《电力系统信息安全的应用》由会员分享,可在线阅读,更多相关《电力系统信息安全的应用(3页珍藏版)》请在金锄头文库上搜索。
1、电力系统信息安全的应用 孙泽锋,刘鑫,邓召春,王飞 ( 哈尔滨超高压局,黑龙江哈尔滨1 5 0 0 9 0 ) 摘要:电力系统是国家支柱型企业,电力系统中有很多重要的数据需要受到相当高的安全保护,有些重要 数据如果出现丝毫的偏差,就可能带来不可弥补的严重后果。为此,电力系统信息安全的应用自然成为各种 重要数据的一把保护伞。将对电力系统信息安全主要应用技术、常见信息安全防护方法做一简要的介绍。 关键字:电力;信息安全;研究 1 主要应用技术 1 1 信息加密技术和策略 密码技术是信息安全领域的一种实用且非常重 要的技术。密码技术分对称密码技术( 如D E S 算 法) 和非对称密钥技术( 也叫公
2、开密钥技术,如R A S 算法) 。信息加密的目的是保护网内的文件、口令 等网上传输的一切数据。网络加密常用的方法有节 点加密、链路加密和端点加密3 种。 1 2 防病毒技术 随着网络日益的普及,网络病毒也在飞速增长。 由此带来的各种病毒、恶意代码、木马等正在破坏计 算机、数据库或盗取密码等。计算机病毒的防范是 网络安全建设中的首要环节。网络防病毒技术包括 预防病毒、检测病毒和消毒3 种技术: ( 1 ) 预防病毒技术。通过自身常驻系统内存, 优先获得系统的控制权,监视和判断系统中是否有 病毒存在,进而阻止病毒进入计算机系统进行破坏。 这类技术有加密可执行程序、引导区保护、系统监控 与读写控制
3、( 如防病毒卡等) 。 ( 2 ) 检测病毒技术。是通过对计算机病毒的特 征来进行判断的技术,如自身校验、关键字、文件长 度的变化等。 ( 3 ) 消毒技术。通过对计算机病毒的分析,开 发具有删除病毒程序并恢复原文件的软件。 1 3 信息确认和网络控制技术 成熟的信息确认和网络安全控制技术主要包 括:身份认证、存取控制、数据完整性、防火墙技术。 一“2 一 ( 1 ) 访问控制策略。入网访问控制为网络访问 提供了第一层访问控制。它控制哪些用户能够登录 到服务器并获取网络资源,控制准许用户入网的时 间和准许在哪台工作站入网。用户的人网访问控制 分为3 个步骤:用户名的识别与验证、用户口令的识 别
4、与验证、账号的缺省限制检查。三三道关卡中只要 任何一关未过,该用户便不能进入网络。 ( 2 ) 网络的权限控制。网络的权限控制是针对 网络非法操作所提出的一种安全保护措施。用户和 用户组被赋予一定的权限,可以指定用户对文件、目 录、设备执行哪些操作。 ( 3 ) 目录级安全控制。用户在目录一级指定的 权限对所有文件和子目录有效,用户可进一步指定 对目录下的子目录和文件的权限。对目录和文件的 访问权限一般有8 种:系统管理员权限、渎权限、写 权限、创建权艰、删除权限、修改权限、文件查找权 限、存取控制权限。8 种访问权限的有效组合可以 让用户有效地完成工作,同时又能有效地控制用户 对服务器资源的
5、访问,加强了网络和服务器的安全 性。 ( 4 ) 属性安全控制。用文件、目录和网络设备 时,网络系统管理员给文件、目录等指定访问属性。 属性安全控制可以将给定的属性与网络服务器的文 件、目录和网络设备联系起来。属性安全在权限安 全的基础上提供更进一步的安全性。网络上的资源 都预先标出一组安全属性。属性往往能控制的权 限:向某个文件写数据、拷贝一个文件、删除目录或 文件、查看目录和文件、执行文件、隐含文件、共享、 系统属性等。网络的属性可以保护重要的目录和文 件,防止用户对目录和文件的误删除、执行修改、盛 示等。 ( 5 ) 网络服务器安全控制。网络允许在服务器 控制台上执行系列操作。用户使用控
6、制台可以装 载和卸载模块,可以安装和删除软件等。网络服务 器的安全控制包括设置口令、锁定服务器控制台,以 防止非法用户修改、删除重要信息或破坏数据;设定 服务器登录时问、检测非法访问者和关闭时间间隔。 ( 6 ) 网络监测和锁定控制。网络管理员对网络 实施监控,服务器记录用户对网络资源的访问,对非 法的网络访问,服务器应以图形或文字或声音等形 式报警,引起网络管理员的注意。 ( 7 ) 网络端口和节点的安全控制。网络中服务 器的端L _ :使用自动回呼设备。网络还常对服务器和 用户采取控制,用户必须携带证实身份的验证器 ( 如智能卡、磁卡、安全密码发生器、加密狗) ;对用 户的身份进行验证之后
7、,才允许用户进入用户端;然 后,用户端和服务器端再进行相互验证。 须在信息网络整个系统的各个环节上严加防范,才 能有效地防止和控制病毒的侵害。东北电网信息网 络系统在原有网络防病毒体系基础上,建立了以东 北电网为中心,以1 5 个直属单位为分中心的东北电 网计算机病毒管理中心网络防病毒体系结构,并分 级进行防范计算机病毒的统一管理。通过网络防病 毒软件,实现服务器在病毒库升级的同时,与其相连 的终端计算机都得到最新的病毒库代码升级。 2 2 建立网络级计算机防火墙控制体系 网络防火墙在企业中是网络信息安全必选的设 备之一,在企业内网和外网之间放置硬件防火墙。 通过网络防火墙,用户可以根据各自不
8、同的安全等 级需求,设置不同的安全防护策略。并根据网络病 毒的发展特征,修改相应的防护策略。 1 4 数据备份与灾难恢复技术2 3 建立信息安全网络管理体系 采用先进数据备份和灾难恢复技术,在本地和 异地建立区域数据备份中心,保证数据因系统或误 操作造成损坏或丢失,及时在本地实现数据的恢复 或当发生地域性灾难( 地震、火灾等自然灾害) 时, 及时在本地或异地实现数据及整个系统的灾难恢 复。 1 5 防攻击技术 “黑客”主要针对信息网络和主机存在一些漏 洞时进行攻击。重点检测系统信息安全漏洞,及时 解决,特别重要的系统( 如电力实时运行控制系统) 应采用物理隔离措施:信息网络系统安装网络安全 漏
9、洞扫描系统,I n t e r n e t 扫描器,数据库扫描器,系统 扫描器。实时的网络监视系统检验网络环境中的操 作系统和嗣络设备的安全性,及时发现网络环境中 潜在的、被黑客利用的安全漏洞,并根据扫描结果向 系统管理员提供周密可靠的安全性分析报告,未经 授权的入侵和攻击行为,保证网络安全运行。 2 常用方法 2 1 建立网络级计算机病毒防范体系 电力系统计算机信息网络系统已经覆盖了企业 的生产、经营和管理岗位,只要上网就有可能受到形 形色色的网络病毒攻击。随着网络化工作日益增 多,便捷网络联系方式的日益普及,与外界网上交流 越来越多,通过电子邮件来联系业务,交换数据等都 可能感染病毒,并在
10、企业内部网络上不断扩散。必 网络管理是一个双向的问题。一方面,要防止 外来的各种病毒、恶意代码等的威胁、破坏;另一方 面,还要规范内部计算机使用条例。这样,在规范了 内部体系后,用户感染病毒的几率就会大大降低。 通过网络管理体系,管理员可以随时发现所有受威 胁的计算机状况,及时阻断受感染机器与网络的连 接,对用户进行系统补丁的分发。 2 4 建立入侵检测系统 入侵检测就是在系统存在威胁的时候,也就是 病毒试图对计算机进行感染、破环的时候及时发现 并通过系统自身的检测能力,有效控制病毒的感染。 2 5 建立信息安全监测中心 计算机信息系统出现故障或遭受外来攻击造成 损失,绝大多数是由于系统运行管
11、理和维护、系统配 置等方面存在缺陷和漏洞,系统抗干扰能力所致。 信息安全监测系统可模仿各种黑客的攻击方法,不 断测试信息网络安全漏洞并测出安全漏洞按照危害 程度列表。建立东北公司与各基层单位两极信息安 全监测中心,使全网信息安全监测工作逐步进入规 范化管理、程序化运作,不论在主干网还是各级广域 网都处在可监测状态。 2 6 建立区域数据备份中心 数据备份及灾难恢复是信息安全的重要组成部 分。理想的备份系统是全方位、多层次的,硬件系统 备份是防止硬件系统故障,使用网络存储备份系统 一“3 一 和硬件容错相结合的方式,来防止软件故障或人为 误操作造成的数据逻辑损坏。结合电力系统计算机 应用的特点,
12、选择合理的备份设备和备份系统,建立 数据备份中心,制定相应的备份策略。 2 7 建立信息安全身份认证体系 身份认证体系中最常见的就是C A ( C e r t i f i c a t e A u t h o r i t y ) 认证,即证书授权。C A 体系由证书审批 部门和证书操作部门组成。电力市场交易系统就是 一个典型的电子商务系统。在电力市场技术支持系 统中,市场中的成员交易各方的身份确认、物流控 制、财务结算、实时数据交换系统。建立全国、网省 公司的C A 机构,对企业员工上网用户统一身份进 行安全认证和数字签名等,对系统中关键业务进行 安全审计,并开展与银行之间、上下级C A 机构之 间、其他需要C A 机构之间的交叉认证的技术研究 及试点工作。 作者简介: 孙泽锋( 1 9 7 7 一) ,男,助理工程师,从事信息化建设工 作。 刘鑫( 1 9 7 4 一) ,男,工程师,从事信息化管理工作。 邓召春( 1 9 7 0 一) ,男高级工程师,从事信息化建设工 作。 ( 责任编辑骆平)
