供電局數據網和信息機房搬遷安全風險管控措施研究

(廣東電網有限責任公司汕頭供電局，廣東 汕頭 515041)

0 引言

近幾年，我國經濟日益發展，社會不斷進步，各行各業都緊抓經濟發展的浪潮，努力發展自身，因此對于電力的需求也越來越大，所以供電局需要處理的數據也就越來越多，需要規模更大、更安全的信息機房作為電力數據高效處理的支撐[1]。但是供電局數據網存在一些安全風險，信息機房搬遷或者建設的過程中，同樣存在著安全風險，尤其是來自網絡方面的風險。針對此，供電局計算機技術人員必須采用科學的安全管控措施，積極開展網絡安全工作，從而打造出網絡安全數據網，也能確保信息機房的安全穩定運行，進而為電力系統可靠運行提供有力支撐。

1 供電局數據網及信息機房搬遷中關鍵技術的要求

在開展供電局數據網以及信息機房建設或者搬遷的工作之前，必須注意此工作過程中對于關鍵技術的要求，做到科學應用，才能保證數據網建設的質量。

1)局域網是供電局在日常生產和經營管理中，必須應用到的數據傳輸平臺，因此必須保證局域網有著非常高的穩定性和可靠性。實際建設過程中，必須科學選擇關鍵網絡設備，以實現冗余；應用合適的網絡連接方式，以此來避免出現網絡結構單點故障影響系統運行的問題。即使出現單線故障或者單個設備的故障，合適的連接結構也能在第一時間恢復網絡通信，從而確保整合系統處于不間斷地運行狀態，局域網拓撲結構見圖1。

圖1 局域網拓撲結構

2)每個子域上業務線路不斷切換的時候，盡可能縮短業務中斷時間，所進行業務切斷，可采取可回退的操作；盡可能在工作日開展搬遷工作，要以不影響正常生產經營為準。

3)搬遷設備時，要盡量不影響正常業務，縮短設備停機時間；如果沒有在計劃的時間內結束搬遷工作，處理系統時，最好要可靠地回退到原始的工作狀態，從而確保搬遷過程中，執行的業務處于不間斷運行的狀態。

4)依照機房建設的規范標準，保證規定時間之內，結束數據網絡和信息機房搬遷，以及安全和測試的工作。

5)搬遷結束后，當系統開始運行前，要做跟蹤測試，處理搬遷對于系統影響而出現的問題。

6)搬遷進行中，必須進行設備拆裝、裝卸、運輸等工作，這一過程必須要保證設備安全和數據的完整。保證搬遷完成之后，網絡設備和服務器以及其他設備，依舊能正常運行，保證可靠、安全地完成搬遷工作。

7)線纜要保證合理、美觀、整齊排放，并在上面設置標識牌，標清線路用途和參數；并理順和綁扎好各種線纜，不能雜亂和無序。

8)設備外部要有標志牌，以免混亂。

2 安全風險管控措施

2.1 落實網絡風險控制的措施

1)制定安全搬遷的工作計劃，保證新網絡與舊網絡可以順利交接和過渡，業務系統能平穩過渡。

2)加強監督管理。信息網絡規劃以及信息系統建設初期，必須針對安全風險進行評估，這樣才能在源頭上做好安全管理工作，落實安全技術的審查把關，以保證供電局的信息安全措施執行到位。項目實施過程中，嚴格把關施工現場的工作，包括安裝設備、質量調試等，以此保證網絡和布線以及信息設備，在安全運行標準之內。針對系統和網絡所進行的運營管理，必須應用持續性的風險評估方法，采用高度嚴格的風險控制措施，從而提升信息安全，強化系統與網絡可控性和客觀性[2]。

3)制定內控機制。針對信息系統運用風險控制卡的工作機制，將單一風險作為一個單位，然后把信息維護人員，采用的風險管控的步驟與內容進行細化，從而使得每一位信息維護人員，都能依照控制卡的具體內容，開展風險控制工作。

2.2 落實設備風險控制的措施

首先，制定風險分析機制。分析網絡信息設備運行風險的科學機制，必須要建立出來，并且清晰地規定出分析周期和分析標準，這樣才能在第一時間掌握信息管理和設備的問題，并解決這些問題，也可以為未來設備運行風險評估，提供參考數據。

1)重視巡檢監督。供電局信息系統建設以及搬遷的時候，必須有專業的定期巡檢維護規范，從設備結構和運行方式出發，確定出巡檢的內容、參考參數以及巡檢周期等。形成設備應用環節檢修機制，以更有效地檢查出信息系統存在的故障。

2)重視安全防護。不斷強化安全防護的建設工作，具體包括構建區域邊界的防火墻，這就需要提升廣域網互聯子域、有線接入域、安全支撐域、服務器域的安全防護水平。還要引用更加嚴格的網絡認證要求；運用合適的病毒防御系統和防火墻技術。

3)對檢測技術進行完善。系統正式運行前，必須運用檢測技術進行把關，以保證信息安全。

3 供電局網絡安全的保護措施

3.1 清理敏感信息

重新排查Github、網盤、百度文庫等互聯網共享平臺中存在的公司敏感信息(包括系統軟件源代碼、系統架構、技術方案、網絡拓撲圖、各類賬號及口令等)，對暴露的源代碼做好代碼審計和安全風險評估并及時清除。從而可以保證重要信息泄露，規避網絡安全風險。

3.2 強化網絡設備安全管理

想要保證網絡設備安全，技術人員以設備的接口位置設置密碼的方式，強化網絡設備安全管理。針對網絡設備，管理的方式具體是OTU-BAND，把每個管理設備設置對應的口令和賬戶，以實現獨立用戶操作過程中權限受限的目的，從而降低整個網絡信息系統被控制的風險。

3.3 網管中心區分安全區域

在網絡管理的中心，要區分出不同種類的安全保護區域類型，以此來對供電局數據網進行直接管理，每一種管理的內容都能形成獨立的安全區域，并對該安全區域進行安全的控制，如果有問題出現，系統也能及時將問題解決[3]。

3.4 設置加密IPsec

對供電局數據網中傳輸的數據信息進行加密處理，當數據傳到目的地之后，則會變成原始數據，從而防止一些非法用戶盜取數據信息。

3.5 加強對黑客的防范

隨著網絡技術水平的提升，有更多網絡黑客出現，網絡中存在著各種各樣的黑客病毒，為保證供電局數據網的網絡信息安全，必須重視黑客防范，提高信息檢測的力度，運用高效的供給檢測技術，對黑客侵入程度做全面分析，站在網絡的安全角度出發，提前在可能被侵入的位置設置警戒線，從而高效地監控黑客行為，規避黑客攻擊。

3.6 運用科學的身份識別技術

針對已知用戶和匿名用戶，要進行統一的認證和識別，以保證信息系統使用者是安全管理員，可以使用的身份識別技術有很多，包括訪問控制、智能卡技術、認證技術、數字簽名技術、密鑰管理等。

3.7 避免垃圾信息的干擾

網絡信息技術不斷發展，垃圾信息也越來越多，對于網絡信息系統造成很嚴重負面影響。為此，想要保證供電局數據網的安全，必須重視垃圾信息的干擾規避，采用科學的防范措施，將垃圾信息防范作為重點工作。垃圾信息防范和處理不是以法律形式進行規定就能解決的，而是要在技術領域、管理領域、法律領域，進行綜合考慮。因此，針對供電局數據網的安全，必須重視防范技術的應用，科學選取防范措施，并進行有效處理，以凈化網絡環境。

3.8 追溯不安全信息源頭

網絡被廣泛應用之后，網絡上出現了很多非法違規的事件，像不合法信息的傳播、網絡釣魚網站等等，如果發現這些問題，必須在第一時間內追溯網絡不安全信息的源頭，才能快速將不法分子揪出。追溯不安全信息源頭采用的方法，一般需要從信息內容出發，然后借助技術性渠道，找出網絡以及應用行為的特點，進而找到不法分子的蹤跡，將其抓獲。為更好地引用追溯技術，就要把多種技術融合在一起應用，包括日志技術、認證技術、安全網絡架構技術的等[4]。

3.9 加強入侵檢測

通常情況下，防火墻可以保護網絡內部安全，但是不能很好地檢測內部的情況，也就不能對非法問題進行檢測。為彌補這一不足，可運用入侵檢測系統，那就是在出現錯誤操作、內外部攻擊的時候，發送一些攔截的信息，從而盡可能提高信息安全性。

4 結語

為保證供電局數據網和信息機房的安全，不但要運用各種制度性措施，還要合理運用技術性措施，有針對性地開展網絡安全管理工作，進而不斷提高數據網運行安全性，確保供電工作順利開展。