)生產(chǎn)力與生產(chǎn)方式發(fā)展的一個(gè)必然趨勢，是我國顯得文明建設(shè)的一項(xiàng)重要標(biāo)志。信息化建設(shè)能夠帶動(dòng)企業(yè)管理水平與生產(chǎn)效能的提高，信息資源作為一種重要的資源，其重要性逐漸被人們所認(rèn)識(shí)。電力企業(yè)屬于技術(shù)密集型產(chǎn)業(yè)，對(duì)于生產(chǎn)自動(dòng)化與集約化都有著較高的要求，因此也是較早的進(jìn)行信息化建設(shè)的一批企業(yè)，并且也取得了一些顯著的成效，但是也正是因?yàn)槠鸩捷^早，缺乏經(jīng)驗(yàn)，因此在信息化網(wǎng)絡(luò)的建設(shè)中總是存在著很多問題，而這些問題已經(jīng)逐漸成為了電力企業(yè)網(wǎng)絡(luò)信息安全的隱患，因此，加強(qiáng)網(wǎng)絡(luò)信息安全已經(jīng)成為了電力企業(yè)發(fā)展的重要組成部分。

1 電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀分析

各級(jí)電力企業(yè)因?yàn)樯a(chǎn)經(jīng)營與管理的需要，都在不同程度上建成了自己的自動(dòng)化系統(tǒng)，變電站基本也實(shí)現(xiàn)了“四遙”和無人值守。并且也建立起了企業(yè)自己的管理系統(tǒng)來對(duì)生產(chǎn)、營銷、財(cái)務(wù)、行政辦公等工作進(jìn)行覆蓋，并已經(jīng)進(jìn)行了實(shí)用化具有較高安全等級(jí)的調(diào)度自動(dòng)化系統(tǒng)已經(jīng)通過WEB網(wǎng)關(guān)與MIS之間進(jìn)行相互的信息訪問，部分地方已經(jīng)安裝了正向隔離器，進(jìn)而實(shí)現(xiàn)了物理隔離與數(shù)據(jù)的安全訪問。

各個(gè)電力企業(yè)已經(jīng)制定了安全策略，并實(shí)施了一部分，同時(shí)實(shí)現(xiàn)了互聯(lián)網(wǎng)的安全接入。

將營銷支持網(wǎng)絡(luò)與呼叫接入系統(tǒng)和MIS網(wǎng)絡(luò)進(jìn)行了整合，并且已經(jīng)與用戶、銀行等企業(yè)實(shí)現(xiàn)了信息的安全共享，對(duì)自身的服務(wù)手段進(jìn)行了優(yōu)化。

邊遠(yuǎn)地區(qū)的班站基本都通過VPN技術(shù)來實(shí)現(xiàn)了遠(yuǎn)程班組聯(lián)網(wǎng)的要求，并能夠?qū)崿F(xiàn)大范圍的信息共享，而且應(yīng)用范圍也變得更加的廣泛。利用VPN的高級(jí)應(yīng)用能夠構(gòu)建起基于互聯(lián)網(wǎng)的各種遠(yuǎn)程服務(wù)。

2 電力企業(yè)網(wǎng)絡(luò)信息安全方面存在的問題

2.1 不同的網(wǎng)絡(luò)之間沒有嚴(yán)格的進(jìn)行等級(jí)劃分

根據(jù)《全國電力二次系統(tǒng)安全防護(hù)總體方案》，電力企業(yè)對(duì)于不同安全等級(jí)的網(wǎng)絡(luò)必須要進(jìn)行安全等級(jí)的劃分。在縱向上，電力企業(yè)需要實(shí)現(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)之間的互聯(lián)。各個(gè)自動(dòng)化系統(tǒng)與低調(diào)系統(tǒng)之間都是通過載波進(jìn)行單向數(shù)據(jù)轉(zhuǎn)發(fā)，而部分基層電力企業(yè)都沒有實(shí)現(xiàn)網(wǎng)絡(luò)化的數(shù)據(jù)傳輸，同時(shí)在主站與廠站之間也沒有實(shí)現(xiàn)光纖載波雙通道。在橫向上，要求能夠?qū)崿F(xiàn)實(shí)時(shí)監(jiān)控系統(tǒng)與非實(shí)時(shí)監(jiān)控系統(tǒng)之間的相互連接。根據(jù)當(dāng)前的互聯(lián)網(wǎng)現(xiàn)狀與通信現(xiàn)狀，主要還存在著這些問題：1）單向數(shù)據(jù)的傳輸難以實(shí)現(xiàn)真正意義上的數(shù)據(jù)共享，同時(shí)在與非實(shí)時(shí)系統(tǒng)之間的接口上也沒有進(jìn)行標(biāo)準(zhǔn)數(shù)據(jù)接口的建設(shè)；2）部分電力企業(yè)沒有利用MPLS VPN技術(shù)組建數(shù)據(jù)調(diào)度網(wǎng)，沒有滿足相關(guān)的安全要求；3）上下級(jí)的調(diào)度之間沒有部署必須的認(rèn)證加密裝置。

2.2 隨著技術(shù)的發(fā)展與電力企業(yè)的業(yè)務(wù)發(fā)展，現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)能力難以滿足要求

隨著信息技術(shù)的發(fā)展與電力企業(yè)自身業(yè)務(wù)的發(fā)展要求，網(wǎng)絡(luò)安全越來越受到重視，但是現(xiàn)有的網(wǎng)絡(luò)安全防護(hù)能力明顯不足，缺乏有效的管控手段，同時(shí)管理水平也急需要提高。如今的電力企業(yè)還缺少一套完善的服務(wù)器病毒防護(hù)系統(tǒng)，有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件，有的甚至還采用的是單機(jī)版的瑞星、江民、卡巴斯基等防病毒軟件，相對(duì)而言，防護(hù)能力還有所不足。當(dāng)受到攻擊時(shí)，容易出現(xiàn)系統(tǒng)癱瘓。同時(shí)還沒有能夠建立起一套完善的數(shù)據(jù)備份恢復(fù)機(jī)制，如果數(shù)據(jù)受到破壞，那么所受到的損失將難以估量。沒有一套完善的網(wǎng)管軟件，難以對(duì)一些內(nèi)部用戶的過激行為進(jìn)行有效的監(jiān)管，例如IP盜用、沖突，濫用網(wǎng)絡(luò)資源（BT下載等），等等。還沒有能夠建立起一套完善的評(píng)測和風(fēng)險(xiǎn)評(píng)估制度，對(duì)于當(dāng)前電力企業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀難以進(jìn)行有效的評(píng)估。同時(shí)，我國也缺乏專業(yè)的評(píng)測機(jī)構(gòu)，這就使得電力企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與隱患都難以被及時(shí)發(fā)現(xiàn)和進(jìn)行有效的防范，使得電力企業(yè)的防范能力難以得到持續(xù)增強(qiáng)。

2.3 電力企業(yè)服務(wù)器存在的安全隱患

在電力系統(tǒng)中有著十分眾多的服務(wù)器。隨著網(wǎng)絡(luò)攻擊手段與攻擊技術(shù)的不斷更新，服務(wù)器攻擊愈演愈烈，因此擁有眾多服務(wù)器的電力系統(tǒng)成為了攻擊的首選對(duì)象。在電力企業(yè)中的服務(wù)器主要包括了數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、算費(fèi)服務(wù)器、銀電聯(lián)網(wǎng)服務(wù)器等多種服務(wù)器，眾多的服務(wù)器也使得其存在著嚴(yán)重的安全隱患：1）電力企業(yè)的網(wǎng)絡(luò)中，每一個(gè)服務(wù)器都擁有自己獨(dú)立的認(rèn)證系統(tǒng)，但是這些服務(wù)器卻缺乏統(tǒng)一的權(quán)限管理策略，管理員難以進(jìn)行統(tǒng)一的有效管理；2）Web服務(wù)器和流媒體服務(wù)器長期遭受到來自于互聯(lián)網(wǎng)的DDoS以及各種病毒的侵襲；3）讓郵件服務(wù)器中受到大量的垃圾郵件的干擾，并且也難以進(jìn)行有效的信息監(jiān)管，經(jīng)常會(huì)發(fā)生企業(yè)員工通過電子郵件來傳遞企業(yè)的機(jī)密信息的安全事件；4）權(quán)限劃分不明確，容易受到來自外部黑客的攻擊，例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數(shù)據(jù)庫中的機(jī)密數(shù)據(jù)；5）與總公司服務(wù)器通信過程中有些機(jī)密信息由于沒有采取加密措施，很容易被竊聽而泄密。

2.4 各種惡意網(wǎng)頁所帶來的網(wǎng)絡(luò)安全威脅

電力企業(yè)擁有自己的主題網(wǎng)站，并通過互聯(lián)網(wǎng)與外網(wǎng)相連。每一個(gè)電腦使用者都會(huì)通過對(duì)網(wǎng)頁的點(diǎn)擊來尋找對(duì)自己有用的信息，電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)相連，因此，電力企業(yè)中的員工也會(huì)通過與外網(wǎng)的鏈接，從互聯(lián)網(wǎng)中搜索對(duì)自己有用的信息，但是并不是所有的網(wǎng)頁都是安全的，有一些網(wǎng)站的開發(fā)者或者是黑客會(huì)為了能夠達(dá)到某種目的對(duì)網(wǎng)頁進(jìn)行修改，進(jìn)而達(dá)到某種目的，當(dāng)電力企業(yè)的內(nèi)部員工通過電力企業(yè)內(nèi)部的網(wǎng)絡(luò)進(jìn)行訪問時(shí)，就會(huì)受到來自這些惡意網(wǎng)頁的攻擊。

2.5 設(shè)備本身與系統(tǒng)軟件存在漏洞

由于電力企業(yè)的信息化建設(shè)較早，這就導(dǎo)致了很多設(shè)備與軟件都出現(xiàn)了各種安全漏洞，這些都導(dǎo)致了不良安全后果的程度增加。信息網(wǎng)絡(luò)自身在操作系統(tǒng)、數(shù)據(jù)庫以及通信協(xié)議等存在安全漏洞和隱蔽信道等不安全因素；存儲(chǔ)介質(zhì)損壞造成大量信息的丟失，殘留信息泄密，計(jì)算機(jī)設(shè)備工作時(shí)產(chǎn)生的輻射電磁波造成的信息泄密。信息網(wǎng)絡(luò)使用單位未及時(shí)修補(bǔ)或防范軟件漏洞、采用弱口令設(shè)置、缺少訪問控制以及攻擊者利用軟件默認(rèn)設(shè)置進(jìn)行攻擊，是導(dǎo)致安全事件發(fā)生的主要原因。

3 電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)措施

3.1 進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估

電力企業(yè)要解決網(wǎng)絡(luò)安全問題并不能夠僅僅是從技術(shù)上進(jìn)行考慮，技術(shù)是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。網(wǎng)絡(luò)安全離不開各種安全技術(shù)的具體實(shí)施以及各種安全產(chǎn)品的部署，但是現(xiàn)在在市面上出現(xiàn)的安全技術(shù)、安全產(chǎn)品實(shí)在是讓人感覺眼花繚亂，難以進(jìn)行選擇，這時(shí)就需要進(jìn)行風(fēng)險(xiǎn)分析，可行性分析等，對(duì)電力企業(yè)當(dāng)前所面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行分析，并分析解決問題或最大程度降低風(fēng)險(xiǎn)的可行性，對(duì)收益與付出進(jìn)行比較，并分析有哪一些產(chǎn)品能夠讓電力企業(yè)用自己最小的代價(jià)滿足其對(duì)網(wǎng)絡(luò)安全的需要，同時(shí)還需要考慮到安全與效率的權(quán)衡等。對(duì)于電力企業(yè)來說，搞清楚信息系統(tǒng)現(xiàn)有以及潛在的風(fēng)險(xiǎn)，充分評(píng)估這些風(fēng)險(xiǎn)可能帶來的威脅和影響，將是電力企業(yè)實(shí)施安全建設(shè)必，須首先解決的問題，也是制定安全策略的基礎(chǔ)與依據(jù)。

3.2 構(gòu)建防火墻

防火墻是一種能有效保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網(wǎng)絡(luò)中的各種非法訪問以及構(gòu)建起起一道安全的屏障，對(duì)于信息的輸入、輸出都能夠進(jìn)行有效的控制?？梢栽诰W(wǎng)絡(luò)邊界上通過硬件防火墻的構(gòu)建，對(duì)電力企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的通信進(jìn)行監(jiān)控，并能夠有效的對(duì)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行隔離，從而能夠阻檔外部網(wǎng)絡(luò)的侵人。對(duì)于電力企業(yè)可以通過“防火墻+殺毒軟件”的配置來對(duì)內(nèi)部的服務(wù)器與計(jì)算機(jī)進(jìn)行安全保護(hù)。同時(shí)還需要定期的進(jìn)行升級(jí)。為了防止各種意外的發(fā)生，需要對(duì)各種數(shù)據(jù)進(jìn)行定期的備份。需要定期的對(duì)個(gè)硬件以及各種備份的有效性進(jìn)行檢驗(yàn)。電力企業(yè)防火墻體系構(gòu)建如下：

訪問控制列表構(gòu)建防火墻控制體系。通過對(duì)訪問控制列表的調(diào)節(jié)能夠有效的實(shí)現(xiàn)路由器對(duì)數(shù)據(jù)包的選擇。通過對(duì)訪問控制列表的增刪，能有效的對(duì)網(wǎng)絡(luò)進(jìn)行控制，對(duì)流入和流出路由器接口的數(shù)據(jù)包進(jìn)行過濾，達(dá)到部分網(wǎng)絡(luò)防火墻的效果。

配置硬件防火墻。在電力企業(yè)中硬件防火墻的使用較多，但是能夠真正發(fā)揮作用的就不多了。在使用硬件防火墻前，需要將防火墻與企業(yè)的整個(gè)網(wǎng)絡(luò)配置好。首先需要對(duì)防火墻的工作模式進(jìn)行選擇，例如WatchGuard這款防火墻具有兩種工作模式，一種是Drop-In Mode，另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區(qū)”或者是沒有內(nèi)網(wǎng)的網(wǎng)絡(luò)環(huán)節(jié)中，因此，電力企業(yè)中就應(yīng)該選擇Routed Mode這種模式。然后將其中的外接網(wǎng)口、內(nèi)部接口、“非軍事區(qū)”等選項(xiàng)添好，當(dāng)對(duì)網(wǎng)絡(luò)設(shè)置完成之后，就可以利用相應(yīng)的GUI 程序與硬件防火墻進(jìn)行連接，并對(duì)應(yīng)將防火墻進(jìn)行進(jìn)一步的配置。在電力企業(yè)中有很多部門，每一個(gè)部門對(duì)網(wǎng)絡(luò)安全的具體需求都不相同。因此，在設(shè)置時(shí)需要考慮到部門的具體情況。

3.3 加強(qiáng)對(duì)計(jì)算機(jī)病毒的預(yù)防控制

計(jì)算機(jī)病毒的防治是網(wǎng)絡(luò)安全的主要組成部分，而對(duì)電力企業(yè)的網(wǎng)絡(luò)安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態(tài)病毒對(duì)企業(yè)的威脅，就必須從監(jiān)控、強(qiáng)制、防止及恢復(fù)等四個(gè)階段對(duì)新型態(tài)病毒進(jìn)行管理。

控制計(jì)算機(jī)病毒爆發(fā)次數(shù)，降低病毒對(duì)業(yè)務(wù)所產(chǎn)生的影響。我們知道，病毒從感染單臺(tái)客戶機(jī)·擴(kuò)散·爆發(fā)，均需要一段空窗期。很多時(shí)候，管理人員都是在病毒爆發(fā)之后才能夠發(fā)現(xiàn)問題，但是這時(shí)已經(jīng)太晚。因此需要能夠在病毒擴(kuò)散期就發(fā)現(xiàn)問題根源，才能夠有效的降低病毒爆發(fā)的概率。

網(wǎng)絡(luò)層防毒將能夠有效的對(duì)病毒進(jìn)行預(yù)防。在電力企業(yè)中，需要將網(wǎng)絡(luò)病毒的防范作為最重要的防范對(duì)象，通過在網(wǎng)絡(luò)接口和重要安全區(qū)域部署網(wǎng)絡(luò)病毒墻，在網(wǎng)絡(luò)層全面消除外來病毒的威脅，使得網(wǎng)絡(luò)病毒不能再肆意傳播，同時(shí)結(jié)合病毒所利用的傳播途徑，對(duì)整個(gè)安全策略進(jìn)行貫徹。

預(yù)防病毒并不能夠完全的依靠病毒的特征碼，還必須要實(shí)現(xiàn)對(duì)病毒發(fā)作的整個(gè)生命周期進(jìn)行管理。必須要建立起一套完善的預(yù)警機(jī)制、清除機(jī)制、修復(fù)機(jī)制，通過這些機(jī)制來保障病毒能夠被高效處理，防毒系統(tǒng)需要在病毒代碼到來之前，就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護(hù)等各種手段來對(duì)病毒進(jìn)行有效控制，使得新病毒未進(jìn)來的進(jìn)不來、進(jìn)來的又沒有擴(kuò)散的途徑。在清除與修復(fù)階段又可以對(duì)這些病毒高效清除，快速恢復(fù)系統(tǒng)至正常狀態(tài)。

3.4 開展電力企業(yè)內(nèi)部的全員信息安全教育和培訓(xùn)活動(dòng)

安全意識(shí)和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，信息安全不僅僅是信息部門的事，它牽涉到企業(yè)所有的員工，為了保證安全的成功和有效，應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員，用戶，技術(shù)人員進(jìn)行安全培訓(xùn)，減少人為差錯(cuò)，失誤造成的安全風(fēng)險(xiǎn)。

開展安全教育和培訓(xùn)還應(yīng)該注意安全知識(shí)的層次性，主管信息安全工作的負(fù)責(zé)人或各級(jí)管理人員，重點(diǎn)是了解，掌握企業(yè)信息安全的整體策略及目標(biāo)，信息安全體系的構(gòu)成，安全管理部門的建立和管理制度的制定等;負(fù)責(zé)信息安全運(yùn)行管理及維護(hù)的技術(shù)人員，重點(diǎn)是充分理解信息安全管理策略，掌握安全評(píng)估的基本方法，對(duì)安全操作和維護(hù)技術(shù)的合理運(yùn)用等;用戶，重點(diǎn)是學(xué)習(xí)各種安全操作流程，了解和掌握與其相關(guān)的安全策略，包括自身應(yīng)該承擔(dān)的安全職責(zé)等。

4 結(jié)論

網(wǎng)絡(luò)安全是一個(gè)綜合系統(tǒng)，不僅僅涉及到技術(shù)層面的問題同時(shí)還會(huì)涉及到管理上面的問題。網(wǎng)絡(luò)上，無論是硬件還是軟件出現(xiàn)問題都會(huì)對(duì)整個(gè)網(wǎng)絡(luò)安全形成威脅，產(chǎn)生出網(wǎng)絡(luò)安全問題。我們需要通過系統(tǒng)工程的觀點(diǎn)、方法對(duì)當(dāng)前電力企業(yè)中的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行分析，并提出提高網(wǎng)絡(luò)安全性的措施。在電力企業(yè)的網(wǎng)絡(luò)中，包括了個(gè)人、硬件設(shè)備、軟件、數(shù)據(jù)等多個(gè)環(huán)節(jié)，這些環(huán)節(jié)在網(wǎng)絡(luò)中所具有的地位與影響都需要從整個(gè)電力企業(yè)的網(wǎng)絡(luò)系統(tǒng)去進(jìn)行整體的看待和分析。電力企業(yè)的網(wǎng)絡(luò)安全必須要進(jìn)行風(fēng)險(xiǎn)評(píng)估才能夠制定出合理的計(jì)劃。

[1]余志榮.淺析電力企業(yè)網(wǎng)絡(luò)安全[J].福建電腦，2011(7).

[2]周偉.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)的影響因素與防范措施[J].網(wǎng)友世界，2012(1).

[3]張鵬宇.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].信息與電腦（理論版），2011(1).

[4]萬錦華.電力企業(yè)網(wǎng)絡(luò)信息安全的防范措施探討[J].科技與生活，2010(1).

[5]香柱平.有關(guān)電力企業(yè)信息中心網(wǎng)絡(luò)安全及防范措施的探討[J].中小企業(yè)管理與科技，2010(5).