基于县级供电局计算机局域网的安全管理研究

摘 要：文章首先介绍县级供电企业的网络安全问题，探讨保证电力信息网络安全的措施，提出电力系统网络安全的对策。

关键词：供电系统；计算机；局域网；安全管理

引言

随着信息化建设在各行各业的不断广泛使用， 供电企业的计算机网络建设工程也发展的越来越快，不断引进越来越多的集成化的信息，既然是网络就一定存在其不安全因素，信息泄露的风险随着信息化程度的不断升高变得越来越多。计算机局域网的安全问题，成了供电企业信息化发展过程中的焦点问题。如何保障供电企业计算机局域网工作的正常、安全、可靠运行成为了计算机管理运维人员的工作中的核心任务。

一、县级供电企业的网络安全问题

基于县级供电企业的网络现状和应用系统的普及程度，我们认为现在最可能受到外界或者内部破坏的重要数据信息有五大块，分别是：MIS 系统、用电管理系统、财务管理系统、OA 系统以及单独一块用于原始数据采集的 SCADA 系统等。SCADA系统一旦遭到破坏 ，原始数据将无法采集 ，也无法向服务器传送有用的抽样信息，管理人员也无从了解电网实时数据和原始信息。如果用电管理系统被破坏，所有用电用户的基本信息都不存在，靠人工重新输入信息将浪费大量的人力物力和时间，并且不是全部信息都可以手工恢复的。这对供电企业将造成直接和间接经济损失，引起工作混乱，更进一步波及MIS系统，正常的生产和管理将直接受到影响。MIS 系统由于数据库的开放，为内部或者外部的入侵者开了一个方便之门，他们可以通过内部局域网访问网内的任何一台微机上的信息，并进行破坏，从而让一个子系统或者多个子系统甚至整个MIS 系统陷于瘫痪。OA 系统流转着供电企业的所有办公文档，一旦发生办公系统内部重要数据的丢失和篡改，或者数据库由于各种原因的损坏，正常的工作将受到影响，以至于打乱企业办公。

二、保证电力信息网络安全的措施

（一）多层病毒防御体系

考虑局域网的安全性和网内信息传递的频繁，一旦一台机器感染病毒极易在整个局域网内扩散和传播。如果服务器被感染，其感染文件将成为病毒感染的源头，会迅速从桌面感染发展到整个网络的病毒爆发。 所以在局域网内应布置多平台网络版病毒防护软件。要求防病毒软件具有零度网络管理，可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络的功能，在所有的病毒入口及出口处防护应用系统；保证平台、协议的无关性；保护所有文件、电子邮件、HTML 文档；通过查杀软盘、光盘、可移动硬盘、手提电脑连接、Modem 拨号上网、文件服务器、邮件服务器、Internet 服务器或服务器与Internet 连接的进出，提供全面保护。

由于基层的网络与局域网通过光纤连接在一起，各个应用系统之间有信息传递， 为了保证在信息传递过程中局域网不被感染病毒，防止病毒蔓延，基层网络和局域网有业务关系的单机上安装单机版反病毒系统。这样即使局域网周边的网络中有病毒存在，也能够在进入局域网之前被查杀，既保证了重点网络的安全，又降低了企业在防病毒方面的投资。对防病毒软件要求有全天候的强大的技术支持，可以通过电话、传真、传统邮件、电子邮件在任何需要的时候获取技术支持。如果新病毒出现，公司应立即送出新的杀毒文件。在Internet上应能很容易地获得软件的升级及最新的杀病毒技术。

（二）防火墙保护

防火墙保护是所有连入互联网的企业内部网不可缺少的屏障。由于黑客入侵，系统安全问题尤为突出。采用完善的防火墙，可使计算机充分利用安全的电子手段， 尽可能减少关键数据所面临的危险，为整个网络筑起一道高墙，将黑客及未授权的应用拒于门外。防火墙的职责就是根据本单位的安全策略，对外部网络与内部网络交流的数据进行检查，符合的通过，不符合的拒绝。防火墙的组成可以表示为：防火墙=过滤器+安全策略（+网关），是非常有效的网络安全技术。它置于两个网络之间，并且具有如下特性：①所有内部对外部的通信都必须通过防火墙，反之亦然；②只有按安全策略所定义的授权，通信才允许通过；③防火墙本身具有抗入侵能力；④防火墙是网络的要塞点，是达到网络安全目的有效手段，因此尽可能将安全措施都集中于这一点上；⑤防火墙可以强化安全策略的实施；⑥防火墙可以记录内、外网络通信时所发生的一切（如果需要的话）。总之，防火墙的存在限制了可能产生的网络安全问题，以免给整个网络带来灾难。由于SCADA 系统网段和其他应用系统之间存在物理上连通，虽然SCADA 系统有一些应用层的安全措施，如口令保护等，但是一些入侵者可以简单地利用网络层和传输层的攻击方法攻击SCADA 系统的服务器。为了保护SCADA 系统，就必须在SCADA 系统与办公网段之间进行严格的访问控制，实现访问控制的简单有效的方法就是在两个系统之间设置防火墙。根据事先制定的安全策略，在防火墙上配置相应访问规则，并对进出两个系统的数据进行检查，非授权的连接不允许通过。为了保护局域网不被来自上级网络及基层网络的非法访问、越权访问或者防止入侵者侵入上级网络后再对局域网进行攻击，有必要在此设置一个访问控制防火墙。通过对特定网段建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。

（三）网络入侵侦测系统

网络入侵侦测系统（IDS）的目标是在复杂的网络环境中提供防范、检测和对攻击作出反应， 并能采取自动抗击措施的工具。 要求在黑客成功进入系统之前检测出攻击者并及时报告系统安全管理人员，提供自动对抗措施。在检测出攻击企图后，能够自动启动编程对策，例如：终止登录过程、终止处理进程、发出寻呼或发出E-mail给Web管理员等。在复杂的网络环境中通过循环监测网络流量（Traffic）的手段保护网络上的共享资源。基于审计数据的攻击检测系统，对于不论内部或者外部的攻击、授权滥用，要求准确和及时的报警、识别遭受攻击的系统成分、对系统活动进行日志登记记录、捕获攻击线索等。系统分布应在网络各处敏感和易遭攻击的场所，如广域连接、拨号连接、蔟集服务器、特定的节段等。在MIS 系统、用电管理系统、财务管理系统、OA系统等各个应用系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法，是在各自的系统安装网络入侵检测系统（IDS）。要求可以实时监控系统网段的流量，发现有攻击特征的行为后，立即报警，并且可以阻断该会话，阻止入侵行为的进一步发生。局域网划分虚网（VLAN）后，入侵检测系统（IDS）应分别检测各自的应用系统。