新疆电力公司网络信息安全防护策略

任广飞 朱银涛 牟昱洁

新疆电力信息通信有限责任公司 新疆乌鲁木齐 830001

摘要：近年来，随着新疆电力公司SG186工程的建设和推广实施应用，信息化已经渗透到电力企业业务的各个环节，为电力企业的生产、经营、管理、科研、决策提供了极大的支持，并推动企业业务和管理不断创新，为保障电力设施和保障电力供应，服务于社会，提供了坚强的基础。通信信息技术的应用日益普及，通信信息安全问题已经成为影响电力生产安全的重要问题。而通信信息技术所具有的开放性，也对通信信息安全提出了更高的要求。

关键词：信息化、服务、信息安全

一、           新疆电力公司业务应用情况

新疆电力公司始终坚持“服务党和国家工作大局、服务电力客户、服务发电企业、服务社会发展”的宗旨，从事电力购销业务，负责所辖区域电网之间的电力交易和调度。为了服务电力生产和统一调度的发展，以宽带达到100M以上。数据交换体系建设加快，实现了数据统计等关键信息的及时上报、自动汇总和动态发布。网省公司、地州电力调度机构实现了调度自动化系统，引入了电能计费系统和广域测量系统；变电站实现了计算机监控额无人、少人值守，大大提高了生产自动化水平。

建立地理信息系统（GIS）,应用于输电、变电、配电管理业务。电力负荷、电力营销管理手段广泛应用，实现业务报装、电费抄核、故障报修、投诉受理等功能。地州供电企业营业窗口基本实现计算机受理用电业务，投运全国统一的“95598”电力客户电话服务系统。为方便用电客户缴费通过实现会计核算、业务报表及信息及时监控；实现银电联网，方便用电客户和发电企业进行缴费和资金结算；实现实现电子公文传输的单轨制运行和无纸化公文传输；建立集中规模招投标系统，在网上实现全过程招标和评标。

二、           新疆电力公司网络结构 

新疆电力公司广域网设计采用“双星形”网络拓扑结构。涵盖新疆电力公司下属22家单位及86个县供，覆盖率达到100%，实现了乌鲁木齐市内单位网络带宽1000M,地州单位网络带宽不低于100M互联,备用链路不低于10M；乌鲁木齐电业局及地州12家单位已经实现“双设备，双链路”设备及链路双冗余上行至新疆公司本部，主用155Mb通道，备用10Mb通道广域网核心路由使用NE40-8及NE40E，核心交换使用S9508设备 ,地州接入设备采用MSR 50-60设备。

三、           信息安全隐患分析

计算机信息安全面临来自多个方面的信息安全威胁，影响原因可能是系统本身、数据库以及移动储存介质，而它们在使用、管理过程中的疏忽也加剧了问题的严重性。

3.1               操作系统和应用程序的安全漏洞

现在广泛使用的操作系统在安全体系结构上都先天不足,靠打补丁逐步完善,缺乏严密的安全框架,安全漏洞较多。访问控制与认证功能薄弱,用户认证方式单一,绝大多数仅为口令方式,一些更可靠的生物特征认证手段因缺少硬件认证部件没有得到广泛应用。有的操作系统还有陷门和隐蔽信道。在应用程序安全的问题上,主要是缺少完备的安全机制。在开发过程中没有遵照安全软件工程的原则开发,用户只关心是否实现了所要求的功能,安全完全由程序员开发与控制,从而留下安全隐患。

3.2移动储存介质

移动储存介质由于其本身具有方便小巧、存储量大、通用性强、易携带等特点，得到了广泛的使用。但这些特点也给网络带来了许多安全隐患，造成网络系统不易管理，尤其是涉密单位移动储存介质的管理。现阶段涉密介质的使用大多缺乏设备登记、身份认证、访问控制和审计机制，这给网络系统的信息安全造成很大的威胁。

3.3数据库系统的安全隐患

数据库系统的安全隐患有如下特点：涉及到信息在不同程度上的安全，即客体具有层次性和多项性；在DBMS中受到保护的客体可能是复杂的逻辑结构，若干复杂的逻辑结构可能映射到同一物理数据客体上，即客体逻辑结构与物理结构的分离；客体之间的信息相关性较大，应该考虑对特殊推理攻击的范围。我们将企业数据库系统分成两个部分：一部分是数据库，按照一定的方式存取各业务数据。一部分是数据库管理系统（DBMS），它为用户及应用程序提供数据访问，同时对数据库进行管理，维护等多种功能。

3.4路由和交换设备安全隐患

路由器是企业网络的核心部件。它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能，所以每个人都可以不限次数地尝试登录口令，在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令，路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外，路由器实现的某些动态路由协议存在一定的安全漏洞，有可能被恶意攻击者利用来破坏网络的路由设置，达到破坏网络或为攻击作准备的目的。

3.5黑客的威胁和攻击

黑客具有非常强的计算机网络系统知识，能熟练使用各种计算机技术和软件工具。黑客善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或利用为攻击的途径，并对网络系统的安全构成了非常大的威胁。目前，在各个国家计算机信息网络上的黑客攻击事件都是越演越烈。

3.6计算机病毒的侵害

由于计算机病毒具有蔓延速度快、范围广等特点，是计算机网络系统的最大的威胁造成的损失难以估计。计算机病毒破坏的对象直接就是计算机系统或者网络系统。一旦计算机感染上病毒后，轻则使系统执行效率下降，重则造成系统死机或毁坏，使部分文件或全部数据丢失，甚至造成计算机系统硬件设备等部件的损坏。  

四、           网络信息安全应对策略

4.1访问控制策略

访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面分述各种访问控制策略。

4.2信息加密策略

信息系统的数据加密常用的方法有链路加密、端点加密和节点加密三种。对于网络信息和电子文件具体加密的方法很多，如名称加密、内容加密、属性加密、形式加密等 信息加密的目的是保护网络内部和网上传输的数据、文件、口令和控制信息的安全。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。按照收发双方密钥是否相同来分类,可将加密算法分为私钥加密算法和公钥加密算法。

4.3网络安全管理策略

安全管理手段主要是从制度上完善信息系统的安全性,防止由于人的主观行为或制度问题导致信息系统的泄密。加强网络的安全管理,对于确保网络的安全、可靠运行和信息的安全保密,将起到十分有效的作用。在应对各种突发、紧急事件上建立起完备的应急预案：新疆电力公司信息系统应急计划的目标是分析信息系统可能出现的紧急事件或者灾难事故，技术支持和业务部门应建立一整套应急措施，以保障新疆电力公司核心业务的连续服务。一旦发生重大的或灾难性事故时，信息中心工作人员迅速进行灾情分析，并上报信息安全工作领导小组即成为应急领导小组，负责指挥执行紧急应变计划，排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作，防止事态的扩大.

五、           结束语

信息网络安全是动态的、整体的，并不是简单的安全产品集成就解决问题。安全不是一劳永逸的，安全总会随着网络现况和某些特殊事件、环境等的变化而变化。随着时间推移，新的安全风险又将随着产生。因此，一套完整的安全策略是必须包括长期的、与项目等相关的信息安全课题。