浅析电力生产中信息安全的重要性

摘要：随着电力生产信息化的发展，信息安全已是关系电力生产存亡和发展的重要方面。本文讨论如何加强信息安全，才能全面提高电力生产的信息化。

1、电力生产中信息安全的重要性及涵盖方面

信息化为电力安全所依赖；电力信息化中的信息安全，又是核心的环节。随着计算机和信息技术的发展，电力生产中各个调控系统都需要网络上传递信息，通过网络实现信息化及管理的有效化。信息化条件下的电力市场，需在调度中心、电厂、用户之间进行的大量的数据交换，水电厂、变电站采用大量的远程控制，因此。新形势下对电力控制系统和数据网络的安全性、可靠性提出了新的挑战。电力生产系统中，不同的系统根据其应用状况具备不同的安全特性。如调度自动化系统等控制系统属于内层实时监控。与实时系统直接相连，与其他系统屋里隔离；MIS、办公自动化等系统属于外层，通过防火墙与因特网相连。在电力系统专用通信数据网络的应用中，有直接光纤、数据网络、信息网络等3种方式，不同的应用也采取了不同的方式。继电保护、安全自动装置直接采用光纤或SDH进行信息的传输；远动数据、AGC遥凋、SCADA遥控、计量计费、故障录波等可采用不同信道的SDH或ATM交换网络进行传输；在此之上可采用IP交换信息网络进行报价及结算、办公自动化及信息管理系统的应用，并通过防火墙与因特网相连。

2、信息安全的实现

2．1物理设备安全—一网络系统中的设备物理技术

物理设备是整个网络的基础，整个信息网络的正常运行离不开物理设备的安全。物理设备包括网络、路由器、防火墙、交换机和应用于网络互连的服务器，同时还有各种提供不同网络服务的服务器，如：网络管理服务器、域名服务器、用户认证和授权等。物理设备的安全影响着整个电力信息网络安全。要有效地保护物理设备的安全，必须从以下两个方面着手：其一是控制可接触物理设备的人数并控制其权限，使得非授权的人员无法接触相关物理设备。二是注意环境安全保护，确保物理设备不因环境问题而产生故障，实现局域网络、互连网络和数据中心网络安全隔离的措施。

2．2网络系统安全

要确保网络安全，需要在电力系统网内设置默认网关，设置ACL控制以提供财务、营销、客服等服务器的访问控制。防火墙能有效地防止外来的人侵，它在网络系统中的主要作用是：阻止外部恶意的扫描和攻击；控制进出网络的信息流向和信息包；隐藏内部IP地址及网络结构的细节。要增强攻击防范的能力。由于TCP／IP协议的开放特性，尤其是IPv4，缺少足够的安全特性的考虑，带来了非常大的安全风险。常见的口扫描以及危害非常大的拒绝服务攻击等，必须能够提供对这些攻击行为有效检测和防范。在信息防护方面可采用信息隐藏技术。信息隐藏是信息安全研究领域里的一种新兴技术。它把秘密信息嵌人一公开信息中，然后通过公开信息的传输来传递秘密信息。

2．3应用系统安全———安全系统

应用系统的安全性建设过程涵盖了应用系统的规划、设计、实施／验收、运维等各阶段应用系统在规划阶段，需重点完成以下安全性工作：

(1)确定安全性策略需求。根据企业的安全策略总体要求，制定系统安全策略框架。

(2)分析系统遭受攻击、信息泄漏、系统不可用等安全性问题对业务的影响。

(3)安全风险分析。构建一个安全的应用系统必须对可能存在的安全风险进行分析。对系统运行环境进行分析而完成的安全性设计应包括操作系统、计算机硬件、网络、物理安全和管理安全等方面。

2．3．1要确保应用系统的安全，可以采用防病毒系统技术

可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权，进行更细粒度的用户识别和控制；根据需要，在两台防火墙上设置流量控制规则，实现对服务器访问流量的有效管理。有效地避免网络带宽的浪费和滥用，保护关键服务器的网络带宽。根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力在防火墙上进行设置告警策略，利用灵活多样的告警响应手段，实现攻击行为的告警，有效监控网络应用?启动防火墙日志功能，利用防火墙的日志记录能力，详细完整地记录日志和统计报表等资料，实现对网络访问行为的有效控制。

(1)防火墙：

防火墙实际上是一组系统，它逻辑上处于内部网和外部网之间并由一组保证内部网正常安全运行的软硬件有机的组成，其最基本的构建是构造防火墙的人的思想。它提供可控的网络通信，只允许授权的通讯。一个典型的防火墙由包过滤路由器、应用层网关，电路层网关等构成。

(2)身份认证：

身份认证技术是为主机或最终用户建立身份的主要技术。在网络中为了确保安全，必须使特定的网络资源授权给特定的用户使用，同时使得非法用户无法访问高于其权限相关网络资源。在实际认证过程中可采取如口令、密钥、智能卡或指纹等方法来验证主体的身份。一般在广义的网络我们采取CA即证书授权的意思。在网络中，所有客户的证书都是由证书授权中心即CA中心分发并签名．该证书内含公开密钥，每一个客户都拥有一个属于自个的私密密钥并对应于证书，同时公开密钥加密信息必须用对应的私密密钥来解密。

2．3．2入侵检测是防火墙的合理补充．帮助系统对付网络攻击，扩展了系统管理员的安全管理能力，提高了信息安全基础结构的完整性入侵检测系统的主要功能有：监测并分析用户和系统的活动；核查系统配置和漏洞：系统构造和弱点的审计，评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。它具有以下一些特点：可靠性，必须在无人监控环境下可靠稳定运行；容错性，入侵检测必须是可容错的，即使系统崩溃，也必须能保留下来；可用性，运行时系统开销应该最小，不影响系统性能，可检验，必须能观察到违法行为；易开发性，易于进行二次开发；可适应性，检测系统必须能随时追踪系统环境的变化。准确性，检测系统不会随意发生误警报、漏警报；安全性，检测系统必须难以被欺骗和有效保护自身安全。