電力行業信息安全探討
自1987年以來,全世界已發現48萬多種電腦病毒。病毒的數量仍在不斷增加。據國外統計,計算機病毒以十種/周的速度遞增,另據我國公安部統計,國內以四種/月的速度遞增。各種引導型、文件型以及混合型病毒能對操作系統、主機甚至整個網絡造成巨大威脅,能在短時間內造成信息被竊取、操作系統崩潰甚至整個網絡癱瘓。電腦病毒給社會經濟造成的損失也越來越大,僅早期的“愛蟲”病毒就給全球用戶造成了100多億美元的損失。如今,每年計算機病毒造成的損失都達幾千億美元,給全球的企業生產及商業機會帶來了巨大損失。
3保護信息安全的技術措施
3.1信息加密
信息加密是一種行之有效的技術保護措施,通過某種加密算法將數據變換成只有經過密鑰后才可讀的密碼來加以保護。信息加密包括兩方面的要求,一個是對數據保密性要求,使未經授權的非法訪問即使得到數據也難以解密;另一個是對通信保密性要求,防止用戶通信數據篡改、 通信數據插入、通信數據重用等非法操作。常用的加密方法有公開密鑰加密系統、公開密鑰數字簽名、公眾域安全證實協議等。
3.2信息隱藏
信息隱藏(也稱信息偽裝或信息隱匿)是信息安全研究領域與密碼技術緊密相關的一大分支,也是多媒體技術、網絡技術研究的前沿,應用前景十分廣闊。所謂的信息隱藏技術,主要研究如何將某一機密信息秘密隱藏于另一公開的信息中,然后通過公開信息的傳輸來實現隱蔽傳輸、存儲、標注、身份識別等功能。具體來說,是把指定的信息隱藏于數字化的圖像、聲音,甚至文本當中,充分利用人們的“所見即所得”心理,來迷惑惡意的攻擊者。信息隱藏技術目前存在于如下幾個應用領域:數字水印、篡改提示、特征定位等,應用于保密信息的網絡傳輸、電子出版物的版權保護。 3.3信息過濾 網絡為信息的傳遞帶來了極大的方便,也為機密信息的流出和有害信息的流入帶來了便利,網絡需要設置“海關”。目前,我國建立了信息安全等級保護體系(見圖3),并通過過濾軟件及等級保護與分級制度(見表1)對來往信息尤其是越境數據流進行過濾,將不宜出口的保密或寶貴信息資源留在有效網絡范圍內,將有害信息擋在網絡之外。
圖3 我國信息安全等級保護體系構成
表1 我國實施的等級保護與分級保護制度
3.3.1接收控制軟件
Internet是一個非控制網,控制整個Internet是不可能的。但是,控制與該網聯接的計算機從網絡中接收何種信息是可能的??梢岳密浖刂朴嬎銠C訪問Internet的地點和區域,控制計算機讀取網上文件的類型和內容,控制計算機每天使用的時間和使用的總量等。目前,這類軟件有Net Nanny, Cyber Patrol, Cyber Sentry和Surf Watch等。這些過濾軟件能夠限制用戶對Internet上特定網址的獲取,可以設定相應的控制策略來實現對計算機的訪問控制。
3.3.2入侵檢測技術
入侵檢測是從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,查看網絡或主機系統中是否有違反安全策略的行為和遭到襲擊的跡象。它能提供對內部攻擊、外部攻擊和誤操作的保護,監視、分析用戶和系統的活動。 入侵檢測系統可分為基于網絡(NIDS)和基于主機(HIDS)兩種。通過對特定網段、關鍵服務器安裝IDS,可實時檢測出大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。常用的入侵檢信息分析技術有:模式匹配、統計分析、完整性分析等。
3.4信息抗抵賴
信息抗抵賴技術通過嚴格限定信息的共享范圍來防止信息被非法偽造、篡改和假冒。一個安全的信息抗抵賴方案應該能使:合法的接收者能夠驗證他收到的消息是否真實;發信者無法抵賴自己發出的消息;除合法發信者外,別人無法偽造消息;發生爭執時可由第三人仲裁。按照具體目的,信息抗抵賴可分為消息確認、身份確認和數字簽名。消息確認使約定的接收者能夠驗證消息是否是約定發信者送出的且在通信過程中未被篡改過的消息。身份確認使得用戶的身份能夠被正確判定,常用的方法有個人識別號、口令、個人特征(如指紋)等。數字簽名與日常生活中的手寫簽名效果一樣,不但能使消息接收者確認消息是否來自合法方,而且可以為仲裁者提供發信者對消息簽名的證據。
3.5網絡控制技術
網絡控制技術種類繁多且相互交叉,在不同的場合下能夠發揮出色的功效。網絡控制是網絡安全防范和保護的主要策略,主要任務是保證網絡資源不被非法使用和非法訪問。常用的網絡控制技術有: (1)防火墻技術。它是一種允許接入外部網絡,但同時又能識別和抵抗非授權訪問的網絡安全技術。目前防火墻主要采用包過濾(Packet filtering)、電路級網關(Circuit level gateways)和應用級網關(Application level gateways)三種方法解決網絡安全問題。 (2)審計技術。安全審計包括識別、記錄、存儲和分 析那些與安全相關活動有關的信息。它使信息系統自動記錄網絡中機器的使用時間、敏感操作和違紀操作等,并且通過審計記錄結果可判斷那些安全相關活動以及哪個用戶要對這些活動負責。 (3)訪問控制技術。它允許用戶對其常用的信息庫進行適當權利的訪問,限制隨意刪除、修改或拷貝,還可以使系統管理員跟蹤用戶在網絡中的活動,及時發現并拒絕“黑客”的入侵。 (4)安全協議。整個網絡系統的安全強度實際上取決于所使用的安全協議的安全性,常用的安全協議例如IPSec、SSL、HTTPS等。
3.6漏洞掃描技術
漏洞掃描是自動檢測網絡或主機安全脆弱點的技術,通過執行一些腳本文件對系統進行攻擊并記錄它的反應,從而發現其中的漏洞并采取補救措施。 不管攻擊者是從外部還是從內部攻擊某一網絡系統,攻擊機會是由于他利用該系統的已經知道的漏洞而得到的。對于系統管理員來說,漏洞掃描系統是最好的助手,能夠主動發現Web服務器主機系統的漏洞,在主機系統安全防護中做到“有的放矢”,及時修補漏洞。
3.7 VPN虛擬專網
虛擬專網(Virtual Private Network, VPN)是指采用隧道技術以及加密、身份認證等方法,在公共網絡上搭建專用的網絡,數據通過安全的“加密隧道”在公共網絡中傳輸。 VPN可使用戶和企業通過公共的互聯網絡,連接到遠程服務器、分部辦公室服務器和網絡,或其他企業的網絡,同時可以保護通信的安全。VPN具有安全性、服務質量保證(QoS)、可擴充性和靈活性、可管理性、使用價格低廉等特點。
3.8防病毒技術
防病毒系統能夠采用單擊殺毒和網絡殺毒的方式來實現病毒預防、病毒診斷、病毒殺滅、病毒檢測等措施。對于服務器端必須安裝防病毒軟件,實現對病毒的檢測并及時清除;客戶端計算機防毒機制是在客戶端的主機安裝防病毒軟件,將病毒在本地清除而不至于擴散到其他主機或服務器。個人級防病毒系統要及時升級,企業級防病毒系統要求自動升級。
4 電力信息安全防護的對策
4.1建立組織保證體系
組織保證體系是保障電力企業安全實施的重要基礎, 安全措施的順利執行必須得到企業高層的支持、必須有一套了解企業狀況,掌握信息安全技術手段的人員班子,形成電力企業信息安全的決策層、管理層、執行層等機構,確保人員的配置,安全責任制的落實。目前,各級電力企業都成立了以企業“一把手”為領導的組織體系。
4.2發展自主信息產業
為了信息安全的長期發展目標,需要研制自己的操作系統和芯片,力爭掌握信息安全關鍵技術產品與系統的技術自主權,建設我國的電力行業自主信息產業。逐步實現民族的信息產品替代進口產品。但值得注意的是民族產品競爭力的提高及其替代進口產品都需要一個過程,是不可能一蹴而就的??梢圆扇∽屍髽I成為技術創新主體、加大資金投入、實施標準和知識產權戰略、推動相關法律法規建設等,這

責任編輯:黎陽錦
-
發電電力輔助服務營銷決策模型
2019-06-24電力輔助服務營銷 -
繞過安卓SSL驗證證書的四種方式
-
網絡何以可能
2017-02-24網絡