摘要:隨著電力生產信息化的發展�����,信息安全已是關系電力生產存亡和發展的重要方面��。本文討論如何加強信息安全����,才能全面提高電力生產的信息化�。
1��、電力生產中信息安全的重要性及涵蓋方面
信息化為電力安全所依賴�;電力信息化中的信息安全��,又是核心的環節�。隨著計算機和信息技術的發展�����,電力生產中各個調控系統都需要網絡上傳遞信息��,通過網絡實現信息化及管理的有效化���。信息化條件下的電力市場��,需在調度中心�����、電廠��、用戶之間進行的大量的數據交換�����,水電廠����、變電站采用大量的遠程控制���,因此�。新形勢下對電力控制系統和數據網絡的安全性���、可靠性提出了新的挑戰�。電力生產系統中����,不同的系統根據其應用狀況具備不同的安全特性���。如調度自動化系統等控制系統屬于內層實時監控����。與實時系統直接相連��,與其他系統屋里隔離��;MIS���、辦公自動化等系統屬于外層���,通過防火墻與因特網相連��。在電力系統專用通信數據網絡的應用中��,有直接光纖����、數據網絡��、信息網絡等3種方式���,不同的應用也采取了不同的方式�。繼電保護���、安全自動裝置直接采用光纖或SDH進行信息的傳輸���;遠動數據���、AGC遙凋���、SCADA遙控�����、計量計費�����、故障錄波等可采用不同信道的SDH或ATM交換網絡進行傳輸���;在此之上可采用IP交換信息網絡進行報價及結算�、辦公自動化及信息管理系統的應用���,并通過防火墻與因特網相連����。
2�、信息安全的實現
2.1物理設備安全—一網絡系統中的設備物理技術
物理設備是整個網絡的基礎��,整個信息網絡的正常運行離不開物理設備的安全��。物理設備包括網絡�、路由器�、防火墻�����、交換機和應用于網絡互連的服務器�,同時還有各種提供不同網絡服務的服務器����,如:網絡管理服務器����、域名服務器����、用戶認證和授權等�。物理設備的安全影響著整個電力信息網絡安全����。要有效地保護物理設備的安全�,必須從以下兩個方面著手:其一是控制可接觸物理設備的人數并控制其權限�,使得非授權的人員無法接觸相關物理設備����。二是注意環境安全保護���,確保物理設備不因環境問題而產生故障���,實現局域網絡�����、互連網絡和數據中心網絡安全隔離的措施��。
2.2網絡系統安全
要確保網絡安全�,需要在電力系統網內設置默認網關�����,設置ACL控制以提供財務���、營銷����、客服等服務器的訪問控制��。防火墻能有效地防止外來的人侵�,它在網絡系統中的主要作用是:阻止外部惡意的掃描和攻擊����;控制進出網絡的信息流向和信息包���;隱藏內部IP地址及網絡結構的細節��。要增強攻擊防范的能力�����。由于TCP/IP協議的開放特性���,尤其是IPv4�,缺少足夠的安全特性的考慮�,帶來了非常大的安全風險��。常見的口掃描以及危害非常大的拒絕服務攻擊等�,必須能夠提供對這些攻擊行為有效檢測和防范��。在信息防護方面可采用信息隱藏技術��。信息隱藏是信息安全研究領域里的一種新興技術��。它把秘密信息嵌人一公開信息中��,然后通過公開信息的傳輸來傳遞秘密信息�。
2.3應用系統安全———安全系統
應用系統的安全性建設過程涵蓋了應用系統的規劃�����、設計����、實施/驗收����、運維等各階段應用系統在規劃階段�,需重點完成以下安全性工作:
(1)確定安全性策略需求����。根據企業的安全策略總體要求�����,制定系統安全策略框架����。
(2)分析系統遭受攻擊���、信息泄漏�����、系統不可用等安全性問題對業務的影響�。
(3)安全風險分析�����。構建一個安全的應用系統必須對可能存在的安全風險進行分析�����。對系統運行環境進行分析而完成的安全性設計應包括操作系統�����、計算機硬件�����、網絡�����、物理安全和管理安全等方面��。
2.3.1要確保應用系統的安全����,可以采用防病毒系統技術
可以啟動防火墻身份認證功能�,通過內置數據庫或者標準Radius屬性認證�,實現對用戶身份認證后進行資源訪問的授權��,進行更細粒度的用戶識別和控制��;根據需要����,在兩臺防火墻上設置流量控制規則��,實現對服務器訪問流量的有效管理��。有效地避免網絡帶寬的浪費和濫用����,保護關鍵服務器的網絡帶寬����。根據應用和管理的需要�����,設置有效工作時間段規則����,實現基于時間的訪問控制��,可以組合時間特性�,實現更加靈活的訪問控制能力在防火墻上進行設置告警策略����,利用靈活多樣的告警響應手段����,實現攻擊行為的告警����,有效監控網絡應用?啟動防火墻日志功能���,利用防火墻的日志記錄能力�,詳細完整地記錄日志和統計報表等資料�,實現對網絡訪問行為的有效控制��。
(1)防火墻:
防火墻實際上是一組系統��,它邏輯上處于內部網和外部網之間并由一組保證內部網正常安全運行的軟硬件有機的組成��,其最基本的構建是構造防火墻的人的思想�。它提供可控的網絡通信���,只允許授權的通訊��。一個典型的防火墻由包過濾路由器��、應用層網關�����,電路層網關等構成��。
(2)身份認證:
身份認證技術是為主機或最終用戶建立身份的主要技術���。在網絡中為了確保安全����,必須使特定的網絡資源授權給特定的用戶使用�,同時使得非法用戶無法訪問高于其權限相關網絡資源�����。在實際認證過程中可采取如口令�、密鑰��、智能卡或指紋等方法來驗證主體的身份����。一般在廣義的網絡我們采取CA即證書授權的意思��。在網絡中����,所有客戶的證書都是由證書授權中心即CA中心分發并簽名.該證書內含公開密鑰�����,每一個客戶都擁有一個屬于自個的私密密鑰并對應于證書���,同時公開密鑰加密信息必須用對應的私密密鑰來解密�。
2.3.2入侵檢測是防火墻的合理補充.幫助系統對付網絡攻擊��,擴展了系統管理員的安全管理能力�,提高了信息安全基礎結構的完整性入侵檢測系統的主要功能有:監測并分析用戶和系統的活動�;核查系統配置和漏洞:系統構造和弱點的審計���,評估系統關鍵資源和數據文件的完整性��;識別已知的攻擊行為�����;統計分析異常行為��;操作系統日志管理���,并識別違反安全策略的用戶活動�����。它從計算機網絡系統中的若干關鍵點收集信息����,并分析這些信息���,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象��。入侵檢測被認為是防火墻之后的第二道安全閘門��,在不影響網絡性能的情況下能對網絡進行監測�,從而提供對內部攻擊����、外部攻擊和誤操作的實時保護����。它具有以下一些特點:可靠性�,必須在無人監控環境下可靠穩定運行�;容錯性�����,入侵檢測必須是可容錯的�,即使系統崩潰��,也必須能保留下來���;可用性�,運行時系統開銷應該最小�,不影響系統性能����,可檢驗���,必須能觀察到違法行為���;易開發性�����,易于進行二次開發����;可適應性���,檢測系統必須能隨時追蹤系統環境的變化����。準確性�����,檢測系統不會隨意發生誤警報����、漏警報�����;安全性�����,檢測系統必須難以被欺騙和有效保護自身安全�。
