電力信息系統(tǒng)安全風險分析與應對思考
1 電力信息系統(tǒng)概述
電力信息系統(tǒng)是實現(xiàn)電力信息傳遞的神經(jīng)網(wǎng)絡,它使電力系統(tǒng)具有可觀測性與可控性,是電力系統(tǒng)必不可少的組成部分。電力信息網(wǎng)絡是發(fā)電機構、電網(wǎng)單位、供電部門企業(yè)內依賴于計算機及網(wǎng)絡的業(yè)務系統(tǒng)和通信數(shù)據(jù)網(wǎng)絡的統(tǒng)稱,從功能上來說由監(jiān)控系統(tǒng)、管理系統(tǒng)、數(shù)據(jù)網(wǎng)絡系統(tǒng)組成。電力信息系統(tǒng)在不同水平上的完善和發(fā)展,從概念上、方法上對電力系統(tǒng)運行分析和經(jīng)營管理賦予新的內容,保證了電能質量,提高了電力系統(tǒng)安全運行水平,改善了勞動條件,提高了勞動生產(chǎn)率,還為電力系統(tǒng)的經(jīng)營決策提供有力支援,它使電能的廣泛應用成為現(xiàn)實。
2 電力信息系統(tǒng)安全風險分析
電力信息系統(tǒng)的安全風險存在于物理、管理、系統(tǒng)、網(wǎng)絡、技術等多個層面,千變萬化、錯綜復雜,梳理出各個層面的安全風險,是著手進行防范、有效進行維護的基礎。
(1)物理層面上的風險:物理風險主要是指支持網(wǎng)絡運行的物理載體所存在的風險,包括計算機、網(wǎng)絡通信設備等硬件設施發(fā)生故障,從而引起網(wǎng)絡癱瘓。我們可以通過加強對設備的檢修和維護,來防控部分物理風險,但是,有很大程度的物理風險是不可預見和防控的。如水災、火災、地震等自然災害引起的線路中斷、數(shù)據(jù)丟失等,載體的本身特性及環(huán)境因子導致的線路故障,嚴重的災害對這些設備的破壞性是極大的,會引起整個網(wǎng)絡的癱瘓。同時,人為的不當操作或者故意破壞,以及電磁干擾等,也會造成數(shù)據(jù)信息損壞及丟失。
(2)管理層面上的風險:管理層面上的安全風險主要存在于企業(yè)內部的安全管理不到位,網(wǎng)絡安全防范措施不健全,對與電力工作無關的網(wǎng)絡運行和操作管理不到位等等。企業(yè)內部的管理直接影響到信息網(wǎng)絡的安全,管理職責不明確、制度缺失、對從業(yè)人員的監(jiān)控力度不足、對需要加密的重要數(shù)據(jù)管理不重視等這些問題,都會對信息系統(tǒng)安全造成嚴重威脅,以致信息網(wǎng)絡遭到破壞甚至癱瘓。
(3)系統(tǒng)層面上的風險:主機系統(tǒng)層面的風險主要是由于系統(tǒng)自身安全措施不完善或是人為的干擾性破壞,所引起的系統(tǒng)超級權限被不正當手段獲取,造成信息系統(tǒng)威脅。如系統(tǒng)安裝了不必要的附加模塊,造成自身缺陷,引起多余端口的開放,同時不及時更新安全補丁修補漏洞,造成系統(tǒng)感染惡意網(wǎng)絡病毒,都會極易被非法入侵。人為的干擾破壞對信息系統(tǒng)安全來說是危害性最大的。人為針對系統(tǒng)自身缺陷或者薄弱環(huán)節(jié)進行主動攻擊,竊取重要信息或者破壞信息的傳輸和系統(tǒng)的運行。
(4)網(wǎng)絡層面上的風險:網(wǎng)絡安全風險主要存在于內網(wǎng)外網(wǎng)邏輯隔離強度不夠,如便攜式電腦的流動性會造成公司內網(wǎng)與其他網(wǎng)絡混用,是兩網(wǎng)隔離的薄弱環(huán)節(jié)。同時虛擬機程序和一機雙系統(tǒng)等技術手段,導致一般的桌面檢測終端對同一臺計算機不同操作系統(tǒng)連入不同網(wǎng)絡很難予以檢測發(fā)現(xiàn)。目前電力企業(yè)內網(wǎng)與外網(wǎng)已實現(xiàn)了物理隔離和邏輯強隔離,但由于網(wǎng)絡布線、IP地址分配、使用無線網(wǎng)絡以及DHCP自動獲取IP技術等問題,使內網(wǎng)無線信號范圍不準確,信號能夠發(fā)送到周邊區(qū)域,導致周邊能夠接收并聯(lián)入企業(yè)內網(wǎng)。
(5)技術層面上的風險:網(wǎng)絡備份、應用等技術層面的風險主要體現(xiàn)在重要數(shù)據(jù)的備份和恢復過程中,是否對關鍵信息進行了備份處理、是否有完善有效的數(shù)據(jù)恢復系統(tǒng)等,應用風險主要是指在電力系統(tǒng)企業(yè)網(wǎng)絡中進行身份識別、安全監(jiān)督、訪問監(jiān)控、信息的完整與不公開性、信息轉發(fā)的確定性及資源的合理有效控制方面所引發(fā)的安全風險。
3 電力信息系統(tǒng)安全風險應對措施
(1)加強基礎設施建設:提高硬件設施水平,是保證電力信息系統(tǒng)安全的基礎性措施。機房、信息中心等網(wǎng)絡運行環(huán)境直接關系著網(wǎng)絡運行的安全。機房要配有門禁、監(jiān)控、報警系統(tǒng)、滅火器、應急燈以及接地防雷等設施。機房、配電間保持環(huán)境干燥整潔,設備標識、布線清晰整齊,UPS、空調定期檢查。推廣桌面管理系統(tǒng)和網(wǎng)絡準入系統(tǒng),對計算機定期進行安全檢查,嚴格監(jiān)管計算機登陸外網(wǎng)現(xiàn)象,在網(wǎng)絡監(jiān)管軟件上設置檢查計算機各硬盤是否除系統(tǒng)盤外還有其他的系統(tǒng)文件(如WINDOWS文件夾下的系統(tǒng)文件)以及對目前常用的虛擬機軟件的安裝監(jiān)控等技術措施。網(wǎng)絡規(guī)劃應盡量多點迂回,傳輸網(wǎng)絡盡量成環(huán)、成網(wǎng),避免單節(jié)點失效導致多點失去網(wǎng)絡連接的情況發(fā)生。
(2)完善管理機制:加強對影響電力信息系統(tǒng)安全人為因素的管理,建立完整的信息安全管理體系、運行維護體系,明確崗位職責,規(guī)范相關操作人員的操作。對設備定期維護、網(wǎng)絡故障處理等進行詳細登記,對網(wǎng)絡布線圖、信息點、網(wǎng)絡結構拓撲圖、網(wǎng)絡設備等進行備案。明確安全責任,責任細化到人,確保信息安全工作責權清晰。將信息安全工作納入全方位目標考核制度,實行一票否決制,同時嚴格落實獎懲。
(3)提高網(wǎng)絡防護技術水平:采用防火墻、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)和虛擬專用網(wǎng)(VPN)等有效的網(wǎng)絡硬件,是加強網(wǎng)絡安全管理的關鍵環(huán)節(jié)。防火墻可以實現(xiàn)網(wǎng)絡安全隔離。IDS能夠檢測出對網(wǎng)絡和計算機系統(tǒng)的惡意入侵,是防火墻之后的第二道安全閘門。IPS在IDS檢測到攻擊之后,可以在這種攻擊擴散到網(wǎng)絡其他地方之前進行阻止。VPN主要解決企業(yè)或系統(tǒng)之間跨地域訪問與數(shù)據(jù)傳輸?shù)陌踩珕栴},保證企業(yè)內部的關鍵數(shù)據(jù)能夠安全地借助公共網(wǎng)絡進行交換。
(4)強化內外網(wǎng)隔離:將局域網(wǎng)與外網(wǎng)進行物理隔離,使局域網(wǎng)內的用戶只能訪問內網(wǎng)資源,外網(wǎng)計算機無法與內網(wǎng)相連接。也可以實行雙網(wǎng)雙機模式,直接避免由于上外網(wǎng)而使計算機感染病毒的可能性。機要部門和人員的辦公計算機應設立單獨的VLAN并通過ACL(訪問控制列表)等信息技術,實現(xiàn)在不影響正常工作的前提下,同其他辦公計算機終端通過安全領域的邏輯防護措施隔開。對于接入公司內網(wǎng)的計算機應采取MAC碼和計算機IP地址綁定策略,這樣,外來用戶由于網(wǎng)卡MAC碼和IP地址不一致,而無法連接到公司內網(wǎng)。
4 結語
電力信息系統(tǒng)是整個電力系統(tǒng)中十分關鍵的一環(huán),其安全地位至關重要,理清安全隱患,并從安全管理和安全技術著手,積極應對,電力信息系統(tǒng)的安全風險是可防可控的。
責任編輯:電改觀察員
-
發(fā)電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡何以可能
2017-02-24網(wǎng)絡