论文部分内容阅读
摘要:电力信息系统信息安全管理是系统建设及维护的核心内容,保证信息安全才能保证整个系统的运行安全,本文根据收集到的资料,结合自身在电力信息系统信息安全管理中的经验,分析了安全隔离技术、系统级安全技术等在电力信息系统信息安全管理中的应用,希望能够对电力企业的电力信息系统管理维护部门提供一些帮助和启示。
关键词:电力信息系统;安全管理;虚拟专网
中图分类号:TM76 文献标识码:A 文章编号:1671-864X(2015)10-0204-01
电力信息系统信息安全管理水平,主要受各种安全管理技术及其运用的影响,一般来说安全管理技术运用的越多、越合理,信息安全水平也就越高。其中的关键技术有很多,但主要集中在安全隔离技术、系统级安全技术等方面上。
一、安全隔离技术
(一)物理隔离技术。
物理隔离是在物理上将电力信息系统与因特网隔离开,控制内部网与外部网之间的连接,通过防火墙、代理服务器直接和间接隔离。这种方法是方案病毒、黑客入侵、拒绝服务等网络攻击最简单、最有效的手段。从目前国内电力信息系统物理技术技术的运用来看,一般是在安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间设立物理安全隔离层,从而为电力信息同划定了一个安全便捷,增强了整个网络系统的可控性,结合安全管理、监测、审计等技术,可以有效的预防攻击发生和准确的确定网络攻击 的来源,尤其是来自内部的攻击。物理隔离技术主要分为两类,也就是时间隔离系统和安装网络隔离卡。其中,国内主要采用前一种技术,也就是通过转换器根据需要在内外网之间进行切换,达到内外以往之间的通信要求,主要是由物理隔离转换装置、数据暂存区等组成,其中还要运用防火墙技术、基于内核的入侵检测机书、安全皂搓技术等,从技术特点来看比较复杂,效果也比较好。第二种技术应用也比较广泛,也就是通过虚拟技术将一台机器模拟为两台机器,虚拟的两台机器当中有公共与安全两种状态,这两种状态是安全隔离的,硬盘也被划分为安全和公共两个分区,甚至可以安装两个硬盘。技术难度比较低,但是对计算机性能的要求比较高,有时候并不能避免人为操作带来的危險,并且建设的成本相对也比较高。
(二)防火墙技术。
防火墙是在内网与外网之间的一道安全屏障,主要预防潜在的破坏入侵,主要是通过检测、限制和更改经过防火前高的数据流,防止破坏性的数据流进入内网,对外网屏蔽内网的信息、运行等情况。目前,大多数操作系统内部都嵌入了防火墙,主要有数据包过滤、应用级网关管理、代理服务等功能。其中,数据包过滤是主要功能,在过滤的过程中由系统判断其安全等级,这就需要预先设置过滤逻辑,在数据包到达防火墙以后也被存储在缓存区之内,由防火墙根据安全逻辑判断数据包源地址、目的地址、端口号和协议状态等因素,以判断书否允许其通过。有的防火穷有主动识别技术,不同人工操作就可以阻止,有的则需要人工操作才能完成。当然,目前操作系统内嵌的防火墙的作用大大降低,但是可以安装一些专业级的防火墙,有些专业的防火墙软件可以通过定期的更新、打补丁等方式,对黑客入侵、病毒等起到有效的预防作用。
二、系统级安全技术
(一)操作系统安全。
任何一个计算机首先要安装的就是操作系统,电力信息系统当中每一台计算机都有自己的操作系统。在安装操作系统的时候绝大多数公司都购买了正版软件,能够使用系统自带的安全加固措施和防火墙,并能够定期更新。但也有少数电力企业为了降低成本使用了盗版安装软件,安全性上比较差, 并且多数本身就带有病毒、木马程序等,这一点应该引起电力企业的注意。同时,电力信息系统所使用的操作系统多数是专业级,在使用过程中应该在不同的平台上应用操作安全管理。比如说使用nuix平台,要完善和优化用户管理,在Windows平台上要开题用户权限、限制部分用户访问功能,当然所有的计算机都应该安装专业级正版杀毒软件。
(二)数据库系统安全。
数据库系统安全是信息安全管理的最后一道物理防线,并且其它安全技术都是建立在数据库的基础之上的,这就决定了数据库系统安全的重要地位。现在,很多电力公司在信息系统建设当中,忽视了数据库系统安全,当黑客破译其它技术以后,就能直接入侵数据库进行破坏。在数据库系统安全当中,电力企业在信息系统建设当中有两种选择,也就是集中控制和分散控制。集中控制是通过单个授权者来控制系统的整个安全维护,分散控制是将管理程序控制数据路的不同部分单独进行控制,在此基础上形成最小特权策略、最大共享策略、开放与封闭系统、按名存取策略等功能,不同的策略安全防护级别和内容有较大的差异。最小特权策略只能了解与自己相关的信息,最大共享策略是在保证信息保密控制条件下实现最大共享,但并不能随意存储信息,按名存取策略是按照操作者的名字对应的权限范围内存取信息等,对应不同权限的操作者,实现从外部操作上保证数据库系统的安全。
总之,电力信息系统信息安全管理关键技术比较多,在应用的过程中需要根据系统安全管理的需求,以及系统的特点确定使用何种技术,以最大程度的保障信息安全。
参考文献:
[1]余洋. 电力信息系统动态访问控制研究[J]. 制造业自动化. 2012(21)
[2]牛方华,杨大哲,刘瑞芳. 电力信息系统结构化查询语言注入攻击原理及安全防护[J]. 山西电力. 2014(04)
关键词:电力信息系统;安全管理;虚拟专网
中图分类号:TM76 文献标识码:A 文章编号:1671-864X(2015)10-0204-01
电力信息系统信息安全管理水平,主要受各种安全管理技术及其运用的影响,一般来说安全管理技术运用的越多、越合理,信息安全水平也就越高。其中的关键技术有很多,但主要集中在安全隔离技术、系统级安全技术等方面上。
一、安全隔离技术
(一)物理隔离技术。
物理隔离是在物理上将电力信息系统与因特网隔离开,控制内部网与外部网之间的连接,通过防火墙、代理服务器直接和间接隔离。这种方法是方案病毒、黑客入侵、拒绝服务等网络攻击最简单、最有效的手段。从目前国内电力信息系统物理技术技术的运用来看,一般是在安全Ⅰ、Ⅱ区与安全Ⅲ、Ⅳ区之间设立物理安全隔离层,从而为电力信息同划定了一个安全便捷,增强了整个网络系统的可控性,结合安全管理、监测、审计等技术,可以有效的预防攻击发生和准确的确定网络攻击 的来源,尤其是来自内部的攻击。物理隔离技术主要分为两类,也就是时间隔离系统和安装网络隔离卡。其中,国内主要采用前一种技术,也就是通过转换器根据需要在内外网之间进行切换,达到内外以往之间的通信要求,主要是由物理隔离转换装置、数据暂存区等组成,其中还要运用防火墙技术、基于内核的入侵检测机书、安全皂搓技术等,从技术特点来看比较复杂,效果也比较好。第二种技术应用也比较广泛,也就是通过虚拟技术将一台机器模拟为两台机器,虚拟的两台机器当中有公共与安全两种状态,这两种状态是安全隔离的,硬盘也被划分为安全和公共两个分区,甚至可以安装两个硬盘。技术难度比较低,但是对计算机性能的要求比较高,有时候并不能避免人为操作带来的危險,并且建设的成本相对也比较高。
(二)防火墙技术。
防火墙是在内网与外网之间的一道安全屏障,主要预防潜在的破坏入侵,主要是通过检测、限制和更改经过防火前高的数据流,防止破坏性的数据流进入内网,对外网屏蔽内网的信息、运行等情况。目前,大多数操作系统内部都嵌入了防火墙,主要有数据包过滤、应用级网关管理、代理服务等功能。其中,数据包过滤是主要功能,在过滤的过程中由系统判断其安全等级,这就需要预先设置过滤逻辑,在数据包到达防火墙以后也被存储在缓存区之内,由防火墙根据安全逻辑判断数据包源地址、目的地址、端口号和协议状态等因素,以判断书否允许其通过。有的防火穷有主动识别技术,不同人工操作就可以阻止,有的则需要人工操作才能完成。当然,目前操作系统内嵌的防火墙的作用大大降低,但是可以安装一些专业级的防火墙,有些专业的防火墙软件可以通过定期的更新、打补丁等方式,对黑客入侵、病毒等起到有效的预防作用。
二、系统级安全技术
(一)操作系统安全。
任何一个计算机首先要安装的就是操作系统,电力信息系统当中每一台计算机都有自己的操作系统。在安装操作系统的时候绝大多数公司都购买了正版软件,能够使用系统自带的安全加固措施和防火墙,并能够定期更新。但也有少数电力企业为了降低成本使用了盗版安装软件,安全性上比较差, 并且多数本身就带有病毒、木马程序等,这一点应该引起电力企业的注意。同时,电力信息系统所使用的操作系统多数是专业级,在使用过程中应该在不同的平台上应用操作安全管理。比如说使用nuix平台,要完善和优化用户管理,在Windows平台上要开题用户权限、限制部分用户访问功能,当然所有的计算机都应该安装专业级正版杀毒软件。
(二)数据库系统安全。
数据库系统安全是信息安全管理的最后一道物理防线,并且其它安全技术都是建立在数据库的基础之上的,这就决定了数据库系统安全的重要地位。现在,很多电力公司在信息系统建设当中,忽视了数据库系统安全,当黑客破译其它技术以后,就能直接入侵数据库进行破坏。在数据库系统安全当中,电力企业在信息系统建设当中有两种选择,也就是集中控制和分散控制。集中控制是通过单个授权者来控制系统的整个安全维护,分散控制是将管理程序控制数据路的不同部分单独进行控制,在此基础上形成最小特权策略、最大共享策略、开放与封闭系统、按名存取策略等功能,不同的策略安全防护级别和内容有较大的差异。最小特权策略只能了解与自己相关的信息,最大共享策略是在保证信息保密控制条件下实现最大共享,但并不能随意存储信息,按名存取策略是按照操作者的名字对应的权限范围内存取信息等,对应不同权限的操作者,实现从外部操作上保证数据库系统的安全。
总之,电力信息系统信息安全管理关键技术比较多,在应用的过程中需要根据系统安全管理的需求,以及系统的特点确定使用何种技术,以最大程度的保障信息安全。
参考文献:
[1]余洋. 电力信息系统动态访问控制研究[J]. 制造业自动化. 2012(21)
[2]牛方华,杨大哲,刘瑞芳. 电力信息系统结构化查询语言注入攻击原理及安全防护[J]. 山西电力. 2014(04)