祝培培

(國網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

電力企業(yè)信息安全技術防護體系構建

祝培培

(國網(wǎng)江蘇省電力公司常州供電公司,江蘇常州 213000)

在日新月異的信息技術給公司帶來管理效能的變革提升的信息時代,信息與業(yè)務全面融合,信息安全與生產(chǎn)經(jīng)營密切相關。在技術上防護物理、網(wǎng)絡、主機系統(tǒng)、數(shù)據(jù)應用各層面安全,建設一套先進、實用、高效的信息安全保障體系,在安全可靠前提下以信息化持續(xù)穩(wěn)定地支撐助力生產(chǎn)專業(yè)化與管理現(xiàn)代化。

信息安全 防護體系 電力信息化

電力系統(tǒng)是我國計算機應用起步較早的行業(yè)，信息技術的高速發(fā)展和廣泛應用，為公司門戶網(wǎng)站、辦公自動化、電網(wǎng)調(diào)度、生產(chǎn)運行、財務資金、營銷管理等各方面提供了有力支撐，信息安全的重要性不言而喻。

1 信息安全定義

國際標準中對信息安全的定義是：信息本身的機密性(Confi dentiality)、完整性(Integrity)和可用性(Availability)的保持，即防止未經(jīng)授權使用信息、防止對信息的不當修改或破壞、確保及時可靠地使用信息。通俗的說，信息安全就是：確保信息系統(tǒng)持續(xù)、可靠、穩(wěn)定運行，以及防止信息丟失、篡改和泄密。對于地市供電公司來說，信息安全的保障對象為：主營業(yè)務系統(tǒng)及數(shù)據(jù)安全，網(wǎng)絡區(qū)域邊界安全，網(wǎng)絡、機房等基礎設施安全，桌面終端使用安全。

2 信息安全技術防護體系建設

2.1 物理安全

信息機房是各類信息設備的存放地點，是公司信息化工作的核心樞紐。在制定《機房管理制度》、《運行值班制度》做好人員進出和設備監(jiān)控管理基礎上，常州公司全面開展了安全管理專項整治工作，對中心機房、沿線機房、52個供電所(點)等所有信息設備所在地的信息設備、空調(diào)、UPS及電纜走線等進行全面排查，收集照片千余張，形成了完備的現(xiàn)場資料。在完成對隱患細節(jié)的梳理分析后，明確分工落實責任，扎實開展隱患整改工作，保障設備物理安全。

2.2 網(wǎng)絡安全

信息網(wǎng)絡的安全與穩(wěn)定是應用正常流轉，數(shù)據(jù)順暢交互的前提與基礎。

2.2.1 DHCP熱備,提升基礎服務可靠性

DHCP作為基礎的網(wǎng)絡服務支撐，關系到全網(wǎng)終端用戶能否正常獲取IP地址。在路由交換設備、線路都實現(xiàn)冗余的同時，單機在線運行的DHCP服務器就成了一個薄弱環(huán)節(jié)。

目前的DHCP服務器一般采用冷備方案，平時只有一臺提供服務，只有在主用服務器宕機時才會啟用備份服務器。這種方案的缺點是主用服務器故障時切換延遲大，此時需要將主用從網(wǎng)絡上斷開，將備用服務器的IP更改為主用的IP，而在發(fā)現(xiàn)問題執(zhí)行切換操作之前，用戶已經(jīng)或多或少受到了影響。

圖1 802.1X網(wǎng)絡準入認證圖示

為消除薄弱環(huán)節(jié)，常州公司進行技術攻關，利用服務器群集技術，實現(xiàn)了DHCP服務器的雙機熱備。在添置磁盤陣列之后，通過使用windows server 2003附帶提供的cluster服務，部署DHCP服務器群集，實現(xiàn)了更高的DHCP服務可靠性，避免了因單機宕機而引起的服務中斷。

2.2.2 雙重準入,嚴守信息網(wǎng)絡入口

常州公司已經(jīng)在一市二縣所有辦公區(qū)域、變電站、營業(yè)網(wǎng)點全面啟用802.1X網(wǎng)絡準入認證和IP/MAC綁定雙重準入機制，對入網(wǎng)設備設置了雙重技術屏障的同時，也為信息網(wǎng)絡安全識別與規(guī)范管理打下堅實基礎。

第一重準入：采用基于國網(wǎng)桌面終端管理系統(tǒng)的802.1X網(wǎng)絡準入認證，對入網(wǎng)用戶進行嚴格的身份認證與準入控制。802.1x認證技術的特點是簡潔高效：純以太網(wǎng)技術內(nèi)核，不需要進行協(xié)議間的多層封裝，去除了不必要的開銷和冗余，在二層網(wǎng)絡上實現(xiàn)用戶認證，對設備的整體性能要求不高。802.1x協(xié)議是基于Client/Server的訪問控制和認證協(xié)議。它可以限制未經(jīng)授權的用戶/設備通過接入端口訪問局域網(wǎng)。在認證通過之前，802.1x只允許認證信息數(shù)據(jù)通過設備連接的交換機端口；認證通過以后，正常的數(shù)據(jù)可以順利地通過以太網(wǎng)端口?？蛻舳苏J證時需提供的密碼等信息，由國網(wǎng)桌面終端管理系統(tǒng)事先統(tǒng)推到合法的內(nèi)網(wǎng)終端。非法用戶在進行認證時，由于提供不出正確的認證信息，因此被拒絕訪問。如圖1所示。

第二重準入：合法用戶通過第一重準入認證后，還需在DHCP服務器上建立保留實現(xiàn)IP/MAC綁定。DHCP服務器按照保留為每個用戶分配與MAC地址唯一對應的IP地址，地址池中的172網(wǎng)段的未分配地址全部手工排除在外，同時在DHCP上給各vlan增加一段私有地址，提供自動分配。未進行過IP/MAC綁定的用戶，在認證通過后，會首先得到一個私有地址，這時用戶只能訪問市公司很有限的幾個網(wǎng)頁，門戶等辦公業(yè)務均無法開展，私有地址的主要目的是可以明確此新進用戶機處于哪個vlan。在待入網(wǎng)設備履行入網(wǎng)審批登記流程后，網(wǎng)管人員會給設備分配和綁定一個172網(wǎng)段地址，設備方能正常聯(lián)網(wǎng)。

2.3 系統(tǒng)安全

業(yè)務應用是公司信息化建設的核心內(nèi)容，作為流轉平臺的信息系統(tǒng)必須保證穩(wěn)定可靠。對于承載應用的服務器，常州公司將原單線聯(lián)網(wǎng)方式改造為二套網(wǎng)絡一主一備方式，并用技術手段實現(xiàn)發(fā)生網(wǎng)絡故障時的自動實時切換，通過網(wǎng)絡冗余極大提高了服務器的可靠性。

為應對數(shù)據(jù)篡改、應用數(shù)據(jù)丟失、業(yè)務中斷等信息系統(tǒng)事件，有針對性地編寫了《信息系統(tǒng)數(shù)據(jù)庫管理標準化作業(yè)指導書》、《服務器備機及應用恢復作業(yè)指導書》，從日常管理、備份管理、應急恢復管理三方面規(guī)范了信息系統(tǒng)數(shù)據(jù)庫和服務器應用的管理與操作，內(nèi)容精細至命令級，具有較強的可操作性。

此外，模擬服務器故障導致應用系統(tǒng)無法使用場景開展信息系統(tǒng)應急演練，在最短時間內(nèi)恢復應用和數(shù)據(jù)，降低事故損失，提高了應急恢復技能。

2.4 應用安全

每一臺終端的規(guī)范應用都關乎公司整體信息安全。常州公司全面推廣實施國家電網(wǎng)公司桌面終端管理系統(tǒng)，并啟動用戶權限、用戶密碼、補丁檢測等各項安全策略對終端設備進行安全管控。每天檢查、通報終端注冊、防病毒安裝、補丁安裝、弱口令等使用規(guī)范情況，每日通報處理病毒發(fā)作次數(shù)前5位的終端設備。公司在所有內(nèi)外網(wǎng)終端上統(tǒng)一推廣保密自動檢測系統(tǒng)，指導員工開展自查并進行了保密檢查，嚴格確?！吧婷苄畔⒉簧暇W(wǎng)，上網(wǎng)信息不涉密”。

3 結語

在計算機應用由簡單的數(shù)學運算、文件處理發(fā)展到與企業(yè)內(nèi)部的信息共享和業(yè)務應用融會貫通的今天，電力信息安全已與企業(yè)生產(chǎn)經(jīng)營管理密切相關。不能單純依靠管理教條的生搬硬套和靜態(tài)技術的堆砌疊加盲目管控，必須結合公司實情，研究信息安全各要素間的聯(lián)系，不斷進行管理創(chuàng)新與技術實踐，建立一套先進、實用、高效的信息安全保障體系，確保公司信息系統(tǒng)安全、可靠、穩(wěn)定運行。

[1]關良輝.電力企業(yè)局域網(wǎng)的信息安全[J].電力安全技術,2010.

[2]趙志宇.談電力信息系統(tǒng)安全保障體系建設原則及思路[J].計算機安全,2009.

祝培培(1980—),女,江蘇常州人,工程師,研究方向:電力信息技術&信息安全技術。