第一篇:电力系统信息通信网络安全及防护研究(范文模版)
电力系统信息通信网络安全及防护研究
摘要
电力系统通信网络安全是电力系统安全管理的重要内容,是关系到电力系统能否有效的、安全的保证电力供应、保障社会发展的重要工作。本文通过对当前我国电力系统网络安全方面的问题进行分析,并提出自己的见解。
关键字:电力系统、信息、网络安全、防护
1引言
随着经济的发展,技术的进步,电力已经成为社会发展、人们生活的重要资源,成为推动社会发展的重要动力。伴随着电力系统的自动化、网络化、智能化技术的深入和广泛的应用,如何确保电力系统的安全性、稳定性成为保障社会发展的重要问题。虽然当前我国在电力系统网络管理和控制方面,为保障电力专网的安全,降低外网攻击电力系统信息通信网络的风险,采用了信息内、外网双网运行的模式,但是这种网络安全防护模式在运用和管理过程中仍然发现了许多风险和漏洞,在通信设备运维方面、网络管理方面仍有许多问题亟待解决。
2电力系统国内外信息通信网络设备使用现状分析
电力系统信息通信网络是一个覆盖全面的网络,其各项通信和控制活动需要大量的硬件设备进行运转和工作。然而,在当前技术水平下,我国自主知识产权、自主核心技术的设备比重相对较小,在网络管理和运行上大量依赖从国外进口技术和设备,导致我国电力系统安全防护工作存在巨大安全隐患,鉴于网络设备功能和操作的特殊性和电力部门对国家的重要程度,必须加强网络安全管理和防护。一方面为保障电力系统运行稳定可靠,电力系统通信网络部分技术和设备必须使用;另一方面,国外供应商、尤其是有政治背景的供应商、提供所谓“质量安全”的技术、产品的供应商,可能在产品上留有“后门”、在软、硬件上存在固有漏洞,隐藏了可以导致通信中断、错误、设备瘫痪等恶意程序,威胁我国电力系统的安全。
3电力系统信息通信网络安全风险分析
经过多年的发展,我国为提高电力系统运行效率,积极构建了电力系统管理专用网络。为防止电力系统网络受到互联网攻击,造成电力系统故障、瘫痪等重大安全事故,我国在构建电力系统网络时采用内外网双网模式,通过逻辑强隔离或物理隔离的方法构建信息通信网络安全防护的基础。然而,随着技术手段的不断升级和更新,新的网络安全问题不断出现,即便内、外网采用物理隔离的情况下,仍然可
以通过各种方式实现对电力系统信息网络的入侵和破坏。
3.1设备与系统方面
在网络设备上的选择上,由于当前过度依赖国外进口设备,一旦供应商在供应的网络设备上植入后门、木马等程序,将导致电力系统信息通信网络完全局部开放给外部网络,最终形成电力系统信息通信网的安全风险。随着科技的不断发展,网络入侵和控制手段也不断丰富,通过采用电磁辐射或者无线电信号可以实现对电力系统信息通信网络的入侵。通过利用供应商预设在硬件设备中的木马程序,使其发射出特有的辐射或者无线电信号,攻击者可利用这些信号实现对信息通信网络的侦测、破译和控制,从而实现对内网的破坏。
同时,在系统设备的缺陷上、漏洞上的防护不全面也是极其容易被攻击者所利用。由于部分系统漏洞被供应商公开或是电网系统修复不及时,使得服务器等网络设备可能遭至频繁的攻击和利用,更加剧了我国电力系统信息通信网络的安全风险。
3.2人员控制方面
我国电力系统内外网分离的策略取得了一定的成效,降低和消除了一部分由网络攻击等造成的系统故障。但是,在内网管理和运营上,管理和操作人员在运行维护过程中存在大量风险。一方面,由于部分核心设备依赖进口,其故障、维护、升级等过程,过度依赖外来技术人员,在进行内网系统监测维护期间,大量敏感数据可能为他人所得
进行非法研究。另一方面,电网公司内部管理人员、操作人员也可以通过移动存储介质、终端等数据通讯时,利用设备预留的后门、漏洞等植入病毒或木马,使得电力系统信息通信网络遭受内网式攻击。
4电力系统信息通信网络安全防护的几点措施
4.1设备供应国产化
设备安全是电力系统信息通信网络安全的基础,确保设备供应的的国产化,尤其是核心设备的国产化可以在一定程度上规避进口设备的安全风险,降低由于进口设备存在预留后门、开放漏洞等隐患造成的各类设备风险,防止设备安全隐患威胁整个电力系统通信网络安全。
4.2设备供应审查化
在针对设备供应商的选择上,进行严格的审查化,通过对供应企业的资质审核、设备选型、安全准入、企业投资人、操作人员、企业背景等等进行严格的审查,提高供应商准入门槛,确保供应商的在政治和经济利益上与国家的一致性。
4.3设备投运管控化
首先,在设备选购、实用分析阶段,对网络设备进行全方位的安全检测,降低和消除各类后门、策略配臵以及代码等潜在的风险,对设备运行进行可行性分析,针对后门、策略配臵以及代码等问题,与
供应商一起积极协作,消除风险。其次,在使用过程中,针对系统和设备所出现的各类问题和漏洞,与供应商积极沟通,升级消除,并通过完善漏洞数据库,实现漏洞监测和跟踪修复工作。同时,在实际控制过程中,建立防范预警模式,优化电力系统信息网络安全监测系统,对系统运行状况、操作记录等进行日记化备份,对系统重要内容进行隔离备份,以防遭受攻击后,系统不能正常恢复。
4.4人员控制严格化
在人员控制方面,建立相关人员管理和控制制度,对人员进行审查、教育,完善队伍管理工作,保障在电力系统通信网络操控过程中的安全,在内网独立的基础上,保障人员控制质量,消除人员控制失误和恶意攻击风险。同时做好离线设备的信息处理和消除教育工作,防止重要信息的泄漏。
5结论
我国处在发展阶段,各项技术仍不完善,电力系统信息通信网络的安全存在问题较多,电力系统信息通信网络的安全直接关系到电力系统的有效运行,直接关系到我国电网的调度使用和安全,是关系到社会生产、国家命运的重大安全问题,只有保障了电力系统信息通信网络安全,才能保障社会发展的动力。
参考文献
[1]高鹏,李尼格,范杰.电力系统信息通信网络安全及防护研究[J].现代电子技术,2014,18:146-148+151.[2]宋磊.电力信息系统实时数据的通信安全[D].华中科技大学,2005.[3]李健.对通信网络安全与防护的思考[J].计算机光盘软件与应用,2012,02:31-32.
第二篇:xx通信网络安全防护工作总结
XX通信网络安全防护工作总结
广州XX信息科技有限公司的信息网络安全建设在上级部门的关心指导下,近年取得了快速的进步和发展,实效性强,网络安全防控能力大大增强。为进一步贯彻落实行业网络与信息安全各项管理规定,严格规范信息安全等级保护,提高企业对信息网络安全的防控能力,保障企业信息网络安全,保证公司各项办公自动化工作的正常进行,促进企业效益的稳步提升,按照《通信网络安全防护管理办法》及《2014年国家网络安全检查工作方案》要求,我司组织相关人员对系统内信息网络安全等级保护工作认真细致的自检自查,现将自查情况报告如下。
一、定级备案情况
广州XX信息科技有限公司“XX科技网络交易系统”为XX科技自行开发的网络交易系统类型,现使用域名为ue189.cn。使用1台windows2008 云服务器部署,使用HTTP协议承载业务,2M宽带接入,接入商包括中国电信、中国联通、中国网通三线接入。“XX科技网络交易系统”网络信息安全建设依照统一标准要求进行,信息安全保护等级为一级。
按照“统一网络、统一平台、统一数据库”的要求,以打造“安全网络交易系统”为战略目标,以“系统集成、资源整合、信息共享”为工作方针,取得了快速的发展,在积极推进企业信息化建设的过程中,更加重视网络信息的安全建设工作。XX科技有限公司严格按照上级部门要求,主动推进网络安全建设,严律遵循行业标准规范,组织实施信息项目,积极配合上级部门在全行业开展网络安全建设工作。
二、技术安全防范措施和手段落实情况
1、服务器及网络经过检查,已安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。
2、网络终端没有违规上国际互联网及其他的信息网的现象。对信息公开发布门户网站及相关应用系统帐户、口令等进行检查,对服务器上的应用、服务、端口和链接进行了检查,没有网站信息被非法篡改,也没有非法链接。同时,日常工作中,及时对计算机进行漏洞扫描、木马检测等,加强安全监管。我单位使用的计算机都为非涉密计算机,主要是用于业务工作,没有用于处理涉密信息的情况。目前,网络运行良好,安全防范措施和设备运行良好,没有涉及国家秘密的相关信息,未在网上存储、传输国家秘密信息,未发生过失密、泄密现象。
三、应急工作机制建设情况
1、应急响应机制建设上,根据相关要求,建立了信息安全的相关规章制度,要求信息管理员根据安全工作情况及时向小组报告相关情况,并及时上报县信息化办公室,及时采取有效措施,处理相关问题。
2、对非涉密的相关重要工作信息实行定时异地备份,以防范服务器系统故障带来的损失和影响。
3、目前,我司有专门的信息系统运营支撑团队根据工作中的问题向县信息办及时报告咨询解决。目前,没有发生信息安全事件。
三、系统风险评估情况
经过安全检查,我司信息安全总体情况良好,但也存在了一些不足,同时结合公司工作实际,进行了整改同时提出了进一步整改的措施。
1、部分职员对信息安全工作的认识不到位。由于本部门工作涉密很少,机关干部对信息安全防范的意识还不高,对信息系统安全工作重要性的认识还不足。针对这些情况,县社领导已结合传达全县保密工作会议精神,进一步作了强调和要求。结合工作开展,今后将继续加强的信息系统安全意识教育,提高干部职工对信息安全工作重要性的认识。
2、设备维护、更新不及时。服务器的杀毒软件、防护软件没有及时进行更新升级,存在部分漏洞。针对这些问题,信息管理小组已及时对服务器的杀毒软件、防火墙等进行了更新升级,对存在的漏洞进行了修复。今后将对线路、系统等的及时维护和保养,及时更新升级防护软件。
3、信息安全工作机制还有待完善。部门信息安全相关工作机制制度、应急预案等还不健全,还要完善信息安全工作机制,建立完善信息安全应急响应机制,以提高机关网络信息工作的运行效率,促进办公秩序的进一步规范,防范风险。
三、整改情况及计划
针对XX网络安全风险评估结果,我司针对性的指定严密的整改计划: 首先,进一步加大对信息安全工作人员的业务培训,加强员工网络安全意识。由于网络信息化发展迅速,信息安全管理人员应该时刻保持对新技术的学习,进一步加强对计算机信息系统安全管理工作的业务操作培训,发放一些信息网络安全管理方面的业务知识材料。
第二,加强对各级各部门人员的信息系统安全教育。通过开展专题警示教育培训,增强信息系统安全意识,提高做好信息安全工作的主动性和自觉性。
第三,加强分类指导。由于各部门工作性质不同,信息安全的级别也不同。希望结合各部门工作实际,对重点信息安全部门和非重点信息安全部门进行分类指导。
第三篇:11号令-通信网络安全防护管理办法
中华人民共和国工业和信息化部令
第 11 号
《通信网络安全防护管理办法》已经2009年12月29日中华人民共和国工业和信息化部第8次部务会议审议通过,现予公布,自2010年3月1日起施行。
部 长 李毅中
二〇一〇年一月二十一日
通信网络安全防护管理办法
第一条 为了加强对通信网络安全的管理,提高通信网络安全防护能力,保障通信网络安全畅通,根据《中华人民共和国电信条例》,制定本办法。第二条 中华人民共和国境内的电信业务经营者和互联网域名服务提供者(以下统称“通信网络运行单位”)管理和运行的公用通信网和互联网(以下统称“通信网络”)的网络安全防护工作,适用本办法。
本办法所称互联网域名服务,是指设置域名数据库或者域名解析服务器,为域名持有者提供域名注册或者权威解析服务的行为。
本办法所称网络安全防护工作,是指为防止通信网络阻塞、中断、瘫痪或者被非法控制,以及为防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改而开展的工作。第三条 通信网络安全防护工作坚持积极防御、综合防范、分级保护的原则。
第四条 中华人民共和国工业和信息化部(以下简称工业和信息化部)负责全国通信网络安全防护工作的统一指导、协调和检查,组织建立健全通信网络安全防护体系,制定通信行业相关标准。
各省、自治区、直辖市通信管理局(以下简称通信管理局)依据本办法的规定,对本行政区域内的通信网络安全防护工作进行指导、协调和检查。
工业和信息化部与通信管理局统称“电信管理机构”。
第五条 通信网络运行单位应当按照电信管理机构的规定和通信行业标准开展通信网络安全防护工作,对本单位通信网络安全负责。
第六条 通信网络运行单位新建、改建、扩建通信网络工程项目,应当同步建设通信网络安全保障设施,并与主体工程同时进行验收和投入运行。
通信网络安全保障设施的新建、改建、扩建费用,应当纳入本单位建设项目概算。
第七条 通信网络运行单位应当对本单位已正式投入运行的通信网络进行单元划分,并按照各通信网络单元遭到破坏后可能对国家安全、经济运行、社会秩序、公众利益的危害程度,由低到高分别划分为一级、二级、三级、四级、五级。
电信管理机构应当组织专家对通信网络单元的分级情况进行评审。通信网络运行单位应当根据实际情况适时调整通信网络单元的划分和级别,并按照前款规定进行评审。第八条 通信网络运行单位应当在通信网络定级评审通过后三十日内,将通信网络单元的划分和定级情况按照以下规定向电信管理机构备案:
(一)基础电信业务经营者集团公司向工业和信息化部申请办理其直接管理的通信网络单元的备案;基础电信业务经营者各省(自治区、直辖市)子公司、分公司向当地通信管理局申请办理其负责管理的通信网络单元的备案;
(二)增值电信业务经营者向作出电信业务经营许可决定的电信管理机构备案;
(三)互联网域名服务提供者向工业和信息化部备案。
第九条 通信网络运行单位办理通信网络单元备案,应当提交以下信
(一)通信网络单元的名称、级别和主要功能;
(二)通信网络单元责任单位的名称和联系方式;
(三)通信网络单元主要负责人的姓名和联系方式;
(四)通信网络单元的拓扑架构、网络边界、主要软硬件及型号和关键设施位置;
(五)电信管理机构要求提交的涉及通信网络安全的其他信息。
前款规定的备案信息发生变化的,通信网络运行单位应当自信息变化之日起三十日内向电信管理机构变更备案。
通信网络运行单位报备的信息应当真实、完整。
第十条 电信管理机构应当对备案信息的真实性、完整性进行核查,发现备案信息不真实、不完整的,通知备案单位予以补正。
第十一条 通信网络运行单位应当落实与通信网络单元级别相适应的安全防护措施,并按照以下规定进行符合性评测:
(一)三级及三级以上通信网络单元应当每年进行一次符合性评测;
(二)二级通信网络单元应当每两年进行一次符合性评测。
通信网络单元的划分和级别调整的,应当自调整完成之日起九十日内重新进行符合性评测。
通信网络运行单位应当在评测结束后三十日内,将通信网络单元的符合性评测结果、整改情况或者整改计划报送通信网络单元的备案机构。
第十二条 通信网络运行单位应当按照以下规定组织对通信网络单元进行安全风险评估,及时消除重大网络安全隐患:
(一)三级及三级以上通信网络单元应当每年进行一次安全风险评估;
(二)二级通信网络单元应当每两年进行一次安全风险评估。
国家重大活动举办前,通信网络单元应当按照电信管理机构的要求进行安全风险评估。
通信网络运行单位应当在安全风险评估结束后三十日内,将安全风险评估结果、隐患处理情况或者处理计划报送通信网络单元的备案机构。
第十三条 通信网络运行单位应当对通信网络单元的重要线路、设备、系统和数据等进行备份。
第十四条 通信网络运行单位应当组织演练,检验通信网络安全防护措施的有效性。
通信网络运行单位应当参加电信管理机构组织开展的演练。第十五条 通信网络运行单位应当建设和运行通信网络安全监测系统,对本单位通信网络的安全状况进行监测。
第十六条 通信网络运行单位可以委托专业机构开展通信网络安全评测、评估、监测等工作。
工业和信息化部应当根据通信网络安全防护工作的需要,加强对前款规定的受托机构的安全评测、评估、监测能力指导。
第十七条 电信管理机构应当对通信网络运行单位开展通信网络安全防护工作的情况进行检查。
电信管理机构可以采取以下检查措施:
(一)查阅通信网络运行单位的符合性评测报告和风险评估报告;
(二)查阅通信网络运行单位有关网络安全防护的文档和工作记录;
(三)向通信网络运行单位工作人员询问了解有关情况;
(四)查验通信网络运行单位的有关设施;
(五)对通信网络进行技术性分析和测试;
(六)法律、行政法规规定的其他检查措施。
第十八条 电信管理机构可以委托专业机构开展通信网络安全检查活动。
第十九条 通信网络运行单位应当配合电信管理机构及其委托的专业机构开展检查活动,对于检查中发现的重大网络安全隐患,应当及时整改。
第二十条 电信管理机构对通信网络安全防护工作进行检查,不得影响通信网络的正常运行,不得收取任何费用,不得要求接受检查的单位购买指定品牌或者指定单位的安全软件、设备或者其他产品。
第二十一条 电信管理机构及其委托的专业机构的工作人员对于检查工作中获悉的国家秘密、商业秘密和个人隐私,有保密的义务。
第二十二条 违反本办法第六条第一款、第七条第一款和第三款、第八条、第九条、第十一条、第十二条、第十三条、第十四条、第十五条、第十九条规定的,由电信管理机构依据职权责令改正;拒不改正的,给予警告,并处五千元以上三万元以下的罚款。
第二十三条 电信管理机构的工作人员违反本办法第二十条、第二十一条规定的,依法给予行政处分;构成犯罪的,依法追究刑事责任。
第二十四条 本办法自2010年3月1日起施行。
第四篇:电力系统计算机网络信息安全分析及防护.
电力系统计算机网络信息安全分析及防护 吴博
(河南电力调度通信中心 河南 郑州,450052 摘要:分析了河南省电力公司计算机信息网络所面临的不安全因素,并对该计算机信息网络的特殊架构层次化,继而进行了深入的网络安全透析,并给出了针对性的网络安全防护部署。
关键词:计算机信息网络;安全防护技术;安全管理;防火墙;入侵监测;防病毒;身份认证;VPN;网络隔离装置
一、前言
电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算机信息网络的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多;同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,使网络的重要性和影响也越来越大,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。
一、电力计算机信息网络的架构特点:(一 河南省电力计算机信息网络的现状:(1企业内部网络(Intranet连接。Intranet主要包括以下几个方面:各地区电业 局、电厂、修造设计机构与省电力公司的连接;各县电业局与地区电业局的连接;省电力公司与网局、国电公司的连接。
(2企业外部连接。省电力公司与省电力公司二级机构与国际互联网的连接;各级电
力公司提供的远程访问服务;各级电力公司与外系统(如银行、政府部门的连接。
以上连接一方面丰富了电力公司的业务,同时也导致了新的安全问题。
二、对河南电力计算机信息网络的安全“层次化”:
上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重要的网络安全问题之一。保护计算机网络的稳定运行,防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织和分支机构,确定信息认证等等问题需要重点解决。而且电力部门有其独特的网络模式,所以从自身实际安全需求出发,全局、综合、均衡地考虑各种必要的安全措施,建立全面完整的安全体系,从而促进电力生产的安全、稳定、经济运行。
根据河南省电力系统计算机信息网络的特点,各相关业务系统的重要程度和数据
流程、目前状况和安全要求,将整个系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。
(1安全区Ⅰ:实时控制区
安全区I中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。
安全区I的典型系统包括调度自动化系统(SCADA/EMS、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信经由电力调度数据网SPInet--VPN1。该区中还
包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级。安全区I是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心。
(2安全区Ⅱ:非控制生产区
安全区Ⅱ中的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区I中的系统或功能模块联系紧密。安全区Ⅱ的典型系统包括调度员培训模拟系统(DTS、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级。
(3安全区Ⅲ:生产管理区
安全区III中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统(DMIS、统计报表系统(日报、旬报、月报、年报、雷电监测系统、气象信息接入等。
(4安全区IV:管理信息区
安全区IV中的业务系统或功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端。该区包括管理信息系统(MIS、办公自动化系统(OA、客户服务等。该区的外部通信边界为公共因特网。
三、网络安全防护分析: 针对电力计算机信息网络的以上特殊性质,进行网络安全分析如下:(一 网络逻辑结构示意图
(二在网络接口处可能受到的攻击分析: 关联接口攻击场景描述风险类 型 风险 级别 对业务的影 响
I1 通过该接口,入侵安全等级高的系统,向通信网关发送雪崩 数据,造成网络堵塞。机密性
完整性 H 导致和 SCADA/EMS 系统及其它 生产系统业 务中断
I2、I3 通过该接口,入侵DMIS系统 重要业务部分,造成重要业务 中断。完整性 可用性 可靠性 审计性 H 可以向DMIS 系统加入恶 意代码,窃取 信息或对系 统造成破坏。
I4 其它DMIS系统中的恶意进程或攻击人或病毒,通过SPI
net,利用该接口非法接入 DMIS局域网可用性 审计性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I5 来自MIS系统的病毒和恶意进程或攻击人,非法进入DMIS 系统。窃听或篡改发电计划、负荷需求或其它不对外公开 信息等数据审计性 可用性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染
I6 , I6.1 黑客假冒开发商或本系统维
护人员的身份获得对DMIS系 统的远程维护权限 认证性 可用性 抗否认 H 黑客可以向 DMIS系统加 入恶意代码, 窃取信息,或 对系统造成 破坏。
I7 来自系统外单位系统的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 DMIS系统, 导致服务中
断或网络堵 塞
I8 来自INTERNET的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 MIS系统,导 致服务中断 或网络堵塞
四、网络安全防护措施
(一基于接口的安全技术和管理建议 接口 保护(P 检测(D 响应(R 管理
I1 C 通信网关、防火墙 无 无 C 口令 无 无
无 I2 R 身份认证,审计追踪,抗否认,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 无 无 无 无 I3 R 物理隔离 无
暂停服务,审计日志分析
制定服务中断恢复计划,安全相容性检查 C 口令 无 无 无 I4 R 抗否认,审计追踪,身份认证,防病毒 恶意代码检测 入侵检测
暂停服务,审计日志分析 病毒库更新
定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 防火墙 无 无
I5 R 防火墙,身份认证,防恶意代码,安全网关,防病毒 恶意代码检测 入侵检测 修改防火墙规则,病毒库更新
制定服务中断恢复计划,安全相容性检查 I6, I6 C 口令 无 无.1 R VPN,抗否认, 审计追踪,身 份认证,安全 网关恶意代码检测 入侵检测 暂停拨号服 务,审计日志 分析 定义接 口安全 条件, 定义用 户安全
连接条 件,安 全相容 性检查
C 通信网关无无I7 R 身份认证,安 全网关,防火 墙,抗否认, 审计追踪,防 病毒恶意代码检测 入侵检测 暂停服务,修 改防火墙规 则,审计日 志,病毒库更 新 定义接 口安全 条件
C防火墙无无无I8 R防火墙,身份 认证,防恶意 代码,安全网
关,防病毒恶意代码检测 入侵检测 修改防火墙 规则,病毒库 更新 制定服 务中断 恢复计 划,安 全相容 性检查
注:C表示当前所采用的安全措施,R表示推荐采用安全措施(二安全产品选用 安全产品及其简要功能 安全产品名
称
类型 功能说明 对系统可能的影响 防火墙 硬件防火墙 软件防火墙
访问控制 影响数据传输速度
网关 服务器 访问控制 影响数据传输速度 基于网络 实时监控 实施阻断时,占用一定的 网络带宽 入侵检测软
件 基于主机 准实时监控 占用主机的一部分CPU和 内存 安全评估软
件 基于网络和主机 漏洞扫描 在扫描时,占用一定主机 和网络资源 专用隔离装 置 物理隔离 逻辑隔离 更严格的访问 控制
影响传输数据的类型、速 度
防病毒软件 针对NT/2000系列 防、杀病毒 对主机性能有一定影响 PKI系统 CA, RA, AS RA, AS 身份认证、数据 保密、数据完整 证书和私钥的管理增加 了管理工作量 AS 性检验等 备份系统 针对服务器中的数据和软件
可以对重要数据和软件进行灾难恢复
实施备份操作时,影响网络和相关主机的速度和性能(三、部署安全产品
(四安全产品部署说明: [1] 防火墙&隔离装置
在调度生产管理系统的安全区Ⅱ和安全区Ⅲ间(即物理接口PI3处,部署专用物理隔离设备,以实施对安全区Ⅰ、Ⅱ的安全隔离。
在管理信息系统(MIS的接入点和公共网络接入点,即物理接口PI5和PI8,采用隔离装置实施访问控制策略。
[2] 入侵监测系统
在调度生产管理系统中部署基于网络和基于主机的入侵检测系统,以实施对网络和服务器攻击及违规行为的监测与响应策略。入侵检测系统的探头布置在三处,分别标识为IDS 探头
1、IDS 探头2和IDS 探头3,它们的作用分别为: IDS 探头1:用于监控DMIS 系统与SPI net 之间的访问活动 IDS 探头2:用于监控DMIS 系统内部服务器访问活动
IDS 探头3:用于监控系统外部单位和DMIS 系统之间的访问活动
安全监测中心实现对入侵检测系统中探头(或称为探测器的统一管理与控制,它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。
[3] 安全评估系统
在DMIS系统中布置安全评估系统,可以辅助管理员自主地定期对调度生产管理系统进行必要的安全评估,检测与分析系统存在的安全漏洞,并根据安全评估报告的结果进行整改,及时安装升级包,或者修改防火墙和隔离设备的访问控制规则,以避免黑客利用系统安全漏洞进行攻击。
[4] 防病毒软件
在调度生产管理系统内部的所有主机和服务器上安装防病毒软件,并配置一台病毒管理中心,进行必要的防病毒管理。
由于现在病毒感染的途径很多,因此必须实施全面的防病毒方案,并且能及时更新。
[5] 身份认证(PKI系统
在调度生产管理系统中布置PKI系统主要用于系统与人(如使用人员员、远程维护人员等之间以及各系统进程之间的身份认证。完整的PKI系统包括CA、RA、目录服务等,在调度生产管理系统中可以选择下面两种配置之一: 只需要布置一个证书服务器,向应用程序提供证书和证书作废列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络RTU证书、无闭环专用系统的证书、远程维护人员的证书等。
不增加任何设备,应用程序直接调用PKI系统提供的API,从而支持强身份认证功能。
与配置一相比,需要手工向应用程序导入证书和证书作废列表 参考文献: [1]湖南电力计算机广域网安全分析张灿湖南电力文献 2003.5 [2] 电力信息网络安全的“层次化”思科网络安全技术文献库 2004.5 [3] 国家电力信息化目标国家电力信息化技术文献 2002.3 [4] 孙友仓,对信息系统安全管理的探讨.现代电子技术[J],2004,27(5 [5] 熊松韫,张志平.构建网络信息的安全防护体系.情报学报[J], 2003,22(1 吴博: 男,工程师,2003年毕业于四川大学电气信息学院通信工程系,同年7月在河南省电力公司调度通信中心通信处就职, 从事电力通信调度以及电力通信网络的管理、维护和故障处理等方面的工作。
The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone
Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.电力系统计算机网络信息安全分析及防护 作者:吴博
作者单位:河南电力调度通信中心,河南郑州,450052 相似文献(10条
1.会议论文谭晓天系统集成思想指导下的电网调度专业网络构建1999 系统集成是高水闰的计算机应用,能为用户提供一体化的解决方案。该文结合湖南电网调度专业网络系统的开发阐述了系统集成四个层次的具体实践。最后指出专业人员参与系统集成值得注意的问题。
2.会议论文胡炎.谢小荣.辛耀中现有安全设计方法综述2005 本文对电网现有安全设计方法进行了综述。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、发现修改方法、预防性安全设计方法等现有安全设计方法的特点和不足,同时总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面研究的可借鉴之处.3.期刊论文任志翔.仇群辉智能电网调度自动化技术思考-经济研究导刊2010,“"(7
简述了智能电网的概念和特点,介绍电网调度自动化的发展历史,分析了智能电网调度自动化和传统电网调度自动化在智能处理和信息共享等方面的区别,着重分析了目前电网调度自动化系统的研究现状,并以目前在变电站建设中推广的IEC 61850和在主站构建中推广的IEC 61970标准以及计算机网络和先进的通信技术作为基础,重点分析了未来中国智能电网调度自动化的研究方向.4.会议论文李承东.潘明惠微机网络在东北电网调度运行中的应用1994 5.会议论文舒彬.潘敬东转变观念、优化管理—关于电网调度自动化系统网络安全管理的几点思考2001 本文在分析调度自动化系统网络安全管理中,由于信息不对称所造成的信息失真情况的基础上,探讨了如何通过建立一套有效的技术手段提高自动化系统安全管理系数,并进一步提出以”目标和任务"机制作为网络安全研究与建设方向的思想,以期为建立可适应性安全防护体系做好准备工作.6.会议论文牛万福DEC计算机电网调度监控系统1997 详细介绍了一自行开发的DEC ALPHA计算机电网监控(SCADA系统,描述了监控系统计算机网络的客户站/服务器(client/server体系结构及电网监控软件,阐述了双机运行和软件切换机制。文章也介绍了该计算机电网监控系统在地区电网调度中的应用及与企业管理信息系统(MIS和省局能量管理系统(EMS的网络连接。
7.学位论文高云电网调度运行信息管理系统设计2001 该文研究的对象是供电企业的电网调度运行信息管理系统,它是生产技术管理系统的一个重要组成部分.文中首先指出了目前地区供电企业在调度运行信息的记录、处理和传阅方式上存在的问题.在对系统功能需求和数据需求进行分析的基础上,对调度运行信息进行了分类,确定了系统的总体功能及实现方案,并采用原型法的软件开发方法、面向对象程序设计技术(OOP和计算机网络技术进行开发.利用Visual FoxPro6.0开发工具设计的调度运行信息管理系统具有基础资料数据库和运行记录数据库.现已完成主控程序,系统注册模块、运行记录模块和操作命令票管理
模块等应用程序,可以对设备参数和电网运行信息进行增加、修改、删除和查询工作,统计断路器跳闸次数并给出达到预定值时的信息提示.程序中设计了利用已输入的基础资料数据进行快速、灵活地输入和编辑运行记录的操作方法,极大地减少了汉字输入的工作量,并且使记录的信息更为规范.设计的程序具有操作简便、易于使用和功能扩充方便等特点.8.会议论文王桂茹电网调度管理信息系统设计1997 这是一篇涉及计算机网络及应用推广;涉及电网调度相关专业知识及信息共享原则的论文。
9.会议论文曹连军.王晓华东北电网调度通信中心生产管理企业网1999 当今计算机已经由单机操作向网络操作发展。计算机网络在企业现代化管理中起到越来越重要的作用。该文给出了东北电网调度通信中心生产管理企业网的功能描述。
10.期刊论文周士跃.王劲松.金小达地区供电网调度实时数据网络安全分析及对策-电网技术2003,27(10 随着信息技术和网络技术在电力生产中的应用,在变电站与调度自动化系统间传输数据已经实现,同时调度自动化系统与电力生产中其它系统间也进行了互联,因此调度实时系统和变电站计算机网络的安全问题也越来越引起人们的关注.文中结合盐城电网的实际情况,提出了相应的系统安全策略和信息安全策略,重点介绍了调度主站系统和变电站的网络安全技术:防火墙技术、多层次防护策略、入侵检测系统.本文链接:http://d.g.wanfangdata.com.cn/Conference_6146266.aspx 下载时间:2010年6月6日
第五篇:分析部队通信工作中的网络安全防护
分析部队通信工作中的网络安全防护
【摘要】随着计算机网络的不断发展,计算机网络技术被应用到社会的各个领域。其中军事领域已经逐步将计算机网络技术引入到部队的通信中,实现了智能化处理信息数据、模拟实战战场、自动指挥等。然而网络安全防护问题成为了我国部队通信工作中遇到的主要问题,重点分析我国部队通信的现状和存在的问题,探究网络安全防护的有效措施。
【关键词】部队,通信,工作,网络安全防护
我国军事部队的信息都属于机密信息,信息的网络安全关乎国家的存亡和发展。因此,需要引起部队各部门足够的重视,强化我国部队通信工作中的网络安全意识,分析网络存在的安全隐患问题,充分调动部队内部各部门的积极性,有效的实施网络安全防护,确保我国部队的通信工作能够稳定的发展。
一、部队通信工作的现状以及存在的问题
(一)缺乏核心软件和硬件的自主性
目前,我国的部队通信技术较发达国家相比仍然存在巨大的差距,计算机设备的核心软件以及大部分的硬件设备都来源于西方发达国家,结合战略角度的分析,这些软件、硬件以及计算机系统可能存在一定的网络安全风险。例如,操作系统被嵌入病毒,造成部队机密文件的泄漏和丢失等,严重危害了网络的安全性。
(二)存在病毒风险以及防火墙漏洞
网络病毒能够通过系统软件的漏洞,侵入部队的电脑中,大部分的病毒寄生于网页和系统文件中,对系统功能的破坏性极大。通常情况下,病毒伴随着计算机系统的运行潜入到计算机系统的核心软件当中,对系统的信息数据进行破坏,造成信息传输中断,甚至是系统瘫痪。不仅如此,部队的通信系统中存在较大漏洞的还有网络防火墙,病毒同样能够通过防火墙漏洞,黑进网络系统当中,攻击部队系统的内部和外部。
(三)军事机密信息的传输安全性不高
部队通信中机密文件的信息处理环节,非常容易导致信息的泄密,军事机密文件通常储存于计算机的系统中,由于机密信息进行传输的过程中,存在多个网络节点,一旦网络节点未经授权,就很容易造成机密信息的丢失、恶意篡改、盗取等,严重影响部队通信工作的安全性和可靠性。
二、部队通信工作中网络安全防护的有效措施
(一)运用路由器技术和VPN技术
路由器是连接网络的设备,能够实现内部网络以及外部网络的连接功能。通过ASIC加密和解密算法处理,实现部队内网和外网的控制和管理,确保网络信息的安全。例如,我国华为、中兴等公司研制开发出了具有较高安全性的产品,逐渐拉近了与发达国家之间技术开发的水平。具有较高安全性的产品已经广泛应用于部队的网络中,建立起了虚拟的网络,并通过隧道进行连接以及数据加密操作,将数据信息传输到局域网,有效的防止了信息的篡改和丢失。
(二)运用病毒防范技术和防火墙软件
为了确保部队网络的正常运行,解决部队通信中的病毒问题,需要安装必备的杀毒软件。除此之外,还可以安装具有病毒检测、清理、防护功能的病毒预防系统,提高部队网络的安全系数。不仅能够及时的发现系统的漏洞和病毒,还能及时进行系统文件的安全检测,发现病毒并清除病毒。安装网络防火墙能够有效的控制信息数据输送方式,并进行实时的审查,筛查可疑的IP地址,提高网络通道的可靠性。
(三)运用入侵监测技术
部队应用的入侵监测系统,能够有效的强化路由器技术和防火墙系统的功能。入侵检测技术的使用,能够实现对部队军用网络的实时监控,维护信息数据安全的同时还能跟踪可疑的攻击行为,提高了部队的军事机密文件的安全性,稳定了部队军用的通信渠道。例如,入侵检测系统中较为常见的网络诱骗系统,通过建立虚拟网络环境,引入网络黑客,并对其进行快速的抓捕,稳定网络的安全运行。
(四)运用系统漏洞扫描技术
漏洞扫描技术利用网络安全扫描器,对系统的安全进行扫描,通过计算机系统代码的数据分析,检测出系统的漏洞所在,引导用户进行系统漏洞的修复,防止网络黑客利用系统漏洞进行罪犯活动。利用计算机系统的漏洞扫描技术进行主机检查时,一方面,可以匹配开放端口和主机端口,扫描漏洞数据信息是否一致;另一方面,可以通过模仿黑客的方式,对主机进行攻击,再对系统进行漏洞扫描,一旦攻击成功,说明这主机系统中存在很大的漏洞。
(五)强化网络通信使用者的规范性
我国部队的通信工作存在网络安全隐患,除了网络系统的风险因素,还包括网络通信者操作行为的不规范性。因此,部队应该设立相关的网络安全管理部门,制定网络安全管理的制度,使网络通信使用者能够严格规范网络操作行为。除此之外,部队应该给予足够的重视,加强网络信息安全方面人才的培养进行定期的网络安全技术的培训,使部队各部门的官兵增强网络通信安全意识,掌握基础的网络通信技术,提高部队整体的通信网络安全防护意识。
结束语:综上所述,通信过程中的网络安全隐患问题,成为了现代企业和单位部门通信工作中遇到的主要问题。针对部队的通信工作来说,维护军事机密文件信息的安全显得尤为重要,需要运用路由器技术、VPN技术、病毒防范技术、防火墙软件、入侵监测技术、系统漏洞扫描技术,并且不断强化网络通信使用者的规范性,才能确保部队通信网络的安全,使通信网络的运行环境更加稳定、安全和可靠。
参考文献:
[1]吴丽萍.部队通信工作中的网络安全防护[J].现代商贸工业,2014,15:168.[2]赵骞.部队通信工作中的网络安全防护[J].科技风,2013,15:244.[3]王磊,李凤菊.部队通信工作中的网络安全防护[J].信息通信,2015,05:231.
点击咨询 