摘要:根据电力数字化应用的需要,创建电力信息管理系统安全保证的总体构架,设定电力信息管理系统安全策略,以指导电力信息管理系统安全技术手段指标体系与信息系统的建设。通过逐步融入先进实用的信息安全技术以及技术手段的基础之上,开展信息系统安全评估活动,建立起完备的安全技术指标体系。同时,逐步建立健全电力信息化过程中,网络信息安全组织机构,逐步落实各项信息安全管理制度,并同时开展信息安全教育和推广信息安全周活动,提高全员信息安全意识,构造规范化的安全管理体制和机制,以期建立完善的信息安全管理体系,并培养一支技术较强的人才队伍。
关键词:电力信息化;安全现状评估;安全区域划分 引言:
随着电网的发展和技术进步,电力信息化工作也开始蓬勃发展。大数据,云平台的应用以及5G万物互联的时代到来而促使着电力信息化迎来了又一个新的高速发展阶段,信息网络规模变得更加庞大,各种信息越来越泛滥。随之而来的电力信息化网络与信息安全的问题也日益凸显。电力行业作为我国国民经济的支柱产业和公共事业根底,电力系统的安全运行可以说是直接关系到国家的安全稳定和国民经济的可持续发展,电网数字化网路与信息安全已然逐渐在科技时代和知识经济国际形势下变得愈加带有挑战性。一直以来,在暗网出现许许多多的黑客组织售卖电力、个人等信息。互联网上先后发生的震网、尼姆达、勒索病毒、挖矿病毒、蓝色编码、冲击波等等病毒导致了数以千计的门户网站崩溃,也对电力信息系统的应用造成了不小不良影响。随着5G时代的到来以及电力信息化建设的不断深入,信息化网络安全技术更加应当与时俱进的创新,才能在切实保障电力信息系统运行稳定、数据安全方面发挥出更大的作用。
一、电力信息化建设现状信息收集评估
实施方需要对现有的信息系统和网络环境做一个全面认识和了解,才能根据需求对自己的网络架构进行改进和优化。
1、信息系统安全管理制度现状评估
伴随着电力数字化建设的不断深入,以及电力管理系统内部结构的复杂化,多元化,对于网路信息安全管理给出了更高的要求。在进行施工之前我们需要对电力公司现行管理制度先行评估,主要是从安全组织方面、人员管理方面、安全管理方面、运维管理方面、监测管理方面、备份管理方面、应急管理方面、文档管理方面展开调查分析以,上几个方面可以参照等级保护2.0或者其他国家标准。从而得出调查结论,来针对性的展开接下来的工作。 2、主机及业务系统安全漏洞评估
为了更高效率的完成电力信息系统的运行管理,通常会使用到各种功能的应用软件。这些应用软件也有可能引发安全漏洞和导致病毒入侵。根据系统的定级或者系统的涉密情况来针对目标系统进行渗透测试、代码审计以及压力测试,从而得出系统的高并发大流量下的工作状态和安全问题。 3、网络现状评估
网络状况在电力信息化过程中网络是承载业务系统与用户交互的道路,所以网络承载能力以及安全状况对于电力信息化承担了至关重要的一个角色,如果在网络中出现嗅探,或者欺骗等等不安全的事件,则可能导致信息泄露或者网络瘫痪。如果网路中出现环路,或者由于区域划分不科学的话,容易导致网络风暴甚至网络瘫痪。由此,我们需要对网络拓扑进行检查,查看网络分区是否合理,ACL策略是否配置合理,检查vlan划分是否科学,检查主干是否做热备,检查网络边界是否部署安全设备并且策略生效以及网络压力测试最大承载量。 4、终端现状评估
用户在内网中使用终端的行为是很难控制的,由于使用者的安全意识不强,经常会在终端电脑中下载安装一些非电网许可的软件,所以办公终端比较容易感染木马病毒之类的,对于终端的评估需要检查终端是否安装病毒查杀防护系统,检查用户安全策略是否设置合规,检查用户桌面是否贴有密码条,检查用户IP策略是否封禁高危端口,检查终端防火墙是否启用。
二、电力信息化建设过程中需涉及到的安全技术
安全技术的应用是电力信息化中保证信息系统安全正常运行的基石,我们必须要在原有的安全架构上面不断加大安全设备的架设,才能有效的对已知和未知的威胁经行昼夜不停的监测和防护。
1、安全区域的划分
安全域是指网络系统内包含相同的安全要求,达到相同的安全防护等级的区域。网络安全域设计遵循以下原则:1、网络结构拓扑应具备高的可用性和高的可靠性。2、在规划地址的时候应该要方便路由汇聚以方便后期管理路由、提高路由广播效率从而达到简化ACL配置的目的。3、内部网路必须结构层次分明,这样才能保证后面的网路隔离和安全规划。4、不同的网段需要在交换机上划分不同的vlan,vlan之间需要按需求设置ACL。5、边界和内部的动态路由协议需要尽可能的使用路由认证,以防止路由欺骗。 6、网路中所有提供SNMP协议的设备的共同体组名必须使用足够复杂的且能够统一便于管理的名称,但是不能使用缺省或者默认的。7、开启反向路由解析验证。8、在网络中应绑定IP和MAC地址。 2、电力信息网防火墙部署
防火墙技术是现阶段最为成熟,应用最为普遍的区域间界限访问控制技术。它经由安装在各异网路区域间边界(例如受信赖的电力企业内部网和不受信赖的外部网络)或是网络安全域之间来推行安全策略。防火墙是各异网路或是网络安全域之间教学信息的惟一出入口,可以依照所配置的安全策略控制(permit、deny)进出网路的信息流,且自身具有极为强劲的抗攻击能力。防火墙技术是提供内部网络流量安全服务,从而实现网路和信息安全的基础设施。当然目前市面上的防火墙性价比最高的还是四层防火墙,其他的七层防火墙目前听起来比较高大上,但是实际使用过程中会拖慢整个网络的吞吐量,实际运维过程中很少会开启七层过滤。
3、电力网络部署防病毒系统
由于内部员工安全意识不够,和外部网络中病毒木马泛滥,用户容易通过以下几种途径将病毒带入内网:1、用户收到钓鱼邮件。2、用户上网通过http,ftp等方式。3、用户通过插拔u盘的方式。3、一些远程接入用户不安全操作。4、协作单位或下属分支企业感染病毒时等等。部署防病毒系统需要具备以下三种能力:1、实时病毒防护。2、客户端防火墙。3、入侵检测。由此可以考虑部署防病毒网关、针对邮件的内容过滤拦截垃圾邮件和防病毒、部署服务器端防病毒、部署客户端集成产品、或者根据需求定制防病毒产品。 4、入侵检测(IDS)/入侵防护(IPS)
电力信息化内外网络的接入边界都会存在各种威胁,如蠕虫病毒、人为的恶意攻击(如死亡之PING、洪水般的广播包)、网络中存在的垃圾包等,对核心网络设备以及链路造成极大影响,所以保护核心网络设备以及链路的最有效方法应是在可能产生该种安全攻击的地方部署能监测而是自动阻止这些攻打会话的保护设备,那就是如今最最先进的侵入保护(IPS)设备所能够实现的基本功能。我们在部署IPS的时候应注重以下特点:1、适用于高速环境的多接口,保证
吞吐量。2、可以主动拦截。3、实时关联分析。4、完整捕获数据包,可以回放和分析。 三、电力信息化建设必须加强并做好人员制度管理
做好了硬的安全技术的同时更要重视软的安全制度方面的问题。从攻击者的角度来看有社工,有钓鱼等等各种方式获取到有效数据从而攻破安全堡垒。也有运维人员的疏忽而导致的数据丢失或者泄露。所以我们必须要重视制度的建设和改进。 1、做好电力信息系统软硬件的维护
从安全设备的存在形式上看,电力信息安全防护系统主要分为产品硬件和防护软件两大块,软件软件的好坏决定着防护能力的高低,硬件的好坏决定着软件能否正常运行。如果要保证安全设备始终发挥作用,就应当从这两个方面采取相应的管理措施。在硬件方面,安全维护人员需要定期对硬件设备进行安全巡检,记录并保障安全设备硬件每天的正常运行状态。比如说检查线路连接是否正常,防止因为接线脱落导致的数据丢失问题;在软件运维方面,运维人员对于各类应用软件和安全管理软件,必须要定期检查其是否更新并升级,必须了解到底是增量包或者是全量包。最好在上架安全设备之前就要向厂商了解清楚使用方式,升级维护方式等。例如上架IPS正常运行之后,每隔一段时间,就需要检查IPS的病毒库是否更新,并导入更新的病毒库,联系厂家修复IPS出现的安全漏洞,以保障电力信息系统软硬件的正常运行。
2、加强终端、运维人员的管理
对于安全管理制度也要重视起来,终端用户,运维人员以及第三方不规范的操作都会影响到电力信息化系统的正常平稳运行。我们必须通过技术手段限制行为与日常管理相结合的方式,构建更加健全的电力信息化安全防护能力。为此,电力信息化中心有关部门应当根据信息化发展形势,不断收集管理中出现和存在的问题,并参考原有的安全管理制度,通过解决问题和头脑风暴罗列出可能会出现或即将出现的问题进行解决和制定相应的规章制度,由于制度是大家制定出来的,作为参与的一份子会比较清楚和容易执行。在新的安全管理体制中,也应该对于安全维护业务人员的操作行为作出相应的要求。例如明确电网内部系统中一定不能安装哪些软件,如果出现通报之后惩罚。对于运维人员需要细化安全管理责任,确保电力信息系统出现故障能够第一时间发现排查解决等等。 四、电力信息化建设未来的展望
目前电力信息化系统大部分仍然呈现出分散的状态,随着大数据,云计算,5G技术的发展应用,在不久的将来电力信息应用系统的整合将是必然的趋势,数据安全的问题也会随之越来越凸显,数据泄露丢失所造成的影响也将越来越严重,所以一个安全的设计架构方案和管理制度则显得愈加重要。 结束语:
现如今我国早已把网络安全递增到国家网络空间安全战略的高度。在电网数字化的过程中特别应当留意的应是维护确保教学信息原始数据隐私的安全。对于一些涉及到国家秘密的电力数据如核电,大坝水利发电等等,必须要严格按照国家涉密信息保护规定定级之后制定相应的安全防护措施,必须维护好国家电力资源的核心利益和国家安全。近几年来,我国电
力信息化为了适应工控安全发展趋势,以及满足工业安全控制等级保护的需要,许多安全技术在这一领域得到了推广应用,同时又催生出许多新的技术,例如传统的防火墙技术、防病毒技术、安全认证技术等等。在推广安全技术应用的同时,也要做好配套的安全管理制度建设,以及安全运维队伍建设等工作。只有统筹各方面的安全措施,才能为电力信息管理系统构筑起更加严密的安全防护体系。 参考文献:
[1]吕姬松.大数据环境下的电力营销信息化建设解析[J].科技创新导报,2019,16(21):254+256.
[2]刘钦.安全技术在电力信息化建设中的应用[J].信息与电脑(理论版),2017(23):192-193.
[3]电力企业信息化网络建设管理[J]. 杨云. 信息与电脑(理论版). 2011(11)
因篇幅问题不能全部显示,请点此查看更多更全内容