新一代电力信息网络安全架构
2020-02-02毕晓云
毕晓云
(国家电投集团信息技术有限公司 北京市 100080)
在我国发展建设中,电力行业有着不可替代的作用,所以各个方面对其十分重视。可以说,电力行业是国家最为基础的一项服务行业,社会发展离不开其支持。现阶段,由于电力信息网络安全系统的不断革新,对于网络安全架构提出了更高的要求。不过就具体情况来看,电力系统受到信息网络很大的影响,从而存在一系列难以避免的问题。为了有效解决这些问题,推出一种新型的信息网络安全架构非常有必要,有助于推动我国电力行业健康稳定的发展与运行。
1 新一代电力信息网络安全架构意义
在信息时代背景下,信息网络已经渗透进社会各个方面,发电企业也不例外,而且随着渗透程度不断深入,网络信息安全显得越来越重要,直接关乎到发电系统能否正常运转。同时在这种背景下,发电企业的经营管理、调度运行等都得依靠信息网络来完成,从而在电力信息网络安全出现问题的时候,便会直接影响到发电企业,如数据被恶意删除与获取,甚至还有可能引发系统瘫痪,不仅对电力企业有着很大的影响,而且还会导致整个社会遭受严重损失。
就整体情况来看,我国发电系统还不是很完善,需要不断的改进和优化,而信息网络的出现则为其提供了良好的基础。通过信息网络的数据支持,发电系统能够迅猛发展起来,使其更加的完善[1]。但是因为社会发展十分快速,所以对于电力信息网络系统提出了更高的要求。为此,结合实际情况积极进行新一代电力信息网络安全架构意义重大。
2 新一代电力信息网络安全架构模型
面对新时代提出的挑战,构建新一代电力信息网络安全架构模型已然成为一种必然的趋势。本次研究主要以安全目标当做核心,针对电力信息网络安全架构中存在的各种问题,从多个角度进行了架构模型的探究,具体如图1。
2.1 信息完全需求
安全需求属性具体有可用性、完整性以及机密性等方面,不过电力业务要想获得进一步的发展,面临着很多方面的问题,安全性便是其中的重要一点,如果以上安全需求三要素不能与时俱进,那将很难有效满足具体需求[2]。针对此,需要相关方面加强重视,科学处理各种类型的安全威胁,并且积极构建相应的防护安全网络。而这就得引入一些合适的属性,如可认证性、可控制性等,同时还有安全需求。
2.2 安全模型维度
模型需要涵盖管理、策略、角色以及技术等多方面,策略主要用来当作规则,而技术属于重点,角色可以提供有力的保障,管理为基础所在。从这几方面积极进行建设,能够很好防范一些安全隐患,并且有效达成安全要求。
2.3 安全模型应用
图1:电力信息网络安全架构模型
在技术维度前提下,对安全信息的运行、测试以及研发等给予防护。这几个层面具备的安全功能有着很大的差异,可以将其归属于互联安全、云安全以及端安全,这样便能很好满足当前阶段的安全防护需求[3]。除此之外,模型还会将一些合适的技术融入到重要环节中,这样有助于完善、闭环信息安全技术支撑体系的构建,有效消除一些安全方面的威胁,上述环节如下:
分级防护:首先就是确定信息系统保护对象,然后结合对象具体情况进行分等级的防护,最后就是综合应用各种技术手段来全面性的保障系统信息安全,具体技术包括身份认证、数据加密、网络隔离等。
事件感知:借助合适的安全监测手段及时发现一些网络恶性行为、风险以及漏洞等,并且发出预警,为防护以及解决措施的制定提供助力。
预警调度:合理应用大数据技术进行安全事件频度、时间等属性的计算,对安全事件的持续时间、扩散范围及时预警,同时还有对一些已经发现的系统漏洞全面性的排查。此外,还应该深入分析网络恶意行为数据,预测可能出现的安全事件,并及时预警。而相关方面便可以结合预警信息,动态化的调度安全防护力量。
应急响应:对于一些预警信息安全事件,应该立即启动应急预案,采取合适的措施对其进行处理,以便有效降低安全事件带来的损害。此外,还需要对事件源进行定位,分析其形成的原因,并采用有效措施进行预防,避免事件再一次的发生。
灾难恢复:在系统遭受恶意攻击之后,应该及时恢复系统,提供正常服务。恢复依赖于对事件预先采取的预备措施,具体有应用级灾备、系统冷热备份等,有助于更快恢复服务。
攻防对抗:安全保护需要主动和被动手段共同应用,具体就是说在防护的同时,还应该对攻击者进行反向对抗。借助相关安全设备,灵活应用各种手段,使得攻击者的攻击失效。必须得注意的一点,对抗应该在必需和必要的时候进行,而且还得严格遵守国家相关法律。
2.4 安全模型评价
相比较于其他模型,在此提出的安全模型在理论上明确定义了新一代电力信息网络安全体系应该满足的安全需求,使其建设不再盲目。本模型涵盖了技术、管理、策略以及角色这几个维度,涉及到了很多的信息安全什么周期理念中蕴含的安全元素,并且很好体现了全面性的信息安全控制与防护思想,特别是在技术层面,本模型很好融合了一些先进技术,创新性很强[4]。从整体角度评价,本模型构建的信息安全防护架构具备很强的全面性,可以很好适应电力信息网络发展需求,解决来自各方面的挑战。
3 新一代电力信息网络安全架构遇见的阻碍
3.1 黑客攻击
随着计算机技术不断发展,电力信息网络应用已经深入电力运行管理的方方面面,使得电力信息网络的经济属性越来越明显。许多黑客为了谋取利益,发起计算机网络攻击频率越来越频繁,这对电力信息网络的安全造成了极大威胁,甚至给国家的电力系统安全造成了极大影响。黑客利用系统的漏洞侵入系统,造成计算机在一定时间内无法正常运行,而且还会在计算机中安装监听或监视程序,从而盗取电力系统的信息,给电力企业造成非常严重损失。
3.2 存在计算机病毒
计算机病毒是人们恶意植入计算机的代码,一旦运行将会对计算机系统和数据造成严重破坏。此外,计算机病毒还具有很强的传播性,一旦某一台电脑中病毒,将会很快的传播给其它计算机。由于计算机病毒具有非常强的隐秘性和潜伏性,这也提升了病毒完全清除的难度,计算机病毒已经成为影响电力信息网络安全性的最主要因素之一。
3.3 计算机硬件的漏洞
计算机安全技术已经得到了飞速发展,使得电力信息网络安全性大幅度提升,但是在计算机运行过程中,计算机硬件漏洞仍然存在。计算机中含有大量的电子元器件,这些器件在运行过程中会向空气中发射大量的电磁波,而不法分子可以通过捕获电磁波的方式来侵入电力信息网络中,导致电力信息网络的泄露。Daniel Genkin等人对计算机运行过程中发出的电磁波进行了深入研究分析,研究发现由于CPU 在解密过程中发出的电磁波中能够破译出计算机的加密密钥,这也使得可以通过计算机发出的电磁波侵入计算机的说法得到了证实。
3.4 网络协议安全漏洞
从电力信息网络中的TCP/IP 协议角度进行分析,主要的功能是使通讯保持正常运行,其次是确保信息的正常传输,最后使数据能够准确性的呈现出来。而TCP/IP 协议有一个漏洞,就是没有内在控制机制来支持源地址鉴别,无法证实IP 地址的真实来源,这使得黑客可以通过各种手段来盗取相关数据,来篡改传输路线,从而来对电力信息网络安全进行破坏。
4 新一代电力信息网络安全架构措施
电力行业有着很好的信息安全基础,新一代电力信息网络安全架构应该秉承着智能防护、自主创新以及协同对抗等原则,根据电力企业实际情况,从多方面下手逐渐形成先进、科学以及合适的新一代信息网络安全架构,为电力企业进一步发展提供有力的保障。具体可以从以下几方面着手进行:
4.1 网络防火墙使用
防火墙目前已经在计算机中应用较为广泛,其网络安全的防护功能实现的关键是过滤系统,过滤系统中拥有与计算机内部结构相对应的规则,例如计算机存储的数据是否安全,防火墙会对存储数据进行检查,然后与过滤系统中的安全规则进行对比分析,如果数据符合规则,则认为是安全的,计算机将继续运行和转发,否则认定为不安全,系统给予屏蔽。此外,防火墙中的代理技术、应用层网关都可以实现网络安全防护功能,其中应用层网关也可以称为代理防火墙技术,该技术是网络信息数据之间的连接桥梁,实现计算机用户网络访问需求,同时对访问的网络类型进行实时监控。在实际应用过程中,计算机用户与代理防火墙都不知道彼此的存在,其仅仅是对用户网络访问请求是否接受,以及外网访问请求的安全性进行检测,以确保整个计算机网络系统正常运行工作。
4.2 引用对称加密技术
在电力信息网络系统中,拥有许多用户资料、电力信息数据等重要的数据,为了保护这些数据不被盗取和篡改,目前最常用的方法是加密技术,其中对称加密由于其具有的安全高、加密方法简单、算法效率高等优点,在电力信息网络安全防护得到了广泛的应用。对称加密技术可以引入现代最为先进的智能算法,不法分子破译侵入计算机系统的难度加大,对数据保护能力大幅度提升。只有获得密钥才能访问。由此可见,采用对称加密技术时,密钥的保护是关键,如果密钥一旦外泄,任何人都可以毫无阻拦的盗取或篡改所有数据信息,给电力系统造成极大的损害。为了防止密钥的丢失,应该采用数字签名等专业密钥管理软件。数字签名主要是针对对称加密技术密钥管理而诞生,其可以单独生成密钥,同时生产的密钥是无法复制,安全性大幅度提升。
4.3 引用身份认证技术
在电力系统以及信息网络中,终端服务器通过对计算机用户的身份认证,可以一定程度上避免非法用户通过非法途径访问高于自身权限的文件资源避免造成企业损失,由此可以保证电力系统以及信息网络得安全。基于CA 的身份认证机制是较为常见的一种,CA是证书认证,每一个计算机用户的网络证书都是由CA 签字并授权的,计算机用户的网络证书中含有公开密匙,CA 除了对计算机用户的网络证书的签字以及授权,还能够对计算机用户的网络证书以及密匙进行管理。CA 网络数字证书的签发以及授权,对数据信息在信息网络传输过程中的安全性起到了不可忽视的作用。
5 结语
总而言之,在新时代背景下,加强注重电力信息网络安全架构的构建意义重大,直接关乎到国计民生。为此,需要相关方面对其加强重视,结合实际情况合理进行构建,确保其操作性与合理性,能够很好满足电力信息安全发展要求,为我国电力行业发展提供助力。具体可以从组建专业人才团队、注重顶层设计以及完善防护体系等方面着手,切实强化电力信息网络安全架构科学性,确保我国社会稳定运行。