崔子倜
(內蒙古電力(集團)有限責任公司內蒙古電力經濟技術研究院分公司,內蒙古 呼和浩特 010090)
網絡信息時代的今天,電網企業加大了信息化建設速度,各種網絡信息系統在生產和日常管理工作中得到了應用。雖然這些系統的運用一定程度上提高了電網企業的工作效率,但網絡信息安全的威脅也隨之出現。目前,電網企業網絡信息安全主要面臨的威脅包括以下幾個方面。第一,隨著信息化進程的加快,電網企業中的網絡與計算機系統已經逐步成為中等規模的網絡系統,幾乎覆蓋所有的業務部門。為滿足企業發展的需要,網絡與計算機系統不斷擴建,而配置的合理性有所欠缺,使得企業內部子網絡結構的劃分科學性略顯不足。在這一前提下,多個子網絡間會形成相互交叉和連通的局面,且網絡設備冗余問題也未能得到很好的解決。以上因素將對電網企業的網絡信息安全帶來威脅[1]。第二,網絡系統不可避免地會受到計算機病毒的威脅。一旦病毒侵入企業的網絡系統,輕則會導致電網企業的主機性能不斷下降,重則會破壞企業重要的數據信息。第三,電網企業為保證網絡和計算機系統的正常運轉,配置了各種不同類型的網絡設備,如路由器、交換機、服務器等。由于企業在建設信息化的初期階段并未采取較為完善的安全防護措施,加之受到資金的影響,給網絡系統的安全埋下了隱患,一旦發生自燃災害如火災、地震等,都會對網絡信息安全構成威脅。第四,電網企業中,網絡系統主機之間的通信是憑借各種通信協議完成的,如比較常見的TCP/IP協議、FTP協議等。從某種程度上講,這些通信協議給網絡信息系統帶來了一定安全隱患。例如,攻擊者通過TCP協議能夠進行Smurf攻擊和SYN攻擊,由此會造成目標系統拒絕服務;攻擊者通過SMTP協議的明文傳輸形式,可以盜取用戶的登錄信息[2]。
針對電網企業網絡信息系統中通信協議的安全問題,可以采用增加安全協議的方法來避免攻擊,以保證通信協議的安全性,如SSL協議、IPsec協議和Kerberos協議等。其中,SSL協議可以在傳輸層給網絡連接提供數據加密服務,能夠有效保證網絡通信中數據的完整性和機密性,從而為數據通信安全提供強有力的支撐;IPsec協議的應用,能夠在源IP和目標IP之間利用身份驗證程序建立信任,借助端到端的加密服務,為數據信息在網絡中的通信提供安全保護,避免其受到網絡攻擊,進一步提升數據通信的安全性;Kerberos協議最突出的特點是無需操作系統認證,可作為第三方協議,為加密技術提供認證服務。電網企業可按照具體情況和實際需要,選用上述安全協議[3]。
通信信道是數據傳輸的媒介。要想確保數據信息的安全傳輸,必須保證信道的安全性、可靠性和穩定性,這既是前提也是基礎。對于電網企業,接入網絡的主要方式為架設電力架空光纜。從物理層面上看,電力電纜容易受到自然災害的威脅,所以電網企業進行網絡布線時,必須采取行之有效的防護措施,確保通信信道的安全性和可靠性,從而為數據的完整性和可用性提供保障。需要著重闡明的是,除了要從物理層面保證信道的安全外,還需要采取相應的技術措施抵御人為攻擊。VPN虛擬專用網絡是目前較為流行的一種技術手段,能夠在公共網絡中構建一條專用的網絡,并進行加密通信。由于VPN具有易于實現、成本低、操作簡單等特點,故電網企業可運用該技術提高信道的安全性[4]。
隨著網絡技術的不斷發展,一些新的威脅隨之出現。針對這些威脅,傳統的DPI分析已經無法滿足使用需要,而異常流量檢測技術的出現有效解決了這一問題。該技術通過建立流量行為輪廓和學習模型識別異常流量。當檢測到有異常流量后,它會自動進行分析,從而判斷這些異常流量中是否存在惡意攻擊行為。
在電網企業網絡信息安全防范中,漏洞掃描技術具有一定的應用優勢。除了可將它用于網絡外,還能用于主機。
網絡安全中的應用。通過對網絡設備、系統的掃描,能夠發現安全漏洞和脆弱點。例如,對網絡進行全面掃描后,能夠獲悉是否存在OpenSSL漏洞。該技術除了具有操作簡單的特點外,在執行掃描任務的過程中,既不需要目標網絡,也不需要Root管理員的參與。如果目標網絡中的設備出現變化或調整,只要確保網絡為連通狀況,便可執行掃描任務。雖然該技術的應用優勢較為突出,但也存在一定的不足,即掃描活動無法突破網絡防火墻。盡管如此,這并不影響該技術在電網企業網絡信息安全防范中的應用[5]。
主機安全中的應用。漏洞掃描技術在網絡系統主機中的應用,主要以管理員權限進入目標主機,據此對重要項目參數進行記錄,如系統配置、規則等,再與這些信息與標準的安全配置進行對比,找出安全漏洞和潛在的威脅。基于主機的漏洞掃描除了能夠使用較多的規則外,掃描結果的準確程度也非常高。不僅如此,整個掃描任務的執行過程不會帶給網絡過大的復雜,且不易被攻擊者發現。它唯一的不足,在于首次部署的時間較長[6]。
隨著電網企業規模的不斷擴大,各種數據信息越來越多,其中不乏一些敏感數據。通常情況下,這部分數據存儲在核心數據庫中。為確保這些數據的安全性,除了采取有效的防護措施外,還應在數據遭受破壞后能及時還原。鑒于此,企業可以運用數據庫備份技術,借此提高數據的恢復能力。在備份方式選擇上,應以本地備份為主,異地容災備份為輔,由此大幅度提升數據安全。
綜上所述,網絡信息時代的到來,使得電網企業的信息化建設進程不斷加快。在這一背景下,網絡信息安全的威脅隨之出現。為了進一步提升網絡信息系統的安全性,電網企業應全面分析網絡信息安全面臨的威脅,并采取合理可行的攻防新技術加以應對。只有這樣,才能使網絡信息系統的作用得以最大限度發揮,從而推動電網企業持續發展。
參考文獻:
[1] 縱芙蓉,楊葭侃.新形勢下大中型企業加強網絡信息安全的措施和辦法[J].建材世界,2017,(6):87-88.
[2] 孫紅梅,賈瑞生.大數據背景下企業網絡信息安全技術體系研究[J].通信技術,2017,(2):43-44.
[3] 吳劍平.計算機防火墻安全屏障與網絡防范關鍵技術初探[J].科技資訊,2017,(10):109-110.
[4] 蘇 琦,王 瑋,劉 蔭,等.電力行業的信息安全防護方案研究[J].信息網絡安全,2017,(11):131-132.
[5] 蔣 明.為構建企業全面、多層次的網絡安全防范體系[J].數字通信世界,2017,(10):89-90.
[6] 李全忠,王東升.對企業信息化建設中網絡安全管理問題的思考[J].中國管理信息化,2017,(5):65-66.