(国电建投内蒙古能源有限公司017200)
摘要:本文详细讲解了电厂信息安全管理的技术,提出了优化电厂信息安全管理的有效策略,供相关单位参考借鉴。
关键词:电厂;信息;安全管理
在现代社会中,电力对经济建设和人民生活有着很大的影响,因此,做好电厂的信息化,通过电厂信息化为电厂提供更高的生产力,是我们每个电厂信息化工作人员的责任和义务,而随着信息化的逐步加深,相对的信息安全管理便显得尤为重要。在本文中,就信息化的安全提出了笔者的方法,遵循国家有关部门对生产企业信息化安全的要求,并结合本单位自身的特点,只有将普遍的安全技术和本单位的特点相结合,才能有效地为电厂提供安全的信息环境和工作生产环境。
1电厂信息安全管理的技术要点
具体到技术层面,下面从几个方面来详细阐述安全系统的设计,大致是以下八个方面:
1.1系统的备份管理
备份重要的系统,设立专门的备份服务器,保证将重要的数据进行统一备份,备份分为在线备份和离线备份两种模式,我们采用磁盘整列进行在线备份,采用磁带库作为离线备份系统。同时采用备份软件将两者统一结合,可以进行任意时间点的系统恢复。有效保证了系统在任何情况下都可以做到最低损失。
1.2关键设备实现冗余
关键设备的冗余备份是目前针对信息系统最为有效的方法,任何可靠的设备,都无法做到屏蔽所有故障,所以,必须保证关键设备不能有任何故障点。比如说核心的路由器、交换机、服务器、防火墙等必须配置双份,实现在线冗余备份,保证任何时刻不会出现无法排除的故障点。
1.3网络设备的安全优化
网络设备在进入生产系统之前,必须进行网络优化,这些优化有些是明确的配置,有些不是在网络厂商提供的说明清单里面,作为安全管理人员,必须对其进行优化。
1.4网络分区和隔离
在局域网中两个内部主机间通过二层互通时,这两者之间的访问是不需要经过三层交换的,因此,在交换机上部署三层(网络层)访问控制将不会对其产生效果,在没有任何安全措施的情况下,各种攻击方法都可以使用。因此,必须对网络进行分区和隔离。网络分区和隔离是信息系统上线后必须做的安全规划,简单的分区可以采用VLAN划分的方式来做,同时使用ACL将各个VLAN之间的数据流进行管理和控制。如果希望做得更加好一点,可以采用隔离设备来做,隔离设备包含小型的双机系统或防火墙系统。
1.5防火墙规则
网络层通讯可以跨越路由器,攻击可以从远方发起,因此网络层的访问控制是非常重要的安全手段。随着网络安全技术的发展,防火墙可以和网络入侵检测系统IDS实施联动。IDS检测到入侵活动时,可以自动通知防火墙切断非法入侵的网络连接。在网络出口、关键区域部署防火墙设备,保护内部网络,形成网络边界的安全隔离。防火墙作为有效的分割网络安全域的保护工具。必须对防火墙的策略进行有效的配置,按照必须的原则,保证防火墙的开放程度是最小的。
2电厂信息管理的优化策略
2.1建立有效的预警机制
人类对于信息安全的认识从保密到保护一直发展到当前的安全保障阶段,信息安全保障工作包括了预警、保护、检测、响应、恢复和依法打击等工作环节。预警是信息安全保障工作的前提。通俗地讲,预警就是在信息安全事件发生之前,就加以预测和警慑。中国有句老话“凡事预则利”。预警不同于通常所说的防范和保护,后者是根据前者的导向而采取的行为、措施和手段。预警需要根据已有的经验总结的规律,也需要丰富的想象力和判断力。预警工作的想象力不是凭空产生的,它植根于信息化发展应用的基层单位日积月累的风险评估工作的经验和能力,只有建立了风险意识,实施了贯穿于信息系统生命周期的全过程的信息系统的风险评估和风险管理才能获得对于信息安全威胁、信息系统脆弱性和资产保护的真知灼见。信息安全保障已经不能采用“个人只扫门前雪”的处世哲学了。数字化安全生存必须有集团企业、行业、国家,甚至国际的协调和协同,做好预警工作可以获得事故应急处理的时间差、空间差、能力差,从而得到信息保障的提前量和主动权。
2.2正确认识信息化安全风险评估
要应对安全风险,首先要确切掌握网络和信息系统的安全现状,分析安全威胁来自何方,安全风险有多大,风险评估就是解决这一问题的重要方法和基础性工作。系统的安全性可以通过风险大小来衡量,科学地分析系统的保密性、完整性、可用性、程序性方面面临的问题,发现危险的主要位置,就能在风险的预防、减少、转移、补偿和分散上做出决策,最大限度地控制和化解安全风险。事实上,我们都知道安全和效率是互相矛盾的,如何在安全(高可靠性)和效率(高可用性)之间进行平衡,这是风险评估中一个非常重要的内容。网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
2.3建立并逐步规范IT故障报送流程
起初基本没有规范的IT故障报送流程,遇到IT故障的员工会直接给IT部门打电话,而IT部门也会随便派一个IT人员处理故障。现在,他们增加了对IT故障的潜在风险进行评估和相应处理的流程,故障从报送人口就被统一起来,事故有相应人员负责处理和记录;报送记录同时会被提交到IT技术工程师和系统运维分析团队,前者负责处理事故,后者负责评估风险。为了保证信息安全管理流程能落到实处,就需要建立相应的制度。将企业的硬件、软件和数据、流程、人定义为四大信息资产,分别指定明确的责任人,用白纸黑字的制度文件固定下来,并制定评估标准与周期,确定可量化的考核指标,这些都是为了避免问题发生时,出现互相扯皮的现象。
2.4建立专业应急响应机制
凡是信息系统,在运维过程中,就可能发生异常,从而带来一定风险。而要避免风险,就要做好预防措施。这一预防措施体现在IT领域,就是容灾建设。结合定期切换制对备用系统执行定期投运及退备、结合业务系统备份还原标准对备份内容进行恢复有效性的测试和检验。定期启动应急预案,检验企业应急管理体系的运作情况及对处理重大系统故障和判断异常现象的正确方法和技能掌握情况。要健全各类安全生产的规章制度,定期对各种突发事件和网络故障进行模拟演练,并及时修编完善系统紧急恢复预案书,保障网络通信、业务运维的可靠稳定。
2.5规范人员行为管控,对机房人机操作进行远程监控
配合执行定期点检制、信息人员职业道德教育,还必须有一套人机互动监控系统实现对机房内的人机界面上的操作过程进行实时管控。机房人机界面监控解决方案让传统的机房监控系统更加完整,弥补了原系统的监控“死角”,让“内部控制”更加完整、有效。在机房内通常多台服务器共用一套鼠标、键盘和显示器,通过KVM切换器进行切换选择对哪一台设备进行操作。KVM的意思是“键盘、显示器及鼠标”,这3项加起来称为一组KVM操作台,KVM操作台即是机房内的“人机界面”,在KVM操作台上任何操作均在显示器上显示出来。在机房人机界面监控方案中需要在机房内每一个KVM切换器旁安装VGA编码器1台,该编码器即可将该人机界面处的任何操作采集并编码通过网络传送给后台相应的功能模块,实现远程实时监控和同步录制等功能。便于专业内部操作取证和事故情景回溯,便于信息专业日常的管理和操作失误类故障的有效解决。
结束语
信息系统的安全是信息系统中重要的部分,必须认真地对待,才能使得信息系统起到应有的效果。
参考文献:
[1]崔鹏.沙角C电厂信息安全管理体系建设及实践探讨[J].信息化建设,2015,10:53-54.
[2]张浩,詹辉红,钱洪珍.电网企业信息安全管理体系建设中的风险管理实践[J].电力信息化,2010,06:21-24.
[3]董媛,汪晓玫,曾小平.基于“三线”防护的新安江电厂信息安全管理[J].水电站机电技术,2012,03:94-96.
[4]沈军.火力发电厂信息安全体系构建与应用[J].电力信息与通信技术,2013,08:103-108.
[5]李兰亭.华能上安电厂网络与信息安全管理[J].电力信息化,2004,01:34-37.
[6]施强.电厂信息安全管理概述[J].计算机安全,2011,07:78-80.