电力网络安全防护原则篇1
关键词:二次系统安全防护电力系统
1电力二次系统安全防护的基本原则
对电力二次系统进行安全防护的过程中,通常情况下,需要遵守“安全分区、网络专用、横向隔离、纵向认证”的原则。基于网络的生产控制系统进行安全防护,其重点是强化边界防护,通过对内部安全的防护能力进行提升,并在一定程度上对电力生产控制系统,以及重要的数据的安全性进行保护。
对电力二次系统进行安全防护时,一般情况下要遵守以下原则:
1.1安全分区
安全分区在电力二次系统安全防护体系中是结构基础。按照内部原则,可以将发电企业、电网企业、供电企业等划分为生产控制大区和管理信息大区。对于生产控制大区来说,又可以划分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ)。
1.2专用网络及构造
电力调度数据网作为专用数据网络,通常情况下是为生产控制大区提供服务的,同时承载着电力实时控制和在线生产交易等业务。按照系统性原则,在安全防护隔离强度方面,安全区的外部边界网络之间需要与所连接的安全区之间保持相互匹配。
1.3横向隔离
在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置。同时,在生产控制大区内部的安全区之间设置具有访问控制功能的网络设备、防火墙或者相当功能的设施。
1.4纵向加密认证
通常情况下采用认证、加密、访问控制等技术措施对数据的远方安全传输以及纵向边界的安全进行相应的防护。
2变电站二次系统安全防护
当采用专用通道和专用协议进行非网络方式的数据传输时,可逐步采取简单加密等安全防护措施。厂站的远方视频监视系统应当相对独立,不能影响监控系统功能。
变电站二次系统安全防护示意图:
3电力调度数据网采用的防护措施
3.1网络路由
通常情况下,根据电力调度管理体系,同时结合相应的数据网络技术规范,通过虚拟专网技术进行防护。
3.2网络边界
为了确保业务系统接入的可信性,需要采用严格的接入控制措施。为了便于广域网通信,可以将授权的节点接入电力调度数据网。
3.3安全配置网络设备
通常情况下,对网络设备进行安全配置主要包括:对网络服务进行关闭或限定、避免默认路由的使用、对受信任的网络地址范围进行设置、对高强度的密码进行设置、开启访问控制列表、封闭空闲的网络端口等。
3.4分层分区设置数据网络安全
通常情况下,按照分层分区设置的原则,对电力调度数据网进行设置。省级以上调度中心和网调以上直调厂站节点构成调度数据网骨干网。
参考文献:
[1]王远璋.变电站综合自动化现场技术与运行维护[m].北京:中国电力出版社,2008.
[2]毕胜春.电力系统远动[m].北京:中国电力出版社,2007.
[3]王慕维,刘文军.河南电力调度数据网双平面改造优化探讨[J].电力系统通信,2012.
[4]丁书文.变电站自动化原理及应用[m].北京:中国电力出版社,2010(7).
电力网络安全防护原则篇2
关键词:电网调度;自动化系统;防护措施
中图分类号:tp277文献标识码:a文章编号:1671-7597(2012)0110186-01
0引言
随着电力行业信息化技术的深入发展,计算机网络安全是电力生产安全密不可分的一部分。除了依据国家规定建立可靠的网络安全技术构成的安全防护体系外,还必须建立健全完善的网络安全管理制度,形成技术和管理双管齐下,才能真正达到保证网络安全的目的。同时,调度自动化系统的安全防护是一个动态的工作过程,而不是一种状态或者目标。随着风险、人员、技术不断地变化发展,以及调度应用与应用环境的发展,安全目标与策略也发生着变化,电力调度自动化系统的安全管理需要不断跟踪并应用新技术,定期进行风险评估、加强管理,才能保障电力行业调度安全稳定、高效可靠地运行。
1电网调度自动化系统数据网络应用的特点
根据业务类型、实时等级、安全等级等因素,电力系统的网络应用可分为生产数据传输和管理信息传输两大类,其他应用还包括话音视频传输和对外服务等,不同的应用系统对安全有不同的要求。生产控制类中的基于tCp/ip的数据业务,速率要求不高,数据流基本恒定,但业务实时性较强,其中遥控、遥调更与电网安全直接相关,可靠性要求较高;与计费相关的电力市场业务对安全性有特殊要求,不仅要求可靠,原始数据还要求保密。该系统一旦遭到破坏,原始数据将无法采集,也无法向服务器传送有用的转发信息,管理人员也无从了解电网实时数据和原始信息。管理信息类业务突发性很强,速率要求较高,实时性不强,保密性要求较高,覆盖除生产控制类以外的所有业务数据,其网络布局集中于行政办公中心,一般要求为宽带网络。
2加强电网调度自动化系统网络的安全的必要性
鉴于调度自动化系统存在的种种安全隐患,特别是来自网络的安全威胁,笔者认为,建立一个多层反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应。采取自动抗击措施,对保证计算机系统网络安全,确保自动化系统的正常运行是很有必要的。这是因为网络中如果没有一套有效的网络杀毒软件和防毒策略,一旦病毒入侵,会通过各种形式在网络内广泛传播,造成严重后果。轻则可能破坏文件和数据库系统,造成数据的损坏和丢失,重则可能导致系统或网络不能正常运行,如造成应用系统瘫痪。
2.1加密及隔离
近年来调度自动化系统的功能及应用有了快速发展,由原来单一的emS系统扩展为emS、DmS、tmS、厂站自动化、水调自动化、雷电监视、故障录波远传、遥测、电力市场技术支持系统和调度生产管理系统等。数据通信网络是支持调度自动化系统的重要技术平台,实时性要求在秒级或数秒级,其中电网信息系统由于需要与公网连接,因此应按要求做加密及隔离处理。
2.2网络防病毒
网络中没有一套有效的网络杀毒软件和防毒策略,一旦病毒入侵,会通过各种形式在网络内广泛传播,造成严重后果。轻则可能破坏文件和数据库系统,造成数据的损坏和丢失,重则可能导致系统或网络不能正常运行,如造成应用系统瘫痪。
由于局域网的安全性和网内信息传递的频繁,一旦一台机器感染病毒,极易在整个局域网内扩散和传播。
2.3设立防火墙保护
防火墙保护是所有连人互联网的企业内部网不可缺少的屏障。由于黑客人侵,系统安全问题尤为突出。采用完善的防火墙保护,可使计算机充分利用安全的电子手段,尽可能减少关键数据所面临的危险,为整个网络筑起一道高墙,将黑客及未授权的用户拒于门外。
3调度自动化系统安全防护方法
3.1数据网络的安全防护方法
目前电力系统中的光纤通信网络正在加紧建设,采用光纤+SDH+ip模式,容易实现对不同ip应用业务之间的物理隔离,具有较高的传输效率,能满足控制、保护等电力系统的关键业务的要求,便于调度部门对网络进行有效监控。因此用光纤+SDH+ip模式建立调度数据专网是一个适当的选择,可以很好地满足电力系统的安全和技术要求。
3.2调度专用数据网络的安全防护措施
调度专用数据网除了传送emS数据外,还有电力市场信息和调度生产信息(工作票和操作票、发电计划和交易计划、负荷预报、调度报表、运行考核等)。应根据各类应用的不同点,采用不同的安全防护措施,如emS等实时控制业务具有较高的优先级,应该优先保证,生产信息的优先级次之,而电力市场信息必须进行加密处理等。
采用调度专用网络体制能够使数据在网络层的安全得到最大程度的保证,但也不能保证100%的安全,对调度数据专用网络还必须做到技术措施和管理制度双管齐下。
在管理制度方面,要做到:
①对全网实施监管,所有与电力调度数据网连接的节点都必须在有效的管理范围内。②加强人员管理,建立一支高素质的网络管理队伍,防止来自内部的攻击、越权、误用及泄密。③加强运行管理,建立健全运行管理及安全规章制度,建立安全联防制度,将网络及系统安全作为经常性的工作来抓通过采取以上措施,有效地防止了内、外部病毒和网络黑客的入侵,提高了网络的安全防护能力,调度自动化系统没有发生因病毒入侵造成的网络瘫痪事故,保证了调度自动化系统安全可靠运行,真正为电网调度提供了“千里眼”。
4结论
调度自动化系统是电力企业信息的重要来源,目前已成为电力系统安全防护和安全管理的重点。1)在网络技术体制方面,需要建立调度专用数据网,并要侧重防范、记录、诊断、审计、分析、追溯不安全因素。采用身份验证技术、安全隔离技术、防火墙技术、防病毒技术等隔离技术和系统备份及容错技术。2)在管理方面,要建立人员、流程管理和规章制度。从分级、分区、分层的管理人手,建立严密的安全管理措施。
参考文献:
[1]杜宇,调度自动化系统安全防护总体方案[J].农村电气化,2010.5.
电力网络安全防护原则篇3
【关键词】电力系统信息网络安全问题防护措施
1引言
有效地保障电力企业的安全和保障电力信息网络安全,对于推动我国国民经济稳定发展具有非常重要的作用。随着社会信息化技术的迅速发展,信息化系统已经在电力企业中受到广泛应用,实现了信息化网络管理。但由于信息网络中存在的问题,导致电力信息网络安全时有发生,有必要对此进行分析,并且采取安全保护措施,确保电力信息网络安全和电力企业的稳定发展。
2电力系统信息网络存在的安全问题
2.1网络病毒
电力系统信息网络安全中,最常见的安全隐患就是网络病毒。隐蔽性、可复制性、传播速度快等都是网络病毒的特点。网络病毒对电力系统信息网络破坏非常严重。假如感染上了网络病毒,轻则是对电力信息系统的正常运行受到阻碍,使数据丢失、信息不能及时共享;严重则会导致电力信息系统瘫痪,整个电力系统的功能将会因此受到影响而不能正常发挥作用。除此之外,电力设备还可能因此遭到网络病毒的破坏,造成不可估量的损失。
2.2黑客攻击
在电力系统信息网络运行的过程之中,网络安全问题也会因为受到黑客的攻击而出现,导致电力系统信息网络安全出现故障,甚至会造成大范围的电力故障发生,具有非常大的危害力,这也是电力系统信息网络存在的主要隐患。电力企业涉及到很多电力信息量,假如被黑客攻击获取机密信息,则会对电力系统的正常运行和经济效益造成极大的损失。黑客对电力系统信息网络的攻击方式比较多,比如利用数字控制系统(DCS)对电力企业的基层系统进行控制,造成基层系统瘫痪。此外,黑客也可以利用某个系统对其他系统进行控制和破坏,对电力系统造成非常恶劣的影响。
2.3脆弱的身份认证
电力行业中计算机应用系统大部分是基于商用软硬件系统设计和开发,而基本上都是使用口令为用户身份认证的鉴别模式,而这种模式最容易被黑客攻破。部分应用系统还使用自己的用户鉴别方式,用数据库或者文件将口令、用户名和一些安全控制信息用明文的方式记录。当今,这种脆弱的安全控制措施已经不再适用。
2.4内部恶意操作
电力信息系统安全漏洞还存在内部人员恶意操作导致。恶意操作就是指蓄意破坏。信息系统在运行过程之中需要人进行监督和控制,加入人的因素存在主管恶意,则会使网络信息系统出现问题。电力系统安全管理的制度上规范可能比较健全,但是只能防范人的控制,一旦出现人为因素,大灾难将会降临到电力信息系统上。
2.5信息网络安全意识淡薄
在电力信心网络的建设以及运营过程之中,安全防护和安全监督工作都需要信息网络安全意识高的专业人员从事。随着信息化程度的不断提高和信息防护技术的不断更新,电力信息网络的安全等级也逐渐提高。但是,不能否认的是,实际的安全防护技术和电力企业信息网络安全防护需求仍然存在很大差异。一方面是由于电力企业本身信息化技术比较低导致出现安全问题;另一方面则是超高的安全防护技术带来高昂的成本,电力企业的效益降低,导致电力企业的实施与应用受到影响。更加重要的是目前的电力信息网络安全整体维护工作水平不高,同时网路安全人员的安全防护意识缺乏,出现违规操作、不按照规范进行操作等现象发生而出现问题。
2.6信息网络安全制度缺失
随着电力信息化程度的不断深入,要加强信息网络安全制度的规范,不断创设完整的信息网络安全防护制度显得非常重要,这样才能够确实提高电力企业信息网络安全,保障企业经济效益。当时目前而言,在电力信息网络运行的过程之中仍然缺乏统一的规范安全防护制度和监督制度,很大程度上对电力系统信息网络安全造成危害,影响电力信息化水平提高。同时,在电力系统信息网络运行,由于缺乏科学的安全管理制度,很容易在运行过程之中出现大漏洞和缺陷。
3电力系统信息网络安全防护的具体措施
3.1提高对安全性的认识
第一,电力企业要加强对电力系统信息网络安全的认识,要将网络信息安全防护体系完善建立,采用分层、分区的管理方法,其中将区城管理分为生产管理区、非控制生产区、实时控制区和管理信息区,并且隔离区城之间的网络物理隔离设备。第二,加强人员素质管理,通过网络安全培训和技能训练,将网络管理工作人员的素质和能力提高。最后,对信息网络体系的密码、技术、数据管理要加强,切实将电力系统信息网络安全系数提高。
3.2做好信息网络系统的维护与支持工作
在现实电力系统信息网络安全防护中可以采取以下几种安全技术:第一,防火墙技术。网络与网络安全领域的连接入口是防火墙,因此防火墙可以对危害信息进行有效的抵御和及时查询出危险信息,保证电力系统信息网络的安全。因此,在日常工作中要对防火墙的访问设置相应的权限,对非授权连接进行强力防护。第二,漏洞缺陷检查技术。漏洞缺陷检查技术就是对电力系统的信息网络设备进行检测,根据检查情况对设备检测风险进行评估。假如存在安全问题,则要及时采取防护措施进行修复,这样才能够有效避免安全问题发生。第三,数据加密技术。所谓的加密技术,就是对网络传输数据的访问权进行限制,也可以对原始数据进行加密变成密文的技术。数据加密技术主要是防止恶意客户对机密数据文件进行查看、破坏和泄露,有效保证电力系统鑫鑫网络安全,确保能够正常稳定地运行。
3.3构建科学完善的安全防护体系
在信息化网络的运营过程之中,科学地完善防护体系是提升和优化网络安全的重要措施和根本保障。完善的防护体系能够在具体的管理中对信息化网络出现的问题及时检查,有条不紊地针对加强安全防护,将电力系统信息化网络安全级别提升。技术人应该充分结合电力企业的实际特点和计算机网络安全有关问题规建信息网络的安全防护体系,切忌技术盲目建设,要科学准确地建设信息化安全防护体系。与此同时,在建设防护体系过程之中,考虑到电力信息网络的功能和板块非常多,因此需要技术人员从整体把握安全防护体系,要遵循全面科学原则建设信息网络安全防护体系,使电力系统信息网络的各个功能的安全等级不断提升,能够有效地提升电力系统信息网络的安全效益和质量。
3.4建立完善的电力系统信息网络监控中心
为了能够提高电力系统信息安全,一定要建立一个综合。统一的信息安全监控中心。为了能够将各项信息有机整合,监控中心可以在各信息网管中心建立,这样即使出现任何影响信息安全问题的情况都能够及时解决。通过监控系统所提供的信息可以对可能出现的异常或故障及时进行预防,防患于未然,保障系统不会发生异常或故障。
3.5加强网络设备的管理和维护
在电力企业信息网络安全管理中,网络设备起着至关重要的作用。由于网络设备一直处于消耗状态和存在一定的周期和寿命,因此电力企业的安全管理人员要对这些设备进行定期检查和维护,对电力设备及时进行更新更换,从源头上强化信息安全。对于电力企业而言,要及时更新网络技术、更新系统和技术,要做数据备份;对于终端密码及时更换,设置难以破解的密码,以免被窃取。
4结语
为了电力系统安全运行和对社会可靠供电就必须保证电力信息安全,一旦电力系统信息网络安全遭到破坏将会给电力系统的生产敬意和管理造成巨大损失;因此要通过加强网络安全管理和充分利用先进的网络技术,构建电力系统信息安全防范体系,确保电力系统信息网络能够高效稳定运行。
参考文献:
电力网络安全防护原则篇4
关键词电力二次系统;安全防护;电网安全;信息安全
中图分类号tm77文献标识码a文章编号1674-6708(2016)172-0283-02
目前,电力二次系统的信息安全与电网调度和控制系统等安全运行分不开,如何搭建安全可靠的电力二次安全防护系统,确保电网安全稳定运行,已成为迫在眉睫的问题。随着网络建设的快速发展,电力二次系统网络运行环境的安全性严重不足。在2003年的美加大停电中,蠕虫病毒阻碍了加拿大安大略省从停电事故中恢
复正常供电的进度[1]。
电力二次系统是电网安全稳定运行的前提,如果没有二次系统的保障,一次系统无保护运行将很容易造成系统性崩溃。因此,必须要防止病毒和黑客威胁电力二次系统数据网络,减少电力系统安全事故[2]。
1交换机技术
交换机工作在数据链路层,管理和共享多个计算机以及网络设备,其特点是对网络进行以微分段的方式进行数据通信[3]。交换机解决了两个相邻节点之间的通信问题,实现了邻节点链路上无差错、准确无误、高效快速的传输协议数据帧[4]。
如今已有能够支持各种局域网多层的路由技术,实现了数据快速和准确转发。多层交换技术具有性价比高、易于扩展等优点,成为主要的发展趋势。交换机在数据帧交换中的核心集成电路设计、硬件体系结构设计、虚拟局域网技术等方面都会有所改进。从整体来看,交换机是向更快、更可靠、带宽更大的方向发展。
2路由器技术
不同的网段或网络可以通过路由器连接internet中各局域网的广域网的设备,从而构成一个更大的网络。它能够根据网络情况自动选择和设定路由,以最佳路径将数据包转发出去。
如图1所示,在tCp/ip网络中路由器是最主要的联网设备。ip路由协议中使用的度量有:跳数、带宽、负载、延迟和开销。未来路由器的设计和发展方向将趋向于高安全性、高可靠性、高性能和智能化4个方面。
3硬件防火墙技术
硬件防火墙作为一种重要的网络安全设备,主要用于实现网络地址转换、过滤规则配置等,其技术还在不断地发展进步[5]。为了提高防火墙的性和稳定性,一些防火墙厂商通过专用的集成电路或者网络处理芯片来实现防火墙的核心功能。由于采用了专门的硬件处理平台,防火墙的处理能力得到了很大的提高,降低了因为防火墙检测而导致的网络延时。在功能上,防火墙在保留其核心功能的基础上,增加了地址转换、虚拟专用网络、Qos、入侵检测和病毒防御等完善网络安全管理的功能,从而构建了一套以防火墙为核心的完全防御系统[6]。以防火墙为核心的安全防御系统是一个智能化的操作平台,能够准备地发现并及时阻挡入侵的发生和中止病毒的扩散等。
随着电子商务的蓬勃发展,作为其支撑的宽带和应用数据中心均对防火墙性能提出了更高要求,导致对高速防火墙的大量需求。高速防火墙是指那些吞吐量和处理速度非常优异的千兆防火墙。为了实现比普通防火墙更高的要求,高速防火墙采用了专用集成电路(aSiC)技术、集群技术的分布式技术。
4横向隔离技术
电力二次系统实现电网的实时监控、在线稳定控制预决策、继保信息管理、电量采集、在线生产交易等业务。由于关系到电力生产安全、社会生活稳定等重大问题,电力二次系统再长期的建设过程中,都要求与企业综合业务网和物流网进行隔离。但是信息管理系统与互联网连接,并与电力二次系统信息共享必然会引入外部安全威胁。而防火墙等在线防护技术采用逻辑隔离的方法,不能提供较高强度的安全。所以这种软隔离方法难以满足电力部门的高安全需求,必须采用一种能够提供高强度安全的技术,在保护电力二次统内部安全的同时,提供较好的数据交换功能。
网络隔离技术就是将网络与网络之间的连接分离,然而网络隔离后便不能实现数据信息共享的功能。网络隔离与数据交换本来就是一对矛盾,而网络隔离技术就是为了解决这一对矛盾,为网络提供一种安全交换方式而发展起来的[7]。由于网络近乎苛刻的安全性要求,网络隔离技术的设计思想与传统的网络防御技术有了较大的区别。
根据电力网络应用的特殊要求,厂商研发出了电力专用横向隔离装置。横向隔离装置使用网络安全技术和隔离交换技术,在内外网间断开oSi七层网络协议,实现了非网络数据的交换。为了解决计算机信息共享的问题,设计了基于tCp/ip模型的网络体系结构,它很好地解决了不同网络之间的兼容性问题,实现了网络间的互联互通。
5纵向加密认证技术
纵向加密认证装置负责保障网络内数据的安全传输,其设计及使用的原理涉及密码学和网络安全。纵向加密认证装置采用“统一协调,分级管理”,通过各级装置管理系统对不同厂商的设备进行统一管理。
除纵向加密认证装置外,“纵向认证”的实现还涉及调度证书服务系统和装置管理系统。装置管理系统位于电力调度中心,是对所辖多厂商的装置进行统一管理的计算机系统[8]。
6结论
综上所述,本文主要介绍了交换机、路由器、硬件防火墙、横向隔离装置和纵向加密认证装置等电力二次系统安全防护中五种主要安全防护和网络设备的技术原理,并阐述各设备在电力专用领域的安全技术。事实证明,电力二次安全防护在电力系统的正常运行中发挥着不可替代的作用,其不仅保障了电力系统二次信息传递的安全,为电力系统的正常运行营造了可靠安全的运行环境,还提高了电力系统二次信息传递的准确性和快速性,保证电力系统运行的安全性和可靠性,从而保证国民经济持续快速的增长。
参考文献
[1]天石.停电后蠕虫病毒使加拿大电力系统恢复受阻[eB/oL].[2011-10-18].http://.cn/o/2003-08-20/1004600489s.shtml.
[2]邹春明,郑志千,刘智勇,等.电力二次安全防护技术在工业控制系统中的应用[J].电网技术,2013,37(11):3227-3232.
[3]黎连业,王安,向东明.交换机及其应用技术[m].北京:清华大学出版社,2004.
[4]陈玉平.电力调度自动化二次系统安全防护初探[J].自动化技术与应用,2009,28(8):132-134.
[5]李劲.论述广西电力二次系统安全防护技术原则[J].广西电力,2005,28(4):18-21.
[6]黎连业,张维,向东明.防火墙及其应用技术[m].北京:清华大学出版社,2004.
电力网络安全防护原则篇5
使用指标信息必须要有使用价值,否则就没有存储到信息系统的必要。因而,电力企业对于采取安全保护措施的信息应先确定其可用性。若用户有需要,则系统应提供相应的系统访问服务,以免服务功能不及时造成系统中信息的存储、传输、处理出现异常而影响了系统功能的发挥。
存储指标对于电力企业而言,实现网络化控制是一项改革创新,而在网络系统运行期间需注重信息存储的完整性,这是很关键的安全指标。用户要先确定信息的物理形态,如纸面、电子档等信息形式,然后再根据实际需要选择合适的存储指标,保证每项信息都能有效地维护存储。
保密指标电力信息系统内运用到的数据信息必须要保密,除了授权使用的人员外不得透露给其他人。目前,电力企业对于信息的保密工作主要通过“授权、认证”的方式,经过允许的用户才有权使用信息系统。保密指标的执行必须要确保信息不被窃取、不被损坏、不被篡改等。
加强科学技术使用抵制风险
网络技术是抵制安全风险形成的最佳方式,电力企业要及时更新或引进先进的系统安全技术,营造良好的运行环境。网络技术是抵制安全风险形成的最佳方式,电力企业要及时更新或引进先进的系统安全技术,营造良好的运行环境。
1安全审核技术对于系统上流通的数据信息进行审核,及时拦截存在异常的数据信息,避免这类信息给网络系统造成干扰,安全审核技术的运用也能有效保护信息系统的安全。如审核技术中对网络设备日志、操作系统运行日志、数据库访问日志等综合处理,及时发现异常问题且自动处理。
2防火墙技术这种技术能将信任网络、非信任网络相互隔离开来,从而创建一个综合性的安全检查点,对一些异常信息流通进行过滤控制。如:防火墙中的强制实糟能进行安全检查,避免电力企业信息遭到非法存取或攻击。另外,在电力系统的生产、计量、营销、调度等方面也有很好的控制。
3病毒防护技术病毒是目前破坏电力网络信息系统的最大病害,对各类信息安全产生了很大的破坏力。对于病毒问题的处理,电力企业要通过各种杀毒、防毒的方式加以处理,为信息系统营造稳定的运行环境。如:每台pC机上安装防病毒软件客户端,在服务器上安装基于服务器的防病毒软件。
4数据库技术数据库技术的运用是为了提前防范电力网信息出现异常,如被盗、丢失等,通过数据备份的方式将原资料保存下来,以保证信息处于安全状态。电力企业可以积极创建数据备份中心,选择优越的数据恢复技术,遇到信息数据受损时可提前进行修复补充,维持信息系统的正常运行。
5虚拟网技术对于网络管理者来说,其掌握熟练的VLan技术可为网络运行营造稳定的环境,避免受到外界因素的干扰。如:虚拟局域网技术下的广播和单播流量都不会转发到其他VLan中,对于电力企业本身发挥着控制流量及广播风暴的效果,在方便信息系统管理的同时也维护了安全。
加强管理制度系统建设
安全技术仅仅是一部分,在引进网络信息系统管理之后应从多个方面维护信息安全。企业经营者应从管理决策上创新改革,制定更加科学的安全管理策略以规划好网络信息系统的运行。日常管理中,企业可以从以下几个方面对网络信息安全维护管理:
1规划管理制度严格的网络安全管理制度可实现信息系统的有序操作,让每个环节都能处于安全、可靠的运行状态。企业要全面贯彻科学发展观念,制定可持续性的系统安全策略,以确保网络信息得到有效维护。如:对计算机操作人员管理,考核其专业技能;对计算机设备管理,避免出现意外故障等。
2增强安全意识安全意识涉及到领导者、操作者。电力企业经营者要从安全角度出发,为现有的网络信息系统制定安全管理策略,避免系统受到外在因素的破坏;而企业职员,则要不断培养自己的安全意识,在操作网络系统时坚持安全原则,把握好每一个操作步骤以维持系统的稳定性。
3构建认证体系身份认证是利用专有账户、密码等对进入信息系统者的身体进行验证,防止外来入侵者恶意攻击系统。如:电力企业对各方的身份确认、物流控制、财务结算、实时数据交换系统中,均需要权威、安全的身份认证系统。从而控制了系统访问者的权限,防止网络受到外来袭击。
电力网络安全防护原则篇6
关键词电网;信息安全体系;建设实践
中图分类号tm734文献标识码a文章编号1674-6708(2013)101-0195-02
0引言
随着时代的发展和科学技术的进步,社会信息的安全性问题越来越突出。电网信息是我国信息的重要组成部分,其是否安全会影响到社会和国家。因此,建立一个安全的电网信息系统是提高信息安全的保障,也是我国电网信息发展的迫切要求。
1.电网信息安全的必要性分析
1.1电网系统信息化建设的要求
电网系统作为一个复杂的网络系统,其安全可靠关系着社会经济发展的稳定。而电力系统信息安全也是一项繁杂浩大的工程,包括信息安全技术方案的探究、安全体系的构建,安全运行的管理策略等。因此,只有将电网信息化的系统建设和电网信息安全建设同步,我国的智能电网系统的步伐才能真正做到又稳又快。
1.2电网系统对网络安全防护体系的要求
目前越来越多的办公系统都实现了计算机自动化,给层出不穷的病毒和黑客以可乘之机,导致很多的信息泄露,造成很大的安全隐患。因此,电力系统网络化办公必须要做好这一防范。比如,要求所有的电力网络办公的计算机都实行内外网隔离,以保证信息网络的安全运行。
1.3同步、及时地解决电网信息系统问题的要求
随着现代营销、电子商务和eRp等系统的开发,信息系统安全存在的漏洞也越来越多,制约着电力行业计算机应用系统的进一步发展。因此,对信息系统进行相应的安全防范措施的研究,同步、系统地解决出现的问题成了电网系统发展的关键。
2电网信息安全体系建设的措施
电网企业信息系统分为生产控制系统与管理信息系统,电网信息的安全性往往有“牵一发而动全身”的特点。因此,尽快建立相应的安全体系是电力网络化建设的重要举措。
2.1数据信息安全措施
1)数据备份与恢复系统。数据备份与恢复对于数据的安全非常重要。数据备份可以分为本地备份和异地备份。本地备份是由于个人操作系统的错误造成的,可以及时在本地实现数据的恢复,异地备份是指有地域性灾难时,可以及时地实现系统的灾难恢复,有效减少因为数据造成的整个电力系统的巨大损失。
2)等级保护。《计算机信息系统安全保护等级划分准则》指出,不同的系统需要进行不同的等级保护。主要有:用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证保护级。我们需要明确每个等级的细则,根据具体情况选择相应的保护等级,达到有序规范的管理目标。
3)数据加密封装。为了保证数据传输中数据信息的安全性,可以通过数据加密技术进行加密设置,接收方只能通过相应密室获得信息。同时,也可以将数据信息应用按照相应的原则进行封装,只让特定的目标对象知道如何提取数据,确保数据安全。
2.2操作平台与服务系统安全措施
1)安全扫描技术配合入侵检测系统。安全扫描技术是采用模拟攻击的方式对可能存在的安全漏洞进行逐一检查,然后向系统管理员提供安全性能分析报告。入侵检测则采取主动的网络防护,自动探测网络可能出现的攻击、入侵行为,阻断攻击通讯、记录异常行为,实现实时防护。这两种方式的完美结合能够对网络安全起到高效防护;
2)自动化补丁与资产管理。在电力行业中实行自动化补丁与资产管理,可以有效减少补丁和漏洞学习过程的消耗;引入自动化的漏洞和补丁管理工具,可以降低企业在这一方面的成本。
2.3建立系统安全中心体系
1)企业用户管理系统。通过用户管理系统,对不同客户进行相应授权,使系统能够有效识别不同权限用户,有效防止不法用户的入侵;
2)安全事件处理模块。要在各类安全软件、设备、系统上建立监控和审计体系。同时在信息设备安全模块下细化设备管理,通过实时监控信息设备的方式,对设备进行相应的安全管理。要对安全事件的信息进行储存和管理,建立一个完整系统的安全处理模块。
2.4安全防护人才队伍的建设
要使电网信息系统得到较高级别的安全保护,必须建立相关专业的人才队伍。电网信息的建设需要这样一支队伍的存在。而人才的培养是一项长期的工程。因此国家教育也要在这一方面加大投入,首先要确保人才培训体系能够完善,其次要不断更新相关专业培训知识,为国家电网信息系统打下坚实的人才基础。
3.电网信息安全建设实践案例分析
3.1iSo15408的电网信息安全管理体系研究与实践
iSo15408包括五个安全子系统,“信任凭证、信息流控制、访问控制、完整性、审计”,覆盖了信息安全系统的所有领域。这五个系统分别运作,构成一个和企业需求联系密切的安全架构。它是根据电网业务的实际情况完成的组间运行部署,其设计体现了以下原则:1)统一性原则,实现安全服务平台化、统一化;2)先进性原则,能够符合安全技术的发展趋势;3)综合性原则,iSo15408从点到面、从源头控制到事后恢复,每一块都设置合理,达到整体预防和控制的效果。
3.2iSo27001的电网信息安全管理体系研究与实践
iSo27001根据企业明确的信息安全需求,提出企业的安全架构,它细化了11个域、133个控制项、39个控制目标,其信息安全策略可以分为4个等级,企业可以在完成信息安全目标的基础上,根据具体的情况,自己调节安全体系的策略等级,形成符合企业生产的信息安全管理体系。
4结论
随着当前电网智能化的发展,我国的电网信息也随之出现了一系列的问题。可是,发展是必然趋势,笔者相信,只要我们科学分析当前我国电网信息安全的问题,有针对性地进行技术和相关的措施防范,一定能更好地促进我国电网的安全、快速发展。
参考文献
[1]张明辉.浅析电力企业信息化建设[J].电力信息化,2010(6).
电力网络安全防护原则篇7
1.1网络的日常维护
计算机网络维护中最关键的内容就是计算机网络的管理和预防。现阶段,对于计算机网络的管理和预防工作大多是借助软件来实现的。软件的来源有两个,其一是计算机自身所带的软件,这些软件在计算机网络日常维护中所应用的地方非常的少;其二是在互联网上获取的软件。因此,从互联网上下载的软件自然在计算机网络日常维护中发挥着非常重要的作用。同时,我们要清醒的认识到这样的事实,那就是这些软件存在着很多潜在的不安全因素,在处理类似不安全因素的问题上,必须做到加倍的小心。所以,在设防火墙的同时还要加强对计算机设备的定期的安全监测,相关专业人员要时时做好万全准备。
1.2防病毒维护工作
做好了网络系统的日常维护工作之外,必须加大重视力度的就是计算机病毒的防治。在网络系统飞速发达的今天,计算机病毒带来人们的侵害也是不可想象的。互联网中的病毒无处不在,只要稍不注意,病毒就会入侵计算机,窃取广播电视的重要的信息,这会给广播电视带来不良的后果。在防病毒工作中,我们需要用到杀病毒软件来处理相关病毒,并且还要根据不同的病毒需要应用到不同的软件来进行查杀,所以病毒的处理问题是非常的不容易的。可以借助设置防火墙和安装杀毒软件的方式来应对病毒。设置防火墙可以有效的将广播电视内部网络隔离开来。为了使广播电视网络更安全,还需要在内、外部网络安装必要的杀毒软件,达到在发现病毒之初就能将之处理,有效的保护广播电视内部网络,这样才能在让广播电视工作在无危险因素的情况下放心的进行。
2广播电视计算机网络维护的方法
2.1建立维护档案
广播电视计算机网络的日常维护是最基本的工作,然而实际运行过程中,常常会出现很对预想不到的问题,这就需要建立健全的维护档案。利用维护档案可以将计算机遇到的问题和处理方法记录下来,便于技术人员进行计算机安全状况的诊断。技术人员可以根据计算机以往的性能来判断问题存在的原因,进而找到切实可行的解决策略。但是,这要求相关专业人员需要积累大量的计算机网络维护经验,这样才能有利于解决计算机网络问题。
2.2制定管理规则
正所谓无规矩不成方圆,在开展广播电视计算机网络维护工作的同时,制定相应的管理规则是必要的。恰当的管理规则能够为计算机网络维护提供方向与指导,是计算机网络维护能朝向正确的方向。计算机网络维护管理规则在一定程度上可以有效的提高计算机网络的速度与效率,更好的使广播电视工作有效、安全的进行下去。现阶段的计算机网络管理规则已经涵盖了很多方面,按照这些方面对计算机网络进行管理,让计算机在设定好的步骤中运行下去。同时,制定管理规则也能让工作人员明白自己所担任的工作要点,使其责任感增强。
2.3提高维护能力
维护人员的工作能力关系到广播电视有关工作的顺利进行。作为广播电视计算机网络系统的维护人员,要根据科技发展和时代进步而不断学习,努力提高自身的网络维护能力,才能确保广播电视系统的健康运行。维护人员在实际工作中的要求很高,在计算机网络出现问题时,能够做出及时并且有效的反应,并且需要随着计算机网络的变化而进行相应的回应。所以,要定期组织相应的培训工作,适时对维护人员的技术进行提高,改进专业人员的有关知识。还可以开展同行业工作人员的交流会议,在沟通经验的过程中提高技术水平和维护能力。对维护人员的相关措施,不仅使维护人员的技能得到进一步的提高,而且还有利于广播电视计算机网络的安全,对广播电视的信息能有效的进行保护。
3结论
电力网络安全防护原则篇8
关键词:电力制造企业;计算机网络;安全
一、安全风险分析
电力制造企业计算机网络一般都会将生产控制系统和管理信息系统绝对分隔开来,以避免外来因素对生产系统造成损害,在生产控制系统中常见的风险一般为生产设备和控制系统的故障。管理网络中常见的风险种类比较多,通常可以划分为系统合法用户造成的威胁、系统非法用户造成的威胁、系统组建造成的威胁和物理环境的威胁。比如比较常见的风险有操作系统和数据库存在漏洞、合法用户的操作错误、行为抵赖、身份假冒(滥用授权)、电源中断、通信中断、软硬件故障、计算机病毒(恶意代码)等,上述风险所造成的后果一般为数据丢失或数据错误,使数据可用性大大降低。网络中的线路中断、病毒发作或工作站失效、假冒他人言论等风险,会使数据完整性和保密性大大降低。鉴于管理网络中风险的种类多、受到攻击的可能性较大,因此生产控制系统和管理系统之间尽量减少物理连接。当需要数据传输时必须利用专用的通信线路和单向传输方式,一般采用防火墙或专用隔离装置。
二、安全需求分析
一般电力制造企业的安全系统规划主要从安全产品、安全策略、安全的人三方面着手,其中安全策略足安全系统的核心,直接影响安全产品效能的发挥和人员的安全性(包括教育培训和管理制度),定置好的安全策略将成为企业打造网络安全最重要的环节,必须引起发电企业高度重视。安全产品主要为控制和抵御黑客和计算机病毒(包括恶意代码)通过各种形式对网络信息系统发起的恶意攻击和破坏,是抵御外部集团式攻击、确保各业务系统之间不产生消极影响的技术手段和工具,是确保业务和业务数据的完整性和准确性的基本保障,需要兼顾成本和实效。安全的人员是企业经营链中的细胞,既可以成为良性资产又可能成为主要的威胁,也可以使安全稳固又可能非法访问和泄密,需要加强教育和制度约束。
三、安全思想和原则
电力制造企业信息安全的主要目标一般可以综述为:注重“电力生产”的企业使命,一切为生产经营服务;服从“集约化管理”的企业战略,树立集团平台理念;保证“信息化长效机制和体制”,保证企业生产控制系统不受干扰。保证系统安全事件(计算机病毒、篡改网页、网络攻击等)不发生,保证敏感信息不外露,保障意外事件及时响应与及时恢复,数据不丢失。(1)先进的网络安全技术是网络安全的根本保证。影响网络安全的方面有物理安全、网络隔离技术、加密与认证、网络安全漏洞扫描、网络反病毒、网络入侵检测和最小化原则等多种因素,它们是设计信息安全方案所必须考虑的,是制定信息安全方案的策略和技术实现的基础。要选择相应的安全机制,集成先进的安全技术,形成全方位的安全系统。(2)严格的安全管理是确保安全策略落实的基础。计算机网络使用机构、企业、单位应建立相应的网络管理办法,加强内部管理,建立适合的网络安全管理系统和管理制度,加强培训和用户管理,加强安全审计和跟踪体系,提高人员对整体网络安全意识。(3)严格的法律法规是网络安全保障坚强的后盾。建立健全与网络安全相关的法律法规,加强安全教育和宣传,严肃网络规章制度和纪律。对网络犯罪严惩不贷。
四、安全策略与方法
1、物理安全策略和方法。
物理安全的目的是保护路由器、交换机、工作站、网络服务器、打印机等硬件实体和通信链路的设计,包括建设符合标准的中心机房,提供冗余电力供应和防静电、防火等设施,免受自然灾害、人为破坏和搭线窃听等攻击行为。还要建立完备的机房安全管理制度,防止非法人员进入机房进行偷窃和破坏活动等,并妥善保管备份磁带和文档资料:要建立设备访问控制,其作用是通过维护访问到表以及可审查性,验证用户的身份和权限,防止和控制越权操作。
2、访问控制策略和方法。
网络安全的目的是将企业信息资源分层次和等级进行保护,主要是根据业务功能、信息保密级别、安全等级等要求的差异将网络进行编址与分段隔离,由此可以将攻击和入侵造成的威胁分别限制在较小的子网内,提高网络的整体安全水平,目前路由器、虚拟局域网VL心、防火墙是当前主要的网络分段的主要手段。而访问管理控制是限制系统内资源的分等级和层次使用,是防止非法访问的第一道防线。访问控制主要手段是身份认证,以用户名和密码的验证为主,必要时可将密码技术和安全管理中心结合起来,实现多重防护体系,防止内容非法泄漏,保证应用环境安全、应用区域边界安全和网络通信安全。
3、开放的网络服务策略和方法。
internet安全策略是既利用广泛、快捷的网络信息资源,又保护自己不遭受外部攻击。主要方法是注重接入技术,利用防火墙来构建坚固的大门,同时对web服务和Ftp服务采取积极审查的态度,更要强化内部网络用户的责任感和守约,必要时增加审计手段。
4、电子邮件安全策略和方法。
电子邮件策略主要是针对邮件的使用规则、邮件的管理以及保密环境中电子邮件的使用制定的。针对目前利用电子邮件犯罪的事件和垃圾邮件泛滥现象越来越多,迫使防范技术快速发展,电力制造企业可以在电子邮件安全方案加大投入或委托专业公司进行。
5、网络反病毒策略和方法。
每个电力制造企业为了处理计算机病毒感染事件,都要消耗大量的时间和精力,而且还会造成一些无法挽回的损失,必须制定反计算机病毒的策略。目前反病毒技术已由扫描、检查、杀毒发展到了到实时监控,并且针对特殊的应用服务还出现了相应的防毒系统,如网关型病毒防火墙以及邮件反病毒系统等。
目前,计算机网络与信息安全已经被纳入电力制造企业的安全生产管理体系中,并根据“谁主管、谁负责、联合保护、协调处置”的原则,实行“安全第一、预防为主、管理与技术并重、综合防范”的方针,在建立健全电力制造企业内部信息安全组织体系的同时,制定完善的信息安全管理措施,建立从上而下的信息安全培训体系,根据科学的网络安全策略,采用适合的安全产品,确保各项电力应用系统和控制系统能够安全稳定的运行,为电力制造企业创造新业绩铺路架桥。
参考文献
电力网络安全防护原则篇9
【关键词】电脑安全防火墙预防措施管理
今天的社会随着我国逐渐进入科技网络时代,同时也进入了信息化的时代。计算机网络技术和互联网的快速发展,各个领域的人们开始采用计算网络技术,在工作中和生活中成为人们得力的助手。然而,由于计算机网络的链接的分布不均,还由于终端和电脑的开放性,连通性和其他功能,无论是在Lan或wan的多样性,还是其它的技术问题方面,都是一个通过自然和人为因素等进行潜在威胁的病毒传播。为了防范黑客攻击,制止电脑犯罪和其他违规行为的数量快速增长,改善计算机网络安全问题变得越来越重要。因此,为了计算机网络安全,采取强有力的安全防范措施,保护电脑安全的影响因素分析将变得非常重要。
1计算机网络安全的含义
在参照iSo中给出的计算机网络安全的定义中指出,计算机网络安全保护的是计算机网络系统的软件和数据资源,不是因为意外或恶意破坏的原因、新媒体的变化、政府信息的披露,从而使电脑系统正常运行的连续可靠性,正常和有序的电脑服务。是利用计算机网络安全电脑管理控制和技术措施,主要是对电脑上传输的信息的保密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖,违反用户的利益和隐私的行为。
2造成计算机网络不安全,不可靠的主要因素
不断的发展过程中,计算机网络安全与否是一个重要而复杂的问题。电脑安全被定义为数据处理系统建立安全保护,保护互联网硬件,软件,数据不因偶然和恶意的破坏原因,更改和泄漏。总体而言,计算机网络的安全性的影响,有以下几个方面。
2.1网络系统本身的问题
许多流行的操作系统安全漏洞存在于电脑中,如U-niX,mSnt和windows。黑客经常使用的操作系统本身所存在这些漏洞进入系统。此外,在tCp/ip协议,原来的目的是提供通信战争不能轻易断开的连接,它从一开始就是一个松散的,无连接的,不可靠的方式,导致的特性可以很容易地通过互联网传输的信息截获,窥视和篡改。
2.2来自内部网用户的安全威胁
来自内部用户的安全威胁是远远大于外部电脑用户的安全威胁,为用户缺乏安全意识,如果系统设置不当,很容易导致人为因素造成的安全漏洞,损失最大的无疑是整个电脑安全风险。电脑管理员或电脑用户有适当的权限来使用这些权利的破坏,诸如操作密码泄漏,不会删除临时文件,并及时盗窃等电脑安全隐患也很突出,内部员工有意或无意地泄露给黑客带来机会,等等,都可以使电脑安全机制失败。
2.3缺乏有效的评估、监控手段
完整和准确的安全评估,黑客防御系统是要建立整个电脑的安全性能做出科学,准确地分析和评价,并保证安全策略实施的经济,技术可行性的基础。电脑安全评估分析是检查是否有漏洞,可以利用系统安全评估,分析,发现,电脑上存在的安全漏洞。提出提高电脑安全性能的过程,可以在电脑上找到。评估和分析技术是一种非常有效的电脑安全技术。
2.4未能对病毒及恶意控件进行有效控制
从2005年的“灰鸽子”病毒和2006年的“打击”-威金,到了2007年的“网游木马”,“QQ通行证”,互联网病毒为它们提供了繁殖和传播的载体。利用计算机网络工具,显示的势头愈演愈烈,造成的危害也越来越大,只有“威金”病毒的用户的数量已经上升到3600多病毒万次,近50万台电脑被感染。因此,预防互联网病毒,计算机网络的安全性也是我们不得不面对一个重要的问题。
3计算机网络安全防范措施
3.1在技术上增强系统的防范和防御能力
(1)一般情况下采用电脑隔离技术和“安全区”的技术,电脑隔离技术是使用路由到两个或多个电脑通过不可路由的协议进行数据交换,以达到隔离的作用,即没有电脑与电脑之间的数据传输,也使这些电脑中不运行交互式协议,这样就能确保把有害攻击进行隔离。
(2)安装防火墙和杀毒软件也是可行的,防火墙技术是用来增强电脑与电脑之间的访问控制,防止外部电脑用户以非法手段进入内部电脑,访问、窃取内部电脑资源,保护内部电脑操作环境和用于特殊需求的电脑设备。防火墙是保护计算机网络不受未经授权的用户访问和控制电脑的互联网系统。到目前为止该技术已得到修改,更先进、高水平的安全性是隐蔽智能网关的防火墙技术和多重保护标识,它会隐藏在公共系统网关保护他们免受外部电脑用户的直接攻击。杀毒软件注重各种系统漏洞补丁的修复,早关闭未使用的服务过程中,准备了各种安全设置,安装瑞星杀毒软件是保护计算机网络完全的必要措施之一。
(3)还可以采用数据加密和认证技术。电脑数据加密技术是一种安全和有效的技术,其目的是保护电脑数据文件、数据加密,不仅可以防止非法用户窃听和侵入电脑,还能有效防止恶意软件侵入电脑的方法。
(4)电脑系统合理的情况下进行安全设置,系统管理员应该知道需要哪些服务,而且真正需要的只是安装服务,根据安全策略的原则是最少的服务+最小的权限=最大的安全。
3.2在管理上也必须加强防范和防御能力
这里就包括了加强对互联网用户的安全教育,建立合适的安全监管机构,继续完善和加强电脑的功能,电脑和用户之间的联系,在立法和执法方面的管理也要进行加强。还有互联网安全管理的加强,用户的法律法规和伦理道德观念的进一不加强和引导。在防止互联网犯罪,抵御黑客攻击和互联网病毒传播上,提高互联网用户的安全意识,以防止干扰,是一个非常重要的措施。
(1)严格的电脑安全规则,严格限制信息电脑。因此,可以充分保证黑客的电脑攻击下行动能不能成功。
(2)黑客的电脑目标的tCp在超时间或更短的时间内进行更新和修改,尽量避免黑客攻击窗口。在展开连接表,填充整个连接表黑的过程中给黑客增加了难度。
(3)为了及时发现异常,要长时间的登录数据监控系统和电脑的信息流,为了发现任何可能出现的安全问题,往往要扫描整个电脑。
参考文献
[1]顾红波.浅谈计算机网络安全防御策略[J].林业资源管理,2011.5
[2]戴红,王海泉,黄坚.计算机网络安全[m].北京:电子工业出版社,2012.9
[3]成启明,浅谈影响计算机网络安全的因素与防范措施[J].承德民族师专学报,2009.02.
电力网络安全防护原则篇10
信息,同企业其他资产一样是种资产,对企业的发展有很大作用。信息以各种形式存在,包括纸质的、电子的、图像的等。我国信息专家钟义信认为:“信息是该事物运动的状态和状态变化方式的自我表述/自我显示。”顾名思义,信息安全既保障“信息”的“安全”。关于信息安全,国际标准化组织(iSo)认为:“信息安全是在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。我国信息安全专家沈昌祥院士则认为:“信息安全是保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性”。
二、企业信息安全体系设计
2.1企业信息安全体系方案概述
2.1.1信息安全体系设计原则
企业信息安全体系的设计应遵从以下原则:
(1)性能平衡,合理划分:提高整个系统的“安全低点”的性能,保证各层面能得到均衡防护;按照合理原则划分为安全等级,分区域、分等级防护。
(2)标准一致,功能互补:在产品技术、产品设备选择方面,尽可能遵循同一业界标准;充分考虑不同厂商、不同安全产品的功能互补,在进行多层防护时,考虑使用不同厂家的。
(3)统筹规划,分步实施。
2.1.2信息安全体系框架
网络安全的实现不是目标,是过程。其过程经历了安全评估、制订安全策略、安全培训、安全技术实施、安全网络检测、应急响应和灾难恢复等环节,并不断地螺旋式提高发展,得以实现网络安全。信息安全体系的三要素:管理、技术和运维。通过一系列的战略、系统和机制的协调,明确技术实现方法与相关安全操作人员的职责,从而达到安全风险的发现和有效控制,从而改善的安全问题反应速度和恢复能力,增强整体网络安全能力。管理方面,建立、健全安全组织结构;技术方面,建立分层网络安全策略;运维方面,通过不同的安全机制,提高网络安全的能力。
2.2企业信息安全技术体系
2.2.1信息安全技术体系概述
(l)设计原则
分析企业信息网络安全面临的主要威胁,实施有针对性的安全技术体系。安全技术体系的总体性要求如下:全面综合:采用综合解决方案,体系层次化,具有纵深性。集成统一:有效集成各类管理工具,集中化管理所有it系统。开放适应:支持各种安全管理标准,能适应组织和环境的变化。
(2)信息安全技术体系框架
通过物理安全、网络安全、系统安全、应用安全等方面进行建设。具体有以下措施:物理安全防护建设;统一容灾备份中心建设;防火墙系统的部署;入侵防护系统的部署;系统安全防护建设;防病毒系统部署;漏洞扫描系统部署;信息审计系统防护。
2.2.2物理安全防护建设
(1)配套设备安全
采用多路供电(市电、动力电、UpS)的方法,多路电源同时接入企业信息系统大楼或主机房及重要信息存储、收发等重要部门,当市电故障后自动切换至动力电,动力电故障后自动至UpS供电。并且,当下级电源恢复后,应立即自动切换回去。这样,既保证了安全性,又降低了运行费用。形成一套完整的先进和完善的供电系统及紧急报警系统。供电系统中,会有尖峰、浪涌等不良现象发生,一旦发生,轻则断电重启,重则烧毁并引发火灾。这种情况下,UpS也无济于事。为避免对供电质量和造成不安全因素,可以使用电力净化系统。电源净化系统不仅保证电源质量,同时还可减少电磁污染,避免信息随电缆外泄。用多路供电接入企业机房及重要部门,降低了运行成本,又保证了系统的安全。
(2)计算机场地安全
严格按照国家标准建设,如国标GB/t2887-2000《电子计算机场地通用规范》、GB9254-1998《信息技术设备的无线电骚扰限值和测量方法》等。《电子计算机场地通用规范》规定了站址选择条件:计算机场地尽量建在电力、水源充足,自然环境清洁、通信、交通运输方便的地方;应尽量避开强电磁场的干扰;应尽量远离强振动源和强噪声源;应尽量建在建筑物的高层及地下室以及用水设备的下层。规定了温度、湿度条件并将它分成aBC三级;规定了照明、日志、电磁场干扰具体技术条件;规定了接地、供电、建筑结构条件等。
2.2.3统一容灾备份中心建设
无论企业信息系统设计、维护得多科学合理,故障的发生都是不可避免的,因此在设计时都应考虑容灾解决方案,即统一容灾备份中心建设。基本思路是“数据冗余+异地分布”,即在异地建立和维护一份或多份数据冗余,利用数据的冗余性和地理分散性来提高对灾难事件的抵御能力。企业数据容灾,存储是基础,备份是核心,恢复是关键。信息网络采用本地备份与异地备份的混合方式,以确保数据或系统的安全。通过各种层面的冗余技术,减少单点故障;使用合适的备份技术实现针对各个位置存放的数据的保护、隔离和严格访问,保证数据的一致性、安全性和完整性。包括:存储磁盘的冗余设计,对系统盘采用RaiD1技术,对数据盘采用RaiD5技术。数据的冗余备份设计:数据库数据文件的存放采用基于San架构的存储方案,在保证读取速度的同时,利用远程数据镜像和数据复制技术进行冗余备份,在区域性空难发生时能更大限度保证数据完整和安全。对核心业务的数据库数据,还可利用SQLServer自带的数据备份工具进行数据库文件备份,有效应对文件损坏或人为误操作带来的数据风险。对正常业务中关键数据或全业务数据进行保护,将主数据库的数据以逻辑的方式在异地机房建设一个同样的数据库,并且实时更新数据,当主数据库因灾损坏或失去,异地数据库可以及时接管业务,从而达到容灾的目的。
三、结论及展望