電力企業(yè)的計算機網(wǎng)絡安全研究

付林晟

摘要：隨著科技生產(chǎn)力的發(fā)展，電力企業(yè)的運維逐漸實現(xiàn)了網(wǎng)絡信息化，然而電力企業(yè)的計算機網(wǎng)絡安全還存在一些風險。文章首先闡述了計算機網(wǎng)絡安全的重要意義，其次對電力系統(tǒng)計算網(wǎng)絡存在的風險進行分析，最后提出了有針對性的計算機網(wǎng)絡安全防護措施。

關鍵詞：電力企業(yè)；計算機網(wǎng)絡；安全

隨著信息化時代的來臨，計算機網(wǎng)絡在電力企業(yè)應用日益廣泛，可以在電力系統(tǒng)自動化、監(jiān)控、保護、電費收繳等方面實現(xiàn)集成管理，發(fā)揮越來越重要的作用。同時，國家電力數(shù)據(jù)通訊網(wǎng)也將各個不同級別的電力企業(yè)連接起來，實現(xiàn)了信息共享。然而，由于受到各種因素的影響，電力企業(yè)信息網(wǎng)絡安全風險日益增加，網(wǎng)絡數(shù)據(jù)丟失，操作系統(tǒng)被破壞，網(wǎng)絡癱瘓等時有發(fā)生。電力企業(yè)的安全、可靠運行是確保社會生產(chǎn)和生活正常運行的基本保障，如何確保電力企業(yè)的計算機網(wǎng)絡安全是電力行業(yè)亟待解決的重要課題，基于此，筆者對此問題進行探討。

1計算機網(wǎng)絡安全的重要意義

計算機網(wǎng)絡安全主要包括2個方面：信息安全和物理安全。信息安全是指網(wǎng)絡安全，確保各種網(wǎng)絡數(shù)據(jù)信息的完整性和保密性。計算機網(wǎng)絡的威脅來源包括病毒、黑客等，其中黑客攻擊造成的危害已經(jīng)超過病毒影響，部分攻擊甚至是致命的。因此，加強計算機網(wǎng)絡安全十分必要，只有采取有針對性的保護措施，才能確保網(wǎng)絡信息的安全性和完整性。根據(jù)美聯(lián)邦調(diào)查可知，美國每年由于計算機網(wǎng)絡安全造成的經(jīng)濟損失每年高達270億元。國內(nèi)互聯(lián)網(wǎng)的安全威脅也十分嚴重，根據(jù)國家網(wǎng)絡應急中心2013年評估數(shù)據(jù)可知，全球“僵尸”電腦有58%都發(fā)生在國內(nèi)。由此可知，確保計算機網(wǎng)絡安全勢在必行。

2電力企業(yè)計算機網(wǎng)絡存在的風險

2.1技術安全風險

隨著信息化時代的來臨，電力企業(yè)對計算機網(wǎng)絡的依賴已經(jīng)達到了空前規(guī)模。由于計算機網(wǎng)絡存在巨大的安全隱患，也導致對計算機網(wǎng)絡過度依賴的電力系統(tǒng)運行的安全性和穩(wěn)定性變得十分脆弱，一旦計算機網(wǎng)絡由于各種原因受到破壞，就會造成整個電力系統(tǒng)出現(xiàn)癱瘓?；诖?，電力企業(yè)必須制定全面的計算機網(wǎng)絡安全防護措施，以確保電力系統(tǒng)的安全、穩(wěn)定運行。然而，現(xiàn)行的安全防護技術具有一定的針對性，通常是針對一種或者幾種問題單獨設計的，難以有效解決運行中出現(xiàn)的所有問題，也難以對計算機網(wǎng)絡安全進行全方位的安全保護，安全技術存在一定的不足之處。

2.2信息安全風險

目前，威脅電力系統(tǒng)計算機網(wǎng)絡安全的原因主要包括幾方面：自然災害、軟件漏洞、病毒及黑客等。計算機系統(tǒng)很容易受到自然災害的影響，如火災、雷擊、地震等各種因素，一旦出現(xiàn)這種自然災害，若保護能力不足，極易導致電力系統(tǒng)信息丟失。由于應用網(wǎng)絡軟件類型多樣，不同類型存在不同漏洞，黑客利用軟件漏洞攻擊軟件，并最終破壞整個系統(tǒng)的數(shù)據(jù)。病毒也會對計算機網(wǎng)絡安全造成影響，網(wǎng)絡一旦干擾病毒，輕則可能導致整個系統(tǒng)運行緩慢，嚴重的可能導致系統(tǒng)癱瘓和數(shù)據(jù)丟失。除此之外，還有部分不法分子通過竊取密碼等方法，故意破壞電力系統(tǒng)數(shù)據(jù)，實施金融犯罪等，這些都使計算機網(wǎng)絡安全受到極大的威脅。

2.3管理安全風險

管理安全風險主要存在于2個方面：其一，網(wǎng)絡管理人員；其二，網(wǎng)絡使用者。管理人員和使用者安全意識不強，隨意將自己的賬號給別人使用或者與別人共享，使用盜版應用軟件及外部不安全的移動存儲介質(zhì)，無意中泄露了網(wǎng)絡口令及配置等關鍵信息，所有這些問題都極易影響網(wǎng)絡的安全穩(wěn)定運行。

3電力企業(yè)計算機網(wǎng)絡安全防范措施

3.1采用交換機和虛擬局域網(wǎng)技術實現(xiàn)訪問控制

為了提高電力企業(yè)計算機網(wǎng)絡的安全性，可以采用交換機和虛擬局域網(wǎng)技術，將電力企業(yè)根據(jù)不同業(yè)務種類和安全要求分為多個子網(wǎng)，同時采用防火墻實現(xiàn)內(nèi)、外網(wǎng)的有效隔離。例如，可將電力企業(yè)的數(shù)據(jù)庫、電子郵件等劃分為一個VLAN1，將電力企業(yè)外網(wǎng)劃分為另外一個VLAN2，同時，控制兩者之間的單向信息流向，前者可以訪問后者，而后者不能訪問前者。為了確保管理安全，可將電力企業(yè)統(tǒng)一部門的節(jié)點劃分在同一個虛擬網(wǎng)絡內(nèi)，對于不同的管理人員賦予不同的管理權限，通過采用三層交換機支持統(tǒng)一網(wǎng)絡的配置訪問權限，通過這種模式不僅能夠有效隔離廣播風暴，也能夠完成路由尋徑，降低時延。具體來說，可采取幾種措施：第一，控制MAC地址端口；第二，在網(wǎng)絡層采用IP分組進行過濾；第三，對電力系統(tǒng)全部用戶機器的MAC地址進行注冊，確保只有授權用戶才能進入。

3.2信息加密傳輸

電力企業(yè)信息在傳輸過程中很容易受到黑客的攻擊，計算機網(wǎng)絡的路由器、交換機等都極易成為黑客的攻擊對象，基于此，為了有效防止數(shù)據(jù)信息在傳輸過程中不被竊聽、修改及泄露等，可以對傳輸?shù)臄?shù)據(jù)進行加密，使其能夠以密文的方式傳輸和存儲。對于電力系統(tǒng)不同數(shù)據(jù)信息的安全組網(wǎng)要求，可將數(shù)據(jù)傳輸通過不同的網(wǎng)絡層次實現(xiàn)。若數(shù)據(jù)信息在物理層傳輸，就可以采用鏈路加密，即在每個通信鏈路端口都安裝相應的加密設備。如在網(wǎng)絡及傳輸層，報文在進入分組交換機時，必須對相關信息進行解密，以便能夠正確確定鏈路的路由，在這個解密過程中數(shù)據(jù)也很容易受到攻擊，基于此可以在網(wǎng)絡及傳輸層實施端到端加密，以確保信息解密過程中的安全。

3.3數(shù)字簽名和身份認證

電力系統(tǒng)在網(wǎng)絡運行環(huán)境下，系統(tǒng)與系統(tǒng)、系統(tǒng)與用戶、用戶之間等持續(xù)不斷地頻繁進行信息的傳輸過程中，極易存在幾種安全隱患：第一，有假冒源點身份將報文插入到網(wǎng)路中；第二，發(fā)假確認或者不接受；第三，篡改報文內(nèi)容和序號等。出現(xiàn)這種情況，最有效的解決方法就是對數(shù)據(jù)修改人員進行身份認證，可通過使用數(shù)字簽名、證書技術確保用戶的真實性和有效性，實現(xiàn)對分發(fā)者身份的認可，接收方面也可以通過數(shù)字簽名等方式辨別數(shù)據(jù)是否來源于指定用戶和數(shù)據(jù)信息的完整性。除此之外，數(shù)字簽名也能夠有效防止本文傳輸?shù)姆穸▎栴}。

3.4電力企業(yè)外部網(wǎng)安全訪問控制

電力企業(yè)通過互聯(lián)網(wǎng)實現(xiàn)和外部的有效連接和訪問，為了確保在此過程中信息訪問和傳輸?shù)陌踩?，通常都采用防火墻技術。在電力企業(yè)內(nèi)部和外部網(wǎng)絡之間，通過設置防火墻來實現(xiàn)雙方的隔離和訪問控制；電力企業(yè)內(nèi)部不同網(wǎng)絡安全域的訪問控制也要使用防火墻，以便能有效隔離不同網(wǎng)絡之間的訪問控制，避免一個網(wǎng)絡的問題通過局域網(wǎng)絡影響到另外一個網(wǎng)段。通過這種設置，能夠實現(xiàn)對網(wǎng)絡活動、事件和狀態(tài)的實時檢測、審計，并對各種惡意訪問控制、誤操作等進行實時分析和控制；根據(jù)防火墻的監(jiān)控和漏洞探測，得到相關的分析報告，根據(jù)報告內(nèi)容為電力系統(tǒng)用戶提供快速檢測非法入侵行為并提供反擊手段。因此正確設置防火墻，不僅能有效實現(xiàn)內(nèi)外網(wǎng)之間的安全防護，也能為內(nèi)部不同網(wǎng)段之間提供安全防護，能夠針對用戶的需求有效降低電力系統(tǒng)的網(wǎng)絡安全風險。

3.5日志管理和備份數(shù)據(jù)

對電力系統(tǒng)而言，除了上述幾方面的安全防護外，日志管理和備份數(shù)據(jù)子系統(tǒng)是確保信息數(shù)據(jù)安全的關鍵，若缺少這2個系統(tǒng)，就難以投入實際運行，因此電力系統(tǒng)計算機網(wǎng)絡一旦出現(xiàn)故障，必須首先分析產(chǎn)生的原因，并能夠在最短時間內(nèi)恢復系統(tǒng)的正常運行，也就是網(wǎng)絡系統(tǒng)設計的關鍵環(huán)節(jié)，日志管理主要是對進入到電力系統(tǒng)進行的操作進行記錄，如數(shù)據(jù)庫操作、FTP文件服務器等。操作事件主要包括：點擊菜單項，點擊窗口的控件、按鈕、下拉框等；日志表記錄主要包括：用戶名、登錄時間、地點、退出時間、操作內(nèi)容等，以便日后審計、核對時使用。電力企業(yè)數(shù)據(jù)是企業(yè)的生命，一旦數(shù)據(jù)丟失，給企業(yè)造成的損失不可估量，為防止數(shù)據(jù)丟失或損壞，必須及時對數(shù)據(jù)庫進行歸檔和備份。歸檔是指永久性或者限制保存實踐，保存數(shù)據(jù)庫不需要的數(shù)據(jù)。數(shù)據(jù)備份是電力系統(tǒng)最基本的日常工作，在建立計算機網(wǎng)絡系統(tǒng)時，就必須首先設置好備份的時間、備份的數(shù)據(jù)選擇等，確保數(shù)據(jù)信息的安全。

4結語

電力企業(yè)的計算機網(wǎng)絡安全屬于一項復雜的系統(tǒng)工程，涉及先進的安全技術、完善的制度管理等眾多方面，為了確保計算機網(wǎng)絡系統(tǒng)的安全運行，必須建立多層次、全方位的安全防范體系。本文通過仔細分析電力企業(yè)對計算機網(wǎng)絡的安全需求，從電力企業(yè)的安全、高效和便捷等方面仔細研究，將數(shù)據(jù)加密、防火墻、病毒檢測等綜合利用，互相配合，確保計算機網(wǎng)絡的安全。