電力企業(yè)信息安全技術(shù)防護(hù)體系構(gòu)建

祝培培

(國(guó)網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

電力企業(yè)信息安全技術(shù)防護(hù)體系構(gòu)建

祝培培

(國(guó)網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

在日新月異的信息技術(shù)給公司帶來管理效能的變革提升的信息時(shí)代,信息與業(yè)務(wù)全面融合,信息安全與生產(chǎn)經(jīng)營(yíng)密切相關(guān)。在技術(shù)上防護(hù)物理、網(wǎng)絡(luò)、主機(jī)系統(tǒng)、數(shù)據(jù)應(yīng)用各層面安全,建設(shè)一套先進(jìn)、實(shí)用、高效的信息安全保障體系,在安全可靠前提下以信息化持續(xù)穩(wěn)定地支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化。

信息安全 防護(hù)體系 電力信息化

電力系統(tǒng)是我國(guó)計(jì)算機(jī)應(yīng)用起步較早的行業(yè)，信息技術(shù)的高速發(fā)展和廣泛應(yīng)用，為公司門戶網(wǎng)站、辦公自動(dòng)化、電網(wǎng)調(diào)度、生產(chǎn)運(yùn)行、財(cái)務(wù)資金、營(yíng)銷管理等各方面提供了有力支撐，信息安全的重要性不言而喻。

1 信息安全定義

國(guó)際標(biāo)準(zhǔn)中對(duì)信息安全的定義是：信息本身的機(jī)密性(Confi dentiality)、完整性(Integrity)和可用性(Availability)的保持，即防止未經(jīng)授權(quán)使用信息、防止對(duì)信息的不當(dāng)修改或破壞、確保及時(shí)可靠地使用信息。通俗的說，信息安全就是：確保信息系統(tǒng)持續(xù)、可靠、穩(wěn)定運(yùn)行，以及防止信息丟失、篡改和泄密。對(duì)于地市供電公司來說，信息安全的保障對(duì)象為：主營(yíng)業(yè)務(wù)系統(tǒng)及數(shù)據(jù)安全，網(wǎng)絡(luò)區(qū)域邊界安全，網(wǎng)絡(luò)、機(jī)房等基礎(chǔ)設(shè)施安全，桌面終端使用安全。

2 信息安全技術(shù)防護(hù)體系建設(shè)

2.1 物理安全

信息機(jī)房是各類信息設(shè)備的存放地點(diǎn)，是公司信息化工作的核心樞紐。在制定《機(jī)房管理制度》、《運(yùn)行值班制度》做好人員進(jìn)出和設(shè)備監(jiān)控管理基礎(chǔ)上，常州公司全面開展了安全管理專項(xiàng)整治工作，對(duì)中心機(jī)房、沿線機(jī)房、52個(gè)供電所(點(diǎn))等所有信息設(shè)備所在地的信息設(shè)備、空調(diào)、UPS及電纜走線等進(jìn)行全面排查，收集照片千余張，形成了完備的現(xiàn)場(chǎng)資料。在完成對(duì)隱患細(xì)節(jié)的梳理分析后，明確分工落實(shí)責(zé)任，扎實(shí)開展隱患整改工作，保障設(shè)備物理安全。

2.2 網(wǎng)絡(luò)安全

信息網(wǎng)絡(luò)的安全與穩(wěn)定是應(yīng)用正常流轉(zhuǎn)，數(shù)據(jù)順暢交互的前提與基礎(chǔ)。

2.2.1 DHCP熱備,提升基礎(chǔ)服務(wù)可靠性

DHCP作為基礎(chǔ)的網(wǎng)絡(luò)服務(wù)支撐，關(guān)系到全網(wǎng)終端用戶能否正常獲取IP地址。在路由交換設(shè)備、線路都實(shí)現(xiàn)冗余的同時(shí)，單機(jī)在線運(yùn)行的DHCP服務(wù)器就成了一個(gè)薄弱環(huán)節(jié)。

目前的DHCP服務(wù)器一般采用冷備方案，平時(shí)只有一臺(tái)提供服務(wù)，只有在主用服務(wù)器宕機(jī)時(shí)才會(huì)啟用備份服務(wù)器。這種方案的缺點(diǎn)是主用服務(wù)器故障時(shí)切換延遲大，此時(shí)需要將主用從網(wǎng)絡(luò)上斷開，將備用服務(wù)器的IP更改為主用的IP，而在發(fā)現(xiàn)問題執(zhí)行切換操作之前，用戶已經(jīng)或多或少受到了影響。

圖1 802.1X網(wǎng)絡(luò)準(zhǔn)入認(rèn)證圖示

為消除薄弱環(huán)節(jié)，常州公司進(jìn)行技術(shù)攻關(guān)，利用服務(wù)器群集技術(shù)，實(shí)現(xiàn)了DHCP服務(wù)器的雙機(jī)熱備。在添置磁盤陣列之后，通過使用windows server 2003附帶提供的cluster服務(wù)，部署DHCP服務(wù)器群集，實(shí)現(xiàn)了更高的DHCP服務(wù)可靠性，避免了因單機(jī)宕機(jī)而引起的服務(wù)中斷。

2.2.2 雙重準(zhǔn)入,嚴(yán)守信息網(wǎng)絡(luò)入口

常州公司已經(jīng)在一市二縣所有辦公區(qū)域、變電站、營(yíng)業(yè)網(wǎng)點(diǎn)全面啟用802.1X網(wǎng)絡(luò)準(zhǔn)入認(rèn)證和IP/MAC綁定雙重準(zhǔn)入機(jī)制，對(duì)入網(wǎng)設(shè)備設(shè)置了雙重技術(shù)屏障的同時(shí)，也為信息網(wǎng)絡(luò)安全識(shí)別與規(guī)范管理打下堅(jiān)實(shí)基礎(chǔ)。

第一重準(zhǔn)入：采用基于國(guó)網(wǎng)桌面終端管理系統(tǒng)的802.1X網(wǎng)絡(luò)準(zhǔn)入認(rèn)證，對(duì)入網(wǎng)用戶進(jìn)行嚴(yán)格的身份認(rèn)證與準(zhǔn)入控制。802.1x認(rèn)證技術(shù)的特點(diǎn)是簡(jiǎn)潔高效：純以太網(wǎng)技術(shù)內(nèi)核，不需要進(jìn)行協(xié)議間的多層封裝，去除了不必要的開銷和冗余，在二層網(wǎng)絡(luò)上實(shí)現(xiàn)用戶認(rèn)證，對(duì)設(shè)備的整體性能要求不高。802.1x協(xié)議是基于Client/Server的訪問控制和認(rèn)證協(xié)議。它可以限制未經(jīng)授權(quán)的用戶/設(shè)備通過接入端口訪問局域網(wǎng)。在認(rèn)證通過之前，802.1x只允許認(rèn)證信息數(shù)據(jù)通過設(shè)備連接的交換機(jī)端口；認(rèn)證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口。客戶端認(rèn)證時(shí)需提供的密碼等信息，由國(guó)網(wǎng)桌面終端管理系統(tǒng)事先統(tǒng)推到合法的內(nèi)網(wǎng)終端。非法用戶在進(jìn)行認(rèn)證時(shí)，由于提供不出正確的認(rèn)證信息，因此被拒絕訪問。如圖1所示。

第二重準(zhǔn)入：合法用戶通過第一重準(zhǔn)入認(rèn)證后，還需在DHCP服務(wù)器上建立保留實(shí)現(xiàn)IP/MAC綁定。DHCP服務(wù)器按照保留為每個(gè)用戶分配與MAC地址唯一對(duì)應(yīng)的IP地址，地址池中的172網(wǎng)段的未分配地址全部手工排除在外，同時(shí)在DHCP上給各vlan增加一段私有地址，提供自動(dòng)分配。未進(jìn)行過IP/MAC綁定的用戶，在認(rèn)證通過后，會(huì)首先得到一個(gè)私有地址，這時(shí)用戶只能訪問市公司很有限的幾個(gè)網(wǎng)頁(yè)，門戶等辦公業(yè)務(wù)均無法開展，私有地址的主要目的是可以明確此新進(jìn)用戶機(jī)處于哪個(gè)vlan。在待入網(wǎng)設(shè)備履行入網(wǎng)審批登記流程后，網(wǎng)管人員會(huì)給設(shè)備分配和綁定一個(gè)172網(wǎng)段地址，設(shè)備方能正常聯(lián)網(wǎng)。

2.3 系統(tǒng)安全

業(yè)務(wù)應(yīng)用是公司信息化建設(shè)的核心內(nèi)容，作為流轉(zhuǎn)平臺(tái)的信息系統(tǒng)必須保證穩(wěn)定可靠。對(duì)于承載應(yīng)用的服務(wù)器，常州公司將原單線聯(lián)網(wǎng)方式改造為二套網(wǎng)絡(luò)一主一備方式，并用技術(shù)手段實(shí)現(xiàn)發(fā)生網(wǎng)絡(luò)故障時(shí)的自動(dòng)實(shí)時(shí)切換，通過網(wǎng)絡(luò)冗余極大提高了服務(wù)器的可靠性。

為應(yīng)對(duì)數(shù)據(jù)篡改、應(yīng)用數(shù)據(jù)丟失、業(yè)務(wù)中斷等信息系統(tǒng)事件，有針對(duì)性地編寫了《信息系統(tǒng)數(shù)據(jù)庫(kù)管理標(biāo)準(zhǔn)化作業(yè)指導(dǎo)書》、《服務(wù)器備機(jī)及應(yīng)用恢復(fù)作業(yè)指導(dǎo)書》，從日常管理、備份管理、應(yīng)急恢復(fù)管理三方面規(guī)范了信息系統(tǒng)數(shù)據(jù)庫(kù)和服務(wù)器應(yīng)用的管理與操作，內(nèi)容精細(xì)至命令級(jí)，具有較強(qiáng)的可操作性。

此外，模擬服務(wù)器故障導(dǎo)致應(yīng)用系統(tǒng)無法使用場(chǎng)景開展信息系統(tǒng)應(yīng)急演練，在最短時(shí)間內(nèi)恢復(fù)應(yīng)用和數(shù)據(jù)，降低事故損失，提高了應(yīng)急恢復(fù)技能。

2.4 應(yīng)用安全

每一臺(tái)終端的規(guī)范應(yīng)用都關(guān)乎公司整體信息安全。常州公司全面推廣實(shí)施國(guó)家電網(wǎng)公司桌面終端管理系統(tǒng)，并啟動(dòng)用戶權(quán)限、用戶密碼、補(bǔ)丁檢測(cè)等各項(xiàng)安全策略對(duì)終端設(shè)備進(jìn)行安全管控。每天檢查、通報(bào)終端注冊(cè)、防病毒安裝、補(bǔ)丁安裝、弱口令等使用規(guī)范情況，每日通報(bào)處理病毒發(fā)作次數(shù)前5位的終端設(shè)備。公司在所有內(nèi)外網(wǎng)終端上統(tǒng)一推廣保密自動(dòng)檢測(cè)系統(tǒng)，指導(dǎo)員工開展自查并進(jìn)行了保密檢查，嚴(yán)格確保“涉密信息不上網(wǎng)，上網(wǎng)信息不涉密”。

3 結(jié)語(yǔ)

在計(jì)算機(jī)應(yīng)用由簡(jiǎn)單的數(shù)學(xué)運(yùn)算、文件處理發(fā)展到與企業(yè)內(nèi)部的信息共享和業(yè)務(wù)應(yīng)用融會(huì)貫通的今天，電力信息安全已與企業(yè)生產(chǎn)經(jīng)營(yíng)管理密切相關(guān)。不能單純依靠管理教條的生搬硬套和靜態(tài)技術(shù)的堆砌疊加盲目管控，必須結(jié)合公司實(shí)情，研究信息安全各要素間的聯(lián)系，不斷進(jìn)行管理創(chuàng)新與技術(shù)實(shí)踐，建立一套先進(jìn)、實(shí)用、高效的信息安全保障體系，確保公司信息系統(tǒng)安全、可靠、穩(wěn)定運(yùn)行。

[1]關(guān)良輝.電力企業(yè)局域網(wǎng)的信息安全[J].電力安全技術(shù),2010.

[2]趙志宇.談電力信息系統(tǒng)安全保障體系建設(shè)原則及思路[J].計(jì)算機(jī)安全,2009.

祝培培(1980—),女,江蘇常州人,工程師,研究方向:電力信息技術(shù)&信息安全技術(shù)。