发电企业信息安全现状及对策研究

来源:用户上传      作者: 杨涛

　　摘要：随着发电企业信息化水平不断提高，网络规模不断扩大，信息化应用系统不断增多，信息安全逐渐越来越得到发电企业的重视，因此合理设计发电企业网络安全防护系统就显得尤为重要。
　　关键词：信息安全；网络安全危胁；安全防护系统
　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)26-6245-03
　　计算机网络技术迅猛发展，各发电企业信息化网络日渐普及，成为了企业科技化管理的重要手段。通过对数据的集中、共享、处理使得信息系统为发电企业生产经营、安全生产等各方面提供了巨大的科技支撑。但同时伴随出现的病毒蔓延、不良黑客入侵、流氓软件等多方面问题成为了不得不面对的问题，同时对发电企业的安全生产也形成了巨大的威胁，以此进一步加强发电企业信息化安全是在信息化建设初期首要考虑的问题。
　　 1发电企业面临的网络安全威胁
　　因为信息网络的互通性，发电企业信息化威胁，既有可能来自本企业内部，也同时可能来源于外部。其内部威胁主要来自于员工、各信息系统管理员等，根据统计，网络安全破坏活动近80%来自于竞争对手、任何恶意的组织和个人。主要表现的安全威胁为：
　　1）截获用户标识：截获标识指以非法手段取得合法用户的身份信息，主要是用户的帐号和密码，这是绝大多数发电信息系统采用的认证防护措施。如果侵入者得知了某位合法用户的帐号和密码，即便该合法用户并未被赋予其他的特权，也有可能威胁整个系统的安全。如果帐号，特别是密码，被以明文的方式由信息网络传递，侵入者通过安装协议分析软件对网络通信进行监视，则可以轻松获取。如果密码通过明文格式保存在用户的计算机的内存或者硬盘中，侵入者更能够有方法发现并利用这些密码，同时如果密码很简单（如手机号码、用户生日、私家车号牌、用户姓名等），更加容易被侵入者通过软件得知，在网络上大肆传播的黑客工具都是通过几种常用习惯的词典来获取用户密码。
　　2）伪装：当未通过授权的用户假扮成具有合法授权的用户，登录发电信息系统时就形成了伪装。当未通过授权的用户经过伪装成信息系统管理员或者具有信息管理超级特权的有关用户时，截获用户标识的情况是威胁最大的。应为侵入者已经获取了某位合法用户的标识，或者因为侵入者已经使信息系统相信其拥有另外的而实际上并不存在的权限，所以伪装是很容易出现的。网络地址欺骗实际上就是伪装的一中形式，侵入者通过一个合法的IP地址，然后通过此地址截获已被授予该合法地址的系统或者是服务器访问权限。
　　3）非授权操作：非授权操作使用信息系统或者资源时，信息网络安全就受到了极大的威胁。例如，企业的发电数据和财务数据有可能被未经授权的侵入者，非法修改并利用。
　　4）病毒：病毒是伴随计算机技术产生，能够通过不断自我复制，大范围传播，对计算机、信息系统及其数据产生极大破坏的程序。因为病毒具有的隐藏性和可变异性，使得广大用户无法防范。据有关资料调查，99%的企业或者个人受到过计算机病毒的感染，63%的数据和系统损坏来源于病毒。给受害企业或个人带来巨大的时间和人力资源的浪费，同时重要数据文件的丢失和损坏是无法用金钱来衡量的。
　　5）服务拒绝：通过向发电企业信息化系统发送大量的请求或者垃圾数据，使得服务器的资源被大量占用，直至资源耗尽，使其达到无法继续提供正常服务或者服务器崩溃的目的。在发电企业信息化系统中，这样的攻击可能造成重大的安全威胁。
　　6）恶意程序代码：伴随着可自执行的计算机程序与WWW站点的集成，恶意程序代码通过Microsoft ActiveX控件或Sun Java程序的大量使用形成了极大的安全威胁。
　　7）特权滥用：信息系统的超级管理员故意或者错误地通过对某系统的特权来获取其不应获取的敏感数据。
　　8）误操作：信息系统超级管理员、业务系统管理员、一般用户等因对技术方面熟练度不高，操作时的失误，引起对信息系统安全性、完整性和可靠性的损坏。
　　9）权限变更：一般用户利用信息系统的漏洞提高其用户等级，以获取未经授权的系统权限。
　　10）后门：信息系统研发人员出于故意或者为了日后维护便利在信息系统中设置的专用通道，使用其可以不受企业信息系统安全措施的控制。经常被人为利用控制、破坏正常运行的系统。
　　11）系统研发中的错误和调试不全：其包含对有关数据不进行充分的检查、对系统的逻辑运行定义不准确，同时这些错误和不完善没有通过大量的、齐全的系统调试检查出来，有可能在运行中导致数据被错误生成且引入信息系统，破坏了实际数据的准确性。
　　12）特洛伊木马：它通过提供一些有价值的或者仅仅是有趣的功能，在用未经用户许可的情况下拷贝文件、窃取用户的帐号和密码、发送用户的重要资料或者破坏用户系统等。木马程序是一种常见的危害性较大的威胁，由于其不易被发现，在一般情况下，它是在二进制代码中被发现，且大多数后缀名都为无法直接打开的文件，其特点与病毒有许多相似的地方。
　　13）社会工程共计：主要是的是攻击者利用人的心理活动进行攻击，其无需采用高深的科技手段，同时无需入侵系统来完成。仅需要通过向特定用户了解帐号和密码，达到其获取数据或者信息系统访问权的目的。绝大多数情况下、攻击者的主要目标是企业的办公室接待员、行政或者技术支撑人员，通过对这些类别的用户通过电话、EMAIL或者聊天工具等方式即可完成攻击。
　　 2发电企业信息化情况（以五大发电集团某下属发电公司为例）
　　2.1信息化网络状况
　　
　　图1
　　2.2信息化系统状况
　　1）财务及资产管理（简称：FAM）系统，是集中部署的核心应用系统，涵盖电厂财务核算、费用报销、资金计划、物资采购、库存管理、物资计划、超市管理、合同管理、缺陷管理、检修管理、设备维护等功能模块。
　　2）OA办公自动化系统。实现下属企业以及与集团公司间收发文交互、内部收发文管理、邮件及通讯目录功能。系统还提供了值班管理、督察督办、会议管理、车辆管理、办公用品等行政办公管理功能。
　　3）PI实时信息系统：本系统采集、存储DCS系统、电能量、环保系统等实时运行参数，除满足电厂对实施信息的管理需求外，还将有关数据实时传送集成到集团公司实时系统、集团公司生产与营销实时监管系统。
　　4）电厂多业务管理平台。系统包括运行管理、计划管理、生产统计、班组管理、标准制度、政工管理、监审管理、合理化建议等功能，其中统计、政工、监审等模块实现了与集团公司层面相应管理模块的系统集成。
　　5）安全管理平台：功能包括安全信息、安全报表、安全检查、工作票、操作票等管理。
　　6）公司MIS系统：本系统不仅作为下属企业所有管理信息系统入口门户，还提供了项目申报、生产日报、人力资源、融合机制管理、培训考试、安全认证管理、灵活报表等应用功能。
　　7）档案管理系统：本系统由集团公司统一实施，各单位档案系统建设须按照集团公司统一规划，以便于OA系统统一接口、版本升级、技术培训等。
　　8）网站系统由各下属企业自主建设和运维管理，界面设计须符合集团公司VI视觉识别系统标准，内容、运维管理遵照公司和集团公司有关规定和要求，严格执行安全保密等有关规定。
　　 3发电企业网络安全防护设计方案
　　发电企业信息安全体系机构由网络安全防护、数据备份和恢复、应用系统安全、信息安全管理等几部分组成。
　　3.1网络安全防护
　　3.1.1系统安全域防护
　　将企业信息系统通过网络安全域的形式，分为服务器、用户两个安全域，同时划分多个二级安全域，主要为生产信息系统、财务系统、系统管理员、一线生产班组、普通用户等。
　　3.1.2网络的高可靠性
　　1）企业核心网络设备采取双机互为热备形式，两台中心交换机设备通过双链路互联；接入层与核心层也通过双链路互联。
　　2）重要用户安全域通过双链路与企业核心交换连接，进一步保证其链路的可靠性。
　　3）企业核心业务系统服务器也必须通过双链路接入核心层。
　　3.1.3防病毒
　　1）企业管理信息大区按照要求统一部署防病毒系统，采用国内知名品牌网络版。安全区一、二与三区各自拥有自己的防病毒服务器。
　　2）对管理信息大区的服务器、终端用户，强制按照规定部署统一的可网管的防病毒产品。
　　3）在互联网接口部署防病毒网关，以防其从外部传播到企业管理信息大区。
　　4）注重防病毒管理，保证病毒特征码得到有效的更新，通过查看病毒软件的历史记录，了解病毒威胁情况并积极应对。
　　3.1.4防火墙
　　在位于内外网接口处部署防火墙一台，采用高性能硬件防火墙，国内知名品牌，具有双安全操作系统；可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式；具备防火墙、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。
　　3.1.5入侵检测系统
　　在核心层部署一个入侵检测的探头，保证入侵检测系统能够及时发现有关威胁。
　　3.1.6主机安全加固
　　发电企业的关键应用系统（如生产营销实施监管系统、财务系统）的服务器，采取定期安全加固的形式。形式包括：定期检查安全配置、安全补丁、加强服务器系统的访问控制能力等。
　　3.2备份与恢复
　　对于关键应用系统，必须采用每天定期备份，同时人工每月全备份一次。备份的数据必须采用异地存储的形式，且需做到专人定期检查，防止遗漏。
　　3.3应用系统安全
　　管理信息大区中的发电企业应用系统应着重确保其安全性能够得到保证。其主要安全建设内容包括：对系统的访问控制、用户帐号密码及权限管理、操作审计管理、数据加密管理、数据完整性检查等。
　　3.4信息安全管理
　　1）通过成立企业信息化领导小组，加强信息工作包括信息安全工作的整体管理；
　　2）通过制定信息网络管理制度及各级安全防护策略；并通过正式公文下发，严格执行。
　　3）通过设立专业的信息管理人员和成立涵盖各业务部门的兼职信息员，形成覆盖全面的信息化安全管理网络。
　　综上所述，发电企业网络信息安全是一个系统工程，不能仅靠杀毒软件、防火墙、漏洞扫描等硬件设备的防护，还要意识到计算机网络系统是一个人机系统，在建立以计算机网络安全硬件产品为基础的网络安全系统的同时，也应树立各个用户的网络信息安全意识才能防微杜渐，构建一个高效、安全的网络系统。
　　综上所述，发电企业信息安全是一个系统工程，不仅需要入侵检测系统、防火墙等硬件安全设备，同时还要注意信息系统是一个广泛使用的人机互动系统，必须通过系列的安全管理措施和规章制度，进一步强化各级用户的信息安全意识，做到信息安全人人有责、信息安全从自我做起，才能构建起一个高效、安全的企业信息化网络。
　　参考文献：
　　[1]张世永.网络安全原理与应用[M].北京:科学出版社,2003.
　　[2]葛秀慧.计算机网络安全管理[M]. 2版.北京:清华大学出版社,2008.
转载注明来源:https://www.xzbu.com/8/view-3642508.htm