论文部分内容阅读
摘要 随着电力企业信息网络的飞速发展,企业网络安全显得至关重要,电力企业内部网络已成为企业生产生活不可或缺的一部分,提高企业信息网络的安全性已经成为企业安全必须关注和解决的一个重要问题。本文通过对影响电力企业内部网络的安全风险的分析,进一步提出了加强网络安全的防范技巧。
关键词 电力网络;防范技巧;安全防火墙
中图分类号 TP311 文献标识码 A 文章编号 1673-9671-(2012)051-0170-01
随着电力企业内部网络信息数据中心的建立、营销业务的推广运用、财务系统的更新换代、EIP系统的建立、办公自动化的发展和推广,ERP项目的上线,极大的方便了电力员工的日常工作,提高了工作效率,节约了办公成本,信息网络化改变了人们的生产生活模式、拉近了彼此之间的距离,同时,信息系统的运行压力也逐渐增大,如何保障电力企业信息网络安全稳定运行,逐渐成为网络建设必须考虑的中一个重要的问题。
1 电力企业内部网络存在的安全风险
电力企业内部网络存在的安全风险主要来自两个方面:一是不可抗力或自然环境因素等非人为造成的威胁;二是人为主观或者无意识的网络威胁。
1.1 非人为因素
1)火山爆发、地震、雷电、火灾、水灾等自然灾害引起的网络故障,某些灾害甚至无法避免,如:跨越洲际的国际海底光缆,据统计,连接欧洲与北美洲的大西洋海底光缆,每年都会由于海底地震发生光缆断裂的事故。
2)由于温度异常、湿度异常、灰尘、尘土、强磁场干扰、电力故障、通信故障等设备所在环境引起的网络故障。
3)由系统软件、应用软件、设备硬件等造成的设备故障,由于网络设备系统集成错误,或者设备老化等带来的威胁。
1.2 人为因素
1)账户外泄。由于员工缺乏安全意识或设置不当而将企业信息系统账户密码泄露,从而被利用,比如:办公自动化系统密码、电力管理生产系统密码、ERP登录密码等,简单的设置为纯数字、手机号码、亲人生日等,这些都极有可能成为安全隐患,被人窃取。
2)内部计算机文件共享。电力是国计民生的重要支柱,电力企业内部许多信息属于商业秘密或国家机密,未控制的文件共享极易被人非法盗取内部资料,从而给企业和国家造成巨大损失。
3)系统漏洞。
漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。
4)由于误操作传输错误的或不应传送的数据、不恰当的管理系统、数据库、无意的数据操作,导致安全问题、设备(如笔记本)丢失、不当的使用设备等误操作给设备及网络安全带来的
威胁。
5)远程维护端口被非授权的使用、数据传输或电话被监听、办公地点被非授权的控制、未经授权将设备连接到网络等网络侦听、非授权控制等方式。
6)拒绝服务攻击、口令的暴力攻击、伪装、伪造证书、密码猜测攻击,这些采用网络欺骗、遍历攻击等手段获取口令、密码的方式。
2 网络信息安全的防范技巧
电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全,所以利用结构化的观点和方法来看待电力企业信息网络安全系统,电力企业网络信息安全防范主要由以下两个层面
完成。
2.1 先进网络安全防范技术
1)VLAN(虚拟局域网)技术。VLAN指通过交换设备在网络的物理拓扑结构基础上监理一个逻辑网络,它依据用户的逻辑设定将原来物理上互联的一个局域网划分成多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。选择VLAN技术可较好地从链路层实施网络安全保障,该技术有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。
2)及时更新操作系统补丁。微软公司每年都会公布大量的系统漏洞,然后在官方网站提供漏洞补丁供用户下载,防范木马病毒进入电脑的一个最佳办法就是及时更新操作系统补丁,然后用漏洞扫描工具检测以下系统是否存在漏洞,直到修复到没有任何已公布的漏洞为止。
3)安装杀毒软件及防火墙。网络防病毒软件是目前人们最普遍使用的手段之一,它对计算机进行查毒、扫描、检查、隔离、报警,当发现病毒时,会采取应急措施,优秀的杀毒软件还具备主动防御的功能,达到保护网络安全的目的,防火墙应用于网络安全防范基本原来是在内部网络和外部网络之间建立起一道屏障,通过内外网之间信息交流的检查,通过防火墙来决定哪些内部信息可以被外部网络访问,哪些外部信息可以被内部网络访问,对杀毒软件和防火墙的及时升级也是保护计算机安全的必做工作。
4)安全设置administrator帐号口令。Administrator帐号是系统的管理员帐号,在默认情况下系统没有对它设置密码,这样很容易被黑客检测并破解,所以必须设置安全密码,安全的密码是字母数字特殊符号的组合,长度不低于8位。
5)控制移动存储设备,加强内部涉密人员管控,近些年的安全防御调查表明,政府、企业单位中超过70%的管理和安全问题来自单位内部人员,特别是移动存储介质的普遍应用,因此使用安全加密优盘是控制信息泄密的重要途径。
6)使用VPN(虚拟隧道)技术,按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对于的访问控制,设置高强度的网络登录密码,保证网络的安全性。
2.2 从制度规范等管理措施上保障网络信息安全,为技术保障的有效实施创造良好的条件
1)成立网络信息安全组织机构,例如:成立某公司信息安全
领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
2)运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
3)建立电网信息安全事故应急处理预案,例如“突发情况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
4)建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
3 小结
电力作为国家支柱产业,其顺利运行与国民经济发展、社会进步密切相关。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献
[1]侯康.浅谈电力调度数据网及其维护[J].科技信息,2011,1.
[2]刘畅,周国强.电力调度数据网解决方案分析[J].科技创新导报,2010,18.
[3]仇宇.Internet网络安全及防火墙技术的探讨[J].绵阳师范学院报,2001,05.
关键词 电力网络;防范技巧;安全防火墙
中图分类号 TP311 文献标识码 A 文章编号 1673-9671-(2012)051-0170-01
随着电力企业内部网络信息数据中心的建立、营销业务的推广运用、财务系统的更新换代、EIP系统的建立、办公自动化的发展和推广,ERP项目的上线,极大的方便了电力员工的日常工作,提高了工作效率,节约了办公成本,信息网络化改变了人们的生产生活模式、拉近了彼此之间的距离,同时,信息系统的运行压力也逐渐增大,如何保障电力企业信息网络安全稳定运行,逐渐成为网络建设必须考虑的中一个重要的问题。
1 电力企业内部网络存在的安全风险
电力企业内部网络存在的安全风险主要来自两个方面:一是不可抗力或自然环境因素等非人为造成的威胁;二是人为主观或者无意识的网络威胁。
1.1 非人为因素
1)火山爆发、地震、雷电、火灾、水灾等自然灾害引起的网络故障,某些灾害甚至无法避免,如:跨越洲际的国际海底光缆,据统计,连接欧洲与北美洲的大西洋海底光缆,每年都会由于海底地震发生光缆断裂的事故。
2)由于温度异常、湿度异常、灰尘、尘土、强磁场干扰、电力故障、通信故障等设备所在环境引起的网络故障。
3)由系统软件、应用软件、设备硬件等造成的设备故障,由于网络设备系统集成错误,或者设备老化等带来的威胁。
1.2 人为因素
1)账户外泄。由于员工缺乏安全意识或设置不当而将企业信息系统账户密码泄露,从而被利用,比如:办公自动化系统密码、电力管理生产系统密码、ERP登录密码等,简单的设置为纯数字、手机号码、亲人生日等,这些都极有可能成为安全隐患,被人窃取。
2)内部计算机文件共享。电力是国计民生的重要支柱,电力企业内部许多信息属于商业秘密或国家机密,未控制的文件共享极易被人非法盗取内部资料,从而给企业和国家造成巨大损失。
3)系统漏洞。
漏洞即某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。
4)由于误操作传输错误的或不应传送的数据、不恰当的管理系统、数据库、无意的数据操作,导致安全问题、设备(如笔记本)丢失、不当的使用设备等误操作给设备及网络安全带来的
威胁。
5)远程维护端口被非授权的使用、数据传输或电话被监听、办公地点被非授权的控制、未经授权将设备连接到网络等网络侦听、非授权控制等方式。
6)拒绝服务攻击、口令的暴力攻击、伪装、伪造证书、密码猜测攻击,这些采用网络欺骗、遍历攻击等手段获取口令、密码的方式。
2 网络信息安全的防范技巧
电力企业网络安全包括系统结构本身的安全及桌面终端设备信息安全,所以利用结构化的观点和方法来看待电力企业信息网络安全系统,电力企业网络信息安全防范主要由以下两个层面
完成。
2.1 先进网络安全防范技术
1)VLAN(虚拟局域网)技术。VLAN指通过交换设备在网络的物理拓扑结构基础上监理一个逻辑网络,它依据用户的逻辑设定将原来物理上互联的一个局域网划分成多个虚拟子网,划分的依据可以是设备所连端口、用户节点的MAC地址等。选择VLAN技术可较好地从链路层实施网络安全保障,该技术有效地控制网络流量、防止广播风暴,还可利用MAC层的数据包过滤技术,对安全性要求高的VLAN端口实施MAC帧过滤。
2)及时更新操作系统补丁。微软公司每年都会公布大量的系统漏洞,然后在官方网站提供漏洞补丁供用户下载,防范木马病毒进入电脑的一个最佳办法就是及时更新操作系统补丁,然后用漏洞扫描工具检测以下系统是否存在漏洞,直到修复到没有任何已公布的漏洞为止。
3)安装杀毒软件及防火墙。网络防病毒软件是目前人们最普遍使用的手段之一,它对计算机进行查毒、扫描、检查、隔离、报警,当发现病毒时,会采取应急措施,优秀的杀毒软件还具备主动防御的功能,达到保护网络安全的目的,防火墙应用于网络安全防范基本原来是在内部网络和外部网络之间建立起一道屏障,通过内外网之间信息交流的检查,通过防火墙来决定哪些内部信息可以被外部网络访问,哪些外部信息可以被内部网络访问,对杀毒软件和防火墙的及时升级也是保护计算机安全的必做工作。
4)安全设置administrator帐号口令。Administrator帐号是系统的管理员帐号,在默认情况下系统没有对它设置密码,这样很容易被黑客检测并破解,所以必须设置安全密码,安全的密码是字母数字特殊符号的组合,长度不低于8位。
5)控制移动存储设备,加强内部涉密人员管控,近些年的安全防御调查表明,政府、企业单位中超过70%的管理和安全问题来自单位内部人员,特别是移动存储介质的普遍应用,因此使用安全加密优盘是控制信息泄密的重要途径。
6)使用VPN(虚拟隧道)技术,按业务分别建立对应的三层VPN,各VLAN段建立符合实际要求的网络访问控制列表,将网络按部门(楼层)进行分段,对各段网络配置对于的访问控制,设置高强度的网络登录密码,保证网络的安全性。
2.2 从制度规范等管理措施上保障网络信息安全,为技术保障的有效实施创造良好的条件
1)成立网络信息安全组织机构,例如:成立某公司信息安全
领导小组,小组成员包括:公司领导层人员、信息安全管理层人员、信息安全网络技术实施保障人员等,并对各人员工作职责提出具体要求,尤其是必须明确技术实施保障人员的工作要求。
2)运用国家电网公司统一的标准化信息安全管理模式,规范日常网络处理流程,严格控制网络接入程序,对新进网络施行过程化管理,例如:申请入网人员必须填写“某公司入网申请单”,并对操作人员严格施行信息网络处理“两票三制”管理,即:操作票、工作票、交接班制、巡回检查制、设备定期试验轮换制,从制度上保证信息网络安全管理。
3)建立电网信息安全事故应急处理预案,例如“突发情况下某某大楼信息系统应急处理预案”,预案所要求的各项信息设备必须作为信息安全重要物资交由信息应急指挥人员保管,相关信息运维人员必须在信息事故发生的第一时间到岗到位、信息预案操作流程必须准确到位,各应急单位要定期进行应急演练,保证在发生信息安全事故之时队伍能够拉得出、打得赢。
4)建立配套的绩效管理机制,以促进信息安全运维人员树立良好意识,提高自身信息网络管理能力。
3 小结
电力作为国家支柱产业,其顺利运行与国民经济发展、社会进步密切相关。基于网络的特殊性,有关供电系统数据网的安全问题不容忽视,要保障其网络的安全可靠运行,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在一起,方能生成一个高效、通用、安全的网络系统。
参考文献
[1]侯康.浅谈电力调度数据网及其维护[J].科技信息,2011,1.
[2]刘畅,周国强.电力调度数据网解决方案分析[J].科技创新导报,2010,18.
[3]仇宇.Internet网络安全及防火墙技术的探讨[J].绵阳师范学院报,2001,05.