县级供电企业信息网络安全的探讨
- 格式:pdf
- 大小:295.04 KB
- 文档页数:4
第32卷第4期
2011年8月 华j£水利水电学院学报 Journal of Nomh China Institute of Water Conservancy and Hydroelectric Power Vo1.32 N。.4 Aug,2011
文章编号:1002—5634《2011)04—0097—04
县级供电企业信息网络安全的探讨
赵江华 ,杨双吉 ,贾海锋
(1。三门峡渑池县电韭局,河南渑池472400;2。三门峡供电公司,河南三门峡472000)
摘要:随着计算机产业的迅猛发展,信息化逐渐在各行各业得到普及,信息网络的安全问题非常重要 电力
行业作为国民经济发展的支撑行业,其信息安全问题也日益重要.从电力行业的基层单位——县级供电企业
目前的信息网络安全现状方面论述了解决电力系统信息网络安全问题的措施 以便构建一个安全可靠的电
力信息网络。
关键词:信息化;信息网络;电力;安全
信息纯是社会发展的结果,信息化的发展必然
带动管理升级和生产经营效能的提高¨ .供电企业
属于技术密集型产业,根据国电电网公司发展规划,
信息化为其发展进程中的有机组成部分,信息安全
直接危及电网安全,影响电力企业发展和核心竞争
力的形成.
据国家互联网应急中心资料显示,2010年5月
2 B至9日,中国124家政府网站被篡改,5月10日
至16日,中国境内有g1个企事业网站被篡改 县级
供电企业是县域国民经济的基础,电力信息网络不仅
要为电网升级为智能电网提供物质基础和必要手段, 还要为商业化运营和现代化管理提供服务。在当前复
杂的网络环境下,如何打造一个安全的信息网络,提
供高效、优质的供电服务,是电力发展的重大课题。
l 县级供电企业网络现状
县级供电企业均不同程度地建成了县调自动化
系统,变电站实现“四遥”和无人值守,信息网络通
过市公司借助广域网通道接人电力信息广域网,实
现班组、县局、市局和省公司的网络互联.此管理系
统涵盖了全局的主要管理业务.目前太多县级电业
局网络结构如图1所示。
图1县级电业局网络结构
收稿蓦期:201I一05—06 作者简介:赵江华(1978一),男,河南渑池人,工程师,主要从事电力调度、光缆通信、信息网络工程项目建设和管理方面的
研究,
98 华北水利水电学院学报 2011年8月
2县级供电企业安全防护存在的问题 3关于电力信息网络安全防护的建议
1)不同网络之间未进行严格的区域划分.县调
自动化系统与地调系统间通过载波单向转发数据,
部分县局没有实现网络化数据传输,主站与厂站之
间没有实现光纤载波双通道.县调自动化系统与信
息内网之间没有实现物理隔离和单向数据安全访
问.单向的数据传输无法实现真正意义的数据共享,
与非实时系统之间缺少IEC61970数据接口建设.没
有采用MPLS VPN技术组建调度数据网,上下级调
度间没有部署纵向IP认证加密装置,不满足国调二
次安防对调度数据网的要求.I区与Ⅱ、Ⅲ区之间没
有严格分开,没有按照国调的要求部署隔离装置,包
括正相装置和反向装置.I区和Ⅱ区之间没有防火
墙进行隔离.
2)网管水平亟待提高.县级供电企业没有采用
统一的防病毒软件,无法和市公司及省公司形成统
一的防护网络;一部分采用单机版的防病毒软件,防
护能力不足.企业内部没有部署安全防护产品,如防
火墙、IPS及漏洞扫描设备.即使部署安全产品,由
于工作人员技术水平低及没有严格的安全策略保
障,安全防护产品形同虚设,安全防护体系脆弱.同
时,缺乏完善统一的数据备份恢复机制,没有灾备机
制;缺少桌面终端管理软件,无法对客户端的有效监
管;对信息外网没有相应的监管软件,用户出现IP
盗用、冲突及滥用网络资源等,无法进行有效管理,
没有网络日志记录功能;信息网络安全没有进行定
期评测、风险评估和有效防范,应急预案没有演练,
缺乏权威机构的专业评测,使信息网络安全的风险
和因素得不到技术发现和有效防范 .
3)设备及系统软件的漏洞导致的不良后果.信
息网络在操作系统、数据库以及通信协议等方面存
在安全漏洞和隐蔽信道等不安全因素;存储介质损
坏造成大量信息丢失、泄密,计算机设备工作时产生
的辐射电磁波造成的信息泄密;网络使用单位未及
时修补或防范软件漏洞或采用弱口令设置,缺少访
问控制,是导致安全事件发生的主要原因.
4)环境因素.电磁泄漏、数据易复制性、易操控
性、雷击、供电电源等环境安全构成的威胁.
5)法规制度贯彻不力.县级供电企业的信息安
全规章制度有待进一步完善.目前,尚未建立以自评
估为主、联合评估为辅的信息系统安全评估制度,全
省县级供电企业信息安全的联合防护机制尚未形
成.同时,对信息系统安全防护管理制度的执行也存
在标准不高、执行不严等问题, 3.1 加强对安全防护工作的重视
信息网络系统安全防护遵循“木桶原则” ,网
络系统的安全性是由防护最薄弱的环节决定,一旦
最薄弱的环节受到攻击破坏,整个信息网络系统就
会受到严重威胁.加强县级供电企业信息网络安全
方面的规章制度建设,保障信息网络安全;完善信息
网络安全行业监管,实行重大信息事件预警、信息安
全定期评测及风险评估、应急处置机制、责任追究制
度和保密制度;完善信息网络安全防护部署,强化安
全策略;提高人员的信息安全防护意识.
3.2实施安全防护方案
横向隔离装置和纵向加密认证装置是网络信息
系统安全防护工程的核心要求,电力系统专用防火
墙、入侵检测、系统备份、网络防病毒系统、漏洞扫
描、信息运行和维护、桌面安全管理、上网行为管理、
安全评估系统等均是必要的安全防护技术手段 .
县级供电企业应按照清理流程、调整结构、部署安全
产品等,突出重点、注重实效,本着必要的原则,合理
部署防火墙等安全产品,按计划、协调地实施安全防
护工作,并做到安全防护工作流程的规范、应用的重
构、信息的流向与网络结构、系统的总体设计相协
调;安全防护技术装备、手段与安全管理的投入相
协调.
3.3培训技术人员
信息系统能否正常稳定运行,大部分靠信息技
术人员的日常维护,而目前县级供电企业信息技术
人员技术水平参差不齐,不能满足信息网络安全的
需要.县级供电企业可以针对工作中的需求,有目的
地派相关人员参加培训.通过购买信息网络设备和
安全产品,由产品提供商举办培训班,以便更好地应
用设备.
3.4加快电力信息专网接入
根据网络信息系统安全防护“安全分区、网络
专用、横向隔离、纵向防护”的总体策略,网络专用
是一项基本要求.租用电信运营商的网络可以解决
一时之急,但是不能构建坚强的、安全的信息网络.
提升网络安全,必须建设电力信息专网.
3.5加强网络日常安全管理
安全防护工作是“三分技术、七分管理”,要做
到管理和技术相结合.要进一步加强安全管理制度
体系的建设,按照《全国电力网络信息系统安全防
护总体方案》的要求,制订完善的安全管理制度,包
括建立完善的安全管理组织机构、安全评估管理、
设 第32卷第4期 赵江华,等: 县级供电企业信息网络安全的探讨
备应用及服务的接入管理、日常运行的安全管理、应
急处理和联合防护等。要严格执行安全防护各项制
度,认真执行安全防护事件通报制度,确保生产控制
系统的安全运行+
3.6遵循动态原则
电力网络信息系统安全防护涉及面广且技术复
杂,重在边界防护,是一个系统性的、长期的、动态的
过程,要动态维护和发展+各单位要根据网络信息系
统的发展和安全形势的变化,不断发现安全漏洞,补
充安全产品,完善防护策略,健全管理制度,保证网 络信息系统的安全稳定运行.
4安全网络系统建设
按照《全国电力网络信息系统安全防护总体方
案》的要求,根据单位的具体情况,制定一套合理的
网络安全实施方案,防火墙、入侵检测、系统备份、网
络防病毒系统、漏洞扫描、桌面安全管理、上网行为
管理、安全评估系统等均是必要的安全防护技术手
段 .整改后的安全网络如图2所示。
窍络敷杀毒软件内弼管理服务器 和运维管理服务嚣
图2改造后的县级电业局拓扑霉
具体实旌步骤如下:
1)网络中心交换机。根据县级供电企业经济发
展情况,选择性价比较高的产品,根据部门划分
VLAN,做好各个VLAN之闯的安全策略。信息内外
网物理隔离,各自拥有独立核心交换.
2)网络边缘交换机.选择采用简体中文的设备
面板和图形化界面,以特优的性价比,为入门级配线
间和小型分支机构提供桌面快速以太网和千兆上行
网络连接.对接入交换机进行IP、MAC、端日的绑
定,不支持3层的交换机,可以换到网络末端使用。
3)网络防火墙.选择好的针对中小型企业和企
业远程办公机构设计的防火墙,以提供领先的状态防
火墙和IP安全(IPSec)虚拟专用网服务,具有更强的
处理能力和集成化的基于硬件的IPSec加速功能.
4)网络管理软件.选择能够在复杂的异构环境
中统一管理、维护并使信息系统有效运行的软件.该
软件具有建立与管理体系相适应的管理辅助工具,
包括网络管理、系统管理、值班管理、维护管理、运行
统计、流量分析统计与考核管理等,从而最大限度地 屏蔽信息技术的复杂性,实现自动管理,降低对人的
依赖.总结出对系统管理、业务管理、服务管理有用
的信息,为管理者提供全面、直接的管理信息,为制
订相关决策提供基础。
5)桌面终端管理软件。桌面终端管理软件能够
解决大批量的计算机安全管理问题,如通过批量设
置计算机的安全保护措施提高桌面计算机的安全
性,及时更新桌面计算机的安全补丁,减少被攻击的
可能实现动态安全评估;评估计算机的网络流量是
否异常,评估计算机是否做了非法操作;进行批量的
软件安装、批量的安全设置等防止外来电脑非法接
入,避免网络安全遭受破坏或者信息泄密;禁止拨号
上网,禁止使用外部邮箱,禁止访问非法网站,禁止
将单位机密文件复制、发送到外部等;出现安全问题
后,可以对有问题的IP/MAC/主机名等进行快速的
定位实现计算机的资产管理和控制。
6)网络防病毒软件.选择具有增强型防病毒和
反问谍软件技术、新型主动威胁防护功能,具有新型
网络威胁防护功能的软件.