淺析電力生產(chǎn)中信息安全的重要性

摘要：隨著電力生產(chǎn)信息化的發(fā)展，信息安全已是關系電力生產(chǎn)存亡和發(fā)展的重要方面。本文討論如何加強信息安全，才能全面提高電力生產(chǎn)的信息化。

1、電力生產(chǎn)中信息安全的重要性及涵蓋方面

信息化為電力安全所依賴；電力信息化中的信息安全，又是核心的環(huán)節(jié)。隨著計算機和信息技術的發(fā)展，電力生產(chǎn)中各個調(diào)控系統(tǒng)都需要網(wǎng)絡上傳遞信息，通過網(wǎng)絡實現(xiàn)信息化及管理的有效化。信息化條件下的電力市場，需在調(diào)度中心、電廠、用戶之間進行的大量的數(shù)據(jù)交換，水電廠、變電站采用大量的遠程控制，因此。新形勢下對電力控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全性、可靠性提出了新的挑戰(zhàn)。電力生產(chǎn)系統(tǒng)中，不同的系統(tǒng)根據(jù)其應用狀況具備不同的安全特性。如調(diào)度自動化系統(tǒng)等控制系統(tǒng)屬于內(nèi)層實時監(jiān)控。與實時系統(tǒng)直接相連，與其他系統(tǒng)屋里隔離；MIS、辦公自動化等系統(tǒng)屬于外層，通過防火墻與因特網(wǎng)相連。在電力系統(tǒng)專用通信數(shù)據(jù)網(wǎng)絡的應用中，有直接光纖、數(shù)據(jù)網(wǎng)絡、信息網(wǎng)絡等3種方式，不同的應用也采取了不同的方式。繼電保護、安全自動裝置直接采用光纖或SDH進行信息的傳輸；遠動數(shù)據(jù)、AGC遙凋、SCADA遙控、計量計費、故障錄波等可采用不同信道的SDH或ATM交換網(wǎng)絡進行傳輸；在此之上可采用IP交換信息網(wǎng)絡進行報價及結算、辦公自動化及信息管理系統(tǒng)的應用，并通過防火墻與因特網(wǎng)相連。

2、信息安全的實現(xiàn)

2．1物理設備安全—一網(wǎng)絡系統(tǒng)中的設備物理技術

物理設備是整個網(wǎng)絡的基礎，整個信息網(wǎng)絡的正常運行離不開物理設備的安全。物理設備包括網(wǎng)絡、路由器、防火墻、交換機和應用于網(wǎng)絡互連的服務器，同時還有各種提供不同網(wǎng)絡服務的服務器，如：網(wǎng)絡管理服務器、域名服務器、用戶認證和授權等。物理設備的安全影響著整個電力信息網(wǎng)絡安全。要有效地保護物理設備的安全，必須從以下兩個方面著手：其一是控制可接觸物理設備的人數(shù)并控制其權限，使得非授權的人員無法接觸相關物理設備。二是注意環(huán)境安全保護，確保物理設備不因環(huán)境問題而產(chǎn)生故障，實現(xiàn)局域網(wǎng)絡、互連網(wǎng)絡和數(shù)據(jù)中心網(wǎng)絡安全隔離的措施。

2．2網(wǎng)絡系統(tǒng)安全

要確保網(wǎng)絡安全，需要在電力系統(tǒng)網(wǎng)內(nèi)設置默認網(wǎng)關，設置ACL控制以提供財務、營銷、客服等服務器的訪問控制。防火墻能有效地防止外來的人侵，它在網(wǎng)絡系統(tǒng)中的主要作用是：阻止外部惡意的掃描和攻擊；控制進出網(wǎng)絡的信息流向和信息包；隱藏內(nèi)部IP地址及網(wǎng)絡結構的細節(jié)。要增強攻擊防范的能力。由于TCP／IP協(xié)議的開放特性，尤其是IPv4，缺少足夠的安全特性的考慮，帶來了非常大的安全風險。常見的口掃描以及危害非常大的拒絕服務攻擊等，必須能夠提供對這些攻擊行為有效檢測和防范。在信息防護方面可采用信息隱藏技術。信息隱藏是信息安全研究領域里的一種新興技術。它把秘密信息嵌人一公開信息中，然后通過公開信息的傳輸來傳遞秘密信息。

2．3應用系統(tǒng)安全———安全系統(tǒng)

應用系統(tǒng)的安全性建設過程涵蓋了應用系統(tǒng)的規(guī)劃、設計、實施／驗收、運維等各階段應用系統(tǒng)在規(guī)劃階段，需重點完成以下安全性工作：

(1)確定安全性策略需求。根據(jù)企業(yè)的安全策略總體要求，制定系統(tǒng)安全策略框架。

(2)分析系統(tǒng)遭受攻擊、信息泄漏、系統(tǒng)不可用等安全性問題對業(yè)務的影響。

(3)安全風險分析。構建一個安全的應用系統(tǒng)必須對可能存在的安全風險進行分析。對系統(tǒng)運行環(huán)境進行分析而完成的安全性設計應包括操作系統(tǒng)、計算機硬件、網(wǎng)絡、物理安全和管理安全等方面。

2．3．1要確保應用系統(tǒng)的安全，可以采用防病毒系統(tǒng)技術

可以啟動防火墻身份認證功能，通過內(nèi)置數(shù)據(jù)庫或者標準Radius屬性認證，實現(xiàn)對用戶身份認證后進行資源訪問的授權，進行更細粒度的用戶識別和控制；根據(jù)需要，在兩臺防火墻上設置流量控制規(guī)則，實現(xiàn)對服務器訪問流量的有效管理。有效地避免網(wǎng)絡帶寬的浪費和濫用，保護關鍵服務器的網(wǎng)絡帶寬。根據(jù)應用和管理的需要，設置有效工作時間段規(guī)則，實現(xiàn)基于時間的訪問控制，可以組合時間特性，實現(xiàn)更加靈活的訪問控制能力在防火墻上進行設置告警策略，利用靈活多樣的告警響應手段，實現(xiàn)攻擊行為的告警，有效監(jiān)控網(wǎng)絡應用?啟動防火墻日志功能，利用防火墻的日志記錄能力，詳細完整地記錄日志和統(tǒng)計報表等資料，實現(xiàn)對網(wǎng)絡訪問行為的有效控制。

(1)防火墻：

防火墻實際上是一組系統(tǒng)，它邏輯上處于內(nèi)部網(wǎng)和外部網(wǎng)之間并由一組保證內(nèi)部網(wǎng)正常安全運行的軟硬件有機的組成，其最基本的構建是構造防火墻的人的思想。它提供可控的網(wǎng)絡通信，只允許授權的通訊。一個典型的防火墻由包過濾路由器、應用層網(wǎng)關，電路層網(wǎng)關等構成。

(2)身份認證：

身份認證技術是為主機或最終用戶建立身份的主要技術。在網(wǎng)絡中為了確保安全，必須使特定的網(wǎng)絡資源授權給特定的用戶使用，同時使得非法用戶無法訪問高于其權限相關網(wǎng)絡資源。在實際認證過程中可采取如口令、密鑰、智能卡或指紋等方法來驗證主體的身份。一般在廣義的網(wǎng)絡我們采取CA即證書授權的意思。在網(wǎng)絡中，所有客戶的證書都是由證書授權中心即CA中心分發(fā)并簽名．該證書內(nèi)含公開密鑰，每一個客戶都擁有一個屬于自個的私密密鑰并對應于證書，同時公開密鑰加密信息必須用對應的私密密鑰來解密。

2．3．2入侵檢測是防火墻的合理補充．幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展了系統(tǒng)管理員的安全管理能力，提高了信息安全基礎結構的完整性入侵檢測系統(tǒng)的主要功能有：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞：系統(tǒng)構造和弱點的審計，評估系統(tǒng)關鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。它從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，看看網(wǎng)絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。它具有以下一些特點：可靠性，必須在無人監(jiān)控環(huán)境下可靠穩(wěn)定運行；容錯性，入侵檢測必須是可容錯的，即使系統(tǒng)崩潰，也必須能保留下來；可用性，運行時系統(tǒng)開銷應該最小，不影響系統(tǒng)性能，可檢驗，必須能觀察到違法行為；易開發(fā)性，易于進行二次開發(fā)；可適應性，檢測系統(tǒng)必須能隨時追蹤系統(tǒng)環(huán)境的變化。準確性，檢測系統(tǒng)不會隨意發(fā)生誤警報、漏警報；安全性，檢測系統(tǒng)必須難以被欺騙和有效保護自身安全。