時間:2023-09-14 17:43:46
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全防護能力,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.1物理層邊界限制模糊
近年來,很多現代化企業加大信息建設,一些下屬公司的網絡接入企業總網絡,企業網路物理層邊界限制模糊,而電子商務的業務發展需求要求企業網絡具有共享性,能夠在一定權限下實現網絡交易,這也使得企業內部網絡邊界成為一個邏輯邊界,防火墻在網絡邊界上的設置受到很多限制,影響了防火墻的安全防護作用。
1.2入侵審計和防御體系不完善
隨著互聯網的快速發展,網絡攻擊、計算機病毒不斷變化,其破壞力強、速度快、形式多樣、難以防范,嚴重威脅企業網絡安全。當前,很多企業缺乏完善的入侵審計和防御體系,企業網絡的主動防御和智能分析能力明顯不足,檢查監控效率低,缺乏一致性的安全防護規范,安全策略落實不到位。
2.構建企業網絡安全防護體系
2.1企業網絡安全防護體系構建目標
結合企業網絡的安全目標、使用主體、性質等因素,合理劃分企業邏輯子網,對不同的邏輯子網設置不同的安全防護體系,加強網絡邊界控制和安全訪問控制,保持區域之間的信任關系,構建企業網絡安全防護體系,實現網絡安全目標:第一,將大型的、復雜的企業網絡安全問題轉化為小區域的、簡單的安全防護問題,有效控制企業網絡系統風險,提高網絡安全;第二,合理劃分企業網絡安全域,優化網絡架構,實現企業網絡安全設計、規劃和入網;第三,明確企業網絡各個區域的安全防護難點和重點,加大安全設備投入量,提高企業網絡安全設備的利用率;第四,加強企業網絡運行維護,合理部署企業網絡的審計設備,提供全面的網絡審核和檢查依據,為企業構建網絡安全防護體系提供重要參考。
2.2合理劃分安全域
現代化企業網絡可以按照系統行為、安全防護等級和業務系統這三種方式來劃分安全域。由于企業網絡在不同區域和不同層次關注的內容不同,因此在劃分企業網絡安全域時,應結合業務屬性和網絡管理,不僅要確保企業正常的生產運營,還應考慮網絡安全域劃分是否合理。針對這個問題,企業網絡安全域劃分不能僅應用一種劃分方式,應綜合應用多種方式,充分發揮不同方式的優勢,結合企業網絡管理要求和網絡業務需求,有針對性地進行企業網絡安全域劃分。首先,根據業務需求,可以將企業網絡分為兩部分:外網和內網。由于互聯網出口全部位于外網,企業網絡可以在外網用戶端和內網之間設置隔離,使外網服務和內網服務分離,隔離各種安全威脅,確保企業內網業務的安全性。其次,按照企業業務系統方式,分別劃分外網和內網安全域,企業外網可以分為員工公寓網絡、項目網絡、對外服務網絡等子網,內網可以分為辦公網、生產網,其中再細分出材料采購網、保管網、辦公管理網等子網,通過合理劃分安全域,確定明確的網絡邊界,明確安全防護范圍和對象目標。最后,按照網絡安全防護等級和系統行為,細分各個子網的安全域,劃分出基礎保障域、服務集中域和邊界接入域。基礎保障域主要用來防護網絡系統管理控制中心、軟件和各種安全設備,服務集中域主要用于防護企業網絡的信息系統,包括信息系統內部和系統之間的數據防護,并且按照不同的等級保護要求,可以采用分級防護措施,邊界接入域主要設置在企業網絡信息系統和其他系統之間的邊界上。
2.3基于入侵檢測的動態防護
隨著網絡技術的快速發展,企業網絡面臨的安全威脅也不斷發生變化,網絡攻擊手段日益多樣化,新病毒不斷涌現,因此企業網絡安全防護體系構建應適應網絡發展和變化,綜合考慮工作人員、防護策略、防護技術等多方面的因素,實現基于入侵檢測的動態防護。基于入侵檢測的動態防護主要包括備份恢復、風險分析、應急機制、入侵檢測和安全防護,以入侵檢測為基礎,一旦檢測到企業網絡的入侵威脅,網絡系統立即啟動應急機制,如果檢測到企業網絡系統已經受到損壞,可利用備份恢復機制,及時恢復企業網絡設置,確保企業網絡的安全運行。通過動態安全防護策略,利用動態反饋機制,提高企業網絡的風險評估分析能力和主動防御能力。
2.4分層縱深安全防護策略
企業網絡安全防護最常見的是設置防火墻,但是網絡安全風險可能存在于企業網絡的各個層次,防火墻的安全防護作用比較有限。企業網絡可采用分層縱深安全防護策略,保障網絡安全防護的深度和廣度,構建高效、綜合、全面的安全防護體系,對于企業網絡中的應用層、數據層、系統層、網絡層和物理層分別采用信息保護、應用系統安全防護、數據庫安全防護、操作系統安全防護、網絡保護、物理安全保護等防護手段,根據不同網絡系統的特點,有針對性地進行安全防護,例如,在網絡層可利用資源控制模塊和訪問控制模塊,加強對網絡節點的訪問控制,在企業網絡的應用層和數據層設置身份授權和認證系統,避免用戶的違規操作和越權操作。又例如,由于網絡環境比較復雜,可在企業網絡的應用層、數據層和系統層,設置網絡監控和檢測模塊,保護企業網絡的服務器,防止權限濫用和誤操作。
3.結語
信息技術被廣泛地在應用領域得以應用,給人們的生產生活帶來諸多的便利。電力企業引入信息技術后,在電力運行和調度方面實現了自動化、網絡化管理。特別是電力網絡規模化發展而擴大了電能供應面,自動化技術的應用程度也相對提高,這就需要發揮電力調度的作用以對電力系統進行有效地調節控制。
一、電力調度自動化網絡安全防護系統所發揮的功能
(一)電力調度自動化網絡安全防護系統對電網運行發揮著實時監控的功能
電力調度自動化網絡安全防護系統運行中,其所發揮的功能就是對電網運行狀況進行監控,包括電網運行中所產生的各項指標,電壓、頻率、電負荷以及所產生的潮流調度,都要進行實時監控。此外,還要對電網運行中所產生工況指標進行調度,諸如主要設備安裝的位置、水能變化情況和熱能變化情況調度,都要對相關數據充分掌握,以使電網按照規定運行,確保電能用戶能夠安全用電、計劃用電。
(二)電網運行中所產生可以用于分析電網運行安裝狀況
在電力系統運行的過程中,電網運行的安全性至關重要。如果電網設計中沒有充分考慮到安全問題,就必然會在安全管理中存在漏洞。當電網處于運行狀態的時候,就會受到諸多因素的影響而導致電網運行故障出現。電網的構建需要多種技術,加之電網規模化擴展,使得運行中所存在的故障問題也日趨復雜化。如果沒有對電網運行實施有效的監督控制,并采取有效的調度措施,就難以對故障原因準確定位。要提高電網運行質量,就要將電力調度自動化網絡安全防護系統構建起來,該系統不僅對電網的運行狀況實時監控,而且還可以及時發現潛在故障,并對可能發生的電網故障進行準確預測,并自動啟動防護措施,由此而大大地降低了電網故障率。
二、電力調度自動化網絡安全防護系統所存在的網絡安全問題
(一)電力調度自動化網絡安全防護系統內部結構復雜
電力調度自動化網絡安全防護系統是根據電網運行需要而不斷完善的。信息技術不斷升級,通信技術更新換代的速度非常快,加系統規劃的滯后性,使得電力調度自動化網絡安全防護系統的構建沒有及時優化,導致內部結構復雜化。目前電力調度自動化系統無法發揮預期功能,其中的一個主要原因就是網絡結構不規范的結果,使得系統運行中無法達到要求,包括賬號口令問題、安全管理問題、在崗位授權的設置上缺乏安全性,使得網絡安全管理的難度增加。
(二)電力調度自動化網絡安全防護系統的網絡安全管理不到位
電力調度自動化網絡安全防護系統運行中,網絡安全管理不到位主要在于電力企業運行局域網實施企業內部管理,同時還運行互聯網以保持企業與外界之間的溝通。但是,對于局域網和互聯網并沒有做好分區和隔離工作,當網絡運行中沒有實施必要的防御措施而容易受到外部不良攻擊。這種安全管理不到位的問題存在,就必然會存在各種網絡管理問題,而使得網絡系統運行困難。如果沒有建立行之有效的防御體系,就會由于網絡管理存在安全問題而導致網絡運行癱瘓。
三、電力調度自動化網絡安全防護系統的設計
(一)電力調度自動化網絡安全防護系統所發揮的功能
電力調度自動化網絡安全防護系統的作用是確保電力調度自動化運行,且運行效率有所提高。以網絡為載體進行電力調度自動化防護系統運行,是將電網信息源充分利用起來,原有的數據信息經過轉換,成為可以利用的數字信息,在電網的運行環境下集成數據信息并實現信息共享。在電網設備將數據信息進行模擬數字化轉換中,防護系統要確保電網處于持續的高質量運行狀態,就需要電網具有一定的決策能力,并能夠針對所獲得的數據進行分析,包括數據信息的采集、運行的監督控制,以及對電網運行的規劃和相關的維護工作都需要綜合性運行數字信息完成運行、調度、檢測、優化,同時針對運行故障問題還會發出預警功能,并對運行故障以識別,對故障進行分析并相關技術處理工作。隨著各項工作的展開并協調運行,使得電力調度自動化網絡安全防護系統建立起來。
(二)電力調度自動化網絡安全防護系統的構建
從電力調度自動化網絡安全防護系統的構成情況來看,主要包括4個部分,即電力系統的主站、管理控制中心、信息資訊通道和電力系統的廠站等等。要使電力調度自動化網絡安全防護系統能夠發揮其功能性,就需要對系統進行劃分,主要包括信息采集系統、信息分析和處理的執行系統、信息傳輸系統、信息處理系統以及人機互聯系統。
電力調度自動化網絡安全防護系統在具體運行中,各個系統都發揮著各自的功能,其中,信息采集系統以及信息分析和處理的執行系統所發揮的功能并不局限于數據信息的采集、分析和處理,還要對電力系統主站的運行情況以明確,接收到調度中心的指令之后,就開始傳遞和接收信息,根據指令執行各項操作,并管理系統運行中所產生的各種信息。
信息傳輸系統,就是要求電力調度自動化網絡安全防護系統的主體要發揮溝通功能,將各站的信息建立起聯系,進行信息傳遞,以使各項操作按照信息指令執行,實現和采集目標。
在整個的電力調度自動化網絡安全防護中,是以自動化技術為核心進行信息處理的系統,數據信息的采集、分析和運算操作都是通過操作計算機軟件來完成的,根據計算結果將控制指令出來,使得自動化控制功能得以實現。
在電力調度自動化網絡安全防護中,人機互聯系統發揮著輔的作用,系統運行中,統籌管理調度信息,并對所獲得的調度信息進行加工、匯總、綜合性分析之后,填寫相關報表,將填寫好數據信息的報表打印出來。調度管理人員根據報表上所顯示的數據信息,就可以充分掌握電網運行裝填,并調整調度管理。
四、電力調度自動化網絡安全防護系統的應用
電力調度自動化網絡安全防護系統由電力調度管理控制中心的主站設施、電力通信設施、廠站監督控制管理體系等等構成,通過操作計算機軟件對系統的程序實施管理。具體運行中,各項工作按照規范的程序進行,包括采集數據信息、對數據信息進行分析和處置、將數據信息傳輸到主站體系,同時向分站同步命令發揮有效的控制作用。
為了使電力調度自動化網絡安全防護系統的管理性能充分地發揮出來,就要在進行系統設計的時候采用以太網結構,網絡連接中,包括RJ-45插座的連接,主機工作站、網絡服務器、前置機都要連接在網絡集線器(HUB)上面。前置機設置有多口智能接口,可以根據需要將雙機切換柜與前置機連接。在前置機與MODEM連接的時候,采用一對一的相連方式,以提高電力調度自動化網絡安全防護系統的運行可靠性。
電力調度自動化網絡安全防護系統體現為系統網絡實現,而且運行中,FDDI、EtherNet、ATM都可以使用,網絡運行具有形式多樣性。此外,電力調度自動化網絡安全防護系統還實現了組合式運行方式,包括高速網速和低速網速的組合、單網和多網的組合等等。電力調度自動化網絡安全防護系統的網絡接口設計為通用接口,可以與其他系統的標準接口連接。網絡運行中,網絡冗余熱備份可以使得正負兩個網絡通道交替使用,即如果一個網絡通道出現故障而需要停止運行,或者強制性停止運行,另一個備份網絡通道就可以啟用,由此而保證了數據信息有效傳輸,而不會由于通道故障問題而影響到系統正常運行。電力調度自動化網絡安全防護系統所發揮的主要功能是自動化調度功能,不僅使得上下機調度網絡化展開,而且在數據傳輸的過程中,還能夠發揮遠程調試功能。
【關鍵詞】醫院;網絡安全;防護
1引言
隨著全球信息化時代的到來,醫院也進入了信息化發展的快車道。醫院各種應用系統借助網絡技術與計算機技術正快速整合,成為一個有機的整體。醫院信息化快速發展的同時,也帶來醫院網絡安全問題,如果不加強網絡安全防護,不僅會導致醫院信息化網絡體系的癱瘓,影響醫院整體運行效率,也容易導致醫院信息的泄露,對醫院造成不可挽回的影響。新時期,醫院網絡安全問題成為醫院信息化發展過程中一個突出問題。
2醫院網絡安全防護的隱患
醫院網絡安全隱患是客觀存在的,本文擬從硬件、制度、物理、技術等層面,分析醫院網絡安全防護存在的安全隱患。
2.1硬件安全隱患
硬件是醫院網絡得以運行的物質基礎,也是網絡安全防護的重點。目前不少醫院缺乏網絡安全意識,不重視硬件安全管理,醫院中心機房沒有實行專人管理,缺乏必要的安全防護措施,內網與外網不能實現專網專用,容易造成硬件層面的計算機非法植入,給醫院網絡安全帶來隱患。
2.2安全制度隱患
醫院網絡的運行效率與安全運行離不開制度作為保障,目前不少醫院基于網絡安全的制度缺失或者不健全,沒有全方面地落實網絡安全責任制度。不少醫院制定的制度具有隨意性,大多借鑒其他醫院的制度,不能結合本院網絡安全實際,制度缺乏針對性與約束力,難以發揮制度的強制約束力。
2.3物理安全隱患
物理安全是醫院網絡安全防護的重點,物理層面的網絡安全存在的隱患未能引起醫院的足夠重視。不少醫院沒有針對自然災害可能造成的物理安全采取有效的應對方案,對于醫院計算機可能遭受的外來攻擊缺乏足夠的認識,一旦遭遇物理層面的安全問題時,不能采取有效措施及時補救。
2.4技術安全隱患
信息技術發展速度較快,技術更新頻率出人意料。不少醫院在技術安全上思想比較滯后,往往存在一勞永逸的思想,一段時期采取了安全技術,就認為高枕無憂了,對于網絡攻防技術缺乏足夠的認識,不能及時地了解最新的網絡攻擊技術,安全技術更新不及時,往往容易造成網絡安全問題。
3醫院網絡安全防護的應對
3.1優化防護策略,加強硬件安全保障
醫院要從硬件層面優化防護策略,切實加強硬件安全保障。硬件網絡安全保障的一個重點是做好中心機房安全防護,因為這里是各項信息整合、處理、存儲的中心,任何一種安全隱患都將導致醫院網絡系統處于癱瘓狀態,例如斷電、外來接入等。醫院要針對網絡硬件層面可能出現的安全問題,做好應對措施,例如針對斷電問題,可以采取電雙回路,或者無間斷切換自動化設備,實現電源的不間斷供電,確保硬件的正常運作。
3.2強化安全意識,健全網絡安全制度
醫院要進一步強化網絡安全意識,不斷健全網絡安全制度,以制度促管理效率提升。醫院網絡安全制度的制定要具有全覆蓋性,醫院網絡涉及的醫院的方方面面,包括網絡安全管理、網絡安全使用、網絡管護等,只有建立全覆蓋的網絡安全制度,才能落實責任,促進醫院網絡常態化、規范化運作;此外,醫院網絡安全制度要具有針對性,根據醫院網絡安全現狀與存在的突出問題,不斷完善網絡安全制度,例如不少醫院存在互聯網與醫療網混搭現象,只有通過完善的制度,才能確保網絡安全。
3.3規范操作使用,建立物理防護體系
醫院網絡安全防護安全問題不少是由使用操作造成的,因此醫院要基于使用操作存在的問題,強化使用者規范意識,建立物理層面的防護體系。醫院要對網絡體系中物理層面的設備進行專人管理,以確保醫院各個服務器、交換機與路由器等物理設備安全,以防非專業人員使用與操作不當造成的物理安全問題;醫院要加強醫院醫務人員使用與操作管理,禁止醫務人員在醫院網絡物理設備上使用其他軟件,將人為造成的安全問題降低到最低程度。
3.4重視技術更新,構建網絡安全堡壘
技術層面,防火墻是構建網絡安全堡壘的重要手段,防火墻能夠有效針對來自網路技術層面的攻擊。防火墻技術要發揮有效作用,需要及時進行技術更新,以有效發揮數據過濾作用;此外,醫院還要從技術層面建立網絡安全監管平臺,對醫院所有聯網設備進行即時的安全監測,并實現有效管理,提升醫院網絡安全整體掌控能力。
4結語
總之,網絡安全防護是醫院信息化建設的重要任務。醫院要意識到網絡安全不是一朝一夕的事,網絡安全隱患也層出不窮。醫院要進一步強化網絡安全意識,確保醫院網絡安全,以實現醫院網絡系統常態化運行,確保醫院各項業務正常開展,提升醫院整體運行效率,更好地服務患者,服務社會。
參考文獻
[1]秦占偉,梁昌明.醫院網絡安全現狀分析與防護[J].網路安全技術與應用,2009(01):61~62.
醫院信息化建設中網絡安全存在技術因素與人為因素的干擾,需要針對各醫院實際情況做管理制度的完善健全,提升技術手段,規范管理細節措施,提升全體人員對網絡安全維護的意識與能力,從而有效的保證醫院信息化建設的高效化、安全化,有序化。
關鍵詞:
醫院;信息化建設;網絡安全;防護
醫院信息化建設不斷加快與成熟,促使整體的醫療診治水平提升,保證了診療工作的準確與效率。但是隨著信息化的普遍性,相關網絡管理工作也日益復雜,尤其是我國惡意軟件與不良網絡攻擊情況嚴重,導致醫院網絡安全管理存在較大的威脅。網絡安全是醫院信息化建設中的重要工作,是保證信息化工作開展的基本保障。
1醫院信息化建設中的常見安全隱患
1.1技術因素
醫院信息化建設中,會廣泛的涉及到服務器、客戶端、鏈路、軟件系統、存儲與網絡設備等多種構成元素。醫院信息化建設有效的提升了整體的診療水平,提高工作效率與便捷性,但是網絡安全問題也日益突出,相關信息資源的泄露或者系統攻擊都極大的威脅了信息化建設的有序開展。在安全管理中,物理性環境安全、操作系統安全、數據備份安全等都是網絡系統建設的常見安全問題。而常規性的運用防火墻以及其他防病毒操作都無法有效的保證信息化平臺的安全性,容易引發數據泄露、損壞與丟失,進而干擾了醫院正常工作運轉,甚至也對患者個人信息構成泄露,急需要通過更強的防護技術來做保障。對于部分醫院而言,會簡單的認為設置一定安全防火墻就可以保障系統的安全性,甚至認為不需要其他安全防護來做安全保障,這主要是安全防護工作中缺乏與時俱進的先進意識,認識誤區較為明顯。而防火墻只是防護手段中的一種,能夠防御性的安全問題較為局限,對網絡內部與旁路攻擊都無法達到理想的防護效果,同時針對內容攻擊的問題也無法處理。部分設備中只是對攻擊行為進行警告,但是并不具備攻擊行為的防控能力。在數據庫升級中,可以到數據庫做用戶操作登錄記錄,可以達到操作源IP地址的定位,但是缺乏無法阻止其做惡性操作,例如對數據信息做惡意的竊取與篡改,甚至無法認定操作人員最終責任,因為賬戶登錄只需要賬戶與密碼就可以進行,但是這種登錄操作任何掌握信息的人都可以進行,無法達到全面的管控。此外,安全防護措施工作量大,操作復雜。在做IP與MAC地址綁定中,需要管理人員針對每臺交換機做操作,對綁定信息做逐條的輸入,工作負荷相對更大,操作缺乏高效便捷性。其次,如果有人懂得相關網絡基礎技術,可以輕易的做到IP與MAC地址的變更,從而引發綁定操作失效。此外,醫院主機裝備了殺毒軟件,然而由于數量較多,不能有效的對每個主機做殺毒軟件的統一性管控,對于病毒庫的更新以及軟件的開啟等情況都無法做有效確定,相應的系統補丁也不能及時有效更新,進而導致安全防護效果不能確定。雖然醫院投入大量的財力與人力做好安全防護措施處理,但是實際上缺乏可執行性,同時由于各設備間缺乏關聯性,從而對于實際效果無法做有效評估與管控,安全防護措施與手段的運用則流于形式。
1.2人為因素
醫院信息化建設更多的操作需要人為進行,因此人為因素是網絡安全管理的重要因素。醫院沒有將網絡安全明確到人,缺乏責任制管理,無論是安全管理人員還是普通工作人員,缺乏足夠的安全管理意識。沒有形成規范合理的信息系統建設制度規范,導致實際操作無章可循。沒有強效的安全檢查與監督機制,同時也沒有專業的第三方機構做安全性介入管理。相關工作人員缺乏專業資質認定,對于網絡安全沒有展開合宜的宣傳教育,同時也缺乏對應工作與行為考核,導致工作人員缺乏應有的安全責任觀念。因為工作人員缺乏安全意識與專業的安全能力,會出現將個人電腦接入醫院內部網絡,從而導致病毒攜帶入網,導致相關信息化系統運行故障。或則將醫療業務網絡電腦與互聯網、外網連通,導致相關網絡中的病毒、木馬程序進入到醫院的內部網絡,導致網絡病毒蔓延。工作人員會因為有職務的便利性,會訪問醫院有關數據庫,從而得到數據資料的竊取與篡改,進而導致相關經濟損失。同時黑客會通過技術手段接入到醫院內部網絡中,進行直接性的網絡攻擊,醫院與醫保網絡系統處于連通數據驗證操作所需,如果被攻擊則容易導致嚴重后果。
2醫院信息化建設中的網絡安全防護
2.1完善管理制度
醫院網絡運行保持安全性效果的基礎在于完善健全的制度管理,可以通過對醫院實際情況的了解,設置針對性安全管理操作制度、監督制度、用人制度、激勵制度等多種內容。確保所有有關工作的開展有章可循,提升操作的標準性、可執行性。要不斷的強化制度的權威性,讓工作人員對此保持謹慎態度,避免安全疏忽。
2.2安全管理細節措施
醫院網絡管理需要多方面的細節措施來保證。例如為了保證服務器能夠可靠穩定的持續工作,需要運用雙機容錯與雙機熱備對應方案,對于關鍵性設備需要運用UPS來達到對主備機系統的有效供電,確保供電電壓持續穩定供應,同時避免突發事件。網絡架構方面,需要將主干網絡鏈路采用冗余模式,這樣如果出現部分線路故障,其余的冗余線路可以有效繼續支持整個網絡的運轉。需要運用物理隔離處理來對相關信息數據傳輸設備保持一定的安全防護,避免其他非專業人員或者惡意破壞人員對設備進行破壞,需要做好業務內網與外網連通的隔離,避免網絡混合后導致的攻擊影響或者信息泄露。對于醫院內部的信息內容,需要做好數據與系統信息的備份容災體系構建,這樣可以有效的在機房失火或者系統運行受到破壞時快速的恢復系統運行。要展開網絡系統的權限設置,避免違規越權操作導致系統信息數據的修改有著竊取,要做好數據庫審計日志,對于相關數據做動態性的跟蹤觀察與預警。
2.3技術手段升級
在網絡安全防護措施上需要保持多樣化與多層次的防護管理,積極主動的尋找管理漏洞,有效及時的修補管理不足。對網絡設備做好殺毒軟件的有效管控,建立內外網間的防火墻,限制網絡訪問權限,做好網絡攻擊預警與防護處理。對于網絡系統各操作做有效記錄跟蹤,最安全漏洞做到及時發現并修復。要投入足夠人力與財力,優化工作人員技術水平,從而有效的保證技術手段的專業完善性。
結束語
醫院信息化建設中網絡安全需要醫院所有人員的配合,提升安全意識,規范安全管理制度與行為,確保網絡安全的有序進行。
作者:梁子 單位:廣州市番禺區中心醫院
參考文獻
[1]李騫.醫院信息化建設中的網絡安全與防護措施探析[J].網絡安全技術與應用,2015(9):43,45.
關鍵詞:民航企業;信息化建設;信息安全技術
0引言
互聯網時代的到來,信息技術與網絡技術已然成為人們生產生活的重要技術支撐,在民航領域中,信息化建設的進程也得以高效發展。與此同時,民航企業信息系統的安全隱患及安全防護問題也逐漸暴露,成為信息化建設過程中亟須應對與解決的問題。
1網絡信息安全制度的建設
1.1建設網絡信息安全制度
據調查,民航信息系統安全事件的發生,問題的主要成因在于未充分明確相關責任以確保網絡信息安全管理工作的全面落實。基于此,民航企業需要充分結合自身的是情況,對網絡信息安全管理責任制的健全及完善,充分明確人員相關責任,促進民航信息化建設水平的提升,促進民航的健康發展。民航企業應當搭建內部網絡信息安全規范體系,以之為基礎開展企業網絡信息安全管理及部署工作,確保民航信息安全水平的有效提升。民航企業應當時刻緊隨時展步伐,對網絡信息安全保障體系加以完善,建立網絡信息安全防范體系,采取合理的等級保護與分級保護措施,維護網絡信息安全。民航企業應當將網絡信息安全作為信息化建設的發展方向,積極配合并響應國防部、網絡安全部門、公安機關等行政機關部門的規定與要求,實時更新并優化安全防護措施,實現網絡安全整體覆蓋范圍的擴大。
1.2細分網絡安全保障體系
對于民航企業而言,其信息網絡安全保障體系的建設,主要包括三個方面,即信息網絡安全技術體系、信息網絡安全管理體系及信息網絡安全運行維護體系。這三個安全防護體系是相互依存與相互促進的。信息網絡安全管理體系的搭建,應當作為信息安全技術體系保障的重要方向,技術體系也是保障信息網絡安全的技術設施與基礎服務的重要支持。信息網絡安全管理體系的建設也要求網絡信息安全技術應用水平不斷提升。民航企業的網絡信息安全體系的建設,可以充分參考美國國家安全局所提出的IATF框架的網絡安全縱深戰略防御理念、美國ISS公司所提出的P2DR動態網絡安全模型等相應信息網絡安全防護體系,搭建“打擊、預防、管理、控制”于一體的網絡通信安全綜合防護體系理念,是當前國際上最為先進、最為有效的安全保障框架體系,對重要體系采取有效的安全防護措施,搭建民航企業的信息安全防護與控制中心,實現對于信息網絡體系的安全監控、安全終端、安全平臺、主機安全、數據安全、應用安全相互結合、相互統一的信息安全平臺建設,信息安全防護應當涵蓋物理層面、終端層面、網絡層面、主機層面、數據層面及應用層面,保證安全防護的全面性及全方位性[1]。
1.3發展民航網絡信息安全產業
隨著時代的發展,民航企業開始更多地強調民航網絡信息安全事業的發展。在開展民航企業網絡信息安全產業建設時,應及時跟蹤和了解國際網絡信息安全產業發展動向,了解信息安全防護技術水平的提升渠道,積極謀求與其他發達國家之間的技術合作,大力引進先進的管理技術與管理手段,大力培養并教育網絡信息安全技術人才。民航企業要大力引進技術水平與管理理念較為先進的人才,并對所引進的人才采用科學合理的技術培訓與安全教育措施,不斷增強相關人員對于網絡信息安全防護的意識與理解能力,安全理念先進、技術水平高超、應急處置及時的網絡信息安全管理人才隊伍。民航企業要搭建科學完善的網絡信息安全管理體系,充分保證信息網絡安全組織、網絡信息安全流程、網絡信息安全制度相互結合,搭建科學合理的安全管理體系。
2民航信息安全保障體系的建設
2.1國家信息系統安全等級保護
以ISO27001信息安全管理要求為基礎,結合國家信息系統安全等級防護管理方面,對信息系統安全防護安全管理基本要求加以明確,開展民航企業網絡安全防護及管理體系的建設工作。網絡信息安全管理體系的設計,應當涵蓋安全組織架構、安全管理人員、安全防護制度及安全管理流程等多個方面,結合自身實際需求,設計科學合理的網絡信息安全管理體系等。對于網絡系統安全組織架構的建設與完善,組建涵蓋安全管理、安全決策、安全監督及安全執行等層次的管理架構,設置相應職責崗位,對安全管理責任進行分解與落實,做好人員錄用、人員調動、人員考核及人員培訓等相關方面的人員管理工作。民航企業在制定安全管理制度時,應建立網絡信息安全目標、安全策略、安全管理制度及安全防護技術規范等多個層次,搭建安全管理制度體系。在建立安全管理流程方面,通過建立科學合理的組織內部安全監督檢查與優化體系,保證網絡信息安全管理工作的順利開展。將內部人員與第三方訪問人員、系統建設、系統運維、物理環境的日常管理規范化,將日常的變更管理、問題管理、事件管理、配置管理、管理等電子化、流程化與標準化[2]。
2.2合理運用先進安全防護技術
2.2.1入侵檢測技術
目前,對信息安全防護技術手段研發與應用也愈發普遍,其中入侵檢測技術的應用可以取得較好的技術效果。入侵檢測技術的應用主要是通過對網絡行為、網絡安全日志、網絡安全審計信息等技術手段,有效檢測網絡系統非法入侵行為,判斷網絡入侵企圖,通過網絡入侵檢測以實現網絡安全的實時監控,有效避免網絡非法攻擊的可能。通過應用入侵檢測技術,民航企業可以構建入侵檢測系統,能夠對系統內部、外部的非授權行為進行同步檢測,及時發現和處理網絡信息系統中的未授權和異常現象,盡可能減少網絡入侵所造成的損耗與安全威脅。為此,可采取NetEye入侵檢測系統,該系統通過深度分析技術,實現對于網絡環境的全過程監控,及時了解、分析并明確網絡內部安全隱患及外部入侵風險,作出安全示警,及時響應并采取有效的安全防范技術,實現網絡安全防護層次進行有效延伸。同時,該入侵檢測系統具備較為強悍的網絡信息審計功能,就可以實時監控、記錄、審計并就重演網絡安全運行及使用情況,用戶能夠更好地了解網絡運行情況。
2.2.2文件加密技術
對稱加密技術是常見的文件加密技術之一,所采用的密鑰能夠用以加密與解密,在技術應用時,以塊為單位進行數據加密。這一方法在實際應用過程中,一次能夠加密一個數據塊。對對稱加密技術的優化與改進,主要可采用密碼塊鏈的模式加以實現,即通過私鑰及初始化向量進行文件加密[3]。如上所述,隨著網絡信息安全受到更多重視,民航企業信息化建設水平在進一步提升其網絡建設水平的同時,也更多地意識到網絡信息安全的重要性與必要性,不僅需要構建行業信息安全防御體系,還應當建立健全網絡信息安全制度,構建網絡安全防護人才團隊。在此基礎上,民航企業還可以充分利用文件加密和數字簽名技術,通過該技術,可以合理避免相關數據信息受到竊取、篡改或遭到損壞而導致網絡信息安全受到影響。文件加密和數字簽名技術應用過程中,可以更好地對網絡信息安全提供保證、維護相關信息數據的安全性。
【關鍵詞】網絡工程;安全防護;主要技術
網絡傳播需要具有完整性和嚴密性,但是也避免不了大量的漏洞。網絡設計問題和操作問題都會給網絡安全帶來影響。我國計算機發展迅速,計算機涉及的領域也不斷的增多。面對安全隱患,應采取必要的措施,防火墻技術、括密碼技術以及各類殺毒技術都是網絡安全方式的重要手段,我們對其進行必要的分析。
一、計算機網絡安全問題
1、計算機自身設計問題
計算機信息具有共享性,在計算機發展過程中,人們通過計算機完成了一系列的活動。但是計算機的設計存在一定的漏洞,如當下流行的網絡支付功能過程中,一些非正規的網絡就會存在安全風險。人們在使用各種購物軟件購物的過程中,也需要留個人信息,很難避免丟失和通過連接破壞個人電腦,盜取個人錢財。計算機的自由性、開放性決定了其強大的功能,但是技術的更新始終落后于多樣化的需求,在這一過程中,病毒的變化速度極快,導致計算機數據庫的更新速度手段影響,安全威脅巨大。
2、網絡黑客攻擊
計算機通常運行在復雜的環境中,黑客攻擊是復雜網絡環境中的一種。黑客技術對網絡的影響巨大,黑客可以通過一些技術手段獲得用戶信息,了解客戶狀態,并且盜取用戶的錢財。黑客在進行網絡攻擊時,一般分為兩類,一類是具有強大破壞性的,一種是非破壞性的。前者主要是為了獲取用戶信息,后者主要是為了破壞電腦的正常運行。日常生活中,非破壞性的黑客攻擊大量存在,事實上,這類網絡攻擊帶來的很可能是計算機系統癱瘓,甚至是無法修復,因此防止網絡黑客攻擊十分必要。
3、垃圾軟件泛濫
我國計算機技術已經十分發達,可以為用戶提供娛樂、購物游戲等功能,十分方便。但是計算機在設計過程中,漏洞依然存在。為了避免計算機漏洞,應從使用者入手,加強使用者的安全防范意識,使其正確進行網絡操作。認識到網絡存在的問題,如計結構不完善,系統運行過程中硬件設施性能不足,程序設計漏洞明顯等。多樣化的計算機病毒就是這一時期的主要特征,計算機安全隱患依然存在。
二、網絡工程安全防護的主要技術
網絡安全已經成為現代社會主要問題。我國已經從法律手段進行干預,嚴厲打擊計算機網絡攻擊。并且從技術上進行優化,提高計算機安全防護技術。具體的優化過程包括以下幾個方面.
2.1提高網絡安全管理能力
阻止病毒入侵是保證計算機網絡安全運行的主要手段,而消除網絡影響因素則要通過強化計算機自身管理水平來實現,要求嚴格按照國家的規定進行操作。并且對于企業用戶而言,要建立完善的內部管理制度,將計算機管理的原則細化,規范員工的使用,確保計算機的安全。另外,對網絡運行安全而言,包括不同的等級,并且特點不同,人們對于網絡安全意識差是造成這一問題的重要原因,因此要注重個人安全防護能力和防護意識的提高。還要對計算機攻擊進行定位,采用行政、刑事手段強勢干預計算機攻擊,嚴懲不貸。
2.2加強網絡防范,關注并去除安全隱患
計算機發展迅速,技術更新快,應用領域廣泛。但是計算機病毒也在這一過程中能夠快速發展。當下,計算機植入病毒已經給人們的生活帶來了極大的麻煩。包括財產和名譽上的措施,此種現象屢禁不止。只能從自我防護能力上入手,進一步優化防火墻技術、計算機殺毒技術,保證其運行環境安全、穩定。及時修復計算機漏洞,不給不法分子入侵機會。設計人員和開發人員還應掌握具體的網絡安全防護知識,系統操作規則和數據庫運行特征等,加深對計算機數據庫的分析,及時發現計算機的潛在風險并進行修補。采用合理的補救措施來降低網絡風險,提高網絡的安全性能。目前,網絡安全隱患的修復方法主要用防火墻、360、瑞星和等。另外,秘鑰設置也是當下主要安全防護方式之一。
2.3杜絕垃圾郵件
計算機病毒通常是一些垃圾郵件作為連接,因此對計算機網絡的信息鑒別十分重要,要求使用者拒絕接收網絡郵件。但是現代社會,垃圾郵件的形式越來越多,使用者必須要積極應對,才能正確區分垃圾軟件與信息。同時要保護郵箱地址,不要輕易泄露郵箱密碼。總之,只有采取必要的手段,加強防護意識才能確保網絡運行的安全。總結:網絡的發展是現代技術的產物,網絡的強大功能為人們提供了豐富的資源和服務。加強計算機安全防范不僅是保護個人信息和財產的需求,也是我國綜合國力的一種象征。因此,要嚴厲打擊網絡攻擊。加強安全防護能力,并且要求網絡操作者具有防范意識,正確使用網絡,杜絕垃圾網頁和垃圾郵件,確保網絡運行安全。總之,網絡通信的安全從從管理上和技術上入手,全面的確保網絡通信的安全,發揮其在各個領域的強大功能。
參考文獻
[1]耿筠.計算機應用中的網絡安全防范對策探索[J].電腦迷,2014(1).
【關鍵詞】任務驅動 虛擬技術 高職
高職的專業建設是學校的基礎與核心,專業建設與教學改革的好壞,直接影響到培養出的學生的素質與能力,對學校的聲譽與發展有著深遠的影響。加強專業的特色建設、深化教學改革,是提高人才培養質量的切入點與途徑。
一、專業人才培養特色建設
(一)培養目標
計算機網絡技術專業(安全防護方向)的培養目標是培養具有良好的職業素養,既掌握基礎網絡安全理論,又熟練掌握現代計算機網絡攻擊與防護技術,具有從事計算機網絡工程的施工,設備和服務器的安裝運行、維護與安全防護,設備和服務器的售前售后服務,動態網站、數據庫及企業郵件系統的組建運營、維護與安全防護,安全防護工具軟件的綜合運用,網絡安全解決方案的設計與實施等崗位所需的高技能人才。
(二)畢業生職業崗位群
計算機網絡技術專業(安全防護方向)立足本地經濟,就業范圍廣。畢業生主要面向網絡設備、安全設備、服務器的安裝調試、運營維護與安全防護,動態網站、網絡數據庫、企業郵件系統的搭建、運營維護與安全防護,安防工具軟件的設計制作與運用,個人用戶、網吧、網站、企事業單位網絡安全解決方案的設計與實施等領域。主要的職業崗位群是系統維護員、產品銷售及售后服務員、網絡管理員、網站管理員、數據庫管理員、電子郵件管理員、網絡安全程序員、網絡工程師、網絡安全工程師、系統集成工程師等。
(三)專業課程階段劃分
計算機網絡技術專業(安全防護方向)課程體系的構建以工作過程為導向,職業綜合能力培養為中心,根據職業養成規律,由企業實際工作提煉出典型的工作任務,由淺入深安排建立的。
學制為三年,第一年打好職業基礎,使其能實現小型簡單網絡的組建與安全管理,具備熟練的技能,具有相關職業素養和自學能力;第二年主要提高學生的專業核心能力與綜合能力,使其能夠建設維護中型局域網并實施安全防護,同時適當參與社會實踐。達到熟悉完整的企業網絡建設和管理的工作過程,具有團隊溝通與協作能力。能夠規劃和完成一般中型企業的網絡建設和安全維護;第三年通過頂崗實習和畢業設計培養學生的社會適應力和創新能力。
(四)行業認證
網絡技術專業(安全防護方向)把行業認證列入課程體系中。學生通過考試可獲取信息產業部和勞動保障部網絡管理員、網絡安全工程師等職業資格證書, 思科、微軟、H3C、D-LINK等公司的工程師認證證書。
(五)以賽促學、以賽促教
競賽可以激發學生的斗志和潛能,提高教師的教學能力。組織和鼓勵學生參加各級各類的比賽,通過部分發揮好的學生在競賽中獲獎,可以起到以點帶面的作用,激勵更多的學生投入學習未知的狀態,全面提高學生的綜合素質。同時,指導學生參賽,也可促使教師勤于思考,提高專業水平和教學能力。通過在各級各類比賽中獲獎,也可提高學校聲譽。
二、教學改革
(一)采用以項目為導向、以任務為驅動的教學法
早在2000年,教育部就明確了高職教育“高層次、職業性和應用型”的人才培養特征。國家中長期教育改革和發展規劃綱要(2010-2020)指出,職業教育要把提高質量作為重點。以服務為宗旨,以就業為導向,推進教育教學改革。計算機及網絡發展迅速,而傳統教學方法無法培養出自學能力及知識結構等方面符合社會需求的人才,需要探索新的教學方法。
項目教學、任務驅動教學順應了時代的需求,得到越來越廣泛的應用,但也存在一些問題,需要在教學改革中加以注意。如:教學聯系現實不夠,教學資源與現實脫節,知識陳舊;教學缺少深度;忽視學生自主學習能力的培養;教師的作用得不到體現;重實踐,輕理論;重知識技能、輕人格素養等,在教學實施中都應加以注意。
(二)加強虛擬技術在教學中的運用
教高[2006]16號文和教職成[2011]12號文都明確提出了利用虛擬技術進行虛擬實驗和虛擬生產的教學改革建議。網絡專業(安全防護方向)實驗環境的搭建存在一定的困難。一是硬件設備不夠,二是部分網絡安全實驗具有破壞性,導致很多實驗僅限于紙上談兵,學生無法親自動手實踐,無法加深理解和進一步探究,不利于學生創造力的激發。
虛擬技術的出現,使這些問題迎刃而解。本來復雜的硬件環境,可僅用一臺真機模擬出來,解決了缺少設備及設備不足的問題,而且也把課堂帶回了學生宿舍,學生在課余利用自己的電腦,就能搭建環境進行實驗和研究,給好學的學生提供了一個想學就能學的環境,并引起群體效應,帶動其他學生跟著一起學習探究。同時,還解決了部分網絡安全實驗因其破壞性而無法進行的困境。虛擬機搭建出的虛擬環境,允許被無情的破壞,因為虛擬機還具備快照功能,因此,當虛擬環境遭到破壞后,可以快速轉到被破壞前的狀態,對真實設備毫無損害,同時又滿足了實驗環境被多次、多個班級利用的,實現了資源共享,利用率的最大化。
總之,專業建設與教學改革是一項系統工程,需要院系的支持和教研室教師的共同努力。同時,還應加強專業建設與教改的質量評估,找到不足,及時完善,為社會培養出更多更好的畢業生。
【參考文獻】
關鍵詞:安全域 邊界整合 數據業務系統 安全防護
中圖分類號:TP309.2 文獻標識碼:A 文章編號:1007-9416(2013)08-0180-02
0 引言
隨著數據業務快速發展,信息化程度不斷提高,國民經濟對信息系統的依賴不斷增強,迫切需要數據業務系統在網絡層面建立清晰的組網結構。同時,根據國家安全等級保護的要求,需要不斷細化各業務系統的安全防護要求,落實更多的數據業務等級保護問題。針對數據業務系統規模龐大、組網復雜的現狀,以及向云計算演進的特點,按照等級保護和集中化的要求,需要對運營商數據業務系統進行安全域的劃分和邊界整合,明確數據業務系統組網結構。在此基礎上,進一步提出了數據業務系統安全防護策略,促進數據業務系統防護水平和安全維護專業化水平的整體提高。
1 數據業務系統網絡安全面臨的威脅
隨著全球信息化和網絡技術的迅猛發展,網絡安全問題日益嚴峻,黑客攻擊日益猖獗,尤其是以下幾個方面的問題引起了人們的廣泛關注,給電信信息化安全帶來了新的挑戰。
(1)黑客攻擊是竊取網站集中存儲信息的重要手段,通過獲取用戶口令,尋找出網絡缺陷漏洞,從而獲取用戶權限,達到控制主機系統的目的,導致用戶重要信息被竊取。
(2)隨著移動互聯網智能終端的快速發展,3G和wifi網絡的大量普及,惡意程序成為黑客攻擊智能終端的一個重要手段,針對智能終端的攻擊不斷增加,最終將導致重要資源和財產的嚴重損失。
(3)隨著電子商務的普及,人們現已逐步習慣通過支付寶、網上銀行或者第三方交易平臺進行交易,黑客將對金融機構中的信息實施更加專業化和復雜化的惡意攻擊。
(4)自韓國爆發大規模黑客入侵事件以來,APT(Advanced Persistent Threat)攻擊更加盛行,主要典型特征包括魚叉式釣魚郵件、水坑攻擊與自我毀滅等,由于APT攻擊具有極強的隱蔽能力和針對性,同時網絡風險與日劇增,傳統的安全防護系統很難抵御黑客的入侵,這就需要企業和運營商全方位提升防護能力。
(5)隨著云計算大規模的應用,作為一種新型的計算模式,對系統中的安全運營體系和管理提出了新的挑戰,虛擬化軟件存在的安全漏洞需要更加全面地進行安全加固,建立一套完整的安全體制。
2 數據業務系統安全域劃分與邊界整合
2.1 安全域劃分的目的
安全域是指在同一系統內根據業務性質、使用主體、安全目標和策略等元素的不同來劃分的網絡邏輯區域,同一區域有相同的安全保護需求、安全訪問控制和邊界控制策略,網絡內部有較高的互信關系。
安全域劃分的目的是清晰網絡層次及邊界,對網絡進行分區、分等級防護,根據縱深防護原則,構建整體網絡的防護體系,抵御網絡威脅,保證系統的順暢運行及業務安全。通過安全域的劃分,可以有利于如下四方面:
(1)降低網絡風險:根據安全域的劃分及邊界整合,明確各安全域邊界的災難抑制點,實施縱深防護策略,控制網絡的安全風險,保護網絡安全。
(2)更易部署新業務:通過安全域劃分,明確網絡組網層次,對網絡的安全規劃、設計、入網和驗收總做進行指導。需要擴展新的業務時,根據新業務的屬性及安全防護要求,部署在相應的安全域內。
(3)IT內控的實效性增強:通過安全域的劃分,明確各安全域面臨的威脅,確定其防護等級和防護策略。另外,安全域劃分可以指導安全策略的制定和實施,由于同一安全域的防護要求相同,更有利于提高安全設備的利用率,避免重復投資。
(4)有利于安全檢查和評估:通過安全域劃分,在每個安全域部署各自的防護策略,構建整體防護策略體系,方便運維階段進行全局風險監控,提供檢查審核依據。
2.2 安全域劃分
根據安全域的定義,分析數據業務系統面臨的威脅,確定威脅的類型及不同業務的安全保護等級,通常將數據業務系統劃分為四類主要的安全域:核心生產區、內部互聯接口區、互聯網接口區和核心交換區。
(1)核心生產區:本區域由各業務的應用服務器、數據庫及存儲設備組成,與數據業務系統核心交換區直接互聯,外部網絡不能與該區域直接互聯,也不能通過互聯網直接訪問核心生產區的設備。
(2)內部互聯接口區:本區域由連接內部系統的互聯基礎設施構成,主要放置企業內部網絡,如IP專網等連接,及相關網絡設備,具體包括與支撐系統、其它業務系統或可信任的第三方互聯的設備,如網管采集設備。
(3)核心交換區:負責連接核心生產區、互聯網接口區和內部互聯接口區等安全域。
(4)互聯網接口區:和互聯網直接連接,具有實現互聯網與安全域內部區域數據的轉接作用,主要放置互聯網直接訪問的設備(業務系統門戶)。
2.3 邊界整合
目前,對于以省為單位,數據業務機房一般是集中建設的,通常建設一個到兩個數據業務機房。進行數據業務系統邊界整合前,首先要確定邊界整合的范圍:至少以相同物理位置的數據業務系統為基本單位設置集中防護節點,對節點內系統進行整體安全域劃分和邊界整合。若物理位置不同,但具備傳輸條件的情況下,可以進一步整合不同集中防護節點的互聯網出口。
對節點內系統邊界整合的基本方法是將各系統的相同類型安全域整合形成大的安全域,集中設置和防護互聯網出口和內部互聯出口,集中部署各系統共享的安全防護手段,并通過縱深防護的部署方式,提高數據業務系統的安全防護水平,實現網絡與信息安全工作“同步規劃、同步建設、同步運行”。
通常數據業務系統邊界整合有兩種方式:集中防護節點內部的邊界整合和跨節點整合互聯網傳輸接口。
(1)集中防護節點內部的邊界整合
根據數據業務系統邊界整合的基本原則,物理位置相同的數據業務系統通常設置一個集中防護節點。在集中防護節點內部,根據安全域最大化原則,通過部署核心交換設備連接不同系統的相同類型子安全域,整合形成大的安全域,集中設置內部互聯出口和互聯網出口。整合后的外部網絡、各安全域及其內部的安全子域之間滿足域間互聯安全要求,整個節點共享入侵檢測、防火墻等安全防護手段,實現集中防護。
(2)跨節點整合互聯網傳輸接口
在具備傳輸條件的前提下,將現有集中防護節點的互聯網出口整合至互備的一個或幾個接口,多個集中防護節點共享一個互聯網傳輸出口。通過核心路由器連接位置不同的集中防護節點,并將網絡中的流量路由到整合后的接口。各節點可以保留自己的互聯網接口區,或者進一步將互聯網接口區集中到整合后的接口位置。
在安全域劃分及邊界整合中,根據安全域最大化原則,多個安全子域會被整合在一個大的安全域內。同時,根據域間互聯安全要求和最小化策略,這些安全子域之間不能隨意互聯,必須在邊界實施訪問控制策略。
3 數據業務系統的安全防護策略
3.1 安全域邊界的保護原則
(1)集中防護原則:以安全域劃分和邊界整合為基礎,集中部署防火墻、入侵檢測、異常流量檢測和過濾等基礎安全技術防護手段,多個安全域或子域共享手段提供的防護;
(2)分等級防護原則:根據《信息系統安全保護等級定級指南》和《信息系統等級保護安全設計技術要求》的指導,確定數據業務業務系統邊界的安全等級,并部署相對應的安全技術手段。對于各安全域邊界的安全防護應按照最高安全等級進行防護;
(3)縱深防護原則:通過安全域劃分,在外部網絡和核心生產區之間存在多層安全防護邊界。由于安全域的不同,其面臨的安全風險也不同,為了實現對關鍵設備或系統更高等級防護,這就需要根據各邊界面臨的安全風險部署不同的安全技術及策略。
3.2 安全技術防護部署
對于數據網絡,一般安全防護手段有防火墻、防病毒系統、入侵檢測、異常流量檢測和過濾、網絡安全管控平臺(包含綜合維護接入、賬號口令管理和日志審計模塊)等5類通用的基礎安全技術。下面以數據業務系統安全域劃分和邊界整合為基礎,進行安全技術手段的部署。
(1)防火墻部署:防火墻是可以防止網絡中病毒蔓延到局域網的一種防護安全機制,但只限制于外部網絡,因此防火墻必須部署在互聯網接口區和互聯網的邊界。同時,對于重要系統的核心生產區要構成雙重防火墻防護,需要在核心交換區部署防火墻設備。由于安全域內部互聯風險較低,可以復用核心交換區的防火墻對內部互聯接口區進行防護,減少防火墻數量,提高集中防護程度。
(2)入侵檢測設備的部署:入侵檢測主要通過入侵檢測探頭發現網絡的入侵行為,能夠及時對入侵行為采取相應的措施。入侵檢測系統中央服務器集中部署在網管網中,并控制部署在內部互聯接口區和互聯網接口區之間的入侵檢測探頭,及時發現入侵事件。同時安全防護要求較高的情況下,將入侵檢測探頭部署在核心交換區,通過網絡數據包的分析和判斷,實現各安全子域間的訪問控制。
(3)防病毒系統的部署:防病毒系統采用分級部署,對安全域內各運行Windows操作系統的設備必須安裝防病毒客戶端,在內部互聯接口子域的內部安全服務區中部署二級防病毒控制服務器,負責節點內的防病毒客戶端。二級服務器由部署在網管網中的防病毒管理中心基于策略實施集中統一管理。
(4)異常流量的檢測和過濾:為了防御互聯網病毒、網絡攻擊等引起網絡流量異常,將異常流量檢測和過濾設備部署在節點互聯網接口子域的互聯網邊界防火墻的外側,便于安全管理人員排查網絡異常、維護網絡正常運轉、保證網絡安全。
(5)網絡安全管控平臺:網絡安全管控平臺前置機接受部署在數據業務系統網管網內的安全管控平臺核心服務器控制,部署在各集中防護節點的內部互聯接口區的安全服務子域中,實現統一運維接入控制,實現集中認證、授權、單點登錄及安全審計。
(6)運行管理維護:安全工作向來三分技術、七分管理,除了在安全域邊界部署相應的安全技術手段和策略外,日常維護人員還要注重安全管理工作。一方面,對安全域邊界提高維護質量,加強邊界監控和系統評估;另一方面,要從系統、人員進行管理,加強補丁的管理和人員安全培訓工作,提高安全意識,同時對系統及服務器賬號嚴格管理,統一分配。
4 結語
由于通信技術的快速發展, 新業務和新應用系統越來越多,主機設備數量巨大,網絡日益復雜,服務質量要求也越來越高。通過安全域的劃分,構建一個有效可靠的縱深防護體系,同時優化了數據業務系統,提高網絡運維效率,提高IT網絡安全防護等級,保證系統的順暢運行。
參考文獻
[1]魏亮.電信網絡安全威脅及其需求[J].信息網絡安全,2007.1.
關鍵詞:網絡安全;計算機網絡技術;現狀;發展
一、當前計算機網絡安全的基本現狀分析
近些年,互聯網以迅猛的發展態勢席卷社會各行業,成為推動社會變革的主要力量。通過對計算機終端和網絡的借助,實現網絡的資源共享,這對于人們的交流和信息傳遞而言都是革命性的提升[1]。然而,隨著網絡的廣泛應用,網絡安全問題也日漸突出,主要表現在網絡病毒猖獗,信息丟失、泄漏嚴重和軟硬件運行可靠性不足等方面,對網絡的深度應用造成極為嚴重的阻礙。
二、當前計算機網絡安全問題的主要表現形式
2.1用戶安全意識匱乏。計算機網絡的服務群體為廣大的網絡用戶,用戶使用網絡過程中的安全防護意識對網絡安全防護的作用極大[2]。當前的許多用戶安全意識匱乏,在用網過程中存在許多違規行為,如瀏覽陌生網絡網頁,隨意下載、接受資料等,這成為許多網絡問題的產生根源。2.2軟件管控手段不規范。經過大量的數據調查表明,當前計算機網絡存在軟件自身運行條件不足的問題,影響到了網絡運行的安全性。具體來說,首先是在軟件的實踐開發過程中,開發者不注重軟件的質量監督,導致軟件自身存在缺陷;其次是信息核查環節的嚴重缺失,導致信息存在比對失誤。上述兩方面內容導致軟件應用過程中各類安全問題不斷出現,影響軟件的正常使用,對網絡安全產生極為不利的影響。2.3硬件應用存在缺陷。硬件是網絡實現的基礎,其硬件的應用缺陷導致網絡陷入癱瘓,造成信息的丟失或失竊。具體來說,主要是硬件維護和操控問題,由于維護不當,操控不合理導致網絡硬件的運行狀況發生異常,影響網絡硬件的功能發揮,導致數據傳輸受阻。
三、應對計算機網絡安全問題的相關舉措
3.1規范上網行為。在網絡系統操作過程中禁止對陌生網頁的瀏覽,接收、下載未知來源的文件等,以此來避免不規范操作行為影響到網絡環境的安全性。同時,用戶還應定期展開病毒掃描行為,及時發現計算機中存有的隱藏病毒,并對其展開行之有效的處理,營造一個良好的網絡運行空間。3.2硬件防火墻。防火墻是介于兩個網絡之間的設備,用來控制兩個網絡之間的通信。通過防火墻的應用可以對網絡訪問等進行審查,有效抵御來自外部網絡的攻擊和病毒傳播,起到極好的防護效果。在此基礎上,應用入侵檢測系統,即IDS,能夠實現對內部網絡的有效監測,及時發現內部的非法訪問,進而采取針對性的處理措施。相對硬件防火墻而言,IDS是基于主動防御技術的更高一級應用。3.3 訪問與控制。授權控制不同用戶對信息資源的訪問權限,即哪些用戶可訪問哪些資源以及可訪問的用戶各自具有的權限。通過這種授權訪問的形式能夠實現網絡信息的限制性管理,提高了信息的防護級別和安全性,是進行網絡信息資源保護的行之有效的手段。
四、我國網絡安全技術發展的趨勢
4.1網絡安全技術產業鏈生態化轉變。當前,網絡安全技術的發展較為零散,難以形成集約化發展,不利于技術的研發和應用,該種局面在未來將得到改善,企業之間的合作將逐步增強,戰略伙伴也將成為計算機產業鏈中無法取代的重要因素。4.2網絡安全技術優化向智能化、自動化方向發展。網絡安全技術是一個長期的過程優化、網絡發展的過程。隨著技術的發展,人工智能和專家系統技術等安全防護技術逐漸成熟,其防護優勢日漸體現。具體來說,通過智能決策支持系統的引入,能增強網絡安全防護的邏輯判斷能力,提高網絡服務的質量和操作的安全性。4.3向大容量網絡發展。據專家預測,每10個月,互聯網骨干鏈路的帶寬將會翻倍。有效地處理計算機數據處理能力與社會發展的市場需求成為了當前網絡安全技術發展的核心內容。鑒于此,網絡應該有一個高速數據包轉發和處理能力,強大的VPN網絡能力和完善的質量保證機制,這成為網絡開始向大容量發展的推動力量。
結束語
總體而言,網絡安全問題是計算機網絡的發展的伴生產物,難以實現根除,且將隨著網絡技術的發展而發生形式和內容上的轉變,具有極強的危害性。因此,必須根據安全問題的表現和特點進行網絡技術的發展和應用提升,從而取得理想的網絡安全防護效果。
參考文獻
[1]賈海松.關于計算機網絡信息安全技術的探討[J].移動信息,2016(6).
1.1安全防御意識缺失
企業內部人員并沒有充分認知到網絡安全防護的重要性,安全防護意識存在很大程度的缺失。隨著數字化技術的普及,網絡辦公方式將逐步實現數字化,辦公模式網絡化將會致使企業內部人員對自動化技術產生高度依賴性。但是企業內部人員并沒有對網絡安全防護工作給予高度重視,很多企業內部的防御系統都存在陳舊老化的現象,沒有對網絡防御系統進行及時更新,網絡建設沒有足夠的資金支持,沒有針對網絡安全構建完善的防護機制;面對網絡惡意破壞,企業內部的網絡系統并不具備良好的抵抗能力,一旦遭受破壞,將會很難進行維修;企業領導者并沒針對網絡安全開設相應的管理部門,也沒有配備專業人員對網絡系統進行信息安全監管。
1.2網絡非法入侵
企業網絡系統存在較多漏洞,網絡黑客將會利用這些漏洞非法入侵企業內部網絡系統,繼而篡改企業信息資源、下載企業重要資料,致使企業內部商業機密出現損壞、丟失或是泄漏等問題,會對企業的生存與發展造成巨大的不良影響。除此之外,網絡黑客還可以利用網絡系統漏洞,冒充他人,在網絡上進行非法訪問、竊取商業機密、泄露傳輸信息、詐騙、對計算進行病毒破壞以及干擾等行為,對企業的信息化網絡工程建設造成非常大的威脅,是企業實現信息化建設的主要障礙性因素。
1.3網絡病毒
網絡病毒可以通過多種途徑對企業網絡系統進行感染與侵害,例如,文件打開、軟件下載、聊天傳輸信息以及郵寄電子郵件等。病毒可以通過及時網絡進行傳播,因此網絡病毒的感染范圍非常大,感染效率較快,對企業網絡系統具有較大的危害性。隨著計算機技術的普及,網絡技術在各個領域受到了大力推廣,為網絡病毒的傳播提供了主要途徑,并在很大程度上提高了網絡病毒的感染效率。企業內部人員在使用介質軟件或是數據時,都有可能促使企業網絡系統感染網絡病毒,致使企業網絡系統出現崩潰現象,整個網絡工程處于癱瘓狀態,導致企業網絡系統無法發揮自身的服務功能,會給企業造成嚴重的經濟損失。除此之外,網絡病毒還可以采取其他手段對企業網絡系統進行病毒感染,例如竊取用戶名、登錄密碼等。
1.4忽視內部防護
企業在構建網絡化工程時,將對外工程作為系統防護重點,高度重視安全防火墻技術,并沒有對內部防護工程的重要性形成正確的認知。安全防火墻只能提高企業網絡工程的對外防護質量,對內部防護毫無作用,如果使用企業內的計算機攻擊網絡工程的局部區域,網絡工程的局部區域將會受到嚴重破壞。現階段,內部攻擊行為也被列為企業網絡安全建設的主要障礙性因素之一,因此,企業領導者要高度重視內部防護工程建設,只有這樣,才能確保企業網絡化工程實現安全建設。根據相關調查資料顯示,現階段,我國企業網絡所遭受的安全攻擊中,內部網絡攻擊在中發生事件中占據著非常大的比例,企業內部人員對于網絡安全沒有形成良好的防范意識、網絡結構被無意泄漏、IP地址隨意更改、亂用敏感數據等都會對企業網絡系統內部防護工程造成巨大威脅。
2企業實現網絡安全建設的具體措施
2.1完善網絡安全體系
企業內部人員在構建網絡化工程前,要深入了解網絡信息的安全情況,對網絡信息的需求進行準確把握,具體分析企業內部人員的使用情況以及非法攻擊情況,繼而采取科學合理的措施,開展具有針對性的信息安全管理工作,這樣可以為網絡安全建設提供基礎保障。企業網絡化工程安全性受到影響主要體現在兩方面,分別是外部入侵、內部使用。內部使用是指企業內部工作人員沒有遵照相關規范標準進行網絡操作、信息安全防護意識存在缺失等,致使企業內部信息出現泄漏等現象;外部入侵是指網絡木馬、黑客攻擊以及網絡病毒等。這兩種方式都會對企業網絡安全建設造成巨大的不良影響,會致使企業信息丟失,危害企業的生存與發展,因此,企業內部人員應根據企業網絡化工程的實際使用情況,構建相應的安全體系,企業領導者還要針對工作人員的行為進行標準規范,避免工作人員在實際網絡應用中,出現違規操作行為,提高企業內部人員的安全防護意識,并構建軟硬件防護體系,可以有效抵抗外部入侵,從而保障企業網絡信息的安全。
2.2構建網絡安全系統
現階段,企業在網絡化工程建設過程中,主要采取兩種防護方式構建安全系統,分別是軟件防護、硬件防護。面對現階段科學技術發展對網絡安全建設提出的要求,企業內部人員在構建網絡安全系統時,應該將軟件防護與硬件防護進行有效結合,只有這樣,才能確保企業網絡工程系統實現安全化建設,提高網絡信息的安全性,促使網絡化工程的服務功能得以全面發揮。隨著企業規模的不斷擴大,企業內部人員要想全面提升企業的網絡化工程的防護能力,還要對網絡硬件的使用情況進行深入分析,繼而才能對防火墻服務器標準進行選擇,這樣可以有效提升服務器的可行性。企業內部人員要想構建良好的網絡安全系統,首先要對系統硬件設備進行深入調查,確定系統設備類型,準確把握企業內部人員的實際使用需求,繼而再對防火墻類型進行選擇。
2.3對網絡安全設置進行有效強化
首先,企業內部人員要對企業網絡系統進行充分了解,準確把握其與互聯網之間的接入方式,然后選擇適宜的軟件設備以及防火墻設備,這樣可以促使互聯網與企業網絡化工程之間實現安全接入,有效提升企業網絡工程的防護能力。對于企業原有的防火墻,不應進行拆除,應該在其基礎上構建入侵檢測系統,這樣可以對企業內部網絡工程的運行狀況進行實時檢測,如果有突況,可以進行及時反映,這樣不僅可以為企業內部人員的工作提供很大的便捷性,還能為企業網絡信息安全建設提供技術保障。為了實現移動辦公,企業內部人員可以構建一種加密系統,例如,VPN加密系統,利用該系統,企業內部人員可以通過互聯網對企業內網進行訪問,而不必擔心出現信息泄露等情況,可以有效提升企業網絡安全的防護功效。
3結語
近年來,電力企業不斷發展,特別是水電企業,改變了以往一直以來封閉式的網絡結構和業務系統,利用信息網絡逐漸跟外界接口聯系,許多企業都建立了自己的網絡系統,如企業門戶、辦公自動化系統、財務系統、營銷系統、生產管理系統等,極大提高了辦公效率,實現數據實時傳輸及共享。信息化的發展、網絡的普及,使辦公地點不緊緊局限于辦公室,遠程移動辦公成為了可能,辦公效率也大大提高,突破了時間及空間的限制,但信息化高速發展的同時也給我們帶來了嚴重的網絡安全問題。對此國家也非常關注,特意成立中央網絡安全和信息化領導小組,再次體現出過對保障網絡安全、維護國家利益、推動信息化發展的決心。由此可見,網絡安全已經到了不可小視,必須深入探討研究的地步。
2廣蓄電廠信息網絡安全建設
2.1網絡安全區域劃分
劃分安全區域是構建企業信息網絡安全的基礎,提高抗擊風險能力,提高可靠性和可維護性。廣蓄電廠內網劃分為網絡核心區、外聯接入區、IDC業務區、終端接入區。網絡核心區域是整個電廠信息網絡安全的核心,它主要負責全網信息數據的傳輸及交換、不同區域的邊界防護。這個區域一般包括核心交換機、核心路由器、防火墻及安全防護設備等。IDC業務區主要是各業務應用服務器設備所在區域,如企業門戶、OA系統、生產管理系統等各信息系統服務器。終端接入區即為終端設備(如:臺式機、筆記本電腦、打印機等)連入內網區域。
2.2二次安防體系建設
根據國家電監管委員會令第5號《電力二次系統安全防護規定》、34號《關于印發<電力二次系統安全防護總體方案>》的相關要求,電廠堅持按照二次安全防護體系原則建設:
(1)安全分區:根據安全等級的劃分,將廣蓄電廠網絡劃分為生產控制大區和管理信息大區,其中生產控制大區又劃分為實時控制Ⅰ區和非實時控制Ⅱ區。
(2)網絡專用:電力調度數據網在專用通道上使用獨立的網絡設備組網,采用SDH/PDH不同通道等方式跟調度、各電廠的生產業務相連接,在物理層面上與其他數據網及外部公共信息網安全隔離。對電廠的IP地址進行調整和統一互聯網出口,將生活區網絡和辦公網絡分離,加強對網絡的統一管理和監控。
(3)橫向隔離:在生產控制大區與管理信息大區之間部署經國家指定部門檢測認證的電力專用正反向安全隔離裝置。正向安全隔離裝置采用非網絡方式的單向數據傳輸,反向安全隔離裝置接收管理信息大區發向生產控制大區的數據,采用簽名認證、內容過濾等檢查處理,提高系統安全防護能力。
(4)縱向認證:廣蓄電廠生產控制大區與調度數據網的縱向連接進行了安全防護硬件的部署,包括縱向加密裝置、縱向防火墻等,并配置了相應的安全策略,禁用了高風險的網絡服務,實現雙向身份認證、數據加密和訪問控制。
2.3安全防護措施
(1)防火墻
在外聯接入區域同內網網絡之間設置了防火墻設備,并對防火墻制定了安全策略,對一些不安全的端口和協議進行限制。通過防火墻過濾進出網絡的數據,對內網的訪問行為進行控制和阻斷,禁止外部用戶進入內網網絡,訪問內部機器,使所有的服務器、工作站及網絡設備都在防火墻的保護下。
(2)口令加密和訪問控制
電廠對所有用戶終端采用準入控制技術,每個用戶都以實名注冊,需通過部門賬號申請獲得IP地址才能上局域網,并通過PKI系統對用戶訪問企業門戶、OA系統等業務系統進行訪問控制管理。在核心交換機中對重要業務部門劃分單獨的虛擬子網(VLAN),并使其在局域網內隔離,限制其他VLAN成員訪問,確保信息的保密安全。對電廠內部的網絡設備交換機、防火墻等,采用專機專用配置,并賦予用戶一定的訪問存取權限、口令等安全保密措施,建立嚴格的網絡安全日志和審查系統,定時對其進行審查分析,及時發現和解決網絡中發生的安全事故,有效地保護網絡安全。
(3)上網行為管理
上網行為管理設備直接串行部署在內網邊界區域,并制定了精細化的活動審計策略、應用軟件監控管理策略,監控及記錄用戶非法操作信息,實時掌握互聯網使用情況,防患于未然,通過上網行為管理設備進行互聯網網關控制。
(4)防病毒系統
在電廠的局域網內部署了Symantec防病毒系統。Symantec系統具有跨平臺的技術及強大功能,系統中心是中央管理控制臺。通過該管理控制臺集中管理運行SymantecAntiVirus企業版的服務器和客戶端;可以啟動和調度掃描,以及設置實時防護,從而建立并實施病毒防護策略,管理病毒定義文件的更新,控制活動病毒,管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。
(5)建立虛擬專網(VPN)系統
為保證網絡的安全,實現移動辦公,在核心網絡邊界區域部署了1臺VPN設備,并設置訪問條件和身份認證授權策略,如通過PKI系統進行身份認證和訪問授權后才能訪問電廠企業門戶系統、OA系統等。使用虛擬專網(VPN)系統,不僅滿足了電廠用戶遠程辦公需求,而且保證了電廠信息網絡及信息系統數據安全傳輸。
3信息網絡安全管理策略
俗話說:“三分技術,七分管理”,這在信息網絡安全管理方面也是適用的。事實上95%以上的計算機、網絡受到的攻擊事件和病毒侵害都是由于管理不善造成的。廣州蓄能水電廠作為國內一流的水力發電廠,頭頂上始終懸著一把信息網絡安全的達摩克利斯之劍。在推進信息化道路上,借鑒國內外企業對信息網絡安全管理的經驗,形成屬于自身發展的網絡安全管理策略。(1)建立完善的網絡信息安全管理制度。在信息網絡安全方面電廠成立專門的信息化安全小組,制定完善的信息安全規章制度,規范整個電廠對網絡及信息系統的使用。(2)建立完備的網絡與信息安全應急預案。電廠建立了一套應急預案體系,目的就是在發生緊急情況時,指導電廠的值班人員對突發事件及時響應并解決問題。(3)定期進行安全風險評估及加固。電廠每年進行安全風險評估分析,及時了解和掌握整個網絡的安全現狀,通過安全加固使得網絡安全系統更加健全。
4結束語
關鍵詞:調度自動化 網絡安全 二次防護
中圖分類號:TP29 文獻標識碼:A 文章編號:1007-9416(2012)09-0181-02
1、引言
電力工業是關系國計民生的重要基礎產業和公用事業,電力系統安全穩定運行和電力可靠供應直接關系到國民經濟發展和人民生命財產安全,關系到國家安全和社會穩定。現代電力系統生產運行高度依賴于計算機、通信和控制技術,電力監控系統、電力通信及數據網絡等電力二次系統已經成為電網運行控制不可須臾或缺的重要組成部分。
2、發電廠調度自動化系統概述
調度自動化系統是在對全系統運行信息進行采集分析的科學基礎上,運用現代自動化技術和可靠的通信系統,由計算機監控作出綜觀全局的明智判斷和控制決策。包括遠動裝置和調度主站系統,是用來監控整個電網運行狀態的。調度自動化系統是電網調度和電網運行管理必不可少的技術手段,是電力系統重要基礎設施之一,關系到電網安全穩定運行。發電廠調度自動化系統作為電力監控系統的重要組成部分,其安全問題一直受到國家有關部門的重點關注。
3、電力二次系統安全防護工作開展情況
2002年,原國家經貿委第30號令《電網和電廠計算機監控系統及調度數據網絡安全防護規定》,提出了電網和電廠計算機監控系統及調度數據網絡安全防護的基本原則,即“電力系統中,安全等級較高的系統不受安全等級較低系統的影響”,明確要求要實現兩個隔離:電力監控系統與辦公自動化系統或其他信息系統之間以網絡方式互聯時,必須采用經國家有關部門認證的專用、可靠的安全隔離設施;電力調度數據網應在物理層面上與公用信息網絡安全隔離。電監會成立以后,在充分總結以往工作的基礎上,明確提出了“安全分區、網絡專用、橫向隔離、縱向認證”的二次系統安全防護總體策略,使電力行業二次系統安全防護工作進入了實質建設階段。
2005年以來,電力行業按照《電力二次系統安全防護規定》(電監會5號令)及相關配套文件要求,從規章制度、組織體系、資金保障、人員管理及分區防御、網絡安全、數據防護等方面開展了一系列富有成效的工作,初步建立了覆蓋全行業的二次系統安全防護體系,防護能力顯著提高。隨著網絡安全威脅的日趨嚴重和升級,二次系統安全防護工作所面臨的安全形勢更加嚴峻。
4、調度自動化系統二次防護的主要策略
電力二次系統安全防護方案根據電力系統的特點及各相關業務系統的重要程序、數據流程、目前狀況和安全要求,將整個電力二次系統分為四個安全區:Ⅰ實時控制區、Ⅱ非控制生產區、Ⅲ生產管理區、Ⅲ管理信息區。
4.1 理順關系,合理整合接入業務
(1)調度自動化系統的橫向業務包括:第一、與辦公區域的生產管理信息系統(MIS)的接口。傳統的訪問方式是通過通信網關或WEB服務器實現數據的通信。若想達到橫向安全防護的目標,位于安全區Ⅱ的通信網關或WEB服務器與位于安全區Ⅲ的MIS系統之間必須采用經有關部門認定核準的專用隔離裝置,使MIS系統的用戶終端僅可以通過專用隔離裝置瀏覽WEB服務器上的調度自動化信息,禁止其MIS系統向調度自動化系統發出數據請求。第二、與電能量計量系統、競價上網系統的接口。為使這些位于安全區Ⅱ的系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間增加硬件防火墻。
(2)調度自動化系統的縱向業務包括:第一、專線通道。通過專線通道和特定的通信協議實現廠站RTU裝置與調度主站EMS系統間的通信。這類接口暫不考慮安全問題。第二、網絡通信接口。通過通信網關實現廠站與調度主站間的通信。為確保處理安全區Ⅰ的各系統能夠安全可靠地實現數據業務的傳輸,就要求調度自動化系統與這些系統之間加設縱向加密認證裝置,再經電力通信數據網絡(SPTnet)進行通信。第三、遠程維護接口。系統維護人員或開發商可以通過撥號方式進行系統維護和故障處理。應加強口令的嚴格管理,在未采取安全防護措施前,不得開通通過撥號服務器接人遠程局域網的服務。
4.2 分區隔離,實施安全防護和加密認證
(1)縱向加密認證:在縱向傳輸防護方面,發電廠調度自動化系統依據傳輸業務的實時性和重要性進行分類傳輸保護。遠動裝置RTU采集數據、脫硫數據、同步相量采集裝置PMU采集數據、電壓自動控制系統AVC采集數據作為Ⅰ實時控制區數據直接接入區內專用交換機,并通過縱向認證裝置接入路由器。電量信息、保護信息子站數據等作為Ⅱ非控制生產區數據業務直接接入區內專用交換機,經防火墻連接至路由器。
各業務系統均直接通過專用交換機實現與上級調度部門的相應業務實現對口通信。為實現對不同安全區域的業務隔離,調度數據網通過縱向認證裝置和防火墻實現對Ⅰ區和Ⅱ區的安全隔離,兩個區域之間的業務不能通過網絡彼此通信。從而減少數據傳輸的中間環節,縮短了傳輸時間,有效地兼顧了二次系統對安全防護強度和數據傳輸實時性的要求。
工作票申請系統、報價系統作為發電廠的Ⅱ區業務接入相應的電力信息專網。以發電廠工作票申請系統為例,由于電力網調度生產信息網為電力內網,終端用戶接入網內時需要進行安全加固和安全隔離。也就是要做到內外網物理隔離,專機專用,同時增加網絡防火墻解決安全隔離的作用。每個用戶終端需要安裝上級電力調度部門簽發的電力調度系統設備數字證書,以保證電廠能及時、安全的獲取調度生產管理信息。
(2)橫向單向隔離:橫向傳輸防護方面,發電廠調度自動化系統主要是微機監測及發電負荷調度系統與安全區Ⅲ的廠信息系統之間的安全防護。一般加設橫向單向安全隔離裝置實現安全防護和隔離目的。生產區域的實時信息經過該物理隔離裝置單向傳輸給WEB服務器,且不接受來自外網的WEB服務器上任何信息和操作。辦公區域的工作站也只能通過外網的WEB服務器瀏覽生產區域的實時信息,從而有效保護內網的服務器和相關子系統設備,實現生產控制大區與管理信息大區之間的高強度的物理隔離,更好地保障電力生產監控系統的安全穩定運行。
4.3 軟件的安全防護功能
(1)分組用戶管理權限:計算機在網絡中的應用,存在兩種身份:一種是作為本地計算機,用戶可以對本地的計算機資源進行管理和使用;另一種是作為網絡中的一份子。高級的操作系統,都支持多用戶模式,可以給使用同一臺計算機的不同人員分配不同的帳戶,并在本地分配不同的權限。對于調度自動化系統所有后臺服務器,應全部實行分級用戶權限進行管理。
(2)設定高強度口令密碼:生活在信息時代的今天,在電力企業的網絡環境里,密碼顯得尤為重要。調度自動化系統所有后臺維護及操作平臺,均設有高強度口令密碼。只有擁有口令密碼的專業技術人員方能有權登錄,并進行相關安全操作。網絡管理人員應具有強烈的安全防護意識,設置以字母、數字、符號相互組合,且長度大于8位的口令密碼,并定期更換,可以有效地防止被黑客破解與攻擊,保護電力企業內部的調度自動化系統安全穩定,尤為重要。
(3)規范執行制度:調度自動化專業應有明確制度規定,定期進行系統數據異地存儲及備份。日常操作時,必須使用專用的移動存儲設備,任何人員均不得使用來歷不明的移動存儲設備。
5、結語
計算機網絡安全是電力生產安全密不可分的一部分。除了依據國家規定建立可靠的網絡安全技術構成的安全防護體系外,還必須建立健全完善的網絡安全管理制度,形成技術和管理雙管齊下的態勢,以確保網絡安全這一最終目的的逐步實現。同時,調度自動化安全防護是一個長期的、動態的工作過程。在隨著人員、技術、外界風險不斷變化發展,以及調度自動化系統應用與開發環境的不斷變化發展,安全目標與防護措施也隨之不斷發展和變化。調度自動化系統的安全管理需要及時跟進并應用新技術,定期進行風險評估、加強管理,才能保障電力行業調度安全穩定、可靠地長周期運行。
參考文獻
