如何保障电力系统内部网络信息安全浅谈
2013-04-29梁贝朱吉祥
梁贝 朱吉祥
摘要:随着电力系统信息化建设步伐的不断加快,计算机网络技术在电力系统的应用日趋广泛。但从整体情况看,电力系统的网络信息安全还存在很多问题,网络信息安全工作明显滞后于网络建设。本文主要针对现阶段电力系统内部网络信息安全存在的问题,从网络安全技术及网络安全管理两方面提出了相应的解决方案。
关键词:电力系统 网络 信息安全
当前,我国国民经济和社会信息化建设持续加速,信息技术在各个领域的发展进程中扮演着不可替代的角色,网络与信息系统的基础性、全局性作用逐渐增强,成为国家的关键基础设施。随着信息化的发展,信息安全问题日益增加、日渐突出。网络攻击、病毒传播、垃圾邮件等迅速增长,利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升,严重影响网络的正常秩序,损害人民群众的利益;网上色情、暴力等不良和有害信息的传播,严重危害青少年的身心健康;针对网络和信息系统的破坏活动以及网络与系统自身的问题,严重影响着通信、金融、能源、交通等关键基础设施和基础产业的正常运转;境内外敌对势力利用网络与信息技术手段所进行的反动宣传、渗透和攻击,对社会政治稳定造成威胁。
电力工业作为国民经济的支柱产业。随着计算机网络及电网自动化水平的高速发展,一旦信息安全出现问题将危及电网的安全稳定运行,从而造成无法估量的损失和影响。电力系统的网络安全是一项比较复杂的信息系统项目,它涉及安全技术和安全管理两大范畴。就安全技术而言,它又涵盖了现代通信技术、计算机技术、网络技术、密码技术等,是一项跨学科的综合性信息系统工程。它是安全功能要求及安全保护等级最高的电力系统计算机网络。
因电力系统办公网络普遍实施了双网隔离,所以我们仅就内部网络的信息安全问题做一简单探讨。大量事实表明,在所有的网络攻击事件当中,来自企业内部的攻击占有相当大的比例,这包括了怀有恶意的,或者对网络安全有着浓厚兴趣的员工的攻击尝试,以及计算机操作人员的误操作等。内部人员知道办公网络的拓扑结构、有价值的数据的存放地点以及采用了何种安全防范体系。因内部人员攻击来自区域内部,往往难于检测和防范。那么,采取什么样的方法才能对内部网络终端信息数据起到强有力的安全保障呢?下面我从以下三个方面谈谈自己的看法。
1 在人的层面上保证信息的安全
加强员工的思想、道德、操守教育,提高其对信息安全重要性的认识,增强自我约束力,在人的层面上保证信息的安全。
员工是企业的载体,是企业各项活动的参与者,是企业各种制度的履行者。因此要想做好信息安全工作,首先要加强员工思想教育,使员工从思想上重视信息安全,充分认识到信息安全工作的重要性。只有在思想上重视,将信息安全工作融入到潜意识中并潜移默化,各项规章制度执行起来才能顺畅有成效,如果员工总是想着如何规避信息安全规章制度,做什么事都图方便、图省事、怕麻烦,对公司各种指令阳奉阴违,不按规章制度走程序,或者更严重的去想如何窃取信息,相信信息安全工作是做不好的。另外从另一个角度来看,企业的政令得不到有效执行,还要花精力研究新的规章制度并贯彻执行,这在某种程度上来说是增加了企业的运行成本。
加强员工道德、操守教育就是要树立一种以保护信息为荣,泄露、窃取信息为耻的道德观念。科学技术的发展为信息的传递提供了便捷条件,今天一个电子邮件,一个大拇指大小的U盘,一条短信息都能轻松、便利、快速的将信息传递出去,而传统办公条件下几个档案箱的纸质文本文件用一个U盘就能装下,这也意味着:公司的机密文件和信息用U盘这样小的工具就能被不良企图的员工轻易的带走,为信息的泄露和窃取埋下了隐患。因此,企業的信息安全在良好周密的规章制度做保障的同时,培养高素质、具有良好道德操守的员工也至关重要,否则再好的规章制度也会形同虚设。
另一方面,加强员工思想、道德、操守教育也是对员工保护和关爱的一种体现。从前不久发生的中国宏观经济数据被泄露案件中我们不难看出,如果企业加强了员工思想、道德、操守教育,使员工能够认识到信息安全的重要性,从自我做起,严格要求自己,就一定能够避免公务人员因泄密而获刑这种悲剧的出现,因此做好信息安全工作从某种程度上来讲也是对员工的一种保护和关爱。
2 制度建设是搞好网络信息安全工作的基础
制定详细周密的信息安全管理制度,在制度的层面上保证信息的安全。俗话说:“没有规矩,不成方圆。”规矩在人们的生活中占有十分重要的地位,信息安全同样需要相应的规章制度做保证。我公司对办公电脑及其周边设备实行“谁使用、谁管理、谁负责”的管理方法。在管理方面我们一是坚持“制度管人”;二是提高员工操作技能、强化信息安全知识教育。信息中心成立伊始就制定了针对网络信息安全方面的多个规章制度。例如:资料管理制度、机房管理制度、网络安全管理制度、计算机等办公自动化设备管理制度、移动存储介质使用管理制度、信息系统数据备份介质管理制度及废弃介质处理制度、口令管理制度等。通过这些制度的建立和组织大家认真学习网络信息安全方面的知识,使大家能够正确认识网络信息安全工作的重要性,将其放到等同于生产安全的高度,能在日常工作中自觉地按照要求较为规范地使用办公自动化设备及处理各种网络信息。对特殊岗位人员要求做到密码经常更新;数据经常备份、整理;做到上外网计算机不涉密,涉密计算机不上外网。
3 在技术的层面上保证信息的安全
从“人防”到“技防”,从软件和硬件着手,两手并重,在技术的层面上保证信息的安全。
当前,复杂的网络环境使企业网络的安全运行面临多重考验,加之各种网络产品或网络技术层出不穷,这对我们所设计的网络安全解决方案的安全防御功能提出了更高的要求。我们的总体目标是借助信息与网络安全工程的实施,构建一整套企业信息与网络系统的安全防护体系,应用相应的安全防护技术提高企业网络终端信息的安全等级。
3.1 设置网络防病毒系统
网络出口处应设置反病毒网关。将专业的防毒插件配装在邮件服务器上,为邮件传输提供安全保障。将统一的防病毒软件客户端安装在服务器和客户端上,构建一个辐射范围涵盖互联网以及系统、邮件、磁盘、光盘的病毒防护网。
3.2 安装安全防火墙
在访问信息系统的过程中,为防止信息系统被病毒感染,确保信息安全可靠,需要安装专业的病毒防护设备来设置访问权限,提升信息系统的安全等级。就现阶段的网络安全技术而言,既能满足安全防护需求且最具性价比优势的网络安全防护设备就是防火墙。通过安装的防火墙,可以在不同安全区域(如:内部,外部、DMZ、数据中心)网络之间构建一个安全控制点,通过对途经防火墙的数据流执行拒绝、允许或重新定向的设置,来实时审计或隔离进出内部网络的各种服务或访问,从而避免内网被携带病毒的外网信息所感染。
3.3 部署入侵检测系统
入侵检测系统作为防火墙的补充,能够识别和抵御来自外网的黑客攻击。入侵检测系统是网络/计算机安全技术的一个分支。它能够快速识别并隔离不法入侵者的访问行为。非法入侵者主要通过互联网、拨号连接或从内部网络直接攻击防火墙、服务器或路由器。
有的安全防护措施的防护范围有一定的局限性,入侵检测系统不仅可以很好地弥补这些防护措施的缺陷,而且能实时收集非法入侵的证据,为诉讼提供法律依据。该系统通常包括两类,一类是基于主机的实时入侵检测系统,另一类是基于网络的实时入侵检测系统。
3.4 配置漏洞扫描工具
漏洞扫描是一项非常关键的网络安全防护技术。该技术通过模拟攻击,逐项检测可能存在于数据库、应用系统、路由器、服务器、工作站、防火墙等网络元素中的安全漏洞,基于检测数据制定具体的漏洞描述及修复方案,并形成系统安全性分析报告,以便网络管理员参考分析报告完善网络系统。漏洞扫描器就是我们通常所说的完成漏洞扫描的软、硬件或软硬一体的组合。
3.5 部署综合审计系统
网络安全审计,即基于企业的网络运行环境,为防止非法用户破坏或窃取企业网络信息,而通过各种技术手段对网络运行过程中所有组成部分的系统状态、网络操作和安全事件进行实时监控,为集中预警、分析处理提供客观依据的一种技术手段。
网络审计包括行为审计和内容审计。其中,前者主要审计包括邮件收发、网页浏览、信息下载等行为在内的所有网络操作行为。后者则是基于前者对网络操作行为的监控,综合审计网络操作行为的审计。内容审计可以使实施关注内容安全的管理人员知晓重要数据是否经加密处理就在网络上传输,有无内部涉密文件被盗或被发出;网络运行中是否有用户浏览不良网页;是否有非法用户通过博客、论坛等网络社交工具散播不法言论;用户是否通过即时通信工具交流内部或涉密的话题。
3.6 部署终端桌面安全管理系统
企业内部的网络运行环境中包含多个多层次、流动性强的终端用户。这些中断用户普遍缺乏网络安全防护意识,在网络操作过程中很可能因为不规范操作而使公司网络染上病毒,进而出现非授权访问、终端资源浪费、恶意终端破坏、信息泄密等安全事件。终端安全管理系统的接入有效隔离了不法网络终端的入侵;对有权访问企业网络的终端进行根据其账户身份定义的安全等级检查和接入控制;检查相关的内部成员的操作行为,以规避内部成员因不规范操作或非法操作对企业网络环境造成的安全威胁。强化内部成员网络行为的监控力度,可以对内部成员产生震慑力,进而提高内部信息系统的安全等级,将企业的信息安全管理规定通过技术的手段得到落实。
3.7 建立企业身份认证系统
传统的口令认证方式操作简便,但安全等级低,操作过程极易被非法用户窃听或重放,加之现代经济制度下的网络环境更加错综复杂,传统的认证方式的安全等级已落后于现代网络安全技术,因而网络安全市场中纷纷出现了多个更为先进的认证方式,如生物识别、智能卡、动态口令或数字证书等。现阶段,企业多应用PKI技术体系的身份认证系统来完成企业内部保密等级较高的信息交互,该系统除了具有较高的保密等级以外,还可以确保信息交互的真实性和完整性,可以从专业防护的角度保证企业信息资源的访问得到正式的授权。
4 结语
当前复杂的网络环境中,电力系统信息安全面临严峻的考验。但通过必要的管理和技术手段,是能够为企业的信息化发展构建一个安全可靠的网络环境的。
参考文献:
[1]林海波(Lin Haibo).网络安全与防火墙技术(Network Safety and Firewall)[M].北京:清华大学出版社(Beijing:Tsinghua University Press),2000.
[2]胡炎,董名垂,韩英铎(Hu Yan,DongMinchui,Han Yingduo).电力工业信息安全的思考(Secure Solution for Electric Industry Information System)[J].电力系统自动化(Automation of Electric
Power Systems),2002,26(7):1-4.
[3]张世永.网络安全原理与应用[M].科学出版社,2003.
[4]叶克江.电力行业网络安全技术研究[J].价值工程,2010(28).
[5]張志一.网络安全技术研究[J].中小企业管理与科技(下旬刊),2009(11).