??????? 摘 要:在信息化社會下,電力生產中信息化的應用已達到了前所未有的規(guī)模。隨著電力生產信息化的發(fā)展,信息安全已是關系電力生產存亡和發(fā)展的重要方面���。加強信息安全,才能全面提高電力生產的信息化��。
??????? 關鍵詞:電力生產;信息;安全
??????? 第一章? 電力生產中信息安全的重要性及涵蓋方面
??????? 在經濟發(fā)展的大形勢下,電力在生活中發(fā)揮的重要作用已是有目共睹�。然而,電力安全是關系國計民生的大事;信息化為電力安全所依賴;電力信息化中的信息安全,又是核心的環(huán)節(jié)�。隨著計算機和信息技術的發(fā)展,電力生產中各個調控系統(tǒng)都需要網絡上傳遞信息,通過網絡實現信息化及管理的有效化。信息化條件下的電力市場,需在調度中心���、電廠�、用戶之間進行的大量的數據交換,水電廠���、變電站采用大量的遠程控制,因此,新形勢下對電力控制系統(tǒng)和數據網絡的安全性�、可靠性提出了新的挑戰(zhàn)。電力生產系統(tǒng)中,不同的系統(tǒng)根據其應用狀況具備不同的安全特性���。如調度自動化系統(tǒng)等控制系統(tǒng)屬于內層實時監(jiān)控,與實時系統(tǒng)直接相連,與其他系統(tǒng)屋里隔離;MIS���、辦公自動化等系統(tǒng)屬于外層,通過防火墻與因特網相連。在電力系統(tǒng)專用通信數據網絡的應用中,有直接光纖���、數據網絡����、信息網絡等3種方式,不同的應用也采取了不同的方式���。繼電保護����、安全自動裝置直接采用光纖或SDH進行信息的傳輸;遠動數據���、AGC遙調��、SCADA遙控����、計量計費、故障錄波等可采用不同信道的SDH或ATM交換網絡進行傳輸;在此之上可采用IP交換信息網絡進行報價及結算��、辦公自動化及信息管理系統(tǒng)的應用,并通過防火墻與因特網相連�。其具體安全結構如下圖所示:
??????? 通過圖中展示的安全控制系統(tǒng),我們把信息安全控制分為物理設備安全,網絡系統(tǒng)安全和應用系統(tǒng)安全等方面來闡述信息安全的控制。
??????? 第二章? 信息安全的實現
??????? 2.1 物理設備安全---網絡系統(tǒng)中的設備物理技術
??????? 物理設備是整個網絡的基礎,整個信息網絡的正常運行離不開物理設備的安全�。物理設備包括網絡���、路由器���、防火墻、交換機和應用于網絡互連的服務器,同時還有各種提供不同網絡服務的服務器,如:網絡管理服務器���、域名服務器���、用戶認證和授權等。物理設備的安全影響著整個電力信息網絡安全���。要有效地保護物理設備的安全,必須從以下兩個方面著手:其一是控制可接觸物理設備的人數并控制其權限,使得非授權的人員無法接觸相關物理設備���。二是注意環(huán)境安全保護,確保物理設備不因環(huán)境問題而產生故障,實現局域網絡���、互連網絡和數據中心網絡安全隔離的措施。
??????? 2.2 網絡系統(tǒng)安全
??????? 要確保網絡安全,需要在電力系統(tǒng)網內設置默認網關,設置ACL控制以提供財務����、營銷、客服等服務器的訪問控制�。防火墻能有效地防止外來的入侵,它在網絡系統(tǒng)中的主要作用是:阻止外部惡意的掃描和攻擊;控制進出網絡的信息流向和信息包;隱藏內部IP地址及網絡結構的細節(jié)。要增強攻擊防范的能力���。由于TCP/IP協(xié)議的開放特性,尤其是IPv4,缺少足夠的安全特性的考慮,帶來了非常大的安全風險,常見的口掃描以及危害非常大的拒絕服務攻擊等,必須能夠提供對這些攻擊行為有效檢測和防范���。在信息防護方面可采用信息隱藏技術。信息隱藏是信息安全研究領域里的一種新興技術��。它把秘密信息嵌入一公開信息中,然后通過公開信息的傳輸來傳遞秘密信息�。信息隱藏技術主要由下述三部分組成。
??????? (1)嵌入���。
??????? 它利用隱藏密鑰來把嵌入數據(秘密信息)嵌入到載體數據中.形成隱秘數據�。
??????? (2)傳輸����。
??????? 主要指隱秘數據在網絡中的傳輸�。
??????? (3)提取�。
??????? 它利用隱藏密鑰從隱秘數據中恢復出嵌入數據。信息隱藏和信息加密都是為了保護秘密信息的存儲和傳輸,使之免遭非法訪問者的破壞和攻擊,信息隱藏和信息加密的實現,使電力系統(tǒng)的網絡更加安全和穩(wěn)定��。
??????? 2.3 應用系統(tǒng)安全---安全系統(tǒng)
??????? 應用系統(tǒng)的安全性建設過程涵蓋了應用系統(tǒng)的規(guī)劃��、設計����、實施/驗收、運維等各階段應用系統(tǒng)在規(guī)劃階段,需重點完成以下安全性工作:
??????? (1)確定安全性策略需求���。根據企業(yè)的安全策略總體要求,制定系統(tǒng)安全策略框架。
??????? (2)分析系統(tǒng)遭受攻擊���、信息泄漏�、系統(tǒng)不可用等安全性問題對業(yè)務的影響����。
??????? (3)安全風險分析。構建一個安全的應用系統(tǒng)必須對可能存在的安全風險進行分析�。對系統(tǒng)運行環(huán)境進行分析而完成的安全性設計應包括操作系統(tǒng)����、計算機硬件�、網絡、物理安全和管理安全等方面��。
??????? 2.3.1 要確保應用系統(tǒng)的安全,可以采用防病毒系統(tǒng)技術
??????? 可以啟動防火墻身份認證功能,通過內置數據庫或者標準Radius屬性認證,實現對用戶身份認證后進行資源訪問的授權,進行更細粒度的用戶識別和控制;根據需要,在兩臺防火墻上設置流量控制規(guī)則,實現對服務器訪問流量的有效管理,有效地避免網絡帶寬的浪費和濫用,保護關鍵服務器的網絡帶寬���。根據應用和管理的需要,設置有效工作時間段規(guī)則,實現基于時間的訪問控制,可以組合時間特性,實現更加靈活的訪問控制能力在防火墻上進行設置告警策略,利用靈活多樣的告警響應手段,實現攻擊行為的告警,有效監(jiān)控網絡應用?啟動防火墻日志功能,利用防火墻的日志記錄能力,詳細完整地記錄日志和統(tǒng)計報表等資料,實現對網絡訪問行為的有效控制��。
??????? (1)防火墻:
??????? 防火墻實際上是一組系統(tǒng),它邏輯上處于內部網和外部網之間并由一組保證內部網正常安全運行的軟硬件有機的組成,其最基本的構建是構造防火墻的人的思想��。它提供可控的網絡通信,只允許授權的通訊����。一個典型的防火墻由包過濾路由器�、應用層網關,電路層網關等構成。
??????? (2)身份認證:
??????? 身份認證技術是為主機或最終用戶建立身份的主要技術����。在網絡中為了確保安全,必須使特定的網絡資源授權給特定的用戶使用,同時使得非法用戶無法訪問高于其權限相關網絡資源。在實際認證過程中可采取如口令����、密鑰���、智能卡或指紋等方法來驗證主體的身份。一般在廣義的網絡我們采取CA即證書授權的意思���。在網絡中,所有客戶的證書都是由證書授權中心即CA中心分發(fā)并簽名,該證書內含公開密鑰,每一個客戶都擁有一個屬于自個的私密密鑰并對應于證書,同時公開密鑰加密信息必須用對應的私密密鑰來解密���。
??????? 2.3.2 入侵檢測是防火墻的合理補充
??????? 入侵檢測是防火墻的合理補充,幫助系統(tǒng)對付網絡攻擊,擴展了系統(tǒng)管理員的安全管理能力,提高了信息安全基礎結構的完整性
??????? 入侵檢測系統(tǒng)的主要功能有:監(jiān)測并分析用戶和系統(tǒng)的活動;核查系統(tǒng)配置和漏洞;系統(tǒng)構造和弱點的審計,評估系統(tǒng)關鍵資源和數據文件的完整性;識別已知的攻擊行為;統(tǒng)計分析異常行為;操作系統(tǒng)日志管理,并識別違反安全策略的用戶活動。它從計算機網絡系統(tǒng)中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象���。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監(jiān)測,從而提供對內部攻擊���、外部攻擊和誤操作的實時保護。它具有以下一些特點:可靠性,必須在無人監(jiān)控環(huán)境下可靠穩(wěn)定運行;容錯性,入侵檢測必須是可容錯的,即使系統(tǒng)崩潰,也必須能保留下來;可用性,運行時系統(tǒng)開銷應該最小,不影響系統(tǒng)性能,可檢驗,必須能觀察到違法行為;易開發(fā)性,易于進行二次開發(fā);可適應性,檢測系統(tǒng)必須能隨時追蹤系統(tǒng)環(huán)境的變化�。準確性,檢測系統(tǒng)不會隨意發(fā)生誤警報、漏警報;安全性,檢測系統(tǒng)必須難以被欺騙和有效保護自身安全��。
