请选择 进入手机版 | 继续访问电脑版

电力信息化网

  • 010-52257305
搜索
电力信息化网 首页 观点异见 查看内容

五类安全 一个体系

2017-2-24 09:35| 发布者: 电力信息化网| 查看: 379| 评论: 0|原作者: 文/李兴峰

摘要: 基本安全措施不容忽视,常被忽视,某些技术细节疏于琢磨,导致漏洞盘根错节,确实管理粗放的过错。
物理安全

物理安全主要是指在发生水灾、地震时及天气原因,又或者是因为电源故障以及设备老化,从而导致计算机网络通讯设备遭受破坏及硬件损坏造成数据丢失。物理安全的防护方法主要有:

机房防尘、防水、防雷及防火要求,保证设备运行安全,同时具有防信号辐射要求,防止信号辐射造成信号泄露。

防尘主要是对线缆进线口进行防火胶泥封闭处理,对老机房推拉窗接缝处进行密封处理。

防水主要是对机房周围用水房间,如卫生间、热水间、洗漱间等相关区域进行防护或者将周围水管进行迁移处理。

防雷主要是机房内供电设备安装防雷模块及供电系统具有可靠接地系统,接地系统分为电源地和设备地,接地电阻小于0.1欧姆,电源地一般与厂内接地系统连接,设备地需要单独进行接地处理,接地系统一般部署在机房办公楼楼下,采用接地铜柱串并联后实现。机房内安装有设备接地铜排,将机柜及设备连接至接地铜排实现接地。

防火主要是机房内部署消防系统,由于机房内设备为电子类设备,必须采用气体灭火方式保证设备运行安全,火警报警信号传输至厂内110控制指挥室,便于进行统一调度,同时机房内必须具有应急照明灯、紧急出口指示牌等,机房进出房门采用甲级防火门。

防泄露主要是指机房内墙壁、吊顶采用金属材料,增加信号屏蔽效果,防止信息泄露。

机房内安装机柜金属底座,金属底座用U型钢制作,上表面水平略高于静电地板上表面,底座通过膨胀螺丝固定至水泥楼板地面,机柜横向相连并进行固定,减少地震等自然因素导致设备损坏。

信息中心向下连接信息节点采用光缆传输,防止信号辐射造成信息泄露。为减少终端设备的辐射量,终端连接线缆采用屏蔽网线进行信号传输,阻止不法分子对信息的窃取,选择设备时尽量选择辐射较低的产品。光缆敷设时选取较安全敷设方式,优先考虑电缆沟、线缆桥架。其次是架空和直埋方式敷设,架空光缆使用专用架空自承式光缆,挂接标识牌,标识牌应具有光缆起点、终点、所属部门、联系电话等信息。直埋光缆尽量使用双铠双护光缆,在光缆直埋路经间隔50米设立光缆标识牌,标识牌应具有光缆起点、终点、所属部门、联系电话、警告信息等。

定期对交换机、服务器等重要设备进行检查或更换,对设备配置进行备份,数据传输采用双链路,以防因单链路故障造成通信终端或者数据丢失。重要数据传输设备和服务器必须有备用更换设备,设备出现故障时能有备用设备代替其工作。

企业网络管理机构(信息中心)的机房、配电房等重要基础设施应安装监控、门禁、消防、UPS电源系统等。UPS电源系统必须采用两路电源输入,机房所有负载容量(照明、空调、设备电源)不超过输入电源容量的60%,两路输入电源避免从同一个主变压器获取。

在每个设备机柜内放置操作人员手册,对服务器软件及硬件操作做出相应记录,包括操作设备名称、操作内容、操作时间、操作人员等,出现问题时可及时排查。

系统安全

对一些比较重要的信息、数据进行多重加密,定期修改系统管理员密码,密码设置尽量复杂且不重复,比如大小写、特殊字符等等。要采用安全性、可靠性高的操作系统。系统安装国内外知名杀毒软件,每周对系统进行漏洞扫描,并及时进行更新处理,对软件、网络设备进行升级,在升级前做好相应数据备份工作,以免因安装补丁或者升级系统损坏造成数据丢失。同时对杀毒软件进行升级操作,进行病毒库实时更新。对应用系统进行保护时,可以利用其日志功能,记录用户访问的信息,从而提供依据给事后审查。对不常使用的协议、访问端口尽量不要开放,同时对登录身份进行认证,防止不法分子登录窃取重要信息。

对厂内重要数据业务,比如OA、实时数据、WEB、数据库等应用,应采用可靠性较高的数据备份系统,通过磁盘阵列和虚拟带库对重要业务进行双重备份,备份策略根据使用全备份、差异备份,备份数据时间窗口选择晚上业务较少时间点。对备份数据每月做相应恢复演练,保证数据及系统的安全性和可靠性。对厂内SIS系统数据与生产数据系统进行通信,两个网络之间必须部署单项隔离装置,不同应用之间采用横向隔离方式.

网络安全

保证接入系统中的用户都是真实可靠的,避免恶意用户破坏系统。对厂内用户采用IP地址静态分配方式实现,为方便日后管理,缩小相应网络掩码至25或者26位,每个部门对应1个网段。对重要部门数据业务部署防火墙阻挡来自外界的不安全因素。

对访问互联网通信行为进行控制和监视,并记录访问日志。防止有人滥用资源、攻击网络以及传播有害信息,每个系统环节都要采取防护措施。通过部署上网行为管理设备对访问外网行为进行管控,并能够方便查找上网日志信息。

对厂内SIS系统数据与生产数据系统进行通信时,两个网络之间必须部署单项隔离装置,不同应用(DCS、辅网)之间采用防火墙进行逻辑横向隔离。SIS网与MIS网通信进行数据传输时,通过单向隔离装置将SIS实数据传输至PI镜像服务器(MIS端)。

建立病毒及漏洞扫描防护体系,在企业网络上部署防病毒系统。防病毒软件要具有远程安装、远程报警、集中管理等多种功能。其次,要建立防病毒的管理制度,不能随意将互联网上下载的数据在内网主机上相互拷贝,来历不明的移动存储设备不能随意在互联网计算机上使用,相关人员应该熟练掌握发现病毒后的处置办法。厂家或者其他人员进行U盘拷贝数据时,要用防毒软件进行扫描,确认安全后方可拷贝。

访问控制,包括入网访问控制、网络权限控制、目录级安全控制等。这几种控制策略相互结合,从而实现对用户访问服务器权限的多层次控制。

统一管理网络设备、数据库、服务器以及安全设备等,尽量在设备管理上不要出现漏洞,相关设备密码要定期修改,设备管理员登陆密码尽量复杂,但方便记忆。

技术安全

采用防火墙技术。防火墙是一种网络安全保障手段,通过控制入、出网络的权限迫使所有的连接都经过这样的检查,防止网络遭受外界不安全因素的干扰和破坏。

采用VPN技术。通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来组建广泛范围的Intranet VPN,向客户、合作伙伴提供安全、有效的信息服务,实现自身的内部网络安全。
单向隔离也叫单向网闸,网闸的一般形式是把应用的数据“剥离”,摆渡到另外一方后,再通过正常的通讯方式送到目的地。

纵向加密认证装置采用国密办批准的专用密码算法以及电力系统安全防火专家组指定的特有封装格式,在协议IP层实现数据的封装、机密性、完整性和数据源鉴别等安全功能。该设备主要应用在电力系统专用网络上,目前主要应用调度数据网络通信,涉及主要有RTU等控制大区。

行为安全

行为安全主要指管理方面,加大对管理的规范力度。

要明确每个管理者的职责及工作权限。制定机房准入等相关管理规章制度。对信息系统进行分区管理,进入需相关主管同意,出入采用磁卡等手段对人员进行识别和等级管理。并对工作内容、操作步骤进行记录。

建立系统维护制度,通过采取数据备份措施减少因硬件故障等造成不必要的损失。进行维护时须对维护前后的情况详细记录,包括维护原因、维护内容、操作步骤、维护结果等。

实行监督制度,每一项重大操作必须有相关负责人在场,这些人一般应由系统主管根据平时工作情况进行指派。

实行有限任期制度。企业信息安全所涉及到的重要岗位应采用定期轮换制度。轮换时间由企业根据实际情况来确定,不可过长或过短。岗位轮换时,必须更换所有安全信息口令,重要技术文件或数据必须移交清楚。任用人员须与企业签订保密协议,一旦泄密必须承担法律责任。

建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的软件访问授权。同时对工作人员、系统管理员、密码内容、登录策略等进行管理。

建立事件及风险管理中心。安全管理中心要收集安全产品的大量数据,对这些数据进行关联性分析和优先级分析。还要对安全产品进行集中监管,随时对发生的安全事件、缺陷、报警等信息进行监控,及时通知相关单位进行处理。保障对安全问题的隔离和限制,防止安全问题的蔓延与扩展。

要宣传计算机信息网络安全的重要性,加强对信息网络安全的培训,提高员工的安全防范意识。

投稿联系人:张小姐 13701278405/010-52257305

新闻投稿咨询QQ:1565227076

投稿邮箱:grzx_zy@163.com

扫描上方的二维,关注更多电力最新资讯

【稿件声明】凡来源出自电力信息化网的稿件,版权均归电力信息化网所有。如需转载请注明出处,想了解 更多精彩内容,请登录网站:www.cpite.cn


鲜花

握手

雷人

路过

鸡蛋

最新评论

文热点

主办单位:电力信息化专业协作委员会   《电力信息化用户参考》编辑委员会   瑞电企联(北京)咨询有限公司技术支持
京ICP备13025456号-1
客服电话:010-66186680
反馈建议:13701278405@163.com