電力企業網絡信息安全的防護措施

黨 林

西安供電局，陜西西安 710032

信息化是社會生產力與生產方式發展的一個必然趨勢，是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業管理水平與生產效能的提高，信息資源作為一種重要的資源，其重要性逐漸被人們所認識。電力企業屬于技術密集型產業，對于生產自動化與集約化都有著較高的要求，因此也是較早的進行信息化建設的一批企業，并且也取得了一些顯著的成效，但是也正是因為起步較早，缺乏經驗，因此在信息化網絡的建設中總是存在著很多問題，而這些問題已經逐漸成為了電力企業網絡信息安全的隱患，因此，加強網絡信息安全已經成為了電力企業發展的重要組成部分。

1 電力企業網絡信息安全現狀分析

各級電力企業因為生產經營與管理的需要，都在不同程度上建成了自己的自動化系統，變電站基本也實現了“四遙”和無人值守。并且也建立起了企業自己的管理系統來對生產、營銷、財務、行政辦公等工作進行覆蓋，并已經進行了實用化具有較高安全等級的調度自動化系統已經通過WEB網關與MIS之間進行相互的信息訪問，部分地方已經安裝了正向隔離器，進而實現了物理隔離與數據的安全訪問。

各個電力企業已經制定了安全策略，并實施了一部分，同時實現了互聯網的安全接入。

將營銷支持網絡與呼叫接入系統和MIS網絡進行了整合，并且已經與用戶、銀行等企業實現了信息的安全共享，對自身的服務手段進行了優化。

邊遠地區的班站基本都通過VPN技術來實現了遠程班組聯網的要求，并能夠實現大范圍的信息共享，而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構建起基于互聯網的各種遠程服務。

2 電力企業網絡信息安全方面存在的問題

2.1 不同的網絡之間沒有嚴格的進行等級劃分

根據《全國電力二次系統安全防護總體方案》，電力企業對于不同安全等級的網絡必須要進行安全等級的劃分。在縱向上，電力企業需要實現實時監控系統之間的互聯。各個自動化系統與低調系統之間都是通過載波進行單向數據轉發，而部分基層電力企業都沒有實現網絡化的數據傳輸，同時在主站與廠站之間也沒有實現光纖載波雙通道。在橫向上，要求能夠實現實時監控系統與非實時監控系統之間的相互連接。根據當前的互聯網現狀與通信現狀，主要還存在著這些問題：1）單向數據的傳輸難以實現真正意義上的數據共享，同時在與非實時系統之間的接口上也沒有進行標準數據接口的建設；2）部分電力企業沒有利用MPLS VPN技術組建數據調度網，沒有滿足相關的安全要求；3）上下級的調度之間沒有部署必須的認證加密裝置。

2.2 隨著技術的發展與電力企業的業務發展，現有的網絡安全防護能力難以滿足要求

隨著信息技術的發展與電力企業自身業務的發展要求，網絡安全越來越受到重視，但是現有的網絡安全防護能力明顯不足，缺乏有效的管控手段，同時管理水平也急需要提高。如今的電力企業還缺少一套完善的服務器病毒防護系統，有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件，有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件，相對而言，防護能力還有所不足。當受到攻擊時，容易出現系統癱瘓。同時還沒有能夠建立起一套完善的數據備份恢復機制，如果數據受到破壞，那么所受到的損失將難以估量。沒有一套完善的網管軟件，難以對一些內部用戶的過激行為進行有效的監管，例如IP盜用、沖突，濫用網絡資源（BT下載等），等等。還沒有能夠建立起一套完善的評測和風險評估制度，對于當前電力企業的網絡安全現狀難以進行有效的評估。同時，我國也缺乏專業的評測機構，這就使得電力企業網絡安全風險與隱患都難以被及時發現和進行有效的防范，使得電力企業的防范能力難以得到持續增強。

2.3 電力企業服務器存在的安全隱患

在電力系統中有著十分眾多的服務器。隨著網絡攻擊手段與攻擊技術的不斷更新，服務器攻擊愈演愈烈，因此擁有眾多服務器的電力系統成為了攻擊的首選對象。在電力企業中的服務器主要包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器等多種服務器，眾多的服務器也使得其存在著嚴重的安全隱患：1）電力企業的網絡中，每一個服務器都擁有自己獨立的認證系統，但是這些服務器卻缺乏統一的權限管理策略，管理員難以進行統一的有效管理；2）Web服務器和流媒體服務器長期遭受到來自于互聯網的DDoS以及各種病毒的侵襲；3）讓郵件服務器中受到大量的垃圾郵件的干擾，并且也難以進行有效的信息監管，經常會發生企業員工通過電子郵件來傳遞企業的機密信息的安全事件；4）權限劃分不明確，容易受到來自外部黑客的攻擊，例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據；5）與總公司服務器通信過程中有些機密信息由于沒有采取加密措施，很容易被竊聽而泄密。

2.4 各種惡意網頁所帶來的網絡安全威脅

電力企業擁有自己的主題網站，并通過互聯網與外網相連。每一個電腦使用者都會通過對網頁的點擊來尋找對自己有用的信息，電力企業內網與外網相連，因此，電力企業中的員工也會通過與外網的鏈接，從互聯網中搜索對自己有用的信息，但是并不是所有的網頁都是安全的，有一些網站的開發者或者是黑客會為了能夠達到某種目的對網頁進行修改，進而達到某種目的，當電力企業的內部員工通過電力企業內部的網絡進行訪問時，就會受到來自這些惡意網頁的攻擊。

2.5 設備本身與系統軟件存在漏洞

由于電力企業的信息化建設較早，這就導致了很多設備與軟件都出現了各種安全漏洞，這些都導致了不良安全后果的程度增加。信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素；存儲介質損壞造成大量信息的丟失，殘留信息泄密，計算機設備工作時產生的輻射電磁波造成的信息泄密。信息網絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊，是導致安全事件發生的主要原因。

3 電力企業網絡信息安全防護措施

3.1 進行網絡安全風險評估

電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮，技術是安全的主體，但是卻不能成為安全的靈魂，而管理才是安全的靈魂。網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署，但是現在在市面上出現的安全技術、安全產品實在是讓人感覺眼花繚亂，難以進行選擇，這時就需要進行風險分析，可行性分析等，對電力企業當前所面臨的網絡風險進行分析，并分析解決問題或最大程度降低風險的可行性，對收益與付出進行比較，并分析有哪一些產品能夠讓電力企業用自己最小的代價滿足其對網絡安全的需要，同時還需要考慮到安全與效率的權衡等。對于電力企業來說，搞清楚信息系統現有以及潛在的風險，充分評估這些風險可能帶來的威脅和影響，將是電力企業實施安全建設必，須首先解決的問題，也是制定安全策略的基礎與依據。

3.2 構建防火墻

防火墻是一種能有效保護計算機網絡安全的技術性措施，有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網絡中的各種非法訪問以及構建起起一道安全的屏障，對于信息的輸入、輸出都能夠進行有效的控制。可以在網絡邊界上通過硬件防火墻的構建，對電力企業內網與外網之間的通信進行監控，并能夠有效的對內網和外網進行隔離，從而能夠阻檔外部網絡的侵人。對于電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發生，需要對各種數據進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業防火墻體系構建如下：

訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪，能有效的對網絡進行控制，對流入和流出路由器接口的數據包進行過濾，達到部分網絡防火墻的效果。

配置硬件防火墻。在電力企業中硬件防火墻的使用較多，但是能夠真正發揮作用的就不多了。在使用硬件防火墻前，需要將防火墻與企業的整個網絡配置好。首先需要對防火墻的工作模式進行選擇，例如WatchGuard這款防火墻具有兩種工作模式，一種是Drop-In Mode，另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區”或者是沒有內網的網絡環節中，因此，電力企業中就應該選擇Routed Mode這種模式。然后將其中的外接網口、內部接口、“非軍事區”等選項添好，當對網絡設置完成之后，就可以利用相應的GUI 程序與硬件防火墻進行連接，并對應將防火墻進行進一步的配置。在電力企業中有很多部門，每一個部門對網絡安全的具體需求都不相同。因此，在設置時需要考慮到部門的具體情況。

3.3 加強對計算機病毒的預防控制

計算機病毒的防治是網絡安全的主要組成部分，而對電力企業的網絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態病毒對企業的威脅，就必須從監控、強制、防止及恢復等四個階段對新型態病毒進行管理。

控制計算機病毒爆發次數，降低病毒對業務所產生的影響。我們知道，病毒從感染單臺客戶機·擴散·爆發，均需要一段空窗期。很多時候，管理人員都是在病毒爆發之后才能夠發現問題，但是這時已經太晚。因此需要能夠在病毒擴散期就發現問題根源，才能夠有效的降低病毒爆發的概率。

網絡層防毒將能夠有效的對病毒進行預防。在電力企業中，需要將網絡病毒的防范作為最重要的防范對象，通過在網絡接口和重要安全區域部署網絡病毒墻，在網絡層全面消除外來病毒的威脅，使得網絡病毒不能再肆意傳播，同時結合病毒所利用的傳播途徑，對整個安全策略進行貫徹。

預防病毒并不能夠完全的依靠病毒的特征碼，還必須要實現對病毒發作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制，通過這些機制來保障病毒能夠被高效處理，防毒系統需要在病毒代碼到來之前，就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制，使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除，快速恢復系統至正常狀態。

3.4 開展電力企業內部的全員信息安全教育和培訓活動

安全意識和相關技能的教育是企業安全管理中重要的內容，信息安全不僅僅是信息部門的事，它牽涉到企業所有的員工，為了保證安全的成功和有效，應當對企業各級管理人員，用戶，技術人員進行安全培訓，減少人為差錯，失誤造成的安全風險。

開展安全教育和培訓還應該注意安全知識的層次性，主管信息安全工作的負責人或各級管理人員，重點是了解，掌握企業信息安全的整體策略及目標，信息安全體系的構成，安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員，重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等;用戶，重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。

4 結論

網絡安全是一個綜合系統，不僅僅涉及到技術層面的問題同時還會涉及到管理上面的問題。網絡上，無論是硬件還是軟件出現問題都會對整個網絡安全形成威脅，產生出網絡安全問題。我們需要通過系統工程的觀點、方法對當前電力企業中的網絡安全現狀進行分析，并提出提高網絡安全性的措施。在電力企業的網絡中，包括了個人、硬件設備、軟件、數據等多個環節，這些環節在網絡中所具有的地位與影響都需要從整個電力企業的網絡系統去進行整體的看待和分析。電力企業的網絡安全必須要進行風險評估才能夠制定出合理的計劃。

[1]余志榮.淺析電力企業網絡安全[J].福建電腦，2011(7).

[2]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界，2012(1).

[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦（理論版），2011(1).

[4]萬錦華.電力企業網絡信息安全的防范措施探討[J].科技與生活，2010(1).

[5]香柱平.有關電力企業信息中心網絡安全及防范措施的探討[J].中小企業管理與科技，2010(5).