電力信息網(wǎng)絡(luò)的風險評估技術(shù)研究

王 蕾

（國網(wǎng)湖南省電力公司常德供電分公司，湖南常德415000）

信息安全工作對信息網(wǎng)絡(luò)的安全狀況進行評估，對信息系統(tǒng)起到保障作用，在高新科技時代，電力企業(yè)建立安全有效的信息網(wǎng)絡(luò)刻不容緩。面對越來越重要的電力信息網(wǎng)絡(luò)的風險評估，本文結(jié)合當前電力信息系統(tǒng)現(xiàn)狀，分析了信息安全評估的方法，總結(jié)了風險評估技術(shù)。

1 電力信息網(wǎng)絡(luò)風險評估技術(shù)的現(xiàn)狀

目前，我國的電力信息系統(tǒng)已經(jīng)建立了安全管理體系，并在不斷地完善，將原先信息網(wǎng)絡(luò)和實施控制體系相互分離開來。然而，我國電力信息網(wǎng)絡(luò)的安全存在著許多缺陷，包括缺乏網(wǎng)絡(luò)防火墻、數(shù)據(jù)備份問題、缺少長遠的規(guī)劃等，系統(tǒng)的安全管理體系還需要更進一步地完善建設(shè)。

1.1 電力信息網(wǎng)絡(luò)的風險評估技術(shù)的運用

電力企業(yè)信息化硬件設(shè)備足夠，網(wǎng)絡(luò)建設(shè)成功完成。信息化在電力生產(chǎn)、電力調(diào)度、輸變電、配網(wǎng)自動化等方面廣泛使用。在網(wǎng)絡(luò)硬件上采用多種技術(shù)，如千兆骨干網(wǎng)等；在軟件上運用電網(wǎng)自動化體系調(diào)度和相關(guān)技術(shù)系統(tǒng)，并有效運用營銷系統(tǒng)、配網(wǎng)自動化等系統(tǒng)。

現(xiàn)在的電力信息網(wǎng)絡(luò)在安全生產(chǎn)、節(jié)能降耗、降低成本、縮短工期、提高勞動生產(chǎn)率等方面發(fā)揮了社會效益和經(jīng)濟效益，信息化治理機制逐步改善，在電力生產(chǎn)、建設(shè)、經(jīng)營、治理、科研、設(shè)計等方面得到充分的利用。

1.2 電力信息網(wǎng)絡(luò)的風險評估技術(shù)有待改進的地方

1.2.1 增加安全防范

計算機信息技術(shù)高速發(fā)展帶動計算機信息安全策略和技術(shù)的發(fā)展。建立完善的、有指導意義的電力系統(tǒng)計算機及信息網(wǎng)絡(luò)系統(tǒng)，才能保證體系的安全運行。

1.2.2 建立計算機信息安全體系

計算機運用在電力系統(tǒng)的生產(chǎn)、經(jīng)營、治理等方面，但是安全策略、安全技術(shù)以及安全措施的投資力度不足。

1.2.3 防范黑客攻擊

建立廣域網(wǎng)之后，計算機網(wǎng)絡(luò)化使之前孤立的局域網(wǎng)面臨巨大的外部安全攻擊?，F(xiàn)在不僅僅要防止意外破壞和內(nèi)部職員的安全控制，還要能防止互聯(lián)網(wǎng)上的安全攻擊。

1.2.4 保護數(shù)據(jù)信息

以明文形式存儲的信息存在泄漏的可能，要防止存儲介質(zhì)的泄露，以及黑客可以繞過操縱系統(tǒng)、數(shù)據(jù)庫治理系統(tǒng)的控制而得到信息，要注意系統(tǒng)后門和來自軟硬件系統(tǒng)制造商的風險。

1.2.5 完善數(shù)據(jù)備份措施

不能只用一臺工作站備份數(shù)據(jù)，要有完善的數(shù)據(jù)備份設(shè)備、數(shù)據(jù)備份策略和數(shù)據(jù)備份的管理制度，并且對數(shù)據(jù)備份的介質(zhì)妥善保管。

2 面對的風險、解決措施和風險控制

2.1 風 險

2.1.1 操作系統(tǒng)安全風險

系統(tǒng)安全管理保證了操作系統(tǒng)的安全性，但是當前許多服務(wù)器都存在信息安全隱患。

2.1.2 數(shù)據(jù)庫安全風險

數(shù)據(jù)庫是全部業(yè)務(wù)應(yīng)用、決策支持、行政辦公和外部信息系統(tǒng)的信息管理核心，相關(guān)的生產(chǎn)數(shù)據(jù)都要得到保護。統(tǒng)一的數(shù)據(jù)備份和恢復，以及可用性高的保障機制，安全管理數(shù)據(jù)庫等可以提升安全管理的級別，規(guī)避風險。目前，電力的數(shù)據(jù)庫管理系統(tǒng)的安全級別還算高，但是還有安全漏洞。應(yīng)用系統(tǒng)軟件在數(shù)據(jù)的安全管理也有安全漏洞，要綜合評估數(shù)據(jù)庫和應(yīng)用的安全性。

2.1.3 Web系統(tǒng)安全風險

要訪問電力系統(tǒng)企業(yè)內(nèi)部資源，Web Server是其中的通道，但其服務(wù)器越來越復雜，安全漏洞也越來越多。

2.1.4 桌面應(yīng)用系統(tǒng)的安全風險

桌面應(yīng)用系統(tǒng)是優(yōu)化整個應(yīng)用系統(tǒng)的重要部分，是訪問系統(tǒng)資源和管理系統(tǒng)資源的入口，因此對于系統(tǒng)風險的防范尤為重要。桌面應(yīng)用系統(tǒng)的管理和使用不當，就會產(chǎn)生安全風險。

2.1.5 病毒危害

電力信息系統(tǒng)中辦公自動化，作為核心的電子郵件傳送是傳播計算機病毒的媒介，防病毒軟件的安裝還不夠。此外，新病毒越來越多，威脅性也越來越大。

病毒感染方式的改變，要求防毒工作要從整體安全考慮，思考如何網(wǎng)絡(luò)防毒。

2.1.6 黑客入侵

黑客入侵一般是來源于內(nèi)部，入侵者通過網(wǎng)絡(luò)探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，用相應(yīng)的攻擊程序攻擊，使得服務(wù)器超負荷工作，最后系統(tǒng)癱瘓。當然還有來自于外部的，如入侵者通過網(wǎng)絡(luò)監(jiān)聽、用戶滲透、系統(tǒng)滲透、拒絕服務(wù)、木馬等得到用戶的用戶名以及口令登錄后偷取內(nèi)部網(wǎng)的重要信息，令系統(tǒng)終止服務(wù)。

出于以上原因，要防止信息外泄就要對外部和內(nèi)部網(wǎng)絡(luò)隔離，過濾外網(wǎng)的服務(wù)請求，只接收正常通信的數(shù)據(jù)。

2.2 解決措施

2.2.1 做好經(jīng)管工作

在人員管理方面，首先需要加強安全教育工作，保證網(wǎng)絡(luò)管理者和安全管理者相對穩(wěn)定，這樣能夠盡可能地避免網(wǎng)絡(luò)機密泄露，在人員調(diào)離工作崗位時，也尤其需要注意進行保密工作。對于一些具有風險的操作，包括對網(wǎng)絡(luò)裝備、服務(wù)器、存儲設(shè)備的操作，需要相關(guān)手續(xù)才能進行，應(yīng)包括簽字和監(jiān)督，杜絕修改錯誤、非法修改、機密泄露等情況的發(fā)生。在密碼管理方面，尤其需要妥善保管，不能夠使用默認密碼、原始密碼，甚至不設(shè)立密碼，每次登陸均需要重新輸入，保障網(wǎng)絡(luò)的安全，并且密碼的設(shè)置不能過于簡單，需要時常更換，尤其是在人員崗位變動的時候。數(shù)據(jù)的管理方面，需要及時進行備份工作，備份介質(zhì)的保管需要穩(wěn)妥。

2.2.2 確定風險評估范圍和策略

對安全系統(tǒng)進行有效評估，需要對該體系進行詳細分析，包括電力網(wǎng)絡(luò)拓撲結(jié)構(gòu)、帶寬、硬件、Internet的接口、業(yè)務(wù)系統(tǒng)的配置防火墻的策略配置等多個方面，最終得出相關(guān)的風險分析報告，制作改進建議書。要評估主機和信息網(wǎng)絡(luò)等基礎(chǔ)設(shè)施、系統(tǒng)軟件、應(yīng)用系統(tǒng)及服務(wù)、現(xiàn)有的安全技術(shù)措施以及安全管理措施。還有要制定資產(chǎn)評估，其中有物理資產(chǎn)、信息資產(chǎn)、軟件資產(chǎn)、人員資產(chǎn)和服務(wù)。

2.3 風險控制

對于電力信息網(wǎng)絡(luò)的風險控制可以通過多個方面來進行，不僅需要技術(shù)完備，管理機制的健全也是非常重要的。

2.3.1 技術(shù)手段

技術(shù)手段是把威脅降低到最低危害程度的第一道保障，可以對關(guān)鍵數(shù)據(jù)定期或?qū)崟r容災(zāi)備份，使用信息加密技術(shù)和防火墻、入侵檢測系統(tǒng)。

2.3.2 管理機制

對于電力系統(tǒng)信息安全風險控制而言不可缺少管理機制，安全管理機制應(yīng)包括安全技術(shù)和設(shè)備的管理、安全管理制度、部門與人員的組織規(guī)則等。管理的制度化影響著系統(tǒng)的安全。為了組織建立科學、系統(tǒng)的安全管理體系基礎(chǔ)，應(yīng)該建立安全評價，實現(xiàn)組織安全績效的持續(xù)改進。降低安全風險，制定嚴格的安全管理制度，明確劃分好部門安全職責，并且合理安排人員的工作。

3 結(jié)束語

電力系統(tǒng)的生產(chǎn)運作要用到計算機信息系統(tǒng)和計算機網(wǎng)絡(luò)，所以信息安全管理要進行信息網(wǎng)絡(luò)的風險評估，保證信息系統(tǒng)的安全。雖然現(xiàn)在電力信息網(wǎng)絡(luò)風險評估強度很高，但是還需要改進。面對越來越重要的電力信息網(wǎng)絡(luò)風險評估，要解決的問題是保證電力系統(tǒng)信息安全，重點解決網(wǎng)絡(luò)風險的問題和評估，解決操作系統(tǒng)安全風險、數(shù)據(jù)庫安全風險、Web系統(tǒng)安全風險、桌面應(yīng)用系統(tǒng)的安全風險、病毒危害風險以及黑客入侵風險，做好經(jīng)管工作和風險控制等。

［1］李 梅.電力信息網(wǎng)絡(luò)的風險評估技術(shù)研究［D］.保定：華北電力大學，2008.

［2］彭著熙.電力信息網(wǎng)絡(luò)的風險評估技術(shù)分析［J］.電子技術(shù)與軟件工程，2013，（22）：230-231.

［3］張 佩.對電力信息網(wǎng)絡(luò)的風險評估技術(shù)研究［J］.信息通信，2013，（10）：84-84.