第一篇:電力系統信息通信網絡安全及防護研究(范文模版)
電力系統信息通信網絡安全及防護研究
摘要
電力系統通信網絡安全是電力系統安全管理的重要內容,是關系到電力系統能否有效的、安全的保證電力供應、保障社會發展的重要工作。本文通過對當前我國電力系統網絡安全方面的問題進行分析,并提出自己的見解。
關鍵字:電力系統、信息、網絡安全、防護
1引言
隨著經濟的發展,技術的進步,電力已經成為社會發展、人們生活的重要資源,成為推動社會發展的重要動力。伴隨著電力系統的自動化、網絡化、智能化技術的深入和廣泛的應用,如何確保電力系統的安全性、穩定性成為保障社會發展的重要問題。雖然當前我國在電力系統網絡管理和控制方面,為保障電力專網的安全,降低外網攻擊電力系統信息通信網絡的風險,采用了信息內、外網雙網運行的模式,但是這種網絡安全防護模式在運用和管理過程中仍然發現了許多風險和漏洞,在通信設備運維方面、網絡管理方面仍有許多問題亟待解決。
2電力系統國內外信息通信網絡設備使用現狀分析
電力系統信息通信網絡是一個覆蓋全面的網絡,其各項通信和控制活動需要大量的硬件設備進行運轉和工作。然而,在當前技術水平下,我國自主知識產權、自主核心技術的設備比重相對較小,在網絡管理和運行上大量依賴從國外進口技術和設備,導致我國電力系統安全防護工作存在巨大安全隱患,鑒于網絡設備功能和操作的特殊性和電力部門對國家的重要程度,必須加強網絡安全管理和防護。一方面為保障電力系統運行穩定可靠,電力系統通信網絡部分技術和設備必須使用;另一方面,國外供應商、尤其是有政治背景的供應商、提供所謂“質量安全”的技術、產品的供應商,可能在產品上留有“后門”、在軟、硬件上存在固有漏洞,隱藏了可以導致通信中斷、錯誤、設備癱瘓等惡意程序,威脅我國電力系統的安全。
3電力系統信息通信網絡安全風險分析
經過多年的發展,我國為提高電力系統運行效率,積極構建了電力系統管理專用網絡。為防止電力系統網絡受到互聯網攻擊,造成電力系統故障、癱瘓等重大安全事故,我國在構建電力系統網絡時采用內外網雙網模式,通過邏輯強隔離或物理隔離的方法構建信息通信網絡安全防護的基礎。然而,隨著技術手段的不斷升級和更新,新的網絡安全問題不斷出現,即便內、外網采用物理隔離的情況下,仍然可
以通過各種方式實現對電力系統信息網絡的入侵和破壞。
3.1設備與系統方面
在網絡設備上的選擇上,由于當前過度依賴國外進口設備,一旦供應商在供應的網絡設備上植入后門、木馬等程序,將導致電力系統信息通信網絡完全局部開放給外部網絡,最終形成電力系統信息通信網的安全風險。隨著科技的不斷發展,網絡入侵和控制手段也不斷豐富,通過采用電磁輻射或者無線電信號可以實現對電力系統信息通信網絡的入侵。通過利用供應商預設在硬件設備中的木馬程序,使其發射出特有的輻射或者無線電信號,攻擊者可利用這些信號實現對信息通信網絡的偵測、破譯和控制,從而實現對內網的破壞。
同時,在系統設備的缺陷上、漏洞上的防護不全面也是極其容易被攻擊者所利用。由于部分系統漏洞被供應商公開或是電網系統修復不及時,使得服務器等網絡設備可能遭至頻繁的攻擊和利用,更加劇了我國電力系統信息通信網絡的安全風險。
3.2人員控制方面
我國電力系統內外網分離的策略取得了一定的成效,降低和消除了一部分由網絡攻擊等造成的系統故障。但是,在內網管理和運營上,管理和操作人員在運行維護過程中存在大量風險。一方面,由于部分核心設備依賴進口,其故障、維護、升級等過程,過度依賴外來技術人員,在進行內網系統監測維護期間,大量敏感數據可能為他人所得
進行非法研究。另一方面,電網公司內部管理人員、操作人員也可以通過移動存儲介質、終端等數據通訊時,利用設備預留的后門、漏洞等植入病毒或木馬,使得電力系統信息通信網絡遭受內網式攻擊。
4電力系統信息通信網絡安全防護的幾點措施
4.1設備供應國產化
設備安全是電力系統信息通信網絡安全的基礎,確保設備供應的的國產化,尤其是核心設備的國產化可以在一定程度上規避進口設備的安全風險,降低由于進口設備存在預留后門、開放漏洞等隱患造成的各類設備風險,防止設備安全隱患威脅整個電力系統通信網絡安全。
4.2設備供應審查化
在針對設備供應商的選擇上,進行嚴格的審查化,通過對供應企業的資質審核、設備選型、安全準入、企業投資人、操作人員、企業背景等等進行嚴格的審查,提高供應商準入門檻,確保供應商的在政治和經濟利益上與國家的一致性。
4.3設備投運管控化
首先,在設備選購、實用分析階段,對網絡設備進行全方位的安全檢測,降低和消除各類后門、策略配臵以及代碼等潛在的風險,對設備運行進行可行性分析,針對后門、策略配臵以及代碼等問題,與
供應商一起積極協作,消除風險。其次,在使用過程中,針對系統和設備所出現的各類問題和漏洞,與供應商積極溝通,升級消除,并通過完善漏洞數據庫,實現漏洞監測和跟蹤修復工作。同時,在實際控制過程中,建立防范預警模式,優化電力系統信息網絡安全監測系統,對系統運行狀況、操作記錄等進行日記化備份,對系統重要內容進行隔離備份,以防遭受攻擊后,系統不能正常恢復。
4.4人員控制嚴格化
在人員控制方面,建立相關人員管理和控制制度,對人員進行審查、教育,完善隊伍管理工作,保障在電力系統通信網絡操控過程中的安全,在內網獨立的基礎上,保障人員控制質量,消除人員控制失誤和惡意攻擊風險。同時做好離線設備的信息處理和消除教育工作,防止重要信息的泄漏。
5結論
我國處在發展階段,各項技術仍不完善,電力系統信息通信網絡的安全存在問題較多,電力系統信息通信網絡的安全直接關系到電力系統的有效運行,直接關系到我國電網的調度使用和安全,是關系到社會生產、國家命運的重大安全問題,只有保障了電力系統信息通信網絡安全,才能保障社會發展的動力。
參考文獻
[1]高鵬,李尼格,范杰.電力系統信息通信網絡安全及防護研究[J].現代電子技術,2014,18:146-148+151.[2]宋磊.電力信息系統實時數據的通信安全[D].華中科技大學,2005.[3]李健.對通信網絡安全與防護的思考[J].計算機光盤軟件與應用,2012,02:31-32.
第二篇:xx通信網絡安全防護工作總結
XX通信網絡安全防護工作總結
廣州XX信息科技有限公司的信息網絡安全建設在上級部門的關心指導下,近年取得了快速的進步和發展,實效性強,網絡安全防控能力大大增強。為進一步貫徹落實行業網絡與信息安全各項管理規定,嚴格規范信息安全等級保護,提高企業對信息網絡安全的防控能力,保障企業信息網絡安全,保證公司各項辦公自動化工作的正常進行,促進企業效益的穩步提升,按照《通信網絡安全防護管理辦法》及《2014年國家網絡安全檢查工作方案》要求,我司組織相關人員對系統內信息網絡安全等級保護工作認真細致的自檢自查,現將自查情況報告如下。
一、定級備案情況
廣州XX信息科技有限公司“XX科技網絡交易系統”為XX科技自行開發的網絡交易系統類型,現使用域名為ue189.cn。使用1臺windows2008 云服務器部署,使用HTTP協議承載業務,2M寬帶接入,接入商包括中國電信、中國聯通、中國網通三線接入。“XX科技網絡交易系統”網絡信息安全建設依照統一標準要求進行,信息安全保護等級為一級。
按照“統一網絡、統一平臺、統一數據庫”的要求,以打造“安全網絡交易系統”為戰略目標,以“系統集成、資源整合、信息共享”為工作方針,取得了快速的發展,在積極推進企業信息化建設的過程中,更加重視網絡信息的安全建設工作。XX科技有限公司嚴格按照上級部門要求,主動推進網絡安全建設,嚴律遵循行業標準規范,組織實施信息項目,積極配合上級部門在全行業開展網絡安全建設工作。
二、技術安全防范措施和手段落實情況
1、服務器及網絡經過檢查,已安裝了防火墻,同時配置安裝了專業殺毒軟件,加強了在防篡改、防病毒、防攻擊、防癱瘓、防泄密等方面的有效性。
2、網絡終端沒有違規上國際互聯網及其他的信息網的現象。對信息公開發布門戶網站及相關應用系統帳戶、口令等進行檢查,對服務器上的應用、服務、端口和鏈接進行了檢查,沒有網站信息被非法篡改,也沒有非法鏈接。同時,日常工作中,及時對計算機進行漏洞掃描、木馬檢測等,加強安全監管。我單位使用的計算機都為非涉密計算機,主要是用于業務工作,沒有用于處理涉密信息的情況。目前,網絡運行良好,安全防范措施和設備運行良好,沒有涉及國家秘密的相關信息,未在網上存儲、傳輸國家秘密信息,未發生過失密、泄密現象。
三、應急工作機制建設情況
1、應急響應機制建設上,根據相關要求,建立了信息安全的相關規章制度,要求信息管理員根據安全工作情況及時向小組報告相關情況,并及時上報縣信息化辦公室,及時采取有效措施,處理相關問題。
2、對非涉密的相關重要工作信息實行定時異地備份,以防范服務器系統故障帶來的損失和影響。
3、目前,我司有專門的信息系統運營支撐團隊根據工作中的問題向縣信息辦及時報告咨詢解決。目前,沒有發生信息安全事件。
三、系統風險評估情況
經過安全檢查,我司信息安全總體情況良好,但也存在了一些不足,同時結合公司工作實際,進行了整改同時提出了進一步整改的措施。
1、部分職員對信息安全工作的認識不到位。由于本部門工作涉密很少,機關干部對信息安全防范的意識還不高,對信息系統安全工作重要性的認識還不足。針對這些情況,縣社領導已結合傳達全縣保密工作會議精神,進一步作了強調和要求。結合工作開展,今后將繼續加強的信息系統安全意識教育,提高干部職工對信息安全工作重要性的認識。
2、設備維護、更新不及時。服務器的殺毒軟件、防護軟件沒有及時進行更新升級,存在部分漏洞。針對這些問題,信息管理小組已及時對服務器的殺毒軟件、防火墻等進行了更新升級,對存在的漏洞進行了修復。今后將對線路、系統等的及時維護和保養,及時更新升級防護軟件。
3、信息安全工作機制還有待完善。部門信息安全相關工作機制制度、應急預案等還不健全,還要完善信息安全工作機制,建立完善信息安全應急響應機制,以提高機關網絡信息工作的運行效率,促進辦公秩序的進一步規范,防范風險。
三、整改情況及計劃
針對XX網絡安全風險評估結果,我司針對性的指定嚴密的整改計劃: 首先,進一步加大對信息安全工作人員的業務培訓,加強員工網絡安全意識。由于網絡信息化發展迅速,信息安全管理人員應該時刻保持對新技術的學習,進一步加強對計算機信息系統安全管理工作的業務操作培訓,發放一些信息網絡安全管理方面的業務知識材料。
第二,加強對各級各部門人員的信息系統安全教育。通過開展專題警示教育培訓,增強信息系統安全意識,提高做好信息安全工作的主動性和自覺性。
第三,加強分類指導。由于各部門工作性質不同,信息安全的級別也不同。希望結合各部門工作實際,對重點信息安全部門和非重點信息安全部門進行分類指導。
第三篇:11號令-通信網絡安全防護管理辦法
中華人民共和國工業和信息化部令
第 11 號
《通信網絡安全防護管理辦法》已經2009年12月29日中華人民共和國工業和信息化部第8次部務會議審議通過,現予公布,自2010年3月1日起施行。
部 長 李毅中
二〇一〇年一月二十一日
通信網絡安全防護管理辦法
第一條 為了加強對通信網絡安全的管理,提高通信網絡安全防護能力,保障通信網絡安全暢通,根據《中華人民共和國電信條例》,制定本辦法。第二條 中華人民共和國境內的電信業務經營者和互聯網域名服務提供者(以下統稱“通信網絡運行單位”)管理和運行的公用通信網和互聯網(以下統稱“通信網絡”)的網絡安全防護工作,適用本辦法。
本辦法所稱互聯網域名服務,是指設置域名數據庫或者域名解析服務器,為域名持有者提供域名注冊或者權威解析服務的行為。
本辦法所稱網絡安全防護工作,是指為防止通信網絡阻塞、中斷、癱瘓或者被非法控制,以及為防止通信網絡中傳輸、存儲、處理的數據信息丟失、泄露或者被篡改而開展的工作。第三條 通信網絡安全防護工作堅持積極防御、綜合防范、分級保護的原則。
第四條 中華人民共和國工業和信息化部(以下簡稱工業和信息化部)負責全國通信網絡安全防護工作的統一指導、協調和檢查,組織建立健全通信網絡安全防護體系,制定通信行業相關標準。
各省、自治區、直轄市通信管理局(以下簡稱通信管理局)依據本辦法的規定,對本行政區域內的通信網絡安全防護工作進行指導、協調和檢查。
工業和信息化部與通信管理局統稱“電信管理機構”。
第五條 通信網絡運行單位應當按照電信管理機構的規定和通信行業標準開展通信網絡安全防護工作,對本單位通信網絡安全負責。
第六條 通信網絡運行單位新建、改建、擴建通信網絡工程項目,應當同步建設通信網絡安全保障設施,并與主體工程同時進行驗收和投入運行。
通信網絡安全保障設施的新建、改建、擴建費用,應當納入本單位建設項目概算。
第七條 通信網絡運行單位應當對本單位已正式投入運行的通信網絡進行單元劃分,并按照各通信網絡單元遭到破壞后可能對國家安全、經濟運行、社會秩序、公眾利益的危害程度,由低到高分別劃分為一級、二級、三級、四級、五級。
電信管理機構應當組織專家對通信網絡單元的分級情況進行評審。通信網絡運行單位應當根據實際情況適時調整通信網絡單元的劃分和級別,并按照前款規定進行評審。第八條 通信網絡運行單位應當在通信網絡定級評審通過后三十日內,將通信網絡單元的劃分和定級情況按照以下規定向電信管理機構備案:
(一)基礎電信業務經營者集團公司向工業和信息化部申請辦理其直接管理的通信網絡單元的備案;基礎電信業務經營者各省(自治區、直轄市)子公司、分公司向當地通信管理局申請辦理其負責管理的通信網絡單元的備案;
(二)增值電信業務經營者向作出電信業務經營許可決定的電信管理機構備案;
(三)互聯網域名服務提供者向工業和信息化部備案。
第九條 通信網絡運行單位辦理通信網絡單元備案,應當提交以下信
(一)通信網絡單元的名稱、級別和主要功能;
(二)通信網絡單元責任單位的名稱和聯系方式;
(三)通信網絡單元主要負責人的姓名和聯系方式;
(四)通信網絡單元的拓撲架構、網絡邊界、主要軟硬件及型號和關鍵設施位置;
(五)電信管理機構要求提交的涉及通信網絡安全的其他信息。
前款規定的備案信息發生變化的,通信網絡運行單位應當自信息變化之日起三十日內向電信管理機構變更備案。
通信網絡運行單位報備的信息應當真實、完整。
第十條 電信管理機構應當對備案信息的真實性、完整性進行核查,發現備案信息不真實、不完整的,通知備案單位予以補正。
第十一條 通信網絡運行單位應當落實與通信網絡單元級別相適應的安全防護措施,并按照以下規定進行符合性評測:
(一)三級及三級以上通信網絡單元應當每年進行一次符合性評測;
(二)二級通信網絡單元應當每兩年進行一次符合性評測。
通信網絡單元的劃分和級別調整的,應當自調整完成之日起九十日內重新進行符合性評測。
通信網絡運行單位應當在評測結束后三十日內,將通信網絡單元的符合性評測結果、整改情況或者整改計劃報送通信網絡單元的備案機構。
第十二條 通信網絡運行單位應當按照以下規定組織對通信網絡單元進行安全風險評估,及時消除重大網絡安全隱患:
(一)三級及三級以上通信網絡單元應當每年進行一次安全風險評估;
(二)二級通信網絡單元應當每兩年進行一次安全風險評估。
國家重大活動舉辦前,通信網絡單元應當按照電信管理機構的要求進行安全風險評估。
通信網絡運行單位應當在安全風險評估結束后三十日內,將安全風險評估結果、隱患處理情況或者處理計劃報送通信網絡單元的備案機構。
第十三條 通信網絡運行單位應當對通信網絡單元的重要線路、設備、系統和數據等進行備份。
第十四條 通信網絡運行單位應當組織演練,檢驗通信網絡安全防護措施的有效性。
通信網絡運行單位應當參加電信管理機構組織開展的演練。第十五條 通信網絡運行單位應當建設和運行通信網絡安全監測系統,對本單位通信網絡的安全狀況進行監測。
第十六條 通信網絡運行單位可以委托專業機構開展通信網絡安全評測、評估、監測等工作。
工業和信息化部應當根據通信網絡安全防護工作的需要,加強對前款規定的受托機構的安全評測、評估、監測能力指導。
第十七條 電信管理機構應當對通信網絡運行單位開展通信網絡安全防護工作的情況進行檢查。
電信管理機構可以采取以下檢查措施:
(一)查閱通信網絡運行單位的符合性評測報告和風險評估報告;
(二)查閱通信網絡運行單位有關網絡安全防護的文檔和工作記錄;
(三)向通信網絡運行單位工作人員詢問了解有關情況;
(四)查驗通信網絡運行單位的有關設施;
(五)對通信網絡進行技術性分析和測試;
(六)法律、行政法規規定的其他檢查措施。
第十八條 電信管理機構可以委托專業機構開展通信網絡安全檢查活動。
第十九條 通信網絡運行單位應當配合電信管理機構及其委托的專業機構開展檢查活動,對于檢查中發現的重大網絡安全隱患,應當及時整改。
第二十條 電信管理機構對通信網絡安全防護工作進行檢查,不得影響通信網絡的正常運行,不得收取任何費用,不得要求接受檢查的單位購買指定品牌或者指定單位的安全軟件、設備或者其他產品。
第二十一條 電信管理機構及其委托的專業機構的工作人員對于檢查工作中獲悉的國家秘密、商業秘密和個人隱私,有保密的義務。
第二十二條 違反本辦法第六條第一款、第七條第一款和第三款、第八條、第九條、第十一條、第十二條、第十三條、第十四條、第十五條、第十九條規定的,由電信管理機構依據職權責令改正;拒不改正的,給予警告,并處五千元以上三萬元以下的罰款。
第二十三條 電信管理機構的工作人員違反本辦法第二十條、第二十一條規定的,依法給予行政處分;構成犯罪的,依法追究刑事責任。
第二十四條 本辦法自2010年3月1日起施行。
第四篇:電力系統計算機網絡信息安全分析及防護.
電力系統計算機網絡信息安全分析及防護 吳博
(河南電力調度通信中心 河南 鄭州,450052 摘要:分析了河南省電力公司計算機信息網絡所面臨的不安全因素,并對該計算機信息網絡的特殊架構層次化,繼而進行了深入的網絡安全透析,并給出了針對性的網絡安全防護部署。
關鍵詞:計算機信息網絡;安全防護技術;安全管理;防火墻;入侵監測;防病毒;身份認證;VPN;網絡隔離裝置
一、前言
電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到發電廠、變電站、調度中心;發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。隨著河南電力計算機信息網絡的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多;同時,隨著Internet技術的發展,建立在Internet架構上的跨地區、全行業系統內部信息網開始逐步建立,使網絡的重要性和影響也越來越大,因此電力信息網絡系統的網絡安全“層次化”愈來愈顯得重要。
一、電力計算機信息網絡的架構特點:(一 河南省電力計算機信息網絡的現狀:(1企業內部網絡(Intranet連接。Intranet主要包括以下幾個方面:各地區電業 局、電廠、修造設計機構與省電力公司的連接;各縣電業局與地區電業局的連接;省電力公司與網局、國電公司的連接。
(2企業外部連接。省電力公司與省電力公司二級機構與國際互聯網的連接;各級電
力公司提供的遠程訪問服務;各級電力公司與外系統(如銀行、政府部門的連接。
以上連接一方面豐富了電力公司的業務,同時也導致了新的安全問題。
二、對河南電力計算機信息網絡的安全“層次化”:
上述企業內部網絡連接與企業外部網絡連接的安全防范也成為河南省電力公司重要的網絡安全問題之一。保護計算機網絡的穩定運行,防止重要信息被攻擊、竊取或泄露,安全地連接因特網或其他組織和分支機構,確定信息認證等等問題需要重點解決。而且電力部門有其獨特的網絡模式,所以從自身實際安全需求出發,全局、綜合、均衡地考慮各種必要的安全措施,建立全面完整的安全體系,從而促進電力生產的安全、穩定、經濟運行。
根據河南省電力系統計算機信息網絡的特點,各相關業務系統的重要程度和數據
流程、目前狀況和安全要求,將整個系統分為四個安全區:I實時控制區、II非控制生產區、III生產管理區、IV管理信息區。不同的安全區確定了不同的安全防護要求,從而決定了不同的安全等級和防護水平。其中安全區Ⅰ的安全等級最高,安全區II次之,其余依次類推。
(1安全區Ⅰ:實時控制區
安全區I中的業務系統或功能模塊的典型特征為直接實現實時監控功能,是電力生產的重要必備環節,系統實時在線運行,使用調度數據網絡或專用通道。
安全區I的典型系統包括調度自動化系統(SCADA/EMS、配電自動化系統、變電站自動化系統、發電廠自動監控系統等,其主要使用者為調度員和運行操作人員,數據實時性為秒級,外部邊界的通信經由電力調度數據網SPInet--VPN1。該區中還
包括采用專用通道的控制系統,如:繼電保護、安全自動控制系統、低頻/低壓自動減載系統、負荷控制系統等,這類系統對數據通信的實時性要求為毫秒級或秒級。安全區I是電力二次系統中最重要系統,安全等級最高,是安全防護的重點與核心。
(2安全區Ⅱ:非控制生產區
安全區Ⅱ中的業務系統或功能模塊的典型特征為:所實現的功能為電力生產的必要環節,但不具備控制功能,使用調度數據網絡,在線運行,與安全區I中的系統或功能模塊聯系緊密。安全區Ⅱ的典型系統包括調度員培訓模擬系統(DTS、水調自動化系統、繼電保護及故障錄波信息管理系統、電能量計量系統、批發電力交易系統等,其面向的主要使用者分別為電力調度員、水電調度員、繼電保護人員及電力市場交易員等。該區數據的實時性是分鐘級、小時級。
(3安全區Ⅲ:生產管理區
安全區III中的業務系統或功能模塊的典型特征為:實現電力生產的管理功能,但不具備控制功能,不在線運行,可不使用電力調度數據網絡,與調度中心或控制中心工作人員的桌面終端直接相關,與安全區IV的辦公自動化系統關系密切。該區的典型系統為調度生產管理系統(DMIS、統計報表系統(日報、旬報、月報、年報、雷電監測系統、氣象信息接入等。
(4安全區IV:管理信息區
安全區IV中的業務系統或功能模塊的典型特征為:實現電力信息管理和辦公自動化功能,使用電力數據通信網絡,業務系統的訪問界面主要為桌面終端。該區包括管理信息系統(MIS、辦公自動化系統(OA、客戶服務等。該區的外部通信邊界為公共因特網。
三、網絡安全防護分析: 針對電力計算機信息網絡的以上特殊性質,進行網絡安全分析如下:(一 網絡邏輯結構示意圖
(二在網絡接口處可能受到的攻擊分析: 關聯接口攻擊場景描述風險類 型 風險 級別 對業務的影 響
I1 通過該接口,入侵安全等級高的系統,向通信網關發送雪崩 數據,造成網絡堵塞。機密性
完整性 H 導致和 SCADA/EMS 系統及其它 生產系統業 務中斷
I2、I3 通過該接口,入侵DMIS系統 重要業務部分,造成重要業務 中斷。完整性 可用性 可靠性 審計性 H 可以向DMIS 系統加入惡 意代碼,竊取 信息或對系 統造成破壞。
I4 其它DMIS系統中的惡意進程或攻擊人或病毒,通過SPI
net,利用該接口非法接入 DMIS局域網可用性 審計性 抗否認 M 獲得對DMIS 局域網的非 法接入權,病 毒感染
I5 來自MIS系統的病毒和惡意進程或攻擊人,非法進入DMIS 系統。竊聽或篡改發電計劃、負荷需求或其它不對外公開 信息等數據審計性 可用性 抗否認 M 獲得對DMIS 局域網的非 法接入權,病 毒感染
I6 , I6.1 黑客假冒開發商或本系統維
護人員的身份獲得對DMIS系 統的遠程維護權限 認證性 可用性 抗否認 H 黑客可以向 DMIS系統加 入惡意代碼, 竊取信息,或 對系統造成 破壞。
I7 來自系統外單位系統的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 DMIS系統, 導致服務中
斷或網絡堵 塞
I8 來自INTERNET的病毒或非法入侵可用性 可靠性 審計性 抗否性 M 病毒或非法 入侵者侵入 MIS系統,導 致服務中斷 或網絡堵塞
四、網絡安全防護措施
(一基于接口的安全技術和管理建議 接口 保護(P 檢測(D 響應(R 管理
I1 C 通信網關、防火墻 無 無 C 口令 無 無
無 I2 R 身份認證,審計追蹤,抗否認,防病毒 惡意代碼檢測 入侵檢測
暫停服務,審計日志分析 病毒庫更新
定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 無 無 無 無 I3 R 物理隔離 無
暫停服務,審計日志分析
制定服務中斷恢復計劃,安全相容性檢查 C 口令 無 無 無 I4 R 抗否認,審計追蹤,身份認證,防病毒 惡意代碼檢測 入侵檢測
暫停服務,審計日志分析 病毒庫更新
定義接口安全條件,定義用戶安全連接條件,安全相容性檢查 C 防火墻 無 無
I5 R 防火墻,身份認證,防惡意代碼,安全網關,防病毒 惡意代碼檢測 入侵檢測 修改防火墻規則,病毒庫更新
制定服務中斷恢復計劃,安全相容性檢查 I6, I6 C 口令 無 無.1 R VPN,抗否認, 審計追蹤,身 份認證,安全 網關惡意代碼檢測 入侵檢測 暫停撥號服 務,審計日志 分析 定義接 口安全 條件, 定義用 戶安全
連接條 件,安 全相容 性檢查
C 通信網關無無I7 R 身份認證,安 全網關,防火 墻,抗否認, 審計追蹤,防 病毒惡意代碼檢測 入侵檢測 暫停服務,修 改防火墻規 則,審計日 志,病毒庫更 新 定義接 口安全 條件
C防火墻無無無I8 R防火墻,身份 認證,防惡意 代碼,安全網
關,防病毒惡意代碼檢測 入侵檢測 修改防火墻 規則,病毒庫 更新 制定服 務中斷 恢復計 劃,安 全相容 性檢查
注:C表示當前所采用的安全措施,R表示推薦采用安全措施(二安全產品選用 安全產品及其簡要功能 安全產品名
稱
類型 功能說明 對系統可能的影響 防火墻 硬件防火墻 軟件防火墻
訪問控制 影響數據傳輸速度
網關 服務器 訪問控制 影響數據傳輸速度 基于網絡 實時監控 實施阻斷時,占用一定的 網絡帶寬 入侵檢測軟
件 基于主機 準實時監控 占用主機的一部分CPU和 內存 安全評估軟
件 基于網絡和主機 漏洞掃描 在掃描時,占用一定主機 和網絡資源 專用隔離裝 置 物理隔離 邏輯隔離 更嚴格的訪問 控制
影響傳輸數據的類型、速 度
防病毒軟件 針對NT/2000系列 防、殺病毒 對主機性能有一定影響 PKI系統 CA, RA, AS RA, AS 身份認證、數據 保密、數據完整 證書和私鑰的管理增加 了管理工作量 AS 性檢驗等 備份系統 針對服務器中的數據和軟件
可以對重要數據和軟件進行災難恢復
實施備份操作時,影響網絡和相關主機的速度和性能(三、部署安全產品
(四安全產品部署說明: [1] 防火墻&隔離裝置
在調度生產管理系統的安全區Ⅱ和安全區Ⅲ間(即物理接口PI3處,部署專用物理隔離設備,以實施對安全區Ⅰ、Ⅱ的安全隔離。
在管理信息系統(MIS的接入點和公共網絡接入點,即物理接口PI5和PI8,采用隔離裝置實施訪問控制策略。
[2] 入侵監測系統
在調度生產管理系統中部署基于網絡和基于主機的入侵檢測系統,以實施對網絡和服務器攻擊及違規行為的監測與響應策略。入侵檢測系統的探頭布置在三處,分別標識為IDS 探頭
1、IDS 探頭2和IDS 探頭3,它們的作用分別為: IDS 探頭1:用于監控DMIS 系統與SPI net 之間的訪問活動 IDS 探頭2:用于監控DMIS 系統內部服務器訪問活動
IDS 探頭3:用于監控系統外部單位和DMIS 系統之間的訪問活動
安全監測中心實現對入侵檢測系統中探頭(或稱為探測器的統一管理與控制,它與探頭之間可以通過單獨通道建立連接。這樣既可以使安全監測中心在網絡中隱形,也可以使安全監測中心與探頭之間的通信不占用被檢測網絡的帶寬資源。
[3] 安全評估系統
在DMIS系統中布置安全評估系統,可以輔助管理員自主地定期對調度生產管理系統進行必要的安全評估,檢測與分析系統存在的安全漏洞,并根據安全評估報告的結果進行整改,及時安裝升級包,或者修改防火墻和隔離設備的訪問控制規則,以避免黑客利用系統安全漏洞進行攻擊。
[4] 防病毒軟件
在調度生產管理系統內部的所有主機和服務器上安裝防病毒軟件,并配置一臺病毒管理中心,進行必要的防病毒管理。
由于現在病毒感染的途徑很多,因此必須實施全面的防病毒方案,并且能及時更新。
[5] 身份認證(PKI系統
在調度生產管理系統中布置PKI系統主要用于系統與人(如使用人員員、遠程維護人員等之間以及各系統進程之間的身份認證。完整的PKI系統包括CA、RA、目錄服務等,在調度生產管理系統中可以選擇下面兩種配置之一: 只需要布置一個證書服務器,向應用程序提供證書和證書作廢列表下載、證書有效性驗證服務。證書服務器上的證書數據庫和證書作廢列表可以通過離線方式更新。證書服務器的證書數據庫中至少應該有撥號診斷服務證書、網絡RTU證書、無閉環專用系統的證書、遠程維護人員的證書等。
不增加任何設備,應用程序直接調用PKI系統提供的API,從而支持強身份認證功能。
與配置一相比,需要手工向應用程序導入證書和證書作廢列表 參考文獻: [1]湖南電力計算機廣域網安全分析張燦湖南電力文獻 2003.5 [2] 電力信息網絡安全的“層次化”思科網絡安全技術文獻庫 2004.5 [3] 國家電力信息化目標國家電力信息化技術文獻 2002.3 [4] 孫友倉,對信息系統安全管理的探討.現代電子技術[J],2004,27(5 [5] 熊松韞,張志平.構建網絡信息的安全防護體系.情報學報[J], 2003,22(1 吳博: 男,工程師,2003年畢業于四川大學電氣信息學院通信工程系,同年7月在河南省電力公司調度通信中心通信處就職, 從事電力通信調度以及電力通信網絡的管理、維護和故障處理等方面的工作。
The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone
Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.電力系統計算機網絡信息安全分析及防護 作者:吳博
作者單位:河南電力調度通信中心,河南鄭州,450052 相似文獻(10條
1.會議論文譚曉天系統集成思想指導下的電網調度專業網絡構建1999 系統集成是高水閏的計算機應用,能為用戶提供一體化的解決方案。該文結合湖南電網調度專業網絡系統的開發闡述了系統集成四個層次的具體實踐。最后指出專業人員參與系統集成值得注意的問題。
2.會議論文胡炎.謝小榮.辛耀中現有安全設計方法綜述2005 本文對電網現有安全設計方法進行了綜述。文章分析了風險管理方法、遵循安全設計指南方法、形式化驗證方法、發現修改方法、預防性安全設計方法等現有安全設計方法的特點和不足,同時總結了信息系統安全工程過程、安全需求分析方法、可生存系統分析設計等方面研究的可借鑒之處.3.期刊論文任志翔.仇群輝智能電網調度自動化技術思考-經濟研究導刊2010,“"(7
簡述了智能電網的概念和特點,介紹電網調度自動化的發展歷史,分析了智能電網調度自動化和傳統電網調度自動化在智能處理和信息共享等方面的區別,著重分析了目前電網調度自動化系統的研究現狀,并以目前在變電站建設中推廣的IEC 61850和在主站構建中推廣的IEC 61970標準以及計算機網絡和先進的通信技術作為基礎,重點分析了未來中國智能電網調度自動化的研究方向.4.會議論文李承東.潘明惠微機網絡在東北電網調度運行中的應用1994 5.會議論文舒彬.潘敬東轉變觀念、優化管理—關于電網調度自動化系統網絡安全管理的幾點思考2001 本文在分析調度自動化系統網絡安全管理中,由于信息不對稱所造成的信息失真情況的基礎上,探討了如何通過建立一套有效的技術手段提高自動化系統安全管理系數,并進一步提出以”目標和任務"機制作為網絡安全研究與建設方向的思想,以期為建立可適應性安全防護體系做好準備工作.6.會議論文牛萬福DEC計算機電網調度監控系統1997 詳細介紹了一自行開發的DEC ALPHA計算機電網監控(SCADA系統,描述了監控系統計算機網絡的客戶站/服務器(client/server體系結構及電網監控軟件,闡述了雙機運行和軟件切換機制。文章也介紹了該計算機電網監控系統在地區電網調度中的應用及與企業管理信息系統(MIS和省局能量管理系統(EMS的網絡連接。
7.學位論文高云電網調度運行信息管理系統設計2001 該文研究的對象是供電企業的電網調度運行信息管理系統,它是生產技術管理系統的一個重要組成部分.文中首先指出了目前地區供電企業在調度運行信息的記錄、處理和傳閱方式上存在的問題.在對系統功能需求和數據需求進行分析的基礎上,對調度運行信息進行了分類,確定了系統的總體功能及實現方案,并采用原型法的軟件開發方法、面向對象程序設計技術(OOP和計算機網絡技術進行開發.利用Visual FoxPro6.0開發工具設計的調度運行信息管理系統具有基礎資料數據庫和運行記錄數據庫.現已完成主控程序,系統注冊模塊、運行記錄模塊和操作命令票管理
模塊等應用程序,可以對設備參數和電網運行信息進行增加、修改、刪除和查詢工作,統計斷路器跳閘次數并給出達到預定值時的信息提示.程序中設計了利用已輸入的基礎資料數據進行快速、靈活地輸入和編輯運行記錄的操作方法,極大地減少了漢字輸入的工作量,并且使記錄的信息更為規范.設計的程序具有操作簡便、易于使用和功能擴充方便等特點.8.會議論文王桂茹電網調度管理信息系統設計1997 這是一篇涉及計算機網絡及應用推廣;涉及電網調度相關專業知識及信息共享原則的論文。
9.會議論文曹連軍.王曉華東北電網調度通信中心生產管理企業網1999 當今計算機已經由單機操作向網絡操作發展。計算機網絡在企業現代化管理中起到越來越重要的作用。該文給出了東北電網調度通信中心生產管理企業網的功能描述。
10.期刊論文周士躍.王勁松.金小達地區供電網調度實時數據網絡安全分析及對策-電網技術2003,27(10 隨著信息技術和網絡技術在電力生產中的應用,在變電站與調度自動化系統間傳輸數據已經實現,同時調度自動化系統與電力生產中其它系統間也進行了互聯,因此調度實時系統和變電站計算機網絡的安全問題也越來越引起人們的關注.文中結合鹽城電網的實際情況,提出了相應的系統安全策略和信息安全策略,重點介紹了調度主站系統和變電站的網絡安全技術:防火墻技術、多層次防護策略、入侵檢測系統.本文鏈接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下載時間:2010年6月6日
第五篇:分析部隊通信工作中的網絡安全防護
分析部隊通信工作中的網絡安全防護
【摘要】隨著計算機網絡的不斷發展,計算機網絡技術被應用到社會的各個領域。其中軍事領域已經逐步將計算機網絡技術引入到部隊的通信中,實現了智能化處理信息數據、模擬實戰戰場、自動指揮等。然而網絡安全防護問題成為了我國部隊通信工作中遇到的主要問題,重點分析我國部隊通信的現狀和存在的問題,探究網絡安全防護的有效措施。
【關鍵詞】部隊,通信,工作,網絡安全防護
我國軍事部隊的信息都屬于機密信息,信息的網絡安全關乎國家的存亡和發展。因此,需要引起部隊各部門足夠的重視,強化我國部隊通信工作中的網絡安全意識,分析網絡存在的安全隱患問題,充分調動部隊內部各部門的積極性,有效的實施網絡安全防護,確保我國部隊的通信工作能夠穩定的發展。
一、部隊通信工作的現狀以及存在的問題
(一)缺乏核心軟件和硬件的自主性
目前,我國的部隊通信技術較發達國家相比仍然存在巨大的差距,計算機設備的核心軟件以及大部分的硬件設備都來源于西方發達國家,結合戰略角度的分析,這些軟件、硬件以及計算機系統可能存在一定的網絡安全風險。例如,操作系統被嵌入病毒,造成部隊機密文件的泄漏和丟失等,嚴重危害了網絡的安全性。
(二)存在病毒風險以及防火墻漏洞
網絡病毒能夠通過系統軟件的漏洞,侵入部隊的電腦中,大部分的病毒寄生于網頁和系統文件中,對系統功能的破壞性極大。通常情況下,病毒伴隨著計算機系統的運行潛入到計算機系統的核心軟件當中,對系統的信息數據進行破壞,造成信息傳輸中斷,甚至是系統癱瘓。不僅如此,部隊的通信系統中存在較大漏洞的還有網絡防火墻,病毒同樣能夠通過防火墻漏洞,黑進網絡系統當中,攻擊部隊系統的內部和外部。
(三)軍事機密信息的傳輸安全性不高
部隊通信中機密文件的信息處理環節,非常容易導致信息的泄密,軍事機密文件通常儲存于計算機的系統中,由于機密信息進行傳輸的過程中,存在多個網絡節點,一旦網絡節點未經授權,就很容易造成機密信息的丟失、惡意篡改、盜取等,嚴重影響部隊通信工作的安全性和可靠性。
二、部隊通信工作中網絡安全防護的有效措施
(一)運用路由器技術和VPN技術
路由器是連接網絡的設備,能夠實現內部網絡以及外部網絡的連接功能。通過ASIC加密和解密算法處理,實現部隊內網和外網的控制和管理,確保網絡信息的安全。例如,我國華為、中興等公司研制開發出了具有較高安全性的產品,逐漸拉近了與發達國家之間技術開發的水平。具有較高安全性的產品已經廣泛應用于部隊的網絡中,建立起了虛擬的網絡,并通過隧道進行連接以及數據加密操作,將數據信息傳輸到局域網,有效的防止了信息的篡改和丟失。
(二)運用病毒防范技術和防火墻軟件
為了確保部隊網絡的正常運行,解決部隊通信中的病毒問題,需要安裝必備的殺毒軟件。除此之外,還可以安裝具有病毒檢測、清理、防護功能的病毒預防系統,提高部隊網絡的安全系數。不僅能夠及時的發現系統的漏洞和病毒,還能及時進行系統文件的安全檢測,發現病毒并清除病毒。安裝網絡防火墻能夠有效的控制信息數據輸送方式,并進行實時的審查,篩查可疑的IP地址,提高網絡通道的可靠性。
(三)運用入侵監測技術
部隊應用的入侵監測系統,能夠有效的強化路由器技術和防火墻系統的功能。入侵檢測技術的使用,能夠實現對部隊軍用網絡的實時監控,維護信息數據安全的同時還能跟蹤可疑的攻擊行為,提高了部隊的軍事機密文件的安全性,穩定了部隊軍用的通信渠道。例如,入侵檢測系統中較為常見的網絡誘騙系統,通過建立虛擬網絡環境,引入網絡黑客,并對其進行快速的抓捕,穩定網絡的安全運行。
(四)運用系統漏洞掃描技術
漏洞掃描技術利用網絡安全掃描器,對系統的安全進行掃描,通過計算機系統代碼的數據分析,檢測出系統的漏洞所在,引導用戶進行系統漏洞的修復,防止網絡黑客利用系統漏洞進行罪犯活動。利用計算機系統的漏洞掃描技術進行主機檢查時,一方面,可以匹配開放端口和主機端口,掃描漏洞數據信息是否一致;另一方面,可以通過模仿黑客的方式,對主機進行攻擊,再對系統進行漏洞掃描,一旦攻擊成功,說明這主機系統中存在很大的漏洞。
(五)強化網絡通信使用者的規范性
我國部隊的通信工作存在網絡安全隱患,除了網絡系統的風險因素,還包括網絡通信者操作行為的不規范性。因此,部隊應該設立相關的網絡安全管理部門,制定網絡安全管理的制度,使網絡通信使用者能夠嚴格規范網絡操作行為。除此之外,部隊應該給予足夠的重視,加強網絡信息安全方面人才的培養進行定期的網絡安全技術的培訓,使部隊各部門的官兵增強網絡通信安全意識,掌握基礎的網絡通信技術,提高部隊整體的通信網絡安全防護意識。
結束語:綜上所述,通信過程中的網絡安全隱患問題,成為了現代企業和單位部門通信工作中遇到的主要問題。針對部隊的通信工作來說,維護軍事機密文件信息的安全顯得尤為重要,需要運用路由器技術、VPN技術、病毒防范技術、防火墻軟件、入侵監測技術、系統漏洞掃描技術,并且不斷強化網絡通信使用者的規范性,才能確保部隊通信網絡的安全,使通信網絡的運行環境更加穩定、安全和可靠。
參考文獻:
[1]吳麗萍.部隊通信工作中的網絡安全防護[J].現代商貿工業,2014,15:168.[2]趙騫.部隊通信工作中的網絡安全防護[J].科技風,2013,15:244.[3]王磊,李鳳菊.部隊通信工作中的網絡安全防護[J].信息通信,2015,05:231.
點擊咨詢 