電力監控系統安全風險評估范文
時間:2024-01-02 17:44:19
導語:如何才能寫好一篇電力監控系統安全風險評估,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:信息管理系統;安全性;安全隔離
中圖分類號:TP309
隨著信息技術的廣泛應用,信息管理系統的安全問題也日益突出,信息管理系統需要同時防范內部和外部的各種攻擊行為。對于通常意義上的信息管理系統而言,信息系統具有用戶類型眾多、用戶成員分散、訪問權限多變、系統中數據保密性強等特點。為了防止信息管理系統中用戶的操作不當,或者越權操作給系統帶來的影響,保證信息管理系統的正常運行,就要求信息管理系統必須要具備良好的安全性能,以滿足用戶對系統安全的需求。
1 信息管理系統常用的安全技術分析
1.1 安全隔離技術。安全隔離技術包括物理隔離、協議隔離和防火墻技術三種。(1)物理隔離。物理隔離技術從物理上將布設了信息管理系統的內部網絡與Internet外部網絡隔離,從而使得外部網無法直接通過防火墻或者服務器訪問內部網絡,是防范病毒、拒絕服務等網絡攻擊的有效手段;(2)協議隔離技術。使用協議隔離器隔離信息管理系統的內部網絡和外部網絡,在協議隔離器上用兩個接口分別連接內部網絡和外部網絡,當需要內外網進行數據交互時,才會連通協議隔離器,而通常情況下的內外網是斷開的;(3)防火墻技術。防火墻技術實現內外部網絡的邏輯隔離,防火墻技術是內外網之間的數據通信屏障,可以對內外網之間的流通的數據進行檢測和限制,從而對外部網絡屏蔽內網絡的網絡結構、運行狀態以及內部網絡中傳輸的數量,達到保護內部網絡數據的目的。
1.2 系統級安全技術。(1)操作系統安全。操作系統是應用軟件的基礎支撐平臺,對整個系統的安全性有著非常重要的影響,可以根據具體的操作系統類型選擇合適的安全機制,例如UNIX平臺上的用戶優化管理,以及Windows平臺的用戶權限和用戶訪問策略,以及在操作系統上安裝防毒軟件等手段來保護系統安全;(2)數據加密。數據加密技術無法防止系統中的數據被非法用戶竊取,但是可以保證非法用戶在非法獲得信息管理系統中的數據后,也無法了解這些數據所代表的具體信息。數據加密技術可以改變信息的原有表現形式,從而使得獲得加密數據的用戶無法了解數據中的真實信息,或者合法用戶可以確認所收到的數據是否被篡改。
1.3 應用級安全技術。(1)動態權限策略。根據信息管理的具體應用業務流程,并且結合系統級安全策略,動態對系統中的不同信息和用戶賦予不同的權限。例如,在OA系統中,可以設定系統中的具體文檔、合同的閱讀者和審核者范圍,甚至可以對哪些用戶可以文檔中某一部分的內容進行閱讀或者修改的權限進行設定,采用動態權限機制來保證系統的安全;(2)操作記錄。將用戶操作進行自動記錄和存檔,同時保存文檔修改之前和之后的版本,從而記錄下文檔的修改軌跡。
2 安全技術具體應用案例
2.1 信息管理系統安全分析。由于電力市場的特點決定,電力系統參與的各個主體分別代表了不同的利益團體,例如電力公司信息管理系統中的交易熱暖,能夠申報授權范圍內的交易數據,對市場信息進行查詢;結算人員可以對各類交易的執行情況和執行結果進行考核結算。因此,為了防止系統用戶在信息管理系統中進行越權操作,或者操作不當給各方帶來的損失,需要對電力公司的信息管理系統進行安全控制。
由于電力公司所涉及的業務廣泛,為此電力公司內部信息管理系統數量眾多,主要包括負責對發電廠、輸配電線、變電站的正常運行和生產進行監控的SCADA/EMS系統,負責電網調度運行、電網通信、繼電保護進行綜合管理的DMIS系統,負責電力企業決策支持的MIS系統,以及負責電力企業辦公自動化的OAS系統等。根據電力行業的特點,要求在電力公司信息管理系統中必須要確保SCADA/EMS系統的安全性,其他信息管理系統安全性要求也較高。
2.2 信息管理系統網絡結構設計。目前,為了提高電力公司信息管理系統的安全性,電力公司采取如圖1所示的,包括SPnet(電力信息網)和SPDnet(調度信息網)的專用網絡和Internet公共網絡相結合的網絡結構。通過內網與外網的物理隔離,既滿足了MIS系統、OAS系統的Internet用網需求,同時也保證SCADA/EMS不能夠直接訪問Internet,從而最大程度上的保證系統安全。
2.3 信息管理系統安全體系結構設計。
如圖1所示,在電力公司信息管理系統安全體系結構中采用了如下的安全策略來保證信息管理系統的安全。(1)分區安全保護策略。根據電力公司內部各信息管理系統所管理業務的重要性,對信息管理系統的安全級別進行劃分,重點保護網絡內的安全區Ⅰ內的SCADA/EMS實時監控系統,和安全區Ⅱ內的交易系統;(2)橫向隔離。安全區Ⅰ與安全區Ⅱ內部的時監控系統,和交易系統采用防火墻進行邏輯隔離,而安全區Ⅰ、Ⅱ與安全區Ⅲ、Ⅳ之間采用正向和反向專用的安全隔離裝置進行物理隔離;(3)專網專用。SPDnet調度網提供兩個邏輯隔離的安全隔離裝置與安全區Ⅰ和Ⅱ進行通信,SPnet電力信息網與SPDnet調度網實現物理隔離;(4)縱向認證與保護。安全區Ⅰ和Ⅱ的邊界都設置了具有加密和認證功能的安全網關,而Ⅲ和Ⅳ的邊界部署了防火墻;(5)整個網絡只有安全級別最低的安全區Ⅳ通過防火墻直接訪問Internet。從如上的分析可以看出,根據不同信息管理系統的需要,可以靈活應用物理隔離技術、邏輯隔離技術,以及輔以系統安全技術和應用安全技術,來多方位的保證系統中信息管理系統的安全。
3 結束語
隨著信息技術的發展,信息技術在社會各個領域中的應用也越來越廣泛,由于網絡的開放性,導致信息管理系統不可避免的會面臨著系統的安全性問題。在本研究中主要根據信息管理系統的特點,對信息管理系統中常用的安全技術進行分析,并且以電力公司信息管理系統為例,對安全技術在信息管理系統中的應用進行案例分析。
參考文獻:
[1]沈昌祥,張煥國,馮登國.信息安全綜述[J].中國科學,2007(37):129-150.
[2]陳頌,王光偉.信息系統安全風險評估研究[J].通信技術,2012(01):128-130.
[3]鄭雷雷.故障樹分析法在信息安全風險評估中的應用[J].計算機科學,2011(B10):106-108.
篇2
關鍵詞:二次安防 電力系統 網絡安全
一、引言
電力生產直接關系到國計民生,其安全問題一直是國家關注的重點之一。電力監控系統及調度數據網絡作為電力系統的重要基礎設施,不僅與電力系統生產、經營和服務相關,而且與電網調度和控制系統的安全運行緊密關聯,是電力系統安全運行的重要組成部分。
隨著通信技術和網絡技術的發展,接入調度數據網的電力控制系統越來越多,調度中心、變電站、電廠、用戶等之間的數據交換也越來越頻繁,這對電力監控系統和數據網絡的安全性、可靠性和實時性提出了新的嚴峻挑戰。
二、本地110kV變電站二次系統現狀
目前電力二次系統存在的主要問題有:管理區和生產區存在著雙向的數據互換;缺乏加密,認證機制,沒有入侵檢測等預警機制;沒有漏洞掃描和審計手段,接入存在安全隱患等。
隨著網絡技術的迅猛發展,為滿足網絡技術在電力系統中的應用,加之通過網絡傳輸遠動信息的迫切要求,IEC國際電工委員會在IEC60870-5-101基本遠動任務配套標準的基礎上,又制定了IEC60870-5-104遠動傳輸規約標準,廣東電網公司則據此制定了廣東電網DL/T634.5104-2002實施細則。它采用平衡傳輸模式,通過TCP/IP協議實現網絡傳輸遠動信息,適用于調度主站(中心站)EMS系統和子站(遠方站)RTU或計算機監控系統之間采用專用Intranet網絡進行通訊。
因此,本地電網在當前已建設完成的地調、500kV變電站及220kV變電站生產控制區業務系統接入調度數據網及相應調度數據網邊界的安全防護的基礎上,進一步完善局本部安全防護體系,并結合地區調度數據網建設將安全防護建設范圍拓展至110kV變電站。
三、整體解決方案
1. 安全防護目標及重點
電力二次系統安全防護的重點是抵御黑客、病毒等通過各種形式對系統發起的惡意破壞和攻擊,能夠抵御集團式攻擊,重點保護電力實時閉環監控系統及調度數據網絡的安全,防止由此引起電力系統故障。
安全防護目標是防止通過外部邊界發起的攻擊和侵入,尤其是防止由攻擊導致的一次系統的事故以及二次系統的崩潰;防止未授權用戶訪問系統或非法獲取信息和侵入以及重大的非法操作。
2. 安全防護策略
安全防護總體策略是:安全分區、網絡專用、橫向隔離、縱向認證。
2.1安全分區。
二次系統從邏輯上可劃分為生產控制區和生產管理區,其中生產控制區又分為實時控制區(Ⅰ區)和非控制生產區(Ⅱ區);生產管理區又分為調度生產管理區(Ⅲ區)和管理信息區(Ⅳ區),調度系統主要負責安全區Ⅰ、Ⅱ、Ⅲ的安全防護。
2.2網絡專用。
在專用通道上建立調度專用數據網絡,實現與其他數據網絡物理隔離。并通過采用MPLS-VPN或IPsec-VPN在專網上形成多個相互邏輯隔離的VPN,以保障上下級各安全區的縱向互聯僅在相同安全區進行,避免安全區縱向交叉。
2.3橫向隔離。
采用不同強度的安全隔離設備使各安全區中的業務系統得到有效保護,在生產控制大區與管理信息大區之間,隔離強度應接近或達到物理隔離,必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置。在生產控制大區內部的安全區之間,進行邏輯隔離,采用具有訪問控制功能的網絡設備、防火墻或者相當功能的設施。
2.4縱向認證。
采用認證、加密等手段實現數據的遠方安全傳輸。
3. 110kV變電站安全防護方案
110kV變電站二次系統安全防護不接入省調,生產控制大區可以不再細分,可將各業務系統和裝置均置于控制區,其總體設計邏輯結構如下圖。該圖示意了二次系統安全區域的劃分、安全區域之間橫向互聯的邏輯結構、安全區域的縱向互聯的邏輯結構以及網絡安全產品的總體部署。
3.1縱向加密裝置
用于生產控制大區的廣域邊界防護,為電力網關機之間的廣域通信提供認證與加密功能,實現數據傳輸的機密性和完整性保護。
3.2縱向互聯防火墻
提供基于策略的會話限制,方便用戶對網絡中會話的管理,有效抵御內外部對網絡的攻擊和濫用。
3.3控制區互聯交換機
在控制區互聯交換機上將站端調度數據網實時VPN業務段地址劃分為兩個VLAN(VLAN100和VLAN199),其中VLAN100用于遠動等自動化業務的接入和通過縱向加密認證裝置與調度數據網實時VPN的互聯,VLAN199用于保信等其它業務系統的接入和通過防火墻與調度數據網非實時VPN互聯。
四、結束語
本文就目前電力監控系統和調度數據網絡面臨越來越多的安全威脅,進而影響電網安全的形勢下,對電力二次系統安全防護的主要目標及防護策略展開分析,并介紹本地區供電局在110kV變電站二次系統安全防護的實施方案。隨著計算機技術發展,計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外,還必須建立健全完善的網絡安全管理制度,形成技術和管理雙管齊下,才能真正達到保證安全的目的。同時,調度自動化安全防護是一個動態的工作過程,而不是一種狀態或目標。隨著風險、人員、技術不斷地變化發展,以及調度應用與應用環境的發展,安全目標和策略也發生著變化,電力二次系統的安全管理需要不斷跟蹤并應用新技術,定期進行風險評估、加強管理,才能保障電力行業調度安全穩定、高效可靠運行。
參考文獻:
[1]國家電力監管委員會,電力二次系統安全防護總體方案[R],2006.
篇3
關鍵詞 電力企業;信息安全;防護措施
中圖分類號TM7 文獻標識碼A 文章編號 1674-6708(2012)65-0022-03
信息化是社會生產力與生產方式發展的一個必然趨勢,是我國顯得文明建設的一項重要標志。信息化建設能夠帶動企業管理水平與生產效能的提高,信息資源作為一種重要的資源,其重要性逐漸被人們所認識。電力企業屬于技術密集型產業,對于生產自動化與集約化都有著較高的要求,因此也是較早的進行信息化建設的一批企業,并且也取得了一些顯著的成效,但是也正是因為起步較早,缺乏經驗,因此在信息化網絡的建設中總是存在著很多問題,而這些問題已經逐漸成為了電力企業網絡信息安全的隱患,因此,加強網絡信息安全已經成為了電力企業發展的重要組成部分。
1 電力企業網絡信息安全現狀分析
各級電力企業因為生產經營與管理的需要,都在不同程度上建成了自己的自動化系統,變電站基本也實現了“四遙”和無人值守。并且也建立起了企業自己的管理系統來對生產、營銷、財務、行政辦公等工作進行覆蓋,并已經進行了實用化具有較高安全等級的調度自動化系統已經通過WEB網關與MIS之間進行相互的信息訪問,部分地方已經安裝了正向隔離器,進而實現了物理隔離與數據的安全訪問。
各個電力企業已經制定了安全策略,并實施了一部分,同時實現了互聯網的安全接入。
將營銷支持網絡與呼叫接入系統和MIS網絡進行了整合,并且已經與用戶、銀行等企業實現了信息的安全共享,對自身的服務手段進行了優化。
邊遠地區的班站基本都通過VPN技術來實現了遠程班組聯網的要求,并能夠實現大范圍的信息共享,而且應用范圍也變得更加的廣泛。利用VPN的高級應用能夠構建起基于互聯網的各種遠程服務。
2 電力企業網絡信息安全方面存在的問題
2.1不同的網絡之間沒有嚴格的進行等級劃分
根據《全國電力二次系統安全防護總體方案》,電力企業對于不同安全等級的網絡必須要進行安全等級的劃分。在縱向上,電力企業需要實現實時監控系統之間的互聯。各個自動化系統與低調系統之間都是通過載波進行單向數據轉發,而部分基層電力企業都沒有實現網絡化的數據傳輸,同時在主站與廠站之間也沒有實現光纖載波雙通道。在橫向上,要求能夠實現實時監控系統與非實時監控系統之間的相互連接。根據當前的互聯網現狀與通信現狀,主要還存在著這些問題:1)單向數據的傳輸難以實現真正意義上的數據共享,同時在與非實時系統之間的接口上也沒有進行標準數據接口的建設;2)部分電力企業沒有利用MPLS VPN技術組建數據調度網,沒有滿足相關的安全要求;3)上下級的調度之間沒有部署必須的認證加密裝置。
2.2隨著技術的發展與電力企業的業務發展,現有的網絡安全防護能力難以滿足要求
隨著信息技術的發展與電力企業自身業務的發展要求,網絡安全越來越受到重視,但是現有的網絡安全防護能力明顯不足,缺乏有效的管控手段,同時管理水平也急需要提高。如今的電力企業還缺少一套完善的服務器病毒防護系統,有一些地市、縣局都是使用的省公司所同一部署的趨勢防毒軟件,有的甚至還采用的是單機版的瑞星、江民、卡巴斯基等防病毒軟件,相對而言,防護能力還有所不足。當受到攻擊時,容易出現系統癱瘓。同時還沒有能夠建立起一套完善的數據備份恢復機制,如果數據受到破壞,那么所受到的損失將難以估量。沒有一套完善的網管軟件,難以對一些內部用戶的過激行為進行有效的監管,例如IP盜用、沖突,濫用網絡資源(BT下載等),等等。還沒有能夠建立起一套完善的評測和風險評估制度,對于當前電力企業的網絡安全現狀難以進行有效的評估。同時,我國也缺乏專業的評測機構,這就使得電力企業網絡安全風險與隱患都難以被及時發現和進行有效的防范,使得電力企業的防范能力難以得到持續增強。
2.3電力企業服務器存在的安全隱患
在電力系統中有著十分眾多的服務器。隨著網絡攻擊手段與攻擊技術的不斷更新,服務器攻擊愈演愈烈,因此擁有眾多服務器的電力系統成為了攻擊的首選對象。在電力企業中的服務器主要包括了數據庫服務器、應用服務器、Web服務器、算費服務器、銀電聯網服務器等多種服務器,眾多的服務器也使得其存在著嚴重的安全隱患:1)電力企業的網絡中,每一個服務器都擁有自己獨立的認證系統,但是這些服務器卻缺乏統一的權限管理策略,管理員難以進行統一的有效管理;2)Web服務器和流媒體服務器長期遭受到來自于互聯網的DDoS以及各種病毒的侵襲;3)讓郵件服務器中受到大量的垃圾郵件的干擾,并且也難以進行有效的信息監管,經常會發生企業員工通過電子郵件來傳遞企業的機密信息的安全事件;4)權限劃分不明確,容易受到來自外部黑客的攻擊,例如通過SQL注入、腳本注入、命令注入方式等方式來竊取數據庫中的機密數據;5)與總公司服務器通信過程中有些機密信息由于沒有采取加密措施,很容易被竊聽而泄密。
2.4各種惡意網頁所帶來的網絡安全威脅
電力企業擁有自己的主題網站,并通過互聯網與外網相連。每一個電腦使用者都會通過對網頁的點擊來尋找對自己有用的信息,電力企業內網與外網相連,因此,電力企業中的員工也會通過與外網的鏈接,從互聯網中搜索對自己有用的信息,但是并不是所有的網頁都是安全的,有一些網站的開發者或者是黑客會為了能夠達到某種目的對網頁進行修改,進而達到某種目的,當電力企業的內部員工通過電力企業內部的網絡進行訪問時,就會受到來自這些惡意網頁的攻擊。
2.5設備本身與系統軟件存在漏洞
由于電力企業的信息化建設較早,這就導致了很多設備與軟件都出現了各種安全漏洞,這些都導致了不良安全后果的程度增加。信息網絡自身在操作系統、數據庫以及通信協議等存在安全漏洞和隱蔽信道等不安全因素;存儲介質損壞造成大量信息的丟失,殘留信息泄密,計算機設備工作時產生的輻射電磁波造成的信息泄密。信息網絡使用單位未及時修補或防范軟件漏洞、采用弱口令設置、缺少訪問控制以及攻擊者利用軟件默認設置進行攻擊,是導致安全事件發生的主要原因。
3 電力企業網絡信息安全防護措施
3.1進行網絡安全風險評估
電力企業要解決網絡安全問題并不能夠僅僅是從技術上進行考慮,技術是安全的主體,但是卻不能成為安全的靈魂,而管理才是安全的靈魂。網絡安全離不開各種安全技術的具體實施以及各種安全產品的部署,但是現在在市面上出現的安全技術、安全產品實在是讓人感覺眼花繚亂,難以進行選擇,這時就需要進行風險分析,可行性分析等,對電力企業當前所面臨的網絡風險進行分析,并分析解決問題或最大程度降低風險的可行性,對收益與付出進行比較,并分析有哪一些產品能夠讓電力企業用自己最小的代價滿足其對網絡安全的需要,同時還需要考慮到安全與效率的權衡等。對于電力企業來說,搞清楚信息系統現有以及潛在的風險,充分評估這些風險可能帶來的威脅和影響,將是電力企業實施安全建設必,須首先解決的問題,也是制定安全策略的基礎與依據。
3.2構建防火墻
防火墻是一種能有效保護計算機網絡安全的技術性措施,有軟件防火墻與硬件防火墻這兩類。防火墻能夠有效的阻止網絡中的各種非法訪問以及構建起起一道安全的屏障,對于信息的輸入、輸出都能夠進行有效的控制。可以在網絡邊界上通過硬件防火墻的構建,對電力企業內網與外網之間的通信進行監控,并能夠有效的對內網和外網進行隔離,從而能夠阻檔外部網絡的侵人。對于電力企業可以通過“防火墻+殺毒軟件”的配置來對內部的服務器與計算機進行安全保護。同時還需要定期的進行升級。為了防止各種意外的發生,需要對各種數據進行定期的備份。需要定期的對個硬件以及各種備份的有效性進行檢驗。電力企業防火墻體系構建如下:
訪問控制列表構建防火墻控制體系。通過對訪問控制列表的調節能夠有效的實現路由器對數據包的選擇。通過對訪問控制列表的增刪,能有效的對網絡進行控制,對流入和流出路由器接口的數據包進行過濾,達到部分網絡防火墻的效果。
配置硬件防火墻。在電力企業中硬件防火墻的使用較多,但是能夠真正發揮作用的就不多了。在使用硬件防火墻前,需要將防火墻與企業的整個網絡配置好。首先需要對防火墻的工作模式進行選擇,例如WatchGuard這款防火墻具有兩種工作模式,一種是Drop-In Mode,另外一種是Routed Mode。前面的那一種模式主要是用于不帶“非軍事區”或者是沒有內網的網絡環節中,因此,電力企業中就應該選擇Routed Mode這種模式。然后將其中的外接網口、內部接口、“非軍事區”等選項添好,當對網絡設置完成之后,就可以利用相應的GUI 程序與硬件防火墻進行連接,并對應將防火墻進行進一步的配置。在電力企業中有很多部門,每一個部門對網絡安全的具體需求都不相同。因此,在設置時需要考慮到部門的具體情況。
3.3加強對計算機病毒的預防控制
計算機病毒的防治是網絡安全的主要組成部分,而對電力企業的網絡安全造成威脅的主要是各種新型的病毒。若要從根本上防止新型態病毒對企業的威脅,就必須從監控、強制、防止及恢復等四個階段對新型態病毒進行管理。
控制計算機病毒爆發次數,降低病毒對業務所產生的影響。我們知道,病毒從感染單臺客戶機?擴散?爆發,均需要一段空窗期。很多時候,管理人員都是在病毒爆發之后才能夠發現問題,但是這時已經太晚。因此需要能夠在病毒擴散期就發現問題根源,才能夠有效的降低病毒爆發的概率。
網絡層防毒將能夠有效的對病毒進行預防。在電力企業中,需要將網絡病毒的防范作為最重要的防范對象,通過在網絡接口和重要安全區域部署網絡病毒墻,在網絡層全面消除外來病毒的威脅,使得網絡病毒不能再肆意傳播,同時結合病毒所利用的傳播途徑,對整個安全策略進行貫徹。
預防病毒并不能夠完全的依靠病毒的特征碼,還必須要實現對病毒發作的整個生命周期進行管理。必須要建立起一套完善的預警機制、清除機制、修復機制,通過這些機制來保障病毒能夠被高效處理,防毒系統需要在病毒代碼到來之前,就能夠通過可疑信息過濾、端口屏蔽、共享控制、重要文件/文件夾寫保護等各種手段來對病毒進行有效控制,使得新病毒未進來的進不來、進來的又沒有擴散的途徑。在清除與修復階段又可以對這些病毒高效清除,快速恢復系統至正常狀態。
3.4開展電力企業內部的全員信息安全教育和培訓活動
安全意識和相關技能的教育是企業安全管理中重要的內容,信息安全不僅僅是信息部門的事,它牽涉到企業所有的員工,為了保證安全的成功和有效,應當對企業各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯,失誤造成的安全風險。
開展安全教育和培訓還應該注意安全知識的層次性,主管信息安全工作的負責人或各級管理人員,重點是了解,掌握企業信息安全的整體策略及目標,信息安全體系的構成,安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等;用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。
4 結論
網絡安全是一個綜合系統,不僅僅涉及到技術層面的問題同時還會涉及到管理上面的問題。網絡上,無論是硬件還是軟件出現問題都會對整個網絡安全形成威脅,產生出網絡安全問題。我們需要通過系統工程的觀點、方法對當前電力企業中的網絡安全現狀進行分析,并提出提高網絡安全性的措施。在電力企業的網絡中,包括了個人、硬件設備、軟件、數據等多個環節,這些環節在網絡中所具有的地位與影響都需要從整個電力企業的網絡系統去進行整體的看待和分析。電力企業的網絡安全必須要進行風險評估才能夠制定出合理的計劃。
參考文獻
[1]余志榮.淺析電力企業網絡安全[J].福建電腦,2011(7).
[2]周偉.計算機網絡安全技術的影響因素與防范措施[J].網友世界,2012(1).
[3]張鵬宇.電力行業網絡安全技術研究[J].信息與電腦(理論版),2011(1).
篇4
【關鍵詞】電力系統;信息安全;關鍵技術;探究
電力系統信息安全涉及到電力生產、傳輸、分配以及使用各個環節,是一項技術復雜,管理程度較深的系統工程,隨著電力自動化水平的不斷發展,電力系統對于數據信息網絡的依賴越來越嚴重。本文就來探討一下電力系統信息安全存在的問題以及相應的解決措施。
1 電力系統信息安全存在的安全隱患
隨著我國電力信息系統的不斷發展,在運行過程中還存在著一些問題,具體如下。
1.1 現狀及局限性
(1)對電力系統信息安全的管理不規范,要加強對電力系統的管理,就要建立一套統一的、規范的以及標準的管理系統,用來指導電力系統信息網絡的安全、高效、穩定的運行;(2)電力企業職工網絡安全意識淡薄,隨著信息技術的不斷發展,信息安全策略與相關技術也得到很快發展,對于一些新的信息安全問題還是不能有效的解決;(3)要根據電力企業的特點來制定一套信息安全體系,對電力信息網絡的應用可以分為管理信息類型、生產控制類型、話音視頻類型以及經營類型四個類型,在對生產控制類型進行應用時應該與其他三種類型相隔離來保證其使用過程中的安全性。
1.2 密碼保護措施
當網絡交易進行完之后,要采取有效措施避免交易過程中資料被泄露、篡改等各種非法侵入,因此,必須加強對信息安全的管理,現在很多金融企業都采用DES和RSA加密技術來保證信息的安全。
1.3 電力系統信息安全關鍵技術分析
電網能夠安全有效運行以及供電的前提就是對電力系統的安全管理,對其的管理是一項復雜的工程,所涉及的范圍也較廣,主要有電網的自動調度、配電網的自動化、繼電保護裝置、電力市場以及電力有效營銷等領域。但是,目前我國的電力系統還沒有建立起一個安全的管理體系,一些網絡只是安裝了防火墻或者防毒軟件,這樣只能起到簡單的保護作用,一旦出現重大問題,是沒有辦法防御的,有些網絡甚至連防火墻都沒有,缺乏對網絡安全的規劃與重視。
2 電力系統信息安全關鍵技術的應用展望
2.1 網絡安全技術的優化
為了保證電力系統信息安全,必須對網絡安全技術進行改善和優化。首先就要對電力信息系統的密碼進行設定,對密碼的設定主要是為了防止電力系統網絡信息被盜取或肆意修改,造成電力信息的缺失,影響電力企業的健康發展,還要保證密碼的隱蔽性,加強其強度,保證密碼不易被人破譯;其次,要加強對電力信息系統網絡端口和節點的控制與管理,電力企業的相關信息管理人員要定期對電力信息系統進行檢測,主要是對病毒進行查殺,進行安全體檢以及數據審核等。要對電力信息系統的重要文件進行備份,避免文件丟失造成的損失,保證電力信息系統的順利運行;最后,要不斷提高電力信息系統管理人員的安全意識,要認識到期風險,對于那些地址不明確的資料不能隨意下載,盡量不要修改系統密碼,以免病毒侵入,對電力信息系統造成破壞。
2.2 建立完善的電力監控系統
對電力信息系統進行全面的管理與控制就要不斷完善電力監控技術。首先,要設立電力數據管理系統,這個系統主要是運用網絡設備、同步數字程序以及網絡專線等形式,把電力系統與網絡系統進行隔離,使其只能對電力數據進行傳輸,保證數據的安全;其次,要保證電力監控系統與電力數據管理系統不能與網絡連接,這樣能夠預防病毒或黑客的入侵;最后,電力監控系統可以利用數據管理系統或局域網進行連接,從而建立起全面的監控系統。
3 電力系統的信息安全策略
電力系統的信息安全的特點主要有,訪問方式多樣、網絡行為具有突發性 、用戶群龐大等,信息安全問題要從網絡規劃設計階段就應該重視,在實際運營過程中加強管理,為了保障信息安全,可以采取以下策略。
3.1 設備安全策略
將一些重要的電力設備,比如服務器、路由器、主干交換機等要集中管理,對于通信線路最好深埋、穿線,并且做好標記,防止意外損壞。對于終端設備,比如,工作站、集線器、小型交換機等都要落實到具體的責任人,進行嚴格的管理。
3.2 安全技術策略
為了保證電力信息的安全,需要采取各種安全技術,具體有以下措施。(1)防火墻技術,這種技術主要是隔離信任網絡與非信任網絡的一種技術,主要通過安全檢查點的方式,實施相應的安全策略來防止對重要信息資源的訪問和竊取,電力系統的生產、營銷以及管理之間,信息的整合、共享,都需要對這些訪問行為進行控制,阻斷破壞行為的發生;(2)病毒防護保護,為防止病毒帶來的損失,需要采用多種預防病毒體系,要在每臺PC機上安裝具有預防病毒的軟件,在服務器上也要按照這樣的軟件。要在電力信息系統的各個環節都要做好防病毒策略,不斷完善管理制度,有效防止病毒的侵害。(3)虛擬局域網技術,這種技術可以將一個物理的LAN劃分為幾個不同的廣播域,每一個虛擬局域網都有一個相同需要的計算機工作站。由于是邏輯劃分的,所以同一個虛擬局域網內的各個工作站要在統一空間里,虛擬局域網內的廣播不會到其他局域網內,這樣對于流量的控制、設備投資的減少以及網絡的管理都有重要意義。(4)數據與系統備份技術,因為電力企業的數據對于整個電力企業來說有重要意義,所以要定期對數據庫進行備份,以免數據丟失帶來損失。可以通過建立數據備份中心、數據灰縫技術等手段,對重要業務的數據進行備份,在數據損壞或系統崩潰的情況下保證數據能夠迅速恢復,從而保證信息系統的安全性與可靠性。(5)安全審計技術,隨著電力系統規模的不斷擴大,應該逐步引入智能安全審計系統,通過技術手段,運用自動化的方式對網絡設備日志、操作系統、數據庫訪問以及業務應用系統等進行安全審計,對系統安全問題進行及時分析,對電力系統進行安全管理。(6)建立信息安全身份認證體系,電力市場交易系統的實質是電子商務系統,所以在交易時要保證數據的安全。在電力系統中,市場交易成員的身份確認、財務結算以及物流控制等都要經過權威的身份驗證,電力系統中,電子商務已經擴展到電力系統的各個方面,所以信息安全身份認證體系的建立是十分必要的。
3.3 組織管理策略
技術措施和組織管理措施的統一就是信息安全,在計算機安全事件中,管理方面造成的原因占到70%左右,沒有很好的管理,安全問題就一直存在,就算安全技術和產品再好,也形同虛設。安全意識與技能方面,通過對電力人員安全知識的培訓,提高他們的安全意識,使他們具備安全防護意識,通過培訓使他們的安全操作技能不斷提高,這樣再加上安全技術與產品就能使電力信息安全系統順利運行。4 結語
隨著經濟的不斷發展,電力信息系統的安全性也逐漸得到重視,電力信息系統的安全與人們的生活息息相關,并且對企業的發展也有重要影響,所以,企業要加強對電力信息系統的管理,設置密碼保護,不斷優化信息安全技術,完善電力監控系統,為電力信息系統的安全性提供保障,促進電力系統的順利運行。
參考文獻:
[1]李文武,游文霞,王先培.電力系統信息安全研究綜述[J].電力系統保護與控制,2011(10).
[2]楊尚瑾,董超.淺談電力系統信息安全策略[J].中國電力教育,2009(9).
[3]劉勁風,王述洋.電力系統信息安全關鍵技術的研究[J].森林工程,2010(4)
[4]翟紹思.電力系統信息安全關鍵技術的研究[J].中國科技信息,2009(15).
篇5
關鍵詞:三峽船閘;綜合監控;在線監測
中圖分類號:U641.3+4 文獻標識碼:A 文章編號:1006-7973(2016)05-0031-03
長江作為我國的“黃金水道”,橫貫東中西部,連接東部沿海和廣袤的內陸,依托黃金水道打造新的經濟帶,有獨特的優勢和巨大的潛力。長江經濟帶的建設,對于有效擴大內需、促進經濟穩定增長、調整區域結構、實現中國經濟升級具有重要意義。國務院《關于依托黃金水道推動長江經濟帶發展的指導意見》(國發[2014]39號)指出,要充分發揮長江運能大、成本低、能耗少等優勢,加快推進長江干線航道系統治理,打造暢通、高效、平安、綠色的黃金水道。
1.通航形勢分析
隨著三峽工程建設對長江航道條件的明顯改善,以及近年來長江水運企業的迅猛發展,船閘的過閘貨運總量快速增長。從2008年至2014年,總體呈提升態勢,其中2011年、2013年、2014年貨運量均突破了設計通過能力。2008至2014年,三峽及葛洲壩船閘通過量情況如圖1所示。
自2008年以來,三峽船閘、葛洲壩船閘客、貨運量始終維持在高位水平,常年突破設計能力運行。三峽船閘貨運量從2008年的5370.26萬噸增長至2014年的10898.0萬噸,增長趨勢明顯。著力打造長江經濟帶及西部地區開發力度加大,將進一
步深化并促進長江航運的發展,與此同時,三峽壩區通航壓力也將進一步增大。伴隨國家長江經濟帶戰略的實施,將提前達到預測通過量。盡管三峽升船機將于2015年底投入使用,但以其350萬噸的單向設計通過能力,難以起到大幅度改善三峽壩區通過能力的作用。因此,如何解決壩區船閘現有通過能力與航運需求快速增長之間的矛盾是目前必須重點考慮的問題。
2.應對措施分析
三峽船閘設備設施點多面廣,運行時要求設備具有高可考性。開展以三峽船閘設備設施綜合監控能力提升技術研究,實現三峽、葛洲壩船閘設備設施運行狀態的全面監控,利用專家決策系統進行設備設施的狀態評價、風險評估、決策支持,使船閘重點設備設施的健康狀況得到有效診斷,達到科學地、前瞻性地設備維修,盡量減少船閘停航檢修的時間。另外,三峽船閘設備設施綜合監控能力提升技術研究,可以實現船閘設備設施重大運行缺陷監測,實現設備設施重大運行安全風險預防,為設備設施重大技術更新改造提供決策依據。
3.總體方案
3.1總體框架
在結構上方案總體上分為數據采集層、數據整合與應用支撐層、綜合應用層和前端展現層四個部分,如下圖2所示。
數據采集層:實現船閘主要設備設施由“目測、耳昕、鼻嗅和手摸”的傳統檢測方式,到“客觀、科學、精確”的現代化、自動化方式的轉變,為實現由計劃性檢修到狀態性檢修,提供技術支撐,為實現基于海量數據的船閘運行狀態智能化診斷提供數據積累。
數據整合與應用支撐層:實現設備運行數據和船舶過閘數據相關數據的資源整合,形成基于設備設施監測、電子巡檢、船閘通航生產運行監控、船舶過閘監測的基礎數據、業務數據和主題數據的集中管理與共享,提供各業務應用系統開發和建設的支撐環境,各類資源和技術手段集中管理、統一分配、充分共享。
綜合應用層:將船閘設備運行和船舶過閘數據監測進行集中管控,圍繞通航管理的業務主線,針對船閘運行、維護和管理、設備設施養、維、管、用等核心業務,實現精細化、流程化、規范化管理。
前端展現層:為船閘運行管理部門的各類用戶提供人口,利用可視化手段將三峽、葛洲壩船閘與升船機的實時調度運行狀況、各類設施設備狀態,對用戶進行直觀展示。
3.2技術方案
通過三峽船閘設備設施綜合監控平臺建設,實現對三峽、葛洲壩船閘重要機械及金屬結構、電氣設備、水工建筑物和液壓設備設施的運行狀態的即時采集,實現因船舶過閘超速、超線和低能見度對船閘安全運行風險的有效監管,實現設備設施監測數據的集中管理、快速流轉、便捷使用、直觀展示和有序積累。為進一步保障船閘安全穩定運行,為實現三峽“安全、暢通、和諧、高效”通航管理目標提供堅實的技術支撐。總體結構如圖3所示。
3.2.1機械及金屬結構監測
實現對三峽、葛洲壩船閘人字門、閘門啟閉機、反弧門啟閉機等機械設備及金屬結構進行全方位在線監測。通過先進的檢測技術實現上述機械及金屬結構運行狀態信息的動態監測,為機械及金屬結構故障及事故原因的分析提供可靠的數據和信息。其所采集的機械及金屬結構狀態運行的數據和事故分析結果作為基礎素材和中間成果,將被直接推送至船閘通航生產運行監控,為船閘總體運行狀態準確判斷和船閘運行精細化、規范化管理提供依據。
3.2.2電氣設備監測
實現對三峽、葛洲壩船閘變電所內的高/低壓供配電設備進行全方位在線監測。電力監測通過可視化方式實現船閘供電系統的運行狀態信息的動態監測及故障報警,主要包括:三相電壓、三相電流、零序電壓、零序電流、頻率、功率因數、有功功率、無功功率、視在功率、有功電度、無功電度等。為供電系統安全運行并降低供電系統的能耗和進行故障及事故原因的分析動態提供可靠的數據。通過船閘電力監測的建設將大大提高船閘電力監測的自動化與智能化水平,在實現船閘變電所的無人或少人值守的前提下,提高電力數據的反饋效率和準確程度,為船閘供電系統的安全、穩定、可靠運行提供保障。采集的船閘電氣設備運行數據和分析結果,將被作為基礎數據直接推送至船閘通航生產運行監控系統,為設備、設施運行狀態的準確判斷和運行精細化、規范化監管提供依據。
3.2.3水工建筑物監測
實現對三峽、葛洲壩船閘現有廊道內引張線監測儀系統數據、原有內埋數據傳感器及滲流滲壓傳感器等監測設備的監測數據進行分項采集、集中管理、綜合應用,為確保船閘水工建筑物安全、穩定、可靠運行提供科學診斷數據依據。依托三峽、葛洲壩水工監測設施,側重于針對葛洲壩現有設施監測數據進行數據共享集成,水工建筑物監測通過配置數據共享工作站,利用安全隔離與數據交換設備接入原有水工建筑探測傳感器系統的數據服務器,實時單向讀取測量數據,進而實現數據的動態傳遞到生產運行設備管理系統并協同共享,形成水工建筑物高效監管。
3.2.4液壓設備監測
實現對葛洲壩船閘反弧門液壓啟閉機控制系統主要參數的在線動態監測及故障報警,主要包括:壓力、流量、溫度、泄漏量、液位等。擬采用先進的數據采集技術實現上述液壓系統運行狀態信息的動態監測,可為液壓系統故障及事故原因的分析提供可靠的數據和信息。在線狀態監測可以及時了解和掌握船閘液壓系統運行過程中的狀態,以便早期發現故障、查明原因、并掌握故障的發展趨勢,可以避免船閘液壓系統故障的發生和重大事故的發生,最大限度的提高船閘液壓系統的工作效率,有效地提高液壓設備運行的可靠性與安全性。通過船閘液壓設備在線監測的建設將大大提高船閘液壓設備管理的自動化與智能化水平。
3.2.5船閘通航生產運行監控
實現三峽、葛洲壩船閘與升船機的實時調度運行狀況、各類設施設備狀態,利用可視化手段向用戶進行直觀展示。面向船閘安全監管的決策與技術人員,充分利用與整合現有和各個系統所提供的數據資源,充分依托三峽、葛洲壩船閘機械及金屬結構監測、水工建筑物監測、電氣設備監測、電子巡檢、船舶過閘監測與應急管控以及葛洲壩船閘液壓設備檢測等數據,通過對機械及金屬結構、水工建筑物、電氣設備、液壓設備等監測數據的綜合獲取、展示與分析,實施船閘綜合管控和簡單的智能分析。
3.2.6船舶過閘監測與應急管控
面向船閘運行管理和調度人員,圍繞船舶過閘對船閘運行帶來的間接運行風險,針對船舶進出閘綜合監控,采用自動化監測、智能聯動報警的方式,實現船閘閘室內包括船舶超速、超線、超吃水以及船閘氣象情況等對船閘運行構成潛在風險因素的有效監控,并構建能夠在惡劣氣候條件下進行有效輔助導航的裝備,有效降低通航安全風險。
篇6
關鍵詞:防護體系;醫院信息系統;立體安全
現如今,醫院已經可以采用電子信息技術實現對整個醫院各個環節的覆蓋,其中包括設備物資管理、HIS、PASS、LIS、PACS、醫療統計分析,全面覆蓋管理、研究、護理、醫療、教學、后勤等,在遠程醫療、合作醫療的條件下,醫院信息系統無法脫離網絡的客觀因素來實現操作。而在復雜、龐大的網絡結構背景下,如何保證醫院的信息系統能在安全穩定的環境下展開有序的運行,是醫療服務正常開展的重要前提與保障,并且醫院信息系統的安全性也關系到患者和醫院的隱私、是維護患者和醫院基本權益的重要基礎。我們要引起高度的重視。
1 醫院信息系統立體安全防護系統的設計需求
在醫院運行信息系統的過程中,具有良好的安全手段、安全管理、安全策略、安全環境等良好的特性,所以在開放的網絡背景下,醫院信息系統的安全問題主要是由于黑客等人為的故意入侵與破壞,造成數據泄露、醫院信息系統配置問題等隱患。針對這樣的安全風險,我們主要通過建立科學合理的安全防護體系來確保其正常運行,可以分為以下4個環節:網絡安全、物理級安全、系統級安全、應用級安全。安全管理標準和制度是整個信息系統防護體系的中心任務。對數據安全起到多角度、多方位、多層次的立體防護。
2 醫院信息系統立體安全防護系統的設計構想
為了更好的應對上訴提到的安全風險,我們應該建立安全可靠的安全防護體系,堅持以多角度、多方位為體系設計的基本原則,制定網絡安全策略、應用安全策略、系統安全策略、安全管理策略等,更好的完善整個防護體系。在等級保護的作用指引下,應該采用P2DR(防護、響應、檢測)安全模型作為系統建設和安全規劃的基本方針和思路。防護體系根據事中檢測、事前防護、時候審計等作為根本指導策略。
3 醫院信息系統立體安全防護系統的全面設計
3.1物理層安全 物理安全主要包括物理訪問控制、防破壞、電磁防護、物理位置選擇、防火、防潮、溫濕度控制、防雷擊、防盜竊、防水電力供應等。
3.2網絡層面的安全防護 關于網絡層面的安全防護控制主要內容有訪問安全控制、入侵防范、結構安全、惡意代碼防范、網絡防備防護等。其中通過幾個方面進行具體的操作:
3.2.1劃分安全區域 對安全區域的劃分主要包括以下幾項基本原則:結構簡化原則、立體防護原則、業務保障原則、生命周期原則、等級保護原則。
3.2.2對邊界訪問進行控制 在網絡體系中,對個區域的邊界訪問進行控制是很有效的防護手段,主要是對醫院信息防護系統的各個邊界進行安全防護措施,例如部署防火墻、運行入侵檢測系統、隔離網閘、對vlan進行劃分等高級別的網絡控制手段。
3.2.3開展網絡審計 在開展信息系統網絡維護的過程中,在交換機的旁邊布置網絡審計和網絡監控系統,對網絡流量數據展開相應的網絡審計,與此同時,將其他網絡設備的監控數據收集起來共同為整個防護體系提供檢測數據。
3.2.4開展網絡入侵防范措施 交換機是信息系統的核心設備,可以在交換機的旁邊部開展對網絡入侵的檢測測試系統。將計算機網絡收集的信息進行具體全面的檢測與分析,一旦發現有安全隱患的行為就要及時進行處理。例如木馬、病毒、間諜軟件、蠕蟲、可以代碼等。同時在發現嚴重危險信號時應該馬上報警。
3.3對主機層的安全防護 對主機層面進行安全防護的內容主要包括訪問控制、入侵防護、身份鑒別、安全審計、資源控制、對惡意代碼防護等。我們具體介紹下其中幾個方面的防護內容。
3.3.1身份鑒別 為了更好的提高網絡防護的性能要求,保證運行的穩定性和安全性,我們對主機系統采用身份鑒別的方式加以鞏固,相關的步驟為:首先對網絡操作的用戶進行身份識別,確保用戶名不重復的登陸。然后根據口令要求,采用長度高于8位數、3種不同字符的口令。最后,如果登陸失敗,應該立即關鍵會話窗口,并對關鍵的主機系統進行重新驗證。
3.3.2主機入侵防護 通過掃描、檢測等多種手段對有可能出現的主機入侵情況進行防護,在操作過程中應該注意以最小安裝為基本原則,降低在服務和程序中可能出現的漏洞。
3.4應用層的防護
3.4.1安全審計 對應用層進行安全審計主要是針對業務管理系統來說的,業務管理與應用應該和信息安全系統相聯系起來。將應用功能和審計功能放在同等重要的位置上。可以對醫院里一些比較重大的事情發生時間、發生情況、主要人物等進行相關的記錄和描述。并且做好相應的保護措施,禁止非法修改、刪除等[1-3]。信息系統可以對收集到的數據進行分析、統計、查詢等操作。審計系統要對每個具體的事件狀態進行安全審計,確保數據庫的穩定性。
3.4.2通信的完整 可以通過加密的方式對整個信息的傳輸過程進行保護,可以采用密碼機等相關的防護措施來確保數據遠程交換的完整性。
4 結束語
要完善醫院信息系統的安全防護體系是醫院開展正常工作的重要保障與條件,但是面對復雜多變的網絡環境,信息系統還存在很多的安全隱患需要我們及時的進行維護與改善,除了加強相應的技術手段外,還要建立安全的信息管理體系對信息系統進行全面的管理,加強規范化的操作手段,要提升技術與管理的相互合作、相互協調性,確保信息系統的穩定性。
參考文獻:
[1]劉金長,賴征田,楊成月,等.面向智能電網的信息安全防護體系建設[J].電力信息化,2013(09).
篇7
一、推行電子政務應用
1、建設統一的電子政務外網。利用現有的網絡資源,建設全市統一的電子政務外網,與國家電子政務外網相連接。逐步推進各級政府部門在電子政務外網開展社會管理、公共服務等業務應用,并將已建的部門公共服務業務專網逐步整合到電子政務外網(市數字辦負責,相關單位配合)。
2、實施政府網站整合提升工程。依托“龍巖”政府門戶網站平臺,繼續推進政府網站群建設,實現統一托管的政府部門網站數量達到40個以上。深入推進政府信息公開、網上辦事資源的梳理,形成統一的網上信息公開和辦事服務平臺。進一步完善政府網站功能,深化政府門戶網站應用。繼續開展政府網站績效評估工作,推動各縣(市、區)和市政府各部門網站建設(市政府辦牽頭,市數字辦、行政服務中心、市政府信息公開辦配合)。
3、推進市應急指揮中心應急平臺建設。加快推進市應急指揮中心應急平臺(一期)技術方案的制訂、論證、招標和實施,實現與省應急平臺、專業應急平臺的相互銜接與資源共享,使政府應急指揮與決策過程更加科學化、規范化、制度化。完善市應急視頻會商指揮系統,整合相關職能部門的視頻系統資源,進一步完善傳輸網絡及應用系統,擴大應急視頻會商指揮系統應用,發揮系統的綜合效益(市政府辦牽頭,市數字辦、水利局、廣電局、公安局、氣象局等相關部門配合)。
4、全面推進辦公自動化系統建設。依托政務信息網絡,全面推進市級黨政機關辦公自動化系統建設,啟動建設市直部門電子公文交換平臺,推進業務協同,早日實現“無紙化”辦公(市政府辦牽頭,市數字辦負責)。
5、推進網上審批系統建設和深化應用。加快推進縣級網上審批系統建設進程,實現省、市、縣(市、區)三級聯網,逐步實現所有行政許可事項和非行政許可事項網上辦理(龍巖行政服務中心負責,市數字辦配合)。
二、推進便民系統建設
1、推進全市社會保障卡系統建設。在全省的統一部署下,加快推進社保卡系統建設,開展社保卡在城鎮醫療等社會保險系統和就業、新農合系統中的應用;推進社保卡作為醫療就診卡,實現醫療就診一卡通(市勞動與社會保障局、衛生局、各縣〈市、區〉政府負責)。
2、加快有線數字電視整體轉換。大力推進有線電視整體轉換,完善市級有線數字電視公共信息服務平臺。力爭年內完成縣(市)城區和主要鄉鎮的有線數字電視整體轉換(市廣電局負責)。
3、加快新型農村合作醫療管理平臺建設。加快建設新型農村合作醫療管理平臺和應用系統,推進社保卡在新農合系統中的應用(市衛生局、勞動和社會保障局負責)。
4、完善遠程醫療會診系統。推進遠程醫療會診系統向基層醫療機構擴展,今年完成省定鄉鎮中心衛生院遠程醫療會診系統接入,提高鄉鎮衛生院診療水平,滿足農村群眾共享優質醫療資源的需求(市衛生局負責)。
三、加快城鄉信息化進程
1、建設農村綜合信息服務平臺。依托市政府門戶網站,加快農村綜合信息服務平臺建設,進一步整合各級涉農信息資源,推進科技、教育、文化、市場、就業等信息進村入戶(市數字辦牽頭,市農辦等其他部門配合)。
2、加快推進無線城市建設。以第三代通信技術為主,分階段、分步驟推進龍巖“無線城市”建設進程,進一步拓展網絡覆蓋的廣度和深度,加強無線寬帶網絡應用,重點支持和鼓勵TD—SCDMA無線網絡技術推廣應用。年底前完成全市城區無線寬帶網絡覆蓋(市數字辦牽頭,龍巖電信公司、移動公司、聯通公司負責)。
3、全面建成農村黨員干部現代遠程教育網絡體系。依托電信龍巖分公司網絡資源,整合各單位農村綜合信息服務資源,加快推進全市1916個終端站點的建設,形成功能完備、標準較高的農村黨員干部現代遠程教育平臺(市遠程辦負責,電信公司等單位配合)。
四、推進企業信息化應用
1、推進信息化與工業化的融合。著力推進信息技術在“10+3”產業的應用,促進產業結構升級。開展節能減排信息化服務,重點研究電力、煤炭、冶金、化工、建材、輕紡等重點耗能行業的節能減排信息化工作方案。利用信息技術助力企業提高核心競爭力,培育工業品牌(市經貿委、科技局、環保局負責)。
2、促進電子商務發展。構建信息咨詢服務平臺,建立和完善龍巖中小企業在線服務系統,為全市企業提供及時、便利的政策咨詢等方面的信息服務(市經貿委負責)。
3、啟動“千企萬店”上網工程。啟動建設龍巖企業信息化門戶網站,并以此為平臺分批次免費為龍巖市內的企業商戶建立WEB、WAP網站以及企業信息化應用界面,促進企業信息化水平提升,加強營銷宣傳與品牌建設(市數字辦、經貿委等單位負責)。
五、創新信息化管理體制和工作機制
開展電子政務總體設計調研,做好與省電子政務總體框架的銜接。在年開展電子政務績效考核的基礎上,進一步完善考核辦法和實施方案,根據年度工作計劃確定績效考核指標。探索推進統建共用的集約化建設模式,推進集中式機房、集成式OA、政府網站群建設。試行應用系統建設及運行維護外包服務(市數字辦、效能辦負責)。
六、加強基礎信息資源開發
1、積極推進政務信息目錄體系和交換體系建設,逐步實現市本級應用系統的集成和數據庫的共享。建設證照信息服務系統,開展證照電子化申報審核,建立證照驗證和服務機制(市數字辦、行政服務中心負責,相關單位配合)。
2、推進基礎地理信息應用平臺建設。整合國土、城建、交通、地質等相關單位數據資源,建設基礎地理信息應用平臺(市數字辦,市國土資源局、城鄉規劃局、建設局、交通局、勘測設計院等相關單位負責)。
七、加強信息網絡安全體系建設
1、進一步完善政務信息網和政府網站的安全保障措施。建設市政務信息網防病毒中心,為政務信息網絡應用提供安全的環境。完善政府網站群信息身份認證系統,確保信息安全(市數字辦負責)。
2、積極推進信息系統安全等級分級保護工作,提高重要信息系統安全測評和安全風險評估工作覆蓋面(市網安辦,市公安局、保密局負責)。
3、建設政務信息內網防護監控系統,及時發現和處置內網違規外聯等信息安全事件。組織開展信息安全保密宣傳教育,推動落實安全保密工作(市保密局負責)。
4、擴展CA證書的應用領域,開發個人數字證書的使用功能,為我市電子商務、電子政務提供安全保障(市機要局負責)。
篇8
【 關鍵詞 】 大數據;電網安全;防護策略
1 引言
電力系統在國家基礎設施建設中具有十分重要的地位。隨著云計算、大數據等新興技術的不斷發展,電力系統的數字化、信息化、智能化程度越來越高。新技術在推動電網企業不斷發展的同時,也帶來了一系列安全問題,構成了較大的威脅與挑戰。本文著眼于大數據時代下的電網企業安全,系統分析了電網企業面臨的主要威脅,并針對性地提出安全防護策略,為電網企業安全建設與應用提供指導。
2 大數據發展現狀
2.1 大數據推動社會進步
大數據(Big Data)是指所涉及的數據量規模巨大到無法通過人工在合理時間內達到截取、管理、處理,并整理成為幫助企業經營決策更積極目的信息。
2011年,全球知名咨詢公司麥肯錫的研究報告,引起了IT界的廣泛關注。Google、IBM、EMC、Facebook等公司相繼開展了大數據技術研究,并紛紛推出各自的大數據解決方案和相關產品,例如Google公司的MapReduce、GFS,Apache組織推出的Hadoop大數據分析框架等。 2012年,美國政府聯合六大部門了高達2億美元的“大數據研究和發展計劃”,標志著美國政府在政策層面將大數據提升到國家戰略層面,該計劃共投入了155個項目種類,涉及國防、醫療、能源等多個領域。
我國也在不斷提高對大數據的認識與應用,認為大數據在降低經濟社會運行成本和提高政府決策效率方面具有廣闊的應用空間,許多呼聲要求盡快出臺中國的大數據發展戰略。能源、醫療、工業制造、金融、電信等行業率先投入了大量的人力物力進行大數據創新實踐與應用,著力解決本領域數據資源積累與有效轉換,輔助優化企業運營與效率提升。
2.2 大數據推動電網企業轉型發展
近年來,隨著互聯網技術的不斷突破,智能電網成為電網企業發展的重要方向,并多次出現在政府工作報告中。智能電網(Smart Grid)是以物理電網為基礎,將現代先進的傳感測量技術、通信技術、信息技術、計算機技術和控制技術與物理電網高度集成而形成的新型電網。智能電網能夠優化整個電網企業的資源配置,實現電力的可靠、安全、經濟、高效運行和安全使用,支撐新一代電網安全生產和管理發展。隨著智能電網的加快部署與業務應用的深化拓展,電網業務數據不斷豐富與擴增,結構化和非結構化的電力數據中心不斷運行,形成了規模龐大且結構復雜的數據集合,這為智能電網優化配置、電力服務行業發展提供了寶貴的數據資源,對電網企業“以電力生產為中心”的工作模式,向“以用戶為中心”的服務模式的轉型發展起了極大的推動作用。
當前,國家電網企業大數據建設尚處于試點研究階段,其主要涉及的領域與業務主要集中在電網企業的運檢、營銷、運監等各個環節,通過挖掘數據之間的關系與規律,提高電網企業在生產、經營、管理等方面的質量與效率。例如開展電網設備狀態監測的大數據應用,實現電網設備狀態的智能監測,實時分析電網線損、配電負載等數據,及時發現電網企業運行異常,為電網調度、交易和檢修提供支撐,提高電網企業的資源合理優化。開展用電信息與客戶服務的數據分析,實時反饋客戶購電與用電信息,建立合理的分時階梯電價模型,促進電力效能的整體優化。同時,電網企業數據還能夠與其他互聯網、交通、經濟等社會數據相融合,為經濟宏觀發展、產業分布情況調查、公共事業管理提供有力支持。
3 電網企業大數據分析
3.1 電網企業大數據概念與特征
電網企業大數據旨在對電力生產與使用過程中產生的大規模數據進行分析與處理,實現大數據對電網企業效能的“增值”。電網企業的數據主要包括三類:一是電網企業的設備運行數據,主要包括電網設備監測數據、狀態數據等;二是電網企業的管理數據,主要包括跨單位、跨部門的電網企業職工數據、財務數據等;三是電網企業的運營數據,主要包括客戶信息、客戶用電數據、電費數據等。電力信息化委員會進行了專項研究,并提出電網企業大數據具有3V、3E特征。
(1)數據體量大(Volume):電網企業數據體量超大,并隨著智能電網的發展不斷擴增。當前,中國電網企業已經采集了135TB的數據,并以每年90TB的數據在不斷增長,規模十分龐大。
(2)數據類型多(Varity):隨著智能電網的不斷發展,電網企業大數據類型也在不斷擴增,除了傳統的結構化數據,以視頻、音頻、文本為主的非結構化數據也在迅速增長,這對現有的數據分析技術提出了新的挑戰。
(3)數據速度快(Velocity):電力生產、傳輸、使用速度十分迅速,其產生的相關數據對“實時性”需求也十分緊迫,例如電力調度、運維數據必須進行實時處理,這直接關系到電網企業的公共服務質量。
(4)數據即能量(Energy):電網企業大數據的產生與應用,就是電力能量不斷的釋放過程,對電網企業大數據的分析、處理與優化,就是對基礎能源與基礎設施的優化改進。
(5)數據即交互(Exchange):電網企業大數據的生產與利用,實質上是與外部國民經濟、社會成員不斷的數據交互,其具有顯著的交互特性。
(6)數據即共情(Empathy):電網企業作為基礎服務行業,應不斷改進電網企業工作模式,建立電網企業與用戶的情感聯系,增進兩者共情。
3.2 電網企業大數據安全威脅分析
大數據在電網企業具有廣闊的應用前景與市場需求,電網企業大數據勢必會推動電網企業向著更為優質、高效的服務方向前進。同時,大數據時代的到來,對電網企業的安全帶來了一些新的威脅與挑戰,如何構建多層次的安全防護體系,是未來電網企業發展中必須面臨的重要問題。
大數據時代下電網企業工作模式如圖1所示:(1)電網企業物理設施采用分布式的物理部署方式,主要維持日常的電力生產、輸電、變電、配電、用電等操作,并利用設備監控系統不斷實時采集所需數據,傳輸至電網企業大數據中心。同時,企業應用平臺所需的非設備數據也將不斷采集與傳輸至電網企業大數據中心,為應用平臺的運行提供數據支撐;(2)電網企業大數據中心提供云存儲與云計算功能(也可將兩者分離),為企業應用平臺提供所需的數據與計算服務;(3)面向不同的應用(電力運維、電力分配、企業管理、市場分析等),企業應用平臺進行相應的數據分析與處理,自動優化與管理電力物理設施,提高電網企業的運行效率。本文對電網企業存在的主要安全威脅進行了系統分析,主要包括三個方面內容。
(1)電網企業物理安全威脅。電網企業擁有大量的物理設備,包括變電站、輸配電線路等物理設備,這些設備是電網企業的核心,其安全性必須得到高度重視。隨著網絡物理系統(CPS:Cyber Physical Systems)與大數據在電網企業的不斷應用,越來越多的安全問題隨之產生。監控與數據采集系統(SCADA)是承載電力物理實體與網絡空間的連接紐帶,往往成為物理攻擊的重點突破方向。2010年,“震網”病毒武器通過網絡對伊朗布什爾核電站發動攻擊,導致伊朗濃縮鈾工程約1/5的離心機報廢,極大延遲了伊朗的核進程,并開啟了世界各國對網絡物理系統安全的重視與管控。
(2)電網企業平臺安全威脅。電網企業的信息化程度越來越高,除了傳統的電力調度管理信息系統(DMIS)、企業管理信息系統(MIS)、企業辦公自動化系統(OAS)等信息平臺之外,電網企業大數據平臺將會成為未來電網企業的核心公共平臺,它將對現有電網企業信息系統進行數據接入,通過統一的數據融合、分析挖掘、可視化等功能服務建設,實現對電網企業的優化配置。同時,以上電網企業平臺連接于不同安全等級的網絡中,在安全建設方面仍然存在一定的技術缺陷與安全隱患,隨著病毒、木馬、DDOS攻擊、APT攻擊等先進網絡攻擊手段的技術提升,電網企業平臺安全成為未來電力系統能夠高效、穩定運行的關鍵。
(3)電網企業數據安全威脅。電網企業大數據中心的建設旨在將電網企業數據進行集中匯總,實現數據采集、存儲、分析與應用等服務。同時,大數據自身存在的安全威脅不可避免的影響未來電網企業的安全建設與應用,主要包括電網企業大數據云存儲環境安全、電網企業大數據用戶隱私安全、電網企業大數據可控共享安全等眾多問題,這對未來電網企業大數據的建設應用提出了較高的需求。
4 電網企業縱深防護策略
針對大數據時代下電網企業的安全威脅,根據常見的網絡攻擊及電網企業信息化建設情況,本文從電網企業的物理環境安全防護、終端安全防護、邊界安全防護、網絡安全防護、應用平臺安全防護、數據安全防護等技術層面提出如圖2所示的縱深防護策略,形成具有層次特性的電網企業安全防護體系,提高大數據時代下的電網企業安全。與此同時,在管理層面開展相關的保障措施以保證防護工作的順利開展。
4.1 物理環境安全防護
電網企業物理環境根據設備部署安裝位置的不同,選擇相應的防護措施。大數據時代下的電網企業物理環境安全防護策略具體所述。
(1)室內物理環境要按照國家電網公司信息化工程的安全防護總體方案,并按照等級保護對應安全等級的物理安全要求進行防護,確保電網企業室內物理設備安全。
(2)室外物理設備如采集器、集中器、表計、信息采集類終端等,其主體需安裝于室外設備機柜/機箱中,其安全防護要求應遵循國家相關工業安全標準。同時,室外物理設備還需滿足國家對于電氣、環境、噪音、電磁、防腐蝕、防火、防雷、電源等要求。
4.2 終端安全防護
電網企業擁有配電網子站、信息內外網辦公計算機、移動作業類設備等多種類型終端,對于不同終端,需要根據具體終端的類型、應用環境以及通信方式等選擇適宜的防護措施,具體的終端安全防護策略如下所述。
(1)配電網子站終端需要配置安全模塊,對來源于主站系統的控制命令和參數設置指令采取安全鑒別和數據完整性驗證措施,以防范冒充主站對子站終端進行攻擊,惡意操作電氣設備。
(2)信息內外網辦公計算機終端需按照國家信息安全等級保護的要求實行分類分級管理,根據確定的等級實施必要的安全防護措施。例如,內網終端關閉FTP、Telnet等具有安全風險的服務,統一安裝殺毒軟件,定時更新病毒庫與漏洞補丁,有效防范木馬、蠕蟲等惡意程序入侵。
(3)移動作業類終端嚴格執行公司辦公終端嚴禁“內外網機混用”原則,移動終端接入內網需采用軟硬件相結合的加密方式接入,確保移動終端的接入安全。
4.3 邊界安全防護
電網企業網絡具有分層分區的特點,例如用于電力生產的電網生產控制大區,用于企業管理的管理信息大區等,在不同區的網絡邊界需要加強安全防護,使邊界的內部不受來自外部的攻擊,具體的防護策略涉及幾個方面。
(1)在電網生產控制大區與管理信息大區之間必須設置經國家指定部門檢測認證的電力專用橫向單向安全隔離裝置,隔離強度應接近或達到物理隔離。對于重點防護的調度中心、發電廠、變電站,在生產控制大區與廣域網的縱向連接處,應當設置經過國家指定部門檢測認證的電力專用縱向加密認證裝置,或者加密認證網關及相應設施,實現雙向身份認證、數據加密和訪問控制。
(2)在管理信息大區內部,審核不同業務網絡密級與安全等級,在網絡邊界進行相應的隔離保護。按照業務網絡的安全等級、用途以及實時性需求等評價指標,對關鍵核心業務網絡與其他網絡進行安全隔離,實現內部網與外部網的資源訪問限制。其中,可以采用的安全隔離技術包括三類:(a)物理隔離技術,在物理上將內部網與外部網分離,阻斷內外網之間的連接;(b)協議隔離技術,在內外網的連接端點處,配置協議隔離器實現內外網的連通與阻斷;(4)防火墻隔離技術,在內外網之間設置防火墻,利用防火墻配置實現數據流的檢測、限制與阻斷,實現內外網之間的邏輯隔離。
4.4 網絡安全防護
網絡是連接電網企業物理設備、應用平臺與數據的基礎環境,是整個電網企業正常運轉的重要保障。當前電網企業主要采用專用網絡和公共網絡相結合的網絡結構,其中專用網絡用以支撐電網企業的設備管理、調度管理、生產管理、資源管理等核心業務,并且不同業務的基礎網絡享有不同密級與安全等級,需要采取不同的防護策略。大數據時代下,電網企業的業務網絡將會不斷拓展,安全風險不斷增加,具體的防護策略如下所述。
(1)對網絡設備、網絡基礎服務、網絡業務信息流等基礎網絡環境加強安全防護,采用訪問控制、安全加固、監控審計、身份鑒別、入侵檢測、資源控制等措施進行網絡環境安全防護。
(2)針對信息資源的安全交換需求,構建電網企業的業務虛擬專網(VPN)。在電網企業網絡中,有些重要數據與信息需要安全通信,考慮成本因素,建議在已有基礎網絡中建立安全通信機制,此時應采用VPN技術。VPN采用隧道、信息加密、用戶認證、訪問控制等相關技術,建立數據加密的虛擬網絡隧道進行信息傳輸,能夠有效防止敏感數據的竊取。
(3)采用先進的網絡防護技術,增強網絡的安全性與彈性。網絡彈性是指網絡在遇到災難事件時快速恢復和繼續運行的能力,建立電網企業基礎網絡的一體化感知、檢測、響應和恢復機制,采取硬件冗余、網絡疊加、虛擬化等方法提高企業網絡彈性。
4.5 應用平臺安全防護
電網企業應用平臺安全直接關系到各業務應用的穩定運行,對電網企業應用平臺進行安全防護,可以有效避免電力業務的阻斷、擾亂、欺騙等破壞行為。為此,本文提出幾種防護策略。
(1)加強應用平臺的安全測評,確保應用平臺的安全可靠。在應用平臺投入使用前,應依賴第三方開展測評,對應用系統進行全面、系統的安全風險評估,并制定相應的安全保障措施,確保應用平臺的安全可靠。
(2)加強應用平臺的訪問權限與訪問控制。可以選擇采用下列訪問控制技術:基于動態和控制中心的訪問控制、基于屬性的訪問控制、基于域的訪問控制、基于角色的訪問控制等。
(3)記錄應用平臺操作日志,便于調查取證與追蹤溯源。可以對用戶的訪問記錄、操作記錄等信息進行歸檔存儲,防范內部人員進行異常操作,為安全事件分析提供取證與溯源數據。
4.6 數據安全防護
大數據時代下電網企業,是以數據為中心進行電力的生產、傳輸與應用,因此,數據是電網企業的核心資源,需要受到高度重視。目前,大數據的應用尚不成熟,相關技術產品也存在很多安全問題,尤其是大數據的隱私保護、數據存儲安全、數據訪問安全、數據追蹤溯源等問題,仍然制約與困擾著大數據的發展。本文提出如下安全策略,用以提升電網企業大數據的安全應用。
(1)加強電網企業數據的隱私安全,提高電網企業的可信度。電網企業擁有近乎國家人口規模的用戶數據,這些數據不僅包含個人的隱私信息,而且還包括個人、家庭的電力消費行為信息,如果數據不妥善處理,會對用戶造成極大的危害。為了保護電網企業數據的隱私安全,此處可采用的措施包括:(a)數據分享、分析、時進行匿名保護;(b)隱私數據存儲加密保護。
(2)強化數據存儲安全,提高大數據的應用安全。大數據一般在云端存儲,主要采用分布式文件系統技術。為了提高電網企業大數據的安全性,在對云存儲環境進行安全防護的前提下,還需要對電網關鍵數據與核心數據進行冗余備份,提高電網企業大數據存儲的安全性能。
(3)嚴格控制數據訪問權限,有效抵制外部惡意行為。針對電網企業大數據的應用現狀,對大數據用戶進行分類與角色劃分,明確各角色的數據訪問權限,規范各級用戶的訪問行為,確保不同等級密級數據的讀、寫操作,有效管理云存儲環境下的電網企業大數據安全。
4.7 大數據安全技術
應該大力發展基于大數據信息安全技術的研究,提升企業網絡與信息安全水平。在網絡安全防范方面,內部威脅大于外部威脅,應積極研究網絡內部人員威脅探測技術、異常檢查技術以及運用圖形分析和認知主動發現威脅技術等;另外針對那些使用過程中保持加密狀態的數據,開發加密數據編程計算技術,使加密數據狀態的數據仍然能使用在云環境中,客服大數據云計算環境中的信息安全問題;開發數據管理架構和處理工具,包括用于自動識別重大異常事件的大數據云存儲與分析技術,提供電網持續監控系統的安全性,任務數據的可用性與可靠性性,減少對審計日志的時間和資源消耗,實現多種分析方法,提供日志腳本的實現、開發與支持;針對外部威脅,定義惡意軟件和定向攻擊等漏洞,創建通過分析Web、防火墻等其它硬件設備日志來應對惡意軟件和網絡漏洞威脅的分析方法等技術。
4.8 管理層面
在以數據為中心的新型電力系統構建與應用過程中,應首先從電力大數據政策法規層面建立相應的安全防護策略,規范電力企業的總體安全防護能力,約束與管理整個行業的安全操作行為,確保物理安全與管理安全。
(1)著眼統一認識,明確安全防護遵循原則,制定相應管理規定。為確保電力企業的安全管理,應從戰略的角度開展行業整體安全理論研究,從安全認識、建設原則、工作思路等多個方面進行專項研究,制定整個行業的安全管理規定,宏觀指導大數據時代下各電力企業的建設、管理與工作。
(2)制定行業標準,指導與規范電力系統安全管理。從技術的角度出發,制定電力行業信息安全系列標準,對不同的應用與系統進行分類,并設置不同的安全等級與防護措施,指導電力系統安全建設與管理。
(3)聚焦關鍵設施,建設專職安全防護力量,確保電力系統穩定運行。為了有效防護電力系統安全,應對電力系統關鍵基礎設施進行隔離保護,設置安全管理機構,建立專職的安全運維與防護力量,保證電力系統的穩定運行。
(4)加強崗位培訓,提高電力員工信息安全防護能力。嚴格執行電力企業員工崗位培訓制度,分別對管理層、技術層和職工層進行針對性的安全教育與培訓,對關鍵崗位人員、專業防護人員進行信息安全知識和安全法規教育,并定期進行安全檢查與考核。
5 結束語
大數據在推動電網企業不斷向前發展的同時,也為電網企業的轉型發展與應用創新帶來了新的威脅與安全隱患。本文對電網企業面臨的安全威脅進行了系統分析,從電網企業的物理環境安全防護、終端安全防護、邊界安全防護、網絡安全防護、應用平臺安全防護、數據安全防護等技術層面,提出了相應的安全防護策略。本文的研究能夠為未來電網企業大數據的安全建設與應用提供有效的指導,相應的防護策略與方法有待在進一步探索與實踐中不斷優化與改進。
參考文獻
[1] James Manyika,MichaelChui,BradBrown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute,2011.
[2] 中國電機工程學會電力信息化委員會.中國電力大數據發展白皮書[R].中國電力出版社,2013.
[3] 張培,楊華飛,許元斌.電力大數據及其在電網公司的應用[J].中國電機工程學報,2014(z1):85-92.
[4] 高新華,王文,馬曉.電力信息網絡安全隔離設備的研究[J].電網技術,2003,27(9)69-72.
[5] 王保義,王藍婧電力信息系統中基于屬性的訪問控制模型的設計[J].電力系統自動化,2007,31(7):81-84.
[6] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005,1115-1122.
作者簡介:
蔣明(1979-),男,安徽淮北人,華北電力大學計算機科學與技術專業,工學學士,現任國網安徽省電力公司信通公司信息通信運檢中心副主任,高級工程師;主要工作業績: 負責電力信息化運行和管理工作,多次獲得安徽省電力公司科技進步獎和群眾性創新獎。
