中国电力企业信息安全解决方案探讨.docVIP

中国电力企业信息安全解决方案的探讨 　　1　综述 　　 　　电力作为国民经济的基础设施行业，在国内较早开始了信息化建设工作。随着电力信息化建设和应用高潮的到来，信息安全问题已日益突出，并成为国家安全战略的重要组成部分。 　　特别是近年来，电力企业信息化管理的网络平台在不断的整合提高应用的效能，电力ERP管理的信息化建设投入日益加大的同时，电力企业也相继在各级网络投入了大量的安全防护措施，期望能够进一步提升安全防护等级，以保障电力企业的信息化管理建设平台的安全性。但是，在信息化的安全保护方面，普遍地看来，目前的有关全建设工作，主要还只是集中在防火墙部署、入侵检测、防病毒等网络基础安全防御方面，企业尚缺乏一个完整的、强有力的信息安全保障体系。“十一五”期间是电力企业的加速发展期，对此，我们认为：――信息安全管理保障体系建设也应该是“十一五”期间电力信息化工作的一个重点。电力企业需要进一步提升信息安全的管控力度，优化信息安全运营流程、规范信息安全管理制度，加强信息安全技术应用，提高信息安全防护能力，从技术的各个层面提供对信息安全的技术支撑并对信息安全的运行进行全方位监控。同时，尤其要注意到必须对实施ERP管理的电力企业，要加强对信息化管理平台的安全保障工作，以确保ERP管理平台的安全运行。总之，随着国家电力事业的发展，电力信息安全管理的应用需求将更加全面地显示出来。 　　因此，更好地研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略，这也是当前和今后一个时期中电力信息化工作的一个重要内容。特别是在电力企业的综合信息管理系统中――比如在ERP信息管理平台中，必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。 　　本文从电力信息系统的整体架构着手，并在此基础上提出了一整套先进、完整、实用，完全满足电力行业需求的系统安全解决方案，主要包括网络安全方案，数据安全方案，容错技术方案和病毒防范方案等，提供给广大电力企业作为应用参考。 　　 　　2　电力行业信息化总体架构 　　 　　总体架构由信息系统集成平台、安全服务支撑平台、业务支撑平台、业务处理平台、业务受理平台、信息交换平台等六大部分组成。 　　 　　其中，信息系统集成平台、业务受理平台、信息安全平台是整个业务系统的基础平台：信息系统集成平台提供网上行政办公、工作流程定制、业务集成等功能，信息安全平台提供基于数字证书的身份认证、数字签名等服务，业务受理平台提供统一业务受理、跟踪、督办等手段，从而实现“一站式服务”；业务处理平台是电力行业常用的一些业务系统，业务支撑平台为业务系统提供一些重要的理论分析或计算工具，从而帮助业务人员在业务过程中进行辅助决策。 　　系统采用浏览器／服务器(B／S)工作方式，统一使用WEB工作界面，便于用户学习、操作、培训。 　　 　　3　电力行业信息安全解决方案 　　 　　3.1网络层安全方案 　　网络层安全方案重点加强了系统的保密管理功能。硬件上它将保密与非保密办公系统进行了严格的物理隔离，创造了良好的保密办公环境。软件上它将保密管理工作，作为数字化办公的重要基础环节，纳入到办公系统中，强化了保密管理工作，提高了保密管理效率。 　　系统的硬件设置如下： 　　 　　系统采用了无盘网络技术，使网络数据存贮介质集中放置，网络软件系统集中控制，并可实现多网络物理隔离切换。 　　系统部署在位于保密室的办公系统服务器，系统软件及数据均在服务器上。用户只是使用无盘工作站上的浏览器进行办公业务处理。 　　 　　 　　3.2应用层安全方案 　　在网络的应用层上，采用严格的身份认证，不同粒度的访问控制，数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的Kerberos V5和基于公钥的X，509证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性、保密性和非否认性检测中，采用了高强度加密算法，数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外，还能无缝地集成到第三方应用系统的安全机制中，做到统一管理。 　　信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求，使信息安全方案没有攻击者可以利用的安全薄弱环节。 　　按照信息安全全面性要求原则，信息安全方案必须包括如下组成部分安全的身份认证安全的身份认证是安全的第一步，不安全的身份认证可能造成用户假冒，使其它安全措施失去作用。 　　通信安全：采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的