电力行业网络与信息安全管理办法(精选8篇)
《电力行业网络与信息安全管理办法》的通知
国能安全〔2014〕317号
各派出机构,各有关电力企业:
为了规范电力行业网络与信息安全的监督管理,国家能源局制定了《电力行业网络与信息安全管理办法》,现印发你们,请依照执行。
国家能源局
2014年7月2日
电力行业网络与信息安全管理办法
第一章 总 则
第一条 为加强电力行业网络与信息安全监督管理,规范电力行业网络与信息安全工作,根据《中华人民共和国计算机信息系统安全保护条例》及国家有关规定,制定本办法。
第二条 电力行业网络与信息安全工作的目标是建立健全网络与信息安全保障体系和工作责任体系,提高网络与信息安全防护能力,保障网络与信息安全,促进信息化工作健康发展。
第三条 电力行业网络与信息安全工作坚持“积极防御、综合防范”的方针,遵循“统一领导、分级负责,统筹规划、突出重点”的原则。
第二章 监督管理职责
—1—
第四条 国家能源局是电力行业网络与信息安全主管部门,履行电力行业网络与信息安全监督管理职责。国家能源局派出机构根据国家能源局的授权,负责具体实施本辖区电力企业网络与信息安全监督管理。
第五条 国家能源局依法履行电力行业网络与信息安全监督管理工作职责,主要内容为:
(一)组织落实国家关于基础信息网络和重要信息系统安全保障工作的方针、政策和重大部署,并与电力生产安全监督管理工作相衔接;
(二)组织制定电力行业网络与信息安全的发展战略和总体规划;
(三)组织制定电力行业网络与信息安全等级保护、风险评估、信息通报、应急处置、事件调查与处理、工控设备安全性检测、专业人员管理、容灾备份、安全审计、信任体系建设等方面的政策规定及技术规范,并监督实施;
(四)组织制定电力行业网络与信息安全应急预案,督促、指导电力企业网络与信息安全应急工作,组织或参加信息安全事件的调查与处理;
(五)组织建立电力行业网络与信息安全工作评价与考核机制,督促电力企业落实网络与信息安全责任、保障网络与信息安全经费、开展网络与信息安全工程建设等工作;
(六)组织开展电力行业网络与信息安全信息通报、从业人员技能培训考核等工作;
(七)组织开展电力行业网络与信息安全的技术研发工作;
(八)电力行业网络与信息安全监督管理的其它事项。
第三章 电力企业职责
第六条 电力企业是本单位网络与信息安全的责任主体,负责本单位的网络与信息安全工作。
第七条 电力企业主要负责人是本单位网络与信息安全的第一责任人。电力企业应当建立健全网络与信息安全管理制度体系, 成立工作领导机构,明确责任部门,设立专兼职岗位,定义岗位职责,明确人员分工和技能要求, 建立健全网络与信息安全责任制。
第八条 电力企业应当按照电力监控系统安全防护规定及国家信息安全等级保护制度的要求,对本单位的网络与信息系统进行安全保护。
第九条 电力企业应当选用符合国家有关规定、满足网络与信息安全要求的信息技术产品和服务,开展信息系统安全建设或改建工作。
第十条 电力企业规划设计信息系统时,应明确系统的安全保护需求,设计合理的总体安全方案,制定安全实施计划,负责信息系统安全建设工程的实施。
第十一条 电力企业应当按照国家有关规定开展电力监控系统安全防护评估和信息安全等级测评工作,未达到要求的应当及时进行整改。
第十二条 电力企业应当按照国家有关规定开展信息安全风险评估工作,建立健全信息安全风险评估的自评估和检查评估制度,完善信息安全风险管理机制。
第十三条 电力企业应当按照网络与信息安全通报制度的规定,建立健全本单位信息通报机制,开展信息安全通报预警工作,及时向国家能源局或其派出机构报告有关情况。
第十四条 电力企业应当按照电力行业网络与信息安全应急预案,制定或修订本单位网络与信息安全应急预案,定期开展应急演练。
第十五条 电力企业发生信息安全事件后,应当及时采取有效措施降低损害程度,防止事态扩大,尽可能保护好现场,按规定做好信息上报工作。
第十六条 电力企业应当按照国家有关规定,建立健全容灾备份制度,对关键系统和核心数据进行有效备份。
第十七条 电力企业应当建立网络与信息安全资金保障制度,有效保障信息系统安全建设、运维、检查、等级测评和安全评估、应急及其它的信息安全资金。
第十八条 电力企业应当加强信息安全从业人员考核和管理。从业人员应当定期接受相应的政策规范和专业技能培训,并经培训合格后上岗。
第四章 监督检查
第十九条 国家能源局及其派出机构依法对电力企业网络与信息安全
工作进行监督检查。
第二十条 国家能源局及其派出机构进行监督检查和事件调查时,可以采取下列措施:
(一)进入电力企业进行检查;
(二)询问相关单位的工作人员,要求其对有关检查事项作出说明;
(三)查阅、复制与检查事项有关的文件、资料,对可能被转移、隐匿、损毁的文件、资料予以封存;
(四)对检查中发现的问题,责令其当场改正或者限期改正。
第五章 附 则
第二十一条 本办法由国家能源局负责解释。
众所周知, 信息化网络正以相当迅猛的速度进入到各种商业领域, 几乎所有的行政机关、事业单位和大中企业都拥有了自己的信息化网络平台。信息化网络平台的建设对企业的发展作用越来越大, 无论是网络硬件的搭建, 还是网络服务的搭建都在以超常规的速度迅速发展, 因此就要求相关的IT人员及管理人员应有更高的开发和管理水平。
信息化网络平台搭建是用来为企业赢利的, 而不是用来作秀的。一方面企业不会眼巴巴地看着几万、几十万甚至几百万的资金设备投入不产生任何效益, 另一方面, 企业办公对网络的依赖越来越强, 从最初的网络的方便性和可用性, 到今天的网络安全性。当网络仅仅用来传送一般性信息的时候, 当网络的覆盖面积仅仅限于一幢写字楼、一个小区的时候, 安全问题并没有突出地表现出来。但是, 当在网络上运行关键性的如银行、证券相关业务等, 信息网络安全就成为一个不容忽视的问题。随着信息化网络技术的发展, 网络克服了地理上的限制, 把分布在一个地区、一个国家, 甚至全球的分支机构联系起来。
它们使用公共的传输通道传递敏感的企业业务信息, 部分企业通过一定的方式可以直接或间接地使用某个机构的私有网络。但随着企业业务的发展需要不可避免地与外部公众网直接或间接地联系起来, 使得网络运行环境更加复杂、分布地域更加广泛、用途更加多样化, 从而造成网络管理难度增加, 安全性降低。随着机构和企业对信息化网络依赖性的增强, 一个相对较小的网络也突出地表现出一定的安全问题, 尤其是当机构或企业的业务越来越多需要借助网络平台处理时, 机构或企业内部网络就要面对来自外部公共网络的各种安全威胁, 网络黑客的攻击、网络病毒的泛滥和各种网络业务的安全要求已经构成了对网络安全的迫切需求。
2电力企业信息化网络安全运行的首要任务
从以上信息化网络的安全现状来看, 解决电力企业网络安全运行必须要做好网络安全的防范与管理。当我们把过多的注意力投向黑客攻击和网络病毒所带来的安全问题的时候, 却忽略内部管理是引发安全问题的根源, 正所谓搏銎鹣羟络。据国内外多家权威安全机构统计表明, 大约有80S的安全事件直接或间接地由内部管理引发。在一定程度上, 外部的安全问题可以通过购置一定的安全产品设备来解决, 但是, 大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此, 建立完善的电力企业级网络安全体系是解决电力企业网络安全运行的首要任务。
3电力企业信息化网络安全存在的误区
3.1过去乃至现在不少电力企业的管理者认为信息化网络只是技术部门或信息中心的事, 离自己很远。而技术部门或信息中心充当的仅仅是维护中心的职能, 在信息化网络运行中只有技术支持职能, 而缺少信息管理与技术管理职能, 技术部门或信息中心引进的人才普遍是单纯的计算机专业人才, 缺乏信息管理人才和技术管理人才。再者部分电力企业由于缺少真正的信息化网络部门, 没有“技术部门”或“信息中心”等专门的部门机构, 信息化网络系统的运营经常缺乏周密的规划, 部分电力企业各部门盲目运行信息化网络, 使得部分电力企业信息化网络运营往往脱离了电力企业本身实际需求的正确轨道, 不是以电力企业为主, 以业务应用为本, 而是被一些IT厂商牵着走, 导致主次不分。
3.2从电力企业信息化网络的管理与控制层面看, 如何保证整个信息化网络系统的有效运行和管理是保证信息化网络发挥最大效用实现的关键之所在。然而, 过去乃至现在在众多的电力企业管理者眼中, 投资信息化和进行大量的信息化网络建设项目, 是增强电力企业竞争能力、提升电力企业价值的惟一道路。将信息化网络系统看作是一个超级神化的利器, 没有从根本上去了解电力企业信息化发展的内部结构与功能, 只是盲目将大量资金投入, 然后期盼着好的企业效益会神话般地出现。信息化网络系统内暗藏着复杂的“机关”, 因此需要富有经验的管理者进行周密的计划和组织, 突破层层“机关”, 在运行过程中进行最有效的管理与控制, 否则不管在当初建设初阶段投入了多少资金, 在应用与运行阶段想实现成本的回收和企业效益的增值都变的相当艰难。
3.3从电力企业信息化的项目建设层面分析, 项目建设的成功与否关系到企业信息化的成败。目前, 部分电力企业热衷于开发适用于自己的MIS系统, 争相使用ERP等项目, 却陷入屡遭失败而难以自拔的处境, 由于ERP等信息化应用项目实施非常复杂与困难, 耗费的时间长, 而且项目投入巨大, 很多企业缺乏有效的项目管理和过程控制是导致信息化项目失败的直接原因。信息化项目管理是一项需要很高技巧的复杂工作, 需要制定合理的实施计划、良好的组织管理, 员工沟通、整合、最大限度控制成本、节约时间、提高质量、将风险控制到最低。尤其是电力企业大型的信息化项目, 对该项目的实施与管理更是需要一套周全的管理运行策略。如果项目在一次性投资后缺乏有效监控与管理, 缺乏有效机制保障信息系统运作, 项目的运营将会很难继续或陷入无法脱离的“沼泽”。
4电力企业信息化网络安全存在的主要问题
电力企业信息化网络安全问题主要可分为内部网络安全和外部网络安全, 无论是内部安全问题还是外部安全问题, 归结起来一般有以下几个方面:
4.1网络建设单位、管理人员和技术人员缺乏安全防范意识, 从而就不可能采取主动防御的安全措施, 完全处于被动挨打的位置。在日常业务活动中存在安全疏漏, 造成不必要的信息泄露, 给攻击者以可乘之机。
4.2信息中心和技术部门的有关人员对信息网络的运行安全现状不明确, 不了解甚至根本不知道信息网络目前存在的安全隐患, 从而失去了防御隐患的最佳时机。
4.3信息中心和技术部门的计算机网络安全防范没有形成完整的、组织化的体系结构, 其安全漏洞缺陷给网络黑客以可乘之机。
4.4信息中心和技术部门的计算机网络没有建立完善的管理体系, 从而导致安全体系和安全控制措施不能充分有效地发挥, 无章可依。
4.5网络安全管理人员和技术人员缺乏专业安全知识匮乏, 不能安全地维护网络安全运行, 不能及时发现已存在的和随时可能出现的新安全问题, 对突发的网络安全事件不能作出积极、有序和有效的补救。
5电力网络安全管理体系的建立, 运行与管理
电力企业信息化网络体系建立、运行与管理是一个系统工程, 涉及到电力企业生产、经营、管理等各个方面, 一般来说, 包括以下几个方面的基础内容:
5.1日常办公自动化管理
电力企业日常业务文件资料日积月累堆积如山, 给文件资料保管、日后查询带来极大难度。在过去传统的办公程序, 从文件起草、传阅、审批、归档、借阅等各个环节, 常常存在浪费纸张, 或由于时间较久造成文字不清, 或保管不当文件意外受潮、火灾等导致文件丢失:在日常办公常常由于传阅不及时、文件去向不明等现象造成工作效率下降。而信息化网络下的办公自动化.只要通过公司计算机网络, 将所有文件输入进去, 无论何时何地, 均可通过网络邮件或电力企业OA系统进行文件资料的制定、修改、转发、查阅。做到既安全、省时、准确, 能够极大地提高工作效率。
5.2企业业务管理信息化
电力企业信息化不只是单纯计算机硬件设备、软件应用的代名词, 更为重要的是要与企业内部管理有机结合。电力企业信息化除了硬件、软件环境的改变之外, 最重要的在于电力企业内部各类管理的信息化, 如生产管理、信息资源管理, 后者更为重要。管理领域的信息化是企业利用现代信息技术, 建立信息管理系统。要在信息化网络使用过程中通过转变过去传统的管理观念, 提高全体员工的整体素质, 建立良好的管理制度和管理流程, 构建扎实的切实有效的企业管理基础, 实行科学管理, 从而提高电力企业的整体管理水平。
5.3业务决策网络化
在完善的信息网络化具备的条件下, 充分发挥网络的作用, 在信息化网络条件下, 电力企业的业务从调研、签约、履约到后期的数据报表、经济活动分析等服务, 都可以进行信息化管理。同时通过信息化网络及时了解各地市场信息, 从而对预期业务做出科学的预测和分析。利用目前掌握的数据包括往年数据等各种业务数据建立信息数据库, 利用对比、深层分析, 实现日常业务管理、数据综合分析和未来预测。改进业务流程和管理模式, 最大限度开发利用信息资源, 通过计算机网络系统进行采集、存储、处理和优化企业发展所需要的多方面信息, 提高电力企业运行效率和决策水平。
6保障信息化网络安全运行策略
电力行业信息化网络安全体系具有网络体系结构普遍存在内在外在安全问题, 同时又存在自身企业特点的信息网络安全问题。要实施一个完整的网络安全系统, 至少要注意三类措施: (1) 社会的法律、法规以及电力企业的规章制度和安全教育等外部软件环境。 (2) 技术方面措施, 如网络防毒、信息加密、授权、认证以及防火墙技术。 (3) 审计和管理措施, 这方面措施同时也包含了技术与社会措施。因此对待电力企业网络体系要从以下措施策略做起。
6.1电力企业网络安全体系现状分析。只有明确自己的安全需求才能有针对性地构建适合于电力企业的安全体系结构, 从而有效地保证电力企业网络系统的安全。
6.2网络安全性方法全面制度化、方法多样化。如修补系统漏洞、病毒检查、加密、执行身份鉴别、防火墙、捕捉闯入者、空闲机器守则、废品处理守则及口令守则。
6.3制定安全措施制度。根据信息中心和技术部门的安全需求和风险评估的结论, 制定信息中心和技术部门的计算机网络安全制度。
6.4定期网络体系安全检查。安全检查的首要任务是检查企业的安全策略是否被有效地和正确地执行。其次, 由于网络安全是一个动态的过程, 信息中心和技术部门的计算机网络的配置可能经常变化, 因此信息中心和技术部门对安全的需求也会发生变化, 组织的安全策略需要进行相应地调整。为了在发生变化时, 安全策略和控制措施能够及时反映这种变化, 必须进行定期安全检查。
6.5外部技术支持。计算机网络安全同必要的外部支持是分不开的。通过专业的安全技术服务机构的支持, 将使网络安全体系更加完善, 并可以得到最新的安全资讯, 为计算机网络体系安全提供安全预警。
结语
电力企业信息网络仅仅依靠单一的技术或安全产品设备无法满足网络运行对安全的要求, 只有将技术和管理手段有机结台起来, 从控制整个电力企业网络安全建设、运行和维护的全过程角度入手, 才能提高电力企业网络的整体安全水平。
参考文献
[1]党林.电力企业网络信息安全的防护措施[J].科技传播, 2012 (04) .
关键词:电力企业 网络信息安全 安全管理
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2014)12(c)-0153-01
信息化建设能够有效的提高企业的内部管理水平以及企业生产力,是如今社会发展的必然方向。电力企业是一种技术密集型的企业对于自动化生产的方式有着较为严格的要求,所以在信息化建设上起步较早,在电力系统信息化发展上取得了一些明显的效果。但由于信息安全管理经验的不足,在信息化网络安全建设过程中遇到了很多问题,而且很多问题一直存在至今,所以加强和改善对电力企业网络信息安全管理是如今的重要研究课题[1]。
1 我国电力企业网络信息安全方面所面临的问题
1.1 网络安全意识不高,缺乏相关的网络安全管理人才
企业更注重网络与信息系统的可用性,导致网络信息安全方面的问题被忽略,因此所表现出来的网络安全意识不够高。同时也有部分原因是由于员工们都存在着侥幸的心理,对于网络安全问题不够看重,觉得网络安全隐患不会发生。另外,也由于网络安全方面的人才比较少,特别是关于电力系统网络信息技术方面的人才。而且在一些电力企业当中,甚至有的系统管理职工根本不具备网络安全管理的技术与能力,这是目前较为普遍且严重的问题。
1.2 网络安全防护能力跟不上时代与技术的发展,没有做好维护工作
随着信息技术的渗透,电力企业对于网络的安全愈加重视,不过由于网络信息技术发展过快的因素,在电力企业中的网络安全防护能力明显有所不足,很难实现与时代主流的信息技术同步。同时很多电力企业内部还缺少一整套完善的网络安全防护系统,这就导致电力企业内部的防护变得极其脆弱。如果受到网络攻击时,将有极大的可能出现网络和信息系统瘫痪的情况。另外,一些相应的数据备份以及数据恢复也没有建立起来,导致信息系统内部数据损坏或者丢失时,难以将其找回,这就给电力企业带来极大的损失,所以如今电力企业网络信息安全防护能力急需提高[2]。
1.3 电力企业内的设备本身及其所使用的系统软件存在问题
在现代的电力企业当中能够看到许多性能、配置都极佳的服务器,随着时代的发展,信息技术水平日新月异,一些网络黑客的黑客技术越来越娴熟,对于服务器的攻击也越来越激烈,而涉及国计民生的电力系统自然就成为黑客们的首要攻击目标。同时也有一部分的原因是由于其设备本身就存在着一系列的漏洞,导致黑客们轻而易举地就入侵到电力系统当中。
2 电力系统网络信息安全管理的具体措施
2.1 做好安全规划,建立网络安全管理体系
网络技术是网络信息安全的保障和基础,但是网络技术只能暂时解决网络安全问题,而无法从根本上解决问题。这就需要对电力企业的网络安全进行一次全面的规划,要以系统且可观的角度去观察和思考电力企业网络安全的问题,从而建立起一套系统全面的网络安全管理体系。
2.2 注重安全区域的划分
现代电力企业内部的网络安全系统都是以物理隔离的方式来进行,不过仍需要对一些安全区域进行划分,其中防范区域、重点区域以及开放区域是网络安全区域划分的三个重点划分对象,这些安全区域必须对其实行严密的安全防护措施,并设定严格的访问权限限制,将这些重要环节设置成较高的安全级别,同时将一些重要的数据、服务器以及数据库等放置在这些安全区域内,这样就能形成有效的安全防护。
2.3 加强安全管理制度方面的建设
电力系统的安全防护对于电力企业来说是一个较大的、系统化的工程,这就需要企业为此建立一个专业的、规范的安全管理制度。(1)加强对防火墙的日志管理以及其安全的检测,防火墙具有入侵检测功能,所以就需要做好相关的管理和审计工作。(2)建立起完善的病毒防护体系,病毒防护体系是现今对于病毒防护的重要防护手段。对于一些从网络上下载的数据不可将其随意地往主机上复制,也要严禁使用一些来历不明的移动存储设备连接主机,对于职员也要要求其做到病毒发生后的正确处理方法[3]。
2.4 建立网络管理制度
要想保证电力企业信息网络安全就必须建立起一套严格的网络管理制度,首先领导应当做出高度的重视,着手调节网络安全技术部门的压力,并将这种压力扩散到每一个部门。企业内部成立一个网络安全小组,做到及时、实时地进行网络安全维护工作。同时还应加强网络安全的基础性建设,对一些机房、配电房等的基础设施进行严格的管理,同时需要配置相应的防火、防盗以及防水等设备,在建立设备的当天需要定期对一些设备进行统计记录。另外还需建立相应的安全管理制度,设置一些系统内部重要的数据信息等,必须由专人进行管理和负责,要进行修改则需经过负责人授权才可,通过之后则必须登记记录,这样就能做到较为严密的防护。
2.5 制定好定期检查的制度
管理制度的推出必须要求职工进行严格的遵守,同时管理人员也应严肃地对待。企业方面也应该组织其专门的人员来对内部的管理制度进行定期的检查,这样才能保证管理制度的落实,从而提高网络安全度。
3 结语
综上所述,要想提高电力企业网络信息安全管理,需要做到做好安全规划,建立网络安全管理体系,注重安全区域的划分,加强安全管理制度方面的建设,建立网络管理制度,制定好定期检查的制度。这样才能促使职工有效地贯彻和落实网络信息安全管理制度,从而提高电力企业的网络信息安全。
参考文献
[1]杨天坤.发电企业网络信息安全管理分析[J].电子制作,2013(10):102.
[2]田甜.发电企业网络信息安全管理浅谈[J].甘肃科技,2013(24):100-101.
一、工作开展情况
羊口万海光伏电站,装机容量35MW,位于山东省潍坊市羊口镇临港工业园区,为落实山东省调通知[2018]69号-《关于做好2018年上合组织青岛峰会电力监控系统网络与信息安全保障准备工作的通知》要求,我公司积极响应并组织开展电力监控系统安全防护专项检查活动。
二、检查发现问题
本次专项检查工作共发现问题8个,其中基础物理安全问题3个、总体结构安全问题0个、系统本体安全问题4个、安全管理问题1个、应急保障问题0个。
主要问题情况如下:
(一)基础物理安全层面
1、二次设备间和控制室采用普通柜式空调进行温度调节,无湿度自动调节设施;未设置温湿度越线报警系统;
2、二次设备间电源线和通信线缆未隔离铺设,机柜内电源线与通信网络部署在同一线槽内;
3、二次设备间电缆沟内未设置进水报警系统;
(二)总体结构安全层面 羊口万海光伏电站,严格按照国家发改委第14号令《电力监控系统安全防护规定》要求,实施了安全分区、网络专用、横向隔离、纵向认证的总体安全防护方针和策略。安全分区:羊口万海电力监控系统分为生产控制大区和管理信息大区,生产控制大区分为安全Ⅰ区和安全Ⅱ区,其中电站监控系统部署在安全Ⅰ区,光功率预测系统部署在安全Ⅱ区;网络专用:羊口万海电力监控系统网络架构清晰,各系统采用了独立的网络设备组网,主要系统节点采用了双机双网冗余热备用方式;横向隔离:生产控制大区和管理信息大区之间部署了专用方向隔离装置,禁止通用网络服务;纵向认证:羊口万海电力监控系统与纵向连接经过了国家制定部门认证的电力专用纵向加密认证装置,开启了加密策略,实现了数据纵向传输的保密性。
(三)系统本体安全层面
1、口令长度为6位数字,未定期更换;
2、故障滤波系统采用windows 系统;
3、系统多人共用了一个账户;
4、现场逆变器数据未加入到省调D5000备调系统中。
(四)安全管理层面
电站未设立专门的网络安全与通信安全专业技术人员。
(五)应急保障层面
羊口万海制定了羊口万海新能源场站电力监控系统安全防护总体方案,方案中包含了应急预案、人员组织机构、外来人员登记管理制度、羊口万海新能源场站系统用户及密码安全管理规范、数据库 管理制度、移动存储介质使用申请表等各项规章制度和规范。增强了对网络安全事件的预防和应对突发网络安全事件的能力。
截至4月10日,已完成问题整改7个,问题整改率87.5%。对于无法立即整改的问题,暂时采取以下措施进行处置:
故障滤波系统采用windows 系统,已经联系厂家进行整改,升级为Linux系统。
三、下一步工作计划
1、羊口万海光伏电站会进一步加强羊口万海新能源场站电力监控系统安全防护总体方案的落实和实施,加强对场站内现制度和管理上的安全保证;规范日常信息化管理和检查制度。包括:软件管理、硬件管理、和维护管理、网络管理等,便于安全的维护和加固,实现基础管理上的安全保证;
2、组织好本单位推广应用与主管领导和工作人员的培训等工作,确保信息化的实施成效,实现规划和应用上的安全保证;
3、加强人员对网络安全知识的拷问及考试制度,对考核结果实施奖惩制度,激发员工学习网络安全的能动性和积极性。
网络安全的五个属性:可用性,机密性,完整性,可靠性,不可抵赖性,1、网络安全威胁定义:指某个实体对某一网络资源的机密性,完整性,可用性,及可靠性,等可能造成的危害,安全威胁分为故意的和偶然的。
2、哪种威胁是被动威胁“截获,纂改,伪造,主动的是:中断
3、安全威胁的主要表现形式:授权侵犯,旁路控制,拒绝服务,窃听,电磁泄漏,非法使用,信息泄漏,完整性破坏,假冒,物理浸入,重放,否认,资源耗尽,业务流分析,特洛伊木马,陷门,人员疏忽,4、什么是重放:出于非法目的而重新发送截获的合法通信数据的拷贝,5、什么是陷门:在某个系统或文件中预先设置的“机关”特定的输入时,允许违反安全计策。,使得当提供
6、网络安全策略包括哪4方面:物理安全策略,访问控制策略,信息加
密策略,安全管理策略。
7、安全访问策略就是一组用于确认主体是否对客体具有访问权限的规
则。
8、P2DR一的安全策略的控制和指导下,模型的4部分,它的基本思想:一个系统的安全应该在一个统
综合应用各种安全技术对系统进行保护,同时利用检测工具来监视和评估系统的安全状态,并通过适当的响应机制来将系统调整到相对“最安全”和“风险最低”的状态。
9、PDRR模型的4部分:防护,检查,响应,恢复。
10、常用网络服务有哪些,它们的作用。:Telnet.FTPE—Mailwww11、DNS
安全访问策略就是一组用于确认主体是否对客体具有访问权限的规
则。
12、IP分段偏移,生命期,头部检验和,源头结构::版本,头长度,服务类型,风包总长度,标示,标志,IP地址。
13、TCP头结构:源端口,目的端口,顺序号,确认号,头长度,1415、、ping ftp命令中上传和下载指令分别是什么。指令的功能:是用来检测当前主机与目的主机之间的连同情况。Put和get16、怎么利用Tracert指令来确定从一个主机到其他主机的路由。:通过向
目标发送不同IP 生存时间(TTL)值的ICMP数据包,Tracert诊断程序确定到目标所采取的路由。
17、什么是基于密钥的算法:密码体制的加密,解密算法是公开的,算法的可变参数是保密的,密码系统的安全性仅依赖于密钥的安全性,这样的算法称为基于密钥的算法,分为两种:对称加密算法和非对称算法。1819、、什么是对称加密算法、非对称加密算法:加密密钥和解密密钥相同对DES、三重DES进行穷举攻击,各需要多少次。:2 112和2 64。20、给定p、q、e、M,设计一个RSA算法,求公钥、私钥,并利用RSA
进行加密和解密:公钥:n=P*q(p-1)(q-1)))加密c=m ee=(p-1)(q-1)(mod n)解密m=c d
私钥 d : e-1(mod n)
((mod21、使用对称加密和仲裁者实现数字签名的步骤A用Kac加密准备发给
B吧这个解密的消息及自己的证明的消息M,并将之发给仲裁者,仲裁者用S用Kac加密,仲裁者吧加密的消Kac解密消息,仲裁者息发给B,B用与仲裁者共享的密钥Kac解密收到的消息,就可以看到来自于A的消息M和来自仲裁者的证明S。
22、使用公开密钥体制进行数字签名的步骤:A 用他的私人密钥加密消
息,从而对文件签名。A将签名的消息发送给B,B用A 的公开密钥解消息,从而验证签名。
23、使用公开密钥体制与单向散列函数进行数字签名的步骤A使消息M
通过单向散列函数H,产生散列值,几消息的指纹或称消息验证码,A字签名一起发给使用私人密钥对散列值进行加密,形成数字签名B,B 收到消息和签名后,用A的公开密钥解密数S,A吧消息与数字签名S,再用同样的算法对消息运算生成算列值,B吧自己生成的算列值域解密的数字签名想比较,看是否匹配,从而验证签名。
24、Kerberos定义。:是为了TCP/IP网络设计的基于对称密码体系的可信
第三方鉴别协议,负责在网络上进行可信仲裁及会发密钥的分配。
25、PKI它能够为所有网络应用提供加密和数字签名等密码服务及所必需的定义:又称公钥基础设施,是一种遵循既定标准的密钥管理平台,密钥和证书管理体系。2627、、Windows 2000 Windows 2000中用户证书主要用于验证消息发送者的身份认证的两个过程是:交互式登录,网络身份认证。SID28、Windows 2000安全系统支持Kerberos V5、安全套接字层/传输层安全
(SSL/TLS)和NTLM三种身份认证机制
29、Windows 2000提供哪些功能确保设备驱动程序和系统文件保持数字
签名状态:Windows文件保护,系统文件检查程序,文件签名验证。3031、、WINDOWS使用文件加密系统对文件进行解密的步骤。主机推荐使用的文件系统格式是:要解密一个文件,首先
NTFS 哟啊对文件加密密钥进行解密,当用户的私钥与这个公钥匹配时,文件加密密钥进行解密,用户并不是唯一能对文件加密密钥进行解密的人,当文件加密密钥被解密后,可以被用户或恢复代理用于文件资料的解密。
32、常见的漏,拒绝服务,特权升级,Web服务安全威胁有哪些:电子欺骗,纂改,否认,信息泄
33、CGI提供了动态服务,可以在用户和Web服务器之间交互式通信
34、JavaScript将用户的本地硬盘上的文件上载到网络上的任何主机,存在的5个主要的安全漏洞。:JavaScript可以欺骗用户,JavaScript能获得用户本地硬盘的目录列表,JavaScript能监视用户某段时间没访问的所有网页,JavaScript能够触发Netscape Navigator送出电子邮件行星而不需要经过用户允许,嵌入网页的JavaScript代码是公开的,缺乏安全性
35、什么是发的一种机制,用来改善Cookies,使用CookiesHTTP有什么安全隐患。是协议的无状态性,Netscape公司开
36、IIS的安全配置主要包括哪几个内容:删除不必要的虚拟目录,删除
危险的IIS组件,为IIS 中的文件分类设置权限,删除不必要的应用程序映射,保护日志安全,37、SSL结构,包括SSL协议的层次,主要特征:利用认证技术识别身
份,利用加密技术保证通道的保密性,利用数字签名技术保证信息传送的完整性,包括三个结构:SSL握手协议,SSL改变密码规格协议,SSL报警协议。3839、、SSL什么是会话通过握手协议来创建SET,它主要提供哪三种服务: SET是为了保护用户使用信用
卡在互联网上进行安全的交易支付而设计的加密与安全规范,三种服务:在参与交易的各方之间提供安全的通信通道,使用X。509V3证书为用户提供一种信任机制,保护隐私信息。
40、SET的参与者:持卡人,商家,发卡机构,代理商,支付网关,证书
权威,4142、、SETSET协议使用协议使用SHA-1X.509v3散列码和和RSA数字签名来提供持卡人账户认证RSA数字签名来提供消息完整性
43、双重签名机制的主要特点:双重签名机制可以巧妙的把发送给不同接
受者的两条消息联系起来,而又很好的保护了消费者的隐私
44、电子邮件不是一种“端到端”的服务,而是被称为“存储转发”服务。
45、邮件网关的功能:预防功能,监控功能,跟踪功能,邮件功能,46、根据用途,邮件网关可分为哪三种:普通邮件网关,邮件过滤网关,发垃圾邮件网关,47、SMTP协议与POP3协议的区别:SMTP协议用于邮件服务器之间传
送邮件,POP3协议用于用户从邮件服务器上把邮件存储到本地主机。
48、什么是电子邮件“欺骗”:是在电子邮件中改变名字,使之看起来是从
某地或某发来的行为,有三个目的:隐藏自己的身份,冒充比人,电子邮件欺骗能被看做是社会工程的一种表现形式,49、进行电子邮件欺骗的三种基本方法:相似的电子邮件地址,修改邮件
客户,远程登录到25端口。5051、、PGPPGP通过使用加密签字实现安全的三个主要功能:使用强大的E-maiIDEA:加密算法对存储在计算机上的文件加密,使用公开密钥加密技术队电子邮件进行加密,使用公开密钥加密技术对文件或电子邮件做数字签名。
52、防火墙定义:指隔离在内部网和外部网络之间的一道防御系统,它能
挡住来自外部网络的攻击和入侵,保障内部网络的安全。
53、什么是数据驱动攻击:据中传输到因特网主机上,入侵者把一些具有破坏性的数据藏匿在普通数
当这些数据被激活时就会发生数据驱动攻击。
54、防火墙的功能:务和非法用户,可以限制未授权用户进入内部网络,防止入侵者接近内部网络的防御设施,过滤掉不安全服
对网络攻击进行检查和警告,限制内部用户访问特殊站点,记录通过防火墙的信息内容和活动,为监视因特网安全提供方便。
55、防火墙应的特性:所有在内部网络和外部网络之间传输的数据都必须
通过防火墙,只有被授权的合法数据,即防火墙安全策略允许的数据,可以通过防火墙,防火墙本身具有预防入侵的功能,不受各种攻击的影响,人机界面好,用户配置使用方便,易管理。
56、防火墙的缺点:不能防范恶意的内部用户,不能防范不通过防火墙的链接,不能防范全部的威胁,防火墙不能防范病毒。
57、防火墙技术主要有包过滤防火墙和代理服务器
58、包过滤防火墙的定义:又称网络层防火墙,它对进出内部网络的所有
信息进行分析,并按照一定的信息过滤规则对信息进行限制,允许授权信息通过,拒绝非授权信息通过,59、包过滤的定义:在网络层中对数据包实施有选择的通过,依据系统事
先设定好的过滤规则,检查数据流中的每个包,根据包头信息来确定是否允许数据包通过,拒绝发送可疑 的包。60、包过滤防火墙的优点:一个屏蔽路由器能保护整个网络,包过滤对用
户透明,屏蔽路由器速度快,效率高,61、包过滤型防火墙工作在网络层
62、三种常见的防火墙体系结构:双重宿主主机结构,屏蔽主机结构,屏
蔽子网结构,63、屏蔽主机结构由什么组成:一台堡垒主机和过滤功能屏蔽路由器。64、分布式防火墙的优点:增强的系统安全性,提高了系统性能,系统的扩展性,应用更为广泛,支持VPN通信。
65、病毒的定义:实际是一种计算机程序,是一段可执行的指令代码。66、病毒的生命周期:包括隐藏阶段,传播阶段,触发阶段,执行阶段
四个阶段。
67、病毒的特征:传染性,破坏性,潜伏性,可执行性,可触发性,隐蔽
性,6869、、病毒的分类,蠕虫病毒属于一种网络病毒,病毒的主要传播途径:通过移动存储设备来传播,CIH属于文件型病毒网络传播,无线传
播,70、蠕虫病毒的基本程序结构包括哪些模块:功能模块。
传播模块,隐藏模块,目的71、获取口令的常用方法:通过网络监听非法得到用户口令,口令的穷举
攻击,利用系统管理员的失误。
72、端口扫描器通常分为哪三类:数据库安全扫描器,操作系统安全扫描
器和网络安全扫描器。
73、端口扫描技术包括:扫描 ,IP段扫描,TCPTCP 反向connectident扫描()扫描,FTP返回攻击 ,TCP SYN,UDP ICMP扫描,TCP 端口不FIN
能到达扫描,ICMP echo扫描。
74、如何发现怀疑运行监听程序的主机,用正确的Sniffer:网络通信掉包率特别高,IP地址和错误的物理地址去网络带宽出现异常,对于
PING,往网上发送大量 包含不存在的物理地址的包,由于监听程序哟啊处理这些包,将导致性能下降,通过比较前后盖机器的性能加以判断。许多探测Sniffer的应用程序可以用来帮助探测Sniffer。75、防御网络监听的方法:从逻辑或物理上对网络分段,以交换式集线器
代替共享式集线器,使用加密技术,划分VLAN。76、什么是拒绝服务攻击:指一个用户占据了大量的共享资源,是系统没
有剩余的资源给其他用户提供服务的一种攻击方式,7778、、分布式拒绝服务攻击体系包括哪三层:攻击者,主控者,代理端,木马入侵原理:配置木马,传播木马,运行木马,信息泄漏,建立连
接,远程控制。
79、入侵检测定义:统中的若干关键点收集信息,即是对入侵行为的发觉,通过对这些信息的分析来发现网络或系它在计算机网络或计算机系
统中是否有违反安全策略的行为和被攻击的迹象。8081、、入侵检测过程包括信息收集和信号分析入侵检测过程中的三种信号分析方法:模式匹配,统计分析,完整性
分析。
82、按照数据来源,统,基于网络的入侵检测系统,采用上述两种数据来源入侵检测系统可分为哪三种:基于主机的入侵检测系的分布式的入侵检测系统。
83、什么是模式匹配方法:误用模式数据库进行比较,从而发现违背安全策略的行为。就是将收集到得信息与已知的网络入侵和系统
84、基于网络的入侵检测系统的组成:网络安全数据库,安全配置机构器,探测器,分析引擎,85、网络管理有哪五大功能:配置管理,性能管理,故障管理,计费管理,安全管理。
86、OSI管对象资源的感念性存储称为管理信息库(系统的管理结构:管理系统中的代理实现对被管对象的访问,MIB),管理者和代理之被
间使用OSI通信协议栈进行通信,其中,CMIP是网络管理的应用层协议,在OSI 网络管理中起关键作用。
87、TCP/IP网络中应用最为广泛的网络管理协议是SNMP。
(河南电力调度通信中心 河南 郑州,450052 摘要:分析了河南省电力公司计算机信息网络所面临的不安全因素,并对该计算机信息网络的特殊架构层次化,继而进行了深入的网络安全透析,并给出了针对性的网络安全防护部署。
关键词:计算机信息网络;安全防护技术;安全管理;防火墙;入侵监测;防病毒;身份认证;VPN;网络隔离装置
一、前言
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算机信息网络的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多;同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,使网络的重要性和影响也越来越大,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。
一、电力计算机信息网络的架构特点:(一 河南省电力计算机信息网络的现状:(1企业内部网络(Intranet连接。Intranet主要包括以下几个方面:各地区电业 局、电厂、修造设计机构与省电力公司的连接;各县电业局与地区电业局的连接;省电力公司与网局、国电公司的连接。
(2企业外部连接。省电力公司与省电力公司二级机构与国际互联网的连接;各级电
力公司提供的远程访问服务;各级电力公司与外系统(如银行、政府部门的连接。
以上连接一方面丰富了电力公司的业务,同时也导致了新的安全问题。
二、对河南电力计算机信息网络的安全“层次化”:
上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重要的网络安全问题之一。保护计算机网络的稳定运行,防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织和分支机构,确定信息认证等等问题需要重点解决。而且电力部门有其独特的网络模式,所以从自身实际安全需求出发,全局、综合、均衡地考虑各种必要的安全措施,建立全面完整的安全体系,从而促进电力生产的安全、稳定、经济运行。
根据河南省电力系统计算机信息网络的特点,各相关业务系统的重要程度和数据
流程、目前状况和安全要求,将整个系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
(1安全区Ⅰ:实时控制区
安全区I中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。
安全区I的典型系统包括调度自动化系统(SCADA/EMS、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信经由电力调度数据网SPInet--VPN1。该区中还
包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级。安全区I是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心。
(2安全区Ⅱ:非控制生产区
安全区Ⅱ中的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区I中的系统或功能模块联系紧密。安全区Ⅱ的典型系统包括调度员培训模拟系统(DTS、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级。
(3安全区Ⅲ:生产管理区
安全区III中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统(DMIS、统计报表系统(日报、旬报、月报、年报、雷电监测系统、气象信息接入等。
(4安全区IV:管理信息区
安全区IV中的业务系统或功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端。该区包括管理信息系统(MIS、办公自动化系统(OA、客户服务等。该区的外部通信边界为公共因特网。
三、网络安全防护分析: 针对电力计算机信息网络的以上特殊性质,进行网络安全分析如下:(一 网络逻辑结构示意图
(二在网络接口处可能受到的攻击分析: 关联接口攻击场景描述风险类 型 风险 级别 对业务的影 响
I1 通过该接口,入侵安全等级高的系统,向通信网关发送雪崩 数据,造成网络堵塞。机密性
完整性 H 导致和 SCADA/EMS 系统及其它 生产系统业 务中断
I2、I3 通过该接口,入侵DMIS系统 重要业务部分,造成重要业务 中断。完整性 可用性 可靠性 审计性 H 可以向DMIS 系统加入恶 意代码,窃取 信息或对系 统造成破坏。
I4 其它DMIS系统中的恶意进程或攻击人或病毒,通过SPI
net,利用该接口非法接入 DMIS局域网可用性 审计性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I5 来自MIS系统的病毒和恶意进程或攻击人,非法进入DMIS 系统。窃听或篡改发电计划、负荷需求或其它不对外公开 信息等数据审计性 可用性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I6 , I6.1 黑客假冒开发商或本系统维
护人员的身份获得对DMIS系 统的远程维护权限 认证性 可用性 抗否认 H 黑客可以向 DMIS系统加 入恶意代码, 窃取信息,或 对系统造成 破坏。
I7 来自系统外单位系统的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 DMIS系统, 导致服务中
断或网络堵 塞
I8 来自INTERNET的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 MIS系统,导 致服务中断 或网络堵塞
四、网络安全防护措施
(一基于接口的安全技术和管理建议 接口 保护(P 检测(D 响应(R 管理
I1 C 通信网关、防火墙 无 无 C 口令 无 无
无 I2 R 身份认证,审计追踪,抗否认,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 无 无 无 无 I3 R 物理隔离 无
暂停服务,审计日志分析
制定服务中断恢复计划,安全相容性检查 C 口令 无 无 无 I4 R 抗否认,审计追踪,身份认证,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 防火墙 无 无
I5 R 防火墙,身份认证,防恶意代码,安全网关,防病毒 恶意代码检测 入侵检测 修改防火墙规则,病毒库更新
制定服务中断恢复计划,安全相容性检查 I6, I6 C 口令 无 无.1 R VPN,抗否认, 审计追踪,身 份认证,安全 网关恶意代码检测 入侵检测 暂停拨号服 务,审计日志 分析 定义接 口安全 条件, 定义用 户安全
连接条 件,安 全相容 性检查
C 通信网关无无I7 R 身份认证,安 全网关,防火 墙,抗否认, 审计追踪,防 病毒恶意代码检测 入侵检测 暂停服务,修 改防火墙规 则,审计日 志,病毒库更 新 定义接 口安全 条件
C防火墙无无无I8 R防火墙,身份 认证,防恶意 代码,安全网
关,防病毒恶意代码检测 入侵检测 修改防火墙 规则,病毒库 更新 制定服 务中断 恢复计 划,安 全相容 性检查
注:C表示当前所采用的安全措施,R表示推荐采用安全措施(二安全产品选用 安全产品及其简要功能 安全产品名
称
类型 功能说明 对系统可能的影响 防火墙 硬件防火墙 软件防火墙
访问控制 影响数据传输速度
网关 服务器 访问控制 影响数据传输速度 基于网络 实时监控 实施阻断时,占用一定的 网络带宽 入侵检测软
件 基于主机 准实时监控 占用主机的一部分CPU和 内存 安全评估软
件 基于网络和主机 漏洞扫描 在扫描时,占用一定主机 和网络资源 专用隔离装 置 物理隔离 逻辑隔离 更严格的访问 控制
影响传输数据的类型、速 度
防病毒软件 针对NT/2000系列 防、杀病毒 对主机性能有一定影响 PKI系统 CA, RA, AS RA, AS 身份认证、数据 保密、数据完整 证书和私钥的管理增加 了管理工作量 AS 性检验等 备份系统 针对服务器中的数据和软件
可以对重要数据和软件进行灾难恢复
实施备份操作时,影响网络和相关主机的速度和性能(三、部署安全产品
(四安全产品部署说明: [1] 防火墙&隔离装置
在调度生产管理系统的安全区Ⅱ和安全区Ⅲ间(即物理接口PI3处,部署专用物理隔离设备,以实施对安全区Ⅰ、Ⅱ的安全隔离。
在管理信息系统(MIS的接入点和公共网络接入点,即物理接口PI5和PI8,采用隔离装置实施访问控制策略。
[2] 入侵监测系统
在调度生产管理系统中部署基于网络和基于主机的入侵检测系统,以实施对网络和服务器攻击及违规行为的监测与响应策略。入侵检测系统的探头布置在三处,分别标识为IDS 探头
1、IDS 探头2和IDS 探头3,它们的作用分别为: IDS 探头1:用于监控DMIS 系统与SPI net 之间的访问活动 IDS 探头2:用于监控DMIS 系统内部服务器访问活动
IDS 探头3:用于监控系统外部单位和DMIS 系统之间的访问活动
安全监测中心实现对入侵检测系统中探头(或称为探测器的统一管理与控制,它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。
[3] 安全评估系统
在DMIS系统中布置安全评估系统,可以辅助管理员自主地定期对调度生产管理系统进行必要的安全评估,检测与分析系统存在的安全漏洞,并根据安全评估报告的结果进行整改,及时安装升级包,或者修改防火墙和隔离设备的访问控制规则,以避免黑客利用系统安全漏洞进行攻击。
[4] 防病毒软件
在调度生产管理系统内部的所有主机和服务器上安装防病毒软件,并配置一台病毒管理中心,进行必要的防病毒管理。
由于现在病毒感染的途径很多,因此必须实施全面的防病毒方案,并且能及时更新。
[5] 身份认证(PKI系统
在调度生产管理系统中布置PKI系统主要用于系统与人(如使用人员员、远程维护人员等之间以及各系统进程之间的身份认证。完整的PKI系统包括CA、RA、目录服务等,在调度生产管理系统中可以选择下面两种配置之一: 只需要布置一个证书服务器,向应用程序提供证书和证书作废列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络RTU证书、无闭环专用系统的证书、远程维护人员的证书等。
不增加任何设备,应用程序直接调用PKI系统提供的API,从而支持强身份认证功能。
与配置一相比,需要手工向应用程序导入证书和证书作废列表 参考文献: [1]湖南电力计算机广域网安全分析张灿湖南电力文献 2003.5 [2] 电力信息网络安全的“层次化”思科网络安全技术文献库 2004.5 [3] 国家电力信息化目标国家电力信息化技术文献 2002.3 [4] 孙友仓,对信息系统安全管理的探讨.现代电子技术[J],2004,27(5 [5] 熊松韫,张志平.构建网络信息的安全防护体系.情报学报[J], 2003,22(1 吴博: 男,工程师,2003年毕业于四川大学电气信息学院通信工程系,同年7月在河南省电力公司调度通信中心通信处就职, 从事电力通信调度以及电力通信网络的管理、维护和故障处理等方面的工作。
The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone
Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.电力系统计算机网络信息安全分析及防护 作者:吴博
作者单位:河南电力调度通信中心,河南郑州,450052 相似文献(10条
1.会议论文谭晓天系统集成思想指导下的电网调度专业网络构建1999 系统集成是高水闰的计算机应用,能为用户提供一体化的解决方案。该文结合湖南电网调度专业网络系统的开发阐述了系统集成四个层次的具体实践。最后指出专业人员参与系统集成值得注意的问题。
2.会议论文胡炎.谢小荣.辛耀中现有安全设计方法综述2005 本文对电网现有安全设计方法进行了综述。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、发现修改方法、预防性安全设计方法等现有安全设计方法的特点和不足,同时总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面研究的可借鉴之处.3.期刊论文任志翔.仇群辉智能电网调度自动化技术思考-经济研究导刊2010,“"(7
简述了智能电网的概念和特点,介绍电网调度自动化的发展历史,分析了智能电网调度自动化和传统电网调度自动化在智能处理和信息共享等方面的区别,着重分析了目前电网调度自动化系统的研究现状,并以目前在变电站建设中推广的IEC 61850和在主站构建中推广的IEC 61970标准以及计算机网络和先进的通信技术作为基础,重点分析了未来中国智能电网调度自动化的研究方向.4.会议论文李承东.潘明惠微机网络在东北电网调度运行中的应用1994 5.会议论文舒彬.潘敬东转变观念、优化管理—关于电网调度自动化系统网络安全管理的几点思考2001 本文在分析调度自动化系统网络安全管理中,由于信息不对称所造成的信息失真情况的基础上,探讨了如何通过建立一套有效的技术手段提高自动化系统安全管理系数,并进一步提出以”目标和任务"机制作为网络安全研究与建设方向的思想,以期为建立可适应性安全防护体系做好准备工作.6.会议论文牛万福DEC计算机电网调度监控系统1997 详细介绍了一自行开发的DEC ALPHA计算机电网监控(SCADA系统,描述了监控系统计算机网络的客户站/服务器(client/server体系结构及电网监控软件,阐述了双机运行和软件切换机制。文章也介绍了该计算机电网监控系统在地区电网调度中的应用及与企业管理信息系统(MIS和省局能量管理系统(EMS的网络连接。
7.学位论文高云电网调度运行信息管理系统设计2001 该文研究的对象是供电企业的电网调度运行信息管理系统,它是生产技术管理系统的一个重要组成部分.文中首先指出了目前地区供电企业在调度运行信息的记录、处理和传阅方式上存在的问题.在对系统功能需求和数据需求进行分析的基础上,对调度运行信息进行了分类,确定了系统的总体功能及实现方案,并采用原型法的软件开发方法、面向对象程序设计技术(OOP和计算机网络技术进行开发.利用Visual FoxPro6.0开发工具设计的调度运行信息管理系统具有基础资料数据库和运行记录数据库.现已完成主控程序,系统注册模块、运行记录模块和操作命令票管理
模块等应用程序,可以对设备参数和电网运行信息进行增加、修改、删除和查询工作,统计断路器跳闸次数并给出达到预定值时的信息提示.程序中设计了利用已输入的基础资料数据进行快速、灵活地输入和编辑运行记录的操作方法,极大地减少了汉字输入的工作量,并且使记录的信息更为规范.设计的程序具有操作简便、易于使用和功能扩充方便等特点.8.会议论文王桂茹电网调度管理信息系统设计1997 这是一篇涉及计算机网络及应用推广;涉及电网调度相关专业知识及信息共享原则的论文。
9.会议论文曹连军.王晓华东北电网调度通信中心生产管理企业网1999 当今计算机已经由单机操作向网络操作发展。计算机网络在企业现代化管理中起到越来越重要的作用。该文给出了东北电网调度通信中心生产管理企业网的功能描述。
随着电力企业信息化的不断发展, 信息安全问题变得越来越重要。电力企业的信息安全关系到电力系统的安全、稳定、经济、优质运行, 影响着电力系统数字信息化的实现进程。保证信息网络的安全运行, 确保业务系统的稳定可靠, 加强信息化的管理都是电力企业网络信息系统安全不可忽视的组成部分。
保证信息网络的安全运行, 是当前信息安全的一个挑战。虽然当前安全防护技术和安全产品发展迅速, 但很多企业仍然遇到各种各样的攻击, 究其根本就是很多企业没有建立一套完善的信息安全体系。
1 信息安全的意义
信息安全是指在信息传导和应用过程中必须保障信息的秘密性和可靠性, 其实质就是要保障信息系统和信息网络中的信息资源免遭各种类型的破坏。国际标准化组织 (ISO) 把信息安全定义为“信息的完整性、可用性、保密性和可靠性”。国家信息安全重点实验室给出的定义是:“信息安全涉及到信息的机密性、完整性、可用性、可控性。综合起来说, 就是要保障电子信息的有效性。”
纵观从不同的角度对信息安全的不同描述, 可以看出2种描述风格。一种是从信息安全所涉及层面的角度进行描述, 大体上涉及了实体 (物理) 安全、运行安全、数据 (信息) 安全;另一种是从信息安全所涉及的安全属性的角度进行描述, 大体上涉及了机密性、完整性、可用性。后来国内学者根据信息安全的发展, 总结形成了信息安全的四要素, 即机密性、真实性、可用性和可控性, 简称CACA。
其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。这4个基本属性实际上就是信息安全的4个核心属性, 相互不能蕴涵, 反映了信息安全的基本概貌。
2 网络安全现状
近年来, 信息技术在电力企业管理、生产管理和过程管理中的应用, 提高了电力企业的生产运行和经营管理水平。电力企业是国家重要的能源支柱产业, 也是日常工作和生活的基础保障。电力企业的信息网络采用全网统一调度, 分级管理的管理模式。其安全防护的核心业务系统包括二次系统、电力市场监控系统, 完成生产过程中控制、调节、保护和监测管理的信息系统, 其运行的基础网络平台包括调度数据网和数据通信网。电力企业的核心网络按业务类型可以分成四大区域:实时控制区、非控制区、生产管理区和管理信息区。
2002年国家经贸委根据我国电网调度系统的具体情况发布了《电网和电厂计算机监控系统及调度数据网络安全防护规定》, 电网和电厂围绕着加强电力调度数据网络安全、保证电力安全生产等方面做了大量工作, 采取了许多有效措施防止病毒入侵和黑客攻击。但在网络建设、网络划分及网络连接等过程中仍然存在不同程度的隐患。为了使电力调度数据网络安全在建设、运行、维护和管理等方面有章可循、有法可依, 2005年国家电力监管委员会颁布了《电力二次系统安全防护规定》用以指导电力部门在信息化方面的建设。
3 网络风险分析
随着电力企业网络系统与外界接口的增加, 特别是电力企业的办公、管理区与互联网接入, 使得安全问题不仅仅源于内部事件, 来自外界的攻击也越来越多。加上网络应用的扩大, 网络安全影响的范围也增加了, 例如原来由单个计算机安全事故引起的损害可能通过网络传播到其他系统和主机, 引起大范围的瘫痪和损失。另外, 由于电力企业的一些员工缺乏安全控制机制和对网络安全防护意识的不足, 使电力企业面临的风险日益增多。归结起来, 电力企业的网络安全威胁主要涉及2个层面。
3.1 信息网络安全体系层面
电力企业虽然制定了指导整个电力信息网络系统安全运行的管理规范, 但尚未建立同电力行业特点相适应的健全的信息网络安全体系。在信息网络安全体系层面仍面临着以下风险。
(1) 网络边界安全风险。不同安全域之间的网络连接没有有效访问控制措施, 来自互联网的访问存在潜在的扫描攻击、DOS攻击、非法侵入等。
(2) 业务安全风险。缺乏严格的验证机制, 导致非法用户使用关键业务系统, 不同业务系统之间缺少较细粒度的访问控制。
(3) 数据传输的安全风险。电力企业的数据通过互联网传输时被窃听。
(4) 系统基础平台安全风险。全网所有终端和服务器的平台安全、系统或设备的安全漏洞所带来的风险。
(5) 病毒安全风险。全网任何一点感染病毒都将带来巨大的破坏, 网络化的环境需要网络化的防病毒方案及多层次的防护体系。
3.2 安全管理层面
信息安全不仅仅是技术上的问题, 更多的涉及到安全管理层面。安全管理主要就是对人的管理, 人是使用信息网络的主体, 很多信息安全问题都是由于人的不正确使用或者是安全意识薄弱造成的。事实上, 网络安全最薄弱的环节不是系统漏洞而是人的漏洞。所以加强信息安全的管理将是电力企业建立信息安全体系的一个重要部分。
由此可见, 电力企业面临着多方面的风险。要保证电力企业信息网络的安全运行和可控管理, 需要建立一套完善的信息安全体系。
4 信息安全体系
根据国家经贸委关于《电网和电厂计算机监控系统及调度数据网络安全防护规定》、《电力二次系统安全防护规定》, 结合当前电力行业信息安全现状以及信息安全的需求, 电力企业需要建立一套完善的信息安全体系, 主要内容包括加强二次系统安全防护, 建立全面的安全防护体系和完整的安全管理策略。
4.1 二次系统安全防护
国家电力监管委员会第5号令通过的《电力二次系统安全防护规定》, 指出电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则。从各安全区的横向隔离、纵向加密认证、电力调度的数字证书系统、电力调度信任体系、数据与系统的备份与恢复、系统内部的访问控制、Web系统的安全、远程拨号的防护、线路的加密、安全审计等方面给出了指导性意见, 并对系统的规划设计、项目审查、工程实施、系统改造、运行管理等提出了建设要求。电力企业在信息化网络安全建设及在信息系统的运行与管理中, 都应该依据《电力二次系统安全防护规定》, 加强安全防护, 保障电力监控系统和电力调度数据网络的安全。
4.2 安全防护体系
全面的安全防护体系是保证电力企业信息网络安全运行的根本, 是对现有的网络、系统和数据进行有效的保护和加固。安全防护体系的建设需要使用当前的各种安全技术和安全产品, 建议有重点的布置安全产品。
(1) 划分安全区域并制定明确的边界访问制度, 根据数据敏感程度, 在关键业务网段处部署网闸系统, 在管理和办公网段以及其他出口处部署防火墙系统, 实现严格的访问控制机制。
(2) 建立网络入侵检测系统, 增强审计响应手段, 提高对异常行为的深度检测以及对安全事件的集中分析、定位和追查能力。
(3) 建立网络入侵保护系统, 在出口处对网络流量进行检测, 并实时阻断来自外部或内部的各种攻击, 同时净化网络流量。
(4) 构建节点间的VPN体系, 保护在节日间数据传输的机密性、完整性和可认证性。
(5) 布署漏洞扫描系统, 检查网络、系统以及终端存在的弱点和漏洞。
(6) 建立网络防病毒体系, 以增强全网抗病毒和防蠕虫攻击的能力。
(7) 在对外信息发布系统前布署抗拒绝服务系统, 抵御来自外部的各种拒绝服务攻击。
(8) 建立数据备份系统, 提高关键业务数据的可用性。
(9) 布署集中的认证系统, 实现认证信息的集中存储与鉴权控制。
4.3 安全管理策略
完善的安全管理策略是对电力企业信息网络安全进行可控管理的关键, 安全管理策略的建设包括以下内容。
(1) 制定完善的信息安全规章制度, 规范整个企业对网络以及信息系统的使用。
(2) 定期对全网进行安全评估和加固, 通过安全评估, 实时了解和掌握整个网络的安全现状, 通过安全加固使网络和系统更加健壮。
(3) 建立内网安全管理系统, 从终端安全、桌面管理、行为监控、网络准入控制等方面对内部网络进行保护, 加强对内部网络和系统的管理。
(4) 建立一套完备的应急响应机制, 以便在遇到突发事件时可以及时响应并解决问题。
(5) 定期对企业员工进行安全培训, 加强员工对安全的认识, 提升员工的安全意识。
5 结语
电力企业的信息网络已经涉及到电力生产的各个层面, 并深入到生产和管理的全过程, 企业生产与管理对其信赖性也日益增加。建立一套完善的信息安全体系不仅可以充分保证电力企业信息网络的安全运行, 加强电力系统二次安全防护, 而且还可以实现对信息网络的可控管理, 保证电力企业数字信息化的顺利进行, 同时对于构建一个健康的绿色电力安全网络环境具有重要的意义。
摘要:根据电力企业的信息网络安全现状和需求, 阐述通过建立完善的信息安全体系以保证电力企业信息网络的安全运行与可控管理, 构建健康绿色电力安全网络环境。提出建设信息安全体系需要从2个方面来进行:建立全面的安全防护体系, 制定完善的安全管理策略。
关键词:信息安全,安全风险,安全防护,安全策略
参考文献
[1]汪涛.应对非传统安全因素的挑战[J].公安研究, 2004 (8) :65-67.
[2]周曦民.我国网络安全现状的分析及建议[J].电信快报, 2004 (10) :1-4.
[3]张昕楠.可用性保证信息安全[J].软件世界, 2006 (3) :85-89.
[关键词]电力;现状;信息化;安全;保护;管理
一、我国电力信息化技术发展的问题
随着经济的发展,人民生活水平的提高,对电力的需求量也随之增加,也促使我国电力不断地改进,不断地发展,满足其生活和经济的需求,于是,逐渐朝着信息化的方向前进。但是与其他国家相比,我国电力在信息化这一块发展较晚,前进也比较缓慢,有点落后于发达国家。但即便如此,我国电力在信息化技术这一方面还是取得了较大的进步,未来的发展前景也是比较开阔的。所以就算目前该工程还存在一些问题,比较复杂,也必须要坚持下去,不断突破各种难关。目前,我国电力信息化发展还存在以下不足。
首先,我国电力由于起步较晚,所以对其技术研究也发展的较晚,导致我国电力信息化技术比较落后,没有一个完整全面的体制,全国各地的标准也都大不相同,所以从这一方面来说,不能完全保证信息的保密性,而且相关的部门也没有一套正确的管理办法,且信息也比较复杂,致使有时还可能出现一定程度上的混乱,再加上由于各部门各阶段联系较密切,有着“牵一发而动全身”的密切关系,所以一个地方出现差错便可能导致其信息不能传达,造成部门之间不熟悉相互之间的信息,进而给那些意图不轨的人创造了机会。其次,虽然在一定程度上,电力部门的工作人员对有关电力的信息安全问题有一定的认识,但是还是比较薄弱,优势还是没能引起他们的重视。因此,就没有在电力信息安全这一方面做较多的投资,没有引进一些较高的防护器械,导致对电力信息的保护较弱,不能从根本上使信息比较完整和真实地保存下来。另一方面,目前像那些窃取信息的技术和方法在不断地更新与发展,导致最后防护不到位,盗取技术却不断发展,进而使得信息很容易泄露。最后,众所周知,要想对电力进行信息化管理,软件的作用不可小觑,但是偏偏我国电力信息化软件技术偏低,一般都是借鉴其他发达国家的技术,没有自己的研究与创造。但是毕竟不是自己的,根本无法掌握其中的原理,使得就算当某些病毒入侵时,也不能采取措施防御,束手无策。再加上科学技术的发展速度是非常惊人的,如果长期得不到改进,也是没有多大用处的,根本无法追上需求激增的步伐。
二、对电力信息安全进行安全维护和管理的原因
随着人民生活水平的提高,对电力的需求也激增,所以极大地加大了电力工作人员工作力度,如果继续采用原来利用人力进行管理的方法,可能会产生许多问题,因为数据冗杂,人工整理很有可能漏掉某些资料,而且还很难将这些数据永远的储存下来,效率也会大大降低。因此,在众多因素影响下,电力信息化越来越有必要,如果电力部门利用好这个技术,将大大提高管理质量和速度。但是有一個前提,那就是必须保证它的安全,否则产生的危害也是无可估计的,因为有些信息与居民密切相关,也与经济发展存在千丝万缕的关系,所以,一旦泄露,对居民的生活安全以及对国家的经济、政治和文化等方面所产生的危害都是不可预料的,所造成的损失可想而知。再加上,虽然网络技术方便快捷,但存在的漏洞也是很多的,所以在利用信息化技术的同时,必须高度重视它的安全问题。
三、对电力信息安全进行运行维护和管理的措施
由于电力信息化技术的应用越来越重要,迫于形势势在必行,但是在利用该技术的过程当中存在着诸多问题,所以,就必须快速地研究其解决问题的办法,使其快速发展。因此,根据其问题,有以下几点解决措施:
2、增强信息化技术的研发力度。
因为我国主要是引进其他发达国家的技术,在很多方面受到了相应的限制,所以我国迫切拥有自己的技术。为了这个目的,一方面,我国应加大对技术研究的人力和物力的投入,使得技术研究没有障碍,要不断地借鉴他国的研究,在此基础上不断地创新。另一方面,要多多培养这方面的人才,资助他们留学,尽可能地学习他国技术的精华,为技术研究注入一股积极的力量。
2、建立完整有效的管理体制
如果想保证电力信息的安全,仅仅靠提高技术水平也是不够的,还要实行有效地管理,所以必须建立完整的管理体系。第一,要大大降低电力工作的危险,提高其运行效率,那么就要极大地保证机器的质量,密切注意它的运行,如果一旦出现问题,要及时的修理或更换,使其正常高效的工作;第二,要使其管理方法尽可能地不出现错误,达到一种最佳完善状态,所以要培养一批管理人员,让他们去学习汲取宝贵有效的经验;第三,要有一套赏罚分明的责任制,让他们清楚地了解自己的工作与责任,恪尽职守,如果出现差错,一定要查明其源头,追究到底,严厉惩罚,使他们不敢玩忽职守,懈怠自己的工作,从而降低其出差错的频率。第四,要提高其监控和报警的水平,高度关注其运行工作,尽可能地达到预防差错的水平,或者一旦出现差错要最快速的了解并维修,还要大力监控,避免不法分子来袭;第四,因为这些信息极为重要,为了以防万一,还要复制一份严密保存,免得数据被盗,使电力工作无法进行。
3、提高电力工作人员对保护信息安全的意识
如果要成功的做好某事,就必须有那个意识,否则根本不可能成功,所以要像电力工作人员大力宣扬信息安全的重要性,要他们在思想上形成保护信息的管理,深刻认识到这一点,尤其是电力部门的领导阶层,如果他们信息保护的观念不强,那么就无法做出正确的保护信息的决策,或者根本就不怎么采取防御措施,从而导致整个部门维护信息安全的意识薄弱,使得信息很容易地泄露,造成不必要的危害。例如可以时不时地开会强调,还可以制定惩罚制度,让他们自觉的重视起来。
四、结论
为了应对经济快速发展导致人们对电力的需求激增,从而使得相关数据大大增多,加重电力工作人员的工作量这一现状,我国电力事业利用网络技术,不断地朝着信息化方向发展,虽说面临一些问题,但也要尽最大的努力去解决这些问题,加强对信息安全问题的重视,不断去突破,促使我国电力事业更上一个台阶。
参考文献
[1]谢永辉.电力信息安全运行维护与管理[J].科技与企业,2013,21:92.
[2]黄兆光.浅谈电力信息安全运行维护和管理[J].信息通信,2014,11:166-167.
[3]王申华,蒋健.电力信息安全运行维护及管理探讨[J].信息与电脑(理论版),2014,11:45.
【电力行业网络与信息安全管理办法】推荐阅读:
电力行业项目管理办法12-04
电力行业IT运维管理经验谈09-15
电力行业总结10-30
电力行业概况04-09
中国电力行业浅析07-23
电力行业的发展11-04
电力行业改革征文01-26
电力信息化与信息安全06-08
电力行业先进集体事迹11-09
中国电力行业发展概述06-03
