淺析電力企業(yè)網(wǎng)絡信息安全技術和安全管理機制

1、 淺析電力企業(yè)網(wǎng)絡信息安全技術和安全管理機制 摘要: 分析當前電力系統(tǒng)網(wǎng)絡安全存在的問題, 從管理機制和常用的技術手段方面對信息安全進行了探討。結合網(wǎng)絡安全的現(xiàn)狀，探究電力企業(yè)網(wǎng)絡安全防范的制度空間。關鍵詞:電力企業(yè)；分析；網(wǎng)絡信息安全技術；安全管理機制本文在考查了電力企業(yè)信息網(wǎng)絡系統(tǒng)存在的安全問題之后, 有針對性地從網(wǎng)絡信息安全技術以及現(xiàn)行電力企業(yè)安全管理機制方面進行了剖析。結合當前網(wǎng)絡安全的現(xiàn)狀，探究電力企業(yè)網(wǎng)絡安全防范的制度空間。一、電力企業(yè)信息網(wǎng)絡系統(tǒng)存在的安全問題1、認識網(wǎng)絡安全隨著電力企業(yè)intranet 與internet 的互聯(lián), 電力企業(yè)信息網(wǎng)絡系統(tǒng)的安全問題日益尖銳。網(wǎng)絡信

2、息安全是一個涉及計算機技術、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種技術的邊緣性綜合學科。一般意義上，網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。2、存在的問題21 安全意識淡薄是網(wǎng)絡安全的瓶頸目前，在網(wǎng)絡安全問題上還存在不少認知盲區(qū)和制約因素。網(wǎng)絡是新生事物，許多人一接觸就忙著用于學習、工作和娛樂等，對網(wǎng)絡信息的安全性無暇顧及，安全意識相當?shù)?，對網(wǎng)絡信息不安全的事實認識不足?？傮w上看，網(wǎng)絡信息安全處于被動的封堵漏洞狀態(tài)，從上到下普遍存在僥幸心理

3、，沒有形成主動防范、積極應對的全民意識，更無法從根本上提高網(wǎng)絡監(jiān)測、防護、響應、恢復和抗擊能力。22 運行管理機制的缺陷和不足制約了安全防范的力度運行管理是過程管理，是實現(xiàn)全網(wǎng)安全動態(tài)管理的關鍵。有關信息安全的政策、計劃和管理手段等最終都會在運行管理機制上體現(xiàn)出來。就目前的運行管理機制來看，有以下幾方面的缺陷和不足。（1）網(wǎng)絡安全管理方面人才匱乏：網(wǎng)絡安全裝置、服務器、pc機等不同種類配置不斷出新的發(fā)展。信息安全技術管理方面的人才無論是數(shù)量還是水平，都無法適應企業(yè)信息安全形勢的需要。(2)安全措施不到位：互聯(lián)網(wǎng)復雜多變，網(wǎng)絡用戶對此缺乏足夠認識，未進入安全就緒狀態(tài)就急于操作，結果導致敏感數(shù)據(jù)暴

4、露，使系統(tǒng)遭受風險。操作系統(tǒng)配置不當或者不進行同步升級廠商發(fā)布的補丁等都有可能存在入侵者可利用的缺陷，而造成無法發(fā)現(xiàn)和及時查堵安全漏洞。原因是管理者未充分意識到網(wǎng)絡不安全的風險所在，未引起重視。(3)缺乏綜合性的解決方案：由于大多數(shù)用戶缺乏綜合性的安全管理解決方案，稍有安全意識的用戶越來越依賴“銀彈”方案(如防火墻和加密技術)，使這些用戶也就此產(chǎn)生了虛假的安全感，漸漸喪失警惕。其解決方案應是一整套綜合性安全管理解決方案，包括風險評估和漏洞檢測、入侵檢測、防火墻和虛擬專用網(wǎng)、防病毒和內容過濾、企業(yè)管理等方面內容。2.3 缺乏制度化的防范機制不少單位沒有從管理制度上建立相應的安全防范機制，在整個運

5、行過程中，缺乏行之有效的安全檢查和應對保護制度。不完善的制度滋長了網(wǎng)絡管理者和內部人士自身的違法行為。二、現(xiàn)行網(wǎng)絡信息安全的技術手段一般來講，當今計算機網(wǎng)絡安全的功能主要體現(xiàn)在5個層面上：a.網(wǎng)絡b.系統(tǒng)c.用戶d.應用程序e.數(shù)據(jù)。在以上的各個層面上，每個層面都應該有不同的技術來達到相應的安全保護。如表1所示。表1不同安全層面上所對應的安全保護技術安全層面所對應的安全保護技術數(shù)據(jù)數(shù)據(jù)加密技術應用程序用戶存取權限控制用戶授權用戶分組管理單口令登錄用戶身份認證系統(tǒng)防病毒漏洞探測入侵檢測審計分析網(wǎng)絡防火墻技術通訊安全技術隨著電力體制改革的不斷深化，計算機網(wǎng)絡系統(tǒng)網(wǎng)絡上將承載著大量的企業(yè)生產(chǎn)和經(jīng)營的

6、重要數(shù)據(jù)。因此，保障計算機網(wǎng)絡信息系統(tǒng)安全、穩(wěn)定運行至關重要。為了確保網(wǎng)絡信息的安全，在實際應用中通常采用的安全技術有如下幾種。1、防病毒技術計算機病毒實際上就是一種在計算機系統(tǒng)運行過程中能夠實現(xiàn)傳染和侵害計算機系統(tǒng)的功能程序。病毒經(jīng)過系統(tǒng)穿透或違反授權攻擊成功后，攻擊者通常要在系統(tǒng)中植入木馬或邏輯炸彈等程序，為以后攻擊系統(tǒng)、網(wǎng)絡提供方便條件。病毒在網(wǎng)上的傳播極其迅速, 且危害性極大。并且在多任務、多用戶、多線程的網(wǎng)絡系統(tǒng)工作環(huán)境下,病毒的傳播具有相當?shù)碾S機性, 從而大大增加了網(wǎng)絡防殺病毒的難度。要求做到對整個網(wǎng)絡要集中進行病毒防范、統(tǒng)一管理, 防病毒產(chǎn)品的升級要做到無需人工干預, 在預定時間

7、自動從網(wǎng)站下載最新的升級文件,并自動分發(fā)到局域網(wǎng)中所有安裝防病毒軟件的機器上。2、 防火墻技術防火墻是在內部網(wǎng)和外部網(wǎng)之間實施安全防范的系統(tǒng)，是由一個或一組網(wǎng)絡設備組成。防火墻技術是一種用來加強網(wǎng)絡之間訪問控制，防止外部網(wǎng)絡用戶以非法手段通過外部網(wǎng)絡進入內部網(wǎng)絡，訪問內部網(wǎng)絡資源，保護內部網(wǎng)絡操作環(huán)境的特殊網(wǎng)絡互聯(lián)設備。它對兩個或多個網(wǎng)絡之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查，以決定網(wǎng)絡之間的通信是否被允許，并監(jiān)視網(wǎng)絡運行狀態(tài)。圖1 防火墻邏輯位置示意圖3、入侵檢測技術入侵檢測（intrusion detection）是對入侵行為的發(fā)覺，是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡攻擊

8、，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應），提高了信息安全基礎結構的完整性。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內部攻擊、外部攻擊和誤操作的實施保護。dennying于1987年提出了一個通用的入侵檢測模型(如圖2所示)。圖2通用的入侵檢測模型上一頁 1 2下一頁4 、風險評估技術風險評估（vulnerability assessment）是網(wǎng)絡安全防御中的一項重要技術，運用系統(tǒng)的方法，根據(jù)各種網(wǎng)絡

9、安全保護措施、管理機制以及結合所產(chǎn)生的客觀效果，對網(wǎng)絡系統(tǒng)做出是否安全的結論。其原理是根據(jù)已知的安全漏洞知識庫，對目標可能存在的安全隱患進行逐項檢查。目標可以是工作站、服務器、交換機、數(shù)據(jù)庫應用等各種對象。然后根據(jù)掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡漏洞掃描系統(tǒng)就是這一技術的實現(xiàn)，它包括了網(wǎng)絡模擬攻擊，漏洞檢測，報告服務進程，提取對象信息，以及評測風險，提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能的消除安全隱患。風險評估技術基本上也可分為基于主機的和基于網(wǎng)絡的兩種，前者主要關注軟件所在主機上面的風險漏洞，而后者則是

10、通過網(wǎng)絡遠程探測其它主機的安全風險漏洞。然而風險評估只是一種輔助手段，真正的安全防護工作還是依靠防火墻和入侵檢測來完成。5、虛擬局域網(wǎng)（vlan）技術基于atm 和以太網(wǎng)交換技術發(fā)展起來的vlan 技術, 把傳統(tǒng)的基于廣播的局域網(wǎng)技術發(fā)展為面向連接的技術, 從而賦予了網(wǎng)管系統(tǒng)限制虛擬網(wǎng)外的網(wǎng)絡節(jié)點與網(wǎng)內的通信, 防止了基于網(wǎng)絡的監(jiān)聽入侵。例如可以把企業(yè)內聯(lián)網(wǎng)的數(shù)據(jù)服務器、電子郵件服務器等單獨劃分為一個vlan 1, 把企業(yè)的外聯(lián)網(wǎng)劃分為另一個vlan 2。控制vlan 1 和vlan 2 間的單向信息流向: vlan 1 可以訪問vlan 2 相關信息;vlan 2 不能訪問vlan 1 的信

11、息。這樣就保證了企業(yè)內部重要數(shù)據(jù)不被非法訪問和利用。6、虛擬專用網(wǎng)vpn（virtual private network）技術虛擬專用網(wǎng)絡是企業(yè)網(wǎng)在因特網(wǎng)等公用網(wǎng)絡上的延伸，通過一個私用的通道來創(chuàng)建一個安全的私有連接。虛擬專用網(wǎng)絡通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構、公司的業(yè)務合作伙伴等與公司的企業(yè)網(wǎng)連接起來，構成一個擴展的公司企業(yè)網(wǎng)。vlan 用來在局域網(wǎng)內實施安全防范技術, 而vpn 則專用于企業(yè)內部網(wǎng)與internet 的安全互聯(lián)。vpn 不是一個獨立的物理網(wǎng)絡, 他只是邏輯上的專用網(wǎng), 屬于公網(wǎng)的一部分, 是在一定的通信協(xié)議基礎上,通過internet 在遠程客戶機與企業(yè)內網(wǎng)之間

12、, 建立一條秘密的、多協(xié)議的虛擬專線, 所以稱之為虛擬專用網(wǎng)。除了以上介紹的幾種網(wǎng)絡安全技術之外，還有一些被廣泛應用的安全技術，如身份驗證、存取控制、安全協(xié)議等等。網(wǎng)絡信息安全是一個系統(tǒng)的工程，它與網(wǎng)絡系統(tǒng)的復雜度、運行的位置和層次都有很大的關系，因而一個完整的網(wǎng)絡安全體系僅靠單一的技術是難以奏效的。在實際應用中，只有根據(jù)實際情況，綜合各種安全技術的優(yōu)點，才能形成一個由具有分布性的多種安全技術構成的網(wǎng)絡安全系統(tǒng)。三、構建電力企業(yè)網(wǎng)絡安全防范的制度空間做好網(wǎng)絡信息安全工作，除了采用上述的技術手段外，還必須建立安全管理機制。因為諸多不安全因素恰恰反映在組織管理等方面。良好的管理有助于增強網(wǎng)絡信息的

13、安全性。只有切實提高網(wǎng)絡意識，建立完善的管理制度，才能保證網(wǎng)絡信息的整體安全性?！叭旨夹g,七分管理”是網(wǎng)絡安全領域的一句至理名言，其原意是：網(wǎng)絡安全中的30%依靠計算機系統(tǒng)信息安全設備和技術保障，而70%則依靠用戶安全管理意識的提高以及管理模式的更新。安全管理是網(wǎng)絡安全中非常重要又常被忽視的一項內容。需要管理到位、技術到位、觀念到位，更需要管理、技術和觀念不斷更新，而且三者要有機地結合起來。1、完善網(wǎng)絡信息安全的管理機制（1）網(wǎng)絡與信息安全需要制度化、規(guī)范化。網(wǎng)絡和信息安全管理真正納入安全生產(chǎn)管理體系，并能夠得到有效運作，就必須使這項工作制度化、規(guī)范化。要在電力企業(yè)網(wǎng)絡與信息安全管理工作中融

14、入輸變電設備安全管理的思想，就像管“電網(wǎng)”一樣管理“信息網(wǎng)絡”，制定出相應的管理制度。如建立用戶權限管理制度、口令保密制度、密碼和密鑰管理制度、網(wǎng)絡與信息安全管理制度、病毒防范制度、網(wǎng)絡設備管理流程、設備運行規(guī)程、網(wǎng)絡安全防護策略、訪問控制、授權管理等一系列的安全管理制度和規(guī)定。管理制度具有嚴肅性、權威性、強制性，管理制度一旦形成，就要嚴格執(zhí)行。企業(yè)應組織有關人員對管理制度進行學習，保證制度的落實。(2)明確網(wǎng)絡與信息安全保證體系中的四個關鍵系統(tǒng)，即安全決策指揮系統(tǒng)、安全管理技術系統(tǒng)、安全管理制度系統(tǒng)和安全教育培訓系統(tǒng)，實行企業(yè)行政正職負責制，明確主管領導職權、部門職責和用戶責任。按照統(tǒng)一領導

15、和分級管理的原則，明確安全管理部門是企業(yè)安全生產(chǎn)監(jiān)督部門，行使網(wǎng)絡與信息安全監(jiān)督職能以及安全監(jiān)督人員職責。（3）應用“統(tǒng)一的策略管理”思想實現(xiàn)網(wǎng)絡信息安全的管理目標?！敖y(tǒng)一”，就是要提高各項安全技術和措施的協(xié)同作戰(zhàn)能力；策略，就是為發(fā)布、管理和保護信息資源而制定的一組規(guī)程、制度和措施的綜合，企業(yè)內所有員工都必須遵守的規(guī)則。電力企業(yè)應從以下三個方面，規(guī)定各部門和用戶要遵守的規(guī)范及應負的責任，使得網(wǎng)絡與信息安全管理有一套可切實執(zhí)行的依據(jù)。a、用戶的統(tǒng)一管理：實現(xiàn)員工檔案、訪問資源的權限的統(tǒng)一管理。b、資源的統(tǒng)一配置管理：文件系統(tǒng)、網(wǎng)絡設備（防火墻、認證系統(tǒng)、入侵檢測、漏洞掃描），intranet、

16、internet網(wǎng)絡資源的統(tǒng)一配置管理。c、管理策略的一致性：防火墻規(guī)則的制定、internet訪問控制的管理，內部信息資源的管理應體現(xiàn)一致性。只有管理政策一致，才能避免出現(xiàn)遺漏。2、強化企業(yè)內部人員安全培訓信息安全培訓是實施信息安全的基礎，根據(jù)中國國家信息安全測評認證中心提供的調查結果顯示，現(xiàn)實的威脅主要為信息泄露和內部人員犯罪，而非病毒和外來黑客引起。據(jù)公安部最新統(tǒng)計，70的泄密犯罪來自于內部；計算機應用單位80未設立相應的安全管理；58無嚴格的管理制度。要實現(xiàn)“企業(yè)安全”就必須對企業(yè)內部人員進行安全培訓，從而強化從高層到基礎員工的安全意識，最終提升企業(yè)網(wǎng)絡信息安全的“機率”。安全培訓計劃

17、可階段性地進行，根據(jù)企業(yè)性質與人員的職責、業(yè)務不同，可以將安全培訓分成三個不同的層次，即初級、中級和高級。初級培訓的對象包括所有員工，培訓的內容主要角色與責任、政策與程序；旨在強化所有員工的安全意識與責任；第二層次為中級培訓，對象包括高層領導、（非）技術管理人員、系統(tǒng)所有者、合同管理者、人力資源管理者與法律人員。教育及培訓的內容包括安全核心知識、風險管理、資源需求與合同需求等，旨在強化人員的安全能力與安全意識。第三層次為高級安全培訓，對象包括信息安全人員、系統(tǒng)管理人員，內容主要包括操作/應用系統(tǒng)、協(xié)議、安全工具、技術控制、風險評估、安全計劃和認證與評估，旨在提高企業(yè)的整體安全管理。綜合上述幾方面的論述，企業(yè)必須充分重視和了解網(wǎng)絡信息系統(tǒng)的安全威脅所在，制定保障網(wǎng)絡安全的應對措施，落實嚴格的安全管理制度，才能使網(wǎng)絡信息得以安全運行。由于網(wǎng)絡信息安全的多樣性和互