浅谈电力企业网络安全分析与防护

箍霸　信息科学　２９　浅谈电力企业网络安全分析与防护　王颖　（沈阳超高压局，辽宁沈阳１１０００３）　摘要随着计算机技术的不断发展，计算机网络已经，一泛地应用到电网企业，但由于操作系统、硬件系统的缺陷以及系统管理方面的漏　洞．…现许多安伞隐患一详细论述网络信息安全的必要性和实施方法，对实际工作具有一定的指导意义。　关键词电力企业；　络；安全；分析与防护　中图分类号ＴＭ　文献标识码Ａ　文章编号１６７３—９６７１一（２０１０）１１２—００２９一叭　随着计算机技术的不断发展，计算机网络已经广泛地应用到电网企　业，给食业带来极大的方便。但同时，由于各种操作系统、有关硬件系　统的缺陷以及各种系统管　力＿而的漏洞，导致了许多安全隐患，使得计　算机系统经常受到病毒和黑客的攻击，出现了许多严重的安全问题。已　威胁到电力系统的安全、稳定、经济、优质运行，影响着数字电力系统　的实现进程。电网企业信息安全是电力系统安全运行和对社会可靠供电　的保障，是一项涉及电网调度自动化。继电保护及安全装置、厂站自动　化、配电网自动化、电力负荷控制、信息网络系统等有关生产经营和管　理方面的多领域，复杂的大型系统下程。　５）数据的备份策略要合理，备份要及时，备份介质保管要安全，　要注意备份介质的异地保存。　６）加强信息设备的物理安全，注意服务器、计算机、交换机、路　由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。　７）注意信息介质的安全管理，备份的介质要防止丢失和被盗。报　废的介质要及时清除和销毁，特别要注意送出修理的设备上存储的信息　的安全。　２＿２技术措施　１电网企业信息网络安全风险分析　计算机及信息网络安全意识亟待提高。各种计算机应用对信息安全　的认识离实际需要差距较大，对新出现的信息安全问题认识不足。缺乏　统一的信息安全管理规范。电网公司虽然对计算机安全一直非常重视，　但由于各种原因，目前还没有一套统一、完善的能够指导整个电力系统　计算机及信息网络系统安全运行的管理规范。　计算机网络化使过去孤立的局域网在联成广域网后，面临巨大的外　部安伞攻击。电力系统较早的计算机系统一般都是内部的局域网，并没　有同外界连接。所以，早期的计算机安伞只是防止外部破坏或者对内部　人员的安伞控制就可以了，但现在就必须要面对国际互联网上各种安全　攻击，如网络病毒、水马和电脑黑客等。　数据库数据和文件的明文存储。电力系统计算机网络中的信息一般　存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形　式存储的信息存在泄漏的可能，拿到存储介质的人可以读出这些信息；　黑客可以饶过操作系统，数据库管理系统的控制获取这些信息；系统后　门使软硬件系统制造商很容易得到这些信息。弱身份认汪。电力行业应　用系统基本上基于商业软硬件系统设计和开发，用户身份认证基本ｊ二采　用口令的鉴别模式，而这种模式很容易被攻破。有的应用系统还使用白　己的用户鉴别方法，将用户名、口令以及一些安全控制信息以明文的形　式记录在数据库或文件中，这种脆弱的安全控制措施在操作人员计算机　应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有　完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了　事，没有完善的数据备份没备、没有数据备份策略、没有备份的管理制　度，没有对数据备份的介质进行妥善保管。　２网络信息安全防护方案　２　１管理措施　技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实　践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能　有所保证。　１）提高安全防范意识。拥有网络安全意识是保证网络安全的重要　前提。许多网络安全事件的发生都和缺乏安全防范ｊ苣识有关。　２）要加强信息人员的安全教育，保持信息人员特别是网络管理人　员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调　离时的网络机密的泄露。　３）对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，　不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码　定要更新。　４）技术管理，主要是指各种网络设备，网络安全设备的安全策　略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切　合实际。　一１）信息网络中按照各种业务安全等级的不同划分ＶＰＮ充分做好信息　传输时的安全隔离。　２）配备防火墙。以实现本局与外局之间及不同安全等级业务之间　连接的访问控制。防火墙是指设计用来防止来自网络体系结构的一个不　同部分，或对网络体结构的一个不同部分没有得到授权访问的系统。防　火墙可以通过软件或硬件来实现，也可以两者结合。防火墙技术有以下　几种：数据包过滤器、应用程序网关、电路张的网关以及代理服务器。　在实践中，许多防火墙同时使用这些技术中的两种或更多。防火墙通常　被认为是保护私有系统或信息的第一道防线。　３）入侵检测系统。作为防火墙的补充，须在内部关键业务网段配　备入侵检测系统。入侵检测是指监控并分析汁算机系统或者网络上发生　的事件，以寻找人侵迹象的过程。在各关健业务的边界布置ＩＤＳ（人侵　检测系统）探头以防备来自内部的攻击及外部通过防火墙的功击。　４）网络隐患扫描系统。网络隐患扫描系统能够扫描网络范围内的　所有支持ＴＣＰ／ＩＰ　议的设备，扫描的对象包括扫描多种操作系统，扫　描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。　在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。扫描结　束后生成详细的安全ｉ＇４４－３报告，采用报表和图形的形式对扫描结果进行　分析，可以方便直观地对用户进行安全ｌ生能评估和检查。　５）网络防病毒软件。为保护电力信息网络受病毒侵害，保证网络　系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。以　服务器作为网络的核心，对整个网络部署查、杀毒，服务器通过Ｉｎｔｅｒｎｅｔ　从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。同时，　选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各　种应用软件。　６）配备安全评估系统，定期对电力网络系统进行扫描，主动发现　安全漏洞，及时修补。　７）关闭不用的服务，给系统打补丁，重要主机单独设立网段，定　期检查系统日志文件，在备份设备上及时备份，定期检查关健配置文件　（最长不超过一个月）重要用户的口令应该定期修改（不长于３个月）　不同主机使用不同的口令。　８）配备灾难恢复系统，防备意外发生。总之，Ｉ碉络安全是一个综　合性的课题，涉及技术、治理、使用等许多方面，既包括信息系统本身　的安全问题，也有物理的和逻辑的技术措施，一种技术只能解决一方面　的问题，而不是万能的。为此建立有中国特色的网络安全体系，需要国　家政策和法规的支持及集团联合研究开发。安全与反安全就像矛盾的两　个方面，总是不断地向上攀升。　解决计算机网络安全的措施有很多，仅靠其中的某一项或几项是很　难解决好网络安全问所以安全产业将来也是一个随着新技术发展而不断　发展的产业题的。在具体工作中还需要根据网络的实际情况做出细致而　全面的多级安全防范措施，尽可能提高网络系统的安全可靠性。