信息管理系统安全技术研究

摘 要：信息管理系统的广泛应用，极大的方便了人们的工作和学习，但是同时由于信息技术的开放性，导致信息管理系统的信息安全问题日益突出，信息管理系统的安全也成为了人们所关注的重点，在本研究中主要对目前应用较为广泛的安全隔离技术、系统安全技术和应用级安全技术进行分析和介绍，并且以电力企业信息管理系统为例，对这些安全技术在信息管理系统中的具体应用进行研究。

关键词：信息管理系统；安全性；安全隔离

中图分类号：TP309

随着信息技术的广泛应用，信息管理系统的安全问题也日益突出，信息管理系统需要同时防范内部和外部的各种攻击行为。对于通常意义上的信息管理系统而言，信息系统具有用户类型众多、用户成员分散、访问权限多变、系统中数据保密性强等特点。为了防止信息管理系统中用户的操作不当，或者越权操作给系统带来的影响，保证信息管理系统的正常运行，就要求信息管理系统必须要具备良好的安全性能，以满足用户对系统安全的需求。

1 信息管理系统常用的安全技术分析

1.1 安全隔离技术。安全隔离技术包括物理隔离、协议隔离和防火墙技术三种。（1）物理隔离。物理隔离技术从物理上将布设了信息管理系统的内部网络与Internet外部网络隔离，从而使得外部网无法直接通过防火墙或者服务器访问内部网络，是防范病毒、拒绝服务等网络攻击的有效手段；（2）协议隔离技术。使用协议隔离器隔离信息管理系统的内部网络和外部网络，在协议隔离器上用两个接口分别连接内部网络和外部网络，当需要内外网进行数据交互时，才会连通协议隔离器，而通常情况下的内外网是断开的；（3）防火墙技术。防火墙技术实现内外部网络的逻辑隔离，防火墙技术是内外网之间的数据通信屏障，可以对内外网之间的流通的数据进行检测和限制，从而对外部网络屏蔽内网络的网络结构、运行状态以及内部网络中传输的数量，达到保护内部网络数据的目的。

1.2 系统级安全技术。（1）操作系统安全。操作系统是应用软件的基础支撑平台，对整个系统的安全性有着非常重要的影响，可以根据具体的操作系统类型选择合适的安全机制，例如UNIX平台上的用户优化管理，以及Windows平台的用户权限和用户访问策略，以及在操作系统上安装防毒软件等手段来保护系统安全；（2）数据加密。数据加密技术无法防止系统中的数据被非法用户窃取，但是可以保证非法用户在非法获得信息管理系统中的数据后，也无法了解这些数据所代表的具体信息。数据加密技术可以改变信息的原有表现形式，从而使得获得加密数据的用户无法了解数据中的真实信息，或者合法用户可以确认所收到的数据是否被篡改。

1.3 应用级安全技术。（1）动态权限策略。根据信息管理的具体应用业务流程，并且结合系统级安全策略，动态对系统中的不同信息和用户赋予不同的权限。例如，在OA系统中，可以设定系统中的具体文档、合同的阅读者和审核者范围，甚至可以对哪些用户可以文档中某一部分的内容进行阅读或者修改的权限进行设定，采用动态权限机制来保证系统的安全；（2）操作记录。将用户操作进行自动记录和存档，同时保存文档修改之前和之后的版本，从而记录下文档的修改轨迹。

2 安全技术具体应用案例

2.1 信息管理系统安全分析。由于电力市场的特点决定，电力系统参与的各个主体分别代表了不同的利益团体，例如电力公司信息管理系统中的交易热暖，能够申报授权范围内的交易数据，对市场信息进行查询；结算人员可以对各类交易的执行情况和执行结果进行考核结算。因此，为了防止系统用户在信息管理系统中进行越权操作，或者操作不当给各方带来的损失，需要对电力公司的信息管理系统进行安全控制。

由于电力公司所涉及的业务广泛，为此电力公司内部信息管理系统数量众多，主要包括负责对发电厂、输配电线、变电站的正常运行和生产进行监控的SCADA/EMS系统，负责电网调度运行、电网通信、继电保护进行综合管理的DMIS系统，负责电力企业决策支持的MIS系统，以及负责电力企业办公自动化的OAS系统等。根据电力行业的特点，要求在电力公司信息管理系统中必须要确保SCADA/EMS系统的安全性，其他信息管理系统安全性要求也较高。

2.2 信息管理系统网络结构设计。目前，为了提高电力公司信息管理系统的安全性，电力公司采取如图1所示的，包括SPnet（电力信息网）和SPDnet（调度信息网）的专用网络和Internet公共网络相结合的网络结构。通过内网与外网的物理隔离，既满足了MIS系统、OAS系统的Internet用网需求，同时也保证SCADA/EMS不能够直接访问Internet，从而最大程度上的保证系统安全。

2.3 信息管理系统安全体系结构设计。

如图1所示，在电力公司信息管理系统安全体系结构中采用了如下的安全策略来保证信息管理系统的安全。（1）分区安全保护策略。根据电力公司内部各信息管理系统所管理业务的重要性，对信息管理系统的安全级别进行划分，重点保护网络内的安全区Ⅰ内的SCADA/EMS实时监控系统，和安全区Ⅱ内的交易系统；（2）横向隔离。安全区Ⅰ与安全区Ⅱ内部的时监控系统，和交易系统采用防火墙进行逻辑隔离，而安全区Ⅰ、Ⅱ与安全区Ⅲ、Ⅳ之间采用正向和反向专用的安全隔离装置进行物理隔离；（3）专网专用。SPDnet调度网提供两个逻辑隔离的安全隔离装置与安全区Ⅰ和Ⅱ进行通信，SPnet电力信息网与SPDnet调度网实现物理隔离；（4）纵向认证与保护。安全区Ⅰ和Ⅱ的边界都设置了具有加密和认证功能的安全网关，而Ⅲ和Ⅳ的边界部署了防火墙；（5）整个网络只有安全级别最低的安全区Ⅳ通过防火墙直接访问Internet。从如上的分析可以看出，根据不同信息管理系统的需要，可以灵活应用物理隔离技术、逻辑隔离技术，以及辅以系统安全技术和应用安全技术，来多方位的保证系统中信息管理系统的安全。

3 结束语

随着信息技术的发展，信息技术在社会各个领域中的应用也越来越广泛，由于网络的开放性，导致信息管理系统不可避免的会面临着系统的安全性问题。在本研究中主要根据信息管理系统的特点，对信息管理系统中常用的安全技术进行分析，并且以电力公司信息管理系统为例，对安全技术在信息管理系统中的应用进行案例分析。

参考文献：

[1]沈昌祥，张焕国，冯登国.信息安全综述[J].中国科学，2007（37）：129-150.

[2]陈颂，王光伟.信息系统安全风险评估研究[J].通信技术，2012（01）：128-130.

[3]郑雷雷.故障树分析法在信息安全风险评估中的应用[J].计算机科学，2011（B10）：106-108.

[4]李鹤田，刘云.信息系统安全风险评估研究综述[J].中国安全科学学报，2006（01）：108-113.

作者单位：同济大学，上海 200092