电力信息系统信息安全技术.docVIP

电力信息系统信息安全技术 　　摘 要 电力系统信息安全问题是关系到电力生产与供需运营的重大问题，采取相应技术措施保障电力信息安全是为了保障能源供应顺畅而值得研究的一个课题。本文主要简要论述了六大电力系统信息安全技术来保障信息的安全。 　　【关键词】电力 信息系统 安全 网络技术 　　电力作为国民经济发展所需的主要能源保障之一，其信息系统的安全问题是电力系统自动化进程中需要格外关注并解决的。就系统而言，其危险源来源于内部及外部两方面，所以，解决系统安全问题也可从内外两方面来着手。基于电力信息系统信息安全区别于其它系统的特殊性，结合当前计算机安全技术的一些关键技术应用，初步总结出几大电力系统信息安全技术，供新建、改建、扩建或已建电力系统更新参考。 　　1 安全系统构建 　　电力行业属于垄断性行业，安全系统初始构建是国电集团的大信息网络构建的一部分，通常是在电力系统建设阶段形成，国电集团目前的信息网络是由各省及省下面的各地市级网络供电局所组成的一个大型广域网，集团及各省企业公司通过它来管理各种信息资源，各网络之间利用分组交换以及数字网络复接技术，相对独立成为一个单独的数据通信网络。这种布局，能够解决信息质量及安全的初步要求，大体能够保证数据信息及时可靠、完整有效。 　　2 安全硬件堡垒――防火墙技术 　　防火墙是内网与外网信息数据互通的进出口，其关键在于这个进出口的唯一性，亦即“必经之路”，所有的Internet访问均不可能绕过它而产生连接，为此，在此处加强技术力量保障安全的效力是显而易见的。当前的电力信息系统防火墙基本是有设置保护的，但是较普遍的是设置不够保险，最高级别的保密策略应是拒绝一切未经准许的连接请求，于是，选择“缺省全部关闭，按需求开通的原则”是必须遵循的，同时，需要禁止远程协助等容易导致防火墙失控的各类危险服务，如Telnet、NNTP、NFS等。此外，还可采取在不同安全区之间设置专用物理隔离墙的措施，使保护更加隐密，增加安全系数。 　　3 安全软件―病毒防护技术 　　病毒往往是从漏洞处进入系统的，这就要求电力信息系统网络应形成一个整体的防护罩，任何的缺漏都将使全局防护失效。服务器、工作站、主机、各用户均应完善杀毒软件。网络防毒系统可以采用C/S模式，首先，利用服务器网络核心功能，在服务器端先行安装杀毒软件，然后派发到各工作站及用户，客户端安装完软件后，通过Internet与服务器联成一体，并利用LiveUpdate（在线升级）功能，从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库，根据需要选择扫描方式，从而完成整个网络的查杀布署工作。扫描方式可选自动扫描或人工扫描、实时进行或预定进行、升级后扫描或开机后扫描等。防护软件可根据电力信息网系统特性与病毒软件商联合制作，不求最贵，但求最经济适用。由于病毒扫描进程将使服务器性能降低，因此如采用预置扫描方式，建议将扫描时间设定在服务器访问率最低的夜间。 　　4 入侵检测系统技术 　　为了应对黑客的攻击，入侵检测系统作为一个功能强大的安全保障工具，应推荐应用于各电力企业，其采用先进的攻击防卫技术，通过在不同的位置分布放置检测监控装置，能够最大限度地、有效地阻止各种类型的攻击，特点鲜明，安全可靠。入侵检测系统中心数据库应放置在DMZ区，内网、各监控引擎应与中心随时保持通讯，针对入侵反馈信息，通过预先设置好的安全策略启动相应报警及防卫程序。入侵检测系统还可以在事后清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。 　　5 安全技术管理优化 　　首先，应提高电力信息系统使用人员的风险认识。电力信息系统使用人员不得从外网上随意下载性质不明的资料、软件等，不得随意修改系统密码或是执行有泄漏密码可能的操作，确实应进行相关操作时，刚下载的资料、软件应第一时间进行杀毒，尽最大可能地杀死可能携带的病毒，不给不法分子可乘之机。 　　其次，各类密码设定和妥善管理。系统内应保证密码的隐密性，杜绝使用默认密码、出厂密码或者无密码，不使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。密度强度应以区别大小字的英文字母与阿拉伯数字、字符组合的形式设立。 　　再者，加强对系统安全的检测管理。系统使用人员及安全管理人员应定期对信息系统进行检测维护，包括检查系统功能状态、病毒库更新状态、设备陈旧状态、数据异常状态等各类信息。重要文件应养成加密及备份的习惯，对于文件安全，通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高信息，如电子公文、MAIL等在传输过程中