電力IMS網絡信息安全防護策略

摘 要：隨著國家經濟的發展，電力IMS網絡得到了很大的提升。但是隨著時間的推移，網絡安全問題逐漸暴露出來。因此，很多電力企業為了維護自身網絡的安全與穩定，制定了很多安全策略，實現了信息之間的整合及用戶之間的資源共享。該文主要對電力企業的現狀及其存在的問題做出分析，從而提出相應的解決措施。

關鍵詞：電力 IMS網絡 信息安全防護 策略

中圖分類號：TN915.853 文獻標識碼：A 文章編號：1674-098X（2016）04（c）-0002-02

信息化是世界發展的一大發展趨勢，是我國綜合實力提高的標志。隨著通訊網絡建設的不斷完善，其功能已經擴展到視頻、多媒體等。IMS是下一代網絡發展的核心技術，其信息化建設能夠帶動企業不斷發展。雖然我國在這一方面起步較早且取得了很多成果，但是由于缺乏經驗，在建設中總是存在很多的缺陷，因此，需要構建一個全新的、高度統一的、覆蓋面廣闊的網絡安全防護措施。

1 電力IMS網絡信息安全現狀的分析

由于不同企業的發展情況不一樣，因此，企業需要根據自身的經營模式和管理要求，相應的建立了自動化系統，從而實現了生產、管理、營銷、財務等工作方面的全面覆蓋。另外，相關的WEB網關與MIS之間需要進行相互的信息訪問。在數據安全管理方面，通過安裝正向隔離器，實現了其與外界的隔離。

各個電力企業制定了相應的措施，實現了網絡的安全連接，在自身服務水平提高的同時實現了用戶共享資源的目的。在邊遠地區基本通過VPN技術進行遠程聯網和控制，從而擴大資源共享面，并在互聯網的基礎上構建一種遠程的服務。

2 電力IMS網絡在發展中存在的問題

2.1 不同網絡之間沒有進行嚴格的劃分

根據《全國電力二次系統安全防護總體方案》中的規定：針對不同等級的網絡，各企業必須嚴格做出安全劃分規定。在縱向上，需要關聯監控系統，但是部分電力企業無法實現網絡數據傳輸，且缺少從主站到場站的光纖載波雙通道；在橫向上，規定需要監控系統與非監控系統能夠保持良好的連接。在調查中發現還存在著如下的幾點問題：第一，單項傳輸數據線中傳輸的數據只有極少的資源能夠真正地被他人共享，在與非實時系統的聯系中缺少標準數據接口。第二，沒有按照要求組建數據調度網。第三，未能實現上下級調度的認證加密部署。

2.2 現有的網絡安全防護水平較低，與實際的發展不匹配

隨著科學技術的發展，信息化成為一種無法阻擋的趨勢。隨著信息技術的發展，網絡安全問題受到廣泛的重視。但是現有的網絡安全防護由于缺少相應的管理控制手段，從而并未形成一套完整的防護體系。有些地區的服務器病毒安全防護措施仍停留在使用瑞星等殺毒軟件的水平，且一旦受到攻擊，容易出現大面積的網絡系統癱瘓問題，與此同時還缺少相應的機制，用以恢復數據備份，因此，網絡系統一旦受到破壞，將產生難以預料的后果。針對內部用戶存在的IP盜用、隨意下載網絡資源等問題，我國還未能建立起一種有效的監管機制。另外，我國也缺乏正規的網絡安全評價機構，從而難以對網絡進行有效的評估。因此，正是由于較低的網絡安全防護水平，促使其與實際發展水平不匹配。

3 電力IMS的網絡結構

電力IMS綜合信息網一般以單域組網的連接方式為主，在公司或企業的總部通信機房內設置IMS網絡的核心設備及業務平臺，而通過IP連接，將各地的分公司全部接入。IMS統一網管、業務設備管理、呼叫會話控制功能設備等全部由省公司通信機房統一部署，并提供會話控制等多項功能。

4 電力IMS網絡信息安全防護策略

由于IMS網絡結構的復雜性，其中包含了大量的信息數據，因而很容易成為被攻擊、感染的對象，因此，電力IMS網絡信息防護需要從設備、業務、管理、組網等多方面進行安全防護，避免受到外界的攻擊。

4.1 設備安全策略方案

IMS設備安全防護策略可以從升級系統、安全補丁、防病毒三方面制定。例如：當電力系統采用Linux系統進行主機升級加固時，需要考慮是否刪除或禁用從未使用的軟件；刪除冗余的文件和操作系統中不使用的賬戶；關閉很少使用或存在威脅的服務端口等。另外，對于已經安裝的系統，定期給其進行計算機系統的維護和清理，升級防病毒軟件，并填補安全漏洞。

4.2 組網安全策略方案

IMS組網安全防護策略可以從核心網、承載網、接入網三方面制定。在考慮核心網組網時，為了實現信令、媒體、網關等的分離，需要采用不同的物理接口，從而避免由于一方面出現問題而導致其他業務也受到影響的情況。核心區與外界之間用防火墻進行隔離，安全部署相關的防護措施，避免遭受攻擊。使用邊緣接入控制設備的代理能力。安全的隱藏和保護核心區，防止遭到破壞和惡意攻擊。在考慮承載網組網時，由于其各種業務共同存在，因而，需要采取措施將各種業務相互隔離，一般情況下，采用：MPLS VAN方案。在考慮接入網組網時，由于IMS系統只為固定的用戶提供，且在接入的過程中需要借助運營商的幫助，因而可以通過BAS（寬帶接入服務器）的識別功能和用戶安全認證來保證系統的安全性與穩定性。

4.3 業務安全策略方案

IMS業務安全策略需要考慮業務防盜、防欺騙兩方面。

4.3.1 業務防盜

業務防盜其一：防止攻擊者盜用或篡改他人的賬號、密碼等信息，達到盜用的目的。在用戶注冊登錄時，系統自動連接用戶原本的接入位置，只有信息匹配成功，才能完成登錄過程。在用戶注冊時，只有當用戶接入位置與登記位置相同時，才同意申請，執行下一步注冊。

業務防盜其二：防止攻擊者惡意攻擊網絡通話，阻斷或竊取通話內容的行為。BAC通過提供終端鎖定功能，并按照指令SDP信息，生成媒體轉發表項，接著再進行過濾，只有符合BAC規則的才能進行下一步處理，否則提交的申請將不予批準。

業務防盜其三：防止攻擊者盜用、竊取他人信息后，隨意消耗網絡信息，導致服務器終止服務項目。BAC除了不需要對SIP信號處理之外，應對用戶媒體流進行一定的限制，一旦超過定義的寬度，就進行丟包處理。

4.3.2 業務防欺騙

業務防欺騙其一：防止惡意用戶隨意冒用他人身份發起通話。因此，在發起呼叫之前，IMS網絡需要對申請人的身份進行驗證，驗證申請者的身份與注冊用戶身份是否一致，若一致，則允許通過；相反，則拒絕請求。

業務防欺騙其二：防止來電顯示欺騙。在生活中，很多用戶經常受到陌生的未接來電或者垃圾信息。這是由于黑客冒用或者偽造他人身份進行操作，從而導致網絡釣魚、信息詐騙等的惡意攻擊。因此，IMS網絡也應當采取有效的手段控制，對SIP信息中的用戶信息、權利范圍進行鑒定，從而減少來電顯示的欺騙。

4.4 管理安全策略方案

在電力INS網絡信息安全的防護過程中，不僅要在技術的層面上加強控制和管理，還應該在運行中采取恰當的管理手段。在實際運行中，可以從賬號、權限管理、日志訪問、行為監控、權利范圍的鑒定等幾個方面加以管理。賬號管理方面可以采用口令卡登陸，從口令的復雜度、輸入口令的次數、口令的有效期限等方面加以控制。在權限方面，可從登錄超時處理，口令加密傳輸等方式加以管理。日志訪問方面包括對安全日志、操作日志、運行日志等方面的安全訪問和處理。行為監控可以對特定的行號進行權利方面的限制等。

5 結語

綜上，筆者對電力IMS網絡信息安全的現狀及其存在的問題加以分析，并提出了有效的手段進行安全防護的管理。網絡安全是一個綜合性要求較高的平臺，它涉及方方面面，但無論哪一環節出現差錯，都會或多或少的對其他方面造成影響，因此，電力企業必須綜合考慮各種因素，認真、全面的看待才能制定出符合自身發展的方案。

參考文獻

[1]郭慶瑞.新疆電力IMS網絡信息安全防護策略研究[J].信息通信，2015（8）：100-101.

[2]張毅慶.淺談電力企業信息網絡安全防護技術[J].科技創新與應用，2014（27）：162.

[3]劉靜.淺析電力企業網絡安全及其防護策略[J].科技視界，2014（36）：313-314.