楊濤

摘要：隨著發(fā)電企業(yè)信息化水平不斷提高，網絡規(guī)模不斷擴大，信息化應用系統(tǒng)不斷增多，信息安全逐漸越來越得到發(fā)電企業(yè)的重視，因此合理設計發(fā)電企業(yè)網絡安全防護系統(tǒng)就顯得尤為重要。

關鍵詞：信息安全；網絡安全危脅；安全防護系統(tǒng)

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2012)26-6245-03

計算機網絡技術迅猛發(fā)展，各發(fā)電企業(yè)信息化網絡日漸普及，成為了企業(yè)科技化管理的重要手段。通過對數(shù)據的集中、共享、處理使得信息系統(tǒng)為發(fā)電企業(yè)生產經營、安全生產等各方面提供了巨大的科技支撐。但同時伴隨出現(xiàn)的病毒蔓延、不良黑客入侵、流氓軟件等多方面問題成為了不得不面對的問題，同時對發(fā)電企業(yè)的安全生產也形成了巨大的威脅，以此進一步加強發(fā)電企業(yè)信息化安全是在信息化建設初期首要考慮的問題。

1發(fā)電企業(yè)面臨的網絡安全威脅

因為信息網絡的互通性，發(fā)電企業(yè)信息化威脅，既有可能來自本企業(yè)內部，也同時可能來源于外部。其內部威脅主要來自于員工、各信息系統(tǒng)管理員等，根據統(tǒng)計，網絡安全破壞活動近80%來自于競爭對手、任何惡意的組織和個人。主要表現(xiàn)的安全威脅為：

1）截獲用戶標識：截獲標識指以非法手段取得合法用戶的身份信息，主要是用戶的帳號和密碼，這是絕大多數(shù)發(fā)電信息系統(tǒng)采用的認證防護措施。如果侵入者得知了某位合法用戶的帳號和密碼，即便該合法用戶并未被賦予其他的特權，也有可能威脅整個系統(tǒng)的安全。如果帳號，特別是密碼，被以明文的方式由信息網絡傳遞，侵入者通過安裝協(xié)議分析軟件對網絡通信進行監(jiān)視，則可以輕松獲取。如果密碼通過明文格式保存在用戶的計算機的內存或者硬盤中，侵入者更能夠有方法發(fā)現(xiàn)并利用這些密碼，同時如果密碼很簡單（如手機號碼、用戶生日、私家車號牌、用戶姓名等），更加容易被侵入者通過軟件得知，在網絡上大肆傳播的黑客工具都是通過幾種常用習慣的詞典來獲取用戶密碼。

2）偽裝：當未通過授權的用戶假扮成具有合法授權的用戶，登錄發(fā)電信息系統(tǒng)時就形成了偽裝。當未通過授權的用戶經過偽裝成信息系統(tǒng)管理員或者具有信息管理超級特權的有關用戶時，截獲用戶標識的情況是威脅最大的。應為侵入者已經獲取了某位合法用戶的標識，或者因為侵入者已經使信息系統(tǒng)相信其擁有另外的而實際上并不存在的權限，所以偽裝是很容易出現(xiàn)的。網絡地址欺騙實際上就是偽裝的一中形式，侵入者通過一個合法的IP地址，然后通過此地址截獲已被授予該合法地址的系統(tǒng)或者是服務器訪問權限。

3）非授權操作：非授權操作使用信息系統(tǒng)或者資源時，信息網絡安全就受到了極大的威脅。例如，企業(yè)的發(fā)電數(shù)據和財務數(shù)據有可能被未經授權的侵入者，非法修改并利用。

4）病毒：病毒是伴隨計算機技術產生，能夠通過不斷自我復制，大范圍傳播，對計算機、信息系統(tǒng)及其數(shù)據產生極大破壞的程序。因為病毒具有的隱藏性和可變異性，使得廣大用戶無法防范。據有關資料調查，99%的企業(yè)或者個人受到過計算機病毒的感染，63%的數(shù)據和系統(tǒng)損壞來源于病毒。給受害企業(yè)或個人帶來巨大的時間和人力資源的浪費，同時重要數(shù)據文件的丟失和損壞是無法用金錢來衡量的。

5）服務拒絕：通過向發(fā)電企業(yè)信息化系統(tǒng)發(fā)送大量的請求或者垃圾數(shù)據，使得服務器的資源被大量占用，直至資源耗盡，使其達到無法繼續(xù)提供正常服務或者服務器崩潰的目的。在發(fā)電企業(yè)信息化系統(tǒng)中，這樣的攻擊可能造成重大的安全威脅。

6）惡意程序代碼：伴隨著可自執(zhí)行的計算機程序與WWW站點的集成，惡意程序代碼通過Microsoft ActiveX控件或Sun Java程序的大量使用形成了極大的安全威脅。

7）特權濫用：信息系統(tǒng)的超級管理員故意或者錯誤地通過對某系統(tǒng)的特權來獲取其不應獲取的敏感數(shù)據。

8）誤操作：信息系統(tǒng)超級管理員、業(yè)務系統(tǒng)管理員、一般用戶等因對技術方面熟練度不高，操作時的失誤，引起對信息系統(tǒng)安全性、完整性和可靠性的損壞。

9）權限變更：一般用戶利用信息系統(tǒng)的漏洞提高其用戶等級，以獲取未經授權的系統(tǒng)權限。

10）后門：信息系統(tǒng)研發(fā)人員出于故意或者為了日后維護便利在信息系統(tǒng)中設置的專用通道，使用其可以不受企業(yè)信息系統(tǒng)安全措施的控制。經常被人為利用控制、破壞正常運行的系統(tǒng)。

11）系統(tǒng)研發(fā)中的錯誤和調試不全：其包含對有關數(shù)據不進行充分的檢查、對系統(tǒng)的邏輯運行定義不準確，同時這些錯誤和不完善沒有通過大量的、齊全的系統(tǒng)調試檢查出來，有可能在運行中導致數(shù)據被錯誤生成且引入信息系統(tǒng)，破壞了實際數(shù)據的準確性。

12）特洛伊木馬：它通過提供一些有價值的或者僅僅是有趣的功能，在用未經用戶許可的情況下拷貝文件、竊取用戶的帳號和密碼、發(fā)送用戶的重要資料或者破壞用戶系統(tǒng)等。木馬程序是一種常見的危害性較大的威脅，由于其不易被發(fā)現(xiàn)，在一般情況下，它是在二進制代碼中被發(fā)現(xiàn)，且大多數(shù)后綴名都為無法直接打開的文件，其特點與病毒有許多相似的地方。

13）社會工程共計：主要是的是攻擊者利用人的心理活動進行攻擊，其無需采用高深的科技手段，同時無需入侵系統(tǒng)來完成。僅需要通過向特定用戶了解帳號和密碼，達到其獲取數(shù)據或者信息系統(tǒng)訪問權的目的。絕大多數(shù)情況下、攻擊者的主要目標是企業(yè)的辦公室接待員、行政或者技術支撐人員，通過對這些類別的用戶通過電話、EMAIL或者聊天工具等方式即可完成攻擊。

2發(fā)電企業(yè)信息化情況（以五大發(fā)電集團某下屬發(fā)電公司為例）

2.1信息化網絡狀況

圖1

2.2信息化系統(tǒng)狀況

1）財務及資產管理（簡稱：FAM）系統(tǒng)，是集中部署的核心應用系統(tǒng)，涵蓋電廠財務核算、費用報銷、資金計劃、物資采購、庫存管理、物資計劃、超市管理、合同管理、缺陷管理、檢修管理、設備維護等功能模塊。

2）OA辦公自動化系統(tǒng)。實現(xiàn)下屬企業(yè)以及與集團公司間收發(fā)文交互、內部收發(fā)文管理、郵件及通訊目錄功能。系統(tǒng)還提供了值班管理、督察督辦、會議管理、車輛管理、辦公用品等行政辦公管理功能。

3）PI實時信息系統(tǒng)：本系統(tǒng)采集、存儲DCS系統(tǒng)、電能量、環(huán)保系統(tǒng)等實時運行參數(shù)，除滿足電廠對實施信息的管理需求外，還將有關數(shù)據實時傳送集成到集團公司實時系統(tǒng)、集團公司生產與營銷實時監(jiān)管系統(tǒng)。

4）電廠多業(yè)務管理平臺。系統(tǒng)包括運行管理、計劃管理、生產統(tǒng)計、班組管理、標準制度、政工管理、監(jiān)審管理、合理化建議等功能，其中統(tǒng)計、政工、監(jiān)審等模塊實現(xiàn)了與集團公司層面相應管理模塊的系統(tǒng)集成。

5）安全管理平臺：功能包括安全信息、安全報表、安全檢查、工作票、操作票等管理。

6）公司MIS系統(tǒng)：本系統(tǒng)不僅作為下屬企業(yè)所有管理信息系統(tǒng)入口門戶，還提供了項目申報、生產日報、人力資源、融合機制管理、培訓考試、安全認證管理、靈活報表等應用功能。

7）檔案管理系統(tǒng)：本系統(tǒng)由集團公司統(tǒng)一實施，各單位檔案系統(tǒng)建設須按照集團公司統(tǒng)一規(guī)劃，以便于OA系統(tǒng)統(tǒng)一接口、版本升級、技術培訓等。

8）網站系統(tǒng)由各下屬企業(yè)自主建設和運維管理，界面設計須符合集團公司VI視覺識別系統(tǒng)標準，內容、運維管理遵照公司和集團公司有關規(guī)定和要求，嚴格執(zhí)行安全保密等有關規(guī)定。

3發(fā)電企業(yè)網絡安全防護設計方案

發(fā)電企業(yè)信息安全體系機構由網絡安全防護、數(shù)據備份和恢復、應用系統(tǒng)安全、信息安全管理等幾部分組成。

3.1網絡安全防護

3.1.1系統(tǒng)安全域防護

將企業(yè)信息系統(tǒng)通過網絡安全域的形式，分為服務器、用戶兩個安全域，同時劃分多個二級安全域，主要為生產信息系統(tǒng)、財務系統(tǒng)、系統(tǒng)管理員、一線生產班組、普通用戶等。

3.1.2網絡的高可靠性

1）企業(yè)核心網絡設備采取雙機互為熱備形式，兩臺中心交換機設備通過雙鏈路互聯(lián)；接入層與核心層也通過雙鏈路互聯(lián)。

2）重要用戶安全域通過雙鏈路與企業(yè)核心交換連接，進一步保證其鏈路的可靠性。

3）企業(yè)核心業(yè)務系統(tǒng)服務器也必須通過雙鏈路接入核心層。

3.1.3防病毒

1）企業(yè)管理信息大區(qū)按照要求統(tǒng)一部署防病毒系統(tǒng)，采用國內知名品牌網絡版。安全區(qū)一、二與三區(qū)各自擁有自己的防病毒服務器。

2）對管理信息大區(qū)的服務器、終端用戶，強制按照規(guī)定部署統(tǒng)一的可網管的防病毒產品。

3）在互聯(lián)網接口部署防病毒網關，以防其從外部傳播到企業(yè)管理信息大區(qū)。

4）注重防病毒管理，保證病毒特征碼得到有效的更新，通過查看病毒軟件的歷史記錄，了解病毒威脅情況并積極應對。

3.1.4防火墻

在位于內外網接口處部署防火墻一臺，采用高性能硬件防火墻，國內知名品牌，具有雙安全操作系統(tǒng)；可以提供對復雜環(huán)境的接入支持，包括路由、透明以及混合接入模式；具備防火墻、IPSEC VPN,SSL VPN、防病毒、IPS等安全功能。

3.1.5入侵檢測系統(tǒng)

在核心層部署一個入侵檢測的探頭，保證入侵檢測系統(tǒng)能夠及時發(fā)現(xiàn)有關威脅。

3.1.6主機安全加固

發(fā)電企業(yè)的關鍵應用系統(tǒng)（如生產營銷實施監(jiān)管系統(tǒng)、財務系統(tǒng)）的服務器，采取定期安全加固的形式。形式包括：定期檢查安全配置、安全補丁、加強服務器系統(tǒng)的訪問控制能力等。

3.2備份與恢復

對于關鍵應用系統(tǒng)，必須采用每天定期備份，同時人工每月全備份一次。備份的數(shù)據必須采用異地存儲的形式，且需做到專人定期檢查，防止遺漏。

3.3應用系統(tǒng)安全

管理信息大區(qū)中的發(fā)電企業(yè)應用系統(tǒng)應著重確保其安全性能夠得到保證。其主要安全建設內容包括：對系統(tǒng)的訪問控制、用戶帳號密碼及權限管理、操作審計管理、數(shù)據加密管理、數(shù)據完整性檢查等。

3.4信息安全管理

1）通過成立企業(yè)信息化領導小組，加強信息工作包括信息安全工作的整體管理；

2）通過制定信息網絡管理制度及各級安全防護策略；并通過正式公文下發(fā)，嚴格執(zhí)行。

3）通過設立專業(yè)的信息管理人員和成立涵蓋各業(yè)務部門的兼職信息員，形成覆蓋全面的信息化安全管理網絡。

綜上所述，發(fā)電企業(yè)網絡信息安全是一個系統(tǒng)工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設備的防護，還要意識到計算機網絡系統(tǒng)是一個人機系統(tǒng)，在建立以計算機網絡安全硬件產品為基礎的網絡安全系統(tǒng)的同時，也應樹立各個用戶的網絡信息安全意識才能防微杜漸，構建一個高效、安全的網絡系統(tǒng)。

綜上所述，發(fā)電企業(yè)信息安全是一個系統(tǒng)工程，不僅需要入侵檢測系統(tǒng)、防火墻等硬件安全設備，同時還要注意信息系統(tǒng)是一個廣泛使用的人機互動系統(tǒng)，必須通過系列的安全管理措施和規(guī)章制度，進一步強化各級用戶的信息安全意識，做到信息安全人人有責、信息安全從自我做起，才能構建起一個高效、安全的企業(yè)信息化網絡。

參考文獻：

[1]張世永.網絡安全原理與應用[M].北京:科學出版社,2003.

[2]葛秀慧.計算機網絡安全管理[M]. 2版.北京:清華大學出版社,2008.