电网安全心得篇1
关键词:政务网;电子文件中心;技术模式;信息安全
实际上,电子文件中心是随着政务网出现的,而电子政务的主要内容是为了催生电子文件,电子文件中心则是起到了对电子文件进行有效管理和保护的重要作用。相比于传统电子文件中心来说,现代电子文件中心是完全依附在网络中,其是一个将政府信息进行传播的一个网络平台,同时也要对电子文件的安全性承担一定的责任。可以说,电子文件中心是一个大型、集中的档案管理数据库,政府中全部的信息都是存在于这一档案库中,以此来对这些政府信息进行及时的传播、整理和储存。因此,本文重点对政务网中电子文件中心技术模式及其信息安全进行了探讨分析,并提出几点有效的建议措施。
1政务网中电子文件中心技术模式
1.1电子文件中心在近几年才出现,而且一经批准,就得到政府重要部分的首肯,并且中国各地也纷纷效仿电子文件中心的发起城市,筹建了许多的电子文件中心,传递政府的信息,保护政府重要机密信息,保障政府信息的可靠性,电子文件中心有几种模式:备份式、窗口式和归档式,是政务网的主要依托,是为了政务网的安全而产生和建设,技术方面也不断改善和创新。
1.2电子文件中心是一种特殊的服务机构,是服务于政务网的一种服务机构和系统,而且对于文件的管理上也提出了新的要求,电子文件的保护模式,电子文件中心是对电子文件进行有效管理和控制,政务网能够提供政府信息,电子文件中心负责采集、整理、分析、总结和等等。
1.3电子文件中心一般有三层架构构成系统:公共服务层、应用层和数据存储层,公共服务层指的是中间层,可以给应用层多种周到基层服务,比如说:工作流、安全管理、使用权限、索引和存储、目录服务、人物监控等等,可以被上层支撑和应用;应用层,是指用户利用系统平台的工具和界面,用网络连接的方式与电子文件中心沟通和交流,电子文件就会被接收、利用、管理和移交等等,还可以进行数据的传输、收发电子邮件以及公布信息等等;数据存储层能够对数据信息以及数据资料等等进行检索或者是存储,数据资料可以使图形、视频,而且还可以恢复日志或者是数据的备份等等。
2政务网电子文件中心的信息安全危机
2.1管理制度不规范,存在很严重的滞后性
电子文件中心由于处在发展的初级阶段,很多方面很存在问题,需要采取必要的措施进行解决和预防,电子文件中心的管理制度和体系不规范会给电子文件的管理造成不良的影响,会影响电子文件服务的质量以及效率,还会给电子文件造成安全隐患,而且凡是电子文件中心进行存储的数据和信息就不存在重要与不重要之分,因为凡是入库的信息和资料都会给国家和社会正常的秩序带来影响,给社会和国家的安全构成威胁。
因此,加强对信息安全方面的管理是非常有必要的,但是因为管理电子文件信息是一种动态的管理模式,如果相关管理制度不规范,或是处于滞后的阶段,都将会加大影响到电子文件信息的动态发展,甚至还会造成国家和社会重大的经济损失。
2.2不安全网络
不安全的网络也同样会让政府和社会担忧,因为网络存在许多不确定因素,网络的安全问题一直是困扰网络发展的最重要的问题,网络在发展的过程中常常会伴随各种各样的安全问题,而且很多安全问题是不可避免的,因为安全技术的有限,一些违法犯罪分子容易利用黑客窃取国家和社会的重要机密文件,给社会和国家造成一定的困扰,而且网络上还有许多莫名的病毒等等,这些都是网络安全隐患。
3政务网电子文件中心信息安全措施
在政务网信息传送到电子文件中心的过程中,需要受到一定的安全保护,这是以为政务网信息中包含了大量关于国家以及社会的重要文件信息,而这些信心自身具备了较强的原则性、纪律性特点,同时还有这极高的准确性与真实性。因此,以下本文就具体总结了几点有效的政务网电子文件中心信息安全措施。
3.1电子文件中心的工作人员的素质要加强
面对新时期的飞速发展,电子文件中心也在不断改革与完善,因此电子文件中心的相关工作人员也需要进一步加强自我建设,积极学习一些新技术和新知识,逐步提升自身综合能力。其次,电子文件中心也要定期对相关人员进行专业知识技能方面的培训教育,使其真正意识到安全管理工作的重要性,增强自己对国家与社会的责任感,真正做好凡是从大局角度出发,尤其是在当前信息化时代迅猛的发展背景下,有着太多不确定的安全因素,所以电子文件中心工作人员要提升自我信息安全防范意识,除了要对电子文件信息进行采集、整理、传递以外,还要充分保障政务网信息传递过程的安全性,从而促使电子文件中心在政务网中的效能作用得到充分发挥。
3.2创新电子文件中心信息保护技术
想要进一步提升电子信息保护技术水平,确保政务网信息的传输安全,我国政府应该加大对新技术的研发力度,不断研制出更多先进、高效的保护技术,使其充分满足于时展需求,高度重视对信息安全技术的创新,促使国家机密文件的安全性得到有力的保障。
3.3强化电子文件中心的制度
目前,我国现行的电子文件中心管理体系并不完善,从而引发了很多不必要麻烦的发生。因此,我国一定要加强对电子文件中心相关管理制度进行更加全面的改进与强化,尤其是要对相关法律法规进行科学合理的制定,同时对个部门的职责范围进行明确的划分,切实将责任制落到实处。只有这样,才能充分保证政务网信息在传递过程中得到有效的保密处理。
结束语
综上所述,可以得知,电子文件中心与政务网两者之间是相互影响、相互依存的关系。但是,由于电子文件中心的起步时间较晚,无论是在系统运行、还是安全方面,都存在很多的缺陷与不足之处,无法对信息的安全性进行有效的保障。因此,为了更好的解决这一问题,我国政府压不断健全电子文件中心的相关管理体系,制定出完善的法律法规制度,使其逐步适应于现代社会的发展要求,从而充分保障政务网信息的保密性与可靠性。
参考文献
[1]胡杰.电子文件利用新模式--电子文件中心[J].档案与建设,2010,12(7).
电网安全心得篇2
关键词:电力系统;信息网络安全;pKi
中图分类号:tn915.08文献标识码:a文章编号:1007-9599(2011)14-0000-01
analysisofpKi-BasedpowerSysteminformationnetworkSecurity
LiYan1,GaoJian2
(1.JilinCommunicationspolytecnnic,Changchun130012,China;2.DatangChangchunthirdthermalpower,Chnagchun130103,China)
abstract:withtherapiddevelopmentofscientifictechnologyandtheincreasingusageofinformationnetwork,thecoveringsecurityhasbecomeamajorconcernandiswaitingtobedealtwith.asabasicinfrastructureandessentialtooltoprovideinformationnetworkthenecessaryprotection,pKineedtobeimprovedandplayitsimportantroleinthepowersysteminformationnetworksecurity.thisarticleisabriefresearchandanalysisofthiskindofsecuritywithaviewtoimprovethepowersysteminformationnetwork.
Keywords:powersystem;informationnetworksecurity;pKi
一、引言
如何充分发挥pKi在电力系统信息网络安全中的基础作用,确保电力系统信息网络的高效、通畅、安全运行,成为广大电力系统信息网络管理人员必须面对的现实问题。基于pKi的电力系统信息安全成为电力系统不可或缺的重要组成部分,。pKi通过标准接口将安全服务延伸到每一个本地用户,使每一个用户通过标准插座得到无差别的能源供应,实现了网络信息安全的有效应用,满足了用户对电力系统信息网络的安全性以及快捷性要求,不断提升用户对电力系统信息网络安全的满意度。
二、基于pKi技术的电力系统信息网络安全概述
pKi是publicKeyinfrastructure的英文缩写,中文名称是公钥基础设施。pKi作为为信息网络提供安全保障的基础设施,能够为不同的信息网络拥有者提供全方位的安全服务,正是由于这种普适性的特点,pKi成为了保障信息网络安全的基础和核心技术。电力系统信息网络安全采用pKi技术,有利于电力系统实现安全与网络应用的分离,有利于电力系统基础设施建设同网络的运行相分离,从而有效保证电力系统基础设施建设的独立发展和信息网络的通畅运行。
三、基于pKi的电力系统信息网络安全在电力自动化控制中的优势
随着电力系统自动化控制的快速发展,pKi作为基础安全设施得到了广泛的应用,在电力系统自动化控制中应用pKi收到了良好的效果。相对于其他网络信息安全基础设施,pKi具有明显的优势。首先,pKi作为专业的安全基础设施,具有普及应用的最大一个特性――普适性,公钥密码学的理论得到了充分利用,普遍适用安全基础设施得到了推广,开放的签名验证和安全的数字签名成为pKi使广大电力系统及电力用户网络信息安全服务更完善的基础保障。其次,pKi密钥备份及恢复系统给电力系统及电力用户提供了使用信心,如果用户不小心丢失了密钥,通过可信机构掌握的不做备份的签名私钥,就可以直接解密数据,防止了合法数据的丢失,为用户安心使用pKi进行操作树立了信心。第三,互联能力的高低决定着系统的使用范围,pKi的互联能力是其他系统所不能比拟的,pKi能够按照通用的信任方式实现无论是上下级关系还是第三方平等信任关系的互联互通。第四,pKi的证书的撤销机制解除了电力系统网络信息应用的具体限制。第五,pKi的密钥管理方式更加适应电力系统网络信息安全的需求,pKi采用的用户独立验证的安全验证服务方式,可以充分保障电力系统网络信息服务范围的无限扩张,为电力系统用户群的发展提供了重要的技术保证,为电力系统的稳步发展奠定了坚实的基础。
参考文献:
[1]顾勇涛,葛利宏,剧树春.电力系统信息网络安全架构分析[J].内蒙古电力技术,2010,S2
[2]杨海霞.电力企业信息网络安全问题及解决对策[J].中国电力教育,2009,4
[3]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全,2009,6
电网安全心得篇3
县内电子政务网络接入单位(见附件1)、县电子政务网络运营商(县广电总台、县电信公司)。
二、评估体系及计分办法
(一)电子政务网络接入单位评估体系及计分办法
1、组织领导(8分)。本项目包括责任领导、技术负责人、人员培训等指标。
2、制度建设(8分)。本项目包括日常管理制度、学习培训制度、安全管理制度、应急预案等指标。
3、网络运行(27分)。本项目包括网络带宽、广度、深度、故障率、绿色节能等指标。
4、应用效果(27分)。本项目包括运行效率、广度、深度、使用效果等指标。
5、安全保密(30分)。本项目包括网络规范、信息保密、安全设施、终端安全等指标。
本评估每年由县电子政务中心负责牵头[电子政务网络运营绩效评估体系(接入单位)表见附件2]。评估得分90分(含90分)以上为“优秀”;得分80—89分为“良好”;得分在70—79分为“一般”;得分60—69分为“合格”;得分在60分以下为“不合格”。
(二)电子政务网络运营商评估体系及计分办法
1、组织领导(10分)。本项目包括责任领导、技术负责人、人员培训指标。
2、制度建设(10分)。本项目包括日常管理制度、日常巡查制度、安全管理制度、应急预案指标。
3、服务满意度(50分)。本项目包括人员及时响应、故障排除时间、故障率指标。
4、安全保密(30分)。本项目包括网络规范、信息保密、安全设施指标。
本评估每年由县电子政务中心负责牵头[电子政务网络运营绩效评估体系(运营商)表见附件3]。评估得分90分(含90分)以上为“优秀”;得分80—89分为“良好”;得分在70—79分为“一般”;得分在70分以下为“不合格”。
三、评估程序
(一)日常巡检。县电子政务中心不定期对各单位接入网进行巡检,检查网络质量,每次巡检结果记录在案,作为本年度网络运营绩效评估依据。
(二)故障备案。网络接入商每次修复故障后向县电子政务中心报送相关故障处理情况,作为本年度网络运营绩效评估依据。
(三)单位自评。各接入单位每年12月上旬认真对照《电子政务网络运营绩效评估体系》,组织自评,并将填写好的自评表报县电子政务中心。
(四)专家抽检。县电子政务中心每年年底组织专家对本年度各单位网络运营绩效进行随机抽检。
(五)评估定级。由县电子政务中心进行最后评估定级,其结果作为全年电子政务考核评优依据。不合格的直接通报单位主要领导,连续2年不合格,年终县政府综合考核电子政务以0分计算。
四、特别规定
(一)未经县电子政务中心书面同意,不得接入电子政务网络之外的其它网络。擅自接入的,本年度评定为不合格。
(二)未经县电子政务中心书面同意,不得使用独立公网ip地址,本年度公网ip地址使用变动情况应及时报县电子政务中心备案(公网ip地址使用变动情况备案表见附件3)。擅自使用独立公网ip地址的,本年度评定为不合格。
(三)本年度发生重大网络安全事件,受县级及县级以上通报批评的,运营绩效评估一律定为不合格。
五、本办法由县电子政务中心负责解释。
附件:
1、县电子政务网络接入单位名单
2、电子政务网络运营绩效评估体系表(接入单位)
3、电子政务网络运营绩效评估体系表(运营商)
电网安全心得篇4
关键词:交互;电力调度数据网;电能量计量;二次安全防护;四级网;建设和应用
电力调度数据网是为电力调度和生产服务的专用数据网络,其安全、稳定、可靠的运行是整个电网安全生产的基础保障。随着诸暨电网建设的速度加快和规模的扩大,各类调度自动化系统相继建成,且地调以及县调各系统之间的业务交互应用也变得比较频繁。据原国家经贸委颁发的关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》的第30号令“电力系统中,安全等级较高的系统不受安全等级较低系统的影响。电力监控系统的安全等级高于电力管理信息系统及办公自动化系统,各电力监控系统必须具备可靠性高的自身安全防护设施,不得与安全等级低的系统直接相联。”以及“电力监控系统可通过专用局域网实现与本地其他电力监控系统的互联,或通过电力调度数据网络实现上下级异地电力监控系统的互联。各电力监控系统与办公自动化系统或其他信息系统之间以网络方式互联时,必须采用经国家有关部门认证的专用、可靠的安全隔离设施”的规定,电力调度数据网之间的业务交互需要遵循一定的原则—“网络专用,安全分区,横向隔离,纵向认证”。[1]
本文将从诸暨局自动化系统与绍兴局系统之间业务应用交互的角度出发,概括介绍诸暨局电力调度数据网的建设和应用情况。
一、地区调度数据网(四级网)建设
目前绍兴地区电力调度数据网包括三级网和四级网两部分。三级网作为一个子站节点,其主要功能是接收省公司的电网数据,同时向省公司转发500kv、220kv变电所数据和地区总加数据。各县局监控系统与绍兴地区实时监控以及绍兴地调的集控站系统的连接是通过四级网完成的,目前的四级网是采用数据网关的接入方式。常用的调度数据网构成有4种典型模式:ip+sdh+atm+fibre,ip+atm+fibre,ip+sdh+fibre和ip+fibre。从发展趋势来看,ip+atm+sdh+fibre和ip+sdh+fibre并存的时代已经成为过去,现已逐步发展为以ip+sdh+fibre为主的局面。地区电力局调度中心配置2台路由器,作为地调调度数据网的中心节点,负责与各子站及县局通信,同时完成与省公司的数据网通信;各县局采用路由器,实现各个应用设备的信息接入路由器之间采用e1接口通过sdh光纤环网相互通信,路由能够自动迂回,可实现长距离通信,且抗干扰性好。[3]
二、诸暨局自动化系统接入地区调度数据网的业务分类
根据电力二次系统的性质,如功能、实时性、传输方式、对电力生产和管理业务的重要性等,诸暨供电局自动化业务大概可以划分为以下三个区,其网络连接图如图1所示:
1.安全i区
数据采集和监控系统(scada):以诸暨局大楼为接入中心,以光纤sdh的n*2mbit/s链路为承载,通过2路模拟专用通道连接各电压等级的变电所。主要完成诸暨境内5座220kv,21座110kv,13座35kv变电所的数据采集、监视和控制功能,同时通过地调转发通道向地调转发部分重要线路的遥测数据。
地区电力调度数据网系统(四级网):在地区局以1台路由器作为中心路由设备,以100m双链路接入省电力公司三级网的地调骨干路由器实现了三四级网的互联,各县局作为地区电力调度数据网的接入节点。[2]主要完成绍兴局境内所有县局与县局,县局与地区局之间安全i、ii区之间数据的共享,是地县数据交互的骨干网络路径。
电力系统远程维护拨号认证系统:装置采用工业级服务器、安全操作系统、硬件usbkey双因数强认证、防火墙、vpn等安全技术,对拨号接入用户进行认证,对传输的信息进行加密和数字签名,并设置安全策略对接入的用户访问的范围和资源进行限制,通过审计日志对其访问进行详细的记录,以电力二次系统安全防护的强度,保证拨号用户操作的责任性和可追查性。
2.安全ii区
电能量计量系统:通过专线modem采集诸暨境内13座35kv变电所电量数据,通过与绍兴局电能量系统在ii区的接口程序,获得诸暨境内其他110kv及以上变电所的关口表以及线路的电能量数据,从而系统生成各类报表供相关部门进行电网电量预测,变电所平衡数据分析等应用。
二次安防防病毒服务器系统:以地区四级网系统为业务承载,通过在地区局防病毒服务器下载防病毒软件和补丁以及升级包,县局安全i、ii区的windows工作站和服务器在线升级防病毒软件的病毒库。
3.安全iii区
pi实时数据库县局延伸:在绍兴地区局建立pi数据库,县局通过安装在安全iii区的数据库镜像服务器,实现与安全i区的scada参数库、实时运行信息和图形的同步。通过应用软件导出cimxml模型,svg图形,e文件并以ftp的方式定时发送至地区局的pi接口服务器,入库到pi数据库。同时通过应用软件自带转发功能,县局镜像服务器实时向地区接口服务器发送遥测数据和事项。
三、地县主要自动化系统之间的业务交互
随着地调数据网络(四级网)的建成,县局自动化系统与地区局自动化系统之间的网络连接变得比较频繁,业务交互涉及到了各个系统。接下来主要介绍最近几年来陆续建成的几个地县接口应用系统:地区电力调度数据网系统,地县电能量计量系统接口,二次安防防病毒服务器系统。
1.地区电力调度数据网系统(四级网)的应用
四级网系统县局的应用部分网络结构如图2所示:
四级网接入的业务是关系到调度生产运行的重要业务,网络安全是必须考虑的一个重要因素,承载调度业务的调度数据网应通过sdh/pdh的n*2mbit/s专线组建,实现与其他网络无理隔离,成为调度业务可信赖网络。
各单位路由之间采用e1接口通过sdh光纤环网相互通信,路由器配置多个信息接入端口,可接入安全i、ii区业务设备,i、ii区业务在接入时实现逻辑隔离,接入调度网的设备应先接到交换机端口,再由交换机接入相应的端口,禁止应用设备直接接入路由器端口。[4]各县调四级网服务器利用3700路由器实现与地调绍兴局四级网数据库服务器的连接,从而实现网络的物理隔离,地调将网络划分在10.33.128.*网段,诸暨局四级网服务器地址为10.33.128.50,地调数据服务器地址为10.33.128.8。同时诸暨局四级网服务配置一个scada前置网网络地址192.168.1.36,在服务器上安装相应的应用软件,进行必要的遥新、遥测、厂站库以及通信规约的维护。
当网络连通后,各县局以及地调四级网服务器将实时数据存入绍兴局四级网服务器数据库,由此实现各个单位之间实时数据的相互调用和查看,在必要的业务上进行调度员人机界面应用,从而使得调度员能够实时掌握地调以及其他县调的网供、电厂及限电计划等实时数据。随着各种应用的加深,地县主站avc系统的无功、电压及功率因数限值的定值传送也可由四级网来实现。
2.地县电能量计量系统接口
电能量计量系统在电力系统二次安防区域划为安全ii区,主要负责采集诸暨境内所有220kv,110kv,35kv电压等级变电所的进线、主变以及出线表计的电量数据。在接口程序开发之前,我局点能量采集的方式为:35kv变电所采用专线modem,通过光纤sdh环网提供的调度数据网专用通道与主站modem池通信,每天定时采集电量数据;而220kv、以及110kv变电所电量数据的采集,主站是通过公用电话网(pstn),用拨号modem的方式与厂站端的ertu通信,由于110kv及以上变电所还有地调以及省调电量主站通过拨号方式采集,所以往往出现采集时电话占线的问题,导致电量数据不能及时送到主站数据库服务器。
为了解决这个矛盾,我们提出通过地区调度数据网(四级网),诸暨局电量系统与绍兴电量系统在安全ii区做一个接口程序,地区局电量系统每天定时向诸暨局发送110kv及以上变电所的电量数据,同时诸暨局系统每天也定时向绍兴电量系统发送35kv变电所的电量数据,由此实现了地线电量系统的数据交互。其网络连接如图3所示:
(1)通信格式和协议:采用xml数据格式进行数据交换,版本1.0,编码格式:utf-8。由数据的发送方保证xml数据的格式良好性。协议采用tcp可靠连接,有数据发送方发起tcp连接,方式为一个完整的数据包连接一次;没有发送成功的数据有发送方负责重发,成功后由数据接收方负责数据的缓存以及入库。
数据传输方式:源端自动定时发送、源端人工随机发送、目的端人工召唤等三种方式,以满足不同情况下数据同步的可靠和完整性。
(2)数据类型。静态电网模型:接口双方通过iec61970和iec61968定义的cim规范交换电网模型,按照《浙江省调度中心设备命名规范》,通过实际电网对象的统一命名进行识别,实现电网模型的相互关联;电量数据:基于量测、量测数据类型、量测值等标准模式实现电量数据的交换,包括总、峰、平、谷、尖等表码数据,采用简化的数据定义格式,使用于大数据量的数据交互;召唤数据:支持目的端通过数据召唤方式对源端数据进行采集获取。
3.二次安防防病毒服务器系统
电力二次系统安全防护的重点是确保电力实时闭环监控系统及调度数据网络的安全,目标是抵御黑客、病毒、恶意代码等通过各种形式对系统发起的恶意破坏和攻击,特别是能够抵御集团式攻击,防止由此导致的一次系统事故或大面积停电事故及二次系统的崩溃或瘫痪事故。
省调防病毒服务器系统包括省调中心服务器,各地区局分中心服务器,县调服务器端和客户端,邮件服务器及网关服务器。各层服务器主要提供病毒代码的升级和分发,同时也作为防病毒中心的数据库服务器,接受各种病毒报告以及向上以及防病毒中心提出告警。而客户端不管使用何种操作系统,都必须有相应的防病毒软件进行安装防范。其网络连接如图4所示:
(1)省局防病毒服务器系统的定位。目前自动化系统安全隔离区内的网络业务及业务系统服务器很多,设备类型,操作系统种类众多。隔离区内主要是业务系统的各类服务器以及邮件服务器,根据二次防护总体框架,隔离内不允许使用邮件服务、web等服务,特别是在安全区i内严禁使用,隔离区内外中间使用专用网络隔离设备,所以不需要选用邮件服务器组件和网关选件。因此,自动化系统隔离区内防病毒中心的定位就是中心服务器,分服务器及服务器端和客户端选件。
(2)具体实施。在整个调度自动化内联网系统中,制定并采用统一的防病毒服务策略,同时省调度中心和绍兴等各地调中心分别部署一台中心服务器,各自管理自己的网络。各地调中心服务器与省调中心服务器相联,病毒代码由省调中心分发更新,总中心的病毒代码更新采取离线方式;由省调专职人员定期到隔离区外去拷贝经过病毒查杀的防病毒更新码,各地调中心所辖的客户端则由地调中心分发防病毒更新代码。
根据二次防护总体框架,安全i区和ii区内主站的每个业务系统都分配在不同的vpn内,安全i区和ii区之间通过防火墙隔离,相同安全区内的各业务系统之间也要通过防火墙隔离;同时安全i区和ii区,在纵向上分别形成2个不同的vpn通道,原则上互不通信。在安全隔离区内部署防病毒中心,由于各业务系统均十分重要,存在许多网段,且防病毒中心必须覆盖调度自动化系统内的所有业务主机,因此应将防病毒中心也看作是一个业务系统,安排独立的网段,并在纵向形成单独的vpn通道,通过路由重分布,将需要访问该vpn的网段路由进该vpn,实现网络互通。通过各防病毒中心服务器,对安全隔离区内各业务系统网段上的主机进行客户端防病毒软件的安装、升级、配置以及病毒代码的更新。[5]
四、结束语
本文从业务应用方面介绍了地区电力调度数据网(四级网)在县局自动化工作中的应用,同时可以作为其他县局在今后与地调通过数据网做业务交互的一个重要参考。
地区电力调度数据网(四级网)的成功建设和应用,使得调度部门掌握了更加详细的电力数据,提高了工作质量和工作效率,同时也加强了省调、地调和县调的沟通和联系,为电网运行管理水平的提高又迈进了一步。
参考文献:
[1]国家经贸委.电网和电厂计算机监控系统及调度数据网络安全防护规定.2002-02-22.
[2]张利军,高亚栋,陈利跃,等.浙江电力调度数据网建设方案的探讨[j].电力系统通信,2009,(5).
[3]张亚峰,陈良帅.地区调度数据网的建设及应用[j].电力系统通信,2008,(s1).
电网安全心得篇5
电力系统在国民经济中的影响与日俱增,人们的日常生活已经与电力紧密相连,任何一处的电力系统的发生不稳定现象都将对该范围人们的生产生活产生重大的影响。伴随着信息技术的出现,电力监控系统逐步转化为分布式监控,每部分地区发生电力系统的不安全、不稳定现象,都能通过该系统进行监控,进而在最短时间内解决问题。随着电网规模的扩大、电力需求度的急速增长,各行业对电力系统的各方要求越来越高。信息技术的出现可以很好地对电网整体情形进行高效地控制,相比以往的配人值守等方式,准确性与安全性得到了很大的提高。利于信息技术可以把电力系统中分布遥远的发电厂、调度中心以及变电站等子系统紧密有序地联系起来,使电力系统的整体性更加稳定。信息化程度的深化,可以将电力中的调度业务和市场业务升级到因特网层面上,使业务处理显得更加灵活有序。然而,信息化技术的深入在充分提高电力效率、保持系统性能稳定等作出巨大贡献的同时,也对电网的系统网络安全产生了一定的影响。因此,本文以电力信息系统中的网络与信息安全防护为对象,全面分析电力信息系统安全风险及需求,提出了电力信息系统安全防护方案和改进措施。
2电力信息系统安全体系现状
电力系统是一个与社会稳定、人民生活息息相关的复杂体系,保证期安全、稳定地运行是保证国民经济正常运行的基础。做好安全防护工作的内容通常包括以下几个方面,例如信息安全管理策略的运行、信息安全体系总体框架的建立、信息安全技术方案的研究及实施、总系统下的各有关子系统的安全故障排除等方面。2003年,电力信息网络的安全运行被国家电网正式纳入电力安全生产管理范畴,电力系统信息安全同时也被国家科技部列入国家信息安全示范工程之一,可见电力系统的网络安全问题也由此被相关部门所重视。2008年是电力系统经受了重重考验的时期,例如年初的雨雪冰冻灾害、5月发生了汶川大地震、8月举办了北京奥运会和残奥会等等。即使我国加大了在电网的现代化建设中引入信息化技术,但我国对电力系统安全性的研究相对而言尚处于发展探索阶段。电力系统的信息化现状主要体现在以下几个方面:
2.1初步完成了信息化基础设施建设
信息技术在电力系统中广泛应用的背景下,我国初步完成了信息化电力系统的基础设施建设,同时,电力系统的各个子系统的管理水平得到了很大的提高,包括发电生产管理信息化水平、电网管理水平、企业管理水平等。电力信息基础设施的广泛建设,使得信息技术得到了飞速发展。以电力通信网为基础的调度数据网络系统、信息网络系统等已经初步形成,为电力的高效管理奠定了坚实的基础。信息技术的深入发展使得电力通信网已发展成为集光纤、卫星、数字微波等手段为一体的电力信息网络系统,覆盖了包括发电、输电、配电等多个环节。
2.2独立自主地坚持了创新之路
纵观国内外电力系统信息化的发展历史,可以发现我国的电力系统信息化水平已经处于高速发展阶段。通过技术引进和自主开发,配电系统自动化领域总体达到国际先进水平,一些国际领先的、独立的研究的能源管理系统和其他关键控制系统已在电力电网调度系统中得到了广泛地应用。其中,SG186等多个应用系统平台、电力信息安全专用装置在开发完成之后,已经投入到实际运行当中,产生了巨大的经济效益。由此可见,我国在电力行业信息产业道路上取得了丰硕的成果。
2.3信息安全技术取得了重大突破
由于电力系统逐步升级为自动化管理,信息在处理过程容易发生偏差,造成各种损失,因此,我国在信息安全方面加大了投入。经过多年的研究探索,电力信息安全取得了很大的进展,主要体现在以下几个方面:(1)基本完成了第一批电力企业信息系统的安全防护工作。(2)开展了以网络安全为主的电力行业信息安全的基础性工作。(3)初步建立了有关电力行业信息安全的法律法规,使信息安全逐渐变得合法化、规范化。(4)建立了电力行业网络与信息安全的管理制度,完善了信息安全责任体制。
3电力系统信息安全的有关防护方案
由于信息系统安全是一个复杂的系统工程,且电力处于国民经济产业中的重要位置,更应系统地、全面地进行分析和把握,从全局角度加以设计和实施。按照安全风险类别及安全建设原则,电力信息系统的安全防护方案大致可分为以下几个方面:数据安全、系统安全、网络安全、物理安全等四个方面。
3.1数据安全
数据安全的核心工作是做好数据的安全存储、信息鉴定、安全传输等三方面内容。信息安全存储是要保证企业业务安全运行的关键,日常生活中最安全、最有效的方法就是采用数据备份,一旦发生操作系统瘫痪、或者数据库系统的数据丢失等情形,备份的数据可以及时弥补。数据在传输过程中容易发生被非法窃取、篡改等威胁,信息鉴定技术可以保证数据完整。由于电力系统在国民经济生活中起着重要作用,因而其传输的都是重要信息,实际操作中可以结合传输加密技术实现数据的机密性。最后,信息传输安全主要指的是为了保护数据信息传输过程的安全。
3.2系统安全
系统安全方案设计中主要包括安全评估、病毒防护、操作系统安全等三方面内容:(1)安全评估是为了减轻因系统的安全漏洞而导致的黑客攻击,安全评估系统可以有效地对系统进行扫描,搜索并修补安全漏洞,增强系统对网络攻击的防护能力。(2)病毒防护必须通过防病毒系统来实现。一个完整的防毒系统应该包含从网络、服务器、应用平台到桌面的多级结构,此种体系下才能有效地防治病毒,从而保证整个体系范围内病毒防护体系的有效性和完整性。(3)由于操作系统是整个安全系统的核心控制部位,因此要应该行之有效地进行防护,尽量采用安全性较高的操作系统,关闭存在安全隐患的程序和文件,严格限制用户使用权限,及时修补系统安全漏洞。
3.3网络安全
网络安全方案设计中应该主要注意安全检测和网络结构安全两个方面:(1)作为防火墙的合理补充,安全检测须在内部核心部位配备入侵检测系统,以对抗来自系统系统内部和外部透过防火墙的各种攻击,在入侵检测系统和防火墙的共同作用下,可有效地减小系统的损害程度。(2)网络结构布局的合理布置也影响着网络的安全性。对于电力系统内部的各种联系,例如办公网络、业务网络和外单位互联网等接口之间应该设置保密程序,避免安全系数较低的其他网络对其构成威胁。
3.4物理安全
一般意义上的物理安全主要指的是环境安全、设备安全、媒介安全等三个方面:(1)应注意环境安全保护,以确保电力系统的信息设备不因环境问题而出现故障。(2)加强设备的安全保护,防止发生设备被盗、损毁现象,也要限制设备防护人员的数量,限制设备出现损毁的客观条件。(3)媒介安全方案的设计主要是加强场地基础设施建设,严格制止信息通过辐射、线路截获等方式造成泄露。
4电力系统信息化过程中的安全防护措施
4.1加强安全管理
除了电力网络系统自身的不稳定因素外,内部的人为因素也占有很大比例。因此,加强内部的安全管理可减少人为风险的产生。具体措施如下:(1)适时进行安全教育。安全知识和相关技能的教育是企业安全生产的保证,各个从业人员须了解并严格执行企业安全策略,并且防止重技术轻管理的倾向,加强对人员的管理和培训,否则无法建立一个真正安全的网络信息系统。(2)建立安全管理制度。电力行业中,管理的各方面主要包括人员管理、机房管理、设备管理、技术资料管理、操作管理、应急事件管理、开发与维护管理等。(3)完善安全技术规范。主要包括信息维护、数据保护、软件安全开发、数据备份规范等,保证后续电力信息系统的开发安全。(4)建立安全保证体系。其中明确各有关部门的工作职责,包括落实责任制,实行信息安全责任追究制度。
4.2加强防护措施
基于电力系统信息技术的防护措施应立足于风险可能发生的部位。主要包括以下几个方面:(1)加强数据防御,即保证数据在存储、使用过程中的完整性,同时也要保证系统出现意外故障时数据依然能够及时恢复。(2)完善系统自身物理防御,包括主机防御和边界防御,主要指的是对系统漏洞进行扫描、对主机加固,利用防火墙等安全设备来保护网络入口点等。(3)增强应用防御,因为应用程序中完整的应用开发安全规范可以实时控制应用程序的各种功能,在此基础上生产的产品可消除已知安全漏洞,因而风险最低。以上几项措施的核心技术体现在以下几点:(1)物理隔离。主要用于电力信息网不同区之间的隔离,由于其隐蔽性,使得该系统不易遭受攻击。(2)数据备份。电力企业的数据需经常进行备份,建立企业数据备份中心,制定详尽的应用数据备份预案,从而保证信息系统的可用性和可靠性。(3)网络防火墙。防火墙是用于将信任网络与非信任网络隔离的一种技术,它可以阻断攻击破坏行为,分权限合理享用信息资源。
5结束语
电网安全心得篇6
1概述
企业安全生产标准化建设是落实企业安全生产主体责任的必要途径,是强化企业安全生产基础工作的长效制度。电网企业通过不断完善工作机制,将安全生产标准化建设纳入企业生产经营的全过程,促进安全生产标准化建设的动态化、规范化和制度化;通过明确反事故工作的重点和反事故措施,实现超前控制、减少和消灭事故,保证员工人身安全,保证电网安全稳定运行和可靠供电,避免国家和投资者资产遭受损失。
按照《关于深入开展电力安全生产标准化工作的指导意见》《电力安全生产标准化达标评级管理办法(试行)》的要求,电网企业积极开展了标准化达标评价工作。根据电力安全生产标准化管理网的统计,截至2014年底,已有172家电网企业通过了安全生产标准化达标评级工作,其达标等级统计如表1所示:
标准化达标评级主要包括企业自查自评、第三方机构评审、评审报告审核及公示等。通过标准化建设工作,进一步提高了电网企业本质安全水平和防范事故能力,同时在各个环节中也暴露出一些问题。因此,总结电网企业安全生产标准化各个环节的特点,分析电网企业安全生产标准化工作中存在的不足,对于标准化工作在电网企业中的实施和推进具有重要意义。
2企业自查自评
电网企业对照《电网安全生产标准化规范及达标评级标准》,结合实际,确定适用于本单位的条款,逐条开展标准化自查自评工作,按照“边查边改”原则整治自查发现的缺陷和隐患,形成自查自评报告。自查自评工作需做到领导高度重视、宣传培训到位、自评工作深入、整改落实到位。
3评审机构查评
评审机构积极与电网企业沟通,制定详细评审工作方案,组织评审专家队伍,按照规定的程序和要求,客观、公正、独立地开展现场评审工作。现场评审组认真查阅电网企业的安全生产文件和资料、运行记录和参数、电力设备实施有关台账和试验报告等,并经实地核查验a证,确保现场评审工作质量。评审员对评审情况进行分析、整理,提出存在的问题和相应切实可行的整改建议,并对被评企业提供技术指导,解答技术疑问。
4评审结果
4.1三个达标等级电网企业评审情况分析
电网企业安全生产标准化评审内容分为3个基本条件、13个必备条件和13个核心要素;核心要素共有155项条款,标准分1500分。标准化评审等级分为一级、二级、三级。达标企业必须满足3个基本条件和相应等级的必备条件,且一级得分率≥90%、二级得分率≥80%、三级得分率≥70%。三个达标等级电网企业13个核心要素得分情况按百分制绘制成雷达图(图1)。
图1显示,各达标电网企业通过自查、整改,在目标、安全生产投入、宣传教育培训、危险源辨识及重大危险源监控、应急救援、信息报送和事故调查处理、绩效评定和持续改进7个方面做得较好,其中在目标、安全生产投入、宣传教育培训、信息报送和事故调查处理得分较高,这表明:
4.1.1电网企业根据自身生产实际,依据“保人身、保电网、保设备”的原则,制定规划期内和年度安全生产目标,且在查评期内实现了安全目标,未发生各类安全事故、事件。
4.1.2电网企业非常重视安全生产工作,在安全生产方面投入资金充足,形成了完整规范的管理和使用体系,满足安全生产要求。
4.1.3电网企业对从业人员进行了安全生产教育培训,企业主要负责人和主要安全生产管理人员按规定取得了培训合格证;特种作业与特种设备操作人员持证上岗。
4.1.4电网企业随着科技进步和多年的发展壮大,网架结构相对坚强,设备设施稳定性得到了提升,形成了科学的安全发展理念,安全局面保持稳定。国家能源监管机构强化对电网企业信息报送和事故调查处理的管理,保障了电网企业在这方面工作取得了不错成绩。
4.2三个达标等级电网企业发现问题分析
图2为现场评审过程中13个核心要素扣分问题统计柱状图,由图可知,在13个核心要素中,组织机构和职责、法律法规与安全管理制度、生产设备设施、作业安全、隐患排查和治理、职业健康6个方面存在较多问题,其中生产设备设施、作业安全方面存在的问题最多。
根据现场查评结果,对三个达标等级电网企业存在的主要问题分析如下:
4.2.1在组织机构和职责方面,安全生产保障及监督体系有薄弱环节、安全生产例会制度执行不严、班组安全日活动开展不到位,班前、班后会活动不满足要求、全员安全责任制度不完善、相关方安全职责不明确等。大部分电网企业已建立了安全生产监督体系和安全生产保障体系,但是两大体系中有部分人员专业能力及责任心不满足岗位要求,以致企业安全管理仍然有漏洞,事故时有发生。
4.2.2法律法规与安全管理制度方面,法规跟踪不规范,现场常有失效的法规、标准规范,部分变电站未配置常用的重要规程,部分单位修编现场规程时未组织相关人员审核。法律法规方面存在的问题,说明了电网企业安全生产标准化建设的必要性,各单位利用标准化建设的契机,加大法律法规的建设力度,做深入细致的完善工作,使企业合规经营。
4.2.3隐患排查和治理方面,未按照上级安全生产事故隐患排查治理规定,制定本企业的实施细则;未按人、物、管理等专项制定检查表,也未开展相关排查工作;未开展定量的安全生产预测预警技术研究。电网企业一般不存在影响安全运行的重大隐患,对于一般隐患应结合设备修理使其在下一个周期内消除,由于设备检修周期较长,有些隐患会发展、危及安全,应采取控制措施。
4.2.4职业健康方面,对可能发生急性职业危害的有毒、有害工作场所的防范措施不到位,未如实告知从业人员工作过程中可能产生的职业危害及其后果和防护措施,未在国家安全生产监督管理总局的作业场所职业病危害申报与备案管理系统中注册并申报。电网企业在标准化建设过程中按照相关规定、提高认识、切实加强职业危害的管理。
4.3三个达标等级电网企业关键问题分析
生产设备设施和作业安全两个要素是电网企业安全生产标准化达标评级的重点,查评分占总分60%。从图2可以看出,作为电网企业主要查评项目,两个要素发现的问题最多,是电网企业安全生产标准化建设的关键点。
4.3.1作业安全方面,事故照明不满足要求,检修电源箱配置不规范,作业许可证中的危害因素分析不到位,“两票三制”有差错,特种作业设备维修保养单位资质存在问题,防爆安全管理有漏洞,作业场所安全警示标志设置不规范,相关方管理有漏洞,未对临时到现场的相关方人员进行安全培训、告知安全事项并记录。加强生产现场安全管理,提高职工安全意识和操作技能,规范生产人员作业行为,改善设备安全状况和环境条件,提高作业行为标准化、规范化水平,并有效管控因人员素质、技能的差异和岗位变动、人员流动等因素带来的风险,防范和减少人身伤亡事故发生。
4.3.2生产设备设施方面,调度管理不满足要求,高压电网结构不合理,电网接线不合理,部分主供电源变电站只有一台变压器,主供电网变压器容载比低于设计标准,未普测谐波源、对新报装谐波源客户验收时未核查谐波或无治理措施;调度至被调厂站仅有一个独立的通信路由或一种通讯方式;城市供电网单幅射线路较多,重载线路多,电压偏低台区多;未测电容电流,避雷器预防性试验时间周期有误;压力容器、有害气体和危险化学品管理有漏洞;信息安全及二次系统防护有漏洞;未建立电气安全用具、手持电动工具、移动式电动机具台账,未统一编号,未实现专人专柜对号保管,未定期试验;变电站消防器材使用年数长,未定期检验;电缆沟防火封堵有漏洞;变压器灭火系统不全,事故油池排油通道不畅;输配电线路、变压器、互感器、接地网事故风险控制有漏洞、电气二次系统及继电保护存在风险。生产设备设施大部分属于“硬件”部分,整改需要大量资金投入和一定的时间;电网企业须制订整改计划,落实整改责任、措施、资金、期限和预案。在安排大修、改造、工程建设计划时,针对标准化达标评价所发现的问题,按轻重缓急予以优先安排。
电网安全心得篇7
現代社会,电力是国家重要的基础设施,是国家经济和社会发展的重要保证,电能供应如同粮食和水,不仅要考虑正常环境、常规因素,还要考虑在自然灾害、战争环境、防恐形势下的电力安全。电力安全不能得到保证,不仅对国家经济发展造成重大影响,还将可能引发政治不稳定和社会的混乱甚至动荡。"电力安全的核心是电网安全,保证电网安全的关键因素是电网架构,中国未来电网架构的战略是国家战略。电力安全最重要的是电网安全。电网事故影响面大,其中高压电网比低压电网,区域主网、受端网要比输电网事故影响面大的多,电网中远距离输电网事故比例最高,电网故障连锁反应危害最严重。电网安全最重要的是应对连锁反应大停电问题。电网系统是人为设计优化系统,具有很强的保持稳定运行的能力,仅是n-1(n个发电机、变压器、输电线等元件组成电网中有任一个元件故障)或n-2故障条件下采取切机、切负荷等措施,电网保持安全稳定运行。电网多重复合故障同时发生的概率是很低的,但世界上故障连锁反应造成系统瓦解大停电却是较频繁发生。电网安全的核心是保证主网和受端网的安全,从而保证负荷的安全,科学合理的电网架构是保证的关键因素。科学合理的电网架构基本要求就是坚强的受端系统和合理分散的外部电源,电网架构中主网(受端网)、输电网要有明显区分,从而达到电网既能承受较大故障冲击但又不要构成过大的故障概率。由于电网连锁反应大停电危害巨大又无较好措施解决,电网规模必须要合理控制。"世界与中国电网安全现状。1965年以来世界上21次超过800万千瓦负荷损失的交流同步电网大停电事故触目惊心,教训极为深刻。美国相继发生6次,巴西4次,欧卅和加拿大魁北克各4次,日本、印度和中国台湾各1次。最大的2003年8月美加东部同步电网大停电事故,有263个电厂、531台发电机包括10个核电站19台核电机组停运,负荷损失达6180万千瓦,停电面积9300多平方公里,受影响区域人口达5000万人,造成美国300亿美元、加拿大52亿美元直接损失,社会经济损失惨重。传统理论和完全n-1安全稳定标准对保障越来越复杂的电网安全显得力不从心,也难以解释电网连锁反应造成的大停电机理。中国电力系统近三十年安全稳定的表现好于发达国家。中国在传统理论指导下和国内外实践总结基础上,提出的《电力系统安全稳定导则》至今显示其正确性。三十年来上万亿元的投资已基本形成了六大分区、直流联网的"分层分区结构"和"三道防线"较为坚强的一次网架结构和电网二次合理的配置。中国电网二次系统包括保护、安稳控制装置等形成"三道防线",与国际上相比其特点表现在电网故障发生系统振荡时保护闭锁不动作,保持电力系统完整性,利用发电机非同步力矩特性自动拉入同步,恢复正常运行;单相故障时保护具有单相切除和重合功能,减小了单相接地故障对电网系统的冲击;坚定低周波、低电压减载及自动解列等措施的执行;实践证明都是很有效的。电网保护、安稳控制是应对电网故障的重要技术措施,但网架结构是电网安全之本。"中国电网是否能够继续保持安全稳定基本格局。三十年来中国电网安全稳定虽表现较好,没有发生超过800万千瓦负荷损失的大停电事故,但也发生各类电网重大停电事故200多次,超过80万千瓦负荷损失的事故十余次,重大停电事故次数逐年减少,损失负荷在增大,说明事故的影响范围愈来愈大,最严重一次2006年7月1日华中电网连锁反应停电事故负荷损失380万千瓦。当前中国的电网、电源结构和安全管理存在不少忧虑之处。电网、电源结构相对集中有余、分散不足,2008年初冰雪灾害大停电已足以证明,受端系统的电源布局受到各种因素制约而显薄弱特别是京津塘系统,分层无功补偿平衡尚有欠缺并未引起高度重视,短路电流控制问题日益突显,区域间交流联网的低频弱阻尼震荡难以控制等诸多的问题。由于中国电网安全稳定运行状况良好,政府监管和电力行业对电网安全稳定重要性意识逐渐淡薄,行业内对电网安全机理认识理解不清、对安全稳定导则规程"知其然,不知其所以然"已具有相当的普遍性,把n-1标准理解为电网
电网安全心得篇8
关键词:电子商务,风险,安全管理
1引言
美国iBm公司从企业电子商务的运作过程中认为电子商务(e-Business)就是企业的“商务整合”,它将it技术策略与企业商务策略整合起来,形成企业全新的组织构架、全新的商业模式、全新的业务流程。它是传统企业商务电子化的过程,即传统商务向电子商务转型的过程。电子商务作为一种新的生产方式,正在显示其巨大的现代经济管理的价值和社会变革的影响力。
如何使电子商务运作过程的安全性和风险控制得到保证,是关系到电子商务能否顺利发展的关键问题。
2我国电子商务发展现状
中国互联网络信息中心(CnniC)最新的中国互联网络发展状况统计报告显示:截至2009年6月底,我国网民数达到3.32亿,互联网普及率更是以25.5%的比例超过了21.9%的全球平均水平。与此同时,有关部门的2008中国网上购物调查报告显示,上半年国内网购交易总额已经达到531.5亿元,参与网购的人群达到1.2亿。
随着网购人数的增长,互联网的各种应用还将从大城市向中小城市渗透,网民数的不断增加和主流消费人群消费习惯的改变,将成为推动中国网购市场激增的重要原因。
3电子商务发展中面临的风险
互联网正在改变全球经济,电子商务向人们展示了“快、便、省”的优势。
但是电子商务与其它新生事物一样,在带来巨大机遇的同时,也存在着许多风险。
(1)技术风险
具体包括交易安全、认证安全、数据加密、支付安全、网站安全等。
(2)金融与支付风险
具体包括订购、付款、银行结算以及其他金融交易业务的在线安全。论文格式。
(3)税收风险
由于电子商务具有跨地域交易的特点,使得电子商务税收变得十分重要而复杂,国际上普遍接受的是税收中性的观点,即对国际性税收原则不做根本改变,但对全球电子商务发展中面临的有关税收方面的政策改变将大大影响电子商务的发展。
(4)人才与培养风险
电子商务的发展需要大量计算机人才和网络经济商务人才以及相关复合人才,我国在这方面的人才较为欠缺。
(5)政策法规风险
电子商务的发展如同网络的发展一样是非常快的,与之相比国家有关管理部门的政策、法规的制定不可避免的存在滞后的可能,使得新兴的电子商务发展可能处于缺乏保障的地位,而且电子商务中个性化特点日趋突出,给政策、法规的制定也提高了难度。
(6)竞争风险
电子商务的发展将使我国的企业同时面临与国外大公司、企业的竞争,还要面对传统商务与之的竞争。
3.3电子商务的风险特征
电子商务中出现的风险,虽然多为传统经济中所固有,但它无论在表现形式、强烈程度还是影响范围上与传统经济中的风险都不相同。概括起来说,电子商务风险具有以下特征。
(1)全球性
电子商务风险具有全球性特征。论文格式。风险既可能来自国内,也可能来自世界任何一个地方。四通八达的通讯网络,把世界各地都紧紧地联系在一起。例如,技术风险就是这样。当黑客发动攻击时,遇到的唯一障碍就是技术上的可行性。
(2)传染性
电子商务风险可以在全球范围内迅速传播,具有很强的传染性和广泛的影响力,使人们很难进行有效防范。实时性和交互性是电子商务的两个基本特征。一旦风险产生,它就会借助信息的实时传递和市场交易主体之间的交互关系而迅速扩散。
(3)成长性
在一定条件下,电子商务风险会迅速成长和壮大,具有一股强大的、摧毁一切的力量。这种异乎寻常的成长性,来自于电子商务中所特有的不稳定均衡和正反馈效应。电子商务中的均衡是不稳定均衡。如果企业正处于成长过程中,它就会在正反馈效应的刺激作用下,成长得越来越快、越来越强大,直至成为市场主流,占有决定性的市场份额。反之,一个企业即使是市场的主流,如果受到一些致命的打击,则有可能在正反馈效应的作用下迅速衰退,甚至在很短时期内消逝得无影无踪。
(4)隐蔽性
电子商务风险具有很强的隐蔽性。风险初起时可能不大容易觉察,当风险变得清晰可辨时,危机就无法避免了。这种隐蔽性,来自信息的非对称性。在网络中,人们可以自由遨游,不需要提供真实的姓名和身份。如果再缺少相关的法律进行约束,投机和欺诈就会泛滥,电子商务就会趋向崩溃。
(5)复杂性
在电子商务中,风险不是单一的,而是综合的。多种风险往往交叉在一起,它们相互影响和助长,使得风险防范的难度大大增加。
4电子商务安全管理措施
电子商务交易安全管理,不应当只从单纯技术角度考虑如何解决的问题,而是应该从综合的安全管理思路来考虑,因为从电子商务的运行环境来看,技术环境是一个重要方面,但是良好的法律法规、政策环境和科学管理环境也是电子商务的顺利运行不可或缺的两个方面。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
4.1加快基础设施建设
计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备,建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。
4.2实施技术防范措施
电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失,这些安全首先是对信息技术的依赖。目前电子商务比较成熟的技术安全措施有以下几种:
(1)防火墙技术:防火墙是在本地系统或网络与internet之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自internet中非法用户的侵犯;用以控制和防止本地系统或网络中的敏感数据流入internet,也控制和防止来自internet的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。
(2)数字签名技术:数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。
(3)安全证书认证中心(Certificationauthority中心):网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(Ca中心)。Ca中心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。
4.3健全管理与控制
由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。
建立交易授权控制制度:电子商务交易程序的简单化,必须在业务流程方面建立严格的业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。
建立责任控制制度:它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。
建立会计控制和内部牵制制度:主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。论文格式。
建立经营方面各个循环系统的控制制度:它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。
建立一定的应急措施:在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。
4.4健全法制,倡导诚信
1996年联合国贸易法委员会制订了《联合国国际贸易法委员会电子商务示范法》,2005年初,国务院颁发了《加强电子商务的若干意见》,2005年4月1日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。
4.5大力培养电子商务专业人才
电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人才。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,以加快我国电子商务的发展。
5结束语
电子商务在给我们带来广泛的机遇的同时,也给我们带来了新的风险。安全的电子商务环境包括精心规划的管理体系,严密的技术措施和完善的法律体系。所以电子商务的安全管理应该从技术、管理、法律等方面综合考虑。建立一个完整的电子商务交易安全体系。
参考文献
1.伊志宏张航宇著我国电子商务发展中的风险管理中国期刊网
2.洪国彬范月娇著《电子商务安全与管理》电子工业出版社2006年出版
3.董雪兵朱慧著《电子商务教程》浙江大学出版社
4.陶世怀徐国芹著《电子商务概论》第二版大连理工大学出版社
5.瞿彭志著《网络营销》第二版高等教育出版社
电网安全心得篇9
1信息安全面临的威胁
1.1平台威胁
电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。
1.2安全环境恶化
发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。
1.3黑客入侵
一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。
1.4网上支付安全隐患
网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了Ca认证中心,但这些Ca认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。
2常见信息安全漏洞防御
2.1结构性查询语言注入
这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL是网站设计中安全防御的重点包括以下内容。
2.1.1经典的‘or1=1’注入作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给mysql-query()函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。
2.1.2利用union语句的注入Union语句注入的作用机理是,网站设计中注入union会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。
2.2跨站脚本攻击的防范
跨站脚本攻击,英文全称为CrossSiteScripting。该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将JavaScript脚本注入到HtmL标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。
2.2.1跨站脚本攻击的探测跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。
2.2.2重新定向一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户a发了一个容易构造的URL给用户B,当用户B打开后,恶意脚本开始攻击用户B的电脑,可以执行前一个用户a权限下的所有命令。
2.2.3攻击弹出其他网页大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生。
3结语
电网安全心得篇10
[关键词]安全管理监控审计安全构架
电子商务是通过电子方式处理和传递数据,包括文本、声音和图像,它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商品拍卖、合作设计和工程、在线资料、公共产品获得等内容。电子商务的发展势头非常惊人,但它的产值在全球生产总值中却只占极小的一部分,原因就在于电子商务的安全问题,美国密执安大学的一个调查机构通过对23000名因特网用户的调查显示:超过60%的人由于担心电子商务的安全问题而不愿意进行网上购物。因此,从传统的基于纸张的贸易方式向电子化的贸易方式转变过程中,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为影响到电子商务健康发展的关键性课题。
一、与网络安全相关的因素
网络安全从本质上讲就是网络上信息的安全,包括静态信息的存储安全和信息的传输安全。从广义上讲,凡是涉及网络上信息的保密性、完整心、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。因此为保证网络的安全,必须保证一下四个方面的安全:
1.运行系统的安全;
2.网络上系统信息的安全;
3.网络上信息传播安全;
4.网络上信息内容的安全。
为了保证这些方面的安全,大家通常会使用一些网络安全产品,如防火墙、vpn、数字签名等,这些安全产品和技术的使用乐意从一定程度上满足网络安全需求,但不能满足整体的安全需求,因为它们只能保护特定的某一方面的,而对于网络系统来讲,它需要的是一个整体的安全策略,这个策略不仅包括安全保护,它还应该包括安全管理、实时监控、响应和恢复措施,因为目前没有绝对的安全,无论你的网络系统布署的如何周密,你的系统总会有被攻击和攻破的可能,而这时你会怎么半呢?采用一些恢复措施,帮助你在最短的时间使网络系统恢复正常工作恐怕是最主要的了。因此在构筑你的网络安全解决方案中一定要注重一个整体的策略,下面我们将介绍一种整体的安全构架。
二、电子商务安全的整体构架
我们介绍的电子商务构架概括为“一个中心,四个基本点”。一个中心就是以安全管理为中心,四个基本点是保护、监控、响应和恢复。这样一种构架机制囊括了从保护到在线监控,到响应和恢复的各个方面,是一种层层防御的机制,因此这种构架可以为用户构筑一个整体的安全方案。
1.安全管理。安全管理就是通过一些管理手段来达到保护网络安全的目的。它所包含的内容有安全管理制度的制定、实施和监督,安全策略的制定、实施、评估和修改,以及对人员的安全意识的培训、教育等。
2.保护。保护就是采用一些网络安全产品、工具和技术保护网络系统、数据和用户。这种保护可以称作静态保护,它通常是指一些基本防护,不具有实时性,因此我们就可以在防火墙的规则中加入一条,禁止所有从外部网用户到内部网web服务器的连接请求,这样一旦这条规则生效,它就会持续有效,除非我们改变了这条规则。这样的保护可以预防已知的一些安全威胁,而且通常这些威胁不会变化,所以称为静态保护。
3.监控/审计。监控就是实时监控网络上正在发生的事情,这是任何一个网络管理员都想知道的,审计一直被认为是经典安全模型的一个重要组成部分。审计是通过记录下通过网络的所有数据包,然后分析这些数据包,帮助你查找已知的攻击手段,可疑的破坏行为,来达到保护网络的目的。
监控和审计是实时保护的一种策略,它主要满足一种动态安全的需求。因为网络安全技术在发展的同时,黑客技术也在不断的发展,因此网络安全不是一层不变的,也许今天对你来说安全的策略,明天就会变得不安全,因此我们应该时刻关注网络安全的发展动向以及网络上发生的各种各样的事情,以便及时发现新的攻击,制定新的安全策略。有些人可能会认为这样就不需要基本的安全保护,这种想法是错误的,因为安全保护是基本,监控和审计是其有效的补充,只有这两者有效结合,才能够满足动态安全的需要。
4.响应。响应就是当攻击正在发生时,能够及时做出响应,职向管理员报告,或者自动阻断连接等,防止攻击进一步的发生。响应是整个安全架构中的重要组成部分,为什么呢?因为即使你的网络构筑的相当安全,攻击或非法事件也是不可避免的要发生的,所以当攻击或非法事件发生的时候,应该有一种机制对此做出反应,以便让管理员及时了解到什么时候网络遭到了攻击,攻击的行为是什么样的,攻击结果如何,应该采取什么样的措施来修补安全策略,弥补这次攻击的损失,以及防止此类攻击再次发生。
5.恢复。当入侵发生后,对系统赞成了一定有破坏,如网络不能正常工作、系统数据被破坏等,这时,必须有一套机制来及时恢复系统正常工作,因此恢复电子商务安全的整体架构中也是不可少的一个组成部分。恢复是归终措施,因为攻击既然已经发生了,系统也遭到了破坏,这时只有让系统以最快的速度运行起来才是最重要的,否则损失将更为严重。
三、安全架构的工作机制
在这处安全架构中,五个方面是如何协调工作的呢?下面将以一个例子一介绍。假设有一个黑客欲攻击一内部网,这个内部网整体安全架构就如前面介绍的一样,那么现在让我们来看看这个安全架构是如何工作来抵制黑客的。
1.当这处黑客开始缶内部网发起攻击的时候,在内部网的最外面有一个保护屏障,如果保护屏障可以制止黑客进入内部网,那么内部网就不可能受到黑客的破坏,别的机制不用起作用,这时网络的安全得以保证。
2.黑客通过继续努力,可能获得了进入内部网的权力,也就是说他可能欺骗了保护机制而进入内部网,这时监控/审计机制开始起作用,监控/审计机制能够在线看到发生在网络上的事情,它们能够识别出这种攻击,如发现可疑人员进入网络,这样它们就会给响应机制一些信息,响应机制根据监控/审计结果来采取一些措施,职立刻断开断开这条连接、取消服务、查找黑客通过何种手段进入网络等等,来达到保护网络的目的。
3.黑客通过种种努力,终于进入了内部网,如果一旦黑客对系统进行了破坏,这时及时恢复系统可用将是最主要的事情了,这样恢复机制就是必须的了,当系统恢复完毕后,又是新一轮的安全保护开始了。