电力监控系统安全风险评估范文
时间:2024-01-02 17:44:19
导语:如何才能写好一篇电力监控系统安全风险评估,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
关键词:信息管理系统;安全性;安全隔离
中图分类号:TP309
随着信息技术的广泛应用,信息管理系统的安全问题也日益突出,信息管理系统需要同时防范内部和外部的各种攻击行为。对于通常意义上的信息管理系统而言,信息系统具有用户类型众多、用户成员分散、访问权限多变、系统中数据保密性强等特点。为了防止信息管理系统中用户的操作不当,或者越权操作给系统带来的影响,保证信息管理系统的正常运行,就要求信息管理系统必须要具备良好的安全性能,以满足用户对系统安全的需求。
1 信息管理系统常用的安全技术分析
1.1 安全隔离技术。安全隔离技术包括物理隔离、协议隔离和防火墙技术三种。(1)物理隔离。物理隔离技术从物理上将布设了信息管理系统的内部网络与Internet外部网络隔离,从而使得外部网无法直接通过防火墙或者服务器访问内部网络,是防范病毒、拒绝服务等网络攻击的有效手段;(2)协议隔离技术。使用协议隔离器隔离信息管理系统的内部网络和外部网络,在协议隔离器上用两个接口分别连接内部网络和外部网络,当需要内外网进行数据交互时,才会连通协议隔离器,而通常情况下的内外网是断开的;(3)防火墙技术。防火墙技术实现内外部网络的逻辑隔离,防火墙技术是内外网之间的数据通信屏障,可以对内外网之间的流通的数据进行检测和限制,从而对外部网络屏蔽内网络的网络结构、运行状态以及内部网络中传输的数量,达到保护内部网络数据的目的。
1.2 系统级安全技术。(1)操作系统安全。操作系统是应用软件的基础支撑平台,对整个系统的安全性有着非常重要的影响,可以根据具体的操作系统类型选择合适的安全机制,例如UNIX平台上的用户优化管理,以及Windows平台的用户权限和用户访问策略,以及在操作系统上安装防毒软件等手段来保护系统安全;(2)数据加密。数据加密技术无法防止系统中的数据被非法用户窃取,但是可以保证非法用户在非法获得信息管理系统中的数据后,也无法了解这些数据所代表的具体信息。数据加密技术可以改变信息的原有表现形式,从而使得获得加密数据的用户无法了解数据中的真实信息,或者合法用户可以确认所收到的数据是否被篡改。
1.3 应用级安全技术。(1)动态权限策略。根据信息管理的具体应用业务流程,并且结合系统级安全策略,动态对系统中的不同信息和用户赋予不同的权限。例如,在OA系统中,可以设定系统中的具体文档、合同的阅读者和审核者范围,甚至可以对哪些用户可以文档中某一部分的内容进行阅读或者修改的权限进行设定,采用动态权限机制来保证系统的安全;(2)操作记录。将用户操作进行自动记录和存档,同时保存文档修改之前和之后的版本,从而记录下文档的修改轨迹。
2 安全技术具体应用案例
2.1 信息管理系统安全分析。由于电力市场的特点决定,电力系统参与的各个主体分别代表了不同的利益团体,例如电力公司信息管理系统中的交易热暖,能够申报授权范围内的交易数据,对市场信息进行查询;结算人员可以对各类交易的执行情况和执行结果进行考核结算。因此,为了防止系统用户在信息管理系统中进行越权操作,或者操作不当给各方带来的损失,需要对电力公司的信息管理系统进行安全控制。
由于电力公司所涉及的业务广泛,为此电力公司内部信息管理系统数量众多,主要包括负责对发电厂、输配电线、变电站的正常运行和生产进行监控的SCADA/EMS系统,负责电网调度运行、电网通信、继电保护进行综合管理的DMIS系统,负责电力企业决策支持的MIS系统,以及负责电力企业办公自动化的OAS系统等。根据电力行业的特点,要求在电力公司信息管理系统中必须要确保SCADA/EMS系统的安全性,其他信息管理系统安全性要求也较高。
2.2 信息管理系统网络结构设计。目前,为了提高电力公司信息管理系统的安全性,电力公司采取如图1所示的,包括SPnet(电力信息网)和SPDnet(调度信息网)的专用网络和Internet公共网络相结合的网络结构。通过内网与外网的物理隔离,既满足了MIS系统、OAS系统的Internet用网需求,同时也保证SCADA/EMS不能够直接访问Internet,从而最大程度上的保证系统安全。
2.3 信息管理系统安全体系结构设计。
如图1所示,在电力公司信息管理系统安全体系结构中采用了如下的安全策略来保证信息管理系统的安全。(1)分区安全保护策略。根据电力公司内部各信息管理系统所管理业务的重要性,对信息管理系统的安全级别进行划分,重点保护网络内的安全区Ⅰ内的SCADA/EMS实时监控系统,和安全区Ⅱ内的交易系统;(2)横向隔离。安全区Ⅰ与安全区Ⅱ内部的时监控系统,和交易系统采用防火墙进行逻辑隔离,而安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间采用正向和反向专用的安全隔离装置进行物理隔离;(3)专网专用。SPDnet调度网提供两个逻辑隔离的安全隔离装置与安全区Ⅰ和Ⅱ进行通信,SPnet电力信息网与SPDnet调度网实现物理隔离;(4)纵向认证与保护。安全区Ⅰ和Ⅱ的边界都设置了具有加密和认证功能的安全网关,而Ⅲ和Ⅳ的边界部署了防火墙;(5)整个网络只有安全级别最低的安全区Ⅳ通过防火墙直接访问Internet。从如上的分析可以看出,根据不同信息管理系统的需要,可以灵活应用物理隔离技术、逻辑隔离技术,以及辅以系统安全技术和应用安全技术,来多方位的保证系统中信息管理系统的安全。
3 结束语
随着信息技术的发展,信息技术在社会各个领域中的应用也越来越广泛,由于网络的开放性,导致信息管理系统不可避免的会面临着系统的安全性问题。在本研究中主要根据信息管理系统的特点,对信息管理系统中常用的安全技术进行分析,并且以电力公司信息管理系统为例,对安全技术在信息管理系统中的应用进行案例分析。
参考文献:
[1]沈昌祥,张焕国,冯登国.信息安全综述[J].中国科学,2007(37):129-150.
[2]陈颂,王光伟.信息系统安全风险评估研究[J].通信技术,2012(01):128-130.
[3]郑雷雷.故障树分析法在信息安全风险评估中的应用[J].计算机科学,2011(B10):106-108.
篇2
关键词:二次安防 电力系统 网络安全
一、引言
电力生产直接关系到国计民生,其安全问题一直是国家关注的重点之一。电力监控系统及调度数据网络作为电力系统的重要基础设施,不仅与电力系统生产、经营和服务相关,而且与电网调度和控制系统的安全运行紧密关联,是电力系统安全运行的重要组成部分。
随着通信技术和网络技术的发展,接入调度数据网的电力控制系统越来越多,调度中心、变电站、电厂、用户等之间的数据交换也越来越频繁,这对电力监控系统和数据网络的安全性、可靠性和实时性提出了新的严峻挑战。
二、本地110kV变电站二次系统现状
目前电力二次系统存在的主要问题有:管理区和生产区存在着双向的数据互换;缺乏加密,认证机制,没有入侵检测等预警机制;没有漏洞扫描和审计手段,接入存在安全隐患等。
随着网络技术的迅猛发展,为满足网络技术在电力系统中的应用,加之通过网络传输远动信息的迫切要求,IEC国际电工委员会在IEC60870-5-101基本远动任务配套标准的基础上,又制定了IEC60870-5-104远动传输规约标准,广东电网公司则据此制定了广东电网DL/T634.5104-2002实施细则。它采用平衡传输模式,通过TCP/IP协议实现网络传输远动信息,适用于调度主站(中心站)EMS系统和子站(远方站)RTU或计算机监控系统之间采用专用Intranet网络进行通讯。
因此,本地电网在当前已建设完成的地调、500kV变电站及220kV变电站生产控制区业务系统接入调度数据网及相应调度数据网边界的安全防护的基础上,进一步完善局本部安全防护体系,并结合地区调度数据网建设将安全防护建设范围拓展至110kV变电站。
三、整体解决方案
1. 安全防护目标及重点
电力二次系统安全防护的重点是抵御黑客、病毒等通过各种形式对系统发起的恶意破坏和攻击,能够抵御集团式攻击,重点保护电力实时闭环监控系统及调度数据网络的安全,防止由此引起电力系统故障。
安全防护目标是防止通过外部边界发起的攻击和侵入,尤其是防止由攻击导致的一次系统的事故以及二次系统的崩溃;防止未授权用户访问系统或非法获取信息和侵入以及重大的非法操作。
2. 安全防护策略
安全防护总体策略是:安全分区、网络专用、横向隔离、纵向认证。
2.1安全分区。
二次系统从逻辑上可划分为生产控制区和生产管理区,其中生产控制区又分为实时控制区(Ⅰ区)和非控制生产区(Ⅱ区);生产管理区又分为调度生产管理区(Ⅲ区)和管理信息区(Ⅳ区),调度系统主要负责安全区Ⅰ、Ⅱ、Ⅲ的安全防护。
2.2网络专用。
在专用通道上建立调度专用数据网络,实现与其他数据网络物理隔离。并通过采用MPLS-VPN或IPsec-VPN在专网上形成多个相互逻辑隔离的VPN,以保障上下级各安全区的纵向互联仅在相同安全区进行,避免安全区纵向交叉。
2.3横向隔离。
采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护,在生产控制大区与管理信息大区之间,隔离强度应接近或达到物理隔离,必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。在生产控制大区内部的安全区之间,进行逻辑隔离,采用具有访问控制功能的网络设备、防火墙或者相当功能的设施。
2.4纵向认证。
采用认证、加密等手段实现数据的远方安全传输。
3. 110kV变电站安全防护方案
110kV变电站二次系统安全防护不接入省调,生产控制大区可以不再细分,可将各业务系统和装置均置于控制区,其总体设计逻辑结构如下图。该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区域的纵向互联的逻辑结构以及网络安全产品的总体部署。
3.1纵向加密装置
用于生产控制大区的广域边界防护,为电力网关机之间的广域通信提供认证与加密功能,实现数据传输的机密性和完整性保护。
3.2纵向互联防火墙
提供基于策略的会话限制,方便用户对网络中会话的管理,有效抵御内外部对网络的攻击和滥用。
3.3控制区互联交换机
在控制区互联交换机上将站端调度数据网实时VPN业务段地址划分为两个VLAN(VLAN100和VLAN199),其中VLAN100用于远动等自动化业务的接入和通过纵向加密认证装置与调度数据网实时VPN的互联,VLAN199用于保信等其它业务系统的接入和通过防火墙与调度数据网非实时VPN互联。
四、结束语
本文就目前电力监控系统和调度数据网络面临越来越多的安全威胁,进而影响电网安全的形势下,对电力二次系统安全防护的主要目标及防护策略展开分析,并介绍本地区供电局在110kV变电站二次系统安全防护的实施方案。随着计算机技术发展,计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下,才能真正达到保证安全的目的。同时,调度自动化安全防护是一个动态的工作过程,而不是一种状态或目标。随着风险、人员、技术不断地变化发展,以及调度应用与应用环境的发展,安全目标和策略也发生着变化,电力二次系统的安全管理需要不断跟踪并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、高效可靠运行。
参考文献:
[1]国家电力监管委员会,电力二次系统安全防护总体方案[R],2006.
篇3
关键词 电力企业;信息安全;防护措施
中图分类号TM7 文献标识码A 文章编号 1674-6708(2012)65-0022-03
信息化是社会生产力与生产方式发展的一个必然趋势,是我国显得文明建设的一项重要标志。信息化建设能够带动企业管理水平与生产效能的提高,信息资源作为一种重要的资源,其重要性逐渐被人们所认识。电力企业属于技术密集型产业,对于生产自动化与集约化都有着较高的要求,因此也是较早的进行信息化建设的一批企业,并且也取得了一些显著的成效,但是也正是因为起步较早,缺乏经验,因此在信息化网络的建设中总是存在着很多问题,而这些问题已经逐渐成为了电力企业网络信息安全的隐患,因此,加强网络信息安全已经成为了电力企业发展的重要组成部分。
1 电力企业网络信息安全现状分析
各级电力企业因为生产经营与管理的需要,都在不同程度上建成了自己的自动化系统,变电站基本也实现了“四遥”和无人值守。并且也建立起了企业自己的管理系统来对生产、营销、财务、行政办公等工作进行覆盖,并已经进行了实用化具有较高安全等级的调度自动化系统已经通过WEB网关与MIS之间进行相互的信息访问,部分地方已经安装了正向隔离器,进而实现了物理隔离与数据的安全访问。
各个电力企业已经制定了安全策略,并实施了一部分,同时实现了互联网的安全接入。
将营销支持网络与呼叫接入系统和MIS网络进行了整合,并且已经与用户、银行等企业实现了信息的安全共享,对自身的服务手段进行了优化。
边远地区的班站基本都通过VPN技术来实现了远程班组联网的要求,并能够实现大范围的信息共享,而且应用范围也变得更加的广泛。利用VPN的高级应用能够构建起基于互联网的各种远程服务。
2 电力企业网络信息安全方面存在的问题
2.1不同的网络之间没有严格的进行等级划分
根据《全国电力二次系统安全防护总体方案》,电力企业对于不同安全等级的网络必须要进行安全等级的划分。在纵向上,电力企业需要实现实时监控系统之间的互联。各个自动化系统与低调系统之间都是通过载波进行单向数据转发,而部分基层电力企业都没有实现网络化的数据传输,同时在主站与厂站之间也没有实现光纤载波双通道。在横向上,要求能够实现实时监控系统与非实时监控系统之间的相互连接。根据当前的互联网现状与通信现状,主要还存在着这些问题:1)单向数据的传输难以实现真正意义上的数据共享,同时在与非实时系统之间的接口上也没有进行标准数据接口的建设;2)部分电力企业没有利用MPLS VPN技术组建数据调度网,没有满足相关的安全要求;3)上下级的调度之间没有部署必须的认证加密装置。
2.2随着技术的发展与电力企业的业务发展,现有的网络安全防护能力难以满足要求
随着信息技术的发展与电力企业自身业务的发展要求,网络安全越来越受到重视,但是现有的网络安全防护能力明显不足,缺乏有效的管控手段,同时管理水平也急需要提高。如今的电力企业还缺少一套完善的服务器病毒防护系统,有一些地市、县局都是使用的省公司所同一部署的趋势防毒软件,有的甚至还采用的是单机版的瑞星、江民、卡巴斯基等防病毒软件,相对而言,防护能力还有所不足。当受到攻击时,容易出现系统瘫痪。同时还没有能够建立起一套完善的数据备份恢复机制,如果数据受到破坏,那么所受到的损失将难以估量。没有一套完善的网管软件,难以对一些内部用户的过激行为进行有效的监管,例如IP盗用、冲突,滥用网络资源(BT下载等),等等。还没有能够建立起一套完善的评测和风险评估制度,对于当前电力企业的网络安全现状难以进行有效的评估。同时,我国也缺乏专业的评测机构,这就使得电力企业网络安全风险与隐患都难以被及时发现和进行有效的防范,使得电力企业的防范能力难以得到持续增强。
2.3电力企业服务器存在的安全隐患
在电力系统中有着十分众多的服务器。随着网络攻击手段与攻击技术的不断更新,服务器攻击愈演愈烈,因此拥有众多服务器的电力系统成为了攻击的首选对象。在电力企业中的服务器主要包括了数据库服务器、应用服务器、Web服务器、算费服务器、银电联网服务器等多种服务器,众多的服务器也使得其存在着严重的安全隐患:1)电力企业的网络中,每一个服务器都拥有自己独立的认证系统,但是这些服务器却缺乏统一的权限管理策略,管理员难以进行统一的有效管理;2)Web服务器和流媒体服务器长期遭受到来自于互联网的DDoS以及各种病毒的侵袭;3)让邮件服务器中受到大量的垃圾邮件的干扰,并且也难以进行有效的信息监管,经常会发生企业员工通过电子邮件来传递企业的机密信息的安全事件;4)权限划分不明确,容易受到来自外部黑客的攻击,例如通过SQL注入、脚本注入、命令注入方式等方式来窃取数据库中的机密数据;5)与总公司服务器通信过程中有些机密信息由于没有采取加密措施,很容易被窃听而泄密。
2.4各种恶意网页所带来的网络安全威胁
电力企业拥有自己的主题网站,并通过互联网与外网相连。每一个电脑使用者都会通过对网页的点击来寻找对自己有用的信息,电力企业内网与外网相连,因此,电力企业中的员工也会通过与外网的链接,从互联网中搜索对自己有用的信息,但是并不是所有的网页都是安全的,有一些网站的开发者或者是黑客会为了能够达到某种目的对网页进行修改,进而达到某种目的,当电力企业的内部员工通过电力企业内部的网络进行访问时,就会受到来自这些恶意网页的攻击。
2.5设备本身与系统软件存在漏洞
由于电力企业的信息化建设较早,这就导致了很多设备与软件都出现了各种安全漏洞,这些都导致了不良安全后果的程度增加。信息网络自身在操作系统、数据库以及通信协议等存在安全漏洞和隐蔽信道等不安全因素;存储介质损坏造成大量信息的丢失,残留信息泄密,计算机设备工作时产生的辐射电磁波造成的信息泄密。信息网络使用单位未及时修补或防范软件漏洞、采用弱口令设置、缺少访问控制以及攻击者利用软件默认设置进行攻击,是导致安全事件发生的主要原因。
3 电力企业网络信息安全防护措施
3.1进行网络安全风险评估
电力企业要解决网络安全问题并不能够仅仅是从技术上进行考虑,技术是安全的主体,但是却不能成为安全的灵魂,而管理才是安全的灵魂。网络安全离不开各种安全技术的具体实施以及各种安全产品的部署,但是现在在市面上出现的安全技术、安全产品实在是让人感觉眼花缭乱,难以进行选择,这时就需要进行风险分析,可行性分析等,对电力企业当前所面临的网络风险进行分析,并分析解决问题或最大程度降低风险的可行性,对收益与付出进行比较,并分析有哪一些产品能够让电力企业用自己最小的代价满足其对网络安全的需要,同时还需要考虑到安全与效率的权衡等。对于电力企业来说,搞清楚信息系统现有以及潜在的风险,充分评估这些风险可能带来的威胁和影响,将是电力企业实施安全建设必,须首先解决的问题,也是制定安全策略的基础与依据。
3.2构建防火墙
防火墙是一种能有效保护计算机网络安全的技术性措施,有软件防火墙与硬件防火墙这两类。防火墙能够有效的阻止网络中的各种非法访问以及构建起起一道安全的屏障,对于信息的输入、输出都能够进行有效的控制。可以在网络边界上通过硬件防火墙的构建,对电力企业内网与外网之间的通信进行监控,并能够有效的对内网和外网进行隔离,从而能够阻档外部网络的侵人。对于电力企业可以通过“防火墙+杀毒软件”的配置来对内部的服务器与计算机进行安全保护。同时还需要定期的进行升级。为了防止各种意外的发生,需要对各种数据进行定期的备份。需要定期的对个硬件以及各种备份的有效性进行检验。电力企业防火墙体系构建如下:
访问控制列表构建防火墙控制体系。通过对访问控制列表的调节能够有效的实现路由器对数据包的选择。通过对访问控制列表的增删,能有效的对网络进行控制,对流入和流出路由器接口的数据包进行过滤,达到部分网络防火墙的效果。
配置硬件防火墙。在电力企业中硬件防火墙的使用较多,但是能够真正发挥作用的就不多了。在使用硬件防火墙前,需要将防火墙与企业的整个网络配置好。首先需要对防火墙的工作模式进行选择,例如WatchGuard这款防火墙具有两种工作模式,一种是Drop-In Mode,另外一种是Routed Mode。前面的那一种模式主要是用于不带“非军事区”或者是没有内网的网络环节中,因此,电力企业中就应该选择Routed Mode这种模式。然后将其中的外接网口、内部接口、“非军事区”等选项添好,当对网络设置完成之后,就可以利用相应的GUI 程序与硬件防火墙进行连接,并对应将防火墙进行进一步的配置。在电力企业中有很多部门,每一个部门对网络安全的具体需求都不相同。因此,在设置时需要考虑到部门的具体情况。
3.3加强对计算机病毒的预防控制
计算机病毒的防治是网络安全的主要组成部分,而对电力企业的网络安全造成威胁的主要是各种新型的病毒。若要从根本上防止新型态病毒对企业的威胁,就必须从监控、强制、防止及恢复等四个阶段对新型态病毒进行管理。
控制计算机病毒爆发次数,降低病毒对业务所产生的影响。我们知道,病毒从感染单台客户机・扩散・爆发,均需要一段空窗期。很多时候,管理人员都是在病毒爆发之后才能够发现问题,但是这时已经太晚。因此需要能够在病毒扩散期就发现问题根源,才能够有效的降低病毒爆发的概率。
网络层防毒将能够有效的对病毒进行预防。在电力企业中,需要将网络病毒的防范作为最重要的防范对象,通过在网络接口和重要安全区域部署网络病毒墙,在网络层全面消除外来病毒的威胁,使得网络病毒不能再肆意传播,同时结合病毒所利用的传播途径,对整个安全策略进行贯彻。
预防病毒并不能够完全的依靠病毒的特征码,还必须要实现对病毒发作的整个生命周期进行管理。必须要建立起一套完善的预警机制、清除机制、修复机制,通过这些机制来保障病毒能够被高效处理,防毒系统需要在病毒代码到来之前,就能够通过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等各种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除,快速恢复系统至正常状态。
3.4开展电力企业内部的全员信息安全教育和培训活动
安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。
开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。
4 结论
网络安全是一个综合系统,不仅仅涉及到技术层面的问题同时还会涉及到管理上面的问题。网络上,无论是硬件还是软件出现问题都会对整个网络安全形成威胁,产生出网络安全问题。我们需要通过系统工程的观点、方法对当前电力企业中的网络安全现状进行分析,并提出提高网络安全性的措施。在电力企业的网络中,包括了个人、硬件设备、软件、数据等多个环节,这些环节在网络中所具有的地位与影响都需要从整个电力企业的网络系统去进行整体的看待和分析。电力企业的网络安全必须要进行风险评估才能够制定出合理的计划。
参考文献
[1]余志荣.浅析电力企业网络安全[J].福建电脑,2011(7).
[2]周伟.计算机网络安全技术的影响因素与防范措施[J].网友世界,2012(1).
[3]张鹏宇.电力行业网络安全技术研究[J].信息与电脑(理论版),2011(1).
篇4
【关键词】电力系统;信息安全;关键技术;探究
电力系统信息安全涉及到电力生产、传输、分配以及使用各个环节,是一项技术复杂,管理程度较深的系统工程,随着电力自动化水平的不断发展,电力系统对于数据信息网络的依赖越来越严重。本文就来探讨一下电力系统信息安全存在的问题以及相应的解决措施。
1 电力系统信息安全存在的安全隐患
随着我国电力信息系统的不断发展,在运行过程中还存在着一些问题,具体如下。
1.1 现状及局限性
(1)对电力系统信息安全的管理不规范,要加强对电力系统的管理,就要建立一套统一的、规范的以及标准的管理系统,用来指导电力系统信息网络的安全、高效、稳定的运行;(2)电力企业职工网络安全意识淡薄,随着信息技术的不断发展,信息安全策略与相关技术也得到很快发展,对于一些新的信息安全问题还是不能有效的解决;(3)要根据电力企业的特点来制定一套信息安全体系,对电力信息网络的应用可以分为管理信息类型、生产控制类型、话音视频类型以及经营类型四个类型,在对生产控制类型进行应用时应该与其他三种类型相隔离来保证其使用过程中的安全性。
1.2 密码保护措施
当网络交易进行完之后,要采取有效措施避免交易过程中资料被泄露、篡改等各种非法侵入,因此,必须加强对信息安全的管理,现在很多金融企业都采用DES和RSA加密技术来保证信息的安全。
1.3 电力系统信息安全关键技术分析
电网能够安全有效运行以及供电的前提就是对电力系统的安全管理,对其的管理是一项复杂的工程,所涉及的范围也较广,主要有电网的自动调度、配电网的自动化、继电保护装置、电力市场以及电力有效营销等领域。但是,目前我国的电力系统还没有建立起一个安全的管理体系,一些网络只是安装了防火墙或者防毒软件,这样只能起到简单的保护作用,一旦出现重大问题,是没有办法防御的,有些网络甚至连防火墙都没有,缺乏对网络安全的规划与重视。
2 电力系统信息安全关键技术的应用展望
2.1 网络安全技术的优化
为了保证电力系统信息安全,必须对网络安全技术进行改善和优化。首先就要对电力信息系统的密码进行设定,对密码的设定主要是为了防止电力系统网络信息被盗取或肆意修改,造成电力信息的缺失,影响电力企业的健康发展,还要保证密码的隐蔽性,加强其强度,保证密码不易被人破译;其次,要加强对电力信息系统网络端口和节点的控制与管理,电力企业的相关信息管理人员要定期对电力信息系统进行检测,主要是对病毒进行查杀,进行安全体检以及数据审核等。要对电力信息系统的重要文件进行备份,避免文件丢失造成的损失,保证电力信息系统的顺利运行;最后,要不断提高电力信息系统管理人员的安全意识,要认识到期风险,对于那些地址不明确的资料不能随意下载,尽量不要修改系统密码,以免病毒侵入,对电力信息系统造成破坏。
2.2 建立完善的电力监控系统
对电力信息系统进行全面的管理与控制就要不断完善电力监控技术。首先,要设立电力数据管理系统,这个系统主要是运用网络设备、同步数字程序以及网络专线等形式,把电力系统与网络系统进行隔离,使其只能对电力数据进行传输,保证数据的安全;其次,要保证电力监控系统与电力数据管理系统不能与网络连接,这样能够预防病毒或黑客的入侵;最后,电力监控系统可以利用数据管理系统或局域网进行连接,从而建立起全面的监控系统。
3 电力系统的信息安全策略
电力系统的信息安全的特点主要有,访问方式多样、网络行为具有突发性 、用户群庞大等,信息安全问题要从网络规划设计阶段就应该重视,在实际运营过程中加强管理,为了保障信息安全,可以采取以下策略。
3.1 设备安全策略
将一些重要的电力设备,比如服务器、路由器、主干交换机等要集中管理,对于通信线路最好深埋、穿线,并且做好标记,防止意外损坏。对于终端设备,比如,工作站、集线器、小型交换机等都要落实到具体的责任人,进行严格的管理。
3.2 安全技术策略
为了保证电力信息的安全,需要采取各种安全技术,具体有以下措施。(1)防火墙技术,这种技术主要是隔离信任网络与非信任网络的一种技术,主要通过安全检查点的方式,实施相应的安全策略来防止对重要信息资源的访问和窃取,电力系统的生产、营销以及管理之间,信息的整合、共享,都需要对这些访问行为进行控制,阻断破坏行为的发生;(2)病毒防护保护,为防止病毒带来的损失,需要采用多种预防病毒体系,要在每台PC机上安装具有预防病毒的软件,在服务器上也要按照这样的软件。要在电力信息系统的各个环节都要做好防病毒策略,不断完善管理制度,有效防止病毒的侵害。(3)虚拟局域网技术,这种技术可以将一个物理的LAN划分为几个不同的广播域,每一个虚拟局域网都有一个相同需要的计算机工作站。由于是逻辑划分的,所以同一个虚拟局域网内的各个工作站要在统一空间里,虚拟局域网内的广播不会到其他局域网内,这样对于流量的控制、设备投资的减少以及网络的管理都有重要意义。(4)数据与系统备份技术,因为电力企业的数据对于整个电力企业来说有重要意义,所以要定期对数据库进行备份,以免数据丢失带来损失。可以通过建立数据备份中心、数据灰缝技术等手段,对重要业务的数据进行备份,在数据损坏或系统崩溃的情况下保证数据能够迅速恢复,从而保证信息系统的安全性与可靠性。(5)安全审计技术,随着电力系统规模的不断扩大,应该逐步引入智能安全审计系统,通过技术手段,运用自动化的方式对网络设备日志、操作系统、数据库访问以及业务应用系统等进行安全审计,对系统安全问题进行及时分析,对电力系统进行安全管理。(6)建立信息安全身份认证体系,电力市场交易系统的实质是电子商务系统,所以在交易时要保证数据的安全。在电力系统中,市场交易成员的身份确认、财务结算以及物流控制等都要经过权威的身份验证,电力系统中,电子商务已经扩展到电力系统的各个方面,所以信息安全身份认证体系的建立是十分必要的。
3.3 组织管理策略
技术措施和组织管理措施的统一就是信息安全,在计算机安全事件中,管理方面造成的原因占到70%左右,没有很好的管理,安全问题就一直存在,就算安全技术和产品再好,也形同虚设。安全意识与技能方面,通过对电力人员安全知识的培训,提高他们的安全意识,使他们具备安全防护意识,通过培训使他们的安全操作技能不断提高,这样再加上安全技术与产品就能使电力信息安全系统顺利运行。4 结语
随着经济的不断发展,电力信息系统的安全性也逐渐得到重视,电力信息系统的安全与人们的生活息息相关,并且对企业的发展也有重要影响,所以,企业要加强对电力信息系统的管理,设置密码保护,不断优化信息安全技术,完善电力监控系统,为电力信息系统的安全性提供保障,促进电力系统的顺利运行。
参考文献:
[1]李文武,游文霞,王先培.电力系统信息安全研究综述[J].电力系统保护与控制,2011(10).
[2]杨尚瑾,董超.浅谈电力系统信息安全策略[J].中国电力教育,2009(9).
[3]刘劲风,王述洋.电力系统信息安全关键技术的研究[J].森林工程,2010(4)
[4]翟绍思.电力系统信息安全关键技术的研究[J].中国科技信息,2009(15).
篇5
关键词:三峡船闸;综合监控;在线监测
中图分类号:U641.3+4 文献标识码:A 文章编号:1006-7973(2016)05-0031-03
长江作为我国的“黄金水道”,横贯东中西部,连接东部沿海和广袤的内陆,依托黄金水道打造新的经济带,有独特的优势和巨大的潜力。长江经济带的建设,对于有效扩大内需、促进经济稳定增长、调整区域结构、实现中国经济升级具有重要意义。国务院《关于依托黄金水道推动长江经济带发展的指导意见》(国发[2014]39号)指出,要充分发挥长江运能大、成本低、能耗少等优势,加快推进长江干线航道系统治理,打造畅通、高效、平安、绿色的黄金水道。
1.通航形势分析
随着三峡工程建设对长江航道条件的明显改善,以及近年来长江水运企业的迅猛发展,船闸的过闸货运总量快速增长。从2008年至2014年,总体呈提升态势,其中2011年、2013年、2014年货运量均突破了设计通过能力。2008至2014年,三峡及葛洲坝船闸通过量情况如图1所示。
自2008年以来,三峡船闸、葛洲坝船闸客、货运量始终维持在高位水平,常年突破设计能力运行。三峡船闸货运量从2008年的5370.26万吨增长至2014年的10898.0万吨,增长趋势明显。着力打造长江经济带及西部地区开发力度加大,将进一
步深化并促进长江航运的发展,与此同时,三峡坝区通航压力也将进一步增大。伴随国家长江经济带战略的实施,将提前达到预测通过量。尽管三峡升船机将于2015年底投入使用,但以其350万吨的单向设计通过能力,难以起到大幅度改善三峡坝区通过能力的作用。因此,如何解决坝区船闸现有通过能力与航运需求快速增长之间的矛盾是目前必须重点考虑的问题。
2.应对措施分析
三峡船闸设备设施点多面广,运行时要求设备具有高可考性。开展以三峡船闸设备设施综合监控能力提升技术研究,实现三峡、葛洲坝船闸设备设施运行状态的全面监控,利用专家决策系统进行设备设施的状态评价、风险评估、决策支持,使船闸重点设备设施的健康状况得到有效诊断,达到科学地、前瞻性地设备维修,尽量减少船闸停航检修的时间。另外,三峡船闸设备设施综合监控能力提升技术研究,可以实现船闸设备设施重大运行缺陷监测,实现设备设施重大运行安全风险预防,为设备设施重大技术更新改造提供决策依据。
3.总体方案
3.1总体框架
在结构上方案总体上分为数据采集层、数据整合与应用支撑层、综合应用层和前端展现层四个部分,如下图2所示。
数据采集层:实现船闸主要设备设施由“目测、耳昕、鼻嗅和手摸”的传统检测方式,到“客观、科学、精确”的现代化、自动化方式的转变,为实现由计划性检修到状态性检修,提供技术支撑,为实现基于海量数据的船闸运行状态智能化诊断提供数据积累。
数据整合与应用支撑层:实现设备运行数据和船舶过闸数据相关数据的资源整合,形成基于设备设施监测、电子巡检、船闸通航生产运行监控、船舶过闸监测的基础数据、业务数据和主题数据的集中管理与共享,提供各业务应用系统开发和建设的支撑环境,各类资源和技术手段集中管理、统一分配、充分共享。
综合应用层:将船闸设备运行和船舶过闸数据监测进行集中管控,围绕通航管理的业务主线,针对船闸运行、维护和管理、设备设施养、维、管、用等核心业务,实现精细化、流程化、规范化管理。
前端展现层:为船闸运行管理部门的各类用户提供人口,利用可视化手段将三峡、葛洲坝船闸与升船机的实时调度运行状况、各类设施设备状态,对用户进行直观展示。
3.2技术方案
通过三峡船闸设备设施综合监控平台建设,实现对三峡、葛洲坝船闸重要机械及金属结构、电气设备、水工建筑物和液压设备设施的运行状态的即时采集,实现因船舶过闸超速、超线和低能见度对船闸安全运行风险的有效监管,实现设备设施监测数据的集中管理、快速流转、便捷使用、直观展示和有序积累。为进一步保障船闸安全稳定运行,为实现三峡“安全、畅通、和谐、高效”通航管理目标提供坚实的技术支撑。总体结构如图3所示。
3.2.1机械及金属结构监测
实现对三峡、葛洲坝船闸人字门、闸门启闭机、反弧门启闭机等机械设备及金属结构进行全方位在线监测。通过先进的检测技术实现上述机械及金属结构运行状态信息的动态监测,为机械及金属结构故障及事故原因的分析提供可靠的数据和信息。其所采集的机械及金属结构状态运行的数据和事故分析结果作为基础素材和中间成果,将被直接推送至船闸通航生产运行监控,为船闸总体运行状态准确判断和船闸运行精细化、规范化管理提供依据。
3.2.2电气设备监测
实现对三峡、葛洲坝船闸变电所内的高/低压供配电设备进行全方位在线监测。电力监测通过可视化方式实现船闸供电系统的运行状态信息的动态监测及故障报警,主要包括:三相电压、三相电流、零序电压、零序电流、频率、功率因数、有功功率、无功功率、视在功率、有功电度、无功电度等。为供电系统安全运行并降低供电系统的能耗和进行故障及事故原因的分析动态提供可靠的数据。通过船闸电力监测的建设将大大提高船闸电力监测的自动化与智能化水平,在实现船闸变电所的无人或少人值守的前提下,提高电力数据的反馈效率和准确程度,为船闸供电系统的安全、稳定、可靠运行提供保障。采集的船闸电气设备运行数据和分析结果,将被作为基础数据直接推送至船闸通航生产运行监控系统,为设备、设施运行状态的准确判断和运行精细化、规范化监管提供依据。
3.2.3水工建筑物监测
实现对三峡、葛洲坝船闸现有廊道内引张线监测仪系统数据、原有内埋数据传感器及渗流渗压传感器等监测设备的监测数据进行分项采集、集中管理、综合应用,为确保船闸水工建筑物安全、稳定、可靠运行提供科学诊断数据依据。依托三峡、葛洲坝水工监测设施,侧重于针对葛洲坝现有设施监测数据进行数据共享集成,水工建筑物监测通过配置数据共享工作站,利用安全隔离与数据交换设备接入原有水工建筑探测传感器系统的数据服务器,实时单向读取测量数据,进而实现数据的动态传递到生产运行设备管理系统并协同共享,形成水工建筑物高效监管。
3.2.4液压设备监测
实现对葛洲坝船闸反弧门液压启闭机控制系统主要参数的在线动态监测及故障报警,主要包括:压力、流量、温度、泄漏量、液位等。拟采用先进的数据采集技术实现上述液压系统运行状态信息的动态监测,可为液压系统故障及事故原因的分析提供可靠的数据和信息。在线状态监测可以及时了解和掌握船闸液压系统运行过程中的状态,以便早期发现故障、查明原因、并掌握故障的发展趋势,可以避免船闸液压系统故障的发生和重大事故的发生,最大限度的提高船闸液压系统的工作效率,有效地提高液压设备运行的可靠性与安全性。通过船闸液压设备在线监测的建设将大大提高船闸液压设备管理的自动化与智能化水平。
3.2.5船闸通航生产运行监控
实现三峡、葛洲坝船闸与升船机的实时调度运行状况、各类设施设备状态,利用可视化手段向用户进行直观展示。面向船闸安全监管的决策与技术人员,充分利用与整合现有和各个系统所提供的数据资源,充分依托三峡、葛洲坝船闸机械及金属结构监测、水工建筑物监测、电气设备监测、电子巡检、船舶过闸监测与应急管控以及葛洲坝船闸液压设备检测等数据,通过对机械及金属结构、水工建筑物、电气设备、液压设备等监测数据的综合获取、展示与分析,实施船闸综合管控和简单的智能分析。
3.2.6船舶过闸监测与应急管控
面向船闸运行管理和调度人员,围绕船舶过闸对船闸运行带来的间接运行风险,针对船舶进出闸综合监控,采用自动化监测、智能联动报警的方式,实现船闸闸室内包括船舶超速、超线、超吃水以及船闸气象情况等对船闸运行构成潜在风险因素的有效监控,并构建能够在恶劣气候条件下进行有效辅助导航的装备,有效降低通航安全风险。
篇6
关键词:防护体系;医院信息系统;立体安全
现如今,医院已经可以采用电子信息技术实现对整个医院各个环节的覆盖,其中包括设备物资管理、HIS、PASS、LIS、PACS、医疗统计分析,全面覆盖管理、研究、护理、医疗、教学、后勤等,在远程医疗、合作医疗的条件下,医院信息系统无法脱离网络的客观因素来实现操作。而在复杂、庞大的网络结构背景下,如何保证医院的信息系统能在安全稳定的环境下展开有序的运行,是医疗服务正常开展的重要前提与保障,并且医院信息系统的安全性也关系到患者和医院的隐私、是维护患者和医院基本权益的重要基础。我们要引起高度的重视。
1 医院信息系统立体安全防护系统的设计需求
在医院运行信息系统的过程中,具有良好的安全手段、安全管理、安全策略、安全环境等良好的特性,所以在开放的网络背景下,医院信息系统的安全问题主要是由于黑客等人为的故意入侵与破坏,造成数据泄露、医院信息系统配置问题等隐患。针对这样的安全风险,我们主要通过建立科学合理的安全防护体系来确保其正常运行,可以分为以下4个环节:网络安全、物理级安全、系统级安全、应用级安全。安全管理标准和制度是整个信息系统防护体系的中心任务。对数据安全起到多角度、多方位、多层次的立体防护。
2 医院信息系统立体安全防护系统的设计构想
为了更好的应对上诉提到的安全风险,我们应该建立安全可靠的安全防护体系,坚持以多角度、多方位为体系设计的基本原则,制定网络安全策略、应用安全策略、系统安全策略、安全管理策略等,更好的完善整个防护体系。在等级保护的作用指引下,应该采用P2DR(防护、响应、检测)安全模型作为系统建设和安全规划的基本方针和思路。防护体系根据事中检测、事前防护、时候审计等作为根本指导策略。
3 医院信息系统立体安全防护系统的全面设计
3.1物理层安全 物理安全主要包括物理访问控制、防破坏、电磁防护、物理位置选择、防火、防潮、温湿度控制、防雷击、防盗窃、防水电力供应等。
3.2网络层面的安全防护 关于网络层面的安全防护控制主要内容有访问安全控制、入侵防范、结构安全、恶意代码防范、网络防备防护等。其中通过几个方面进行具体的操作:
3.2.1划分安全区域 对安全区域的划分主要包括以下几项基本原则:结构简化原则、立体防护原则、业务保障原则、生命周期原则、等级保护原则。
3.2.2对边界访问进行控制 在网络体系中,对个区域的边界访问进行控制是很有效的防护手段,主要是对医院信息防护系统的各个边界进行安全防护措施,例如部署防火墙、运行入侵检测系统、隔离网闸、对vlan进行划分等高级别的网络控制手段。
3.2.3开展网络审计 在开展信息系统网络维护的过程中,在交换机的旁边布置网络审计和网络监控系统,对网络流量数据展开相应的网络审计,与此同时,将其他网络设备的监控数据收集起来共同为整个防护体系提供检测数据。
3.2.4开展网络入侵防范措施 交换机是信息系统的核心设备,可以在交换机的旁边部开展对网络入侵的检测测试系统。将计算机网络收集的信息进行具体全面的检测与分析,一旦发现有安全隐患的行为就要及时进行处理。例如木马、病毒、间谍软件、蠕虫、可以代码等。同时在发现严重危险信号时应该马上报警。
3.3对主机层的安全防护 对主机层面进行安全防护的内容主要包括访问控制、入侵防护、身份鉴别、安全审计、资源控制、对恶意代码防护等。我们具体介绍下其中几个方面的防护内容。
3.3.1身份鉴别 为了更好的提高网络防护的性能要求,保证运行的稳定性和安全性,我们对主机系统采用身份鉴别的方式加以巩固,相关的步骤为:首先对网络操作的用户进行身份识别,确保用户名不重复的登陆。然后根据口令要求,采用长度高于8位数、3种不同字符的口令。最后,如果登陆失败,应该立即关键会话窗口,并对关键的主机系统进行重新验证。
3.3.2主机入侵防护 通过扫描、检测等多种手段对有可能出现的主机入侵情况进行防护,在操作过程中应该注意以最小安装为基本原则,降低在服务和程序中可能出现的漏洞。
3.4应用层的防护
3.4.1安全审计 对应用层进行安全审计主要是针对业务管理系统来说的,业务管理与应用应该和信息安全系统相联系起来。将应用功能和审计功能放在同等重要的位置上。可以对医院里一些比较重大的事情发生时间、发生情况、主要人物等进行相关的记录和描述。并且做好相应的保护措施,禁止非法修改、删除等[1-3]。信息系统可以对收集到的数据进行分析、统计、查询等操作。审计系统要对每个具体的事件状态进行安全审计,确保数据库的稳定性。
3.4.2通信的完整 可以通过加密的方式对整个信息的传输过程进行保护,可以采用密码机等相关的防护措施来确保数据远程交换的完整性。
4 结束语
要完善医院信息系统的安全防护体系是医院开展正常工作的重要保障与条件,但是面对复杂多变的网络环境,信息系统还存在很多的安全隐患需要我们及时的进行维护与改善,除了加强相应的技术手段外,还要建立安全的信息管理体系对信息系统进行全面的管理,加强规范化的操作手段,要提升技术与管理的相互合作、相互协调性,确保信息系统的稳定性。
参考文献:
[1]刘金长,赖征田,杨成月,等.面向智能电网的信息安全防护体系建设[J].电力信息化,2013(09).
篇7
一、推行电子政务应用
1、建设统一的电子政务外网。利用现有的网络资源,建设全市统一的电子政务外网,与国家电子政务外网相连接。逐步推进各级政府部门在电子政务外网开展社会管理、公共服务等业务应用,并将已建的部门公共服务业务专网逐步整合到电子政务外网(市数字办负责,相关单位配合)。
2、实施政府网站整合提升工程。依托“龙岩”政府门户网站平台,继续推进政府网站群建设,实现统一托管的政府部门网站数量达到40个以上。深入推进政府信息公开、网上办事资源的梳理,形成统一的网上信息公开和办事服务平台。进一步完善政府网站功能,深化政府门户网站应用。继续开展政府网站绩效评估工作,推动各县(市、区)和市政府各部门网站建设(市政府办牵头,市数字办、行政服务中心、市政府信息公开办配合)。
3、推进市应急指挥中心应急平台建设。加快推进市应急指挥中心应急平台(一期)技术方案的制订、论证、招标和实施,实现与省应急平台、专业应急平台的相互衔接与资源共享,使政府应急指挥与决策过程更加科学化、规范化、制度化。完善市应急视频会商指挥系统,整合相关职能部门的视频系统资源,进一步完善传输网络及应用系统,扩大应急视频会商指挥系统应用,发挥系统的综合效益(市政府办牵头,市数字办、水利局、广电局、公安局、气象局等相关部门配合)。
4、全面推进办公自动化系统建设。依托政务信息网络,全面推进市级党政机关办公自动化系统建设,启动建设市直部门电子公文交换平台,推进业务协同,早日实现“无纸化”办公(市政府办牵头,市数字办负责)。
5、推进网上审批系统建设和深化应用。加快推进县级网上审批系统建设进程,实现省、市、县(市、区)三级联网,逐步实现所有行政许可事项和非行政许可事项网上办理(龙岩行政服务中心负责,市数字办配合)。
二、推进便民系统建设
1、推进全市社会保障卡系统建设。在全省的统一部署下,加快推进社保卡系统建设,开展社保卡在城镇医疗等社会保险系统和就业、新农合系统中的应用;推进社保卡作为医疗就诊卡,实现医疗就诊一卡通(市劳动与社会保障局、卫生局、各县〈市、区〉政府负责)。
2、加快有线数字电视整体转换。大力推进有线电视整体转换,完善市级有线数字电视公共信息服务平台。力争年内完成县(市)城区和主要乡镇的有线数字电视整体转换(市广电局负责)。
3、加快新型农村合作医疗管理平台建设。加快建设新型农村合作医疗管理平台和应用系统,推进社保卡在新农合系统中的应用(市卫生局、劳动和社会保障局负责)。
4、完善远程医疗会诊系统。推进远程医疗会诊系统向基层医疗机构扩展,今年完成省定乡镇中心卫生院远程医疗会诊系统接入,提高乡镇卫生院诊疗水平,满足农村群众共享优质医疗资源的需求(市卫生局负责)。
三、加快城乡信息化进程
1、建设农村综合信息服务平台。依托市政府门户网站,加快农村综合信息服务平台建设,进一步整合各级涉农信息资源,推进科技、教育、文化、市场、就业等信息进村入户(市数字办牵头,市农办等其他部门配合)。
2、加快推进无线城市建设。以第三代通信技术为主,分阶段、分步骤推进龙岩“无线城市”建设进程,进一步拓展网络覆盖的广度和深度,加强无线宽带网络应用,重点支持和鼓励TD—SCDMA无线网络技术推广应用。年底前完成全市城区无线宽带网络覆盖(市数字办牵头,龙岩电信公司、移动公司、联通公司负责)。
3、全面建成农村党员干部现代远程教育网络体系。依托电信龙岩分公司网络资源,整合各单位农村综合信息服务资源,加快推进全市1916个终端站点的建设,形成功能完备、标准较高的农村党员干部现代远程教育平台(市远程办负责,电信公司等单位配合)。
四、推进企业信息化应用
1、推进信息化与工业化的融合。着力推进信息技术在“10+3”产业的应用,促进产业结构升级。开展节能减排信息化服务,重点研究电力、煤炭、冶金、化工、建材、轻纺等重点耗能行业的节能减排信息化工作方案。利用信息技术助力企业提高核心竞争力,培育工业品牌(市经贸委、科技局、环保局负责)。
2、促进电子商务发展。构建信息咨询服务平台,建立和完善龙岩中小企业在线服务系统,为全市企业提供及时、便利的政策咨询等方面的信息服务(市经贸委负责)。
3、启动“千企万店”上网工程。启动建设龙岩企业信息化门户网站,并以此为平台分批次免费为龙岩市内的企业商户建立WEB、WAP网站以及企业信息化应用界面,促进企业信息化水平提升,加强营销宣传与品牌建设(市数字办、经贸委等单位负责)。
五、创新信息化管理体制和工作机制
开展电子政务总体设计调研,做好与省电子政务总体框架的衔接。在年开展电子政务绩效考核的基础上,进一步完善考核办法和实施方案,根据年度工作计划确定绩效考核指标。探索推进统建共用的集约化建设模式,推进集中式机房、集成式OA、政府网站群建设。试行应用系统建设及运行维护外包服务(市数字办、效能办负责)。
六、加强基础信息资源开发
1、积极推进政务信息目录体系和交换体系建设,逐步实现市本级应用系统的集成和数据库的共享。建设证照信息服务系统,开展证照电子化申报审核,建立证照验证和服务机制(市数字办、行政服务中心负责,相关单位配合)。
2、推进基础地理信息应用平台建设。整合国土、城建、交通、地质等相关单位数据资源,建设基础地理信息应用平台(市数字办,市国土资源局、城乡规划局、建设局、交通局、勘测设计院等相关单位负责)。
七、加强信息网络安全体系建设
1、进一步完善政务信息网和政府网站的安全保障措施。建设市政务信息网防病毒中心,为政务信息网络应用提供安全的环境。完善政府网站群信息身份认证系统,确保信息安全(市数字办负责)。
2、积极推进信息系统安全等级分级保护工作,提高重要信息系统安全测评和安全风险评估工作覆盖面(市网安办,市公安局、保密局负责)。
3、建设政务信息内网防护监控系统,及时发现和处置内网违规外联等信息安全事件。组织开展信息安全保密宣传教育,推动落实安全保密工作(市保密局负责)。
4、扩展CA证书的应用领域,开发个人数字证书的使用功能,为我市电子商务、电子政务提供安全保障(市机要局负责)。
篇8
【 关键词 】 大数据;电网安全;防护策略
1 引言
电力系统在国家基础设施建设中具有十分重要的地位。随着云计算、大数据等新兴技术的不断发展,电力系统的数字化、信息化、智能化程度越来越高。新技术在推动电网企业不断发展的同时,也带来了一系列安全问题,构成了较大的威胁与挑战。本文着眼于大数据时代下的电网企业安全,系统分析了电网企业面临的主要威胁,并针对性地提出安全防护策略,为电网企业安全建设与应用提供指导。
2 大数据发展现状
2.1 大数据推动社会进步
大数据(Big Data)是指所涉及的数据量规模巨大到无法通过人工在合理时间内达到截取、管理、处理,并整理成为帮助企业经营决策更积极目的信息。
2011年,全球知名咨询公司麦肯锡的研究报告,引起了IT界的广泛关注。Google、IBM、EMC、Facebook等公司相继开展了大数据技术研究,并纷纷推出各自的大数据解决方案和相关产品,例如Google公司的MapReduce、GFS,Apache组织推出的Hadoop大数据分析框架等。 2012年,美国政府联合六大部门了高达2亿美元的“大数据研究和发展计划”,标志着美国政府在政策层面将大数据提升到国家战略层面,该计划共投入了155个项目种类,涉及国防、医疗、能源等多个领域。
我国也在不断提高对大数据的认识与应用,认为大数据在降低经济社会运行成本和提高政府决策效率方面具有广阔的应用空间,许多呼声要求尽快出台中国的大数据发展战略。能源、医疗、工业制造、金融、电信等行业率先投入了大量的人力物力进行大数据创新实践与应用,着力解决本领域数据资源积累与有效转换,辅助优化企业运营与效率提升。
2.2 大数据推动电网企业转型发展
近年来,随着互联网技术的不断突破,智能电网成为电网企业发展的重要方向,并多次出现在政府工作报告中。智能电网(Smart Grid)是以物理电网为基础,将现代先进的传感测量技术、通信技术、信息技术、计算机技术和控制技术与物理电网高度集成而形成的新型电网。智能电网能够优化整个电网企业的资源配置,实现电力的可靠、安全、经济、高效运行和安全使用,支撑新一代电网安全生产和管理发展。随着智能电网的加快部署与业务应用的深化拓展,电网业务数据不断丰富与扩增,结构化和非结构化的电力数据中心不断运行,形成了规模庞大且结构复杂的数据集合,这为智能电网优化配置、电力服务行业发展提供了宝贵的数据资源,对电网企业“以电力生产为中心”的工作模式,向“以用户为中心”的服务模式的转型发展起了极大的推动作用。
当前,国家电网企业大数据建设尚处于试点研究阶段,其主要涉及的领域与业务主要集中在电网企业的运检、营销、运监等各个环节,通过挖掘数据之间的关系与规律,提高电网企业在生产、经营、管理等方面的质量与效率。例如开展电网设备状态监测的大数据应用,实现电网设备状态的智能监测,实时分析电网线损、配电负载等数据,及时发现电网企业运行异常,为电网调度、交易和检修提供支撑,提高电网企业的资源合理优化。开展用电信息与客户服务的数据分析,实时反馈客户购电与用电信息,建立合理的分时阶梯电价模型,促进电力效能的整体优化。同时,电网企业数据还能够与其他互联网、交通、经济等社会数据相融合,为经济宏观发展、产业分布情况调查、公共事业管理提供有力支持。
3 电网企业大数据分析
3.1 电网企业大数据概念与特征
电网企业大数据旨在对电力生产与使用过程中产生的大规模数据进行分析与处理,实现大数据对电网企业效能的“增值”。电网企业的数据主要包括三类:一是电网企业的设备运行数据,主要包括电网设备监测数据、状态数据等;二是电网企业的管理数据,主要包括跨单位、跨部门的电网企业职工数据、财务数据等;三是电网企业的运营数据,主要包括客户信息、客户用电数据、电费数据等。电力信息化委员会进行了专项研究,并提出电网企业大数据具有3V、3E特征。
(1)数据体量大(Volume):电网企业数据体量超大,并随着智能电网的发展不断扩增。当前,中国电网企业已经采集了135TB的数据,并以每年90TB的数据在不断增长,规模十分庞大。
(2)数据类型多(Varity):随着智能电网的不断发展,电网企业大数据类型也在不断扩增,除了传统的结构化数据,以视频、音频、文本为主的非结构化数据也在迅速增长,这对现有的数据分析技术提出了新的挑战。
(3)数据速度快(Velocity):电力生产、传输、使用速度十分迅速,其产生的相关数据对“实时性”需求也十分紧迫,例如电力调度、运维数据必须进行实时处理,这直接关系到电网企业的公共服务质量。
(4)数据即能量(Energy):电网企业大数据的产生与应用,就是电力能量不断的释放过程,对电网企业大数据的分析、处理与优化,就是对基础能源与基础设施的优化改进。
(5)数据即交互(Exchange):电网企业大数据的生产与利用,实质上是与外部国民经济、社会成员不断的数据交互,其具有显著的交互特性。
(6)数据即共情(Empathy):电网企业作为基础服务行业,应不断改进电网企业工作模式,建立电网企业与用户的情感联系,增进两者共情。
3.2 电网企业大数据安全威胁分析
大数据在电网企业具有广阔的应用前景与市场需求,电网企业大数据势必会推动电网企业向着更为优质、高效的服务方向前进。同时,大数据时代的到来,对电网企业的安全带来了一些新的威胁与挑战,如何构建多层次的安全防护体系,是未来电网企业发展中必须面临的重要问题。
大数据时代下电网企业工作模式如图1所示:(1)电网企业物理设施采用分布式的物理部署方式,主要维持日常的电力生产、输电、变电、配电、用电等操作,并利用设备监控系统不断实时采集所需数据,传输至电网企业大数据中心。同时,企业应用平台所需的非设备数据也将不断采集与传输至电网企业大数据中心,为应用平台的运行提供数据支撑;(2)电网企业大数据中心提供云存储与云计算功能(也可将两者分离),为企业应用平台提供所需的数据与计算服务;(3)面向不同的应用(电力运维、电力分配、企业管理、市场分析等),企业应用平台进行相应的数据分析与处理,自动优化与管理电力物理设施,提高电网企业的运行效率。本文对电网企业存在的主要安全威胁进行了系统分析,主要包括三个方面内容。
(1)电网企业物理安全威胁。电网企业拥有大量的物理设备,包括变电站、输配电线路等物理设备,这些设备是电网企业的核心,其安全性必须得到高度重视。随着网络物理系统(CPS:Cyber Physical Systems)与大数据在电网企业的不断应用,越来越多的安全问题随之产生。监控与数据采集系统(SCADA)是承载电力物理实体与网络空间的连接纽带,往往成为物理攻击的重点突破方向。2010年,“震网”病毒武器通过网络对伊朗布什尔核电站发动攻击,导致伊朗浓缩铀工程约1/5的离心机报废,极大延迟了伊朗的核进程,并开启了世界各国对网络物理系统安全的重视与管控。
(2)电网企业平台安全威胁。电网企业的信息化程度越来越高,除了传统的电力调度管理信息系统(DMIS)、企业管理信息系统(MIS)、企业办公自动化系统(OAS)等信息平台之外,电网企业大数据平台将会成为未来电网企业的核心公共平台,它将对现有电网企业信息系统进行数据接入,通过统一的数据融合、分析挖掘、可视化等功能服务建设,实现对电网企业的优化配置。同时,以上电网企业平台连接于不同安全等级的网络中,在安全建设方面仍然存在一定的技术缺陷与安全隐患,随着病毒、木马、DDOS攻击、APT攻击等先进网络攻击手段的技术提升,电网企业平台安全成为未来电力系统能够高效、稳定运行的关键。
(3)电网企业数据安全威胁。电网企业大数据中心的建设旨在将电网企业数据进行集中汇总,实现数据采集、存储、分析与应用等服务。同时,大数据自身存在的安全威胁不可避免的影响未来电网企业的安全建设与应用,主要包括电网企业大数据云存储环境安全、电网企业大数据用户隐私安全、电网企业大数据可控共享安全等众多问题,这对未来电网企业大数据的建设应用提出了较高的需求。
4 电网企业纵深防护策略
针对大数据时代下电网企业的安全威胁,根据常见的网络攻击及电网企业信息化建设情况,本文从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面提出如图2所示的纵深防护策略,形成具有层次特性的电网企业安全防护体系,提高大数据时代下的电网企业安全。与此同时,在管理层面开展相关的保障措施以保证防护工作的顺利开展。
4.1 物理环境安全防护
电网企业物理环境根据设备部署安装位置的不同,选择相应的防护措施。大数据时代下的电网企业物理环境安全防护策略具体所述。
(1)室内物理环境要按照国家电网公司信息化工程的安全防护总体方案,并按照等级保护对应安全等级的物理安全要求进行防护,确保电网企业室内物理设备安全。
(2)室外物理设备如采集器、集中器、表计、信息采集类终端等,其主体需安装于室外设备机柜/机箱中,其安全防护要求应遵循国家相关工业安全标准。同时,室外物理设备还需满足国家对于电气、环境、噪音、电磁、防腐蚀、防火、防雷、电源等要求。
4.2 终端安全防护
电网企业拥有配电网子站、信息内外网办公计算机、移动作业类设备等多种类型终端,对于不同终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施,具体的终端安全防护策略如下所述。
(1)配电网子站终端需要配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,以防范冒充主站对子站终端进行攻击,恶意操作电气设备。
(2)信息内外网办公计算机终端需按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级实施必要的安全防护措施。例如,内网终端关闭FTP、Telnet等具有安全风险的服务,统一安装杀毒软件,定时更新病毒库与漏洞补丁,有效防范木马、蠕虫等恶意程序入侵。
(3)移动作业类终端严格执行公司办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入,确保移动终端的接入安全。
4.3 边界安全防护
电网企业网络具有分层分区的特点,例如用于电力生产的电网生产控制大区,用于企业管理的管理信息大区等,在不同区的网络边界需要加强安全防护,使边界的内部不受来自外部的攻击,具体的防护策略涉及几个方面。
(1)在电网生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。对于重点防护的调度中心、发电厂、变电站,在生产控制大区与广域网的纵向连接处,应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。
(2)在管理信息大区内部,审核不同业务网络密级与安全等级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、用途以及实时性需求等评价指标,对关键核心业务网络与其他网络进行安全隔离,实现内部网与外部网的资源访问限制。其中,可以采用的安全隔离技术包括三类:(a)物理隔离技术,在物理上将内部网与外部网分离,阻断内外网之间的连接;(b)协议隔离技术,在内外网的连接端点处,配置协议隔离器实现内外网的连通与阻断;(4)防火墙隔离技术,在内外网之间设置防火墙,利用防火墙配置实现数据流的检测、限制与阻断,实现内外网之间的逻辑隔离。
4.4 网络安全防护
网络是连接电网企业物理设备、应用平台与数据的基础环境,是整个电网企业正常运转的重要保障。当前电网企业主要采用专用网络和公共网络相结合的网络结构,其中专用网络用以支撑电网企业的设备管理、调度管理、生产管理、资源管理等核心业务,并且不同业务的基础网络享有不同密级与安全等级,需要采取不同的防护策略。大数据时代下,电网企业的业务网络将会不断拓展,安全风险不断增加,具体的防护策略如下所述。
(1)对网络设备、网络基础服务、网络业务信息流等基础网络环境加强安全防护,采用访问控制、安全加固、监控审计、身份鉴别、入侵检测、资源控制等措施进行网络环境安全防护。
(2)针对信息资源的安全交换需求,构建电网企业的业务虚拟专网(VPN)。在电网企业网络中,有些重要数据与信息需要安全通信,考虑成本因素,建议在已有基础网络中建立安全通信机制,此时应采用VPN技术。VPN采用隧道、信息加密、用户认证、访问控制等相关技术,建立数据加密的虚拟网络隧道进行信息传输,能够有效防止敏感数据的窃取。
(3)采用先进的网络防护技术,增强网络的安全性与弹性。网络弹性是指网络在遇到灾难事件时快速恢复和继续运行的能力,建立电网企业基础网络的一体化感知、检测、响应和恢复机制,采取硬件冗余、网络叠加、虚拟化等方法提高企业网络弹性。
4.5 应用平台安全防护
电网企业应用平台安全直接关系到各业务应用的稳定运行,对电网企业应用平台进行安全防护,可以有效避免电力业务的阻断、扰乱、欺骗等破坏行为。为此,本文提出几种防护策略。
(1)加强应用平台的安全测评,确保应用平台的安全可靠。在应用平台投入使用前,应依赖第三方开展测评,对应用系统进行全面、系统的安全风险评估,并制定相应的安全保障措施,确保应用平台的安全可靠。
(2)加强应用平台的访问权限与访问控制。可以选择采用下列访问控制技术:基于动态和控制中心的访问控制、基于属性的访问控制、基于域的访问控制、基于角色的访问控制等。
(3)记录应用平台操作日志,便于调查取证与追踪溯源。可以对用户的访问记录、操作记录等信息进行归档存储,防范内部人员进行异常操作,为安全事件分析提供取证与溯源数据。
4.6 数据安全防护
大数据时代下电网企业,是以数据为中心进行电力的生产、传输与应用,因此,数据是电网企业的核心资源,需要受到高度重视。目前,大数据的应用尚不成熟,相关技术产品也存在很多安全问题,尤其是大数据的隐私保护、数据存储安全、数据访问安全、数据追踪溯源等问题,仍然制约与困扰着大数据的发展。本文提出如下安全策略,用以提升电网企业大数据的安全应用。
(1)加强电网企业数据的隐私安全,提高电网企业的可信度。电网企业拥有近乎国家人口规模的用户数据,这些数据不仅包含个人的隐私信息,而且还包括个人、家庭的电力消费行为信息,如果数据不妥善处理,会对用户造成极大的危害。为了保护电网企业数据的隐私安全,此处可采用的措施包括:(a)数据分享、分析、时进行匿名保护;(b)隐私数据存储加密保护。
(2)强化数据存储安全,提高大数据的应用安全。大数据一般在云端存储,主要采用分布式文件系统技术。为了提高电网企业大数据的安全性,在对云存储环境进行安全防护的前提下,还需要对电网关键数据与核心数据进行冗余备份,提高电网企业大数据存储的安全性能。
(3)严格控制数据访问权限,有效抵制外部恶意行为。针对电网企业大数据的应用现状,对大数据用户进行分类与角色划分,明确各角色的数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效管理云存储环境下的电网企业大数据安全。
4.7 大数据安全技术
应该大力发展基于大数据信息安全技术的研究,提升企业网络与信息安全水平。在网络安全防范方面,内部威胁大于外部威胁,应积极研究网络内部人员威胁探测技术、异常检查技术以及运用图形分析和认知主动发现威胁技术等;另外针对那些使用过程中保持加密状态的数据,开发加密数据编程计算技术,使加密数据状态的数据仍然能使用在云环境中,客服大数据云计算环境中的信息安全问题;开发数据管理架构和处理工具,包括用于自动识别重大异常事件的大数据云存储与分析技术,提供电网持续监控系统的安全性,任务数据的可用性与可靠性性,减少对审计日志的时间和资源消耗,实现多种分析方法,提供日志脚本的实现、开发与支持;针对外部威胁,定义恶意软件和定向攻击等漏洞,创建通过分析Web、防火墙等其它硬件设备日志来应对恶意软件和网络漏洞威胁的分析方法等技术。
4.8 管理层面
在以数据为中心的新型电力系统构建与应用过程中,应首先从电力大数据政策法规层面建立相应的安全防护策略,规范电力企业的总体安全防护能力,约束与管理整个行业的安全操作行为,确保物理安全与管理安全。
(1)着眼统一认识,明确安全防护遵循原则,制定相应管理规定。为确保电力企业的安全管理,应从战略的角度开展行业整体安全理论研究,从安全认识、建设原则、工作思路等多个方面进行专项研究,制定整个行业的安全管理规定,宏观指导大数据时代下各电力企业的建设、管理与工作。
(2)制定行业标准,指导与规范电力系统安全管理。从技术的角度出发,制定电力行业信息安全系列标准,对不同的应用与系统进行分类,并设置不同的安全等级与防护措施,指导电力系统安全建设与管理。
(3)聚焦关键设施,建设专职安全防护力量,确保电力系统稳定运行。为了有效防护电力系统安全,应对电力系统关键基础设施进行隔离保护,设置安全管理机构,建立专职的安全运维与防护力量,保证电力系统的稳定运行。
(4)加强岗位培训,提高电力员工信息安全防护能力。严格执行电力企业员工岗位培训制度,分别对管理层、技术层和职工层进行针对性的安全教育与培训,对关键岗位人员、专业防护人员进行信息安全知识和安全法规教育,并定期进行安全检查与考核。
5 结束语
大数据在推动电网企业不断向前发展的同时,也为电网企业的转型发展与应用创新带来了新的威胁与安全隐患。本文对电网企业面临的安全威胁进行了系统分析,从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面,提出了相应的安全防护策略。本文的研究能够为未来电网企业大数据的安全建设与应用提供有效的指导,相应的防护策略与方法有待在进一步探索与实践中不断优化与改进。
参考文献
[1] James Manyika,MichaelChui,BradBrown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute,2011.
[2] 中国电机工程学会电力信息化委员会.中国电力大数据发展白皮书[R].中国电力出版社,2013.
[3] 张培,杨华飞,许元斌.电力大数据及其在电网公司的应用[J].中国电机工程学报,2014(z1):85-92.
[4] 高新华,王文,马晓.电力信息网络安全隔离设备的研究[J].电网技术,2003,27(9)69-72.
[5] 王保义,王蓝婧电力信息系统中基于属性的访问控制模型的设计[J].电力系统自动化,2007,31(7):81-84.
[6] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005,1115-1122.
作者简介:
蒋明(1979-),男,安徽淮北人,华北电力大学计算机科学与技术专业,工学学士,现任国网安徽省电力公司信通公司信息通信运检中心副主任,高级工程师;主要工作业绩: 负责电力信息化运行和管理工作,多次获得安徽省电力公司科技进步奖和群众性创新奖。
- 上一篇:机械制图的概念
- 下一篇:核心素养下的教育教学
