基于信息强隔离装置的实时数据移动监管方法研究与应用

[摘 要]随着信息化工作的不断推进，信息系统与公司日常的管理、生产及经营密不可分，国家电网公司信息系统监测水平及管理力度将逐步提升。对此，应注重信息强隔离装置的应用，确保信息系统运行监管的覆盖面将得到拓宽、颗粒度将得到细化、效应速度得到提升，实现信息系统的深度及全面的监管，提升运维人员工作效率，减轻值班人员工作压力，进而减少各网省公司在信息系统运行监管上人力及物理的投入，使运维人员能够全身心的投入到其他工作中。

[关键词]信息强隔离装置；实时数据移动监管

中图分类号：R472.6 文献标识码：A 文章编号：1009-914X（2015）24-0390-01

针对国网湖北省电力公司特有的信息系统运维环境，通过国网系统内部使用的信息系统安全强隔离装置实现的移动监控预警，国内外暂无涉猎。该系统功能强大，系统实现运营商标准协议接入，综合业务web后台管理，是最佳的实时数据移动监管平台，系统速度快，稳定可靠，安全，高效。基于信息强隔离装置建立起的具有内容完整的、大规模监控信息处理的平台能提升实时数据移动监管的力度，确保能及早发现，及早处理，避免小问题酿成大错误，从而影响到整个公司的正常业务运转。

一、基于信息强隔离装置的实时数据移动监管

实施基于信息强隔离装置的实时数据移动监管应做到以下几个方面：安全防护等级不低于业务业务应用系统；符合国家电网公司信息安全总体策略；注重运行安全，避免造成安全风险扩散；满足国家电网公司信息安全要求；安全管理与安全防护措施并重；安全防护强度达到国家电网固定的防护标准。

1.基于信息强隔离装置的实时数据移动监管的策略

信息内外网间采用“隔离装置”进行隔离；对终端和用户身份进行严格认证，保证用户身份的唯一性和真实性；将信息系统划分为终端、边界、网络环境、主机系统、应用系统五个层次进行安全防护设计，以实现层层递进，纵深防御。系统的物理安全和数据安全参考《GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求》中第三级 防护要求。

2.基于信息强隔离装置的实时数据移动监管的原则

防止信息网络瘫痪、防止应用系统破坏、防止业务数据丢失、防止篡改网络数据、保证数据传输的机密性、保证数据存储的安全性、防止企业信息泄密、防止主机病毒感染、防止有害信息传播、防止恶意渗透攻击，以确保数据资源管理工具安全稳定运行，确保业务数据安全。

3.基于信息强隔离装置的实时数据移动监管的内容

3.1 网络安全

（1）结构安全

为了提升带宽的冗余空间，提升网络设备的处理能力，满足业务高峰期需求，网湖北省电力公司信息运维移动监管平台核心服务器划分独立的网段，采用国网统一的隔离技术进行隔离；对于网湖北省电力公司信息运维移动监管平台与其它核心应用系统之间的带宽分配较高优先级别，保证最小带宽[1]。

（2）访问控制

按照国网湖北电力公司信通公司统一要求，定制开发手机终端软件进行外网文件数据展示，在用户和系统之间，设置至用户粒度的访问控制规则。

（3）安全审计

记录管理人员的操作行为、网络流量的变化、设备的运行状态等，并把相关数据代入分析软件进行分析和评估，完成安全审计。

（4）入侵防范

通过网络入侵检测/网络入侵防护设备对恶意攻击、拒绝服务攻击、端口扫描、缓冲区溢出攻击木马后门攻击等行为进行检测，在检测到攻击行为时进行记录和报警。

（5）网络设备防护

对登陆权限、登陆地址、登陆身份进行甄别，限制非法网络设备的登入。不同网络设备用户使用不同的用户，对于核心网络设备采用多因素身份鉴别技术进行身份鉴别，同时分离设备特权用户的权限，注重登陆失败的处理，限制非法登录尝试的次数和方式，对登陆密码构成、使用时间进行限制，登陆超时自动退出，会话结束自动退出，防止防止鉴别信息在网络传输过程中被窃听[2]。

3.2 主机安全

（1）身份鉴别

数据库系统的身份标识与主机系统的身份标识对应，具有唯一性、排他性，每一个用户使用单独的帐号进行管理；对用户进行身份标识和鉴别，并支持使用PKI/CA、智能卡或其他多因子认证手段实现用户身份鉴别。通过提升登陆密码的的复杂性、长度，减低密码的变化周期，确保登陆信息不被冒用。

（2）访问控制

主机系统和数据库系统支持控制用户对文件、数据等资源的访问；客体达到文件、数据库表/记录、字段级；以最小授权原则分离权限；授予用户完成任务所需的最小权限；重命名系统默认账户；及时清除多余的、过期的账户；标记重要信息资源以及访问用户；访问控制的粒度主体达到用户级；控制用户对有敏感标记重要信息资源的操作；支持授权主体限制客体的访问和操作；避免共享账户的存在；支持特权用户的权限分离；修改这些账户的默认口令；禁止默认用户的访问权限。

（3）剩余信息保护

网湖北省电力公司信息运维移动监管平台相关的服务器、存储、终端等在内的存储空间，在分配给其他系统使用前存储的信息进行完全清除。

（4）恶意代码防范

为了防范恶意代码，网湖北省电力公司信息运维移动监管平台相关的服务器、终端安装了防恶意代码软件。为了完善恶意代码软件的功能，定期对恶意代码库进行更新，及时升级版本，并对各个代码软件进行统一管理[3]。

（5）资源控制

采用设定终端接入方式、网络地址范围等条件限制终端登录；对服务器的CPU、硬盘、内存、网络等资源的使用情况进行监控，对服务水平降低到预设值时进行告警。

结束语

信息强隔离装置在设计之初就考虑了后期应用的要求，这使得基于此的实时数据移动监管可靠性、扩展性、先进性、开放性、标准性得到有效保证，既有利于实时数据移动监管平台功能的完善和开发，也能提升移动监管平台的效率。相信随着安全性的提升，基于信息强隔离装置的实时数据移动监管将更加的高效、实用。

参考文献

[1] 徐威.厂级生产实时信息移动系统的研究应用[C].//中国电机工程学会第十届青年学术会议论文集.2008：1-6.

[2] 唐超，陈建平，崔静等.分形信号算法的CAS I高光谱数据岩性特征提取[J].光谱学与光谱分析，2014，（5）：1388-1393.

[3] 李芸，胡炳牛王爽等.基于两步迭代收缩阈值的编码孔径光谱数据复原算法[J].光谱学与光谱分析，2014，（3）：847-850.