电力企业信息网网络安全层次式防护体系探究.pdfVIP

176Computer CD Software and Applications special focus本期关注 信息安全 ◆ 中图分类号：TN915.08 网 络信息安全的问题主要包括了网络系统的硬 件、软件及其系统中重要数据受到保护，受 突发或者恶意的因素而遭到破坏、更改、泄 露，系统能够正常地运行，网络服务不中断等诸多方面。 企业要想做好信息网网络安全就需要构建一个层次式防护 体系，这个防护体系能够有效的解决企业信息网网络安全 所面临的各种问题，给企业一个良好的网络环境。 1 信息网络安全层次式防护体系的防护模式 结合电力企业的实际情况，按照层次式防护体系的 防护模式，可将电力企业的网络信息安全分为七大模块， 分别是入侵检测、环境与硬件、防火墙、VPN（虚拟专用 网）、隐患扫描、病毒防范、PKI（公开密钥基础设施）。 1.1 环境与硬件、防火墙。环境与硬件以及防火墙为 层次防护模式的第一、二层，是对系统安全要求比较高的 电网运行与安全稳定的控制，还包含了电网调度自动化、 继电保护等实时网络，使用防火墙隔离网关设备来连接信 息网络，这样就可以获取实时的系统数据，不过这样仍有 一个小的缺陷，就是不可能直接或间接的修改实时系统的 数据，所有需要采用硬件防火墙互联的信息网络与实时网 络之间在物理网络层的隔离，这样就能从根本上防护非法 用户的入侵。 另外，也可在信息网的Internet接入口处安装防火墙， 这种防火墙主要防止来自外部的攻击，而且企业内各机构 之间的仍有全面的安全防火墙，目前几乎所有的电力企 业信息网大都建立了这两层防护措施。不过防火墙对于一 些利用合法通道而展开的网络内部攻击显得无能为力。因 此，尽管开发防火墙能够初步具备入侵的检查功能，但是 防火墙作为网关，很容易就成为网络防护发展的颈瓶，不 适合做过多的扩展研究。因此，还需要和层次式防护的第 三层入侵检测等相关工具联合起来运用，这样就能提高整 个网络的安全。 1.2 入侵检测（IDS）。整个防护体系的第三层防护 便是入侵检测，入侵检测不属于网络访问控制设备，对通 讯流量没有任何限制，采用的是一种通过实时监视网络 资源（系统日志、网络数据包、文件和用户获得的状态行 为），主动分析和寻找入侵行为的迹象，属于一种动态 电力企业信息网网络安全层次式防护体系探究 舒晓慧 / 国网黑龙江省电力有限公司大庆供电公司信息通信分公司 吴瑶 / 国网黑龙江省电力有限公司大庆供电公司物资供应中心 金小晰 / 国网黑龙江省电力有限公司大庆供电公司信息通信分公司 摘 要：深入探究电力企业信息网网络安全的防护体系的构成，分析电力企业信息网网络安全的防护现状，总结出网络 安全层次式防护体系的构建和实施策略，希望能够促进和完善电力企业信息网的网络安全保障。 关键词：电力企业；信息网网络安全；层次式防护体系 的安全防护技术。一旦被检测到入侵情况就会立即进行 日志、安全控制操作以及警告等操作，给网络系统提供 内、外部攻击以及一些失误进行安全防护。像CA公司的 eTrustIntrusionDetection程序就是通过自动检测网络数据流 中潜在的入侵、攻击和滥用方式等，为网络系统提供了先 进的网络保护功能。同时还能在服务器及相关业务受到影 响时，按照预先定义好的策略采取相应的措施。 1.3 隐患扫描。防护体系的第四层防护便是隐患扫 描，隐患扫描是一个全自动化的网络安全评估软件，它以 黑客的视角对被检测的系统进行是否承受攻击性的安全漏 洞以及隐患扫描，同时还能够查到可能危及网络或系统安 全的弱点，从而提出相应的维修措施，提交详细的风险评 估报告。最可观的地方在于它能够先于黑客发现并弥补漏 洞，从而防患于未然，能够预防在安全检查中暴露出存在 网络系统中的安全隐患，然后配合有效的修改措施，将网 络系统中运行的风险降至最低。隐患扫描系统的主要应用 在不同的场合和时宜，第一，对信息网作出定期的网络安 全自我检测和评估。网络管理员能够定期的进行网络安全 检查服务，以最大可能限度的消除安全隐患，尽可能的发 现漏洞然后进行修补，从而优化资源、提高网络的运行效 率；第二，网络建设以及网络改造前后的安全规划以及成 效检测。配备隐患扫描系统能够方便的进行安全规划评估 和成效检测；第三，网络安全隐患突发后的分析。网络安 全隐患突发后可以通过扫描系统确定网络被攻击的漏洞所 在，然后帮助修补漏洞，能够提供尽可能多的资料来方便 调查攻击的来源。第四，重大网络安全事件发生前的准 备，重大网络安全事件发生以前，扫描系统能够及时的帮 用户找出网络中存在的漏洞，并及时将其修补。 1.4 虚拟专用网（VPN）。防护体系的第五层就是虚 拟专用网，其主要为电力企业上下级网络和外出人员访 问企业网络时提供一条安全、廉价的互联方式，