梁貝　朱吉祥

摘要：隨著電力系統(tǒng)信息化建設(shè)步伐的不斷加快，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)的應(yīng)用日趨廣泛。但從整體情況看，電力系統(tǒng)的網(wǎng)絡(luò)信息安全還存在很多問題，網(wǎng)絡(luò)信息安全工作明顯滯后于網(wǎng)絡(luò)建設(shè)。本文主要針對(duì)現(xiàn)階段電力系統(tǒng)內(nèi)部網(wǎng)絡(luò)信息安全存在的問題，從網(wǎng)絡(luò)安全技術(shù)及網(wǎng)絡(luò)安全管理兩方面提出了相應(yīng)的解決方案。

關(guān)鍵詞：電力系統(tǒng) 網(wǎng)絡(luò) 信息安全

當(dāng)前，我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化建設(shè)持續(xù)加速，信息技術(shù)在各個(gè)領(lǐng)域的發(fā)展進(jìn)程中扮演著不可替代的角色，網(wǎng)絡(luò)與信息系統(tǒng)的基礎(chǔ)性、全局性作用逐漸增強(qiáng)，成為國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施。隨著信息化的發(fā)展，信息安全問題日益增加、日漸突出。網(wǎng)絡(luò)攻擊、病毒傳播、垃圾郵件等迅速增長(zhǎng)，利用網(wǎng)絡(luò)進(jìn)行盜竊、詐騙、敲詐勒索、竊密等案件逐年上升，嚴(yán)重影響網(wǎng)絡(luò)的正常秩序，損害人民群眾的利益；網(wǎng)上色情、暴力等不良和有害信息的傳播，嚴(yán)重危害青少年的身心健康；針對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的破壞活動(dòng)以及網(wǎng)絡(luò)與系統(tǒng)自身的問題，嚴(yán)重影響著通信、金融、能源、交通等關(guān)鍵基礎(chǔ)設(shè)施和基礎(chǔ)產(chǎn)業(yè)的正常運(yùn)轉(zhuǎn)；境內(nèi)外敵對(duì)勢(shì)力利用網(wǎng)絡(luò)與信息技術(shù)手段所進(jìn)行的反動(dòng)宣傳、滲透和攻擊，對(duì)社會(huì)政治穩(wěn)定造成威脅。

電力工業(yè)作為國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè)。隨著計(jì)算機(jī)網(wǎng)絡(luò)及電網(wǎng)自動(dòng)化水平的高速發(fā)展，一旦信息安全出現(xiàn)問題將危及電網(wǎng)的安全穩(wěn)定運(yùn)行，從而造成無法估量的損失和影響。電力系統(tǒng)的網(wǎng)絡(luò)安全是一項(xiàng)比較復(fù)雜的信息系統(tǒng)項(xiàng)目，它涉及安全技術(shù)和安全管理兩大范疇。就安全技術(shù)而言，它又涵蓋了現(xiàn)代通信技術(shù)、計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)等，是一項(xiàng)跨學(xué)科的綜合性信息系統(tǒng)工程。它是安全功能要求及安全保護(hù)等級(jí)最高的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)。

因電力系統(tǒng)辦公網(wǎng)絡(luò)普遍實(shí)施了雙網(wǎng)隔離，所以我們僅就內(nèi)部網(wǎng)絡(luò)的信息安全問題做一簡(jiǎn)單探討。大量事實(shí)表明，在所有的網(wǎng)絡(luò)攻擊事件當(dāng)中，來自企業(yè)內(nèi)部的攻擊占有相當(dāng)大的比例，這包括了懷有惡意的，或者對(duì)網(wǎng)絡(luò)安全有著濃厚興趣的員工的攻擊嘗試，以及計(jì)算機(jī)操作人員的誤操作等。內(nèi)部人員知道辦公網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、有價(jià)值的數(shù)據(jù)的存放地點(diǎn)以及采用了何種安全防范體系。因內(nèi)部人員攻擊來自區(qū)域內(nèi)部，往往難于檢測(cè)和防范。那么，采取什么樣的方法才能對(duì)內(nèi)部網(wǎng)絡(luò)終端信息數(shù)據(jù)起到強(qiáng)有力的安全保障呢？下面我從以下三個(gè)方面談?wù)勛约旱目捶ā?/p>

1 在人的層面上保證信息的安全

加強(qiáng)員工的思想、道德、操守教育，提高其對(duì)信息安全重要性的認(rèn)識(shí)，增強(qiáng)自我約束力，在人的層面上保證信息的安全。

員工是企業(yè)的載體，是企業(yè)各項(xiàng)活動(dòng)的參與者，是企業(yè)各種制度的履行者。因此要想做好信息安全工作，首先要加強(qiáng)員工思想教育，使員工從思想上重視信息安全，充分認(rèn)識(shí)到信息安全工作的重要性。只有在思想上重視，將信息安全工作融入到潛意識(shí)中并潛移默化，各項(xiàng)規(guī)章制度執(zhí)行起來才能順暢有成效，如果員工總是想著如何規(guī)避信息安全規(guī)章制度，做什么事都圖方便、圖省事、怕麻煩，對(duì)公司各種指令陽奉陰違，不按規(guī)章制度走程序，或者更嚴(yán)重的去想如何竊取信息，相信信息安全工作是做不好的。另外從另一個(gè)角度來看，企業(yè)的政令得不到有效執(zhí)行，還要花精力研究新的規(guī)章制度并貫徹執(zhí)行，這在某種程度上來說是增加了企業(yè)的運(yùn)行成本。

加強(qiáng)員工道德、操守教育就是要樹立一種以保護(hù)信息為榮，泄露、竊取信息為恥的道德觀念?？茖W(xué)技術(shù)的發(fā)展為信息的傳遞提供了便捷條件，今天一個(gè)電子郵件，一個(gè)大拇指大小的U盤，一條短信息都能輕松、便利、快速的將信息傳遞出去，而傳統(tǒng)辦公條件下幾個(gè)檔案箱的紙質(zhì)文本文件用一個(gè)U盤就能裝下，這也意味著：公司的機(jī)密文件和信息用U盤這樣小的工具就能被不良企圖的員工輕易的帶走，為信息的泄露和竊取埋下了隱患。因此，企業(yè)的信息安全在良好周密的規(guī)章制度做保障的同時(shí)，培養(yǎng)高素質(zhì)、具有良好道德操守的員工也至關(guān)重要，否則再好的規(guī)章制度也會(huì)形同虛設(shè)。

另一方面，加強(qiáng)員工思想、道德、操守教育也是對(duì)員工保護(hù)和關(guān)愛的一種體現(xiàn)。從前不久發(fā)生的中國(guó)宏觀經(jīng)濟(jì)數(shù)據(jù)被泄露案件中我們不難看出，如果企業(yè)加強(qiáng)了員工思想、道德、操守教育，使員工能夠認(rèn)識(shí)到信息安全的重要性，從自我做起，嚴(yán)格要求自己，就一定能夠避免公務(wù)人員因泄密而獲刑這種悲劇的出現(xiàn)，因此做好信息安全工作從某種程度上來講也是對(duì)員工的一種保護(hù)和關(guān)愛。

2 制度建設(shè)是搞好網(wǎng)絡(luò)信息安全工作的基礎(chǔ)

制定詳細(xì)周密的信息安全管理制度，在制度的層面上保證信息的安全。俗話說：“沒有規(guī)矩，不成方圓?！币?guī)矩在人們的生活中占有十分重要的地位，信息安全同樣需要相應(yīng)的規(guī)章制度做保證。我公司對(duì)辦公電腦及其周邊設(shè)備實(shí)行“誰使用、誰管理、誰負(fù)責(zé)”的管理方法。在管理方面我們一是堅(jiān)持“制度管人”；二是提高員工操作技能、強(qiáng)化信息安全知識(shí)教育。信息中心成立伊始就制定了針對(duì)網(wǎng)絡(luò)信息安全方面的多個(gè)規(guī)章制度。例如：資料管理制度、機(jī)房管理制度、網(wǎng)絡(luò)安全管理制度、計(jì)算機(jī)等辦公自動(dòng)化設(shè)備管理制度、移動(dòng)存儲(chǔ)介質(zhì)使用管理制度、信息系統(tǒng)數(shù)據(jù)備份介質(zhì)管理制度及廢棄介質(zhì)處理制度、口令管理制度等。通過這些制度的建立和組織大家認(rèn)真學(xué)習(xí)網(wǎng)絡(luò)信息安全方面的知識(shí)，使大家能夠正確認(rèn)識(shí)網(wǎng)絡(luò)信息安全工作的重要性，將其放到等同于生產(chǎn)安全的高度，能在日常工作中自覺地按照要求較為規(guī)范地使用辦公自動(dòng)化設(shè)備及處理各種網(wǎng)絡(luò)信息。對(duì)特殊崗位人員要求做到密碼經(jīng)常更新；數(shù)據(jù)經(jīng)常備份、整理；做到上外網(wǎng)計(jì)算機(jī)不涉密，涉密計(jì)算機(jī)不上外網(wǎng)。

3 在技術(shù)的層面上保證信息的安全

從“人防”到“技防”，從軟件和硬件著手，兩手并重，在技術(shù)的層面上保證信息的安全。

當(dāng)前，復(fù)雜的網(wǎng)絡(luò)環(huán)境使企業(yè)網(wǎng)絡(luò)的安全運(yùn)行面臨多重考驗(yàn)，加之各種網(wǎng)絡(luò)產(chǎn)品或網(wǎng)絡(luò)技術(shù)層出不窮，這對(duì)我們所設(shè)計(jì)的網(wǎng)絡(luò)安全解決方案的安全防御功能提出了更高的要求。我們的總體目標(biāo)是借助信息與網(wǎng)絡(luò)安全工程的實(shí)施，構(gòu)建一整套企業(yè)信息與網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)體系，應(yīng)用相應(yīng)的安全防護(hù)技術(shù)提高企業(yè)網(wǎng)絡(luò)終端信息的安全等級(jí)。

3.1 設(shè)置網(wǎng)絡(luò)防病毒系統(tǒng)

網(wǎng)絡(luò)出口處應(yīng)設(shè)置反病毒網(wǎng)關(guān)。將專業(yè)的防毒插件配裝在郵件服務(wù)器上，為郵件傳輸提供安全保障。將統(tǒng)一的防病毒軟件客戶端安裝在服務(wù)器和客戶端上，構(gòu)建一個(gè)輻射范圍涵蓋互聯(lián)網(wǎng)以及系統(tǒng)、郵件、磁盤、光盤的病毒防護(hù)網(wǎng)。

3.2 安裝安全防火墻

在訪問信息系統(tǒng)的過程中，為防止信息系統(tǒng)被病毒感染，確保信息安全可靠，需要安裝專業(yè)的病毒防護(hù)設(shè)備來設(shè)置訪問權(quán)限，提升信息系統(tǒng)的安全等級(jí)。就現(xiàn)階段的網(wǎng)絡(luò)安全技術(shù)而言，既能滿足安全防護(hù)需求且最具性價(jià)比優(yōu)勢(shì)的網(wǎng)絡(luò)安全防護(hù)設(shè)備就是防火墻。通過安裝的防火墻，可以在不同安全區(qū)域（如：內(nèi)部，外部、DMZ、數(shù)據(jù)中心）網(wǎng)絡(luò)之間構(gòu)建一個(gè)安全控制點(diǎn)，通過對(duì)途經(jīng)防火墻的數(shù)據(jù)流執(zhí)行拒絕、允許或重新定向的設(shè)置，來實(shí)時(shí)審計(jì)或隔離進(jìn)出內(nèi)部網(wǎng)絡(luò)的各種服務(wù)或訪問，從而避免內(nèi)網(wǎng)被攜帶病毒的外網(wǎng)信息所感染。

3.3 部署入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)作為防火墻的補(bǔ)充，能夠識(shí)別和抵御來自外網(wǎng)的黑客攻擊。入侵檢測(cè)系統(tǒng)是網(wǎng)絡(luò)/計(jì)算機(jī)安全技術(shù)的一個(gè)分支。它能夠快速識(shí)別并隔離不法入侵者的訪問行為。非法入侵者主要通過互聯(lián)網(wǎng)、撥號(hào)連接或從內(nèi)部網(wǎng)絡(luò)直接攻擊防火墻、服務(wù)器或路由器。

有的安全防護(hù)措施的防護(hù)范圍有一定的局限性，入侵檢測(cè)系統(tǒng)不僅可以很好地彌補(bǔ)這些防護(hù)措施的缺陷，而且能實(shí)時(shí)收集非法入侵的證據(jù)，為訴訟提供法律依據(jù)。該系統(tǒng)通常包括兩類，一類是基于主機(jī)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)，另一類是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)系統(tǒng)。

3.4 配置漏洞掃描工具

漏洞掃描是一項(xiàng)非常關(guān)鍵的網(wǎng)絡(luò)安全防護(hù)技術(shù)。該技術(shù)通過模擬攻擊，逐項(xiàng)檢測(cè)可能存在于數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、路由器、服務(wù)器、工作站、防火墻等網(wǎng)絡(luò)元素中的安全漏洞，基于檢測(cè)數(shù)據(jù)制定具體的漏洞描述及修復(fù)方案，并形成系統(tǒng)安全性分析報(bào)告，以便網(wǎng)絡(luò)管理員參考分析報(bào)告完善網(wǎng)絡(luò)系統(tǒng)。漏洞掃描器就是我們通常所說的完成漏洞掃描的軟、硬件或軟硬一體的組合。

3.5 部署綜合審計(jì)系統(tǒng)

網(wǎng)絡(luò)安全審計(jì)，即基于企業(yè)的網(wǎng)絡(luò)運(yùn)行環(huán)境，為防止非法用戶破壞或竊取企業(yè)網(wǎng)絡(luò)信息，而通過各種技術(shù)手段對(duì)網(wǎng)絡(luò)運(yùn)行過程中所有組成部分的系統(tǒng)狀態(tài)、網(wǎng)絡(luò)操作和安全事件進(jìn)行實(shí)時(shí)監(jiān)控，為集中預(yù)警、分析處理提供客觀依據(jù)的一種技術(shù)手段。

網(wǎng)絡(luò)審計(jì)包括行為審計(jì)和內(nèi)容審計(jì)。其中，前者主要審計(jì)包括郵件收發(fā)、網(wǎng)頁瀏覽、信息下載等行為在內(nèi)的所有網(wǎng)絡(luò)操作行為。后者則是基于前者對(duì)網(wǎng)絡(luò)操作行為的監(jiān)控，綜合審計(jì)網(wǎng)絡(luò)操作行為的審計(jì)。內(nèi)容審計(jì)可以使實(shí)施關(guān)注內(nèi)容安全的管理人員知曉重要數(shù)據(jù)是否經(jīng)加密處理就在網(wǎng)絡(luò)上傳輸，有無內(nèi)部涉密文件被盜或被發(fā)出；網(wǎng)絡(luò)運(yùn)行中是否有用戶瀏覽不良網(wǎng)頁；是否有非法用戶通過博客、論壇等網(wǎng)絡(luò)社交工具散播不法言論；用戶是否通過即時(shí)通信工具交流內(nèi)部或涉密的話題。

3.6 部署終端桌面安全管理系統(tǒng)

企業(yè)內(nèi)部的網(wǎng)絡(luò)運(yùn)行環(huán)境中包含多個(gè)多層次、流動(dòng)性強(qiáng)的終端用戶。這些中斷用戶普遍缺乏網(wǎng)絡(luò)安全防護(hù)意識(shí)，在網(wǎng)絡(luò)操作過程中很可能因?yàn)椴灰?guī)范操作而使公司網(wǎng)絡(luò)染上病毒，進(jìn)而出現(xiàn)非授權(quán)訪問、終端資源浪費(fèi)、惡意終端破壞、信息泄密等安全事件。終端安全管理系統(tǒng)的接入有效隔離了不法網(wǎng)絡(luò)終端的入侵；對(duì)有權(quán)訪問企業(yè)網(wǎng)絡(luò)的終端進(jìn)行根據(jù)其賬戶身份定義的安全等級(jí)檢查和接入控制；檢查相關(guān)的內(nèi)部成員的操作行為，以規(guī)避內(nèi)部成員因不規(guī)范操作或非法操作對(duì)企業(yè)網(wǎng)絡(luò)環(huán)境造成的安全威脅。強(qiáng)化內(nèi)部成員網(wǎng)絡(luò)行為的監(jiān)控力度，可以對(duì)內(nèi)部成員產(chǎn)生震懾力，進(jìn)而提高內(nèi)部信息系統(tǒng)的安全等級(jí)，將企業(yè)的信息安全管理規(guī)定通過技術(shù)的手段得到落實(shí)。

3.7 建立企業(yè)身份認(rèn)證系統(tǒng)

傳統(tǒng)的口令認(rèn)證方式操作簡(jiǎn)便，但安全等級(jí)低，操作過程極易被非法用戶竊聽或重放，加之現(xiàn)代經(jīng)濟(jì)制度下的網(wǎng)絡(luò)環(huán)境更加錯(cuò)綜復(fù)雜，傳統(tǒng)的認(rèn)證方式的安全等級(jí)已落后于現(xiàn)代網(wǎng)絡(luò)安全技術(shù)，因而網(wǎng)絡(luò)安全市場(chǎng)中紛紛出現(xiàn)了多個(gè)更為先進(jìn)的認(rèn)證方式，如生物識(shí)別、智能卡、動(dòng)態(tài)口令或數(shù)字證書等?，F(xiàn)階段，企業(yè)多應(yīng)用PKI技術(shù)體系的身份認(rèn)證系統(tǒng)來完成企業(yè)內(nèi)部保密等級(jí)較高的信息交互，該系統(tǒng)除了具有較高的保密等級(jí)以外，還可以確保信息交互的真實(shí)性和完整性，可以從專業(yè)防護(hù)的角度保證企業(yè)信息資源的訪問得到正式的授權(quán)。

4 結(jié)語

當(dāng)前復(fù)雜的網(wǎng)絡(luò)環(huán)境中，電力系統(tǒng)信息安全面臨嚴(yán)峻的考驗(yàn)。但通過必要的管理和技術(shù)手段，是能夠?yàn)槠髽I(yè)的信息化發(fā)展構(gòu)建一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境的。

參考文獻(xiàn)：

[1]林海波（Lin Haibo）.網(wǎng)絡(luò)安全與防火墻技術(shù)（Network Safety and Firewall）[M].北京：清華大學(xué)出版社（Beijing：Tsinghua University Press），2000.

[2]胡炎，董名垂，韓英鐸（Hu Yan，DongMinchui，Han Yingduo）.電力工業(yè)信息安全的思考（Secure Solution for Electric Industry Information System）[J].電力系統(tǒng)自動(dòng)化（Automation of Electric

Power Systems），2002，26（7）：1-4.

[3]張世永.網(wǎng)絡(luò)安全原理與應(yīng)用[M].科學(xué)出版社，2003.

[4]葉克江.電力行業(yè)網(wǎng)絡(luò)安全技術(shù)研究[J].價(jià)值工程，2010（28）.

[5]張志一.網(wǎng)絡(luò)安全技術(shù)研究[J].中小企業(yè)管理與科技（下旬刊），2009（11）.