电力企业信息系统安全技术的研究.docVIP

电力企业信息系统安全技术的研究 　　摘要：近年来，在信息技术发展的同时，各种攻击技术、网络入侵技术水平也得到了飞速发展，这就要求电力行业计算机信息系统的结构有相应的变化，建立纵深防御的安全系统，能有效地抵御各类攻击，以提高电力行业信息系统的安全性。 　　关键词：电力企业；信息系统；安全技术 　　中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2011) 16-0000-01 　　Power Enterprise Information System Security Technology Study 　　Shang Wen 　　(Datong Electric Power Supply Company Technology Information Center,Datong037008,China) 　　Abstract:In recent years,information technology development,a variety of attack techniques,network intrusion technical level has also been rapid development,which requires electric power industry,computer information systems there is a corresponding change in the structure,the establishment of defense in depth security system that can effective against various types of attack,to improve the power industry the security of information systems. 　　Keywords:Power Enterprise;Information system;Security technology 　　一、防火墙技术 　　防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根掘仓业的安全政策控制（允许、拒绝、监测）出入网络的信息流。它是提供信息安全服务，实现网络和信息安全的基础设施。防火墙按使用的技术原理可分为包过滤防火墙和应用层网关级防火墙。 　　防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，用于把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关（或网点）与Internet的连接处，但是防火墙系统也可以位于等级较低的网关，以便为某些数量较少的主系统或子网提供保护。 　　防火墙的局限性：（1）不能防范恶意的知情者；（2）不能防范不通过它的连接；（3）不能防范全部的威胁；（4）不能防范病毒。由此可见，要想建立一个真正行之有效的安全的信息系统，仅使用防火墙还是不够，在实际的应用中，防火墙常与其它安全措施，比如，访问控制技术、防病毒技术等综合应用。 　　二、VLAN技术 　　VLAN中的每个端点用户可直接与同一VLAN中的其它用户通信。VLAN之间的网络交通必须通过某种策略管理设备来管理，如路由器。这就允许网管人员为安全原因设置防火墙保护，在工作组问建立安全策略。在同一个物理网络中，可分割出多种不同的VLAN组。这就使得VLAN的成员可根据系统应用实际的需要而决定，而不是根据它们在网上的物理位置决定。不同物理位置的用户可以进入同一个工作组工作，就像在同一个办公室内共同工作一样，工作组成员关系可随组织变化而动态地变化。单个VLAN的操作就如同一个子网一样，子网上的用户可彼此直接通信，当跨越子网边界时要通过路由器。虚拟LAN与子网的唯一区别就是单个子网是彼此重叠在单一的公共物理设施上的。 　　VLAN能够大大加强网络安全性，体现为可以控制进入网络的用户连接。由于具有了对移动、加入以及变更用户的网络连接的控制能力，即网络的连接控制得到加强，网络系统了解虚拟网中所有的终端用户，并可对连接哪些用户、在何处需要存取何种服务来实行各种策略及控制；虚拟网络还可控制用户通信对象及控制特定应用的启用权。这些能力大部分在网络中都是以路由过滤及策略表形式提供的。由于虚拟网络去掉于网成员的物理限制，一个工作组中的所有成员都在同一个VLAN中，而且路由器用来控制出入工作组的存取。由于路由器的交通负载减少了，其带宽可以用在更迫切的安全性要求上。 　　三、数据加密技术 　　加密是提供保密性、真实性、完整性和数据存取权限的强有力工具。对数据进