电力信息网安全分析（精选6篇）

电力信息网安全分析 第1篇

电力信息网安全分析

摘要：解决信息安全问题不能仅仅只从技术上考虑，要防止重技术轻管理的倾向，加强对人员的管理和培训。文章对信息安全的解决方案从技术和管理两个方面进行了探讨。关键词：电力安全解决方案

0 引言

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合，一个较好的安全措施往往是多种方法适当综合的应用结果。电力信息网安全防护框架

根据电力企业的特点，信息安全按其业务性质一般可分为四种：一种为电网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化系统，火电厂分布控制系统（DCS，BMS，DEH，CCS），水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构，从电力信息网安全需求上进行分析，提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式，每一级为一层，层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点，分析各相关业务系统的重要程度和数据流程、目前状况和安全要求，将电力企业信息系统分为四个安全区：实时控制区、非控制生产区（监sis控）、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。电力信息网安全防护技术措施

2.1 网络防火墙：防火墙是企业局域网到外网的唯一出口，这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet，所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器，即能够保证提供正常的服务，又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可外的任何服务，也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中，必须禁止Rlogin，NNTP，Finger，Gopher，RSH，NFS等危险服务，也必须禁止Telnet，SNMP，Terminal Server等远程管理服务。

2.2 物理隔离装置：主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。

2.3 入侵检测系统：入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击，中心数据库应放置在DMZ区，通过在网络中不同的位置放置比如内网、DMZ区网络引擎，可与中心数据库进行通讯，获得安全策略，存储警报信息，并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎，对入侵检测系统进行监控和管理。

2.4 网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP／IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。

2.5 网络防病毒:为保护整个电力信息网络免受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，以服务器作为网络的核心，通过派发的形式对整个网络部署查、杀毒，服务器通过Internet利用LiveUpdate（在线升级）功能，从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。服务器和网络工作站都安装客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此可采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式，确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意，选择的网络防病毒软件应能够适应各种系统平台，各种数据库平台，各种应用软件。例如能对电力信息网办公自动化系统使用的Lotus Domino/NOTE平台进行查、杀毒。2.6 数据加密及传输安全: 对与文件安全，通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高时的信息（如电子公文，MAIL等等）在传输过程中的保密性和安全性。

2.7 数据备份：对于企业来说，最珍贵的不是计算机、服务器、交换机和路由器等硬件设备，而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说，数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。

2.8 可靠安全审计：通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外，还可以使用象USB KEY等硬件的密码认证，更可以采用二者相结合的方式。

2.9 数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。电力信息网安全防护管理措施

技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

3.1 人员管理，要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改。

3.2 密码管理，对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

3.3 技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

3.4 数据管理，数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

3.5 加强信息设备的物理安全，注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

3.6 注意信息介质的安全管理，备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁，特别要注意送出单位修理的设备上存储的信息的安全。

3.7 客户端的防病毒软件不得随意卸载，要及时更新病毒代码库。

电力信息网安全分析 第2篇

(河南电力调度通信中心 河南 郑州,450052 摘要:分析了河南省电力公司计算机信息网络所面临的不安全因素,并对该计算机信息网络的特殊架构层次化,继而进行了深入的网络安全透析,并给出了针对性的网络安全防护部署。

关键词:计算机信息网络;安全防护技术;安全管理;防火墙;入侵监测;防病毒;身份认证;VPN;网络隔离装置

一、前言

电力行业与其他行业相比具有分散控制、统一联合运行的特点。系统的运行涉及到发电厂、变电站、调度中心;发、输、配电系统一体化,系统中包括了各种独立系统和联合电网的控制保护技术、通信技术、运行管理技术等。随着河南电力计算机信息网络的不断发展,电力的关键业务不断增长,因此信息化应用也不断增强,网络系统中的应用越来越多;同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,使网络的重要性和影响也越来越大,因此电力信息网络系统的网络安全“层次化”愈来愈显得重要。

一、电力计算机信息网络的架构特点:(一 河南省电力计算机信息网络的现状:(1企业内部网络(Intranet连接。Intranet主要包括以下几个方面:各地区电业 局、电厂、修造设计机构与省电力公司的连接;各县电业局与地区电业局的连接;省电力公司与网局、国电公司的连接。

(2企业外部连接。省电力公司与省电力公司二级机构与国际互联网的连接;各级电

力公司提供的远程访问服务;各级电力公司与外系统(如银行、政府部门的连接。

以上连接一方面丰富了电力公司的业务,同时也导致了新的安全问题。

二、对河南电力计算机信息网络的安全“层次化”:

上述企业内部网络连接与企业外部网络连接的安全防范也成为河南省电力公司重要的网络安全问题之一。保护计算机网络的稳定运行,防止重要信息被攻击、窃取或泄露,安全地连接因特网或其他组织和分支机构,确定信息认证等等问题需要重点解决。而且电力部门有其独特的网络模式,所以从自身实际安全需求出发,全局、综合、均衡地考虑各种必要的安全措施,建立全面完整的安全体系,从而促进电力生产的安全、稳定、经济运行。

根据河南省电力系统计算机信息网络的特点,各相关业务系统的重要程度和数据

流程、目前状况和安全要求,将整个系统分为四个安全区:I实时控制区、II非控制生产区、III生产管理区、IV管理信息区。不同的安全区确定了不同的安全防护要求,从而决定了不同的安全等级和防护水平。其中安全区Ⅰ的安全等级最高,安全区II次之,其余依次类推。

(1安全区Ⅰ:实时控制区

安全区I中的业务系统或功能模块的典型特征为直接实现实时监控功能,是电力生产的重要必备环节,系统实时在线运行,使用调度数据网络或专用通道。

安全区I的典型系统包括调度自动化系统(SCADA/EMS、配电自动化系统、变电站自动化系统、发电厂自动监控系统等,其主要使用者为调度员和运行操作人员,数据实时性为秒级,外部边界的通信经由电力调度数据网SPInet--VPN1。该区中还

包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频/低压自动减载系统、负荷控制系统等,这类系统对数据通信的实时性要求为毫秒级或秒级。安全区I是电力二次系统中最重要系统,安全等级最高,是安全防护的重点与核心。

(2安全区Ⅱ:非控制生产区

安全区Ⅱ中的业务系统或功能模块的典型特征为:所实现的功能为电力生产的必要环节,但不具备控制功能,使用调度数据网络,在线运行,与安全区I中的系统或功能模块联系紧密。安全区Ⅱ的典型系统包括调度员培训模拟系统(DTS、水调自动化系统、继电保护及故障录波信息管理系统、电能量计量系统、批发电力交易系统等,其面向的主要使用者分别为电力调度员、水电调度员、继电保护人员及电力市场交易员等。该区数据的实时性是分钟级、小时级。

(3安全区Ⅲ:生产管理区

安全区III中的业务系统或功能模块的典型特征为:实现电力生产的管理功能,但不具备控制功能,不在线运行,可不使用电力调度数据网络,与调度中心或控制中心工作人员的桌面终端直接相关,与安全区IV的办公自动化系统关系密切。该区的典型系统为调度生产管理系统(DMIS、统计报表系统(日报、旬报、月报、年报、雷电监测系统、气象信息接入等。

(4安全区IV:管理信息区

安全区IV中的业务系统或功能模块的典型特征为:实现电力信息管理和办公自动化功能,使用电力数据通信网络,业务系统的访问界面主要为桌面终端。该区包括管理信息系统(MIS、办公自动化系统(OA、客户服务等。该区的外部通信边界为公共因特网。

三、网络安全防护分析: 针对电力计算机信息网络的以上特殊性质,进行网络安全分析如下:(一 网络逻辑结构示意图

(二在网络接口处可能受到的攻击分析: 关联接口攻击场景描述风险类 型 风险 级别 对业务的影 响

I1 通过该接口,入侵安全等级高的系统,向通信网关发送雪崩 数据,造成网络堵塞。机密性

完整性 H 导致和 SCADA/EMS 系统及其它 生产系统业 务中断

I2、I3 通过该接口,入侵DMIS系统 重要业务部分,造成重要业务 中断。完整性 可用性 可靠性 审计性 H 可以向DMIS 系统加入恶 意代码,窃取 信息或对系 统造成破坏。

I4 其它DMIS系统中的恶意进程或攻击人或病毒,通过SPI

net,利用该接口非法接入 DMIS局域网可用性 审计性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染

I5 来自MIS系统的病毒和恶意进程或攻击人,非法进入DMIS 系统。窃听或篡改发电计划、负荷需求或其它不对外公开 信息等数据审计性 可用性 抗否认 M 获得对DMIS 局域网的非 法接入权,病 毒感染

I6 , I6.1 黑客假冒开发商或本系统维

护人员的身份获得对DMIS系 统的远程维护权限 认证性 可用性 抗否认 H 黑客可以向 DMIS系统加 入恶意代码, 窃取信息,或 对系统造成 破坏。

I7 来自系统外单位系统的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 DMIS系统, 导致服务中

断或网络堵 塞

I8 来自INTERNET的病毒或非法入侵可用性 可靠性 审计性 抗否性 M 病毒或非法 入侵者侵入 MIS系统,导 致服务中断 或网络堵塞

四、网络安全防护措施

(一基于接口的安全技术和管理建议 接口 保护(P 检测(D 响应(R 管理

I1 C 通信网关、防火墙 无 无 C 口令 无 无

无 I2 R 身份认证,审计追踪,抗否认,防病毒 恶意代码检测 入侵检测

暂停服务,审计日志分析 病毒库更新

定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 无 无 无 无 I3 R 物理隔离 无

暂停服务,审计日志分析

制定服务中断恢复计划,安全相容性检查 C 口令 无 无 无 I4 R 抗否认,审计追踪,身份认证,防病毒 恶意代码检测 入侵检测

暂停服务,审计日志分析 病毒库更新

定义接口安全条件,定义用户安全连接条件,安全相容性检查 C 防火墙 无 无

I5 R 防火墙,身份认证,防恶意代码,安全网关,防病毒 恶意代码检测 入侵检测 修改防火墙规则,病毒库更新

制定服务中断恢复计划,安全相容性检查 I6, I6 C 口令 无 无.1 R VPN,抗否认, 审计追踪,身 份认证,安全 网关恶意代码检测 入侵检测 暂停拨号服 务,审计日志 分析 定义接 口安全 条件, 定义用 户安全

连接条 件,安 全相容 性检查

C 通信网关无无I7 R 身份认证,安 全网关,防火 墙,抗否认, 审计追踪,防 病毒恶意代码检测 入侵检测 暂停服务,修 改防火墙规 则,审计日 志,病毒库更 新 定义接 口安全 条件

C防火墙无无无I8 R防火墙,身份 认证,防恶意 代码,安全网

关,防病毒恶意代码检测 入侵检测 修改防火墙 规则,病毒库 更新 制定服 务中断 恢复计 划,安 全相容 性检查

注:C表示当前所采用的安全措施,R表示推荐采用安全措施(二安全产品选用 安全产品及其简要功能 安全产品名

称

类型 功能说明 对系统可能的影响 防火墙 硬件防火墙 软件防火墙

访问控制 影响数据传输速度

网关 服务器 访问控制 影响数据传输速度 基于网络 实时监控 实施阻断时,占用一定的 网络带宽 入侵检测软

件 基于主机 准实时监控 占用主机的一部分CPU和 内存 安全评估软

件 基于网络和主机 漏洞扫描 在扫描时,占用一定主机 和网络资源 专用隔离装 置 物理隔离 逻辑隔离 更严格的访问 控制

影响传输数据的类型、速 度

防病毒软件 针对NT/2000系列 防、杀病毒 对主机性能有一定影响 PKI系统 CA, RA, AS RA, AS 身份认证、数据 保密、数据完整 证书和私钥的管理增加 了管理工作量 AS 性检验等 备份系统 针对服务器中的数据和软件

可以对重要数据和软件进行灾难恢复

实施备份操作时,影响网络和相关主机的速度和性能（三、部署安全产品

(四安全产品部署说明: [1] 防火墙&隔离装置

在调度生产管理系统的安全区Ⅱ和安全区Ⅲ间(即物理接口PI3处,部署专用物理隔离设备,以实施对安全区Ⅰ、Ⅱ的安全隔离。

在管理信息系统(MIS的接入点和公共网络接入点,即物理接口PI5和PI8,采用隔离装置实施访问控制策略。

[2] 入侵监测系统

在调度生产管理系统中部署基于网络和基于主机的入侵检测系统,以实施对网络和服务器攻击及违规行为的监测与响应策略。入侵检测系统的探头布置在三处,分别标识为IDS 探头

1、IDS 探头2和IDS 探头3,它们的作用分别为: IDS 探头1:用于监控DMIS 系统与SPI net 之间的访问活动 IDS 探头2:用于监控DMIS 系统内部服务器访问活动

IDS 探头3:用于监控系统外部单位和DMIS 系统之间的访问活动

安全监测中心实现对入侵检测系统中探头(或称为探测器的统一管理与控制,它与探头之间可以通过单独通道建立连接。这样既可以使安全监测中心在网络中隐形,也可以使安全监测中心与探头之间的通信不占用被检测网络的带宽资源。

[3] 安全评估系统

在DMIS系统中布置安全评估系统,可以辅助管理员自主地定期对调度生产管理系统进行必要的安全评估,检测与分析系统存在的安全漏洞,并根据安全评估报告的结果进行整改,及时安装升级包,或者修改防火墙和隔离设备的访问控制规则,以避免黑客利用系统安全漏洞进行攻击。

[4] 防病毒软件

在调度生产管理系统内部的所有主机和服务器上安装防病毒软件,并配置一台病毒管理中心,进行必要的防病毒管理。

由于现在病毒感染的途径很多,因此必须实施全面的防病毒方案,并且能及时更新。

[5] 身份认证(PKI系统

在调度生产管理系统中布置PKI系统主要用于系统与人(如使用人员员、远程维护人员等之间以及各系统进程之间的身份认证。完整的PKI系统包括CA、RA、目录服务等,在调度生产管理系统中可以选择下面两种配置之一: 只需要布置一个证书服务器,向应用程序提供证书和证书作废列表下载、证书有效性验证服务。证书服务器上的证书数据库和证书作废列表可以通过离线方式更新。证书服务器的证书数据库中至少应该有拨号诊断服务证书、网络RTU证书、无闭环专用系统的证书、远程维护人员的证书等。

不增加任何设备,应用程序直接调用PKI系统提供的API,从而支持强身份认证功能。

与配置一相比,需要手工向应用程序导入证书和证书作废列表 参考文献: [1]湖南电力计算机广域网安全分析张灿湖南电力文献 2003.5 [2] 电力信息网络安全的“层次化”思科网络安全技术文献库 2004.5 [3] 国家电力信息化目标国家电力信息化技术文献 2002.3 [4] 孙友仓,对信息系统安全管理的探讨.现代电子技术[J],2004,27(5 [5] 熊松韫,张志平.构建网络信息的安全防护体系.情报学报[J], 2003,22(1 吴博: 男,工程师,2003年毕业于四川大学电气信息学院通信工程系,同年7月在河南省电力公司调度通信中心通信处就职, 从事电力通信调度以及电力通信网络的管理、维护和故障处理等方面的工作。

The analysis and protection for network information security of Electric Power Network System wubo(Henan Electric Power Dispatching Communication Bureau ,Zhengzhou ,450052 China Keyword:Electric Power information network;security protection technique;VPN;Security Management;Firewall;eTrust Intrusion Detection;defend the virus;PKI;DMZ(Demilitarized Zone

Abstract: Analyzed the insecurity factors we facing , and turn to the special structure level of structure of the information network, particularly proceeding the network security management , and give the security protection method which is aim at the network of Henan Power State.电力系统计算机网络信息安全分析及防护 作者:吴博

作者单位:河南电力调度通信中心,河南郑州,450052 相似文献(10条

1.会议论文谭晓天系统集成思想指导下的电网调度专业网络构建1999 系统集成是高水闰的计算机应用,能为用户提供一体化的解决方案。该文结合湖南电网调度专业网络系统的开发阐述了系统集成四个层次的具体实践。最后指出专业人员参与系统集成值得注意的问题。

2.会议论文胡炎.谢小荣.辛耀中现有安全设计方法综述2005 本文对电网现有安全设计方法进行了综述。文章分析了风险管理方法、遵循安全设计指南方法、形式化验证方法、发现修改方法、预防性安全设计方法等现有安全设计方法的特点和不足,同时总结了信息系统安全工程过程、安全需求分析方法、可生存系统分析设计等方面研究的可借鉴之处.3.期刊论文任志翔.仇群辉智能电网调度自动化技术思考-经济研究导刊2010,“"(7

简述了智能电网的概念和特点,介绍电网调度自动化的发展历史,分析了智能电网调度自动化和传统电网调度自动化在智能处理和信息共享等方面的区别,着重分析了目前电网调度自动化系统的研究现状,并以目前在变电站建设中推广的IEC 61850和在主站构建中推广的IEC 61970标准以及计算机网络和先进的通信技术作为基础,重点分析了未来中国智能电网调度自动化的研究方向.4.会议论文李承东.潘明惠微机网络在东北电网调度运行中的应用1994 5.会议论文舒彬.潘敬东转变观念、优化管理—关于电网调度自动化系统网络安全管理的几点思考2001 本文在分析调度自动化系统网络安全管理中,由于信息不对称所造成的信息失真情况的基础上,探讨了如何通过建立一套有效的技术手段提高自动化系统安全管理系数,并进一步提出以”目标和任务"机制作为网络安全研究与建设方向的思想,以期为建立可适应性安全防护体系做好准备工作.6.会议论文牛万福DEC计算机电网调度监控系统1997 详细介绍了一自行开发的DEC ALPHA计算机电网监控(SCADA系统,描述了监控系统计算机网络的客户站/服务器(client/server体系结构及电网监控软件,阐述了双机运行和软件切换机制。文章也介绍了该计算机电网监控系统在地区电网调度中的应用及与企业管理信息系统(MIS和省局能量管理系统(EMS的网络连接。

7.学位论文高云电网调度运行信息管理系统设计2001 该文研究的对象是供电企业的电网调度运行信息管理系统,它是生产技术管理系统的一个重要组成部分.文中首先指出了目前地区供电企业在调度运行信息的记录、处理和传阅方式上存在的问题.在对系统功能需求和数据需求进行分析的基础上,对调度运行信息进行了分类,确定了系统的总体功能及实现方案,并采用原型法的软件开发方法、面向对象程序设计技术(OOP和计算机网络技术进行开发.利用Visual FoxPro6.0开发工具设计的调度运行信息管理系统具有基础资料数据库和运行记录数据库.现已完成主控程序,系统注册模块、运行记录模块和操作命令票管理

模块等应用程序,可以对设备参数和电网运行信息进行增加、修改、删除和查询工作,统计断路器跳闸次数并给出达到预定值时的信息提示.程序中设计了利用已输入的基础资料数据进行快速、灵活地输入和编辑运行记录的操作方法,极大地减少了汉字输入的工作量,并且使记录的信息更为规范.设计的程序具有操作简便、易于使用和功能扩充方便等特点.8.会议论文王桂茹电网调度管理信息系统设计1997 这是一篇涉及计算机网络及应用推广;涉及电网调度相关专业知识及信息共享原则的论文。

9.会议论文曹连军.王晓华东北电网调度通信中心生产管理企业网1999 当今计算机已经由单机操作向网络操作发展。计算机网络在企业现代化管理中起到越来越重要的作用。该文给出了东北电网调度通信中心生产管理企业网的功能描述。

电力信息网络安全防护及措施分析 第3篇

关键词：电力企业,信息网络,安全防护,措施

有效地保障电力企业的安全, 有效地保障电力信息网络的安全, 是推动我国国民经济健康稳定发展的基础。随着信息化技术的不断发展, 越来越多的电力企业构建了信息化系统, 实现了信息化网络管理。但由于信息网络中存在的问题及漏洞, 因此有必要分析电力信息网络安全问题, 采用安全防护措施, 以有效优化电力信息网络安全。

一、电力信息网络安全问题分析

电力信息网络已经在我国电力企业中被普及应用, 并有一定的信息安全防护系统, 能对电力信息进行实施监控, 还相应研制出了数据备份系统、网络防火墙以及各种防病毒软件。尽管如此, 还是会存在严重安全隐患, 而且企业领导也没有足够的信息安全意识, 没有建立相应较为完善的网络防护措施, 更不会对电力信息进行备份和定期检查, 这些情况都影响着电力信息的安全。

(一) 信息网络安全意识淡薄

在电力信息网络的建设及运营过程中, 需要信息网络安全意识高的专业人员来从事安全防护及安全监管等工作。虽然随着信息化程度的不断提升, 信息防护技术的更新换代, 电力信息网络的安全等级越来越高。但不可否认地是, 当前电力企业信息网络的安全防护需求与实际的安全防护技术存在较大的差异, 一方面由于电力企业的信息化技术本身不高, 另一方面高超的安全防护技术带来的成本增加等, 也影响了电力企业的实施与应用。更关键地是, 当前电力信息网络安全的整体防护工作仍处于较低的水平, 网络安全人员缺乏网络安全防护意识, 违规操作、不按规范进行操作等问题非常突出。

(二) 信息网络安全制度缺失

在电力信息化程度越来越深入的今天, 加强信息网络安全制度的规建, 不断创设完整的信息网络安全防护制度等, 具有非常关键的作用, 能够切实有效地提升电力企业的信息网络安全。但在当前电力信息网络运营的过程中, 缺乏统一的规范的安全防护制度和安全监管制度, 这些制度的缺失在很大程度上影响电力信息化水平。同时, 由于缺乏科学的安全管理制度, 很容易使得电力信息网络在运行的过程中, 出现较大的漏洞和缺陷。

(三) 信息网络的投入略显不足

对于绝大部分电力企业而言, 快速发展和经济效益的提升是电力企业的头等大事。相比其他投入, 电力企业的决策层更愿意将资金投放到能够扩大生产、增加运营能力等可见可观的方面。对于信息网络安全的防护、信息技术的更新、信息化设备的换代等, 电力企业的决策层往往重视程度不够。在电力企业信息网络安全的防护及建设过程中, 只有保障信息设备的维护管理, 保障电子设备的更新换代, 保障信息安全的投入等, 才能有效地推动电力企业的信息网络安全。

(四) 认证体系过于统一缺乏安全性

在电力信息网络安全的管理及具体的运营过程中, 缺乏科学规范的认证体系和认证机制, 同时也缺乏科学的密钥处理机制。当前针对电力企业的信息网络建设, 主要由网络公司来提供, 网络公司在建设信息网络的过程中, 未能结合电力企业安全等级高等实际特点, 使得信息网络建设过于统一, 缺乏科学的客户认证体系。有很多系统在鉴别用户的时候, 需要记录下客户的口令、名称以及一些重要信息, 而且还是使用明文的记录方式, 这样更使危险程度有所增加, 这点是电力系统中应该尽快完善的。

二、电力信息网络安全防护的主要措施

在电力企业中, 加强电力信息网络安全的防护, 能够有效地保障电力企业的稳定运营, 能够优化电力企业的数据和信息保护, 提升电力企业的信息安全。针对当前电力信息网络安全方面存在的主要问题, 应该从以下方面着手, 全面提升电力信息网络的安全等级。

(一) 构建科学的完善的安全防护体系

在信息化网络的运营过程中, 科学地完善防护体系是提升和优化网络安全的关键措施和根本保障。通过完善地防护体系, 能够在具体的管理中, 针对信息化网络中存在的突出问题及主要漏洞, 有条不紊地更加有针对性地加强安全防护, 从而提升电力信息化网络安全级别。技术人员在防护体系的建设过程中, 切忌盲目地规建信息网络的安全防护体系, 而应该充分结合电力企业的实际特点及计算机网络安全的相关问题, 科学而精准地建设信息化安全防护体系。同时, 由于电力信息网络的功能和板块众多, 在建设防护体系的过程中, 需要明确电力信息网络的各个功能的发挥, 从整体上来把握安全防护体系。需要注意的是, 技术人员在建设信息网络安全防护体系的过程中, 需要遵循全面科学的原则, 不断提升电力信息网络各个功能的安全等级, 有效提升电力信息网络的整体安全效益和质量。

(二) 精准地采用加密防护技术

在电力信息网络的安全建设及安全防护的过程中, 不同的防护技术发挥着不同的作用, 不同的防护技术的运用特点也存在较大的区别。在电力信息网络安全防护的过程中, 需要根据电力信息网络涌现出来的不同问题, 有针对性地采用相应的防护技术, 以有效提升防护技术的防护质量和防护整体效益。首先, 针对加密问题。在电力信息网络安全的防护中, 加密是非常主要的防护手段, 为了提升加密的整体效益和作用, 因此在采用加密设置时, 应该尽可能地采用安全级别较高的加密技术。一些普通的设备或者大众化的数据, 可以采用指纹加密等方式, 但对于电力信息网络中的关键数据或者核心信息, 在采用加密技术时应该尽可能地采用技术等级较高的、防护级别较高的生理加密技术, 如人脸识别等。

(三) 加强网络病毒及网络黑客的隔离

随着信息技术的不断发展, 电力信息网络的安全级别越来越高。但由于信息网络自身存在的漏洞, 以及管理人员自身的管理能力及安全防护意识淡薄等问题, 因此有必要针对电力信息网络中存在的各种病毒风险, 加强病毒的查杀及隔离等。为有效解决病毒问题, 电力信息网络可以采用高级的防火墙及杀毒技术, 针对计算机信息网络加强实时防护和保护, 有效地提升电力信息网络的整体安全等级。黑客是电力信息网络安全的主要风险, 引发黑客袭击的一大原因在于非法访问外来链接。因此, 在电力信息网络安全防护的过程中, 应该加强对外来网络的隔离, 通过采用局域网的方式来避免自身员工登陆外网, 或者外人访问电力企业的内部网络。此外, 还应该加强电力企业员工的安全管理, 不断提升电力企业网络安全管理员及操作人员的安全意识和安全责任感。

(四) 加强网络设备的管理及维护

在电力企业信息网络安全管理中, 网络设备的作用非常重要。网络设备始终处于消耗的状态中, 同时网络设备的安全效果是存在一定的周期和寿命的, 这就要求电力企业的安全管理人员应该定期维修系统设备, 加强电力网络信息系统设备的检查与更新。对于需要更换的电脑主机、配件等, 应该及时更新, 从源头上来强化信息安全。同时, 在电力信息网络的运营过程中, 对于终端密码应该及时更换, 同时设置比较难、比较繁琐的密钥, 以免密码被窃取。针对当前电力信息网络人员安全意识淡薄、安全防护技术不足等问题, 应该加强电力信息网络安全人员的技能培训, 有效地提升电力信息网络安全人员的整体防护水平。此外, 对于电力企业而言, 在运用电力信息网络的过程中, 还应该注重及时更新网络技术。由于系统更新、技术更新等, 很容易造成电力新信息网络中的数据丢失。

结语

电力企业应积极吸收国外信息安全领域的丰富经验和先进技术, 结合各自电网的特点, 建立完善的电力信息安全防护体系和监控中心, 研究出相应的安全策略, 制定相关的技术措施和管理措施, 确保电力信息系统以及电力系统安全、可靠、稳定、高效地运行。同时, 电力企业还应该加强信息网络系统的建设投入, 不断提升和优化信息安全管理人员的安全责任意识和安全管理技能, 不断提升电力企业信息网络安全的等级。

参考文献

[1]高辰.基础电信企业的网络安全防护和风险评估方案设计与实施[J].北京邮电大学, 2012 (13) :55-56.

[2]王方.电力信息网络安全防护及措施研究[J].无线互联科技, 2013 (10) :188-189.

电力信息网安全分析 第4篇

关键词：电力安全解决方案

0引言

网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合，一个较好的安全措施往往是多种方法适当综合的应用结果。

1电力信息网安全防护框架

根据电力企业的特点，信息安全按其业务性质一般可分为四种：一种为电网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化系统，火电厂分布控制系统(DCS，BMS，DEH，CCS)，水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构，从电力信息网安全需求上进行分析，提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式，每一级为一层，层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点，分析各相关业务系统的重要程度和数据流程、目前状况和安全要求，将电力企业信息系统分为四个安全区：实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。

2电力信息网安全防护技术措施

2.1网络防火墙：防火墙是企业局域网到外网的唯一出口，这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet，所有的访问都将通过防火墙进行，不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器，即能够保证提供正常的服务，又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略，遵循“缺省全部关闭，按需求开通的原则”，拒绝除明确许可外的任何服务，也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中，必须禁止RIogin，NNTP，Fin-#er，Gopher，RSH，NFS等危险服务，也必须禁止Telnet，SNMP，Terminal Server等远程管理服务。

2.2物理隔离装置：主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。

2.3入侵检测系统：入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击，中心数据库应放置在DMZ区，通过在网络中不同的位置放置比如内网、DMZ区网络引擎，可与中心数据库进行通讯，获得安全策略，存储警报信息，并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎，对入侵检测系统进行监控和管理。

2.4网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。

2.5网络防病毒：为保护整个电力信息网络免受病毒侵害，保证网络系统中信息的可用性，应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，以服务器作为网络的核心，通过派发的形式对整个网络部署查、杀毒，服务器通过Intemet利用LiveUpdate(在线升级)功能，从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库。服务器和网络工作站都安装客户端软件，利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描：实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低，因此可采用预置扫描方式，将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要，选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式，确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意，选择的网络防病毒软件应能够适应各种系统平台，各种数据库平台，各种应用软件。例如能对电力信息网办公自动化系统使用的Lotus Domino/NOTE平台进行查、杀毒。

2.6数据加密及传输安全：对与文件安全，通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高时的信息(如电子公文，MAIL等等)在传输过程中的保密性和安全性。

2.7数据备份：对于企业来说，最珍贵的不是计算机、服务器、交换机和路由器等硬件设备，而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说，数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。

2.8可靠安全审计：通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外，还可以使用象USB KEY等硬件的密码认证，更可以采用二者相结合的方式。

2.9数据库安全：通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性，并实现数据库数据的访问安全。

3电力信息网安全防护管理措施

技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。

3.1人员管理，要加强信息人员的安全教育，保持信息人员特别是网络管理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改。

3.2密码管理，对各类密码要妥善管理，杜绝默认密码，出厂密码，无密码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。

3.3技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

3.4数据管理，数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

3.5加强信息设备的物理安全，注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。

3.6注意信息介质的安全管理，备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁，特别要注意送出单位修理的设备上存储的信息的安全。

电力信息网安全分析 第5篇

1.我国电力信息系统现状分析

1.1 电力信息系统缺陷

当前阶段在我国电力企业中，通常信息系统不是十分健全和完善，科学性和规范性没有在电力信息系统管理中得到有效体现，因此在当前互联网+时代，电力信息系统的信息安全难易进行有效的融合，进而其安全保障相对较为落后。

1.2 缺乏电力信息安全意识

在我国部分电力企业中没有给予电力信息系统信息安全工作充分的重视，缺乏安全管理，因此现阶段企业中缺乏科学的信息安全防护系统。同时缺少对信息安全技术方面的研究，导致这方面技术的应用十分有效，通常很多电力企业只是对于安全信息防护只停留在安装一定防火墙和杀毒软件的层面，这对于庞大的电力系统来说是远远不够的，难以实现电力信息系统的安全防护。

1.3 电力信息系统安全威胁众多

在电力信息系统运行过程中会有多方面的因素来影响其安全性，例如有些恶意代码能够对指令进行篡改和伪造，从而实现电力设备的控制，或者控制变电站系统的程序界面等。当前阶段很多电力企业没有充分重视信息安全的发展，虽然科学技术发展了，企业内电力系统中的安全技术防护手段却没有更新，导致电力系统的安全运行受到众多威胁，给电力系统带来了严重的隐患。

1.4 信息安全关键技术

要想保证电网的安全稳定运行就必须要落实有效的系统信息安全管理，这是一个涉及范围广的复杂工程，其中涉及到继电保护、配电网自动化、电网调度等多方面领域的生产和管理。但是当前阶段我国很多电力企业内缺乏有效的信息安全管理体系，防火墙和杀毒软件只能起到最基本的防护作用，如果发生重大的信息安全问题，很难做出有效的应对。甚至部分企业中连防火墙和杀毒软件都十分落后，没有统一的规划和设计电力信息系统安全防护。

2.信息安全技术分析

2.1 网络协议隔离技术

这种技术主要是借助协议分离器来实现内网与外网之间的隔离，而内外网之间的信息交流必须要通过两个接口的设置来得以实现。因此必须要保证内网和外网之间的断开才能实现协议隔离技术的应用，如果需要进行一定的信息交流，可以再连接上两个接口。

2.2 防火墙技

在内外网之间建立一道隔离的屏障从而实现安全防护作用，这就是所谓的防火墙技术。通过这个屏障能够有效的防止恶意代码已经病毒的攻击，防止其侵入系统。防火墙自身具有独特的检测技术以及限制功能，因此能够实现外来数据的检测功能以及拦截功能。防火墙对于系统的信息安全具有至关重要的作用，能够有效防护系统的结构安全和网络信息安全，防止数据泄漏，对外网实现隐藏工作，从而给系统内部的安全稳定运行提供有效保障。

2.3 身份认证技术

身份认证也是众多安全防护技术中的一个重要部份，它能够在终端或者是主机中输入特定用户信息，在实际操作过程中要对身份信息进行检测，只有通过检测后才能进入系统进行操作，通常来说可以通过口令、智能卡、指纹、人脸识别以及密钥等方式来实现信息认证。这也是电力信息系统运行中重要的保护手段之一，能够一定程度上保证数据的安全以及电力信息系统的安全可靠。

3.保证电力系统信息安全的主要措施

3.1 完善电力信息安全体系

对国内外信息安全技术的发展状况以及应用现状进行比较和分析是保证电力系统信息安全的出发点所在，要时刻紧跟世界安全技术的发展以及应用才能应对众多的安全威胁。当前阶段要充分结合我国的国情以及电力企业信息安全技术的发展状况，对电力信息系统的安全体系框架和结构进行初步的构建，当安全体系在电力企业中进行实际的应用后，要根据其效果进行实时的调整和更新，对内容进行补充和完善，从而充分发挥电力系统信息安全建设的指导作用。

3.2 信息安全监测中心的建立

在信息安全监测系统中，主要是通过模拟黑客等威胁的攻击，从而完成信息系统的相关测试，通过测试来对系统的弱点进行分析和研究，并且根据实际的威胁程度来对安全漏洞进行列表。结合列表中的相关内容来第一时间解决系统漏洞问题，同时对系统配置进行一定的整改和完善。通过信息安全监测系统的建立，能够对时段性敏感的数据流进行及时的拦截，防护系统安全，一旦发现网络中出现违规的模式，或者出现网络访问受限的情况，会根据事先的设定，采取设定好的措施来对突发情况加以应对。除此之外，网络层也会有一定危险因素的存在，对此可以通过网络扫面器来进行网络层各种设备的扫描，如果发现有安全漏洞的存在，第一时间采取有效的措施来加以处理。例如系统扫描器和数据库扫面器是主要的两种设备。系统扫描器实际上是一种评估系统，能够对系统的安全进行有效评估，扫描器主要部分是主机，扫描器依附在主机上实现安全漏洞的扫描功能，这种系统扫描器的优势在于能够有效的发现安全漏洞，并且及时采取相应的措施加以有效处理。通过系统扫描器能够一定程度上防止系统中相应数据的盗用，避免误操作现象以及恶意破坏问题，能够有效的防护电力信息系统信息安全。数据库扫描器中安全检测技术能够有效的保护服务器安全。通过相应的测试能够得出检测报告程序，用户可以对漏洞情况了如指掌，并且对于不同的漏洞采取相应的措施进行修补。

3.3 在系统中建立病毒防范体系

我们知道计算机病毒的威胁非常大，通常有着自我复制能力高、传染速度快以及隐藏能力强等特点，往往在我们还没有注意到的情况下就已经对系统造成了严重的破坏，给计算机以及相关数据带来严重

威胁。当前阶段病毒多种多样，一些病毒以网络为传播媒介从而对企业用户或者是个人用户计算机进行入侵，导致系统在无防备情况下遭受病毒攻击。随着现阶段科学技术的进一步发展，网络规模也有所扩大，并且越来越多的重要信息都会在网络中出现，因此一旦发生病毒入侵的现象则不但会造成严重的经济损失，同时对电力信息系统的安全也会造成重大的不利影响。近些年来网络即时的发展导致网络技术覆盖了更加广泛的电力系统，涉及到电力企业的众多工作环节，有时在用户进行数据交换过程中难免会遭遇到病毒的入侵，并且现阶段电力企业也不断朝着市场化的方向逐步发展，这也在一定程度上增加了电力系统与外界信息交流的机会，例如在于其他企业进行业务沟通时，有时采用电子邮件的方式来进行，在这过程中给病毒的入侵提供了机会，并且还有可能在企业内部网络中进行复制和传播，危害不堪设想。因此电力信息系统中每一个安全防护环节都不能掉以轻心，从而为系统的安全提供充分保障，防止病毒的威胁。

4.结语

总的来说，电力信息系统中安全防护工作一直是电力企业所面临的重要问题之一，怎样落实系统信息安全性防护工作时电力企业领导部门所需要重点解决的难题，完善系统的安全保障对于电力系统的长期稳定安全运行具有至关重要的作用，同时还要注重与时俱进，时刻紧跟当前时代市场的发展，不能故步自封，要及时的更新和优化系统的安全防护技术，为电力企业的发展创造坚实的后盾。

电力信息安全监控研究论文 第6篇

电力信息安全系统作为整个体系中必不可少的部分，其主要功效是维持整个电力业务的顺利进展。为了保证相关工作的顺利进行，必须加强信息流方面的了解和分析。结合电力企业运营现状分析，当下国内电力信息流管理主要包括办公自动化管理、营销管理、资源管理、辅助分析等。从优化电力企业运营结构和效果出发，必须加强各个层面相互作用管理的合理分析，最大程度地促进电力体系朝着安全、优质的方向发展。

1.2信息网结构

社会在进步，各行业对电力资源的依赖程度不断提高，同时网络化、自动化办公促进了电力信息行业的转型升级。为了保证与信息流相互匹配，国内大部分地区逐渐加深了公用网络、专用网络等结构的优化，不断进行生产管理、营销管理的等方面的整合，力求短期内实现借助网络系统来支撑电力信息安全的最终目的。一般需要结合各项管理的重要程度进行分类处理，保证其与互联网对接，彰显出不同模块的重要功能，在结构合理的大前提下进一步提高电力网络结构的安全稳定效果。

1.3信息安全防护结构的分析