请选择 进入手机版 | 继续访问电脑版

电力信息化网

  • 010-52257305
搜索
电力信息化网 首页 观点异见 查看内容

完善保障体系 消除安全隐患

2017-2-17 11:18| 发布者: 电力信息化网| 查看: 397| 评论: 0|原作者: 文/章舜 虞舟凯 卢坚军

摘要: 中医认为时间、方位、能量和物质属性的不同组合,对人产生不同的影响,“用药须合君臣佐使”,消除信息安全隐患同样须对各种因素采取不同技术组合,君臣佐使方可见效。
为了让国家电网能实时监测三门核电一次设备的性能参数及发电数据,三门核电构建了三门核电数据接入网系统,提高了电网调度的工作效率。但安全隐患随之而来,网络一旦被攻击破坏,可能导致电力一次系统设备无法正常运行。影响网络安全的因素很多,有些因素可能是有意的,也可能是无意的;可能是人为的,也可能是非人为的。

五大安全隐患

人为失误:系统工程师安全意识不强,用户口令选择不慎,并将自己的账号随意转借他人或与别人共享等,都会对电网调度信息网络安全造成巨大的威胁。

内部入侵:三门核电数据接入网用于接收并传输三门核电一次设备的各种性能参数,与一次设备和行政办公网等系统之间存在接口,这些外部系统可以通过互联接口访问数据接入网系统;另外数据接入网机柜统一放置在网控楼继电保护间,继电保护间作为一个公共设备存放间,进出人员繁杂,缺乏有效的监管机制。内部入侵是电网调度信息安全的核心威胁。

外部攻击:三门核电数据接入网通过光传输设备与浙江省调及华东网调等外部设备互联。随着信息网络的发展,黑客技术被越来越多的人发展和掌握。如今,世界上共有20多万个黑客网站,这些网站对一些攻击软件的使用和攻击方法以及系统的一些漏洞都有介绍,所以网络系统遭受攻击的可能性变得越来越大,特别是目前针对网络犯罪缺乏特别有效的跟踪和反击手段。黑客攻击的更隐蔽,是电网调度信息安全的主要威胁。

信息泄露:三门核电一次设备的各种性能参数及发电数据通过IP包的形式实时传递至浙江省调或者华东网调,如被保护的数据包被内部入侵人员或者外部黑客拦截并破解,存在着信息泄露的风险。

病毒入侵:由于系统工程师人为的失误或者入侵人员的攻击策略,系统存在着被病毒入侵的隐患,病毒入侵破坏了系统服务器正常的数据、命令、程序,让服务器不能继续正常运行,给系统带来很大的威胁。

信息安全保障体系

信息安全是为了防止被攻击,而信息安全保障体系是为了保证信息系统的可用性、完整性、真实性、机密性和抗抵赖性始终维持在特定水平。一个完整的信息安全保障体系应该是人、管理和安全技术实施的结合,三者缺一不可,信息安全体系建设需要从这三个层面提供保证信息安全所需要的对策、机制和措施,强调在一个安全体系中的多层保护。

首先要解决“人”的问题,建立完善的信息管理和安全组织机构,其次是解决“人”和“技术”之间的关系,建立层次化的信息安全策略,包括安全制度、安全指南和操作流程,最后是技术问题,通过设置各种安全机制来提高网络的安全保障能力。针对三门核电调度信息安全目前存在的五大安全隐患,通过建立信息安全保障体系来确保信息安全。如表1所示。



网络的安全运行,信息的安全传递,必须要有一个统一的管理制度,提高人员的安全意识,否则信息安全将得不到保证,造成整个网络管理和运行的不规范,所有的数据信息将得不到有效的保护。信息安全管理包括管理体系、风险管理、控制措施三个方面。

管理体系:通过建立批准监督机制,电网调度设备统一由省调进行监控管理,三门核电人员对电网调度设备的所有操作必须提前开启检修单进行审批,且检修工作开始前,需经省调或者华东网调同意后才可以进行操作。

风险管理:建立风险评估机制,对数据网存在的安全隐患进行评估,针对可能存在的安全事件编制应急预案及维修规程。

控制措施:建立切实可行的信息安全管理规章制度,包括为保证通信机房环境的安全,建立《通信机房管理》机制,另外为保障信息系统账号的保密性,建立《通信系统账号和密码管理》机制。

人是安防体系最薄弱的一环,有强烈安全防护意识的员工是安防体系得以切实落实的基础,加强对使用人员的安全知识教育,建立完善的安全技能培训,杜绝企业外部以及企业内部员工攻击网络系统,是安全防护系统的一项重要工作。

人员安全意识培训:据统计,约有70%左右的网络攻击来自内部用户,相比外部攻击来说,内部用户具有更得天独厚的优势。通信人员需充分意识到网络不安全的风险所在,提高登录密码的设置级别,在没有安全可控的条件下,不得利用非受控设备登录调度网络设备,不得将账户及密码转借他人,不得随意与其他网络共享资源等。

人员安全技能培训:为确保通信人员能有效地承担某特定岗位的相关安全责任和义务,需建立人员安全培训机制,培训内容包括当下信息网络存在哪些潜在的安全隐患以及针对这些隐患应该如何防范等内容,旨在加强通信人员安全意识,提高安全防范技术水平。

信息安全技术

为解决三门核电调度信息网络存在的安全隐患,三门核电数据接入网在技术上设置了多重安全防护。如图1所示。


安全隔离技术:在生产控制大区与管理信息大区之间设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,保证两个大区之间每一次数据交换在同一时间只有一个大区同隔离装置建立非TCP/IP协议,只允许数据单向传输,切实保证两个大区之间永不连接,互不影响。

内部网络监控技术:对设置在非控制区的非实时交换机接入IDS入侵检测装置,通过在系统内布置监控装置,利用自身具备的防卫技术,对各种攻击行为进行有效阻止,并在攻击信息发现时,及时告警并启动相应的防卫程序。

网络控制技术:三门核电在设置非控制区的非实时交换机与路由器间加装了包过滤防火墙,利用ACL策略要求,制定不同IP地址用户的访问区域及访问级别,实行按需求开通连接的方法,阻断一切未经允许非授权用户的访问,并实时记录网络内的所有访问信息。

信息加密技术:三门核电在路由器与省调路由器之间建立专用VPN通道,将数据包封装在特定的加密隧道中进行传输,防止数据信息在网络传输过程中被人恶意窃取,另外在控制区的实时接入交换机与路由器之间再加装纵向加密装置,对控制区业务建立加密及认证隧道,最终实现数据传输的机密性、完整性的保护。

计算机防病毒技术:在安装有IDS入侵检测装置的服务器中加装瑞星杀毒软件,防止入侵检测装置被病毒破坏,为系统营造稳定的运行环境。

数据备份技术:为保证数据的可追溯性,每次年度检修期间对设备的关键数据进行数据备份,保障了设备数据的可恢复性。

容灾技术:对每个数据接入网屏柜提供两路不同路径的UPS电源输入,保障了稳定可靠的外部电源,每台数据接入网设备配备两个电源模块,防止单个电源模块故障导致业务中断。

网络冗余技术:分别采用网络设备主备冗余、上联链路冗余两种冗余技术,主机冗余是通过构建两套数据接入网系统分别连接至浙江省调及华东网调,保障了单主机损坏不会导致业务中断,链路冗余是针对每个数据接入网系统敷设两条上联路径,分别连接到Alcatel光传输环网和Cisco光传输环网中,保障了单链路中断不会导致业务中断。

投稿联系人:张小姐 13701278405/010-52257305

新闻投稿咨询QQ:1565227076

投稿邮箱:grzx_zy@163.com

扫描上方的二维,关注更多电力最新资讯

【稿件声明】凡来源出自电力信息化网的稿件,版权均归电力信息化网所有。如需转载请注明出处,想了解 更多精彩内容,请登录网站:www.cpite.cn


鲜花

握手

雷人

路过

鸡蛋

最新评论

文热点

主办单位:电力信息化专业协作委员会   《电力信息化用户参考》编辑委员会   瑞电企联(北京)咨询有限公司技术支持
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com