电力信息化与信息安全(精选9篇)
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
在电力企业信息化水平快速发展的背景下, 面对网络违规行为日益增多, 需要强化对各直属机构的信息系统的安全建设, 尤其是面对内部大量终端的使用, 对以终端为安全边界的内网安全列上了议事日程。电力企业加强内网中各类终端的管理, 避免因终端缺乏专业的安全技术手段, 而成为违规行为的发源地、网络安全的脆弱点或成为网络攻击的跳板。为此, 电力企业把保护终端的信息安全管理工作, 提升到“一把手”负责制的高度。
电力企业希望通过部署终端管理产品, 有效解决非法终端接入内网并对安全生产造成破坏的风险。电网公司希望选择一个既能紧密结合电网公司网络规模大、使用部门多和应用系统复杂的特点, 有效防止不符合规定的终端接入内网和访问资源的限制, 同时, 又能清晰划分电网公司的网络边界, 并能顺应不断变化的信息安全发展新趋势的终端管理产品, 来有效解决终端接入对内网造成破坏的风险。
1 网络安全现状分析
目前在县市级供电企业, 已经实施多种网络安全产品, 如Symantec企业版病毒防护系统、微软补丁分发产品WSUS补丁更新系统。年初, 国家电网公司统一部署了桌面终端管理系统, 国家电网公司部署中心服务器, 省公司部署一级服务器, 市局部署二级服务器, 并给县市级供电企业提供一个管理客户端, 实现对接入终端的外联管理、外设管理、资产管理、远程运维、协议管理等。在统一的管理和控制策略下, 使县市级供电企业对终端初步具有可管理性。同时, 国家电网公司通过定期下发各类管理和安全检查等策略, 对县市级供电企业的终端安全进行定期抽查。通过这套系统, 一方面解决了数量众多的计算机的安全、管理、维护问题, 降低了单位的基础设施构建成本;另一方面保障了数据信息的安全。
虽然县市级供电企业在内网终端安全方面做了很多工作, 部署了防火墙、安全VLAN的划分、刚实施的内外网物理隔离、Symantec企业版病毒防护系统、补丁统一更新系统以及国家电网统一部署的桌面终端管理系统, 但是对下面的安全问题还不能做到真正意义上的解决。
(1) 是否已经做到真正的隔离?目前在县市级供电企业实现了内外网的物理隔离, 但无法从技术手段来判断并杜绝内网计算机连接外网。
(2) 终端接入可控吗?虽然县市级供电企业已经有一套IP与MAC绑定的系统, 但是可以伪造IP与MAC信息接入网络。虽然作了物理隔离, 可是正常工作中还是经常会碰到外来计算机, 如何来控制接入及做接入前管控?怎么样可以做到很灵活的终端接入审查呢?在系统正常运行之后, 所有接入网络的终端如何做到只有通过管理员审查批准才可以接入呢?
(3) 目前县市级供电企业接入终端为数众多, 分布地域很广, 接入计算机密码过于简单, 管理人员、不知道哪些计算机未安装杀毒软件或安装了没有及时更新病毒库, 信息管理人员如何及时发现计算机的安全漏洞, 提供用户更改密码, 安装杀毒软件, 更新病毒库等, 以保障系统不因为弱口令的原因被病毒和黑客攻击?
(4) 怎么对终端进行强制的安全加固?通过桌面终端管理系统, 管理人员对计算机终端的安全隐患将更加了解, 但终端使用人员操作水平参差不齐, 如何来保证计算机的操作系统没有漏洞, 补丁全部打齐, 杀毒软件版本及病毒库都更新到最新以及账号密码具有一定强度的呢?
(5) 终端计算机如果需要修复怎么办?如何保证接入终端是处于健康状态的, 如果保障存在安全隐患的终端的安全修复, 甚至强制让接入终端修复其安全隐患呢?
(6) 如何将异常状态的终端快速隔离?如何快速有效的定位网络中病毒、黑客的引入点, 快速、安全的切断安全事件发生点和相关网络?
因此, 目前在信息安全上, 内网终端还是存在很大的安全隐患。
2 网络准入控制系统功能
作为终端安全管理整体解决方案, 县市级供电企业已经部署了桌面安全管理系统, 但无有效地技术手段控制客户端的准入;同时, 对于桌面管理系统采集上来的安全隐患, 也没有强制手段保证终端及时有效的加固。因此终端安全准入控制系统建设重要性突显出来, 与桌面管理系统同时作为整体方案的两块重要部分, 二者缺一不可。与传统桌面管理系统的关系如图1所示。
一个完整的网络准入控制系统, 在终端设备接入时, 需提供以下5步检查和控制流程, 缺少其中一个方面的内容, 就不是完善的准入解决方案, 都无法达到完整的安全风险控制、预防和响应要求, 会给准入控制系统的部署和推广使用带来问题。网络接入认证流程如图2所示。
第1步, 注册登记:内部终端要访问网络资源之前, 需要在网络上注册登记 (用户账户登记、终端ID注册等) , 取得接入网络的权限。
第2步, 接入检查:终端在接入网络时, 准入控制系统会检查其用户账户、安全设置状态、终端硬件合法性等。
第3步, 安全隔离:如果在接入检查时, 发现终端不符合安全规定, 需要对终端进行隔离或拒绝其访问网络资源, 例如:发现是外来终端则拒绝接入或进入“访客区”网段, 或者是内部不符合安全规定的终端, 则让其进入“修复区”。
第4步, 安全通知:对被隔离的终端进行通知, 告知其被隔离的原因, 在访问网页资源时也会有相应的安全通知告示。
第5步, 安全修复:自动引导被隔离的终端, 让其修复安全设置或者进行注册登记, 使得其可以正常访问网络资源。
3 网络准入控制系统部署
图3是网络安全准入控制联动和终端安全管理系统所有相关服务器的部署连接示意图。其中策略管理服务器2台 (1台作为正常使用, 1台作为备份) 、联动控制器2台 (要求可实时切换) 、终端安全代理以及其它第3方修复服务器。
通过准入控制系统解决方案的部署, 可以将整个网络划分为2个不同的区:隔离修复区和正常工作区。准入控制系统可以根据终端用户的身份、终端满足安全策略程度将终端设备自动划分到这2个区域中。终端在不同安全区域能够访问到的网络资源不同, 比如:隔离修复区一般限制只能访问安全修复服务器等资源;正常工作区是正常办公需要的所有网络资源, 这个区域是大多数的安全区域。
准入控制系统可以支持多用户、多权分立管理, 根据不同管理员所拥有的管理权限与管理范围, 管理员只能操作被授权的功能以及限制的管理范围, 管理员所有的操作都可以让审计员进行审计。
4 结语
[关键词]电力;现状;信息化;安全;保护;管理
一、我国电力信息化技术发展的问题
随着经济的发展,人民生活水平的提高,对电力的需求量也随之增加,也促使我国电力不断地改进,不断地发展,满足其生活和经济的需求,于是,逐渐朝着信息化的方向前进。但是与其他国家相比,我国电力在信息化这一块发展较晚,前进也比较缓慢,有点落后于发达国家。但即便如此,我国电力在信息化技术这一方面还是取得了较大的进步,未来的发展前景也是比较开阔的。所以就算目前该工程还存在一些问题,比较复杂,也必须要坚持下去,不断突破各种难关。目前,我国电力信息化发展还存在以下不足。
首先,我国电力由于起步较晚,所以对其技术研究也发展的较晚,导致我国电力信息化技术比较落后,没有一个完整全面的体制,全国各地的标准也都大不相同,所以从这一方面来说,不能完全保证信息的保密性,而且相关的部门也没有一套正确的管理办法,且信息也比较复杂,致使有时还可能出现一定程度上的混乱,再加上由于各部门各阶段联系较密切,有着“牵一发而动全身”的密切关系,所以一个地方出现差错便可能导致其信息不能传达,造成部门之间不熟悉相互之间的信息,进而给那些意图不轨的人创造了机会。其次,虽然在一定程度上,电力部门的工作人员对有关电力的信息安全问题有一定的认识,但是还是比较薄弱,优势还是没能引起他们的重视。因此,就没有在电力信息安全这一方面做较多的投资,没有引进一些较高的防护器械,导致对电力信息的保护较弱,不能从根本上使信息比较完整和真实地保存下来。另一方面,目前像那些窃取信息的技术和方法在不断地更新与发展,导致最后防护不到位,盗取技术却不断发展,进而使得信息很容易泄露。最后,众所周知,要想对电力进行信息化管理,软件的作用不可小觑,但是偏偏我国电力信息化软件技术偏低,一般都是借鉴其他发达国家的技术,没有自己的研究与创造。但是毕竟不是自己的,根本无法掌握其中的原理,使得就算当某些病毒入侵时,也不能采取措施防御,束手无策。再加上科学技术的发展速度是非常惊人的,如果长期得不到改进,也是没有多大用处的,根本无法追上需求激增的步伐。
二、对电力信息安全进行安全维护和管理的原因
随着人民生活水平的提高,对电力的需求也激增,所以极大地加大了电力工作人员工作力度,如果继续采用原来利用人力进行管理的方法,可能会产生许多问题,因为数据冗杂,人工整理很有可能漏掉某些资料,而且还很难将这些数据永远的储存下来,效率也会大大降低。因此,在众多因素影响下,电力信息化越来越有必要,如果电力部门利用好这个技术,将大大提高管理质量和速度。但是有一個前提,那就是必须保证它的安全,否则产生的危害也是无可估计的,因为有些信息与居民密切相关,也与经济发展存在千丝万缕的关系,所以,一旦泄露,对居民的生活安全以及对国家的经济、政治和文化等方面所产生的危害都是不可预料的,所造成的损失可想而知。再加上,虽然网络技术方便快捷,但存在的漏洞也是很多的,所以在利用信息化技术的同时,必须高度重视它的安全问题。
三、对电力信息安全进行运行维护和管理的措施
由于电力信息化技术的应用越来越重要,迫于形势势在必行,但是在利用该技术的过程当中存在着诸多问题,所以,就必须快速地研究其解决问题的办法,使其快速发展。因此,根据其问题,有以下几点解决措施:
2、增强信息化技术的研发力度。
因为我国主要是引进其他发达国家的技术,在很多方面受到了相应的限制,所以我国迫切拥有自己的技术。为了这个目的,一方面,我国应加大对技术研究的人力和物力的投入,使得技术研究没有障碍,要不断地借鉴他国的研究,在此基础上不断地创新。另一方面,要多多培养这方面的人才,资助他们留学,尽可能地学习他国技术的精华,为技术研究注入一股积极的力量。
2、建立完整有效的管理体制
如果想保证电力信息的安全,仅仅靠提高技术水平也是不够的,还要实行有效地管理,所以必须建立完整的管理体系。第一,要大大降低电力工作的危险,提高其运行效率,那么就要极大地保证机器的质量,密切注意它的运行,如果一旦出现问题,要及时的修理或更换,使其正常高效的工作;第二,要使其管理方法尽可能地不出现错误,达到一种最佳完善状态,所以要培养一批管理人员,让他们去学习汲取宝贵有效的经验;第三,要有一套赏罚分明的责任制,让他们清楚地了解自己的工作与责任,恪尽职守,如果出现差错,一定要查明其源头,追究到底,严厉惩罚,使他们不敢玩忽职守,懈怠自己的工作,从而降低其出差错的频率。第四,要提高其监控和报警的水平,高度关注其运行工作,尽可能地达到预防差错的水平,或者一旦出现差错要最快速的了解并维修,还要大力监控,避免不法分子来袭;第四,因为这些信息极为重要,为了以防万一,还要复制一份严密保存,免得数据被盗,使电力工作无法进行。
3、提高电力工作人员对保护信息安全的意识
如果要成功的做好某事,就必须有那个意识,否则根本不可能成功,所以要像电力工作人员大力宣扬信息安全的重要性,要他们在思想上形成保护信息的管理,深刻认识到这一点,尤其是电力部门的领导阶层,如果他们信息保护的观念不强,那么就无法做出正确的保护信息的决策,或者根本就不怎么采取防御措施,从而导致整个部门维护信息安全的意识薄弱,使得信息很容易地泄露,造成不必要的危害。例如可以时不时地开会强调,还可以制定惩罚制度,让他们自觉的重视起来。
四、结论
为了应对经济快速发展导致人们对电力的需求激增,从而使得相关数据大大增多,加重电力工作人员的工作量这一现状,我国电力事业利用网络技术,不断地朝着信息化方向发展,虽说面临一些问题,但也要尽最大的努力去解决这些问题,加强对信息安全问题的重视,不断去突破,促使我国电力事业更上一个台阶。
参考文献
[1]谢永辉.电力信息安全运行维护与管理[J].科技与企业,2013,21:92.
[2]黄兆光.浅谈电力信息安全运行维护和管理[J].信息通信,2014,11:166-167.
[3]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014,11:45.
构筑电力行业的信息安全体系
通过具体事例,介绍了电力行业现有的信息系统中存在的安全漏洞和威胁,提出了电力系统的安全策略、安全服务机制及使用的`安全技术,最后,论述了电力系统实施安全所要达到的目标.
作 者:吴俊 作者单位:国电华中公司技术中心,湖北,武汉,430077刊 名:华中电力英文刊名:CENTRAL CHINA ELECTRIC POWER年,卷(期):200215(6)分类号:F407.61 X913.2关键词:网络 信息系统 安全
关于电力企业信息安全和电力监管统计情况的自查报告
1、某火电电厂信息安全自查报告
1.1、规章制度
电厂建立了物理安全、网络安全、数据库安全、二次系统、系统运行维护、系统开发相关的工作标准和规章制度,并根据实际情况,实时更新。同时,电厂还执行赛班斯法案要求的内部控制文档,并有电厂审计部门每月按内控文档要求进行审计控制,集团每年随时审计。
1.2、组织机构
我厂建立了由厂长直接领导的信息化领导小组,主管信息化工作的副厂长任领导小组副组长,组员由各部门领导组成,负责信息化建设和信息安全管理。信息化工作小组由信息中心员工组成,负责信息化建设和信息安全工作的具体实施。对于信息安全管理设有专人负责。组织机构根据实际情况,实时调整。
详见《火电电厂信息化领导小组成员》。
1.3、信息安全和电力二次系统安全资金保障
公司每年给电厂批复专门用于信息安全运行维护方面的经费,该经费每年都是专款专用,落实情况良好。
为了提升信息化管理水平,改造信息化管理的硬件服务器平台,建立一套稳定可靠、技术先进的硬件环境,去年底对机房和网络进行了改造,并在2010年3月份顺利竣工。该项目为提升我厂信息安全提供了强有力的保障。
1.4、人员管理
由人资部编写的信息中心岗位职责,每年更新,其规定了各岗位的责任与权限,具体描述了岗位基本技能、工作内容与要求。按照《信息化管理程序》和内控的要求,全厂所有员工(含信息中心全体员工)每年进行一次信息安全原则以及信息安全意识的培训和教育。信息中心每年开展专业技能的培训,包括新开发/变更的系统、新公布的信息行业标准等。
对于外来人员有相应的内控管理措施,其出入机房及查看系统,都需要填写
相应的申请单,经由信息中心主任同意后方可访问。
1.5、安全总体防护策略制定情况
我厂有相应的《二次系统安全防护管理标准》,电厂系统分为三个大区,各大区之间的安全防护完全按照电监会的《电力二次系统安全防护总体方案》布置。实现了“安全分区。网络专用,横向隔离,纵向认证”的方针。
各大区之间采用了科东的StoneWall-2000正向隔离装置进行隔离,与电力调度网之间采用了PS-TUNNEL2000纵向加密认证网关,电厂MIS网与公司广域网之间采用防火墙隔离;互联网采用单独的一套网络,与厂内其它网络实现物理隔离。
1.6、运维管理
根据内控要求,设备、系统的运维都有相应的日志记录和程序变更记录。系统的开发依照《应用系统开发管理标准》执行,开发环境与运行环境分离。
电厂应用系统采用域认证方式,管理制度中对密码管理有统一的要求。应用系统有安全审计功能,但是内网中没有安全漏洞检测和自动补丁升级功能,补丁升级靠手动实施。
1.7、数据安全
数据安全按照《数据备份与恢复管理标准》和《数据分类及安全保护管理标准》管理,对于数据备份与恢复操作以及备份介质都有明确规定,并且严格遵照执行。数据库均设有严密密码保护,按照内控要求,定期进行数据库直接访问检查。对于磁盘、光盘、U盘盒移动硬盘等移动存储介质的管理都有相应的管理制度,并严格遵照执行。
1.8、信息网络安全设备国产化情况。
电厂网络设备包括防火墙、隔离装置、纵向认证设备均是国产设备。
1.9、物理环境安全
去年底电厂进行了机房与网络改造项目,大大提高的物理安全可靠性。生产调度区、计算机机房均按有门禁、防盗门窗、监视器、防火防灾报警装置。供电和通信系统采用双路冗余。人员出入有严格的登记制度。
1.10、应急响应与灾难恢复。
《二次系统安全防护管理标准》以及《重大网络信息安全事件应急预案》具体规定了二次系统的安全应急处理。
应急预案中需要的物资,随时保证可取可用,并对预案定期演练。
半年一次异地备份,定期系统灾难备份(无异地灾难备份),对于信息系统信息安全情况每月定期报送总公司和分公司。
1.11、信息网络安全等级保护定级工作。
2007年底完成信息网络安全等级保护定级备案工作,共上报8个信息系统,其中定级为三级的有一个,是SIS系统。其它7个为二级系统。
通过自查,我厂信息安全情况符合电监会各项检查依据。
2、某火电电厂电力监管统计情况自查报告
1.1、规章制度
火电电厂依据【中华人民共和国统计法】、【统计法规实施细则】、【电力监管条例】、【电力企业信息报送规定】(电监会13号令)、【电力监管统计报表制度】(2008年修订版)、【某国际电力股份有限公司综合统计管理办法】、【能源、物资统计报表制度及报表说明】、【某国际电力股份有限公司对外报表管理办法】、【某国际电力股份有限公司生产经营活动分析管理办法】建立了某火电电厂综合统计分析管理程序,并根据实际情况,实时更新。程序文件规定了
电厂综合统计分析工作的统计调查、统计报表(日、月、季、年)、统计分析、统计监督、统计服务和数据信息披露的保密性等管理内容。
1.2、组织机构
火电电厂建立了全厂生产经营活动的领导机构,组长为厂长,副组长为各主管副厂长,各部门主要负责人为组员;下设生产经营活动办公室,组织机构挂靠在策划部,由策划部主任担当组长,并设一名联络员,负责日常生产经营管理工作及编制全厂生产经营管理统计数据分析。在策划部设专职综合统计核算员一名,负责生产现场记录(原始数据)的收集、整理、存档;负责生产日报、统计台帐的编制、汇总;负责编制电监局、市统计局、辽宁省电力公司、某东北分公司、某国际电力股份有限公司(以下简称公司)等上级主管部门下发的综合生产月报、季报、年报等。组织机构根据实际情况,实时调整。
详见《综合统计分析管理程序》。
1.3、电力监管统计工作开展情况
火电电厂建立了报送系统的常态机制,能够及时、准确、完整地向各级主管单位进行数据报送。2010年4月19日~23日在锦州市召开的“东北区域6000KW及以上统调发电企业统计年报审核会”上,电监会审核的:CEC101-《电厂基本情况》、CEC102-《发电生产能力》、CEC206-《电源项目建设规模和新增生产能力年报》、发电01-《发电机组变动情况表》、发电06-《发电企业电煤燃料价格情况表》、《发电企业财务、生产月报表》、《生产事故情况表》等报表,我厂均通过审核,符合要求。
【摘要】现阶段,计算机网络技术已经成为电力信息通信系统中的主要技术手段之一,网络安全问题开始引起人们的高度重视。本文对电力信息通信系统中的网络安全防护进行了分析,希望对电力行业内信息通信网络安全管理工作提供一定的参考作用。
【关键词】电力行业;信息通信系统;网络安全
前言
随着电力信息通信系统的发展速度不断加快,系统中各类技术的运用与融合越来越多。当前计算机网络技术在电力信息通信系统中已经得到广泛应用,以太网逐渐成为电力信息通信网络的主流趋势,随之而来的网络安全问题开始引起人们的注意。如何提高网络安全性能,保证信息通信系统更好为电力企业各类业务提供可靠的支撑,成为今后一段时期电力行业面临的重要问题。
1电力信息通信网络的特点
电力信息通信网络主要具备以下几个特点。①行业专用网络,该网络为电力企业自行搭建,通常情况下与公网是物理隔离的,很大程度上只是满足行业内的工作需要。②网络地理范围较为广,由于每个地市网络的建设运维根据实际情况会存在一定的差异,因此网络架构有非常强的地域性。③该网络上还承载了在电力系统其它专业的数据通信,数据信息的种类较多,对网络连通和数据传送的稳定性能要求很高。
2当前网络安全存在的问题
2.1信息通信系统的建设和管理不够完善
在电力企业日常经营的过程中,信息通信系统的建设处于不断提升提质的状态,现阶段相关岗位的技术人员不足,制度的落地和执行存在一定问题。事实上每个业务部门都有需要信息部门对其进行技术上的支持,信息通信系统做为企业基础性的技术支撑,在进行信息通信建设的时候需要多个部门通力合作,以此来完善系统,避免出现技术上和管理上的漏洞。
2.2工作人员的网络安全意识有待增强
电力工作人员重视信息通信系统应用操作的学习,却经常忽略了网络安全的问题。意识上的缺乏导致了电力企业的网络安全管理相对较薄弱,对于企业的网络安全防范以及安全管理来说,还难以形成一种自发的共识。系统内对网络安全的隐患缺乏全面的治理,网络安全隐患依然存在。
2.3外部威胁的形势依然严峻
随着电力自动化技术的不断发展,调控中心、变电站以及用户之间的信息流转越来越频繁,信息通信技术的应用也变得越来越普遍,电力系统控制的影响因素变得越来越多。在进行技术操作的时候,如果将外部的病毒甚至黑1客程序引入了信息通信系统,则电力自动化系统也有可能遭受恶意攻击,从而造成控制的紊乱,导致电力系统的整体运行受到影响[1]。
3网络安全风险的主要表现形式
3.1不合理的网络构架
当前电力行业在信息通信网络建设时,受到投资规模所限,网络构架并不十分合理,主要体现在网络交换机的选择上。为了能够以较少成本实现数据通信的基本功能,基层单位和变电站的信息通信系统在网络构建时,仍存在使用二层交换机作为汇聚交换机甚至核心交换机的情况,导致所有用户处于平等的地位,系统难以对其进行有效的管理[2],这为可能的黑1客入侵和网络攻击提供了便利条件。
3.2恶意程序的侵害
恶意程序,尤其是计算机病毒是计算机网络的重要威胁,同时也是计算机系统的头号大敌。病毒感染会在一定程度上使计算机系统的运行变得错乱,并且会对文件系统进行攻击或者篡改,从而导致电力信息通信系统的整体运行受到影响。目前电力信息通信网络已经形成了大范围的网络连通,这在一定程度上将加速病毒的传播速度。
3.3数据的失真及泄露
电力行业的信息通信网络随着网络技术的不断更新换代,已经开始由小范围的数据传递发展成为电力系统业务的通用承载平台。随着各种业务软件的不断推广,用电营销、财务管理等业务系统都已经投入使用,给生产经营带来方便的同时,也带来了一定的风险。大量的应用系统会涉及到海量的数据传输,在传输过程中,可能受到一些外界因素的影响,其中不排除一些非法获取和修改数据资源的手段,不仅使电力系统的安全运行面临着很大的风险,还可能会带来一些难以发现的数据篡改,使业务指标出现错误。业务管理人员应该重视电子数据的安全性,网络管理人员应该熟悉应用系统的架构,避免在系统运行的过程中出现重要数据失真及泄露的情况[3]。
3.4系统自身的安全风险
除去以上影响因素之外,电力信息通信系统的自身运行也会存在一定程度的风险,系统自身的安全风险主要来自于操作系统、应用系统和数据系统的`运行错误,这些错误可能给网络带来不可预料的安全风险。从理论上来说,系统内部运行错误是不可能完全避免的,只能采取有效措施,尽量降低系统出现风险的概率,减少风险带来的损失。
4网络安全防护的具体策略
4.1严格的账号管理
从管理层面上规范工作人员的行为,应当是网络安全防护最基础的工作。首先要明确信息通信系统的运维权限,向经过授权的工作人员分配相应权限的系统账号。然后严格账号管理,所有账号都应设置复杂密码,并且不得使用他人账号,确保网络的管理层面处于可控在控、有据可查的状态。
4.2防火墙技术
防火墙是最为常见且有效的网络安全防护技术,主要用于隔离非信任的网络信号。在进行安全隔离的时候,主要关注点应集中在安全点的检查上,强制性的对需要检查的区域进行较为详细的过滤,从而达到限制一些重要信息进行访问以及储存的作用。在进行电力业务和信息通信管理的时候,要注意各个系统之间的整体配合,可以在一定程度上阻断破坏以及攻击的行为,这是非常重要的。
4.3防病毒软件
178电力讯息在网络中主机(计算机、服务器等)运行的时候,应该注意进行防病毒保障。病毒可以在很短的时间之内侵入网络系统,并且借助主机之间的数据信息传递进行相互感染,这会给电力信息通信系统中的基础信息数据造成一定的破坏,甚至影响系统的正常运行。工作人员应该针对不同的主机类型配置不同的杀毒软件,针对不同的服务器型号采用不同的防护方式,对电脑进行实时保护。除此之外,还要经常对主机中的垃圾文件进行清理,并且要及时对主机操作系统进行升级和漏洞修补,保证其始终处于最佳的运行状态(如图1).
4.4数据与系统备份
许多时候,网络运行中存在一些不可控的风险因素。这时候,工作人员在对信息通信系统进行运维的时候,应该注意定期对重要的数据信息进行备份,同时还要建立起规范化的备份处理制度,一旦系统出现故障,可以避免重要的数据信息丢失,尽快恢复系统的正常运行。
5结束语
在实际运行的过程中,网络的安全情况难免会受到一些外界因素的影响,这些因素是难以完全控制的,工作人员应该通过不断地提升各类防护手段,来持续增强网络安全性能,保障电力信息通信系统的安全稳定运行。
参考文献
[1]向险峰.电力信息通信系统中的网络技术应用及其安全管理[J].大科技,,14(15):110~111.
[2]黄鑫,陈德成,孙军,等.网络攻击下电力系统信息安全研究综述[J].电测与仪表,2017,6(23):68~74.
随着电力企业信息化的不断发展, 信息安全问题变得越来越重要。电力企业的信息安全关系到电力系统的安全、稳定、经济、优质运行, 影响着电力系统数字信息化的实现进程。保证信息网络的安全运行, 确保业务系统的稳定可靠, 加强信息化的管理都是电力企业网络信息系统安全不可忽视的组成部分。
保证信息网络的安全运行, 是当前信息安全的一个挑战。虽然当前安全防护技术和安全产品发展迅速, 但很多企业仍然遇到各种各样的攻击, 究其根本就是很多企业没有建立一套完善的信息安全体系。
1 信息安全的意义
信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性, 其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织 (ISO) 把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说, 就是要保障电子信息的有效性。”
纵观从不同的角度对信息安全的不同描述, 可以看出2种描述风格。一种是从信息安全所涉及层面的角度进行描述, 大体上涉及了实体 (物理) 安全、运行安全、数据 (信息) 安全;另一种是从信息安全所涉及的安全属性的角度进行描述, 大体上涉及了机密性、完整性、可用性。后来国内学者根据信息安全的发展, 总结形成了信息安全的四要素, 即机密性、真实性、可用性和可控性, 简称CACA。
其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。这4个基本属性实际上就是信息安全的4个核心属性, 相互不能蕴涵, 反映了信息安全的基本概貌。
2 网络安全现状
近年来, 信息技术在电力企业管理、生产管理和过程管理中的应用, 提高了电力企业的生产运行和经营管理水平。电力企业是国家重要的能源支柱产业, 也是日常工作和生活的基础保障。电力企业的信息网络采用全网统一调度, 分级管理的管理模式。其安全防护的核心业务系统包括二次系统、电力市场监控系统, 完成生产过程中控制、调节、保护和监测管理的信息系统, 其运行的基础网络平台包括调度数据网和数据通信网。电力企业的核心网络按业务类型可以分成四大区域:实时控制区、非控制区、生产管理区和管理信息区。
2002年国家经贸委根据我国电网调度系统的具体情况发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》, 电网和电厂围绕着加强电力调度数据网络安全、保证电力安全生产等方面做了大量工作, 采取了许多有效措施防止病毒入侵和黑客攻击。但在网络建设、网络划分及网络连接等过程中仍然存在不同程度的隐患。为了使电力调度数据网络安全在建设、运行、维护和管理等方面有章可循、有法可依, 2005年国家电力监管委员会颁布了《电力二次系统安全防护规定》用以指导电力部门在信息化方面的建设。
3 网络风险分析
随着电力企业网络系统与外界接口的增加, 特别是电力企业的办公、管理区与互联网接入, 使得安全问题不仅仅源于内部事件, 来自外界的攻击也越来越多。加上网络应用的扩大, 网络安全影响的范围也增加了, 例如原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机, 引起大范围的瘫痪和损失。另外, 由于电力企业的一些员工缺乏安全控制机制和对网络安全防护意识的不足, 使电力企业面临的风险日益增多。归结起来, 电力企业的网络安全威胁主要涉及2个层面。
3.1 信息网络安全体系层面
电力企业虽然制定了指导整个电力信息网络系统安全运行的管理规范, 但尚未建立同电力行业特点相适应的健全的信息网络安全体系。在信息网络安全体系层面仍面临着以下风险。
(1) 网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施, 来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
(2) 业务安全风险。缺乏严格的验证机制, 导致非法用户使用关键业务系统, 不同业务系统之间缺少较细粒度的访问控制。
(3) 数据传输的安全风险。电力企业的数据通过互联网传输时被窃听。
(4) 系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。
(5) 病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏, 网络化的环境需要网络化的防病毒方案及多层次的防护体系。
3.2 安全管理层面
信息安全不仅仅是技术上的问题, 更多的涉及到安全管理层面。安全管理主要就是对人的管理, 人是使用信息网络的主体, 很多信息安全问题都是由于人的不正确使用或者是安全意识薄弱造成的。事实上, 网络安全最薄弱的环节不是系统漏洞而是人的漏洞。所以加强信息安全的管理将是电力企业建立信息安全体系的一个重要部分。
由此可见, 电力企业面临着多方面的风险。要保证电力企业信息网络的安全运行和可控管理, 需要建立一套完善的信息安全体系。
4 信息安全体系
根据国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》, 结合当前电力行业信息安全现状以及信息安全的需求, 电力企业需要建立一套完善的信息安全体系, 主要内容包括加强二次系统安全防护, 建立全面的安全防护体系和完整的安全管理策略。
4.1 二次系统安全防护
国家电力监管委员会第5号令通过的《电力二次系统安全防护规定》, 指出电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。从各安全区的横向隔离、纵向加密认证、电力调度的数字证书系统、电力调度信任体系、数据与系统的备份与恢复、系统内部的访问控制、Web系统的安全、远程拨号的防护、线路的加密、安全审计等方面给出了指导性意见, 并对系统的规划设计、项目审查、工程实施、系统改造、运行管理等提出了建设要求。电力企业在信息化网络安全建设及在信息系统的运行与管理中, 都应该依据《电力二次系统安全防护规定》, 加强安全防护, 保障电力监控系统和电力调度数据网络的安全。
4.2 安全防护体系
全面的安全防护体系是保证电力企业信息网络安全运行的根本, 是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品, 建议有重点的布置安全产品。
(1) 划分安全区域并制定明确的边界访问制度, 根据数据敏感程度, 在关键业务网段处部署网闸系统, 在管理和办公网段以及其他出口处部署防火墙系统, 实现严格的访问控制机制。
(2) 建立网络入侵检测系统, 增强审计响应手段, 提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。
(3) 建立网络入侵保护系统, 在出口处对网络流量进行检测, 并实时阻断来自外部或内部的各种攻击, 同时净化网络流量。
(4) 构建节点间的VPN体系, 保护在节日间数据传输的机密性、完整性和可认证性。
(5) 布署漏洞扫描系统, 检查网络、系统以及终端存在的弱点和漏洞。
(6) 建立网络防病毒体系, 以增强全网抗病毒和防蠕虫攻击的能力。
(7) 在对外信息发布系统前布署抗拒绝服务系统, 抵御来自外部的各种拒绝服务攻击。
(8) 建立数据备份系统, 提高关键业务数据的可用性。
(9) 布署集中的认证系统, 实现认证信息的集中存储与鉴权控制。
4.3 安全管理策略
完善的安全管理策略是对电力企业信息网络安全进行可控管理的关键, 安全管理策略的建设包括以下内容。
(1) 制定完善的信息安全规章制度, 规范整个企业对网络以及信息系统的使用。
(2) 定期对全网进行安全评估和加固, 通过安全评估, 实时了解和掌握整个网络的安全现状, 通过安全加固使网络和系统更加健壮。
(3) 建立内网安全管理系统, 从终端安全、桌面管理、行为监控、网络准入控制等方面对内部网络进行保护, 加强对内部网络和系统的管理。
(4) 建立一套完备的应急响应机制, 以便在遇到突发事件时可以及时响应并解决问题。
(5) 定期对企业员工进行安全培训, 加强员工对安全的认识, 提升员工的安全意识。
5 结语
电力企业的信息网络已经涉及到电力生产的各个层面, 并深入到生产和管理的全过程, 企业生产与管理对其信赖性也日益增加。建立一套完善的信息安全体系不仅可以充分保证电力企业信息网络的安全运行, 加强电力系统二次安全防护, 而且还可以实现对信息网络的可控管理, 保证电力企业数字信息化的顺利进行, 同时对于构建一个健康的绿色电力安全网络环境具有重要的意义。
摘要:根据电力企业的信息网络安全现状和需求, 阐述通过建立完善的信息安全体系以保证电力企业信息网络的安全运行与可控管理, 构建健康绿色电力安全网络环境。提出建设信息安全体系需要从2个方面来进行:建立全面的安全防护体系, 制定完善的安全管理策略。
关键词:信息安全,安全风险,安全防护,安全策略
参考文献
[1]汪涛.应对非传统安全因素的挑战[J].公安研究, 2004 (8) :65-67.
[2]周曦民.我国网络安全现状的分析及建议[J].电信快报, 2004 (10) :1-4.
[3]张昕楠.可用性保证信息安全[J].软件世界, 2006 (3) :85-89.
摘 要:随着我国社会经济的快速发展,电力事业得到了长足的发展,在信息化技术发展环境下,电力企业逐渐实现了信息化经营与管理。现阶段,电力信息系统的安全是电网运行的保障,如何提升电力信息系统的安全性能是广大电力工作者面临的实际问题。文章首先对电力信息系统进行简单的介绍,然后分析开放互联网电力信息系统的安全风险,并提出行之有效的安全防护措施,供有关人员参考。
关键词:开放互联网;电力信息系统;特点;安全风险;对策
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2015)17-0064-01
电力系统是现代社会必不可缺的项目之一,与人们的生活工作息息相关,由于一些自然因素以及客观因素的影响,导致电网系统遭到损坏,从而引起大面积的停电,对社会生产以及人们的生活造成影响。电力信息系统的安全也对电网安全运行有直接的影响,加强电力信息系统的安全防护是现阶段电力企业管理的重中之重。
1 电力信息系统概述
电力信息系统是电力系统之间信息传输的神经网络,能够实现电力系统的可控、可测,是目前电力系统运行管理中重要的组成部分。电力信息网络就是对电力系统中通过数据信息网络以及业务系统等进行运行管理的系统网络统称,从功能方面来说,信息系统可以说是电力系统的监控网络系统、管理系统。
随着科技水平的进步,电力信息系统在不同层次上都得到了完善与发展,同时在运行方式、概念等方面都赋予了电力系统新的内容,有效地提升了电力系统运行的效率与质量,改善了电力系统中的劳动条件,提高了电力企业运行的经济效益。
2 开放互联网电力信息系统安全风险
电力信息系统安全风险主要表现在管理、技术、网络、物理等层面,安全风险类型多而复杂,加强对安全风险的梳理工作,是有效防范风险的前提与基础。
2.1 电力信息系统物理层面的安全风险
电力信息系统中物理安全风险主要指的是系统中物理载体导致的安全风险,包括网络通信设备、计算机硬件设备等故障引起的系统故障,一般来说,物理风险具有很强的不可预见性,所以物理风险防范很难做到完善。如以下自然灾害造成的物理载体损坏,从而造成数据丢失、线路中断,很容易导致电力信息系统瘫痪。另外,一些人为因素,包括恶意破坏、电磁干扰等,也会对电力信息系统的安全性造成影响。
2.2 电力信息系统管理层面的安全风险
管理层安全风险主要指的是电力企业相关管理不到位,信息系统管理制度不够健全,或者是电力信息系统相关操作管理不完善。这些管理方面的缺陷都会对电力信息系统的安全性造成影响,甚至会导致系统瘫痪。
2.3 电力信息系统技术层面的安全风险
电力信息系统技术安全主要指的是对系统中一些信息存储、恢复、备份等过程中,对相关数据的合理技术处理。系统的应用风险就是在电力系统企业网络中进行身份识别、访问监控、安全监督、信息的完整与不公开性、信息转发的确定性及资源的合理有效控制方面所引发的安全风险。
2.4 电力信息系统网络层面的安全风险
引起网络层安全风险的因素主要包括系统中内外网隔离强度不足、网络布线、IP地址分配不合理、网络信号不强等。
2.5 电力信息系统系统层面的安全风险
系统安全风险指的是电力信息系统自身存在缺陷或者其他因素对系统造成的干扰,引起系统中相关信息被窃取、被损坏等问题。常见的有:系统中安装了不必要的功能模块,造成系统缺陷,尹飞系统多余端口开放性增加,如果不能及时的进行漏洞补丁更新与修补,就会导致电力信息系统受到病毒、恶意攻击等安全风险。
3 电力信息系统安全防护的对策
3.1 加强电力信息系统基础设施建设
电力信息系统基础设施质量直接影响整个系统的安全性能,因此,需要加强基础设施建设,提升系统硬件水平。如信息中心、机房等于系统运行环境紧密相关的基础设施,需要在机房建设中,做好监控、门禁、灭火系统、应急灯、报警系统等设施建设,保证机房环境干燥,适宜于机房所有设备的运行。同时保证相关布线、设备标识明确,对机房相关设备进行定期的检查。
合理规划系统网络,尽可能保证多点迂回,建立电力信息系统信息传输网络的环状与网状,防止单节点时效对整个网络造成影响。
3.2 不断地完善信息系统的管理体系
加强电力信息系统安全管理是系统安全风险最关键的防范措施,具体管理工作体现在对人员以及对设备的管理两个方面。建立完善的管理体系,建立相应的岗位制度,明确岗位职责,规范系统相关操作。加强对电力信息系统相关设备的定期维护管理,对相关网络故障、故障处理等进行记录,为下一次工作提供有力的依据。
加强对电力信息系统网络布局、节点分布图、网络设备、信息点分布等的备案管理。完善责任制度,将相关的管理工作、操作等责任具体到个人。完善考核制度,建立公正合理的奖罚体系。
3.3 强化电力信息系统内外网的隔离工作
加强电力信息系统网络内外网的隔离工作。采用物理隔离的方式隔离,保证局域网用户只能对内网相关资源进行访问,外网无法直接与内网进行连接。还可以实现双机双网模式,这样能够有效的避免外网计算机中感染病毒。
电力企业机要部门以及相关人员可以采用访问控制列表技术,通过单独的VLAN实现不影响系统正常运行的基础上,将办公计算机终端与机要办公计算机网络实行逻辑性保护隔离。对于电力企业内网计算机,需要通过计算机IP地址以及MAC码绑定技术,保证外网计算机与企业内网办公计算机相应的IP、MAC码不同,保证其不能连接入企业内网。
3.4 采用先进技术,提升系统的网络安全防护能力
采用防火墙、IDS(入侵检测系统)、IPS(入侵防御系统)和VPN(虚拟专用网)等有效的网络硬件,是加强网络安全管理的关键环节。防火墙可以实现网络安全隔离。IDS能够检测出对网络和计算机系统的恶意入侵,是防火墙之后的第二道安全闸门。IPS在IDS检测到攻击之后,可以在这种攻击扩散到网络其他地方之前进行阻止。VPN主要解决企业或系统之间跨地域访问与数据传输的安全问题,保证企业内部的关键数据能够安全地借助公共网络进行交换。
4 结 语
电力信息系统安全问题一直是电力企业经营管理中的关键问题,也是电力系统运行中管家的环节,其安全性直接关系到整个电力系统运行的安全与稳定。针对电力信息系统存在的物理、技术、系统、网络等安全风险,需要加强管理、完善制度、落实政策、引进技术,提升电力信息系统的安全防范能力,保证信息系统安全风险始终处于可控状态。
参考文献:
[1] 王世强.电力信息系统安全风险分析与应用思考[J].油田、矿山、电力设备管理与技术,2012,(7).
[2] 刘念,张建华,张昊.网络环境下变电站自动化系统的信息资产识别[J].电力系统自动化,2013,(7).
从目前情况看,相当数量的电力企业在信息操作系统及数据库系统等方面存在许多安全漏洞,如不引起重视,这些漏洞将会对电力系统带来严重影响。相关数据的流失、特定网络协议的错误等将给电力企业带来不同程度的损失。
2.2 网络协议存在的安全问题
计算机网络协议是电力系统计算机网络信息安全的重要根源。但也存在一定的安全问题,电力系统中常见的Telnet、FTP、SMTP等协议中,主要是面向信息资源共享的,在信息传输过程中安全性得不到有效保障。
2.3 计算机病毒的侵害
【电力信息化与信息安全】推荐阅读:
2024年中国十大电力信息化公司排名07-24
江苏省电力设计院信息化建设11-30
电力企业财务管理信息化建设分析报告11-06
信息安全原理与应用06-05
网络与信息安全技术小结06-06
网吧网络与信息安全制度09-14
it信息安全与保密管理10-17
如何理解信息安全等级保护与分级保护07-03
医院信息安全与系统监控研究论文09-11
浅析高校校园网信息安全的现状与防范06-01