电力企业网络信息安全防护体系的构建
2018-02-07杨博汪文丽
杨博,汪文丽
(国网广水市供电公司,湖北 广水 432700)
1 引言
在电力企业网络信息安全管理领域,黑客、病毒等计算机网络风险因素的存在,对电力企业网络信息系统稳定运行造成了极大的威胁。而通过电力企业网络信息安全防护体系的构建,可以从根本上增强电力网络信息抗风险能力,为电力体系安全运营提供保障。因此,在电力行业信息化改造过程中,加强计算机网络信息安全防护管理具有非常重要的意义。
2 电力企业网络信息安全现状及问题
2.1 电力企业网络信息安全现状
十三五期间,电力企业信息化进入高速发展阶段。在我国《国家信息化发展战略》的带领下,依据信息化推动工业化这一历史目标,电力企业开展了全面信息化建设。现阶段电力企业信息化管理系统已覆盖了电力企业基础设施建设、人力资源管理、财务信息管理、营销财务管理等多个模块。
2.2 电力企业网络信息安全问题
电力企业网络信息安全主要包括工作环境安全问题、网络协议风险、计算机病毒侵害等几个模块。其中工作环境安全问题主要为数据库系统安全漏洞;而网络协议风险主要为TCP/IP协议开放性导致的SMTP、Telnet风险问题;计算机病毒可通过代码程序执行的方式对电力信息网络系统造成危害[1]。
3 电力企业网络信息安全防护体系构建原则
3.1 全方位管理
电力网络信息安全防护体系需涵盖电力信息网络建设、管理、运行、维护等整个过程。即除部分核心模块增设防火墙以外,还需要依据信息安全生命周期特征,开展安全管理方案预先制定、人员安全培训教育、工程实施安全管理等工作。
3.2 分级保护
在电力企业网络信息安全防护体系构建过程中,根据电力企业信息网络资产应用等级、资产风险等级的区别,需制定相应等级安全管理方案,并确定相应等级资产管理安全标准。
3.3 动态调整
针对电力网络系统风险特征,电力企业网络信息安全维护人员也需要及时调整以往安全维护方案,或者增设新的技术。
4 电力企业网络信息安全防护体系构建方法
4.1 明确电力企业网络信息安全防护组织体系设计目标
首先,依据电力企业运营管理特点,电力信息安全主要可划分为三个等级。基础等级为电力系统物理威胁控制;二级信息防护为电力企业内部财务信息管理;三级信息为电力企业内部核心管理信息防控;四级信息为全面信息安全管理。在电力企业网络信息安全防护时期,相关工作人员可以针对具体信息等级的变化,设定相应层次的安全管控服务目标。
其次,电力企业信息安全防护体系在实际运行阶段,电力企业网络信息安全防护人员需借鉴OOD、Middle Ware思想,加强常规数据信息管理。结合密匙管制计划的预先设置,为后期电力网络信息安全防护工作顺利开展提供依据。
最后,现阶段电力企业网络信息安全防护体系主要包括安全技术、安全管理两条主要线路。其中安全技术主要包括认证控制、冗余恢复、审计响应、冗余恢复、内容安全、鉴别认证等几个模块;而安全管理则包括安全运作管理、安全组织管理、安全管理策略几个模块。依据电力企业网络信息安全防护体系管理情况,可以IS015408信息技术安全评价国际标准为主导,结合电力信息安全体系应用标准IS027001的相关规定,设定电力IT系统产品技术指标及管理指标。如依据电力企业自身信息安全需要,依据IS027001标准对应域要求,可导出具体管理域控制目标及控制项目。
4.2 优化电力企业网络信息安全防护结构
首先,在电力企业网络信息管理过程中,依据电力信息系统需要,可采用PKI作为安全管控基础工具。即利用PKI身份认证、数据完整性维护、数据保密等安全服务功能,依据X.509标准,以Certificate Authorization为核心,进行电力企业网络信息安全防护体系的构建。通过有限用户团体证书的签发,构建层次化安全证书管控结构。
其次,依据电力企业信息系统运行特点,基于PKI的电力企业网络信息安全防护结构主要包括网络端、省市端、区域局、县局等几个模块。在实际CA证书设计过程中,为了满足不同模块电力信息安全管理的需要,可在CA证书间设置交叉验证模块。同时为了避免CA证书交叉验证混乱对整体电力系统网络信息链的不利影响,可将CA证书框架图与相应模块主体进行关联分析。据此选择鲁棒性较强的认证系统,结合电力行业实时性管理,保证电力企业信息安全防护体系稳定运行。
最后,从物理层面进行分析,整体模块体系结构为三维立体结构,包括安全服务、应用管理层、信息等级管理等三个维度。其中电力企业信息安全防护体系应用管理层主要包括数据链路层、网络层、传输层、应用层等几个模块。在整体系统中TCP/IP协议为主流管控协议,信息服务等级为1级、2级、3级、4级四个等级。在电力信息安全防护系统中,信息等级划分直接影响了信息安全服务效力。以1类信息保护为例,需要从物理层对1类信息进行维护;而对于2类信息,由于其需要与金融机构、电力资源使用客户产生经济网络,且需要通过外部链接网络。因此可依据Internet Engineering Task Force标准,或者Virtual Private Network工具,从网络层入手进行信息安全维护。
电力企业信息安全防护体系主要安全服务类型为数据真实、审计、不可抵赖、数据保密、访问控制、身份验证、数据完整等几个模块。整体网络结构主要是从下层向上层服务。加密、解密是基于PKI的电力企业信息安全防护系统基础性能,依据现代密码学Kerckhoffs假设,在基础加密、解密模块设置过程中,可以密匙保密为核心,进行加密算法、解密算法公开设置,即通过PKI密匙的注册、存储及分发,进行电力企业信息安全机制设置。
此外,针对电力企业信息安全防护特殊性,信息安全服务系统管理人员还需要针对电力信息安全防护盲区,设置适当的灾后恢复、应急响应及战略预警模块。
4.3 完善电力企业网络信息安全防护内容体系
对于电力企业而言,信息安全主要为分布式计算环境信息储存、访问及信息传输安全,在电力企业网络信息安全防护管理体系中,主要具有保密性、脆弱性、真实性、完整性四个方面影响因素。其中保密性主要是通过用户授权的方式进行数据信息访问,没有授权用户不可进入数据访问终端;而脆弱性则是针对电力企业网络信息系统运行过程中可能遇到的安全威胁,如计算机硬件毁坏威胁、工控机兼有威胁、电子窃听、Deny of Service攻击、逻辑炸弹、TCP/IP漏洞威胁等;真实性及完整性主要以保证电力企业网络信息真实完整为主要工作目标。在分布式网络环境中,电力企业网络信息安全防护人员可以综合利用身份验证、抗否认、审计管理、访问控制等方法,从检测、响应、障碍恢复、信息维护等方面,保证全过程电力信息安全保障。
5 结语
综上所述,网络协议风险、工作环境风险等风险因素的存在,对电力企业信息系统稳定运行造成了严重威胁。因此,电力企业信息安全防护人员应针对本企业实际情况,依据全方位防控、分级保护、动态调整等电力安全防护体系构建原则,明确电力企业安全防护体系构建目标,丰富电力企业安全防护内容。结合现代化管理思想的借鉴,构建规范的电力企业信息安全防护体系,为电力企业信息系统安全、稳定运行提供保障。