摘 要:文章首先介绍县级供电企业的网络安全问题,探讨保证电力信息网络安全的措施,提出电力系统网络安全的对策。
关键词:供电系统;计算机;局域网;安全管理
引言
随着信息化建设在各行各业的不断广泛使用, 供电企业的计算机网络建设工程也发展的越来越快,不断引进越来越多的集成化的信息,既然是网络就一定存在其不安全因素,信息泄露的风险随着信息化程度的不断升高变得越来越多。计算机局域网的安全问题,成了供电企业信息化发展过程中的焦点问题。如何保障供电企业计算机局域网工作的正常、安全、可靠运行成为了计算机管理运维人员的工作中的核心任务。
一、县级供电企业的网络安全问题
基于县级供电企业的网络现状和应用系统的普及程度,我们认为现在最可能受到外界或者内部破坏的重要数据信息有五大块,分别是:MIS 系统、用电管理系统、财务管理系统、OA 系统以及单独一块用于原始数据采集的 SCADA 系统等。SCADA系统一旦遭到破坏 ,原始数据将无法采集 ,也无法向服务器传送有用的抽样信息,管理人员也无从了解电网实时数据和原始信息。如果用电管理系统被破坏,所有用电用户的基本信息都不存在,靠人工重新输入信息将浪费大量的人力物力和时间,并且不是全部信息都可以手工恢复的。这对供电企业将造成直接和间接经济损失,引起工作混乱,更进一步波及MIS系统,正常的生产和管理将直接受到影响。MIS 系统由于数据库的开放,为内部或者外部的入侵者开了一个方便之门,他们可以通过内部局域网访问网内的任何一台微机上的信息,并进行破坏,从而让一个子系统或者多个子系统甚至整个MIS 系统陷于瘫痪。OA 系统流转着供电企业的所有办公文档,一旦发生办公系统内部重要数据的丢失和篡改,或者数据库由于各种原因的损坏,正常的工作将受到影响,以至于打乱企业办公。
二、保证电力信息网络安全的措施
(一)多层病毒防御体系
考虑局域网的安全性和网内信息传递的频繁,一旦一台机器感染病毒极易在整个局域网内扩散和传播。如果服务器被感染,其感染文件将成为病毒感染的源头,会迅速从桌面感染发展到整个网络的病毒爆发。 所以在局域网内应布置多平台网络版病毒防护软件。要求防病毒软件具有零度网络管理,可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络的功能,在所有的病毒入口及出口处防护应用系统;保证平台、协议的无关性;保护所有文件、电子邮件、HTML 文档;通过查杀软盘、光盘、可移动硬盘、手提电脑连接、Modem 拨号上网、文件服务器、邮件服务器、Internet 服务器或代理服务器与Internet 连接的进出,提供全面保护。
由于基层的网络与局域网通过光纤连接在一起,各个应用系统之间有信息传递, 为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,基层网络和局域网有业务关系的单机上安装单机版反病毒系统。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,既保证了重点网络的安全,又降低了企业在防病毒方面的投资。对防病毒软件要求有全天候的强大的技术支持,可以通过电话、传真、传统邮件、电子邮件在任何需要的时候获取技术支持。如果新病毒出现,公司应立即送出新的杀毒文件。在Internet上应能很容易地获得软件的升级及最新的杀病毒技术。
(二)防火墙保护
防火墙保护是所有连入互联网的企业内部网不可缺少的屏障。由于黑客入侵,系统安全问题尤为突出。采用完善的防火墙,可使计算机充分利用安全的电子手段, 尽可能减少关键数据所面临的危险,为整个网络筑起一道高墙,将黑客及未授权的应用拒于门外。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的通过,不符合的拒绝。防火墙的组成可以表示为:防火墙=过滤器+安全策略(+网关),是非常有效的网络安全技术。它置于两个网络之间,并且具有如下特性:①所有内部对外部的通信都必须通过防火墙,反之亦然;②只有按安全策略所定义的授权,通信才允许通过;③防火墙本身具有抗入侵能力;④防火墙是网络的要塞点,是达到网络安全目的有效手段,因此尽可能将安全措施都集中于这一点上;⑤防火墙可以强化安全策略的实施;⑥防火墙可以记录内、外网络通信时所发生的一切(如果需要的话)。总之,防火墙的存在限制了可能产生的网络安全问题,以免给整个网络带来灾难。由于SCADA 系统网段和其他应用系统之间存在物理上连通,虽然SCADA 系统有一些应用层的安全措施,如口令保护等,但是一些入侵者可以简单地利用网络层和传输层的攻击方法攻击SCADA 系统的服务器。为了保护SCADA 系统,就必须在SCADA 系统与办公网段之间进行严格的访问控制,实现访问控制的简单有效的方法就是在两个系统之间设置防火墙。根据事先制定的安全策略,在防火墙上配置相应访问规则,并对进出两个系统的数据进行检查,非授权的连接不允许通过。为了保护局域网不被来自上级网络及基层网络的非法访问、越权访问或者防止入侵者侵入上级网络后再对局域网进行攻击,有必要在此设置一个访问控制防火墙。通过对特定网段建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
(三)网络入侵侦测系统
网络入侵侦测系统(IDS)的目标是在复杂的网络环境中提供防范、检测和对攻击作出反应, 并能采取自动抗击措施的工具。 要求在黑客成功进入系统之前检测出攻击者并及时报告系统安全管理人员,提供自动对抗措施。在检测出攻击企图后,能够自动启动编程对策,例如:终止登录过程、终止处理进程、发出寻呼或发出E-mail给Web管理员等。在复杂的网络环境中通过循环监测网络流量(Traffic)的手段保护网络上的共享资源。基于审计数据的攻击检测系统,对于不论内部或者外部的攻击、授权滥用,要求准确和及时的报警、识别遭受攻击的系统成分、对系统活动进行日志登记记录、捕获攻击线索等。系统分布应在网络各处敏感和易遭攻击的场所,如广域连接、拨号连接、蔟集服务器、特定的节段等。在MIS 系统、用电管理系统、财务管理系统、OA系统等各个应用系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法,是在各自的系统安装网络入侵检测系统(IDS)。要求可以实时监控系统网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵检测系统(IDS)应分别检测各自的应用系统。
三、关于电力系统网络安全的对策
(一)加强安全教育,提高人们的安全意识许多企业内发生的网络安全危机, 有多半来自员工本身没有具备基本的网络安全常识,导致黑客有机会侵入计算机,达到破坏的目的。因此企业或个人加强本身的网络保护知识,有绝对的必要。
(二)保密自己的口令、密码
对于系统密码的设置、正确使用和保存,须做到五要和五不要。五要:要8位以上的密码;要数字、字母大小写、键盘外围的按键相结合的密码; 要用不规则密码 (对于有规律的密码,如a1b2c3d4e5f6,尽管是12位的,但也是非常好破解的);要熟练输入密码,保证密码输入的速度要快;要定期改变密码,最少半年一次。五不要:不要用单词、生日、纪念日、名字等常见信息作为密码;不要将密码写下来;不要将密码存入计算机的文件中;不要在不同系统上使用同一密码;在输入密码时最好保证没有任何人和监视系统的窥视。对于系统漏洞,要及时发现,并安装系统最新的补丁程序。
(三)强化日常管理
由于绝大多数安全威胁来源于企业内部,因此必须强化日常管理。不要随便将计算机给别人使用,黑客会在你的计算机上种植木马程序或获取你的相关网络资源密码等,以后他就可以在任何计算机上随意获取你的资源,监视你的一举一动,控制你的计算机,使你的机器速度下降,甚至死机。从计算机的日常使用(如严格管理网络共享,可以设置访问权限来实现)到信息保存(如秘书为领导打印的密件须加密)、流转(如企业的投标书限制扩散)、归档资料的处理(如系统开发文档须确定借阅限制)、应用系统用户的权限变更 (如人员调离单位后必须立即注销其帐户)等方面来加强管理。
(四)优化电力系统网络结构
深入研究分析电力系统各类网络系统的特点,优化信息网络系统和计算机应用系统的网络结构,是保证计算机网络系统信息安全的基础。按系统性质、地位和作用,确定其信息安全等级,实施点、线、面相结合的控制策略。要特别重视电力系统计算机应用的各类实时运行控制系统的安全工作,制定电力系统信息遭受外部攻击时防范与系统恢复措施,防止由于信息安全问题造成电力系统重大事故或大面积停电等灾难性事故。
(五)安装在线杀毒软件,随时监视病毒的侵入,保护硬盘及系统不受伤害常见的有 KV3000、金山毒霸等,还要记得及时给病毒库升级。这样才能加强杀毒软件的抗病毒能力。
(六)浏览 WEB 时不要轻易打开来历不明的电子邮件
常见黑客入侵的方式,都是先寄发内含入侵程序的电子邮件给对方,使收件人在不知情的情况下打开邮件,入侵程序便悄悄进驻你的计算机,这样不仅会被窃取重要资料,而且会破坏硬盘的所有资料. 也有的黑客将邮件以 HTM格式放在 WEB页上寄出,只要上网者轻轻一击,你的计算机就中招了。
四、结束语
综上所述,通过将安全技术手段与运行管理机制相结合;通过将人员思想教育体制与技术培训体制相结合;通过安全制度与日常管理相结合的方法来提高网络安全性,不断的降低计算机局域网的安全事故发生率,使本单位局域网安全管理达到一个更高的标准。
参考文献
[1]吴企渊.计算机网络[M].清华大学出版社.2001.2.
[2]Paul Campbell.网络安全基础 [M].高等教育出版社.2005.6.
[3]门萍 ,门宁.浅议电力营销局域网的安全管理[J].宁夏电力 ,2005(z1):297~298