电力信息系统安全风险分析与应对思考

2018-02-05 14:07:21 大云网　点击量：评论 (0)

1 电力信息系统概述电力信息系统是实现电力信息传递的神经网络，它使电力系统具有可观测性与可控性，是电力系统必不可少的组成部分。电力

1 电力信息系统概述

电力信息系统是实现电力信息传递的神经网络，它使电力系统具有可观测性与可控性，是电力系统必不可少的组成部分。电力信息网络是发电机构、电网单位、供电部门企业内依赖于计算机及网络的业务系统和通信数据网络的统称，从功能上来说由监控系统、管理系统、数据网络系统组成。电力信息系统在不同水平上的完善和发展，从概念上、方法上对电力系统运行分析和经营管理赋予新的内容，保证了电能质量，提高了电力系统安全运行水平，改善了劳动条件，提高了劳动生产率，还为电力系统的经营决策提供有力支援，它使电能的广泛应用成为现实。

2 电力信息系统安全风险分析

电力信息系统的安全风险存在于物理、管理、系统、网络、技术等多个层面，千变万化、错综复杂，梳理出各个层面的安全风险，是着手进行防范、有效进行维护的基础。

（1）物理层面上的风险：物理风险主要是指支持网络运行的物理载体所存在的风险，包括计算机、网络通信设备等硬件设施发生故障，从而引起网络瘫痪。我们可以通过加强对设备的检修和维护，来防控部分物理风险，但是，有很大程度的物理风险是不可预见和防控的。如水灾、火灾、地震等自然灾害引起的线路中断、数据丢失等，载体的本身特性及环境因子导致的线路故障，严重的灾害对这些设备的破坏性是极大的，会引起整个网络的瘫痪。同时，人为的不当操作或者故意破坏，以及电磁干扰等，也会造成数据信息损坏及丢失。

（2）管理层面上的风险：管理层面上的安全风险主要存在于企业内部的安全管理不到位，网络安全防范措施不健全，对与电力工作无关的网络运行和操作管理不到位等等。企业内部的管理直接影响到信息网络的安全，管理职责不明确、制度缺失、对从业人员的监控力度不足、对需要加密的重要数据管理不重视等这些问题，都会对信息系统安全造成严重威胁，以致信息网络遭到破坏甚至瘫痪。

（3）系统层面上的风险：主机系统层面的风险主要是由于系统自身安全措施不完善或是人为的干扰性破坏，所引起的系统超级权限被不正当手段获取，造成信息系统威胁。如系统安装了不必要的附加模块，造成自身缺陷，引起多余端口的开放，同时不及时更新安全补丁修补漏洞，造成系统感染恶意网络病毒，都会极易被非法入侵。人为的干扰破坏对信息系统安全来说是危害性最大的。人为针对系统自身缺陷或者薄弱环节进行主动攻击，窃取重要信息或者破坏信息的传输和系统的运行。

（4）网络层面上的风险：网络安全风险主要存在于内网外网逻辑隔离强度不够，如便携式电脑的流动性会造成公司内网与其他网络混用，是两网隔离的薄弱环节。同时虚拟机程序和一机双系统等技术手段，导致一般的桌面检测终端对同一台计算机不同操作系统连入不同网络很难予以检测发现。目前电力企业内网与外网已实现了物理隔离和逻辑强隔离，但由于网络布线、IP地址分配、使用无线网络以及DHCP自动获取IP技术等问题，使内网无线信号范围不准确，信号能够发送到周边区域，导致周边能够接收并联入企业内网。

（5）技术层面上的风险：网络备份、应用等技术层面的风险主要体现在重要数据的备份和恢复过程中，是否对关键信息进行了备份处理、是否有完善有效的数据恢复系统等，应用风险主要是指在电力系统企业网络中进行身份识别、安全监督、访问监控、信息的完整与不公开性、信息转发的确定性及资源的合理有效控制方面所引发的安全风险。

3 电力信息系统安全风险应对措施

（1）加强基础设施建设：提高硬件设施水平，是保证电力信息系统安全的基础性措施。机房、信息中心等网络运行环境直接关系着网络运行的安全。机房要配有门禁、监控、报警系统、灭火器、应急灯以及接地防雷等设施。机房、配电间保持环境干燥整洁，设备标识、布线清晰整齐，UPS、空调定期检查。推广桌面管理系统和网络准入系统，对计算机定期进行安全检查，严格监管计算机登陆外网现象，在网络监管软件上设置检查计算机各硬盘是否除系统盘外还有其他的系统文件（如WINDOWS文件夹下的系统文件）以及对目前常用的虚拟机软件的安装监控等技术措施。网络规划应尽量多点迂回，传输网络尽量成环、成网，避免单节点失效导致多点失去网络连接的情况发生。

（2）完善管理机制：加强对影响电力信息系统安全人为因素的管理，建立完整的信息安全管理体系、运行维护体系，明确岗位职责，规范相关操作人员的操作。对设备定期维护、网络故障处理等进行详细登记，对网络布线图、信息点、网络结构拓扑图、网络设备等进行备案。明确安全责任，责任细化到人，确保信息安全工作责权清晰。将信息安全工作纳入全方位目标考核制度，实行一票否决制，同时严格落实奖惩。

（3）提高网络防护技术水平：采用防火墙、入侵检测系统（IDS）、入侵防御系统（IPS）和虚拟专用网（VPN）等有效的网络硬件，是加强网络安全管理的关键环节。防火墙可以实现网络安全隔离。IDS能够检测出对网络和计算机系统的恶意入侵，是防火墙之后的第二道安全闸门。IPS在IDS检测到攻击之后，可以在这种攻击扩散到网络其他地方之前进行阻止。VPN主要解决企业或系统之间跨地域访问与数据传输的安全问题，保证企业内部的关键数据能够安全地借助公共网络进行交换。

（4）强化内外网隔离：将局域网与外网进行物理隔离，使局域网内的用户只能访问内网资源，外网计算机无法与内网相连接。也可以实行双网双机模式，直接避免由于上外网而使计算机感染病毒的可能性。机要部门和人员的办公计算机应设立单独的VLAN并通过ACL（访问控制列表）等信息技术，实现在不影响正常工作的前提下，同其他办公计算机终端通过安全领域的逻辑防护措施隔开。对于接入公司内网的计算机应采取MAC码和计算机IP地址绑定策略，这样，外来用户由于网卡MAC码和IP地址不一致，而无法连接到公司内网。

4 结语

电力信息系统是整个电力系统中十分关键的一环，其安全地位至关重要，理清安全隐患，并从安全管理和安全技术着手，积极应对，电力信息系统的安全风险是可防可控的。