電力企業信息安全技術防護體系構建

祝培培

(國網江蘇省電力公司常州供電公司,江蘇常州 213000)

電力企業信息安全技術防護體系構建

祝培培

(國網江蘇省電力公司常州供電公司,江蘇常州 213000)

在日新月異的信息技術給公司帶來管理效能的變革提升的信息時代,信息與業務全面融合,信息安全與生產經營密切相關。在技術上防護物理、網絡、主機系統、數據應用各層面安全,建設一套先進、實用、高效的信息安全保障體系,在安全可靠前提下以信息化持續穩定地支撐助力生產專業化與管理現代化。

信息安全 防護體系 電力信息化

電力系統是我國計算機應用起步較早的行業，信息技術的高速發展和廣泛應用，為公司門戶網站、辦公自動化、電網調度、生產運行、財務資金、營銷管理等各方面提供了有力支撐，信息安全的重要性不言而喻。

1 信息安全定義

國際標準中對信息安全的定義是：信息本身的機密性(Confi dentiality)、完整性(Integrity)和可用性(Availability)的保持，即防止未經授權使用信息、防止對信息的不當修改或破壞、確保及時可靠地使用信息。通俗的說，信息安全就是：確保信息系統持續、可靠、穩定運行，以及防止信息丟失、篡改和泄密。對于地市供電公司來說，信息安全的保障對象為：主營業務系統及數據安全，網絡區域邊界安全，網絡、機房等基礎設施安全，桌面終端使用安全。

2 信息安全技術防護體系建設

2.1 物理安全

信息機房是各類信息設備的存放地點，是公司信息化工作的核心樞紐。在制定《機房管理制度》、《運行值班制度》做好人員進出和設備監控管理基礎上，常州公司全面開展了安全管理專項整治工作，對中心機房、沿線機房、52個供電所(點)等所有信息設備所在地的信息設備、空調、UPS及電纜走線等進行全面排查，收集照片千余張，形成了完備的現場資料。在完成對隱患細節的梳理分析后，明確分工落實責任，扎實開展隱患整改工作，保障設備物理安全。

2.2 網絡安全

信息網絡的安全與穩定是應用正常流轉，數據順暢交互的前提與基礎。

2.2.1 DHCP熱備,提升基礎服務可靠性

DHCP作為基礎的網絡服務支撐，關系到全網終端用戶能否正常獲取IP地址。在路由交換設備、線路都實現冗余的同時，單機在線運行的DHCP服務器就成了一個薄弱環節。

目前的DHCP服務器一般采用冷備方案，平時只有一臺提供服務，只有在主用服務器宕機時才會啟用備份服務器。這種方案的缺點是主用服務器故障時切換延遲大，此時需要將主用從網絡上斷開，將備用服務器的IP更改為主用的IP，而在發現問題執行切換操作之前，用戶已經或多或少受到了影響。

圖1 802.1X網絡準入認證圖示

為消除薄弱環節，常州公司進行技術攻關，利用服務器群集技術，實現了DHCP服務器的雙機熱備。在添置磁盤陣列之后，通過使用windows server 2003附帶提供的cluster服務，部署DHCP服務器群集，實現了更高的DHCP服務可靠性，避免了因單機宕機而引起的服務中斷。

2.2.2 雙重準入,嚴守信息網絡入口

常州公司已經在一市二縣所有辦公區域、變電站、營業網點全面啟用802.1X網絡準入認證和IP/MAC綁定雙重準入機制，對入網設備設置了雙重技術屏障的同時，也為信息網絡安全識別與規范管理打下堅實基礎。

第一重準入：采用基于國網桌面終端管理系統的802.1X網絡準入認證，對入網用戶進行嚴格的身份認證與準入控制。802.1x認證技術的特點是簡潔高效：純以太網技術內核，不需要進行協議間的多層封裝，去除了不必要的開銷和冗余，在二層網絡上實現用戶認證，對設備的整體性能要求不高。802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口訪問局域網。在認證通過之前，802.1x只允許認證信息數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。客戶端認證時需提供的密碼等信息，由國網桌面終端管理系統事先統推到合法的內網終端。非法用戶在進行認證時，由于提供不出正確的認證信息，因此被拒絕訪問。如圖1所示。

第二重準入：合法用戶通過第一重準入認證后，還需在DHCP服務器上建立保留實現IP/MAC綁定。DHCP服務器按照保留為每個用戶分配與MAC地址唯一對應的IP地址，地址池中的172網段的未分配地址全部手工排除在外，同時在DHCP上給各vlan增加一段私有地址，提供自動分配。未進行過IP/MAC綁定的用戶，在認證通過后，會首先得到一個私有地址，這時用戶只能訪問市公司很有限的幾個網頁，門戶等辦公業務均無法開展，私有地址的主要目的是可以明確此新進用戶機處于哪個vlan。在待入網設備履行入網審批登記流程后，網管人員會給設備分配和綁定一個172網段地址，設備方能正常聯網。

2.3 系統安全

業務應用是公司信息化建設的核心內容，作為流轉平臺的信息系統必須保證穩定可靠。對于承載應用的服務器，常州公司將原單線聯網方式改造為二套網絡一主一備方式，并用技術手段實現發生網絡故障時的自動實時切換，通過網絡冗余極大提高了服務器的可靠性。

為應對數據篡改、應用數據丟失、業務中斷等信息系統事件，有針對性地編寫了《信息系統數據庫管理標準化作業指導書》、《服務器備機及應用恢復作業指導書》，從日常管理、備份管理、應急恢復管理三方面規范了信息系統數據庫和服務器應用的管理與操作，內容精細至命令級，具有較強的可操作性。

此外，模擬服務器故障導致應用系統無法使用場景開展信息系統應急演練，在最短時間內恢復應用和數據，降低事故損失，提高了應急恢復技能。

2.4 應用安全

每一臺終端的規范應用都關乎公司整體信息安全。常州公司全面推廣實施國家電網公司桌面終端管理系統，并啟動用戶權限、用戶密碼、補丁檢測等各項安全策略對終端設備進行安全管控。每天檢查、通報終端注冊、防病毒安裝、補丁安裝、弱口令等使用規范情況，每日通報處理病毒發作次數前5位的終端設備。公司在所有內外網終端上統一推廣保密自動檢測系統，指導員工開展自查并進行了保密檢查，嚴格確保“涉密信息不上網，上網信息不涉密”。

3 結語

在計算機應用由簡單的數學運算、文件處理發展到與企業內部的信息共享和業務應用融會貫通的今天，電力信息安全已與企業生產經營管理密切相關。不能單純依靠管理教條的生搬硬套和靜態技術的堆砌疊加盲目管控，必須結合公司實情，研究信息安全各要素間的聯系，不斷進行管理創新與技術實踐，建立一套先進、實用、高效的信息安全保障體系，確保公司信息系統安全、可靠、穩定運行。

[1]關良輝.電力企業局域網的信息安全[J].電力安全技術,2010.

[2]趙志宇.談電力信息系統安全保障體系建設原則及思路[J].計算機安全,2009.

祝培培(1980—),女,江蘇常州人,工程師,研究方向:電力信息技術&信息安全技術。