(景谷供电有限公司)
摘要:当今世界计算机技术发展迅速,电力企业各个方面的工作也在计算机技术的支持下得到了大幅度的提升,各个企业对于如何保障好信息的安全、管理好数字化电网、规避信息风险已经成为了企业发展十分重要和突出的问题。本文主要就我国当前的电力信息安全保障体系建设进行详细的分析探究,并提出一些电力行业信息安全体系建设的方案,希望本文能够对电力信息安全保障建设领域的发展起到一定的促进作用。
关键词:电力信息;安全保障体系;建设
当前我国的互联网快速发展,但也遇到了黑客攻击这样重大的安全问题,黑客攻击的主要目标是电信、电力以及政府,所以最近几年我国在大力的推行信息系统的等级保护政策,这使信息系统抵御风险的能力有了较大的提升,但在我国实际的电力信息安全保障体系建设的过程中,还存在着诸多的漏洞没有及时科学的进行处理。所以,对电力信息安全保障体系建设进行探究具有重要的现实意义。
一、信息安全的重要性
信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的重点是有所区别的。
我国电力系统在计算机的应用比较早的行业,信息技术的快速发展为电网调度、生产运行、资金管理、自动化的办公、网络营销提供了有力的保障和支撑。根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。可以说,电力部门对信息安全的重视程度达到了前所未有的高度。
二、电力信息系统安全风险分析
对电力信息系统进行攻击的黑客可能来自内部,也可能来自于外部,风险存在于网络的两端。就电力行业的整体情况分析,很大部分的问题来自于内部(据统计有80%的安全问题来自于内部攻击),我们可以把威胁大致分为两类:一是对网络中信息的威胁,二是对网络中设备的威胁。就电力行业来说,主要是保护数据的安全性,包含数据的存储、传输和处理的安全。
电力信息网络安全中,应当把重点集中在网络信息安全系统和网络安全管理制度的建设,要防止黑客的恶意攻击对电力实时系统的干扰造成重大事故,保障电力系统稳定、安全、高效、经济的运行,同时确保系统中的信息安全,防止被盗和丢失。
以下是笔者结合自己在电力信息安全保障领域的多年从业经验和查阅资料,总结的电力信息系统面临的风险和问题:
电力信息系统面临的风险主要是以下几个方面:
(1)用户标识获取。暗中发现合法用户的身份信息,通常是用户名和口令
(2)病毒。一种自我复制、广泛传染,对计算机及其数据进行严重破坏的计算机程序。具有隐蔽性与随机性的特点
(3)后门。系统、程序漏洞,存在被人利用来控制、破坏系统的威胁
(4)社会工程攻击。利用人的心理进行攻击。
(5)非法使用。非授权使用计算机或网络资源
(6)拒绝服务。向电力数据网络或通信网关发送大量雪崩数据,造成拒绝服务
电力信息系统面临的问题主要是以下几个方面:
1.电力信息系统内计算机网络设备不统一。电力信息系统自动化是现代计算机控制技术应用的一个重要领域。这一时期自动化存在的主要问题是系统结构、功能、通信协议等方面缺乏一个统一的工业标准,不同厂家的设备不能互联。计算机与各设备的通信主要采用星型点对点连接,主要采用低速率的串,并行口通信方式,系统实时性不好,设备配置的灵活性较差。
2.缺乏管理规范。到目前为止,尚未建立一个统一的、符合电力行业特点的、权威的电力信息安全管理规范。
3.电力部门计算机系统的漏洞。不管使用哪一种操作系统,都存在大量已知和未知的安全漏洞,而这些漏洞可以导致入侵者获得管理员的权限,可以被用来实施对整体网络信息系统的攻击。
4.信息安全体系尚未建立。电力行业内存在缺乏计算机信息网络安全的意识、缺少完善的计算机数据备份系统,防护能力较弱的身份认证及过去大量使用的孤立局域网联成广域网后,使的整体网络的安全问题大幅提高。
三、电力行业信息安全保障体系建设方案
满足当前和未来电力行业发展需要的安全保障体系是电力行业信息安全保障体系建设首先需要考虑的问题。安全体系建设是一个整体的、系统的工程,不是简单的技术堆积,不是刻板的管理条例。在安全体系建设过程中我们必须以预防为主,管理与技术并行,相辅相成实现全面、高效、保密、完整、可用、可认证的一体化安全体系建设。笔者结合多年的电力行业信息安全保障体系建设的工作经验,对电力行业信息安全保障体系建设有如下方案。
3.1电力行业信息安全保障体系设计原则
应该从主机防御、网络防御、应用程序防御等各分层建设纵深防御的安全体系,管理与技术双管齐下,做好应急响应工作。
3.2电力行业信息安全保障体系建设
一个完整的信息安全保障体系应该是人、管理和安全技术实施的结合,三者缺一不可。信息安全体系建设需要从这三个层面提供为保证其信息安全所需要的安全对策、机制和措施,强调在一个安全体系中进行多层保护。省级联社建设信息安全保障体系首先要解决“人”的问题,建立完善的信息管理和安全组织结构;其次是解决“人”和“技术”之间的关系,建立层次化的信息安全策略,包括纲领性策略、安全制度、安全指南和操作流程;最后是解决“人”与“技术(操作)”的问题,通过各种安全机制来提高网络的安全保障能力。电力行业信息安全保障体系建设架构可以概括从以下几个方面。
1.安全组织(人员)体系
主要包括组织的建立、人员的配备、管理制度建设、日常运作流程管理、以及人员的筛选、教育、培训等。安全管理不同于一般的网络管理,需要从每日的安全信息中分析出主机、网络、系统、应用的安全状况,从而了解该采取什么样的措施来保证今后的安全。以管理为核心,预防为主,技术手段为支撑,法律威慑为辅,从整体上构筑信息安全保障体系。以风险管理为基础,在安全、效率和成本之间均衡考虑。信息安全是“一把手工程”,必须领导重视,保证投入。高级牵头,各级部门领导负责,全员参与,专人管理。信息安全重在执行和落实。在安全的情况下将企业IT资源提供给正确的人。
2.安全策略体系
主要通过建立完整的信息安全策略体系,提高安全管理人员的安全意识和技术水平,完善各种安全策略和安全机制,利用多种安全技术措施和信息安全管理实现对网络的多层保护,防范信息安全事件的发生,减小网络受到攻击的可能性,提高对安全事件的反应处理能力,并在信息安全事件发生时尽量减少事件造成的损失。
3.安全技术体系
信息安全架构遵循ISO27001信息安全管理框架。安全技术体系的核心是构建一个主动防御、深层防御、立体防御的安全技术保障平台。通过综合采用世界领先的技术和产品,加强对风险的控制和管理,将保护对象分成网络基础设施、网络边界、终端计算环境、以及支撑性基础设施等多个防御领域,在这些领域上综合实现预警、保护、检测、响应、恢复等多个安全环节,从而为用户提供全方位、多层次的防护。身份认证和访问控制可通过公钥基础设施(publickeyinfrastructure,PKI)技术进行统一管理,建立省电网级认证授权中心,提供目录服务、身份管理、认证管理、访问管理等功能。实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。
监控和审计可提高信息的安全性,提高问题发生时的反应速度,有效预防安全问题的发生。应进行统一规划,建立IT监控平台。目前广东电网等省级电网公司都已经开始实施监控平台的建设。备份恢复技术主要包括备份技术、冗余技术、容错技术和不问断电源保护4个方面的内容。备份恢复与容灾中心具有关联性,建立容灾中心的单位应每年至少进行一次灾备恢复的演练,没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份,并定期进行备份恢复演练,提升应对自然灾害的能力。
4.安全运行体系
电力信息安全运行是通过建立运维技术规范、运维作业指导书、运维流程、运维定检等标准或机制,确保对基础环境、软硬件平台、主营业务系统、终端的安全运行维护。
a)基础环境包括机房、办公环境、IT设备,应建立基础设施或设备运维过程的技术规范、作业指导书、流程等。内容包括:明确计算机机房及其配套设备的定期巡检、安全检查、出入管理、门禁安全防护、操作规范等;指定基础设施或设备管理责任人和维护维修人,规范基础设施或设备访问、操作权限的申请、审批、收回流程及操作规程。
b)硬件平台方面,应建立日常运维检查、配置管理、变更管理、性能管理等规范;明确硬件平台,进行运行状态健康检查、Et志检查等工作;各类硬件设备(如服务器、网络设备)配置规范,包括设备配置、端口访问控制、网络连接等,确保维护记录的完整性和正确性;建立各类硬件设备的用户管理,包括用户登记、帐号使用、操作权限等,并进行安全审计。
c)范业务系统的运维过程,包括系统变更、维护、测试等管理过程,提高应用系统服务的正确性和可靠性;建立业务系统运维管理要求,明确应用系统运维职责和T作内容,包括日常性维护、适应性和改正性维护、功能性维护;建立清晰的业务系统变更流程,包括业务功能变更、业务数据更新等,有效记录变更数据,实现相关维护工作的可追溯性。
结语:综上所述,当下的电力系统已经广泛使用了信息技术,信息安全已经成为了企业生产经营管理的重要内容。信息安全任然面临着许多安全威胁,电网安全与信息安全息息相关,建立一个安全、可靠、稳定的电力信息安全保障体系是电力企业、安全部门以及全社会共同的责任。我们必须结合实际情况,研究信息安全各个要素之间的联系,不断进行管理创新和技术实践,建立一套高效、先进、维护方便、自动化程度高的信息安全保障体系,确保电力信息系统安全、稳定、可靠的运行。
参考文献:
[1]赵志宇.谈电力信息系统安全保障体系建设原则及思路[J].计算机安全,2009(6).
[2]赵玲,刘建华.电信网的信息安全保障模型研究[J].西安邮电学院学报.2009,14(3):11-14.
[3]沈昌祥.关于加强信息安全保障体系的思考[M].武汉:湖北科学技术出版社.2002.
[4]关良辉.电力企业局域网的信息安全[J].电力安全技术,2010(6).