摘要:文章首先对电力系统信息网络安全防护的必要性进行简要阐述,在此基础上对电力系统信息网络安全防护及措施进行论述。期望通过本文的研究能够对确保电力系统的安全、稳定运行有所帮助。
【关键词】电力系统;信息网络;安全防护
1电力系统信息网络安全防护的必要性
对于电力系统而言,信息网络的安全性尤为重要,如果信息网络的安全隐患大,必然会常常出现问题,由此会对电力系统的正常运行带来影响。现阶段,随着智能电网规模的不断扩大,电力系统运行过程中,对信息网络的依赖性逐步提升。因此,加强安全防护显得尤为必要。电力系统信息网络中存在如下安全隐患:其一,网络病毒。这里所指的病毒是一种具有极强隐蔽性和超快传播速度的计算机程序,它对电力系统的信息网络有着巨大的危害性,一旦信息网络遭受病毒入侵,轻则会导致重要的信息丢失,严重时将会对电力系统的正常运行造成影响,进而导致系统陷入瘫痪状态,由此带来的损失是无法估计的。其二,恶意攻击。在计算机网络世界中,存在着一类利用网络进行违法行为的人,他们被称之为黑户,如果电力系统信息网络遭到黑户的恶意攻击,不但会威胁到网络安全,而且可能会造成大范围停电事故,其所带来的影响要远远超过网络病毒。在电力系统信息网络中有着大量重要的信息资源,如果机密信息被黑户获取,会给电力企业造成无法弥补的损失。其三,不可抗力。电力系统信息网络的载体是计算机,由于计算机本身是弱电系统,其在运行的过程中,会受到各种不可抗力的影响,如雷电、地震等等,这些都会对信息网络安全构成威胁。鉴于此,为确保电力系统信息网络的安全运行,必须采取合理可行的安全防护措施。
2电力系统信息网络安全防护及措施
2.1网络防火墙
防火墙是确保网络安全最为常用的技术措施之一,它的主要作用是保护网络不被非法入侵,从本质的角度上讲,防火墙是一种访问控制技术,通过在网络边界上建立的监控系统,可以实现对内网和外网的有效隔离,从而阻止来自于外部的非法入侵。作为一种保护装置,防火墙由路由器、主机和软件等几个部分组成,包过滤是防火墙的核心技术,该技术与网络层相对应,若是数据包与安全规则相符,则会被转发和接收,如果不符,则会自动进行屏蔽。除了包过滤技术外,还有代理技术和应用层网关。应用层网关又被称之为代理防火墙,它的主机可以是双重宿主主机,也可以是堡垒主机。代理服务通常处于内部用户和外部服务之间,对网络用户而言,代理服务是透明的,对服务器而言,其并不知道网络用户的存在,认为是与代理服务器之间的对话。应用层网关的逻辑结构如图1所示。代理服务器在信息网络中起中间转接的作用,不但可以对网络用户的访问类型进行控制,而且在外网向内网申请某种网络服务时,代理服务器会决定是否接受请求。由此可以将非法入侵全部阻隔在内网之外,确保了电力系统信息网络的安全性。
2.2防病毒技术
就网络环境而言,对病毒进行防范是非常重要的一项技术措施,由于网络病毒的破坏性强,所以应当采取有效的防病毒方法。比较常见的有基于网络目录和文件的安全性方法、工作站防病毒芯片、基于服务器的防病毒技术、实施反病毒技术等等。在上述技术和方法中,基于服务器的防病毒技术适用于电力系统信息网络的安全防护。信息网络的核心是服务器,服务器感染病毒后无法正常启动,进而造成网络瘫痪,通过NLM技术,以模块化的方式对程序进行设计,将服务器作为基础,对网络病毒进行实时扫描,确保服务器不被病毒感染,使其失去继续传播的途径,进而阻止病毒在网络上蔓延。此外,安装正版的杀毒软件产品,能够对一些顽固的木马病毒进行防范,需要注意的是,杀毒软件无法实现对所有病毒的查杀。因此,可将杀毒软件与基于服务器的防病毒技术进行联合使用,这样可以对电力系统信息网络的安全起到有效的保护。
2.3身份认证技术
在电力系统信息网络中,通过对用户身份的认证,可以避免非法用户对高于其权限的资源进行访问,由此可确保数据信息的安全。基于CA的身份认证机制比较常见,CA即证书授权,每个网络的证书都是由CA中心分发并签名确认的,证书中含有公开密钥,CA除对证书进行签发之外,还能对证书和密钥进行管理。例如,当A用户向B用户传输信息时,信息会通过hash函数转换为特征数值,用私钥可将之加密为数字签名,其通常会被放在需要传输的信息文件之后。B用户可借助CA提供的A用户的公钥对密文进行解密,生成特征数值,如果二者一致,则表明该信息是由A用户发出的,此时便可进行接收。CA数字证书的引入,对数据信息在网络中的传输安全性起到了一定的保护作用。
3结论
综上所述,对于电力系统而言,信息网络的安全性至关重要,为确保信息网络的安全,必须采取合理可行的安全防护措施,限于篇幅,本文仅对信息网络安全防护中效果较好的几种措施进行分析,除此之外,还有一些技术措施也能对信息网络的安全起到有效的保护,如入侵检测技术、信息安全规约等等。未来一段时期,应当加大对这些方面的研究力度,不断完善技术措施,为电力系统信息网络安全提供保障。
参考文献
[1]赵亮.关于计算机网络技术安全与网络防御的研究[J].电脑知识与技术:学术交流,2015,11(07):88-89.
[2]舒德凯.计算机网络技术的应用及安全防御探究[J].电子技术与软件工程,2015(10):217-217
[3]魏锋华.探究计算机网络技术的安全防护应用[J].数字通信世界,2016(08).
[4]何伟明.计算机网络技术安全与网络防御策略研讨[J].网络安全技术与应用,2017(08):1-2.
第二篇:海事信息网络安全防护策略论文
摘要:长江海事信息网络作为海事信息管理及业务实施的核心支撑,实现了长江沿线各管理单位设施和数据的共享集成及互联互通,广泛应用于海事监管、水上安全信息发布等日常业务中。作为数据和通信的承载体,海事信息网络的安全状况对保证业务的连续性,数据的完整保密性及具有重要的现实意义。所以,做好海事信息运行网络的网络安全防护,对于保障海事日常运维工作的正常开展显得尤为重要。本文分析了影响海事网络信息安全的主要因素,结合业务实际提出了海事信息网络安全防护的策略,并在勒索病毒的防护实践中进行了合理性的验证。
关键词:海事信息网络;网络安全;安全防护策略;“勒索”病毒
一、海事信息网络安全的影响因素
随着各业务信息化程度的提升,海事信息网络已经成为海事监管与水上交通信息共享等业务的基础平台。各种信息资源在这里得到了有效集成共享。近年来,网络入侵事件日益严重,对海事信息网络的安全性产生了极大的威胁。结合工作中遇到的实际情况,影响其网络安全的因素主要可以归纳为以下几方面:
(1)松耦合的分布式网络结构带来的安全隐患。海事信息网络由各个分布在不同业务单位的网络级联而成,网络连接的多样性以及地域上的不均匀分布,使其易受恶意软件和其它形式的攻击。
(2)操作系统、软件及硬件存在安全漏洞和缺陷[1]。随着网络运行的软硬件环境越来越复杂,这些基础设施都无法完全保证其安全可靠;同时,网络的使用者安全意识薄弱,不能及时有效的进行安全防范,也导致了信息网络存在着巨大的安全隐患。
(3)网络攻击手段层出不穷。网络攻击技术越来越先进,攻击方法也越来越隐蔽,对网络环境造成破坏性也越来越大,覆盖面越来越广。网络安全问题产生的根源是互联网分布式架构所导致的,各种安全威胁可不受地理位置限制及特定平台的约束,而海事信息网络由多个分布在不同地域的节点连接而成,业务运行需要多种终端设备及数据系统的接入和访问,其网络安全也因此受到严重影响,给海事信息网络的正常工作带来了巨大的安全威胁与高昂的经济成本。
二、海事信息网络安全的防护策略
海事运行信息网络的安全防护从技术方法上来说,主要由防火墙配置、入侵检测技术、防病毒设置等多种防范措施组成,通过这些安全防护手段的综合使用,能有效防范各种网络攻击的入侵。具体如下:
(1)防火墙技术:防火墙是一种隔离控制技术,通过预定义的安全策略对内外网通信强制实施访问控制[2]。防火墙保护网络内部的硬软件资源和数据资源,通过防火墙的规则来约束网络信息的传输。在海事内网中通过部署三个层次的防火墙实现了对流经数据的检测,保障内网的稳定运行。首先将硬件防火墙放置于核心交换机和核心路由器之间,作为边界防火墙,有效的阻止外部非法数据的入侵以及内部网路发生安全事件时的扩散;在重点服务器和核心交换机之间部署第二层防火墙,将重点服务器隔离保护,当网络内部发生网络攻击事件时将服务器隔离在外,保证网络的尽快恢复。在各个海事处的交换机和局机关网络间部署第三层防火墙,通过这些防火墙的部署有效的保障了各个海事处内网和局机关互联互通及数据的安全性。
(2)入侵检测技术:入侵检测技术通过对信息网络以及业务终端系统中的进行信息监测和综合分析,来发现是否存在攻击信息。入侵检测是防火墙的合理补充,帮助系统对付网络攻击[3]。海事网络管理部门通过相关的软硬件部署,可以检测和分析相关的漏洞利用企图、端口扫描等各种可疑行为,此外制定了网络信息管理监测和汇报机制,在一定程度上进一步提升了运行网络的安全保护能力。
(3)防病毒技术:防病毒技术通过一定的技术防护方法阻止病毒程序对软件业务系统可能造成的破坏,同时阻止病毒在网络环境中传播和扩散。按照武汉海事网络管理部门的统一部署,在内网部署了360d擎服务器,各终端均安装了360d擎客户端。所有终端可以通过各分支局的服务器自动安装已有漏洞的补丁并自动更新,客户端中集成了防病毒软件,有效的防御相关病毒,为各终端的安全提供了保障。以上是海事信息网络管理部门常用的安全防护手段,在实际日常的网络安全管理过程中,除了这些技术方法外,更重要是要制定符合单位实际运行需要的安全管理制度,通过制度来建设规范化、高效能的网络管理。
三、新型勒索病毒的防护实践
《中华人民共和国网络安全法》在2016年11月发布,对企事业单位的网络安全管理的责任和义务进行了明确限定。武汉海事通信信息中心梳理了相关的管理规程,并制定了网络安全管理的技术保障方案,有效地提高了海事系统内业务网络的安全防护水平,在2017年5月爆发的勒索病毒防护中经受住了严峻的考验。勒索病毒通过通过共享端口(135、137、138、139、445)传播,较多的企业和机构受到严重攻击。在勒索病毒全球范围内爆发之初,武汉海事通信信息中心按照上级单位相关要求和网络安全的相关条例,有条不紊地展开网络安全防护工作,有效地抵御了病毒的攻击。主要工作有:
(1)核心交换机控制策略更新:在核心交换机上添加新的ACL控制策略,并在核心交换机的三层端口上有效控制了135、137、138、139、445这五个端口上数据的进出,如图1所示。
(2)服务器及终端主机:在服务器和终端主机上,我们按照安全终端的管理要求,运行勒索病毒专杀工具对服务器和终端电脑进行逐一检查,确保每台服务器和终端电脑均安装相关补丁,并已经具备完全免疫能力。同时,在相关服务器和终端的防火墙策略中增加了新的入站规则和出站规则,如图2所示。通过以上安全防护措施,武汉海事的业务网络未发生服务器或者终端电脑中毒事件,成功地抵御了勒索病毒的攻击。
四、结语
本文分析了武汉海事信息网络运行过程中的安全影响因素,并研究了相关安全防护的方法和实施方案,通过“勒索”病毒的防护实践,证明了这些策略可以有效防护各种网络攻击、极大的提升了海事信息网络的安全可靠性,保障了各项业务工作的正常开展。海事信息网络的安全防护一方面需要网络运维管理人员加强学习,密切关注网络安全领域的新动向,学习和掌握新方法,不断提升技术应用水平,并做好预防;另一方面还需要网络终端用户积极络安全管理法规,提升安全防护意识,遵守制定的操作流程和规范,从信息网络内的每台终端出发,做好运行网络安全防护工作。只有将安全技术和管理制度进行综合运用,才能更有效的保障海事网络的运行安全,从而为业务的稳定运行提供强有力的支撑和保障。