电力企业信息安全防御分析

摘要：随着我国经济的发展，我国电力系统也在走向市场化、信息化，各级电力部门纷纷建立了信息化系统，从而达到了提高劳动生产率、提高了管理水平、让电力系统的决策更加科学化和准确性，但是信息化的发展，我们就面临着一个重要的问题，那就是如何保障电力系统信息化的安全，从网络、操作系统、应用程序和业务需求等各方面都需要安全作为支撑。本文主要探讨了当前电力系统中信息安全存在的风险及应对策略。

关键词：电力系统；信息安全；计算机；网络

Abstract: with the development of our national economy, our country electric power system is on the way to the market, information, power department at all levels have established the information system, thus to improve labor productivity, improve the management level of the power system, make decision-making more scientific and accuracy, but the development of informationization, we were faced with a problem, and that is how to guarantee the power system the information safety, from network, operating systems, applications and business requirements and other aspects need security as support. This paper discussed the power system of information security risks and strategies.

Key words: electric power system; Information security; The computer; network

中图分类号：F407.61文献标识码：A 文章编号：

引言

电力企业信息技术的发展起始于20世纪90年代，最早的计算机应用开始于财务管理、营销管理等办公业务，随着信息技术的发展，信息技术在电力企业的应用范围日益扩大和深化，目前已经渗透入电力企业生产、营销、服务和管理的全过程，信息技术也从开始的辅助领域提升成为企业运营管理不可或缺的依赖性技术。在电力企业信息化技术应用日益全面成熟、重要程度日益上升的今天，企业对信息化的管理和关注重点也同时随之发生变化，信息系统在满足生产、营销、管理等各方面业务需求的同时更加关注信息安全等深层次需求，但信息安全又存在其管理范围甚广、标准不统一、设备较分散的客观情况，如何保证信息系统安全、可靠、持续运行显得尤其重要。

1电力信息安全面临的威胁

电力信息系统面临的威胁来自各个方面。归结起来主要包括以下几个方面。

(1)系统组件固有的脆弱性和缺陷。

电力信息系统组件在设计、制造和组装中,可能留下各种隐患:①电力信息系统硬件组件的安全隐患,这种问题多数来源于设计。②软件组件的安全隐患,来源于软件设计和软件工程实施中的遗留问题。③基于TCP/IP协议栈的因特网在设计之初只考虑了互联互通和资源共享的问题,无法兼容解决来自网际的大量安全问题。

(2)自然威胁。

自然威胁是不以人的意志为转移的不可抗拒的自然事件,如地震、雷击、洪灾和火灾等。

(3)意外人为威胁。

这是一类具有各种不确定因素(如不正确的操作、配置、设计或人员的疏忽大意)综合时偶然发生的安全威胁。不是有人故意造成的,但是发生的概率大,产生的损失也可能是非常巨大、无法挽回的。

(4)恶意人为威胁。

恶意的人为威胁包括欺诈或偷窃、内部员工的恶意破坏、怀有恶意的黑客行为、恶意代码、侵犯他人个人隐私等行为。

2网络信息安全存在的风险

电力企业网络信息安全与一般企业网络信息同样具备多方面的安全风险，主要表现在以下几方面：

2.1网络结构管理较为复杂

电力企业依据有关规定将网络分为信息内网和信息外网，信息内外网之间实行物理隔离，但根据各地实际情况，网络结构都存在多样化结构，网络管理较为复杂。

2.2来自互联网的风险

几乎所有电力企业的网络通过外网与互联网连接，企业用户可以直接访问互联网的资源，这给企业职工带来很大方便；同样，任何能上互联网的用户也可以通过内网访问企业网络的资源，内外网络之间可以通过移动存储设备实现数据的互联，这对宣传企业、扩大企业的影响和知名度很有好处。但是，在带来方便的同时，也带来安全风险。

2.3来自企业内部的风险

对于电力企业网络来说，来自内部的风险是非常主要的安全风险。内部人员(特别是网络管理人员)对网络结构、应用系统都非常熟悉，不经意之间泄露的重要信息，都将可能成为导致系统受攻击的最致命的安全威胁。许多电力企业网络都存在重建设、重技术、轻管理的倾向。实践证明，安全管理制度不完善、人员素质不高是网络风险的重要来源之一。比如，网络管理员配备不当、企业员工安全意识不强、用户口令设置不合理等，都会给信息安全带来严重威胁。

2.4病毒的侵害

计算机病毒对大家来说并不陌生,任何一个接触计算机的人可能都遭遇过病毒的危害。准确来讲,计算机病毒又可以分为两大种:一种是病毒,另一种称之为蠕虫。病毒是一个程序,一段可执行代码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附带在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时就随同文件一起蔓延开来。除复制能力外,某些计算机病毒还有其它一些共同特性:一个被污染的程序能够传送病毒载体。

2.5系统的安全风险

系统的安全风险主要指操作系统、数据库系统和各种应用系统所存在的安全风险。目前不少企业网络使用的操作系统仍然是以Windows系列操作系统为主。不管使用哪一种操作系统都存在大量已知和未知的漏洞，这些漏洞可以导致入侵者获得管理员的权限，可以被用来实施拒绝服务攻击。

2.6恶意入侵

我相信我们可以在我们的电力系统网络上,找到很多我们需要的资料,包括机密度很高的资料。所以,想得到这些资料的人,会通过网络攻击人侵来达到目的。网络攻击人侵是一项系统性很强的工作,主要内容包括:目标分析;文档获取;密码破解;登陆系统、获取资料与日志清除等技术。正像前文提到的一样,我们的网络安全形势真的是不容乐观,所以,这种恶意人侵的行

为,在电力系统网络中变得相对简单了许多。

3解决电力系统信息网络安全问题的基本原则

1）做好安全风险的评估

进行安全系统的建设，首先必须做好安全状况评估分析，评估应聘请专业权威的信息安全咨询机构，并组织企业内部信息人员和专业人员深度参与，全面进行信息安全风险评估，找出问题，确定需求，制定策略，再来实施，实施完成后还要定期评估和改进。信息安全系统建设着重点在安全和稳定，应尽量采用成熟的技术和产品，不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

2）采用信息安全新技术，建立信息安全防护体系

企业信息安全面临的问题很多，我们可以根据安全需求的轻重缓急，解决相关安全问题的信息安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施

①建立计算机防病毒系统

计算机防病毒系统是发展时间最长的信息安全技术，从硬件防病毒卡，单机版防病毒软件到网络版防病毒软件，到企业版防病毒软件，技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒，保障信息系统的安全。在目前的网络环境下，能够提供集中管理，服务器自动升级，客户端病毒定义码自动更新，支持多种操作系统平台，多种应用平台杀毒的企业版杀毒软件，是电网公司这样的大型企业的首选。

②建立网络安全防护系统

信息资源访问的安全是信息安全的一个重要内容，在信息系统建设的设计阶段，就必须仔细分析，设计出合理的，灵活的用户管理和权限控制机制，明确信息资源的访问范围，制定信息资源访问策略。对于已经投入使用的信息系统，可以通过采用增加安全访问网关的方法，来增强原有系统的用户管理和对信息资源访问的控制，以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统，实施的技术难度相对小一些。对于新建系统，

则最好采用统一身份认证平台技术，来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

3）依据法规，遵循标准，提高安全管理水平

信息安全的管理包括了法律法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。虽然信息安全“七分管理，三分技术”的说法不是很精确，但管理的作用可见一斑。

4加强电力系统信息网络安全的措施

根据所存在问题性质的不同，信息系统安全策略主要分为：管理、组织、设备及技术这四个方面，然后需要针对不同问题做出不同解决方法。

4.1管理安全策略。在电力系统内部需建立一个权威的、统一的、符合行业特点的信息安全管理规范。严格化、标准化是安全稳定的基础，在制定规范过程中要根据电力行业的特点，并且参考相关的国家安全标准、国际安全标准及安全法规。一部完全、完整、完善的规范能够增强企业的抗风险承冲击能力。电力企业是完全实行物理隔离的企业网络，在内网上仍然要合理划分安全域。要根据整体的安全规划和信息安全密级，从逻辑上划分核心重点防范区域、一般防范区域和开放区域，并采用严格的访问控制策略。重点防范的区域是网络安全的核心，这部分区域是一般用户不能直接访问的区域，有很高的安全级别。各种重要数据、服务器、数据库服务器应当放置在该区域，各种应用系统、OA系统等在该区域运行。

4.2组织安全策略。组织安全策略主要是针对电力系统内部的人员管理组织进行调节，加强责任信息安全人员的安全培训，提高安全意识，提升处理安全问题的能力。

4.3设备安全策略。由于电力系统覆盖面广阔而复杂，自动化设备的配备上存在差异，存在不同厂家的设备不能互连、设备配置灵活性差等问题。所以在设备安全策略上主要是两个方面：第一。尽量使电力系统内部设备统一化、标准化，减少由于设备硬件差异上带来的问题。第二．加强对重要精密设备的看管、维护，落实责任到人，降低设备的损坏率。

4.4技术安全策略。为了能够保障信息的安全，在技术方面所要采取的措施相对更为重要。并且更为复杂，具体有：

防火墙。防火墙是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。电力系统中，防火墙可对生产控制、行政管理、市场营销等系统之间信息的整合、共享与调用在不同网段之间进行过滤和控制，不允许有绕过防火墙的行为发生，同时阻断攻击破坏行为，分权限合理享用信息资源。当然，合理地配置防火墙，让网络之间的连接安全，不会在连接端口出现安全漏洞也是确保电力系统信息安全的重要任务。

信息加密。信息加密技术是利用数学或物理手段，对电子信息在传输过程中核存储体内进行保护，以防止泄露的技术。信息加密包括两方面的要求，一个是对数据保密性要求，使未经授权的非法访问即使得到数据也难以解密；另一个是对通信保密性要求，防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作。常用的加密技术有对称密码技术(如DES算法)、非对称密钥技术(又称公开密钥技术，如RAS算法)以及二者的混合使用。

身份认证。在网络中为了确保安全，必须使特定的网络资源授权给特定的用户使用，同时使得非法用户无法访问高于其权限的相关网络资源。这种为主机或最终用户建立身份的主要技术就是身份认证技术。在实际认证过程中，可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份。常用的身份认证机制主要有基CA(CertificateAuthority，授权证书)的身份认证机制和基于DCE／Kerberos的身份认证机制。

安全审计。信息系统安全审计就是采集、监控、分析信息系统各组成部分的系统行为(日志)和操作行为的过程。做好安全审计工作，能够增强电力企业对故障、风险的预警能力和监控能力，也能够为防护体系和企业的内部管理体系提供客观、有效的改进依据。

5结语

总之而言，电力系统关系着人民生产、生活的方方面面，也是国民经济的命脉，确保电力信息系统安全、可靠、稳定、高效的运行，以及电网的安全可靠输电，直接影响着广大人民群众的日常生活以及国内工农业发展，从而对国民经济带来巨大的冲击。电力系统自动化水平的提高，越来越依赖电力数据信息网络来保障其安全、高效、稳定的运行，该信息网络出现的任何信息安全方面的问题都可能波及电力系统正常运行。

参考文献：

[1]郭护林.企业网络信息安全分析[J].计算机安全,2002(6).

[2]闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].计算机安全,2003(1).

[3]冯登国.计算机通信网络安全[M].清华大学出版社,2004.

[4]朱贵强.论企业网络信息安全管理.2005(6).

[5]杨赞国.论企业网络信息安全与防范策略[J].计算机安全,2005(6).

[6]王迎新,牛东晓.电力企业网络信息安全管理研究[J].计算机安全,2007(3).

注：文章内所有公式及图表请以PDF形式查看。