基于电力信息系统安全风险及防护措施研究.docVIP

基于电力信息系统安全风险及防护措施研究 　　摘 要：文章首先介绍电力信息系统的安全需求，分析电力信息系统数据安全防护策略，详细探讨电力信息系统的数据安全防护体系。 　　关键词：电力；信息系统；数据；安全防护 　　引言 　　随着我国信息化技术与管理水平的不断发展，计算机网络已经得以广泛应用。对于电力企业来说，信息化项目已经在安全生产、成本控制、节能减排等方面发挥积极作用，实现经济效益与社会效益。因此，电力企业越来越依赖信息化管理手段，但是随之而来的信息化项目风险问题已不容忽视，只有提高电力企业信息系统的安全性，才能确保电力企业的长久、稳定发展，实现供电可靠性目标。 　　一、电力信息系统的安全需求 　　1. 电力信息系统安全问题及威胁 　　从目前情况分析，电力信息系统存在的主要问题包括两个方面：一是普遍缺乏统一的安全管理体系和安全规划，缺乏统一的规章制度和安全策略；二是缺乏完整的技术防护体系，目前各电力信息系统己经采用了一些安全防护措施，但是相对于日益复杂多变的信息安全形势，安全措施的采用还是不足的，存在严重的风险和安全威胁。从技术方面上分析，电力信息系统所面临的安全威胁可分为以下两种： 　　（1）对网络中各类设备的威胁；这类威胁对网络设备、计算机设备、工业控制设备进行远程控制、非法使用甚至破坏，使设备不能按正常工作、拒绝服务或者被植入后门，导致电力系统正常业务出现错误甚至中断。造成这类威胁的原因主要包括网络结构设计不合理，设备存在安全漏洞、病毒的侵害以及人员的恶意攻击等。 　　（2）对电力系统中的数据进行威胁，出现数据被截取、篡改或者破坏。对数据的威胁可能存在于数据的存储、处理和传输整个过程中，这类威胁的原因主要包括人员的非授权访问，操作系统、数据库系统或者应用系统设计缺陷造成信息泄露、人员的恶意攻击，管理人员的素质风险等。从信息安全发展趋势来看，信息安全防护的核心都将归终于数据安全，因此对于电力行业而言，保护电力数据安全是电力信息安全核心内容。 　　2. 电力信息系统数据安全 　　电力信息系统面向电力企业，按照应用领域不同，可以分为三类：生产控制系统、行政管理系统和市场营销系统，其数据内容按照领域可以分为与生产过程相关的数据、办公数据以及市场营销方面的数据。电力信息系统数据安全隐患主要体现在数据存储、传输的安全性和真实性上，通常电力信息系统数据安全至少需要解决以下问题： 　　（1）保证电力数据的完整性，以防止电力系统各类数据不被修改； 　　（2）保证电力敏感数据的必威体育官网网址性，例如：电力系统中的供电信息在传输途中不被非法截获； 　　（3）保障电力数据的可用性：保证电力各类数据能够被授权人员访问。在实际电力信息系统应用环境中，电力系统将电力设备、业务应用软件、计算机设备在网络环境下组成一个有机整体，电力系统的数据安全防护不可能依靠某种单一的安全技术就能得到解决，必须在综合分析电力系统整体安全需求的基础上构筑一个完整的数据安全服务体系。 　　二、电力信息系统数据安全防护策略 　　数据安全是电力信息系统安全的焦点，如何确保数据安全，成为数据管理上的难点和关键点。电力信息系统数据安全面向具体行业，实现安全目标应以密码学、访问控制、网络安全等信息安全的理论和方法为基础，建立相应的数据安全防护策略，其目的是为了解决电力部门如何保护自己的数据的安全性、完整性和可用性。确保电力企业数据安全不是简单的设置防火墙、安装杀毒软件、使用必威体育精装版的补丁程序修补最近发生的漏洞或者进行数据备份等，而是一个系统的、动态的过程，也是一个与时俱进的过程。 　　1. 加强数据存储环境的安全 　　电力行业数据通常存在于各类业务系统中，这些系统数据的存储环境主要包括操作系统和数据库系统。操作系统是连接计算机硬件与上层软件之间用户的桥梁，操作系统的安全性是至关重要的，为了减少操作系统的安全漏洞或隐患，需要对操作系统予以合理配置、管理和监控；在数据库系统中，电力行业所涉及的数据库密级更高、实时性更强，因此有必要根据其特殊性完善安全策略，保证数据库中的数据不会被有意的攻击或无意的破坏，不会发生数据的外泄、丢失和毁损，即实现了数据库系统安全的完整性、必威体育官网网址性和可用性。 　　2. 对敏感数据本身进行防护 　　对于电力行业部门，各类操作系统和数据库系统提供的安全控制措施只能满足一般的数据库应用，而难以完全保证其数据的安全性。当前基于内网安全、终端安全和数据安全的方式在不同程度上对各类数据进行了保护，但对于敏感的数据内容，需要采用对加密的方式对数据进行保护，同时要对数据本身及其运行支持系统进行备份和对数据运行的硬件环境进行备份。 　　3. 加强数据交换的安全设计 　　针对数据交换过程中数据完整性、数据必威体育官网网址性、不可抵赖性等问题，需要采用身份认证