供電企業信息安全防護措施的分析

王芬 吳海濤 李雪 張哲宇 吳家奇

摘要：在信息化社會中，電力系統和網絡信息應用密切相關，而確保電力公司內部的信息安全，防止發生風險是所有供電企業的必要工作。綜合供電企業系統運行和網絡信息的具體狀況，詳細介紹了保護信息安全的各種手段，使供電企業在信息安全的基礎上不斷完善技術管理手段。

關鍵詞：供電企業;信息安全;防護措施;電力系統

隨著電力信息化建設的不斷完善，電力系統更加依賴信息系統和信息網絡。由于電力信息系統利用網絡實現信息共享，這就使得一些非法入侵者利用某些技術手段破壞系統，進而威脅到電力系統的安全，為系統的安全運行埋下巨大的隱患，嚴重的甚至還會造成大范圍停電等。因此，確保電力企業內部的信息安全，排除隱患，規避風險，是目前電力企業急需解決的問題。

1企業信息安全網絡現狀分析

1.1自然安全因素

供電企業MIS網中網絡設備、軟硬件系統以及電力及其他設施各個組成部分的實體安全是企業網信息安全以及實現各項設計預定功能的基礎，而自然環境中的一些安全因素都可能給企業網絡的實體安全造成潛在的威脅。威脅企業MIS網實體及信息安全的自然因素主要包括兩大類，也就是自然災害和環境干擾這兩類因素。由于自然災害和環境干擾這兩種自然因素都可能給企業MIS網帶來不同程度的損失，所以在企業MIS網建設中應該采用一些措施來防范這些自然因素的威脅，這些措施包括企業計算機機房的防震、防雷設計，防范火災的消防和報警措施、采用保證電力供給的不間斷電源系統以及穩壓和過載保護設備、采用空調設備維護計算機環境穩定的工作溫度等等。此外，對于供電企業網絡系統，盡管已經通過各種技術措施的采用來對各種自然因素的安全威脅進行防范，但并不可能完全消除各種安全威脅，因而制定一個完整的災難恢復計劃也是針對各種自然威脅的安全計劃的重要組成部分。

1.2人為安全因素

人為因素是供電企業MIS網面臨的最大的安全因素。這些因素既包括網絡系統用戶由于誤操作或者對于企業網絡的訪問控制策略的不了解、理解錯誤而引起的各種安全問題，也包括內部用戶或者企業網絡外部人員對企業網絡的有意破壞行為?？赡軐ζ髽IMIS網安全構成威脅的人員可以分為兩類，一類是網絡用戶，另一類是網絡外部人員。網絡用戶是指根據網絡設計目標和管理規定，有權使用部分或者全部功能、或者有權管理部分或者全部網絡的人員，網絡用戶通常包括各種網絡服務或者應用的用戶、主機系統的系統管理員、網絡管理員、網絡安全管理員等等。而網絡外部人員指包括企業內部沒有權力使用網絡的員工在內的所有不允許使用企業網絡的所有人員，對于通過某種形式與Internet或者其他網絡互聯的企業網，還需考慮外部網絡人為因素的威脅。對于企業MIS網，為了達到網絡安全的目標，減輕甚至消除各種人為安全因素的影響是很重要的。在實際的安全實現中可以通過采取一些安全措施來達到這個要求。

1.3網絡硬件設備存在的安全因素

供電企業MIS網中的硬件設備是網絡系統各項應用和網絡服務運行的基礎，它們所存在的安全問題直接影響到整個網絡的安全。企業MIS網中的硬件設備可以分為兩類，一類是網絡傳輸線路，另一類是計算機和網絡設備。無論是傳輸線路還是計算機和網絡設備，主要都存在著兩個方面的安全因素，也即實體安全和電磁安全。其中，應將MIS網硬件系統的實體安全及其防范作為信息網安全評估和安全管理的主要研究對象。

2安全防護方案

2.1防止病毒侵害

供電企業MIS網中集中了大量的服務器、工作站，病毒極易借助網絡高速擴散，嚴重威脅著系統的安全和穩定。病毒防范系統至少應在文件服務器、EMAIL服務器等最易感染或傳播病毒的服務器上安裝，并通過統一的控制臺對系統的所有防病毒系統進行管理，包括統一的分發、維護、更新和報警等。

2.2嚴密訪問控制

實現網絡系統訪問控制的主要手段是采用防火墻。部署防火墻的目的是要在內部、外部兩個網絡間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。具體說，設置防火墻的目的是隔離內部網和外部網，保護內部不受攻擊，實現以下基本功能：禁止外部用戶進入內部網絡，訪問內部機器;保證外部用戶可以且只能訪問到某些指定的公開信息;限制內部用戶只能訪問到某些特定的Intranet資源，如WEB服務、FTP服務、TELNET服務等。對于內部網中的關鍵服務器（群）、關鍵應用等，也應部署防火墻來進行防護。

2.3監控非法入侵

防火墻雖然能抵御網絡外部安全威脅，但對網絡內部發起的攻擊卻無能為力。動態地監測網絡內部活動并做出及時地響應，就要依靠基于網絡的實時入侵監測技術。同時，還應依靠基于主機的入侵檢測技術對關鍵主機進行監控，從中檢測出攻擊行為并給予響應和處理。對于基于網絡和基于主機的入侵檢測系統，可以采用全網統一的控制臺進行管理。

2.4檢測安全漏洞

解決網絡層安全問題，首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況，依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估，顯然是不現實的。解決的方案是，尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具，利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。

2.5加密傳輸數據

網上的業務數據傳輸安全性要求很高，而數據流經的物理路徑環節又較多，數據在存儲和傳輸過程中極有可能被盜用、暴露、假冒和篡改，因此必須采取有效的數據加密措施，鑒別和監督合法用戶的操作，防止對敏感數據的非法訪問、使用、修改和破壞。通過VPN服務可以保證用戶在數據傳輸時的安全和降低企業外聯網的成本。VPN安全設備應該易于配置、管理和維護，并且支持多臺設備的單點管理。另外，需要支持國際標準安全加密協議，例如Ipsec，以保證不同廠商設備之間的互通。

2.6備份關鍵數據

對供電企業而言，不論是天災或是人為疏忽所造成數據損失，對企業造成的沖擊及財務損失就是一場可怕的災難。防止這些災難，最佳的解決之道便是事先做好數據備份，包括建立基于網絡的、集中的、全自動的數據備份系統，建立數據遠程容災中心，并做好災難恢復計劃。

2.7統一身份認證

認證技術主要解決網絡通訊過程中通訊雙方的身份認可。主要的認證技術有：（1）用戶名/口令字認證;（2）生理特征的認證;（3）數字簽名;（4）基于公開密鑰體系（PKI）的認證等。數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統（如RSA）基于私有/公共密鑰對，CA使用私有密鑰技術進行數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性?；诠_密鑰體系（PKI）的認證方法安全程度很高，綜合采用了摘要算法、非對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效性結合起來。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻認證等領域。PKI包括：證書庫、證書頒發機構（CA）、證書登記、證書吊銷、密鑰備份及恢復系統等。

3、總結

保障信息安全需要將管理與技術相結合。目前，信息技術發展得越來越快，信息安全也發生了變化，所以，很多安全問題便出現了?？偨Y了一些電網停電事故的原因后發現，信息傳送不暢是造成大面積停電的主要原因。本文綜合供電企業系統運行和網絡信息安全的具體狀況，詳細介紹了保護信息安全的各種防護手段，主要包括供電企業的信息安全技術策略和供電企業信息安全管理策略。由此可見，信息安全是維持電力系統穩定、安全和可靠的主要組成部分，而判斷電力系統信息安全隱患、制訂相關的應對措施對于保障信息安全有非常重要的作用，這是廣大電力工作人員需要不斷學習的內容。

參考文獻：

[1]李東升.關于防火墻技術與網絡安全問題研究[J].經營管理者，2011，13（02）：564-566.

[2]張淑英.網絡安全事件關聯分析與態勢評測技術研究[D].長春：吉林大學，2012，2（06）：53-54.

[3]徐飛.計算機技術與網絡安全[J].赤峰學院學報（科學教育版），2011，14（01）：96-97.