隨著國家電網公司信息化戰略的部署和資金、技術的投入,縣級供電企業的信息化建設水平得到了很快的提升,供電企業的生產調度和經營管理對計算機和網絡信息系統的依賴程度也越來越強,甚至,離開了信息系統的支撐,日常的生產、經營、管理活動已經不能順利進行。但是,需要引起重視的是,縣級供電企業在信息化躍進過程中,在人員、設備、技術和管理中的不足,使信息安全面臨的風險也在日益突出。
一、信息安全風險
信息作為一種特殊資源與其它資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。
縣級供電公司信息安全的風險有內部的,也有外部的。內部的表現為:網絡故障、應用系統故障等;外部的表現為:網絡入侵、外部泄密等。內、外部網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力企業網絡上連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,盜取商業秘密和機密信息,非法使用網絡資源等,將給企業造成巨大的損失。
二、信息化網絡及應用現狀分析
在網絡硬件方面,已經建成CISCO7603、CISCO4507R為主交換機,主干為千兆的以太網。上聯網絡連接升級為光纖通信為主,以太網2M為備用的方式。建成了覆蓋全公司20多個鄉鎮供電所及變電所的農村信息網。實現百兆到桌面、三層交換、VLAN等技術普及使用。主要分為兩類網絡系統,一類是實時系統,有調度自動化系統、設備監控操作系統;另一類是非實時的辦公自動化應用系統、電能量采集系統、集中抄表系統。兩類網絡系統是物理隔離,分網運行的。
在軟件方面,各應用主要包括調度自動化系統、負荷監控系統等。計算機及信息網絡系統在電力生產、建設等各個領域有著十分廣泛的應用,為安全生產、降低成本等方面取得了明顯的社會效益和經濟效益。
三、信息安全現狀分析
按照省、市公司信息化工作的統一部署,我公司信息系統已經初步建立其安全體系,將電力信息網絡和電力運行實時控制網絡進行了物理隔離。按江蘇省電力公司系統集成、數據集中要求,調度系統、電力營銷等核心數據都集中在省市公司管理,對公司網站、NOTES、下屬企業財務數據都建立了備份策略和容錯措施。企業內網和互聯網采取了嚴格的隔離措施,嚴防內外網機器混用造成信息外聯。信息網絡按業務劃分了10個VLAN,設置了訪問控制。采取了統一的域名管理,與市公司共享操作系統LiveUpdate系統,及時派發更新程序,堵塞操作系統漏洞。部署了symantec防病毒軟件,通過派發的形式對整個網絡部署查、殺毒。全面應用了國網桌面終端管理系統,實時監控客戶端的異常情況。采用了國網移動存儲介質管理系統,加強對移動存儲介質的管理。
但是客觀來說,縣級供電企業在信息安全管理上人員、技術薄弱,職工信息安全意識不到位,管理流程上存在疏漏,給網絡的安全埋伏了很多的不利因素。
四、信息安全存在的問題
1、操作系統及網絡安全問題。
目前,電力企業信息網絡中使用的硬件設備及操作系統的核心技術基本上來自國外,被認為是易窺視和易打擊的“玻璃網”,網絡安全處于被竊聽、干擾等多種信息安全威脅的脆弱的狀態。同時,縣級供電企業的操作系統大部分缺乏正版保護,難以得到有效升級和修補,難免受到“木馬”與“后門”的威脅;用戶習慣于默認密碼或管理者設置的初始密碼,較容易被他人破解;操作系統不安全的默認設置、共享等都可能給非法入侵提供方便。對于網絡設備,用戶使用tracert等工具較容易獲知核心交換機的IP地址,如果管理端口不加限制,使用空密碼,明文密碼或默認密碼,交換設備有被惡意控制的可能。局域網絡布點缺乏有效的規劃和管理,對使用普通交換機隨意串接,甚至使用無線路由串入,缺乏偵控手段,同時對計算機設備接入也缺乏有效的審查管理,內網外聯風險比較突出。
2、應用系統用戶身份認證和訪問控制急需加強。企業中的信息系統一般為特定范圍的用戶使用,包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。
一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制。二是各應用系統之間沒有一個統一的用戶管理,使用起來非常不方便,更不用說賬號的有效管理和安全了。三是用戶安全意識不強,習慣于默認密碼或管理者設置的初始密碼。應用系統人員變換后,延用以前的密碼,疏于更換帳號與口令。習慣于使用“保存賬號”、“保存密碼”的方式登陸應用系統。
3、木馬與病毒問題。
隨著Internet技術的發展、企業網絡環境的壯大和企業網絡應用的增多,病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網絡環境為病毒傳播、生存提供了環境。同時,黑客攻擊的風險增大。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入計算機系統,進行信息破壞或占用系統資源,使得用戶無法使用自己的機器。非正版保護的操作系統和應用軟件的使用,為木馬與病毒的植入及黑客攻擊提供了可能;部分客戶機的操作系統和防病毒軟件未能及時得到升級,系統用戶在使用移動介質在外網和內網之間交換數據時,很容易攜入木馬與病毒,使之成為發動攻擊的肉雞。
4、存儲介質管理問題。
目前,縣級供電公司雖然推廣使用了國家電網移動存儲介質管理系統,但是在使用中仍存在三種信息失密可能:一是用戶習慣使用注冊時的默認密碼,不加以個性化更改,這樣移動介質被他人獲取后很容易被破解,使數據泄密。二是部分用戶在移動存儲介質注冊時,為圖使用方便,劃分出自由區域,在實際使用時,繞過保密區登陸使用,將工作文檔存儲在自由區,如此使用移動介質,毫無保密可言,極易形成信息外泄;移動存儲介質的交叉使用,也可能造成信息內部失密。另外,機器維修也需加強管理,目前,縣級供電公司基本上計算機專職配置為1人,需要管理300臺左右的機器和龐大的局域網絡,基本上是疲于應付,計算機故障處理、系統重裝等一般外包給社會電腦門市,將單機信息保密工作寄托于維修商的良知,風險極大。
5、數據庫數據和文件的明文存儲。
電力系統計算機網絡中的信息一般存儲在由數據庫管理系統維護的數據庫中或操作系統文件中。以明文形式存儲的信息存在泄漏的可能,拿到存儲介質的人可以讀出這些信息;黑客可以繞過應用系統,數據庫管理系統的控制獲取這些信息;系統后門使軟硬件系統制造商很容易得到這些信息。
五、針對信息安全漏洞的防控措施
1、加強信息安全教育。應該將信息納入到供電企業安全管理中,并與生產安全置于同等重要的位置,長效管理,常抓常新。為了保證安全的成功和有效,信息主管部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。特別是對基層班組和供電所信息用戶,應用能力相對薄弱,亟需開展定期的應用能力培訓和考核。所有的職工必須了解并嚴格執行企業安全策略,明確其對企業信息安全所承擔的職責和義務,要求能夠保證自己的計算機和相關應用的安全。
2、加強密碼管理工作。對網絡設備、操作系統等各類密碼要妥善治理,杜絕默認密碼,出廠密碼,無密碼和容易猜測的密碼,防止非法用戶入侵使用。密碼要及時更新,特別是有職員調離時密碼一定要及時更新。減少應用系統的賬號共用、通用。
3、加強信息介質的管理。備份的介質要防止丟失和被盜。移動存儲介質注冊時要限制使用自由存儲區域,減少使用通用密碼。建立報廢的介質的清除和銷毀制度,加強報廢介質管理。增加計算機管理人員配備和加強計算機管理網絡建立,逐步減少外送維修,防范外修過程中存儲介質信息的泄密。
4、加強設備技術投入。應用先進的加密技術和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求。引進進侵檢測系統提供企業級的安全檢測手段,最大限度地、全天候地實施網絡監控。在事后分析的時候,可以清楚地界定責任人和責任事件,為網絡治理提供強有力的保障。建議取消DHCP服務,在交換設備上使用MAC地址與IP地址的綁定,加強接入內網設備的有序管理。
5、加強內網外聯治理。在管理上,加強內網外聯知識與危害性的廣泛宣傳,對發生內網外聯事件的人要嚴肅處理,捆綁考核。在技術上,內、外網的設備接入要有明顯的物理隔離和標志,防止誤操作的發生;杜絕計算機內外網混用;嚴格防范ADSL等設備接入內網終端。
6、加強信息責任制考核。要強化信息安全考核機制的執行,對發生的信息安全事故或隱患,要通過技術手段追蹤到責任人,并按照四不放過的要求,組織分析調查,落實考核、落實整改措施,并舉一反三,深化對全體職工信息安全養成教育。
六、結束語
綜上所述,技術是信息安全的主體,管理是安全的靈魂,信息安全,三分技術,七分管理。只有將有效的安全管理實踐自始至終貫徹落實于信息安全工作當中,信息安全的長期性和穩定性才能有所保證。
參考文獻:
[1]劉立兵.淺談計算機網絡在電力系統的應用及安全性
[2]殷小貢,劉滌塵.電力系統通信工程[M].武漢:武漢大學出版社,2004。
[3]楚狂,網絡安全與防火墻技術[M].北京:人民郵電出版社,2004。
