电网的网络安全范文

时间:2023-12-25 17:44:26

导语:如何才能写好一篇电网的网络安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电网的网络安全

篇1

关键词:电网;调度自动化系统;网络安全;解决方案

一.引言

随着电力行业信息化技术的深入发展,计算机网络已成为电力系统正常、高效运作必不可少的基础设施。而无人值班变电站的逐步推行,又使电网调度自动化系统成为电网调度及正常运行必不可少的工具。目前,在电力企业综合信息网的建设中,从实时、准确控制业务及管理信息业务出发,需要将多个系统紧密地连接起来,以实现各区域、各系统间的数据交换和软件共享。电网调度自动化系统不再是孤立的,它与外界的连接越来越紧密,越来越多样化。电网调度自动化系统实时数据网络的安全将面临新的挑战,并且直接影响到电网的安全、稳定、经济、优质运行。在这种情况下,如何根据调度自动化系统中各种应用的不同特点,提出相应的安全解决措施,优化电力调度数据网,建立调度自动化系统的安全防护以及应急恢复体系都具有十分重要的意义。

二.现阶段电网调度自动化系统在整个电力网络中的特点

根据业务类型、实时等级、安全等级等因素,电力系统的网络应用可分为生产控制大区和管理信息大区两大类,不同的应用系统对安全的要求不同。调度自动化系统是基于TCP/IP的数据业务,业务实时性较强,其中遥控、遥调更与电网设备安全直接相关,可靠性要求较高。因此调度自动化系统属于生产控制大区,承载着对电网中各设备数据的实时监控功能,它的安全等级是最高的,如图1所示。该系统一旦遭到破坏,将直接影响到电网设备的安全、稳定运行,电网调度人员也无从了解电网设备的实际运行情况,从而无法实施电网的经济、优质调度。而管理信息类业务突发性很强,速率要求较高,实时性不强,覆盖除生产控制类以外的所有业务数据,其网络布局集中于行政办公中心等等。

三.调度自动化系统网络安全防护问题的提出

调度自动化系统信息安全问题主要分为内部管理、技术层问题和来自外部的威胁。具体而言,存在的安全威胁主要来自以下几个方面:

内部管理、技术层问题:

维护人员的安全意识不高。目前,调度自动化维护人员对整个调度数据网络安全重视程度不高,主要体现在系统及软件的密码设置:如密码设置位数不够,系统软件对用户的权限设置不合理,导致人员之间互相知道各自的操作密码,甚至是系统管理员密码;维护人员对系统和数据库的漏洞不清楚,且没有开展相应的修补措施以及安全审计工作等等。

运行人员的误操作、对调度自动化系统的网络安全意识不强,如在系统上使用与工作无关、而又可能被病毒光顾过的软盘、移动硬盘、光盘等等。

操作系统及数据库本身的安全漏洞。现阶段调度自动化系统使用的操作系统普遍采用Windows、UNIX、LINUX系统,数据库普遍采用SQL Server、Access 、Orecle数据库程序,而以上这些软件均存在网络安全漏洞等问题,并且随着新系统的研发,软件厂家不再出台对旧系统相关软件的安全补丁等等,这些问题都对调度数据网络的安全产生一定的影响。

网络协议本身缺乏安全性,现阶段绝大多数网络运行主要用TCP/IP、NetBEUI等网络协议,这些网络协议并非专为安全通讯而设计,故利用这些网络进行服务本身就可能存在多方面的安全威胁。

企业缺乏统一的安全管理规范,目前,还没有一套统一的、完善的能够指导整个电力系统计算机网络的安全运行管理规范。且计算机网络安全保密工作流于形式,缺乏实际监管力度。

外部威胁主要来自黑客攻击、计算机病毒和各种网络攻击等方面:

黑客侵袭,即黑客非法进入网络非法使用网络资源。列如,通过网络监听获取用户的账号和密码;非法获取网上传输的数据,通过隐蔽通道进行非法活动;采用匿名用户访问进行攻击;突破防火墙等。

计算机病毒的侵袭。当前,活性病毒多达上上万种,计算机病毒侵入网络,对调度数据网络资源进行破坏,使网络不能正常工作,甚至造成整个网络的瘫痪,严重时还将影响到电力设备的安全运行。

网络攻击,主要方式有:木马威胁,它隐藏在文件中,窃取计算机系统的重要信息或破坏系统各种功能,它已成为网络信息安全的最大危害。IP欺骗,它指网络外部的攻击者假冒受信主机或是通过使用你的网络IP地址范围内的IP,或是通过使用你信任并可提供特殊资源位置访问的外部IP地址。例如攻击者可以假扮内部网络的一个用户对变电站设备进行控制,或任意删除修改数据库内容,造成调度监控人员误判断而影响电力设备的正常运行。拒绝服务,它的表现形式是用户在很短的时间内收到大量无用的电子邮件,从而影响正常业务的运行。严重时会使系统关机,网络瘫痪。

四.调度自动化系统安全防护方案

(1)在管理制度方面,要做到:① 对全网实施监管,所有与调度数据网连接的节点都必须在有效的管理范围内。② 加强人员管理,建立一支高素质的运维管理队伍,防止来自内部的攻击、越权、误用及泄密。③加强运行管理,建立健全调度自动化系统各种运行管理及安全规章制度,建立电力二次系统安全防护应急预案,将网络及系统安全作为日常性的工作来抓。④ 建立电力二次系统第三方安全评估机制,跟踪网络安全漏洞,及时做好修补工作。

(2)在技术措施方面,要做到:① 在网络传输上,必须坚持调度自动化系统与企业局域网之间的安全物理隔离,信息只能采用单比特单向传输方式;调度自动化系统网页与企业办公自动化系统之间的安全隔离,主要采用物理防火墙方式。② 在调度专用数据网络上,根据不同的业务系统,还可采取安全访问控制技术(可实施的安全措施有防火墙、VPN设备、访问控制列表、用户授权管理等)、加密通信技术(主要用于防止重要或敏感信息被泄密或篡改,如纵向加密认证技术)、身份认证技术(用于网络设备和远程用户的身份认证,防止非授权使用网络资源)、备份和恢复技术。

(3)在系统和应用层面,采用计算机防病毒技术、修复操作系统相应的安全漏洞、应用系统的关键软硬件及关键数据的热备份和冷备份等。防病毒技术和备份措施是通常采用的传统安全技术,而安全的操作系统是一个新的发展趋势。

①构建省、地、县统一的防病毒平台

为了防止病毒蔓延至电网调度自动化整个系统,应在调度数据网络各节点上安装网络版防病毒软件,要求程序定时进行扫描,保证电网调度自动化系统网络安全。并能在省调统一部署下获得软件的升级、最新的病毒库和防病毒技术。还可以通过电话、传真、传统邮件、电子邮件在任何时间获取技术支持。

②建立数据实时备份与应急恢复体系

数据库备份的内容包含所有采集遥测量历史数据、历史电量、历史总加负荷、遥信变位、保护告警及SOE等。数据库及软件备份要求:做到每周能自动备份一次,并在数据库和软件发生变化后,只要轻点下鼠标就能手动进行备份,以保证任意一台数据出现故障后,不影响整个系统数据的存储和查询等。调度自动化系统在建设时通常均采用双机双网络结构,同时也要做好相关的应急恢复措施,应急恢复系统要考虑到在硬件损坏等不可抗拒灾难情况下,对重要的服务器或工作站,都要对其硬盘进行备份,并有相关的备用服务器和工作站,若遇故障必须停运时,要具备自动切换功能,以保证备用的服务器和工作站在最短时间内可以恢复运行。

五.应用成果

按照以上所述的调度自动化系统安全防护方案在我司调度自动化系统中得到了应用。具体采用方法有:

(1)从生产控制大区到企业管理信息大区的连接处安装单向单比特物理隔离装置,从调度自动化系统WEB到企业办公自动化系统之间安装硬件防火墙。为了防止防火墙被突破,在防火墙及交换机上设置相应的访问控制策略,以限制用户对WEB系统的访问,从而保证整个调度数据网络的安全,调度自动化系统的安全防护如图2所示。

(2)针对调度自动化系统内的网络,我们从系统管理的安全、数据安全、密钥的使用等多方面有效的措施来保证网络的安全,对运行及维护人员进行计算机网络安全方面的系统培训,提高系统内人员的保密意识、树立敬业爱岗的良好工作作风。制定电力二次系统安全防护管理规程,坚决实行调度自动化系统专机专用原则,禁止在监控机上进行其它无关的操作和安装无关软件,采用自动和手动相结合的方法对调度自动化系统软件及数据进行备份,及时修复各种系统安全漏洞,进行防病毒软件、病毒及规则库的更新和病毒的定时查杀工作,通过采取以上措施,有效地防止了内、外部病毒和网络黑客的入侵,提高了网络的安全防护能力,调度自动化系统没有发生因病毒入侵等造成的网络瘫痪事故,从而保证了调度自动化系统的安全可靠运行,使之真正成为电网调度的“千里眼”。

六.结论

篇2

【关键词】电力调度;自动化网络;安全防范

近几年来,随着我国电网的快速发展,以及电网调度现代化程度的提升,对于电力调度自动化网络安全的要求也愈来愈高。而调度自动化信息网络安全是一个综合性的课题,涉及技术、管理、使用等许多方面,下面笔者将结合当前的网络安全情况展开分析。

1.当前电力调度自动化网络存在的安全隐患

1.1系统本身的安全隐患

电网调度自动化系统本身数据采集错误,造成自动发电控制调节电厂出力错误,影响电网安全运行。操作系统存在安全漏洞,未能及时升级和进行系统安全补丁加固。路由器和防火墙的安全策略设置不合理,网络拓扑结构变化和防护对象变化时没有及时调整。web服务器上没有关闭不必要的通信协议和服务,如telnet, ftp协议,端口开放过多等。

1.2外部网用户带来的安全隐患

用于远程诊断的拨号modem长期处于接通状态,没有采取安全防范措施,容易造成非授权用户未经许可拨号进入调度自动化系统的危险。

1.3内部网用户存在的安全隐患

部分用户安全意识淡薄,用系统工作站拨号进人外部公共信息网,对系统安全造成威胁。用户和维护人员口令简单,长时间不修改,易泄密,容易被越权使用,对系统造成危害。用户误操作影响系统可靠运行,维护人员编程错误或维护错误,影响系统的可靠运行。

1.4电力调度自动化网络安全管理工作不到位

主要表现在安全防护的有关规章制度不健全,安全防护技术措施和管理措施落实不到位,对安全防护工作的认识和重视程度有待提高。尤其是在设备管理方面,对各系统设置的专职维护人员没有明确其对设备的安全维护职责,没有严格限制在系统计算机上做任何与系统无关的事情,没有提供必要的工具对系统的运行情况进行监控,保证系统安全、非间断运行。

2.加强电力调度自动化网络安全防范的必要性

随着计算机网络技术的突飞猛进,数据网络在电力系统中的应用日益广泛,已经成为不可或缺的基础设施。然而,开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。近年来调度自动化系统的内涵有了较大的延伸,由原来单一的SCADA系统扩展为EMS、DMS、TMS、厂站自动化、水调自动化、电力市场技术支持系统和调度生产管理系统等,数据网络是支持调度自动化系统的重要技术平台,承担着实时、准实时控制业务及管理信息业务。调度自动化信息还需要与省调自动化系统、局MIS连接,网络利用率较高,安全级别较低的业务与安全级别较高的业务混用,存在很多安全隐患。这就使保证信息的安全变得格外重要,有必要建立根据调度自动化系统中各种应用的不同特点,优化电力调度数据网,建立调度自动化系统的安全防护体系。

3.电力调度自动化网络安全控制

为了进一步加强电力调度自动化网络安全控制,必须健全相关的保密制度、安全控制策略及安全联防制度,将网络及系统安全作为经常性的工作来抓,全面化引进高素质、高专业水平的网络管理人员,并建立面向企业、应用系统、个人工作站的分级多层次和动态的安全策略体系,真正做好自动化网络的安全性。

3.1提高系统本身的安全性

系统本身存在着些许安全隐患,例如出现硬件故障等,因此,要求各有关单位应制定安全应急措施和故障恢复措施,对关键数据做好备份并妥善存放:及时升级防病毒软件及安装操作系统漏洞修补程序:加强对电子邮件的管理:在关键部位配备攻击监测与告警设施,提高安全防护的主动性。在遭到黑客、病毒攻击和其他人为破坏等情况后,必须及时采取安全应急措施,保护现场,尽快恢复系统运行,防止事故扩大,并立即向上级电力调度机构和本地信息安全主管部门报告。

3.2加强外部用户的网络安全控制

各电网、发电 、变电站等负责所属范围内计算机及信息网络的安全管理:各级电力调度机构负责本地电力监控系统及本级电力调度数据网络的安全管理:各相关单位应设置电力监控系统和调度数据网络的安全防护小组或专职人员,相关人员应参加安全技术培训和素质教育。对自然灾害我们要以预测为主,尽量的减小破坏程度,这就对电力监控系统作出很大的要求。电力监控系统要通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施。电力监控系统要做到早发现,早报告,早预防,早治理。

3.3加强内部用户安全管理

通过加强内部工作人员的责任心及运行管理,提倡值班调度员严格坚守岗位。调度员要对电网运行方式、电网主设备的运行状况和当班需要完成的工作,做到心中有数,并针对当时天气、电网运行方式和当班的主要工作,做好事故预想,提前做好应对措施,以便在发生异常时,能够及时果断进行处理。在进行调度操作时应一人操作、一人监护,特别复杂的重大操作应双重监护,操作前应核对现场实际运行方式,分析负荷平衡情况、无功电压运行情况,重大操作还应进行危险点分析和做好事故预想,防止来自内部的攻击、越权、误用及泄密。

3.4注重安全管理与安全防范技术培训工作

通过加强技术培训,提高调度人员的业务素质。培训工作应以实用为目标,突出技能训练和注重岗位练兵。如我公司调度人员在岗位培训的基础上,再送到仿真机进行培训,使之达到三熟三能的要求。三熟即熟悉本地区电网的一次系统图、主要设备的工作原理: 熟悉调度自动化系统的工作原理、电网继电保护配置方案及工作原理;熟悉本地区电网的各种运行方式的操作和事故处理及本岗位的规程制度。三能即能 I 确F令进行倒闸操作、正确投退继电保护及安全自动装置; 能运用自动化系统准确分析电网运行情况;能及时准确判断和排除故障,尽可能缩小事故范围。调度人员只有通过各种形式的培训学习,苦练过硬的本领,才能在指挥电网的运行和事故处理中做到准确无误。

4.小结

综上所言,由于电力调度自动化网络安全性能与整个电网运行的可靠性、正常息相关,必须加强电网调度自动化网络安全控制与防范,否则将极为容易出现事故,不利于配电网的安全控制。因此,事先制定电力调度自动化网络安全防范对策,从基础工作做起,全面化加强电力生产供应的安全性与可靠性。 [科]

【参考文献】

[1]金涛,曾凌.电力调度自动化系统发展探讨[J].科技致富向导,2011(26):145-146.

[2]徐扬.电力调度综合数据平台体系结构及相关技术探究[J].硅谷,2011(16):347-348.

篇3

[关键词] 电力系统 网络安全 风险控制

0 引言

对于电力部门来说,保奥运,确保电网和系统安全,是目前各发电集团公司、国家电网公司、南方电网公司的头等大事。保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储、传输的安全。影响电力系统网络安全的因素很多,有些因素可能是有意的,也可能是无意的误操作;可能是人为的或是非人为的;也有可能是内部或外来攻击者对网络系统资源的非法使用。

电力系统一直以来网络结构和业务系统相对封闭,电力系统出现的网络安全问题也基本产生于内部。但是,随着近年来与外界接口的增加,特别是与政府、金融机构等合作单位中间业务的接口、网上服务、三网融合、数据大集中应用、内部各系统间的互联互通等需求的发展,其安全问题不仅仅局限于内部事件了,来自外界的攻击也越来越多,已经成为电力系统不可忽视的威胁来源。但是,据我所知,未来电力系统网上服务所采用的策略一般是由各省公司做统一对外服务出口,各级分局或电力公司和电厂将没有对外出口;从内部业务应用的角度来看,除大量现存的C/S结构以外,还将出现越来越多的内部B/S结构应用。所以,对于电力系统整体来说,主要问题仍有一大部分是内部安全问题。其所面临的威胁大体可分为两种:一是对网络中通讯、信息的威胁;二是对网络中设备的威胁,造成电力系统瘫痪。对于电力系统来说,主要是保护电力业务系统的安全,其核心在于保护电力数据的安全,包括数据存储,数据传输的安全。

1 电力网络信息系统安全的威胁

(1)人为的无意失误

如果网络安全配置不当造成的安全漏洞,包括安全意识、用户口令、账号、共享信息资源等都会对网络安全带来威胁。主机存在系统漏洞,通过电力网络入侵系统主机,并有可能登录其它重要应用子系统服务器或中心数据库服务器,进而对整个电力系统造成很大的威胁。

(2)人为的恶意攻击

这是计算机网络所面临的最大威胁,黑客的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的可用性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成直接的极大的危害,并导致机密数据的泄漏和丢失。由于windows操作系统的漏洞不断出现,针对windows操作系统漏洞的各种电脑病毒攻击也日益多了起来。尤其是2003年8月份和2006年5月出现的冲击波蠕虫病毒和恶意程序给全世界80%的计算机造成了破坏,安徽省省电力公司系统内也有多个供电企业的信息系统遭到病毒的破坏,这一事件给网络安全再次敲响了警钟!

2 网络安全风险和威胁的具体表现形式

电力系统网络的安全性和可靠性已成为一个非常紧迫的问题。电力安全方案要能抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。必须提出针对以上事故的各种应急预案。 随着计算机技术、通信技术和网络技术的发展,电力系统网上开展的业务及应用系统越来越多,要求在业务系统之间进行的数据交换也越来越多,对电力网络的安全性、可靠性、实时性提出了新的严峻挑战。其安全风险和威胁的具体表现形式如下:

(1)UNIX和Windows主机操作系统存在安全漏洞。

(2)Oracle,Sybase、MS SQL等主要关系型数据库的自身安全漏洞。

(3)重要应用系统的安全漏洞,如:MS IIS或Netscape WEB服务应用的“缓存区溢出”等,使得攻击者轻易获取超级用户权限。核心的网络设备,如路由器、交换机、访问服务器、防火墙存在安全漏洞。

(4)利用TCP/IP等网络协议自身的弱点(DDOS分布式拒绝服务攻击),导致网络瘫痪。网络中打开大量的服务端口(女IIRPC、FTP、TELNET、SMTP、FINGER等),容易被攻击者利用。黑客攻击工具非常容易获得,并可以轻易实施各类黑客攻击,如:特洛伊木马、蠕虫、拒绝服务攻击、分布式拒绝服务攻击、同时可利用ActiveX、Java、JavaScript、VBS等实施攻击。造成网络的瘫痪和关键业务数据的泄漏、篡改甚至毁坏。在电力内部网络中非法安装和使用未授权软件。对网络性能和业务造成直接影响。系统及网络设备的策略(如防火墙等)配置不当。

(5)关键主机系统及数据文件被篡改或误改,导致系统和数据不可用,业务中断等。

(6)分组协议里的闭合用户群并不安全,信任关系可能被黑客利用。

(7)应用软件的潜在设计缺陷。

(8)在内部有大批的对内网和业务系统相当熟悉的人员,据统计,70%以上的成功攻击来自于企业系统内部。与其他电力和合作单位之间的网络互通存在着极大的风险。

(9)虽然将来由省局(公司)统一的WEB网站向外信息并提供网上信息服务,但很多分局和分公司仍允许以拨号、DDN专线、ISDN等方式单独接入互联网,存在着由多个攻击入口进入电力内部网的可能。系统中所涉及的很多重要数据、参数直接影响系统安全,如系统口令、IP地址、交易格式、各类密钥、系统流程、薄弱点等,技术人员的忠诚度和稳定性,将直接关系到系统安全。

(10)各局使用的OA办公自动化系统大量使用诸如WINDOWS操作系统,可能存在安全的薄弱环节,并且有些分局可能提供可拷贝脚本式的拨号服务,拨入网络后,即可到达电力的内部网络的其它主机。

系统为电力客户提供方便服务的同时,数据的传输在局外网络和局内局域网络的传输中极有可能被窃取,通过 Sniffer 网络侦听极易获得超级用户的密码。

3 系统的网络风险基本控制策略

针对电力系统网络的安全性和可靠性,电力安全方案要能抵御通过各种形式对系统发起的恶意破坏和攻击,防止由此导致的一次系统事故或大面积停电事故,二次系统的崩溃或瘫痪,以及有关信息管理系统的瘫痪。总体来说,电力系统安全解决方案的总体策略如下:

(1)分区防护、突出重点。根据系统中业务的重要性和对一次系统的影响程度,按其性质可划分为实时控 制区、非控制生产区、调度生产管理区、管理信息区等四个安全区域,重点保护实时控制系统以及生产业务系统。所有系统都必须置于相应的安全区内,纳入统一的安全防护方案。

(2)区域隔离。采用防火墙装置使核心系统得到有效保护。

(3)网络专用。在专用通道上建立电力调度专用数据网络,实现与其他数据网络物理隔离,并通过采用MPLS-VPN形成多个相互逻辑隔离的IPSEC VPN,实现多层次的保护。

(4)设备独立。不同安全区域的系统必须使用不同的网络交换机设备。

(5)纵向防护。采用认证、加密等手段实现数据的远方安全传输。

4 电力系统的网络安全解决方案

针对电力网络安全的薄弱环节全方位统筹规划。解决方案注重防止非法入侵全网网络设备;保护电力数据中心及其设备中心的网络、服务器系统不受侵犯――数据中心与Internet间必须使用防火墙隔离,并且制定科学的安全策略;制定权限管理――这是对应用系统、操作系统、数据库系统的安全保障;考虑网络上设备安装后仍然可能存在的安全漏洞,并制定相应措施策略。

(1)在网络设备的安全管理方面,将所有网络设备上的Console口加设密码进行屏蔽,配置管理全部采用DUT-BAND带外方式,并对每个被管理的设备均设置相应的帐户和口令,只有网络管理员具有对网络设备访问配置和更改密码的权力。

(2)存网管中心通过划分不同安全区域来规范管理网络和工作网络,从逻辑上把每个部门的资源独立成一个安全区域,对安全区域的划分基于安全性策略或规则,使区域的划分更具安全性。网络管理员可根据用户需求,把某些共享资源分配到单独的安全区域中,并控制区域之间的访问。

(3)VPN和IPsec加密的使用。电力网络将通过MPLS VPN把跨骨干的广域网络变成自己的私有网络。为保障数据经VPN承载商(ISP)传输后不会对数据的完整与安全构成潜在危险,在数据进入MPLSVPN网络之前首先经过IPsec加密,在离开VPN网络后又再进行IPsec解密。

(4)通过网络设置控制网络的安全。在交换机、路由器、数据库和各种认证上,层层进行安全设置,从而确保整个网络的安全。

(5)通过专用网络防火墙控制网络边界的安全。

(6)进行黑客防范配置。通过信息检测、攻击检测、网络安全性分析和操作系统安全性分析等一系列配置,对黑客进行监控。可以部署在内网作为IDS进行监控使用,也可以部署在服务器的前端作为防攻击的IPS产品使用,前题是保障网络的安全性。

5 电力系统局域网内部网络安全解决方案

外部攻击影响巨大,但内部攻击危害巨大,为了解决内网安全问题,在一个电力/电厂系统的局域网内部,可以使用防火墙对不同的网段进行隔离,并且使用IPS设备对关键应用进行监控和保护。同时,使用IPS设备架设在相应的安全区域,保证访问电力系统内部重要数据的可监控性,可审计性以及防止恶意流量的攻击。并且实现以下的主要目的:

(1)网络安全:防火墙可以允许合法用户的访问以及限制其正常的访问,禁止非法用户的试图访问。

(2)防火墙负载均衡:网络安全性越来越成为电力系统担心的问题了,网络安全已经成为了关键部门关注的焦点。网络安全技术将防火墙作为一种防止对网络资源进行非授权访问的常用方法。

(3)服务器负载均衡:执行一定的负载均衡算法,可以针对电厂内关键的服务器群动态分配负载。

6 广域网整体安全解决方案

对于整个广域网,为了端对端,局对局的安全性,本着不受他系统影响/不影响他系统的安全原则,可对防火墙以及IPS设备进行分布式部署。

通过过滤的规则设置可以使得我们方便地控制网络内部资源对外的开放程度,特别是针对国家电网公司、当地政府以及Internet仅仅开放某个IP的特殊端口,有效地限制黑客的侵入。

通过过滤、IP地址以及客户端认证等规则的应用,可以确定不同的内部用户享受不同的访问外部资源的级别,对于内部用户严格区分网段,而且可以利用独特的内置LDAP的功能对客户端进行认证。通过这种方式可以有效地限制内部用户主动将信息通过网络向外界传递。

双机热备(负载均衡):为了提高系统的可靠性,通过监控设备的CPU Loading来确认谁转发流量,极大的提高了防火墙的吞吐量。

友好的用户界面:只需作简单的培训,用户即可进行规则配置、系统管理、统计。

7 参考文献

[1] 《StoneSoft电力系统网络安全解决方案》StoneSoft

公司,2005。

[2] 王桂娟,张汉君。《网络安全的风险分析》[J].中南民族

大学学报,2007,(11)。

[3] 陈 伟、鲍 慧.《电力系统网络安全体系研究》[丁].电

力系统通信,2008,(1).

篇4

关键词:电信计算机;网络安全;管理策略

随着我国电信事业的快速发展,计算机网络技术的广泛应用,使人们的沟通方式发生了改变,电信网络成为传递信息的一种重要手段,随着社会经济信息化进程的发展,电信网络为社会创造了巨大的经济价值和社会价值,与此同时随着黑客的攻击,电信网络安全也受到了严重威胁,导致人们间的信息沟通遇到障碍,给社会带来了无可估量的经济损失。

1.目前导致电信网络安全问题的因素

影响通信网络安全的因素有很多,其中包括:病毒感染、系统漏洞、网络内部攻击、外部攻击、人为因素、资料存储与输出,下面分别做出详细讲解。

(1)病毒感染:病毒是计算机系统中最大的安全隐患,直接威胁到整个系统的正常运作,网络对于病毒的快速传播更是提供了便利条件,通过服务器上的软件下载、聊天工具的点击查看、电子邮件的收发等方式,对计算机展开攻击,破坏安全系统,给用户造成损失。

(2)系统漏洞:无论操作系统还是网络软件,都存有这样或那样的漏洞,没有百分百完善的,这样无疑给黑客入侵提供了切入口,造成了严重的网络事件。

(3)网络内部攻击:不少非法用户,用假冒的合法身份登入到局域网的内部网站,对机密的信息进行查看、窜改,从而严重破坏了内部的网络应用系统。

(4)网络外部攻击:顾名思义就是来自局域网以外的攻击破坏,比如:在中间站读取截获机密信息;修改窃取网络数据;破译机密信息;伪造合法身份占用信息资源;破坏软件执行等等。

(5)人为因素:一些人为失误的原因,造成的口令丢失、管理员安全配置不合理、资源访问没有得到合理控制等,对于网络安全系统造成了一定的破坏。

(6)资料存储与传输:当系统受到攻击时,存储的资料很容易被窃取,造成机密文件外泄,因此在机密文件的存储和传输也是网络安全的威胁因素。

2.分析目前我国电信网络安全存在的问题

现代化的网络环境,为我们相互间进行信息交流、信息共享和信息服务提供了便利的条件和广阔的空间,满足了人们所向往的信息开放、快速和灵活的共享,随着网络技术的广泛推广及应用,极大的促进了社会经济的发展。然而因为互联网所具有的开放性和交互性令其不可避免的受到安全威胁。目前计算机病毒的肆意横行和快速传播,为我国电网络的安全带来了严重威胁,为社会带来了极大的经济损失。当前电信网络技术在我国各行各业都得到了普及应用,无论是商务活动还是社会互动,都离不开电信网络技术的信息传递,但随着黑客的攻击,企业间的绝密信息被遭到了肆意的破坏或截取。

     通过我国电信保障局的相关网络安全管理人士分析,我国目前电信网络安全防护工作面临着巨大挑战,他指出我国的电信基础设施受到了严重的危害,针对计算机网络系统所与生具有的开放性和分散性等特点,要求必须加强网络安全管理,提升管理人员的技能水平,强化管理人员的安全意识,从而使通信网络安全隐患得到有效的控制,所以必须大力加强网络安全管理人员的保密意识和安全意识。

     在传输信道上存在的安全隐患。假如在传输信道上没有采取相应的安全电磁屏蔽手段,信息在传输过程中就会对外产生磁辐射,不法分子会利用特制的盗取设备截获机要信息。在硬件或软件设备中存在的安全隐患。IT人员在设计软硬件系统时,有可能会设计远程的终端控制登陆通道,加之商用软件源的程序大多具有公开性,信息就会因不法分子对通信系统的直接入侵而遭到窃取。

     3.我国电信网络安全的管理策略

     下面将从安全技术、网络安全策略和人员管理方面提出一些提高我国通信网络安全的管理策略。

3.1提高网络安全技术管理

(1)防火墙防护技术

      防火墙技术作为网络安全最基础的防护手段,已经得到了广泛的应用,通过防火墙可以防止网络中不安全的因素的入侵及蔓延,极大限度的阻挡了来自外部的黑客攻击,防止外部不发分子未经授权的恶意访问,从而保护内部的网络安全,防止黑客随意移动、更换、或者移除重要的信息。

       (2)采用入侵检测技术

入侵检测技术不同于防火墙技术,它是一种对于网络内部安全环境的入侵检测,是对防火墙技术的一种有效补充。入侵检测技术为外部攻击、内部攻击及失误操作提供了积极的实时保护,及时的拦截病毒入侵,从而保证网络系统不会受到恶意侵害,从而确保信息的安全性。

(3)采用漏洞扫描技术

      当前随着网络技术的不断变化,网络技术更加的复杂化,仅凭网络管理人员的经验和技术来,对于安全漏进行人工式的寻找是远远不够的,因此我们就要借助于网络安全漏洞的扫描技术,利用打补丁和优化系统的资源配置等方式,尽可能的消除安全隐患和弥补安全漏洞。在网络安全要求不高的情形下,通过利用各种不同的黑客工具,进行网络模拟攻击进而使网络的漏洞暴露出来。

(4)采用身份验证技术

      通过提供身份验证技术能够保障信息的完整性、可控性、机密性和不可否认性等方面的安全性能。

(5)采用网络加密技术

    作为网络安全的核心技术,加密技术主要是防止信息在网络上被恶意窃取或拦截,采用加密技术,可以通过对公共网络中传输的IP地址包实行封锁或进行加密,以此实现数据在网络传输中的完整和安全,从而确保远程用户可以安全的访问内网。

     (6)采用虚拟专用网技术

      在一个因特网上建立一个临时的链接,它是一条横穿混乱公用网络的稳定通道,通过这条安全的数据通道把公司的分支部门、远程用户、公司业务搭档等和公司的内部网络进行贯穿链接,构成一个安全的虚拟扩展网络,使所有的计算机都仿佛都处于同一个网络中。

3.2制定网络安全策略

     在特定的环境中,要从政策法规、技术、管理等方面制定相应的安全策略,从而实现下面五项安全目的:

(1)利用授权机制,使网络管理对终端用户释放访问权利,防止未授权的用户进入到网络系统,通过对用户使用权限的控制,结合内审机制,达到对网络信息或资源的控制目的。

(2)利用访问控制机制。例如:用身份鉴别,输入用户口令及密码,网络系统达到权限分级,通过鉴别真伪,进行访问限制,假如是权 限受限用户或者是无权用户,系统会自动屏蔽部分访问地址或者终止用户的全部访问,从而有效阻止非法用户的进入。

(3)利用防抵赖、监控、审计等方面的安全机制,将网络系统抵赖者、破坏者和攻击者一网打尽,并对出现的网络安全提供可查依据,使网络信息的安全具有可审查性。

(4)利用加密机制,保证信息数据在传输或者储存设备上不被非法用户看到或者窃取,以此保证信息数据不会暴露给未经许可查看的实体,从而达到使信息数据得到保密的目的。

(5)利用数据完整性识别的机制,使数据的查核方式得到进一步的优化,从而确保只有经过许可的人才能够更改或删除信息数据,最终防止了信息数据的恶意修改、插入、删除等现象的发生,达到了保证信息数据完整的目的。

3.3强化电信管理人员安全意识

   人员的保密意识和安全意识尤为关键,如果仅凭网络安全技术,没有可靠的人员,通讯网络安全无从得到真正的保障,因此要大力加强网络管理人员的培训,强化他们的专业技能的同时,提高他们的职业道德水准,选拔优秀的职业技能高手,扩大他们的网络技术知识,对电讯网络进行有效的防护管理。

结束语:随着电信网络功能的日益强大,电讯网络在人们日常的生活中,经济贸易往来中,占据了相当重要的地位,因此,针对电信网络安全问题,我们要采取有效的管理策略,使网络安全隐患得到最大限度的控制。

参考文献:

[1]张咏梅.计算机通信网络安全概述[J].中国科技信息,2008(03)

[2]杨华.网络安全技术的研究与应用[J].计算机与网络,2008(06)i

篇5

【关键词】计算机网络;电力系统;安全;问题;措施

在我国电力系统发展与信息化相结合越发紧密的结合的今天,计算机网络自身的发展,极大的推动了我国电力系统自动化的发展,但是在计算机网络技术应用越发深入应用的今天,其计算机网络所面临的病毒侵害风险也在持续不断的提升,这从某种程度上来说也增大了电力系统运行的安全性。下文主要针对电力系统运行过程中的计算机网络安全进行了全面详细的探讨。

1、计算机网络信息安全对于电力系统运营稳定的影响

在当前完全开放的电力市场机制体系之下,利用计算机网络的方式来提高用电用户与电力中心交易的紧密性,但是在这一过程中,如果说对全局进行管控的电力系统计算机网络遭受到了病毒的侵害,那么不仅会给电力企业造成危害,还会给用电用户本身也带来极大的损失。为了避免这类现象的出现,就务必要在电力系统之中来对计算机网络安全防护技术进行强化,而电力企业本身为了能够最大限度的避免病毒、黑客等主体的侵害,就应当通过现代化的认证技术以及防护功能严密的加密措施等行为来对电力系统之中所涉及到的计算机网络进行防护,但是在这一过程中,依然有部分不法分子能够利用对于数据传输的速率、长度、流量等方面的信息来对于电力系统网络的正常运行造成影响,并且使得计算机网络受到控制。因此,针对电力系统之中的计算机网络的安全性进行防护措施强化有着极大的必要性。

2、电力系统计算机网络信息安全存在的问题

2.1工作环境的安全漏洞

目前在很多电力企业中电力操作系统以及数据库系统等用户环境自身就存在很多的安全漏洞,如对特定网络协议实现的错误,自身体系结构中存在的问题等一些漏洞都会对电力系统造成严重的破坏,从而对电力企业造成严重的损失。对于安全漏洞的重视不够一直是现在电力行业存在的通病,电力无小事,只有防患于未然才能保障电力的安全运行,尤其是在平时的工作中只有从小事抓起,才能够避免出现大的披露,尤其是电力行业的操作系统越来越智能化和集成化,一旦出现问题就会导致大的事故,对于安全漏洞的查找和防患应该作为工作的重中之重,下大力气来抓。

2.2网络协议存在的安全问题

在电力系统计算机网络(Internet)中采用的TCP IIP协议主要是面向信息资源共享的,所以会造成部分的计算机网络协议存在一定的安全漏洞,这种漏洞也是目前计算机网络以及信息安全问题中最为重要的根源。比如常见有FTP、Telnet、SMTP等协议中。并且在电力系统中用户的口令信息主要是采用明文的形式在计算机网络中进行传输的,这些网络协议虽然是依赖的TCP协议本身但是也不能保证电力系统计算机网络信息传输信号的安全性。网络协议出现问题大多情况都可以通过及时处理得以解决,但是在进行网络协议设定的时候应该更多的考虑到实际工作中可能存在的问题,只有这样才能让网络协议存在的安全问题得以解决不会给电力系统的运行带来严重的影响。

2.3计算机病毒的侵害

计算机病毒是最为常见的一种病毒形式,任何一个接触计算机网络的人员都可能会有遭到病危害的先向我。计算机病毒分为“蠕虫”和“病毒”,计算机病毒是一种诚讯,是一段可以进行执行代码的程序。计算机病毒如同生物病毒,具有独特的复制能力,并且蔓延的速度是非常之快的。但是也是非常难以清除的,并且病毒还能够将自身附带的各种病毒类型一个用户传到另一个用户通过文件的复制进行传递。计算机病毒不仅具有复制能力,而且也具有其他的一些共性一个被污染的程序能够传送病毒的载体。

3、电力系统计算机网络信息安全的防护措施

3.1加强对网络安全的重视

电力系统之中的计算机网络在实际运行的过程中,其自身所具有的安全性要持续不断的提升,首先一个重点方面就是对计算机网络管控的全体人员自身的安全技术以及安全意识水平进行提升,以此来促使计算机网络信息所具有的防泄密水平能够得以强化,避免电力系统计算机网络之中所存在的大量机密资料被盗取,从而使得计算机网络之中的保密责任能够得到满足。其次,要加强对于电力系统计算机网络之中的信息安全进行相应的管理、监督,利用定期检查以及随机检查的机制来对各个不同部分的信息安全性进行检查,同时,还要针对计算机网络运行过程中的存档、登记、销毁等几个方面的信息处理行为能够得到强化,以此来保证第一时间发现电力系统运行过程中的计算机网络信息安全性能够得到防护,避免电力系统的网络信息安全受到直接的影响。

信息化是我国加快实现现代化和工业化的必然选择,坚持信息化带动工业化,以工业化促进信息化,从而走出一条含有高科技的道路,不断推进我国信息化的建设。我国最高人民检察院以及中央保密委员会也多次发出相关文件要做好信息保密工作,切实防外部侵害和网络化带来的国家以及单位机密泄露。

3.2防火墙的拦截

防火墙技术是计算机网络安全性保障体系之中所涉及到的一个重要环节,其自身在实际使用的过程中能够对于来自网络的病毒、黑客等方面的入侵起到保护作用,同时,防火墙还能够对于进出两个不同方向的信息都进行控制监管。在电力系统自身运行的过程中,在杀毒软件本身的配置基础上来对病毒进行防护,是一种安全性较高的措施。虽然说防火墙技术能够满足防护需求,但是部分因素不可控,其计算机系统在运行期间不排除受到破坏的可能性,这就要对整个系统信息进行备份,以便于第一时间恢复系统正常运行。

3.3防病毒

(1)在电力企业中管理信息系统应统一部署病毒防护的措施,严谨电力系统中的安全区Ⅰ和Ⅱ与管理信息系统共同使用一个防病毒的管理服务器;(2)在电力系统中对于所有系统中的服务器以及工作站都应该布置有恰当的防病毒产品的客户端;(3)在对电力系统的计算机网络进行布置单独的电子邮件系统时,必须在电子邮件的服务器前段部署杀毒软件以及病毒网关,从而可以有效防止带有病毒的邮件在办公网路中传播蔓延;(4)电力系统与Internet的网络接口处也应该部署防病毒的网关,从而可以防止蠕虫以及病毒的传播和蔓延到电力企业的管理信息系统中;(5)为了保证电力系统计算机网络的安全性,还应该加强病毒的管理,从而可以保证病毒特征码的全面及时的更新。

4、总结

综上所述,计算机网络技术的信息化对于电力系统的发展来说,起到了极大的促进作用,但是在信息技术快速发展的如今,其计算机网络所具有的安全环境也在迅速的发展着变化,这对于电力系统的计算机网络技术应用来说,带来了较大的挑战。要切实有效的解决这一问题,就必须要采取持续强化计算机网络技术的措施,以此来使得防护能力能够随着信息技术的发展而发展,这对于我国电力系统的发展来说,起到了极大的保障性作用。

篇6

【关键词】自动化 网络建设 电力调度 安全机制

从电网调度自动化系统的配备情况来看,国家、省级三级调度系统已经配备了该系统,并且电网调度均已经实现了全国联网在功能方面,主要有SCADA功能、WEB服务、PAS功能系统接口和DTS功能等,电力调度自动化实现了这些功能。

1 从系统物理层方面解析电网调度自动化

1.1 使用达到的安全环境指标

从国标GB2887―89《计算机场地技术条件》、国家标准GB5O173_9《电子计算机机房设计规范》、GB9 361-88《计算站场地安全要求》三个指标来看,进行自动化机房调度能够达到以上的三个标准。在实施调动自动化机房需要考虑到机房地板的条件范围:机房温度在15℃至30℃,机房湿度在10%到75%之间,火气压力范围在86至108kPa之间,而机房温度采用有质量保障的防静电地板。

1.2 使用达标的设备安全指标

针对于机房电源的使用,双机冗余在服务器领域使用,双通道或者是比双通道更高的一个标准作为数据信息搜集的安全指标,UNIX服务器在大型集控站和地调上使用,机柜使用的标准达到机柜的参数标准,所以机房电源需要的是大功率延时电源,方可确保电力使用的安全性。而定期检测UPS电源的使用情况,以免使用时间较久出现漏液的问题。

1.3 确保传输介质安全所要达到的指标

由于受到电力企业和集控站的电磁干扰的原因,网线需要屏蔽电磁干扰,尽量选择RJ45头和双绞线来解决。制作RJ45头需要做到以下几点:第一按照顺序排列整齐,插入RJ45插头,使用压线钳弄紧。第二双绞线不能够露在外面,如果露出的部分已经超过了12MM的话,就会降低网线通讯质量标准,导致近端串扰和回拨损耗的问题。

1.4 视频监视设备

在没有人看守的情况下,处于110kv或者是110kv以下的变电站运行如何才能够保证其安全?时刻监控环境和操作环境,该设备是安全稳定的,目前绝大多是使用视频监视设备。

2 网络安全实现与防范的标准

确保网络结构的安全是通过关键网络结构、网络系统和路由的优化组成的,它也是确保网络安全的一个重要方面。网络结构通过体系结构分层来运行,达到安全管理实效的目的,便于业务的拓展以及进行有效的控制。

2.1 网络拓朴的标准配置

地级以上调度网、冗余链路大规模的集控站通常使用的都是双网结构模式,在数据采集通道上则是需要达到标准,采用的备用链路要达到2到3条,这个就是网络拓扑所需要达标的一个标准配置。

2.2 网络分段的有效方法

确保网络安全的有效的方法就是进行网络分段,同时也是对网络广播风暴的一种控制的有效措施。网络分段的通常表现手法是进行逻辑分段和物理分段两种。为了达到隔离敏感网络资源和非法用户的目的,有效控制可能遇到的非常监听。从目前的情况来看,以交换机为中心、路由器为边界所形成的网络环境格局是电力调度自动化局域网的主要运行手段,为了能够突出三层交换功能和中心交换机的访问功能两个作用,同时为了能够达到对局域网有效控制的方法,可以采用综合应用物流分段和逻辑分段的方法来实现。

2.3 交换机、路由器的网络设备安全的安全防护方法

不法分子对路由器和交换机进行攻击,则会导致网络的严重瘫痪,因为路由器和交交换机有效的解决办法也就是说,加强IOS漏洞的安全性,对管理终端口命令进行严密的保密措施是解决黑客攻击路由器和交换机的有效方法。

2.4 运行网络主机安全和物理安全所需要达标的标准

单靠防火墙来确保整个网络安全的话是不够的,需要结合其他方法才能够确保整个网络系统的安全。加强对物理安全措施和网络主机的操作系统安全是提高网络系统安全的方法。对于电脑防护安全的重要程度来看的话,文件系统安排在第一位,接下来是应用服务安全、系统服务安全、操作系统的内核安全以及主机系统的物理安全。从安全防范措施来看,针对于主机的安全检查和漏洞的修补,加上系统进行安全备份则是作为辅助检查来保护系统的安全性。有效控制突破防火墙和发起的内部攻击是确保网络系统安全的第二个措施。最后的防护网络系统的方法是进行系统备份,这个也是在黑客攻击网络系统之后进行的系统修复。对系统进行安全检测,入侵查看和应急处理所采用的一整套的安全检查和各项应对措施,则是在防火墙和主机安全措施使用之后所采取的方法。黑客攻击的方法是这样展开的,突破防火墙和网络主机的限制,从网络链路层识别网络状态信息,然后进行输入,然后进行入侵检测子系统。判定是否有入侵检测系统,可以看是否有相关入侵事件的发生,一旦有这样的情况,采取应急措施,警示对方。系统安全审计还可以对信息来源加以修正,能够有效预防攻击者所发出的攻击行为,妥善处理其后果,有效提高系统安全性。

2.5 网络防火技术的安全性

隐蔽智能网关是目前安全指数最高的防火墙技术,它的隐秘性则是体现在公共系统之后,能够避免入侵者的直接攻击。隐蔽智能网关有连个作用,第一禁止不法分子对专用网络在没有授权访问的基础下进行访问,也能够对访问互联网的人进行有效的日志备忘。它的安全级别之高,也是确保网络系统安全的一种非常有效的方法,同时也能够阻止不法分子的破坏和入侵。

3 结语

通过上述分析,得出以下结论:为了确网络安全的最大化效益准则,我们应该要对电力调度自动化系统网络安全隐患加以重视,积极深入探索。为了确保电力调度系统和电力系统的安全使用的标准,应该做到各项安全措施的落实,采用科学的防护手段来提升其整体性的使用安全效益。

参考文献

[1]许林冲.浅论现代电力系统自动化技术[J].中国城市经济,2011.

[2]詹俊平,戴慧.浅谈电力系统调度自动化技术应用及发展[J].科技创新与应用,2013.

篇7

关键词:供电局;计算机信息系统网络安全;优化

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)35-0008-02

Abstract: With more attention paid to the state grid corporation of the information system management system, the computer network system of power supply bureau can not meet production demands.Establish perfect computer network information system security is imperative in the development of power supply company.The reasonable optimization scheme was made to solve the hidden danger and security issues in the system by an analysis of the errors existed in the operation of the information network system running,to ensure the safe operation of power supply bureau information network system.

Key words: power supply company; the computer information network security system; optimize

随着供电局信息化管理进程的不断加快,在电力行业的日常业务中各种信息管理系统如资产、营销、财务、人资、协同办公、综合管理等被广泛应用,这些系统具有及时性、便捷化等优势,逐渐发展成为供电局的发展方向。但高技术和高信息化的作用下也伴随着高风险的存在。随着供电局电力业务对计算机的依赖越来越深,一旦计算机信息系统出现任何的故障和问题,就影响供电局电力系统的安全运行,会造成不可估计的经济损失。因此对供电局计算机信息系统网络安全的优化对于保障供电局信息化业务安全、稳定运行显得十分的重要。

1 现状分析

汕头潮阳供电局的信息系统经过历年的发展,已经初具一定的规模,也是广东电网汕头供电局信息系统的重要组成部分。潮阳供电局承载着资产、营销、财务、人资、协同办公、综合管理等多项重要的业务,因此保障信息网络的安全稳定运行,对于供电局的安全生产和经营管理起着十分重要的作用。本文试从汕头潮阳供电局的信息系统网络安全等各个方面的问题进行分析。

1.1 信息网络支持系统分析

随着汕头潮阳供电局信息化经营管理的不断发展,信息化管理企业在其功能上实现了很大的改变,总体的布局满足了信息管理的功能和建设的原则。随着网络技术的不断发展,在供电局的日常业务和经营管理中已经对计算机信息系统越来越依赖,但网络以及服务器设备经过长时间的使用存在着很大的安全隐患,具体表现为机房设备落后、系统数据存储不可靠等问题日益突出。另一方面设备的供电电源存在着安全隐患。一旦电源出现故障,就会造成信息系统数据传输中断,且没有后背的电源用于供电,造成了计算机网络设备的停止运行,信息系统的安全得不到有效地保障。因此需要改造这些网络设备的单向供电线路,提供可靠的设备供电电源和后备电源,保障信息系统的安全运行。

1.2 计算机信息系统网络的分析

计算机信息系统的网络安全管理部分缺少核心设备,造成网络系统对风险的抵御能力降低。供电局的计算机网络设备一般将汇聚交换机作为核心,并且与各分局的网络设备相互连接构成大型的局域网络用于信息系统的连接。但交换机在多年的运行过程中安全性和稳定性大大降低,且与分局之间的连接没有采取有效的保护措施网络防护设备,如果网络传输线路一旦发生故障,网络核心设备主要集中在市级供电局,导致下属其他的分局信息系统无法正常的运行。供电局的内部信息一般情况只存在市级局层面信息设备中,抵御外部风险的能力较低。供电局内部和外部的信息传输只依赖于一个广域网上,且在同一个信息系统中运行,且需要完成多项的业务操作,因此需要对网络层面传输设备的性能和接口的要求十分的高。如果一旦内部的网络被黑客或者病毒攻击,就有可能导致计算机信息系统的瘫痪,造成供电局信息系统数据的丢失和利益受损。

1.3 信息系统网络的管理分析

供电局的信息系统网络在运行的过程中需要加强实时的防护的监测,并且要实时分析网络系统的风险,及时地采取有效的技术措施抵御各种网络风暴攻击,提高系统运行的稳定性和可靠性。供电局的信息系统网络建成后需要制定相应的管理办法,将管理的内容落到实处,按照相关的要求来进行操作,从而将信息系统网络安全的风险降到最低。

2供电局信息系统网络的优化方案

2.1 安全防护建设

在供电局的日常经营管理过程中将信息系统划分为三个主要的部分:信息外网、信息内网和生产经营数据存储区域,加强对这三个部分的保护,提升三个部分的安全等级和防御措施。将供电局的信息系统网络分为外网和内网,信息内网用于支持日常的业务,提供客户终端的对各业务系统的运行和操作。外网主要与网络连接用于业务的办理,同时也用于用户的互联网访问。信息外网和内网相互隔离开来,使用独立的服务器和主机运行,防止出现故障导致供电局网络的瘫痪。实现内部网络和外部网络安全分区和专网专用等措施,实现网络的纵向和横向的隔离,信息管理实现分区域管理,提高安全防御的策略。分区域防护的基础上对每层网络加强防护,划分信息外网和内网范围内的设备,加强对设备的多层维护,层层递进,提高安全系数。生产经营数据存储区域主要采取异地容灾措施,信息系统运行产生的数据主要存储于更高管理层面的市级局与省公司,避免由于网络瘫痪或不可估量的各种网络风暴攻击而造成系统数据丢失。

2.2 优化网络结构

供电局信息系统网络可以采用骨干级路由交换机,在每台交换机上提供两套电源设备,一套主要的电源设备,另一套用于设备故障后的备用电源,另外应配备相应的机箱风扇。在交换机上设置相应的管理模块,不但可以进行冗余备份,还可以进行冗余负载。核心交换机之间配备交换模块,并且通过冗余协议进行连接,实现网络层面的冗余。优化配置各级的虚拟局域网,并且选择合适的路由器作为达到负载均衡。这样如果设备出现任何的故障,可以由另一台路由器承担业务职能。对于接入层到骨干层的连接,采用两条千兆以上的以太网进行连接,并且配备相应的接口,连接两台核心交换机,一条作为主要的链路,一条作为备用的链路,如果主链路发生故障,可以切换到备用的链路上,存放网络核心交换设备和汇聚交换设备需配备恒温网络专用机房,提高网络运行的稳定性。

2.3 建立内外网访问管理审批机制

随着信息建设与应用的推广,供电企业实现了生产与经营的信息化管理,信息支撑环境也在不断的升级和改造,网络信息系统更加凸显便捷化和快速化的特性,企业员工日常对信息网络的使用需求日益迫切。因此需要加强对用户访问信息系统网络的管理和监控也是不可欠缺的组成部分,信息系统管理员通过一系列行之有效的系统权限访问管理审批流程,从而保障了信息系统的安全高效运行。网络管理机制可以利用和优化信息系统资源,能够对供电局的业务和服务进行直接的监控和管理。在网络发生故障时可以提高信息系统管理的速度,从而及时的解决问题。网络管理机制可以提高网络的安全运行,保障设备和业务的稳定性,分析汇总网络的信息网络系统的运行状态,然后把这些数据用于系统的维护和管理中。

3 建立信息管理的应急机制

为了进一步提高网络信息系统的安全性和稳定性,需要建立相应的信息管理应急机制,提高网络与信息系统的应急防灾和灾难恢复能力。针对当前的网络信息系统的应用环境,建立相应的应急机制,针对计算机病毒和黑客攻击所造成的网络瘫痪,建立相应的应对预案和故障处理措施,保障信息系统的安全稳定运行和应急防灾能力。应急预案的制定要根据信息系统上线后的状态制定,并且对应急预案进行实时演练和动态评估,保障预案的可靠性。每年对信息网络技术人员进行专业的培训,提高技术人员对信息系统网络应急预案的管理水平,加强对信息系统技术的人员的技术培训,从而为信息网络系统的运行提供可靠的技术支撑。

4 强化信息系统用户的管理和访问

信息网络系统的安全要对交换机、防火墙等进行综合的管理,对一些重要性的设备访问权限提高访问用户的级别,用户的访问设置一定的权限,没有授权的用户不能随意的更改信息和访问数据,提高网络访问的安全性,防患于未然。

5总结

供电局的信息网络安全是一项长期而复杂的工程,需要根据供电局现有的网络运行环境和信息系统环境,加强安全和防护技术,采取有效的措施和预案计划将信息系统网络的运行风险降到最低,从而使信息系统为供电局的生产经营管理发挥更加优质、便捷的服务,助力智能电网企业更好更快的发展。

参考文献:

[1] 刘育权,华煌圣,李力,王莉,刘金生.多层次的广域保护控制体系架构研究与实践[J].电力系统保护与控制,2015(5):112-122.

篇8

国内外网络安全产品和解决方案提供商,如思科、华为赛门铁克、IBM、绿盟科技等,致力于为电信运营商提供电信网络安全解决方案,它们的产品也越来越多地应用到电信的运营支撑系统中,成为电信网络安全的“好管家”。

思科:PIX防火墙

作为领先的网络安全产品提供商,思科提供的产品包括防火墙、入侵检测系统、安全管理系统等等。其中,思科PIX防火墙系列能够提供空前的安全保护能力,它的保护机制的核心是能够提供面向静态连接防火墙功能的自适应安全算法(ASA)。静态安全性虽然比较简单,但与包过滤相比,功能却更加强劲;另外,与应用层防火墙相比,其性能更高,扩展性更强。ASA可以跟踪源和目的地址、传输控制协议(TCP)序列号、端口号和每个数据包的附加TCP标志。只有存在已确定连接关系的正确的连接时,访问才被允许通过思科PIX防火墙。这样做,内部和外部的授权用户就可以透明地访问企业资源,而同时保护了内部网络不会受到非授权访问的侵袭。

编辑点评:目前国内政府、电信、金融等各类企业面临着众多复杂Web应用安全问题,如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用、网页篡改等。防火墙的出现让这些安全问题在很大程度上得到缓解。不过,目前现有的解决方案如运行在应用层的基于的防火墙具有很多限制条件,包括性能低、需要昂贵的通用平台、使用开放系统如UNIX时本身就具有安全风险等。而由思科生产的PIX防火墙系列突破这些限制条件,大大地提高了安全防护能力,为电信运营商的网络安全提供强有力的支持。

华为赛门铁克:SecowayUSG5000

USG5000防火墙是华为赛门铁克面向大中型企业以及电信运营网推出的统一安全网关设备,该产品除了提供命令行方式外,还提供了图形化用户界面。USG5000为1U标准机箱,带Console口,有4对固定的以太网光电互斥GE口,2个USB2.0接口,并为用户提供了2个扩展插槽,可安装4FE或2GE光电互斥接口模块。机箱还装有两个交流或直流电源模块,可实现双路供电及电源的冗余备份,支持热插拔。USG5000采用集成的软件和硬件平台,采用了专有的、实时的操作系统,可灵活划分安全区域,当数据在分属于两个不同安全级别的接口之间流动的时候,会激活USG5000的安全规则检查功能。

编辑点评:华为作为领先的电信行业解决方案提供者,赛门铁克作为存储和安全产品生产商,两者的结合致力于为电信运营商提供更可靠的网络安全产品和解决方案。USG5000支持HRP协议,备份关键配置命令和会话表状态信息,在主设备出现故障时由备用设备平滑接替工作,在最大程度上确保了运营商的网络系统安全。而近日华为赛门铁克推出的USG6000防火墙产品更是将安全级别提高了一个层次,关注NAT、DDoS攻击,另外还是一款绿色产品。

IBM:IBMISS防入侵系统

IBMISS防入侵系统通过IBMISSX-Force调查和开发组收集的最新弱点和威胁信息提供支持。拥有全面的解决方案,可以满足企业用户的多种需求。而且IBM提供的防入侵解决方案可以通过软件和产品以及托管服务的形式提供,帮助企业用户识别对网络、桌面、服务器以及消息接发系统的威胁。IBMISS的Proventia网络入侵防护系统(NIPS)产品,可以在互联网攻击影响到企业网络之前提供前瞻性的安全防护。Proventia网络入侵防护系统可以透明接入并以线速拦截入侵尝试,拒绝服务(DoS)攻击,恶意代码传播、后门活动和基于网络的混合威胁,而并不会影响网络性能,也不需要重新配置网络。

编辑点评:IBMISS解决方案以IBMX-Force研发组为后盾,他们拥有丰富的安全知识,是全球实力最强大的企业网络弱点和威胁研究机构。通过来自IBMISS的防入侵产品对企业用户的网络、服务器和桌面架构进行保护,免受入侵影响,推出的系列产品旨在阻止恶意数据传输对企业用户网络造成的影响。防入侵解决方案性能更卓越,能够为用户提供前瞻性的保护,具有更高的可用性,部署和管理也很简单。

绿盟科技:冰之眼网络入侵检测系统

冰之眼网络入侵检测系统(ICEYENetworkIntrusionDetectionSystem)是对防火墙的有效补充,实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,实现从事前警告、事中防护到事后取证的一体化解决方案。冰之眼网络入侵检测系统具有三大功能:入侵检测:对黑客攻击、蠕虫病毒、木马后门等行为进行实时检测及报警,并通过与防火墙联动、TCPKiller、发送邮件、控制台显示等方式进行动态防护;行为监控:对网络流量进行监控,对P2P下载、IM即时通信等严重滥用网络资源的事件提供告警和记录;流量分析:对网络进行流量分析,实时统计出当前网络中的各种报文流量。

编辑点评:伴随着网络的发展,也产生了各种各样的安全问题,网络中蠕虫、病毒及垃圾邮件肆意泛滥,木马无孔不入,DDoS攻击越来越常见,黑客攻击行为几乎每时每刻都在发生。如何及时地、准确地发现违反安全策略的事件,并及时处理,是广大企业用户迫切需要解决的问题。冰之眼网络入侵检测系统是绿盟科技自主知识产权的安全产品,包括从百兆到千兆处理性能的ICEYE-200D/600D/1200D/1600D四种型号,可以满足从中小企业到大型企业和电信运营商的各种组网需求,为他们的系统安全提供强大支持。

趋势科技:NetworkVirusWallEnforcer2500

篇9

[关键词]分区防护;电力信息网络;体系结构

引言

电力信息系统包括电力调度自动化系统、能量管理系统EMS、配电自动化系统DAS、配电管理系统DMS、管理信息系统等系统。随着电力信息网络系统的广泛应用,既要防止外部的也要防止内部的各种攻击,电力信息系统信息安全的问题日益突出,已成为影响电力系统生产和经营正常运行的重大问题。由于电力系统是国民经济的基础设施,决定了其网络信息安全既具有一般计算机信息安全的特征,更要考虑高安全要求的特征。针对电力信息网络系统的特点,设计了一种基于分区防护的电力网络信息安全体系结构,并对其所用的安全隔离技术进行了分析,该设计可提高电力信息网络系统的信息安全。

1、电力信息系统网络信息安全的体系结构

电力信息系统网络信息安全的体系结构采取专用网络和公共网络相结合的网络结构,如图1所示,其中,SPDnet(调度信息网)和SPnet(电力信息网)是电力专用网络。为了保障电力系统的安全,根据电力系统各部分对安全的不同要求程度,将电力网络信息系统划分为三层四区,具体分析如下。电力信息业务划分为三层:第一层――自动化系统,第二层――生产管理系统,第三层――电力信息管理系统及办公自动化系统。将三层功能与电力信息网络结构对应起来产生四个安全工作区域:安全区Ⅰ――SPDnet支撑的自动化系统,凡是具有实时监控功能的系统或其中的监控功能部分均应属于该区。如,调度自动化系统、相量同步测量系统、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,是电力系统安全防护的重点。安全区Ⅱ――SPDnet支撑的生产管理系统,原则上不具备控制功能的生产业务和批发交易业务系统属于该区,如,水调自动化系统、电能量计量系统、发电侧电力市场交易系统等。安全区Ⅲ――SPnet支撑的进行生产管理系统,如,调度生产管理系统、雷电检测系统、气象信息接入和客户服务等。安全区Ⅳ――SPnet支撑的电力信息管理系统,如MIS和OAS等。电力网络信息安全的体系结构如图1所示。

从图1中可以看出,电力网络信息安全的体系结构体现了以下安全策略:(1)分区安全防护。根据系统中业务的重要性和对一次系统的影响程度,将电力信息网络系统划分为四个安全工作区,重点保护在安全区Ⅰ中的实时监控系统和安全区Ⅱ中的电力交易系统。(2)网络专用。SPDnet与SPnet通过正向型和反向型专用安全隔离装置实现(接近于)物理隔离,SPDnet提供二个相互逻辑隔离的MPLS-VPN分别与安全区Ⅰ和安全区Ⅱ进行通信。(3)横向隔离。安全区Ⅰ和安全区Ⅱ之间采用逻辑隔离,隔离设备为防火墙,安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间实现(接近于)物理隔离,隔离设备为正向型和反向型专用安全隔离装置。(4)纵向认证与防护。安全区Ⅰ、Ⅱ的纵向边界部署具有认证、加密功能的安全网关(即IP认证加密装置);安全区Ⅲ、Ⅳ的纵向边界部署硬件防火墙。(5)胖Ⅲ区瘦Ⅱ区分区方案和对应的数据中心统一支撑平台,为适应电网二次系统应用现状和发展要求,SCADA/EMS等系统的数据需要在Ⅲ区重构,以建立适应网络安全要求的电网调度运行系统数据中心统一支撑平台。(6)安全区Ⅳ通过防火墙与Internet相连接。

2、安全隔离技术

电力系统的信息网络相对Internet来说是一个内部网络,从被动防护的角度来看,内部网络的主要安全防护技术为放火墙、入侵检测技术等;而主动防护则主要采用安全隔离技术等。安全隔离技术主要包括物理、协议隔离技术及防火墙技术。

2.1物理隔离技术。物理隔离技术是指在物理上将内部网与外部网分离,阻断内部网与外部网的连接,内部网与外部网无法通过直接或间接的方式(包括放火墙或服务器等)连接。物理隔离是防范黑客入侵、病毒、拒绝服务等网络攻击的简单而有效的手段,电力信息网络系统的安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间采用物理隔离以保证其安全。物理隔离为内部网划定了明确的安全边界,使得网络的可控性增强,结合有效的安全管理及监测、审计等安全技术,可以准确地定位网络攻击来源,查找来自内部的攻击制造者。物理隔离可以有效地确保外部网不能通过网络连接而侵入内部网,同时防止内部网信息通过网络连接泄露到外部网。

2.2协议隔离技术。协议隔离技术是在内部网与外部网的连接端点处,配置协议隔离器来隔离内外网。协议隔离器使用了两台不同设备上的通用网络接口分别连接内部与外部网,而设备之间通过使用专用密码通信协议的专用接口卡进行互连。通常情况下,内外网是断开的,只有当有信息交换时,内外网才会通过协议隔离器连通。

2.3防火墙技术。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的潜在的破坏入。它可以通过检测、限制或更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通过设置防火墙相关参数,可以实现数据包过滤、应用级网关和服务等安全功能。

3、结束结

由于电力系统是国民经济的基础设施,关系到国计民生,这就决定了其网络信息安全的设计除了要考虑其一般计算机网络信息安全的特征外,更要考虑其实时运行控制系统的更高安全要求,本文设计了一种基于分区防护的电力网络信息安全体系结构,分析了其所用的安全隔离技术,该设计可提高电力信息网络系统的信息安全。

参考文献

[1]王刚军,张学松,郭志忠.电力信息安全的监控与分析[J].电网技术,2004,vol.28(9):50~53.

[2]高新华,王文,马骁.电力信息网络安全隔离设备的研究[J].电网技术,2003,vol.27(9):69~72.

[3]胡炎,谢小荣,辛耀中.电力信息系统现有安全设计方法分析比较[J].电网技术,2006,vol.30(4):36~42.

篇10

[关键词]电子档案;网络安全;解决措施

电子档案的网络安全是指在网络环境下,能够确保电子档案的保密性、完整性和可用性。其中,保密性是指电子档案在传输和访问的过程中,即使被截取,电子档案的信息内容也不会泄露;完整性是指电子档案的数据、结构、背景信息等内容在网络环境下进行传输和利用时,不会发生缺损、篡改或者恶意删除;可用性是指用户在网络环境下可以对被授权的电子档案进行合法访问,并获取相应的电子档案信息。

电子档案的网络安全是一项综合性课题,也是一项动态性工程,既要注重技术因素,不断改进和完善技术措施,又要从安全管理的角度出发,引入非技术因素,即人为因素,加强管理,从而将档案网络安全工作引入更深的层次。

一、技术层面的保障策略

1.设置防火墙。如果管理档案的计算机为数不多或者预算资金有限,可以购买防火墙软件;如果管理档案的计算机数目很多,则需要设置防火墙专用机器,并在其上安装防火墙。同时,还必须对防火墙进行一些安全设置,包括设置正确的安全过滤规则,以便达到防范源地址假冒、源路由类型攻击和防止IP地址被盗用的效果。管理人员应定期查看防火墙访问日志,以便及时发现恶意攻击行为和不良上网记录,从而真正做到御“敌”于网外。

2.安装正版杀毒软件并及时更新。杀毒软件是病毒的克星,首先要在管理电子档案的计算机上安装杀毒软件。杀毒软件应为正规厂家的正版产品,具备查杀一体功能,以便能彻底清除病毒。其次要设置提醒程序或者自动扫描日程,定期对计算机进行扫描。再次要及时更新安装的杀毒软件,使病毒数据库始终保持在最新状态。

3.操作系统及其应用软件的安全使用。首先,在安装操作系统的过程中,安装所需软件;其次,对使用频率不高的应用程序可以选择禁用,当需要时再开启;再次,及时为操作系统安装补丁,漏洞是操作系统致命的安全缺陷,只有及时更新补丁程序,才能有效预防操作系统漏洞型病毒的攻击。

4.多种手段并行,切实做好防御工作。第一,采用虚拟专用网技术。虚拟专用网是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。第二,实行网络地址转换。即当内部与外部相连时,使用同一IP地址,而当外部络与内部主机相连时,必须通过网关映射到内部主机上,从而起到隐藏内部网络、伪装和保密IP地址的作用。第三,使用服务器。服务器起到访问的中介作用,使内部和外部网络间不能直接访问,从而保证了内部关键信息的安全。第四,定制备份。及时对电子档案建立可靠的数据备份,以有效地预防黑客攻击、病毒感染等,从而确保电子档案的安全,提高其远程访问的有效性。而对于密级较高、较重要的电子档案,还可以将其打印为纸质档案或微缩到胶片上进行保存,以确保万无一失。第五,创建电子档案数据库、电子档案管理系统。充分利用现代信息安全技术,结合档案工作特点,建立电子档案数据库、电子档案管理系统是保证电子档案安全的重要途径。在一个完善的安全电子档案数据库或者管理系统中,用户必须将其身份信息与利用请求发送给系统,系统再将这些内容转发给管理人员,而管理人员则利用相互认证机制,在验证用户身份真实、请求合理性之后,才能允许该用户获取相关档案信息。同时,系统会自动生成档案利用的记录,即包含用户的身份、调阅时间、管理人员姓名等,从而建立详实的档案利用记录。对于密级较高的电子档案,还可以由几个或几级管理人员共同审核。

二、管理层面的保障策略

技术是关键,管理是方法,如果没有好的管理,电子档案的网络安全性也很难得到保障。因此,只有从管理的角度入手,加强领导层、管理人员和普通工作人员的网络安全意识,发现系统安全漏洞,及时对电子档案安全体系进行审查,才能从根本上减少人为的不安全因素。

1.建立健全电子文档的归档与管理制度。即对电子文件的形成、积累、鉴定、归档及电子档案的保管责任到人,明确规定归档时间、归档范围、技术环境、相关软件、版本、数据类型、格式、作数据、检测数据等;对电子文档的使用实施有效的监控、严格的管理,以确保电子信息的真实性、安全性和完整性。