唐培全

（華能山東發(fā)電有限公司 山東 濟(jì)南 250014）

1 引言

近年來，隨著制造和業(yè)務(wù)范圍的擴大，發(fā)電公司在制造、運營和管理方法方面對Internet信息管理系統(tǒng)的依賴增加，并且網(wǎng)絡(luò)信息安全問題變得越來越突出[1]。開放性使互聯(lián)網(wǎng)變得越來越具有威脅性，而發(fā)電公司對這個問題的嚴(yán)重后果和解決問題的能力的了解還不夠。不理想的發(fā)電公司的安全管理系統(tǒng)，再加上管理方法的缺陷，人員使用水平參差不齊，缺乏合理的方法等，與具體的安全形勢大相徑庭。數(shù)據(jù)信息的關(guān)鍵應(yīng)用和維護(hù)要求使發(fā)電公司必須創(chuàng)建網(wǎng)絡(luò)信息安全預(yù)防管理系統(tǒng)。

2 發(fā)電企業(yè)計算機網(wǎng)絡(luò)面臨的信息安全威脅

2.1 惡意攻擊的威脅

內(nèi)部網(wǎng)絡(luò)攻擊通常會對內(nèi)部網(wǎng)絡(luò)安全造成更大的威脅，因此，這些防御網(wǎng)絡(luò)攻擊應(yīng)成為互聯(lián)網(wǎng)預(yù)防的關(guān)鍵總體目標(biāo)。

2.2 網(wǎng)絡(luò)漏洞和“后門”的威脅

系統(tǒng)漏洞和軟件平臺的缺陷通常是網(wǎng)絡(luò)黑客攻擊的首選總體目標(biāo)，手機軟件的“側(cè)門”全部由軟件開發(fā)人員設(shè)計，以確保更好的便利性。通常，其他人不知道它們，但是一旦打開“側(cè)門”，其不良影響就會是不可預(yù)知的。

2.3 數(shù)據(jù)丟失的威脅

操作錯誤，人為因素的粗心大意，硬件配置和設(shè)備的破壞，系統(tǒng)沖突和崩潰，病毒攻擊，黑客攻擊等都將導(dǎo)致內(nèi)容丟失。數(shù)據(jù)信息的無意丟失很可能隨時發(fā)生。

2.4 病毒入侵的威脅

如今，將網(wǎng)絡(luò)蠕蟲、網(wǎng)絡(luò)病毒和惡意代碼組合在一起并相互使用和協(xié)作的各種新型計算機病毒，不僅是單一的攻擊和漏洞檢測無法對抗的，而且系統(tǒng)軟件本身也無可奈何。

2.5 認(rèn)證機制不健全的威脅

認(rèn)證機制不健全，會導(dǎo)致內(nèi)部員工濫用他們的控件，跨級別應(yīng)用程序系統(tǒng)軟件或查詢數(shù)據(jù)和信息，從而導(dǎo)致信息內(nèi)容的泄露[2]。

3 發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全防護(hù)策略分析

3.1 安全域防護(hù)策略

信息管理系統(tǒng)分為三個網(wǎng)絡(luò)信息安全域：群集服務(wù)器、終端產(chǎn)品用戶和開放網(wǎng)站服務(wù)器。終端產(chǎn)品用戶網(wǎng)絡(luò)虛擬化分為多個子網(wǎng)絡(luò)虛擬化，其中包括財務(wù)軟件、管理員、制造部門和一般客戶正在等待幾種網(wǎng)絡(luò)虛擬化；向公眾開放以顯示服務(wù)項目的網(wǎng)站服務(wù)器部署在開放的網(wǎng)站服務(wù)器域中。

3.2 防病毒策略

（1）電力信息管理機構(gòu)應(yīng)統(tǒng)一部署防病毒對策，嚴(yán)禁將同一病毒防護(hù)管理方法的網(wǎng)絡(luò)服務(wù)器用于緩沖區(qū)I、II和信息管理系統(tǒng)[3]。

（2）應(yīng)為移動客戶端部署所有系統(tǒng)軟件的網(wǎng)絡(luò)服務(wù)器和客戶服務(wù)中心，并配置適當(dāng)?shù)牟《痉雷o(hù)產(chǎn)品。

（3）應(yīng)在與Internet相連的網(wǎng)線端口處理中部署防病毒網(wǎng)關(guān)，以防止病毒從Internet泛濫到電站信息管理系統(tǒng)中。

（4）部署單獨的郵件系統(tǒng)時，請確保在郵件服務(wù)器的前端開發(fā)并部署電子郵件病原體網(wǎng)關(guān)IP，以避免電子郵件病原體在公司Internet中傳播。

（5）完善病毒防護(hù)管理手段，確保病原體機器碼的即時、全面升級，立即查殺木馬病毒，掌握病原體的威脅方法。

3.3 防火墻安全策略

根據(jù)上述安全要求和關(guān)鍵技術(shù)，高安全性服務(wù)器防火墻的應(yīng)用對網(wǎng)絡(luò)系統(tǒng)的Internet邊界進(jìn)行了安全保護(hù)。電力企業(yè)應(yīng)根據(jù)Internet情況配置三套服務(wù)器防火墻，它們分別部署在中國國電的Internet邊界、省電力公司的Internet邊界和關(guān)鍵網(wǎng)絡(luò)服務(wù)器子網(wǎng)中。

Internet邊界的服務(wù)器防火墻還具有一個VPN控制模塊，可以與外部創(chuàng)建VPN數(shù)據(jù)加密。作為一家發(fā)電公司，確保與省級企業(yè)和企業(yè)集團(tuán)的順利數(shù)據(jù)傳輸至關(guān)重要[4]。將服務(wù)器防火墻放置在Internet邊界，可以過濾進(jìn)入Internet和離開Internet的數(shù)據(jù)和信息，并操縱和阻止進(jìn)入Internet和離開Internet的個人瀏覽行為。另外，高度保證服務(wù)器防火墻具有身份驗證功能，可以極大地方便遠(yuǎn)程出行。在保證網(wǎng)絡(luò)信息安全的前提下，員工可以基于Internet技術(shù)瀏覽內(nèi)部Internet資源。

3.4 入侵檢測策略

電力企業(yè)在電站信息管理系統(tǒng)中應(yīng)部署一套入侵防御系統(tǒng)軟件，并且在技術(shù)和管理核心成員的計算機設(shè)備上至少應(yīng)部署入侵防御系統(tǒng)軟件的攝像頭。

3.5 虛擬專用網(wǎng)安全策略

電站的工廠控制自動化技術(shù)與調(diào)度系統(tǒng)之間的通信應(yīng)考慮相關(guān)的要求和規(guī)定，在穿越公共路線和電站信息管理系統(tǒng)進(jìn)行業(yè)務(wù)流程通信和在線辦公時，應(yīng)選擇VPN產(chǎn)品以確保數(shù)據(jù)通信的安全性。

3.6 安全加固策略

電力企業(yè)對于重要軟件系統(tǒng)的主網(wǎng)絡(luò)服務(wù)器應(yīng)及時進(jìn)行全性結(jié)構(gòu)的加強處理，服務(wù)器安全性結(jié)構(gòu)的強化方法包括：強化安全性設(shè)備應(yīng)用、實現(xiàn)安全性更新、使用特殊的手機軟件來增強計算機操作系統(tǒng)的密鑰管理功能和安全性。

4 發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全備份與恢復(fù)處理

復(fù)制不等同于備份數(shù)據(jù)，磁盤陣列不等同于備份數(shù)據(jù)，群集不等同于備份數(shù)據(jù)，光學(xué)庫存儲不等同于備份數(shù)據(jù)，可以修復(fù)的備份數(shù)據(jù)被視為真實的備份數(shù)據(jù)。在這個階段，發(fā)電公司的日常管理離不開互聯(lián)網(wǎng)的應(yīng)用。一旦網(wǎng)絡(luò)癱瘓，各種管理內(nèi)容將被錨定。因此，發(fā)電公司的評估指標(biāo)明確規(guī)定，數(shù)據(jù)信息和Internet的修復(fù)必須在同一天進(jìn)行，并且必須申請終止LAN通信，并且不能解決常見故障時間超過4小時的問題[5]。因此，根據(jù)備份數(shù)據(jù)的特性，必須考慮兩個問題：備份數(shù)據(jù)可以存儲文件數(shù)據(jù)的歷史數(shù)據(jù)，備份數(shù)據(jù)可以存儲文件目錄服務(wù)項目記錄和關(guān)鍵系統(tǒng)信息。備份數(shù)據(jù)的目的是避免數(shù)據(jù)信息問題，減少關(guān)機時間，確保網(wǎng)絡(luò)信息安全并促進(jìn)服務(wù)器配置升級。備份數(shù)據(jù)的最終目的是修復(fù)。

隨著Internet和應(yīng)用程序的擴展，電力企業(yè)有必要完成數(shù)據(jù)網(wǎng)絡(luò)中數(shù)據(jù)的集中備份，并降低數(shù)據(jù)信息備份和恢復(fù)的管理成本以及設(shè)備成本，為發(fā)電公司創(chuàng)建備份數(shù)據(jù)管理中心。對于重要的業(yè)務(wù)流程網(wǎng)絡(luò)服務(wù)器、網(wǎng)站服務(wù)器、數(shù)據(jù)庫查詢網(wǎng)絡(luò)服務(wù)器及其更關(guān)鍵的服務(wù)器，可創(chuàng)建一個完善的數(shù)據(jù)信息備份和還原系統(tǒng)，該系統(tǒng)實際上包括如下內(nèi)容。

（1）每日備份數(shù)據(jù)：包括常用的數(shù)據(jù)庫查詢、業(yè)務(wù)流程數(shù)據(jù)信息、重要的系統(tǒng)信息和關(guān)鍵服務(wù)器，選擇將完整備份數(shù)據(jù)、增量備份和差異備份數(shù)據(jù)緊密結(jié)合的備份數(shù)據(jù)對策。對于每日備份數(shù)據(jù)，電力企業(yè)必須按照規(guī)則和法規(guī)進(jìn)行處理，包括磁帶的使用、備份數(shù)據(jù)的時間管理等，并且必須存儲備份數(shù)據(jù)和資料。

（2）容錯機制和備份數(shù)據(jù)技術(shù)的選擇及對策：當(dāng)運用系統(tǒng)軟件發(fā)現(xiàn)異常情況時，要以最少的時間將系統(tǒng)軟件與容錯機制連接并修復(fù)異?，F(xiàn)象；當(dāng)系統(tǒng)軟件崩潰時，要啟動災(zāi)難備份數(shù)據(jù)管理中心的對接工作，并在最短的時間內(nèi)進(jìn)行系統(tǒng)維修，以最大程度地減少破壞[6]。

（3）備份數(shù)據(jù)的異地存儲：將Internet備份數(shù)據(jù)管理中心和數(shù)據(jù)中心設(shè)置在不同的大型機房（不同的房屋）中，以提高抵御能力和防止損害的能力。

隨著服務(wù)器帶寬的緩慢擴展，NAS實現(xiàn)了便捷和成本低廉，在中小型發(fā)電企業(yè)中越來越受歡迎。

5 發(fā)電企業(yè)計算機網(wǎng)絡(luò)信息安全系統(tǒng)優(yōu)化和安全管理

電力企業(yè)信息管理領(lǐng)域有許多軟件系統(tǒng)，確保使用的安全因素合理運用是信息管理系統(tǒng)網(wǎng)絡(luò)信息安全基礎(chǔ)建設(shè)的關(guān)鍵內(nèi)容。具體包括：密鑰管理，賬戶和管理權(quán)限，財務(wù)審計管理方法，輸入/輸出一致性，數(shù)據(jù)加密管理方法，系統(tǒng)軟件生命周期安全性工作，數(shù)據(jù)庫安全性等[7]。

網(wǎng)絡(luò)信息安全管理包括三個層次：（1）建立專業(yè)的組織架構(gòu)，承擔(dān)網(wǎng)絡(luò)信息安全工作的管理方法；（2）建立專業(yè)的對策管理系統(tǒng)和管理計劃管理系統(tǒng)，以控制員工的個人行為；（3）建立一支專業(yè)的員工隊伍，進(jìn)行切實可行的管理。

6 結(jié)語

綜上所述，網(wǎng)絡(luò)信息安全是一個系統(tǒng)工程，不能僅靠殺毒軟件、防火墻、漏洞掃描等硬件設(shè)備的防護(hù)，還要意識到計算機網(wǎng)絡(luò)系統(tǒng)是一個人機系統(tǒng)，在建立以計算機網(wǎng)絡(luò)安全硬件產(chǎn)品為基礎(chǔ)的網(wǎng)絡(luò)安全系統(tǒng)的同時，也應(yīng)樹立用戶的網(wǎng)絡(luò)信息安全觀念，才能防微杜漸，構(gòu)建一個高效、安全的網(wǎng)絡(luò)系統(tǒng)。