供电局数据网和信息机房搬迁安全风险管控措施研究

2020-03-26

技术与市场 2020年3期

(广东电网有限责任公司汕头供电局，广东汕头 515041)

0 引言

近几年，我国经济日益发展，社会不断进步，各行各业都紧抓经济发展的浪潮，努力发展自身，因此对于电力的需求也越来越大，所以供电局需要处理的数据也就越来越多，需要规模更大、更安全的信息机房作为电力数据高效处理的支撑[1]。但是供电局数据网存在一些安全风险，信息机房搬迁或者建设的过程中，同样存在着安全风险，尤其是来自网络方面的风险。针对此，供电局计算机技术人员必须采用科学的安全管控措施，积极开展网络安全工作，从而打造出网络安全数据网，也能确保信息机房的安全稳定运行，进而为电力系统可靠运行提供有力支撑。

1 供电局数据网及信息机房搬迁中关键技术的要求

在开展供电局数据网以及信息机房建设或者搬迁的工作之前，必须注意此工作过程中对于关键技术的要求，做到科学应用，才能保证数据网建设的质量。

1)局域网是供电局在日常生产和经营管理中，必须应用到的数据传输平台，因此必须保证局域网有着非常高的稳定性和可靠性。实际建设过程中，必须科学选择关键网络设备，以实现冗余；应用合适的网络连接方式，以此来避免出现网络结构单点故障影响系统运行的问题。即使出现单线故障或者单个设备的故障，合适的连接结构也能在第一时间恢复网络通信，从而确保整合系统处于不间断地运行状态，局域网拓扑结构见图1。

图1 局域网拓扑结构

2)每个子域上业务线路不断切换的时候，尽可能缩短业务中断时间，所进行业务切断，可采取可回退的操作；尽可能在工作日开展搬迁工作，要以不影响正常生产经营为准。

3)搬迁设备时，要尽量不影响正常业务，缩短设备停机时间；如果没有在计划的时间内结束搬迁工作，处理系统时，最好要可靠地回退到原始的工作状态，从而确保搬迁过程中，执行的业务处于不间断运行的状态。

4)依照机房建设的规范标准，保证规定时间之内，结束数据网络和信息机房搬迁，以及安全和测试的工作。

5)搬迁结束后，当系统开始运行前，要做跟踪测试，处理搬迁对于系统影响而出现的问题。

6)搬迁进行中，必须进行设备拆装、装卸、运输等工作，这一过程必须要保证设备安全和数据的完整。保证搬迁完成之后，网络设备和服务器以及其他设备，依旧能正常运行，保证可靠、安全地完成搬迁工作。

7)线缆要保证合理、美观、整齐排放，并在上面设置标识牌，标清线路用途和参数；并理顺和绑扎好各种线缆，不能杂乱和无序。

8)设备外部要有标志牌，以免混乱。

2 安全风险管控措施

2.1 落实网络风险控制的措施

1)制定安全搬迁的工作计划，保证新网络与旧网络可以顺利交接和过渡，业务系统能平稳过渡。

2)加强监督管理。信息网络规划以及信息系统建设初期，必须针对安全风险进行评估，这样才能在源头上做好安全管理工作，落实安全技术的审查把关，以保证供电局的信息安全措施执行到位。项目实施过程中，严格把关施工现场的工作，包括安装设备、质量调试等，以此保证网络和布线以及信息设备，在安全运行标准之内。针对系统和网络所进行的运营管理，必须应用持续性的风险评估方法，采用高度严格的风险控制措施，从而提升信息安全，强化系统与网络可控性和客观性[2]。

3)制定内控机制。针对信息系统运用风险控制卡的工作机制，将单一风险作为一个单位，然后把信息维护人员，采用的风险管控的步骤与内容进行细化，从而使得每一位信息维护人员，都能依照控制卡的具体内容，开展风险控制工作。

2.2 落实设备风险控制的措施

首先，制定风险分析机制。分析网络信息设备运行风险的科学机制，必须要建立出来，并且清晰地规定出分析周期和分析标准，这样才能在第一时间掌握信息管理和设备的问题，并解决这些问题，也可以为未来设备运行风险评估，提供参考数据。

1)重视巡检监督。供电局信息系统建设以及搬迁的时候，必须有专业的定期巡检维护规范，从设备结构和运行方式出发，确定出巡检的内容、参考参数以及巡检周期等。形成设备应用环节检修机制，以更有效地检查出信息系统存在的故障。

2)重视安全防护。不断强化安全防护的建设工作，具体包括构建区域边界的防火墙，这就需要提升广域网互联子域、有线接入域、安全支撑域、服务器域的安全防护水平。还要引用更加严格的网络认证要求；运用合适的病毒防御系统和防火墙技术。

3)对检测技术进行完善。系统正式运行前，必须运用检测技术进行把关，以保证信息安全。

3 供电局网络安全的保护措施

3.1 清理敏感信息

重新排查Github、网盘、百度文库等互联网共享平台中存在的公司敏感信息(包括系统软件源代码、系统架构、技术方案、网络拓扑图、各类账号及口令等)，对暴露的源代码做好代码审计和安全风险评估并及时清除。从而可以保证重要信息泄露，规避网络安全风险。

3.2 强化网络设备安全管理

想要保证网络设备安全，技术人员以设备的接口位置设置密码的方式，强化网络设备安全管理。针对网络设备，管理的方式具体是OTU-BAND，把每个管理设备设置对应的口令和账户，以实现独立用户操作过程中权限受限的目的，从而降低整个网络信息系统被控制的风险。

3.3 网管中心区分安全区域

在网络管理的中心，要区分出不同种类的安全保护区域类型，以此来对供电局数据网进行直接管理，每一种管理的内容都能形成独立的安全区域，并对该安全区域进行安全的控制，如果有问题出现，系统也能及时将问题解决[3]。

3.4 设置加密IPsec

对供电局数据网中传输的数据信息进行加密处理，当数据传到目的地之后，则会变成原始数据，从而防止一些非法用户盗取数据信息。

3.5 加强对黑客的防范

随着网络技术水平的提升，有更多网络黑客出现，网络中存在着各种各样的黑客病毒，为保证供电局数据网的网络信息安全，必须重视黑客防范，提高信息检测的力度，运用高效的供给检测技术，对黑客侵入程度做全面分析，站在网络的安全角度出发，提前在可能被侵入的位置设置警戒线，从而高效地监控黑客行为，规避黑客攻击。

3.6 运用科学的身份识别技术

针对已知用户和匿名用户，要进行统一的认证和识别，以保证信息系统使用者是安全管理员，可以使用的身份识别技术有很多，包括访问控制、智能卡技术、认证技术、数字签名技术、密钥管理等。

3.7 避免垃圾信息的干扰

网络信息技术不断发展，垃圾信息也越来越多，对于网络信息系统造成很严重负面影响。为此，想要保证供电局数据网的安全，必须重视垃圾信息的干扰规避，采用科学的防范措施，将垃圾信息防范作为重点工作。垃圾信息防范和处理不是以法律形式进行规定就能解决的，而是要在技术领域、管理领域、法律领域，进行综合考虑。因此，针对供电局数据网的安全，必须重视防范技术的应用，科学选取防范措施，并进行有效处理，以净化网络环境。

3.8 追溯不安全信息源头

网络被广泛应用之后，网络上出现了很多非法违规的事件，像不合法信息的传播、网络钓鱼网站等等，如果发现这些问题，必须在第一时间内追溯网络不安全信息的源头，才能快速将不法分子揪出。追溯不安全信息源头采用的方法，一般需要从信息内容出发，然后借助技术性渠道，找出网络以及应用行为的特点，进而找到不法分子的踪迹，将其抓获。为更好地引用追溯技术，就要把多种技术融合在一起应用，包括日志技术、认证技术、安全网络架构技术的等[4]。