電力企業(yè)信息網(wǎng)網(wǎng)絡安全層次式防護體系探究

摘 要：深入探究電力企業(yè)信息網(wǎng)網(wǎng)絡安全的防護體系的構成，分析電力企業(yè)信息網(wǎng)網(wǎng)絡安全的防護現(xiàn)狀，總結出網(wǎng)絡安全層次式防護體系的構建和實施策略，希望能夠促進和完善電力企業(yè)信息網(wǎng)的網(wǎng)絡安全保障。

關鍵詞：電力企業(yè)；信息網(wǎng)網(wǎng)絡安全；層次式防護體系

中圖分類號：TN915.08

網(wǎng)絡信息安全的問題主要包括了網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中重要數(shù)據(jù)受到保護，受突發(fā)或者惡意的因素而遭到破壞、更改、泄露，系統(tǒng)能夠正常地運行，網(wǎng)絡服務不中斷等諸多方面。企業(yè)要想做好信息網(wǎng)網(wǎng)絡安全就需要構建一個層次式防護體系，這個防護體系能夠有效的解決企業(yè)信息網(wǎng)網(wǎng)絡安全所面臨的各種問題，給企業(yè)一個良好的網(wǎng)絡環(huán)境。

1 信息網(wǎng)絡安全層次式防護體系的防護模式

結合電力企業(yè)的實際情況，按照層次式防護體系的防護模式，可將電力企業(yè)的網(wǎng)絡信息安全分為七大模塊，分別是入侵檢測、環(huán)境與硬件、防火墻、VPN（虛擬專用網(wǎng)）、隱患掃描、病毒防范、PKI（公開密鑰基礎設施）。

1.1 環(huán)境與硬件、防火墻

環(huán)境與硬件以及防火墻為層次防護模式的第一、二層，是對系統(tǒng)安全要求比較高的電網(wǎng)運行與安全穩(wěn)定的控制，還包含了電網(wǎng)調度自動化、繼電保護等實時網(wǎng)絡，使用防火墻隔離網(wǎng)關設備來連接信息網(wǎng)絡，這樣就可以獲取實時的系統(tǒng)數(shù)據(jù)，不過這樣仍有一個小的缺陷，就是不可能直接或間接的修改實時系統(tǒng)的數(shù)據(jù)，所有需要采用硬件防火墻互聯(lián)的信息網(wǎng)絡與實時網(wǎng)絡之間在物理網(wǎng)絡層的隔離，這樣就能從根本上防護非法用戶的入侵。

另外，也可在信息網(wǎng)的Internet接入口處安裝防火墻，這種防火墻主要防止來自外部的攻擊，而且企業(yè)內各機構之間的仍有全面的安全防火墻，目前幾乎所有的電力企業(yè)信息網(wǎng)大都建立了這兩層防護措施。不過防火墻對于一些利用合法通道而展開的網(wǎng)絡內部攻擊顯得無能為力。因此，盡管開發(fā)防火墻能夠初步具備入侵的檢查功能，但是防火墻作為網(wǎng)關，很容易就成為網(wǎng)絡防護發(fā)展的頸瓶，不適合做過多的擴展研究。因此，還需要和層次式防護的第三層入侵檢測等相關工具聯(lián)合起來運用，這樣就能提高整個網(wǎng)絡的安全。

1.2 入侵檢測（IDS）

整個防護體系的第三層防護便是入侵檢測，入侵檢測不屬于網(wǎng)絡訪問控制設備，對通訊流量沒有任何限制，采用的是一種通過實時監(jiān)視網(wǎng)絡資源（系統(tǒng)日志、網(wǎng)絡數(shù)據(jù)包、文件和用戶獲得的狀態(tài)行為），主動分析和尋找入侵行為的跡象，屬于一種動態(tài)的安全防護技術。一旦被檢測到入侵情況就會立即進行日志、安全控制操作以及警告等操作，給網(wǎng)絡系統(tǒng)提供內、外部攻擊以及一些失誤進行安全防護。像CA公司的eTrustIntrusionDetection程序就是通過自動檢測網(wǎng)絡數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式等，為網(wǎng)絡系統(tǒng)提供了先進的網(wǎng)絡保護功能。同時還能在服務器及相關業(yè)務受到影響時，按照預先定義好的策略采取相應的措施。

1.3 隱患掃描

防護體系的第四層防護便是隱患掃描，隱患掃描是一個全自動化的網(wǎng)絡安全評估軟件，它以黑客的視角對被檢測的系統(tǒng)進行是否承受攻擊性的安全漏洞以及隱患掃描，同時還能夠查到可能危及網(wǎng)絡或系統(tǒng)安全的弱點，從而提出相應的維修措施，提交詳細的風險評估報告。最可觀的地方在于它能夠先于黑客發(fā)現(xiàn)并彌補漏洞，從而防患于未然，能夠預防在安全檢查中暴露出存在網(wǎng)絡系統(tǒng)中的安全隱患，然后配合有效的修改措施，將網(wǎng)絡系統(tǒng)中運行的風險降至最低。

隱患掃描系統(tǒng)的主要應用在不同的場合和時宜，第一，對信息網(wǎng)作出定期的網(wǎng)絡安全自我檢測和評估。網(wǎng)絡管理員能夠定期的進行網(wǎng)絡安全檢查服務，以最大可能限度的消除安全隱患，盡可能的發(fā)現(xiàn)漏洞然后進行修補，從而優(yōu)化資源、提高網(wǎng)絡的運行效率；第二，網(wǎng)絡建設以及網(wǎng)絡改造前后的安全規(guī)劃以及成效檢測。配備隱患掃描系統(tǒng)能夠方便的進行安全規(guī)劃評估和成效檢測；第三，網(wǎng)絡安全隱患突發(fā)后的分析。網(wǎng)絡安全隱患突發(fā)后可以通過掃描系統(tǒng)確定網(wǎng)絡被攻擊的漏洞所在，然后幫助修補漏洞，能夠提供盡可能多的資料來方便調查攻擊的來源。第四，重大網(wǎng)絡安全事件發(fā)生前的準備，重大網(wǎng)絡安全事件發(fā)生以前，掃描系統(tǒng)能夠及時的幫用戶找出網(wǎng)絡中存在的漏洞，并及時將其修補。

1.4 虛擬專用網(wǎng)（VPN）

防護體系的第五層就是虛擬專用網(wǎng)，其主要為電力企業(yè)上下級網(wǎng)絡和外出人員訪問企業(yè)網(wǎng)絡時提供一條安全、廉價的互聯(lián)方式，再加上防火墻和IDS的聯(lián)動關系，這就使得VPN的網(wǎng)絡安全性大大的得到保障，VPN的網(wǎng)絡安全性也就得到了保證。不過，目前雖然實現(xiàn)VPN的網(wǎng)絡技術和方式比較多，但不是所有的VPN均可以保證公用網(wǎng)絡平臺傳輸數(shù)據(jù)的安全性和專用性。一般情況下是在非面向連接的公用IP網(wǎng)絡上建立一個具有邏輯的、點對點的連接方式，這種方式稱之為建立隧道。隨后就可以利用加密技術對隧道傳輸?shù)臄?shù)據(jù)進行加密，這樣就能保證數(shù)據(jù)只能被發(fā)送給指定的接收者，這樣極大的保證了數(shù)據(jù)的隱私性。

1.5 PKI（公開密鑰基礎設施）

PKI作為防護體系的第六層具有一個廣泛的接收標準，用來保護用戶的應用和數(shù)據(jù)安全，許多安全應用的安全標準通過PKI都有了適應的安全標準。CA公司的eTrustPKI是個比較普遍的基礎設施，具有許多獨特的特點，如能夠優(yōu)化企業(yè)內部的部署、簡化管理、其擴展性比較好、有可選擇的相關硬件支持。

1.6 對病毒的防范

對病毒的防范是防護體系最后一層，其廣泛的定義在于防范惡意代碼、包括蠕蟲、密碼、邏輯炸彈以及其他未經許可的軟件，防范病毒系統(tǒng)對網(wǎng)關、郵件系統(tǒng)、文件服務器等進行病毒防范，這就要求病毒防范系統(tǒng)做到對病毒代碼的及時更新，并保持對病毒的查殺能力。同時，當防病毒與防火墻一起聯(lián)動時，病毒防護系統(tǒng)會自動通知防火墻進行相關修改。

2 對層次式安全防護體系的規(guī)范管理

層次式安全防護體系的構建是一個復雜的系統(tǒng)工程，包含了人力、技術、以及操作等幾大要素，在整個防護體系的運行中，最重要是需要規(guī)范操作人員的各種專業(yè)技術操作，需要建立一道信息安全管理制度來防止安全防護系統(tǒng)在運行過程中因為內部人員出現(xiàn)差錯而導致的各種網(wǎng)絡漏洞和安全隱患，其中建立規(guī)范的管理制度應考慮以下幾點：第一，建立對應的事故預防和應急處理方案，每天都要例行檢查備案；第二，制定嚴格的防護系統(tǒng)運行操作制度，對網(wǎng)絡設備、存儲設備以及服務器等重要部件的運行操作制定標準的操作制度，相關工作人員都必須參與進去；第三，強化對工作人員的安全教育和培訓，做好及時的安全工作；第四，建立日志式的管理制度，對每位用戶的操作和行為都以日志的形式記載在案，并進行及時的跟蹤調查和審計工作。

3 結束語

網(wǎng)絡安全防護是一個動態(tài)的系統(tǒng)工程，構建網(wǎng)絡安全防護體系能夠有效保護電力企業(yè)信息網(wǎng)的安全，其中采取層次式安全防護體系，更是有效的將各個層次安全構建有機的結合在一起，從而提高了整個網(wǎng)絡的安全性。

參考文獻：

[1]黨林.電力企業(yè)信息系統(tǒng)數(shù)據(jù)的安全保護措施分析[J].電子技術與軟件工程，2013（17）.

[2]李志茹，張華峰，黨倩.電網(wǎng)企業(yè)信息系統(tǒng)安全防護措施的研究與探討[J].電力信息化，2012（04）.

作者簡介：舒曉慧（1982-），女，黑龍江大慶人，工程師，本科，研究方向：信息安全。

作者單位：國網(wǎng)黑龍江省電力有限公司大慶供電公司信息通信分公司，黑龍江大慶 163454；國網(wǎng)黑龍江省電力有限公司大慶供電公司物資供應中心，黑龍江大慶 163454