電力企業信息系統安全防護措施探討

　　 摘要：從目前已有的電力網絡信息系統出發，探討電力企業信息管理系統的安全防護措施，使企業的信息系統能夠安全運行，數據的安全得到保障。希望可以為電力企業信息化系統管理的安全提供有效的幫助。
　　關鍵詞：電力信息系統；安全防護；電力信息網絡
　　中圖分類號：TP3文獻標識碼：A 文章編號：1672-3791 （2010)6(b)-0000-00
　　伴隨著電力企業的改革，被用于生產、決策、管理的決策支持系統和三層管理方式的應用已是大勢所趨。因此，首先必須解決企業的信息問題。電力系統中的輸電、變電、配電、用電等子系統中包含著大量信息。投入日漸加大是電力信息系統使企業效率提高，成本降低，業務和形象提升，為企業帶來很多好處，但同時也帶來了黑客、病毒等網絡的負面因素。因此，必須對電力企業的信息系統采用相應的安全防護體系，以保證企業信息的安全。
　　1. 根據企業實際建立相應的信息網絡防護體系
　　隨著現代網絡結構的改變，操作及應用系統的升級和變化，傳統上僅對信息系統采用的一些安全措施已經無法適應以保證信息系統的安全，決策時需考慮到網絡中可能出現的各種安全問題。然后目前的網絡環境，于是，可適應當下網絡環境的網絡安全理論體系逐漸形成，其主要模型是P2DR2模型。它包括安全策略、防護、檢測、響應和恢復。防護、檢測、響應形成一個完整動態的安全循環。不同的網絡需要不同的安全策略做指導，，針對這些問題做出解答，提出相應的解決方案，針對自己的企業擬出相應的安全策略作為企業安全的指導。
　　為了對企業的信息資源進行有效的保護，方案一般遵守最小化原則，下面從幾個方面進行說明。
　　1. 1網絡安全因素
　　影響網絡安全的因素有很多種，這些是設計信息安全方案的基礎，設計過程中所必須考慮的。主要包括加密和認證、網絡反病毒、最小化原則、網絡安全漏洞掃描、物理安全、網絡入侵檢測、網絡隔離技術等。
　　1、2.設計安全方案
　　安全方案的設計對企業信息能否得到有效保護至關重要，一個好的安全方案能使企業的投入得到最大的安全回報。因此，應該從系統的角度，通過技術、策略、管理幾方面的設計，使信息安全防護措施結合起來，彼此相互補充，對企業信息進行多角度保護。
　　A、 安全分析
　　首先要對企業的網絡進行分析，找出需要保護的信息數據，然后對網絡結構和應用情況進行分析，找出可能存在安全隱患的地方，以便做出相應的安全策略。
　　B、 制定安全策略
　　安全策略的制定必須經過充分的考察和研究，它在整個安全方案中起著統領的作用。企業要實現安全首先要明確本網提供的服務類型和服務對象以及本網的業務定位。通過對整體網絡的透徹了解，制定出系統的安全目標、技術和工程規范，才能保證安全策略的連續性。大多數企業可通過網絡安全風險評估、網絡安全設計評估等服務來達到較好的安全水平。
　　C、 安全食品和安全服務
　　為了實現企業在制定系統的安全策略，必須通過服務和技術，對于安全的產品和服務的重要性是等同重要的，只有兩者被結合起來得很好，才能把安全策略的執行徹底地貫徹下來。企業的目的是選擇不同安全的產品和服務來實施安全
　　策略，這個目的是企業由系統安全策略為依據的，但是，產品的選擇必須以企業信息網絡構架和安全防護體系為依據，這樣才能避免有問題的產品對系統造成危害。
　　2.電力信息系統安全性設計
　　目前，使用Power Builder作為數據前端的開發工具，不僅給已有的數據庫資源帶來全新窗口界面而且適用不同的數據庫管理系統，它的接口驅動幾乎可以與所有的數據庫無縫連接，并高速地完成數據庫的驅動。設計人員根據需求選取配置，為Power Builder定義了一些功能性模版，將它的應用植入Web上，并進行了頁面的安全性設設計。
　　3.解決應用軟件系統安全
　　安全問題應該貫穿到傳統的軟件工程的每一步，安全的應用軟件系統的開發工作包括在軟件的設計階段要進行安全威脅建模和選擇應對威脅的方法以及由安全小組進行審查，在軟件的開發階段要定義安全的編碼準則和進行嚴
　　格的代碼審查"在軟件的測試階段要根據威脅模型制定測試計劃進行測試以及利用安全模板進行測試
　　3、1身份認證問題
　　開發安全的應用軟件需要統一的身份認證，當前電力企業公司一般是將用戶口令存在數據庫里，用戶登錄時將口令在網上以明文形式發送至服務器端進而達到身份的認證，這種方式很不安全。
　　公司應該建立自己的公開密鑰基礎設施，用數字證書的形式進行身份認證，客戶端證書保存在智能卡中，這樣能提高系統的安全性，減少軟件編程的復雜程度。
　　3、 2選擇適當的訪問控制
　　在創建應用軟件的時候，應該選擇合適的訪問控制模型，在電力企業的管理系統中，基于角色的訪問控制模型可以根據電力企業的業務需求在系統內設置若干個稱之為“角色”的客體。此“角色”與實際中的崗位’職位或者分工一一對應。這種模型在政府機構和商業領域都能很好地應用。
　　3、 3最小授權原則
　　在安全領域有一個觀點，總是用完成任務所需的最小特權集合來執行任務。比如在管理方面，網絡中的帳號設置、服務配置、主機間的信任關系配置等應為其正常運行所需要的最小集合。
　　在應用軟件設計上，最小授權原則同樣適用。當前，電力行業的管理系統，例如連接數據庫的操作，大多都是以管理員的身份連接的。其實用低權限的帳號完全能達到同樣的目的。若是以管理員身份連接數據庫，一旦應用軟件有安全缺陷，造成的危害會很大，若是貫徹了最小授權原則，那可能不會造成多大的危害。
　　4、 信息系統安全建設
　　4、 1安全系統建設
　　安全整體系統規劃包括三個步驟：結構安全、流程安全、對象安全。結構安全主要針對網絡、應用、數據的邊界確定、邏輯劃分和物理規劃。結構安全的目的是在網絡、應用、數據之間建立起安全隔離。結構安全是信息系統安全的基礎，良好的安全隔離和防御體系不但能夠相當徹底地解決數據泄密、非授權訪問等信息安全核心問題，同時能夠有效地降低管理成本和建設成本。比如政務網絡的內外網物理隔離就是采用結構安全的策略解決信息安全問
　　題的。由于應用需求需要一定的數據交換而不能采用物理隔離方式的信息系統，例如銀行、企業和一些政府信息系統，采用良好的結構安全方案并輔以網絡隔離和防御技術，也有效利用建設投資、提高信息安全系統建設效果。
　　4、2安全管理建設
　　安全不僅僅是技術問題，更是一個管理的問題。安全管理建設與安全策略建設密不可分，管理是在策略的指導下進行的，而管理經驗和運行管理之間的互
　　動為策略的制定提供依據。安全系統建設包括網絡防火墻、入侵檢測、安全審計、網絡通訊加密、安全電子郵件、計算機防病毒、流量監控等在內的共九大類安全技術和產品，位置分布廣。其系統配置、規則設置、反應處理、設備管理、
　　運行管理的復雜性高速增長所帶來的管理成本和管理難度很大。
　　安全管理中心目的在于：解決用戶大量采用的安全產品以及安全技術所造成的局面，在將與整體安全有關的各項安全技術和產品整合成一個規范的、集中的安全平臺上的同時，使技術因素、策略因素以及人員的因素更加緊密地結合在一起，從而提高用戶在安全領域的各種分散投資的最終整體安全效
　　安全管理中心。
　　5、總論：
　　在企業電力信息系統安全防護過程中，我們應在技術和管理方面做大量探索和實踐。隨著電力信息化的推進，信息和網絡安全系統的保護已迫在眉睫。我們必須按照一定的原則和規范來考慮問題，制定完整的安全防護體系，這樣才能保證企業信息的安全，以便企業更好地發展。要進一步實現全方位防護，還有很多工作要做，如規范業務系統服務器的日常運維工作、建設安全審計系統、部署漏洞掃描系統、實現數據庫安全防護、實現補丁管理系統、業務系統編碼安全規范和實現數據加密等。當前，電力企業都是在業務系統建設完成之后才補充進行安全防護，這種做法嚴重制約了企業信息安全防護建設的開展，存在很大的安全隱患。在企業信息安全建設中，應堅持信息安全與信息化建設同步規劃、同步建設、同步投入運行的原則，才能不斷提高信息安全的綜合防護能力，確保企業網絡與信息系統的安全運行。
　　參考文獻：
　　[1] 李冰.電力企業信息管理系統的安全性解決方案[J].2006.12.
　　[2] 耿新民.胡春光；電力企業信息系統安全的隱患與對策[J].2005.10.
　　[3] 寇建濤.電力信息系統安全分析與思考[J]. 2009.
　　[4] 黃立文.淺談網絡與重要信息系統安全管理[J]2008.12
　　[5] 趙志宇.談電力信息系統安全保障體系建設原則與思路[J].2009.6.
　　[6] 林小村.數據中心建設與運行管理[M].北京：科學出版社，2010：393- 452 .
　　[7] GBT22239—2