电力企业系统信息网络安全及防护措施探讨.docVIP

电力企业系统信息网络安全及防护措施探讨 　　摘要：从电力系统信息网络的安全角度出发，结合国家电网目前的电力信息系统和信息网络在电力信息安全上的一些问题，并提出了防护电力信息安全风险的技术和管理措施。 　　关键词：电力信息系统：安全防范；措施 　　中图分类号：F407.61 文献标识码：A 文章编号： 　　前言 　　随着近年来自然灾害的发生，在我国极大地破坏了国家电网公司的属下电网，造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等)，也将危及电网的安全运行。研究电力信息安全问题，开发相应的应用系统，设计出系统的安全防护方案，制定电力信息系统遭受外部攻击时的防范措施以及系统恢复措施等，进行信息安全应急预案是非常重要的。 　　1 电力信息安全存在的问题 　　国家电网已经构建了一个较完善的电力信息系统，并初步建立了电力信息系统的安全体系，实现了电力信息网络和电力运行实时控制网络的隔离，在网络间设置了防火墙，购买了网络防病毒软件，设有数据备份设备。但仍有很多单位没有网络防火墙，没有数据备份的观念，更没有对网络安全做统一长远的规划，信息网络中尚存在许多风险和问题。 　　(1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安全策略和技术取得了非常大的进展，但在电力系统各种计算机应用中，对信息安全的认识跟实际需要差距较大，对新出现的信息安全问题认识不足。 　　(2)缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视，但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。 　　(3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来，计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是，在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。 　　(4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网，并没有同外界连接。所以，早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后，就必须要面对国际互联网上各种安全攻击，如网络病毒和电脑“黑客”等。 　　(5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发，用户身份认证基本上采用基于口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今，这种脆弱的安全控制措施已不能再用了。 　　(6)没有完善的数据备份措施。目前，很多单位仅选择一台工作站备份一下数据，没有完善的数据备份设备，没有数据备份策略，没有数据备份的管理制度，没有对数据备份介质的妥善保管。 　　2 电力信息安全的防护措施 　　鉴于电力信息安全的重要性，国家电网公司及其属下各单位应制定一系列相关的防护措施，以保证电力信息系统的安全。 　　2．1建立电力信息安全体系的防护框架 　　应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况，建立电力信息安全体系的防护框架(见图1)按照信息业务功能，电力信息系统可以划分为3层：第一层为自动化系统；第二层为生产管理系统；第三层为电力信息管理系统。针对电力信息业务的这种层次结构，电力信息安全体系的防护框架采用分层、分区进行防护。①进行分层管理，按照电力信息业务的3层功能，层间使用隔离装置实施网络间隔离。② 进行分区管理，将电力信息业务的3层功能与电力信息网结构对应起来，具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区4个区。各区之间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。 　　2．2采用各种安全防护技术措施 　　(1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术，如RAS算法)。 　　(2)信息确认和网络控制技术。当前，成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术，这些技术都是基于计算机网络开展的，涉及业务信息安全的主要技术，应根据电力企业业务系统的性质、任务，制定最优控制策略。 　　(3)计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展，应在省公司及区域电网建立计算机防病毒网络中心，实施网络化管理。 　　(4)防“黑客”攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度，制定相应的防“黑客”攻击措施，重点是要检测系统信息安全漏洞予