侯永全 馬立方
摘要:本文針對供電企業(yè)網(wǎng)絡(luò)安全存在的問題,分析了威脅網(wǎng)絡(luò)安全的因素,從技術(shù)、管理、培訓(xùn)等方面度提出了構(gòu)筑網(wǎng)絡(luò)安全管理防護(hù)體系的方法和重要性。
關(guān)鍵詞:網(wǎng)絡(luò);信息;安全管理;防護(hù)體系
0 引言
隨著電力信息網(wǎng)工程建設(shè),網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大,網(wǎng)絡(luò)安全必須作為一個重大戰(zhàn)略問題來解決。電力系統(tǒng)的信息網(wǎng)絡(luò)分為兩大部分:實(shí)時監(jiān)控信息系統(tǒng)和管理信息系統(tǒng)。監(jiān)控系統(tǒng)對電廠、變電站進(jìn)行數(shù)據(jù)采集,并對采集的數(shù)據(jù)進(jìn)行分析處理,將結(jié)果存放到實(shí)時數(shù)據(jù)服務(wù)器,實(shí)現(xiàn)遙測、遙信、遙調(diào)、遙控功能,是電網(wǎng)安全優(yōu)質(zhì)經(jīng)濟(jì)運(yùn)行必不可少的技術(shù)手段。管理信息系統(tǒng)是實(shí)現(xiàn)企業(yè)自動化管理,分別實(shí)現(xiàn)生產(chǎn)和營銷管理、財務(wù)和勞動人事管理、物資和行政管理等功能。供電企業(yè)信息網(wǎng)絡(luò)一般將實(shí)時監(jiān)控系統(tǒng)和管理信息系統(tǒng)分做同一網(wǎng)絡(luò)中的兩個子網(wǎng)來運(yùn)行和管理。隨著公司信息化建設(shè)的不斷發(fā)展,各部門對網(wǎng)絡(luò)的依賴程度越來越高,網(wǎng)絡(luò)的安全問題成為信息化建設(shè)的首要問題。網(wǎng)絡(luò)安全狀況直接影響著網(wǎng)絡(luò)系統(tǒng)的工作效率,因此重視網(wǎng)絡(luò)安全建設(shè)、加強(qiáng)網(wǎng)絡(luò)安全管理是當(dāng)務(wù)之急。
1 網(wǎng)絡(luò)的安全問題主要表現(xiàn)在以下方面
1.1 不良信息的傳播
在企業(yè)內(nèi)部網(wǎng)接入Internet后,如果安全措施不好,會有部分員工進(jìn)入不良網(wǎng)站,把一些不良信息在網(wǎng)絡(luò)內(nèi)傳播。
1.2 病毒的危害
通過網(wǎng)絡(luò)傳播的病毒無論是在傳播速度、破壞性和傳播范圍等方面都是單機(jī)病毒所不能比擬的。
1.3 非法訪問
電力MIS涉及到的機(jī)密相對較多,來自外部的非法訪問的可能性會很多。所以如何拒絕非法訪問很重要。
1.4 惡意破壞
這包括對網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)系統(tǒng)兩個方面的破壞。
1.5 口令入侵
用不正常的手段竊取別人的口令,會造成管理的混亂。
1.6 盜用IP地址
用戶擅自更改IP地址,造成網(wǎng)絡(luò)IP沖突,影響別人正常使用網(wǎng)絡(luò)。
2 威脅安全的因素
2.1 物理因素
從物理上講,網(wǎng)絡(luò)的安全是脆弱的。任何個人或部門都不可能時刻對這些設(shè)備進(jìn)行全面的監(jiān)控。
2.2 技術(shù)因素
隨著軟件系統(tǒng)規(guī)模的不斷增大,系統(tǒng)中的安全漏洞或“后門”也不可避免地存在。在網(wǎng)絡(luò)系統(tǒng)上沒有采取正確的安全策略和安全機(jī)制,缺乏先進(jìn)的網(wǎng)絡(luò)安全管理技術(shù)、工具、手段和產(chǎn)品,缺乏先進(jìn)的系統(tǒng)恢復(fù)、備份技術(shù)和工具等原因,是威脅網(wǎng)絡(luò)安全的重要因素。
2.3 管理因素
網(wǎng)絡(luò)系統(tǒng)的嚴(yán)格管理是企業(yè)、機(jī)構(gòu)及用戶免受攻擊的重要措施。對網(wǎng)絡(luò)的管理思想麻痹,對網(wǎng)絡(luò)安全保護(hù)不夠重視,舍不得投入必要的人力、財力、物力來加強(qiáng)網(wǎng)絡(luò)的安全管理。
2.4 使用者因素
管理人員可以通過對用戶的權(quán)限分配,限定用戶的某些行為,以避免故意的或非故意的某些破壞。然而,更多的安全措施必須由使用者自己來完成,比如:
(1)密碼控制
在網(wǎng)絡(luò)內(nèi)一般由用戶來管理自己的登錄密碼。用戶必須對自己密碼的安全性負(fù)責(zé)。
(2)文件管理
用戶對自己的文件安全性必須負(fù)責(zé)。
(3)運(yùn)行安全的程序
一個用戶只要有寫文件、運(yùn)行文件的權(quán)利,就有可能無意中給系統(tǒng)裝上木馬程序。
(4)增強(qiáng)防范意識
電子郵件的安全只能由用戶自己控制,在瀏覽網(wǎng)頁時,可能遇上陷阱,這些都要求用戶保持警惕。
2.5 宣傳教育因素
目前關(guān)于網(wǎng)絡(luò)安全的法律法規(guī)都已出臺,公司信息中心也制定了網(wǎng)絡(luò)安全管理制度,但宣傳教育的力度還不夠。網(wǎng)上活躍的大量黑客交流信息,也為一些別有用心人的對網(wǎng)絡(luò)破壞活動奠定了技術(shù)基礎(chǔ)。
3 安全管理防護(hù)體系
電力企業(yè)信息網(wǎng)的安全防護(hù)是一個系統(tǒng)工程。網(wǎng)絡(luò)的安全問題涉及身份認(rèn)證、訪問控制、數(shù)據(jù)保密性、數(shù)據(jù)完整性、抗欺詐、審計、可用性和可靠性等多種基本的安全服務(wù),涉及ISO/OSI所有的七個協(xié)議層次(物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會話層、表示層和應(yīng)用層),覆蓋了企業(yè)信息網(wǎng)絡(luò)中物理環(huán)境、網(wǎng)絡(luò)平臺、主機(jī)平臺和應(yīng)用平臺等幾個系統(tǒng)單元。因此,網(wǎng)絡(luò)安全是一個立體的、多方位、多層次的系統(tǒng)問題,在規(guī)劃、設(shè)計、實(shí)施電力企業(yè)信息網(wǎng)絡(luò)的安全系統(tǒng)時也必須用系統(tǒng)工程的方法論來考慮。為保證網(wǎng)絡(luò)的安全,我們可以采用以下一些防護(hù)體系。
3.1 設(shè)備安全
將一些重要的設(shè)備,如各種服務(wù)器、核心換機(jī)、路由器等盡量實(shí)行集中管理。各種通信線路盡量實(shí)行深埋、穿線或架空,并有明顯標(biāo)記,防止無意損壞。對于終端設(shè)備,如工作站、集線器和其他轉(zhuǎn)接設(shè)備要落實(shí)到人,進(jìn)行嚴(yán)格管理。
3.2 技術(shù)保證
目前,網(wǎng)絡(luò)安全的技術(shù)主要包括殺毒軟件、防火墻技術(shù)、加密技術(shù)、身份驗(yàn)證、存取控制、數(shù)據(jù)的完整性控制和安全協(xié)議等內(nèi)容。針對供電企業(yè)網(wǎng)絡(luò)系統(tǒng)來說,最主要應(yīng)該采取以下一些技術(shù)措:
(1)運(yùn)用內(nèi)容過濾器和防火墻
過濾器技術(shù)可以屏蔽不良的網(wǎng)站,對網(wǎng)上色情、暴力和賭博等內(nèi)容有強(qiáng)大的堵截功能。 防火墻技術(shù)可以有效地將內(nèi)部網(wǎng)與外部網(wǎng)隔離開來,保護(hù)網(wǎng)絡(luò)不受未經(jīng)授權(quán)的第三方侵入。
(2)加密技術(shù)
網(wǎng)絡(luò)安全的另一個非常重要的手段就是加密技術(shù),它的思想核心就是既然網(wǎng)絡(luò)本身并不安全可靠,那么所有重要信息就全部通過加密處理。
(3)身份驗(yàn)證
身份驗(yàn)證技術(shù)是在計算機(jī)中最早應(yīng)用的安全技術(shù),現(xiàn)在也仍在廣泛應(yīng)用,它是互聯(lián)網(wǎng)上信息安全的第一道屏障。
(4)存取控制
存取控制也是最早采用的安全技術(shù)之一,它一般與身份驗(yàn)證技術(shù)一起使用,賦予不同身份的用戶以不同的操作權(quán)限,以實(shí)現(xiàn)不同安全級別的信息分級管理。
(5)運(yùn)用VLAN技術(shù)
根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互間的訪問控制,可以達(dá)到限制用戶非法訪問的目的。
(6)防病毒軟件
防毒軟件是專門為防止已知和未知的病毒感染你的信息系統(tǒng)而設(shè)計的。選擇合適的網(wǎng)絡(luò)防病毒軟件可以有效地防止病毒在網(wǎng)上傳播。目前我局采用的諾頓防病毒企業(yè)版8.0,該軟件能跨越Windows 9.x/7/VISTA/8/XP及NetWare等主要系統(tǒng)平臺,為文件服務(wù)器和Exchange Server郵件服務(wù)器提供實(shí)時的病毒防護(hù),并支持從服務(wù)器到客戶端的自動、集中、可擴(kuò)展的管理,從而有效抵御潛在病毒的威脅。
(7)數(shù)據(jù)備份及恢復(fù)
計算機(jī)網(wǎng)絡(luò)安全防護(hù)是一個動態(tài)的過程,計算機(jī)病毒層出不窮,防不勝防。在構(gòu)筑計算機(jī)網(wǎng)絡(luò)信息安全防護(hù)體系上,數(shù)據(jù)備份是必不可少的環(huán)節(jié)。數(shù)據(jù)備份分為三個層次:硬件級、軟件級和人工級
硬件級的備份 :磁盤鏡像、磁盤陣列、雙機(jī)容錯,如主硬件損壞,后備硬件馬上能接替工作。
軟件級的備份:將系統(tǒng)數(shù)據(jù)保存到其他介質(zhì)上,當(dāng)出現(xiàn)錯誤時可以將系統(tǒng)恢復(fù)到備份時的狀態(tài)。
人工備份:將磁盤所有數(shù)據(jù)用硬盤、光盤備份下來。
理想的備份系統(tǒng)是全方位、多層次的。首先,要使用硬件備份來防止硬件故障;如果由于軟件故障或人為誤操作造成了數(shù)據(jù)的邏輯損壞,則使用軟件方式和手工方式結(jié)合的方法恢復(fù)系統(tǒng)。
3.3 網(wǎng)絡(luò)管理
網(wǎng)絡(luò)管理除了建立一套嚴(yán)格的安全管理規(guī)章制度外,還必須培養(yǎng)一支具有安全管理意識的網(wǎng)絡(luò)管理隊伍。網(wǎng)絡(luò)管理人員通過對所有用戶設(shè)置資源使用權(quán)限與口令,對用戶名和口令進(jìn)行加密存儲、傳輸,提供完整的用戶使用記錄和分析等方式來有效地保證系統(tǒng)的安全。
3.4 用戶教育
除了對用戶進(jìn)行有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和規(guī)章制度進(jìn)行宣傳教育外,還必須讓用戶知道如何使用密碼、管理文件、收發(fā)郵件和正確地運(yùn)行應(yīng)用程序。
4 結(jié)語
供電企業(yè)是國家的重點(diǎn)單位,關(guān)系到國計民生,因此有很強(qiáng)的信息保密與安全需求,一旦關(guān)鍵資料泄漏,后果將不堪設(shè)想,另一方面,公司又必須同上下級單位進(jìn)行有效的聯(lián)系,以保證能及時地開展工作。在信息保密方面,由于公司內(nèi)部機(jī)構(gòu)多,另外,供電公司的合作單位也非常多,公司與合作單位之間也會有不同程度的網(wǎng)絡(luò)訪問,這就要求必須建立起一個權(quán)限非常完善的安全網(wǎng)絡(luò),每一層網(wǎng)絡(luò)都要保證不同權(quán)限的正常訪問。在網(wǎng)絡(luò)安全方面, 由于不可避免地要與外網(wǎng)相聯(lián),就必須時刻防備來自外部的黑客、病毒的安全威脅。所以要想保證這么高的網(wǎng)絡(luò)安全,就必須有一套完整的網(wǎng)絡(luò)安全產(chǎn)品來支撐從內(nèi)網(wǎng)到外網(wǎng),從病毒到黑客的整體安全防護(hù)需求。同時也要求我們要不斷努力探索和實(shí)踐,加強(qiáng)網(wǎng)絡(luò)安全管理,為企業(yè)的穩(wěn)定發(fā)展貢獻(xiàn)力量。