电力系统企业已基本形成了调度自动化和管理现代化信息网络,并在实际生产和管理中发挥着巨大的作用。对于关系到国计民生的电力系统而言,网络的安全必须作为一个重大战略问题来解决。电力企业信息网的安全实施是一个系统工程。安全问题涉及身份认证、访问控制、数据保密性、数据完整性、抗抵赖、审计、可用性和可靠性等多种基本的安全服务,涉及ISO/OSI所有的7个协议层次(物理层、链路层、网络层、传输层、会话层、表示层和应用层),覆盖了企业信息网络中物理环境、通信平台、网络平台、主机平台和应用平台等几个系统单元。因此,这是一个立体的、多方位、多层次的系统问题,在规划、设计、实施电力企业信息网络的安全系统时也必须用系统工程的方法论来考虑。下面我们就多层次保护中的主要环节做具体说明。
1操作系统层的安全
当前常用的操作系统主要是UNIX系列和Windows系列。用户的应用系统全部都在操作系统上运行,而且大部分安全工具或软件也都在操作系统上运行。因此,操作系统的安全与否直接影响网络安全。操作系统的安全问题主要在于用户口令的设置与保护,同一局域网或虚拟网内的共享文件和数据库的访问控制权限的设置等方面。为了保证操作系统层的安全,安装操作系统或应用程序时不要使用默认值,采用默认值安装的操作系统或应用程序,往往是造成安全漏洞的祸首。切记删除或关闭操作系统或是应用程序上不必要的功能、网络服务与通讯端口。虽然在企业里要落实这些安全管理工作有时相当费时费力,但是企业可以事先订定标准的操作系统与应用程序的安装规范来说明一般用户或IT管理人员可以安装哪些功能或服务,以有效解决此问题。
2用户层安全
用户层安全主要指他人冒名顶替或用户通过网络进行有关处理后不承认曾进行过有关活动的问题。用户层的安全主要涉及到用户的识别、认证及数字签名问题。为了保证用户层的安全,先进的用户帐号/密码设定与组合帐号与密号的使用通常是许多系统预设的第一关,同时也是唯一的防护措施。因此,黑客如果能取得用户的帐号与密码,即可控制被入侵的系统。事实上,有许多用户的密码要不是很容易被猜中,就是使用系统预设的密码,更甚者,还有些人根本就不设密码。
用户应该要切记把握避免使用不当的密码、系统预设密码、或是使用空白密码的原则。企业内重要信息的使用,应结合严格帐号管理与身份认证程序,以确保信息之使用仅及于授权的用户。身份认证除了须有完善的帐号管理作搭配外,用户可采用所谓one-timepassword动态式密码、PKI公开金钥、数字签章等方式来配合,不仅可确认用户身份,更毋须担心密码被窃,同时还可确保资料的正确性与不可否认性。
3网络层的安全
网络层的安全是网络安全中最重要的部分。它涉及到3个方面。第一,协议本身的安全性。第二是网管协议的安全性。第三方面,也是最重要的方面,就是网络交换设备的安全性。网络层采用防火墙技术。由于电力企业对于数据的实时性要求较高,数据的传输量也较大,因此对于电力信息网络的性能有很高的要求,另外,电力企业涉及到电网供电,其安全性也必须得到切实保证,必须组建科学、严密的防火墙体系,为企业内部网络尤其是内部监控信息系统提供高度的网络安全。监控信息系统不直接与外部网络相连,它仅向管理信息系统提供服务,防火墙采用屏蔽子网的体系结构。在管理信息系统中装入入侵检测系统,它将有效地提升黑客进入网络系统的门槛,入侵检测系统能够通过向管理员发出入侵或者入侵企图来加强当前的存取控制系统,识别防火墙通常不能识别的攻击,如来自企业内部的攻击;在发现入侵企图之后提供必要的信息,帮助系统移植。由于入侵检测系统有漏洞存在,防火墙就成为管理信息系统多层安全防护中必要的一层。防火墙为了提供稳定可靠的安全性,必须跟踪流经它的所有通信信息。为了达到控制目的,防火墙首先必须获得所有通信层和其它应用的信息,然后存储这些信息,还要能够重新获得以及控制这些信息。防火墙仅检查独立的信息包是不够的,因为状态信息是控制新的通信连接的最基本的因素。对于某一通信连接,通信状态(以前的通信信息)和应用状态(其他的应用信息)是对该连接做控制决定的关键因素。因此,为了保证高层的安全,防火墙必须能够访问、分析和利用通信信息、通信状态、应用状态,并做信息处理。
4应用层的安全
应用层安全与应用系统直接相关,它既包括不同用户的访问权限设置和用户认证,数据加密及完整性确认,也包括对色情、暴力以及政治上反动信息的过滤和防止代理服务器的信息转让等方面。
5数据链路层的安全
数据链路层的安全主要涉及到传输过程中的数据加密以及数据的修改,也就是完整性问题。数据链路层的安全涉及到的另一个问题是物理地址的盗用问题。由于局域网的物理地址是可以动态分配的,因此,人们就可以盗用他人的物理地址发送或接受分组信息。这对网络计费以及用户确认等带来较多的问题。
6安全漏洞评估系统
安全漏洞评估系统是一个漏洞和风险评估工具,用于发现、发掘和报告网络安全漏洞。一个出色的安全评估系统不仅能够检测和报告漏洞,而且还可以发现漏洞发生在什么地方以及发生的原因。它在系统间分享信息并继续探测各种漏洞直到发现所有的安全漏洞;还可以通过发掘漏洞以提供更高的可信度以确保被检测出的漏洞是真正的漏洞。这就使得风险分析更加精确,并确保管理员可以把风险程度最高的漏洞放在优先考虑的位置。
7防病毒软件
防病毒软件的应用也是多层安全防护的一项必要措施。它是专门为防止已知和未知的病毒感染你的信息系统而设计的。它的针对性很强,但是需要不断更新,而且存在一定的片面性。
8数据备份及恢复
虽然我们对计算机网络各个层次上进行了安全防护,但计算机网络安全防护是一个动态的过程,计算机病毒层出不穷,防不胜防。在构筑计算机网络信息安全防护体系上,数据备份是必不可少的环节。
数据备份分为3个层次:硬件级、软件级、和人工级。
硬件级的备份:磁盘镜像、磁盘阵列、双机容错,如主硬件损坏,后备硬件马上能接替工作。
软件级的备份:将系统数据保存到其他介质上,当出现错误时可以将系统恢复到备份时的状态。
人工备份:将磁盘所有数据用硬盘、光盘备份下来。
作者单位:怀化市电力集团有限责任公司
