论信息安全在电力生产中的应用

申请免费试用、咨询电话：400-8352-114

摘　要:在信息化社会下,电力生产中信息化的应用已达到了前所未有的规模。随着电力生产信息化的发展,信息安全已是关系电力生产存亡和发展的重要方面。加强信息安全,才能全面提高电力生产的信息化。

关键词:电力生产;信息;安全 1电力生产中信息安全的重要性及涵盖方面 在经济发展的大形势下,电力在生活中发挥的重要作用已是有目共睹。然而,电力安全是关系国计民生的大事;信息化为电力安全所依赖;电力信息化中的信息安全,又是核心的环节。随着计算机和信息技术的发展,电力生产中各个调控系统都需要网络上传递信息,通过网络实现信息化及管理的有效化。信息化条件下的电力市场,需在调度中心、电厂、用户之间进行的大量的数据交换,水电厂、变电站采用大量的远程控制,因此,新形势下对电力控制系统和数据网络的安全性、可靠性提出了新的挑战。电力生产系统中,不同的系统根据其应用状况具备不同的安全特性。如调度自动化系统等控制系统属于内层实时监控,与实时系统直接相连,与其他系统屋里隔离;MIS、办公自动化等系统属于外层,通过防火墙与因特网相连。在电力系统专用通信数据网络的应用中,有直接光纤、数据网络、信息网络等3种方式,不同的应用也采取了不同的方式。继电保护、安全自动装置直接采用光纤或SDH进行信息的传输;远动数据、AGC遥调、SCADA遥控、计量计费、故障录波等可采用不同信道的SDH或ATM交换网络进行传输;在此之上可采用IP交换信息网络进行报价及结算、办公自动化及信息管理系统的应用,并通过防火墙与因特网相连。其具体安全结构如下图所示:   通过图中展示的安全控制系统,我们把信息安全控制分为物理设备安全,网络系统安全和应用系统安全等方面来阐述信息安全的控制。 2　信息安全的实现 2.1　物理设备安全———网络系统中的设备物理技术 物理设备是整个网络的基础,整个信息网络的正常运行离不开物理设备的安全。物理设备包括网络、路由器、防火墙、交换机和应用于网络互连的服务器,同时还有各种提供不同网络服务的服务器,如:网络管理服务器、域名服务器、用户认证和授权等。物理设备的安全影响着整个电力信息网络安全。要有效地保护物理设备的安全,必须从以下两个方面着手:其一是控制可接触物理设备的人数并控制其权限,使得非授权的人员无法接触相关物理设备。二是注意环境安全保护,确保物理设备不因环境问题而产生故障,实现局域网络、互连网络和数据中心网络安全隔离的措施。 2.2　网络系统安全 要确保网络安全,需要在电力系统网内设置默认网关,设置ACL控制以提供财务、营销、客服等服务器的访问控制。防火墙能有效地防止外来的入侵,它在网络系统中的主要作用是:阻止外部恶意的扫描和攻击;控制进出网络的信息流向和信息包;隐藏内部IP地址及网络结构的细节。要增强攻击防范的能力。由于TCP/IP协议的开放特性,尤其是IPv4,缺少足够的安全特性的考虑,带来了非常大的安全风险,常见的口扫描以及危害非常大的拒绝服务攻击等,必须能够提供对这些攻击行为有效检测和防范。在信息防护方面可采用信息隐藏技术。信息隐藏是信息安全研究领域里的一种新兴技术。它把秘密信息嵌入一公开信息中,然后通过公开信息的传输来传递秘密信息。信息隐藏技术主要由下述三部分组成。 (1)嵌入。 它利用隐藏密钥来把嵌入数据(秘密信息)嵌入到载体数据中.形成隐秘数据。 (2)传输。 主要指隐秘数据在网络中的传输。 (3)提取。 它利用隐藏密钥从隐秘数据中恢复出嵌入数据。信息隐藏和信息加密都是为了保护秘密信息的存储和传输,使之免遭非法访问者的破坏和攻击,信息隐藏和信息加密的实现,使电力系统的网络更加安全和稳定。 2.3　应用系统安全———安全系统 应用系统的安全性建设过程涵盖了应用系统的规划、设计、实施/验收、运维等各阶段应用系统在规划阶段,需重点完成以下安全性工作: (1)确定安全性策略需求。根据企业的安全策略总体要求,制定系统安全策略框架。 (2)分析系统遭受攻击、信息泄漏、系统不可用等安全性问题对业务的影响。 (3)安全风险分析。构建一个安全的应用系统必须对可能存在的安全风险进行分析。对系统运行环境进行分析而完成的安全性设计应包括操作系统、计算机硬件、网络、物理安全和管理安全等方面。 2.3.1　要确保应用系统的安全,可以采用防病毒系统技术 可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效地避免网络带宽的浪费和滥用,保护关键服务器的网络带宽。根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力在防火墙上进行设置告警策略,利用灵活多样的告警响应手段,实现攻击行为的告警,有效监控网络应用?启动防火墙日志功能,利用防火墙的日志记录能力,详细完整地记录日志和统计报表等资料,实现对网络访问行为的有效控制。 (1)防火墙: 防火墙实际上是一组系统,它逻辑上处于内部网和外部网之间并由一组保证内部网正常安全运行的软硬件有机的组成,其最基本的构建是构造防火墙的人的思想。它提供可控的网络通信,只允许授权的通讯。一个典型的防火墙由包过滤路由器、应用层网关,电路层网关等构成。 (2)身份认证: 身份认证技术是为主机或最终用户建立身份的主要技术。在网络中为了确保安全,必须使特定的网络资源授权给特定的用户使用,同时使得非法用户无法访问高于其权限相关网络资源。在实际认证过程中可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份。一般在广义的网络我们采取CA即证书授权的意思。在网络中,所有客户的证书都是由证书授权中心即CA中心分发并签名,该证书内含公开密钥,每一个客户都拥有一个属于自个的私密密钥并对应于证书,同时公开密钥加密信息必须用对应的私密密钥来解密。 2.3.2　入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性 入侵检测系统的主要功能有:监测并分析用户和系统的活动;核查系统配置和漏洞;系统构造和弱点的审计,评估系统关键资源和数据文件的完整性;识别已知的攻击行为;统计分析异常行为;操作系统日志管理,并识别违反安全策略的用户活动。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。它具有以下一些特点:可靠性,必须在无人监控环境下可靠稳定运行;容错性,入侵检测必须是可容错的,即使系统崩溃,也必须能保留下来;可用性,运行时系统开销应该最小,不影响系统性能,可检验,必须能观察到违法行为;易开发性,易于进行二次开发;可适应性,检测系统必须能随时追踪系统环境的变化。准确性,检测系统不会随意发生误警报、漏警报;安全性,检测系统必须难以被欺骗和有效保护自身安全。 2.4 应用系统安全———系统安全管理 系统安全生传中的管理工作也非常重要,我们可以通过系统安全控制,对数据进行审计等方法来加强对安全系统的管理。对于操作系统安全,可采用对系统中的所有服务器设备统一控管,对其相关的日志进行审计分析。对数据库安全。实现对数据库的安全审计,可对操作系统的事件日志(包括系统,安全和应用)等进行收集和处理,并对可疑的事件进行响应和报警。对互联网应用进行管理。如对WWW、DNS、Email进行有效的安全管理。同时,我们还要进行系统备份与容灾。对应用系统和重要的服务器进行保护,对数据信息进行容灾备份的有效保护。 从如上方面,加强电力生产应用中的信息安全,才能确保电力生产的安全运用,使电力生产发挥在社会中应有的良性影响。 参考文献： [1]马春雷.如何构筑安全的信息网络[J].信息安全与通信保密,2006,(5):61-63. [2]伍晓平.电力信息应用系统的安全性建设[J].电力信息化,2004,(7):55-57. [3]王聪生.电力生产应用中的信息安全与防护[J].能源行业解决方案,2004,(11):50-51. [4]翟绍思.电力系统信息安全关键技术的研究[J].信息科技,2008,(15):109-110.