電力IMS網(wǎng)絡(luò)信息安全防護策略

摘 要：隨著國家經(jīng)濟的發(fā)展，電力IMS網(wǎng)絡(luò)得到了很大的提升。但是隨著時間的推移，網(wǎng)絡(luò)安全問題逐漸暴露出來。因此，很多電力企業(yè)為了維護自身網(wǎng)絡(luò)的安全與穩(wěn)定，制定了很多安全策略，實現(xiàn)了信息之間的整合及用戶之間的資源共享。該文主要對電力企業(yè)的現(xiàn)狀及其存在的問題做出分析，從而提出相應(yīng)的解決措施。

關(guān)鍵詞：電力 IMS網(wǎng)絡(luò) 信息安全防護 策略

中圖分類號：TN915.853 文獻(xiàn)標(biāo)識碼：A 文章編號：1674-098X（2016）04（c）-0002-02

信息化是世界發(fā)展的一大發(fā)展趨勢，是我國綜合實力提高的標(biāo)志。隨著通訊網(wǎng)絡(luò)建設(shè)的不斷完善，其功能已經(jīng)擴展到視頻、多媒體等。IMS是下一代網(wǎng)絡(luò)發(fā)展的核心技術(shù)，其信息化建設(shè)能夠帶動企業(yè)不斷發(fā)展。雖然我國在這一方面起步較早且取得了很多成果，但是由于缺乏經(jīng)驗，在建設(shè)中總是存在很多的缺陷，因此，需要構(gòu)建一個全新的、高度統(tǒng)一的、覆蓋面廣闊的網(wǎng)絡(luò)安全防護措施。

1 電力IMS網(wǎng)絡(luò)信息安全現(xiàn)狀的分析

由于不同企業(yè)的發(fā)展情況不一樣，因此，企業(yè)需要根據(jù)自身的經(jīng)營模式和管理要求，相應(yīng)的建立了自動化系統(tǒng)，從而實現(xiàn)了生產(chǎn)、管理、營銷、財務(wù)等工作方面的全面覆蓋。另外，相關(guān)的WEB網(wǎng)關(guān)與MIS之間需要進行相互的信息訪問。在數(shù)據(jù)安全管理方面，通過安裝正向隔離器，實現(xiàn)了其與外界的隔離。

各個電力企業(yè)制定了相應(yīng)的措施，實現(xiàn)了網(wǎng)絡(luò)的安全連接，在自身服務(wù)水平提高的同時實現(xiàn)了用戶共享資源的目的。在邊遠(yuǎn)地區(qū)基本通過VPN技術(shù)進行遠(yuǎn)程聯(lián)網(wǎng)和控制，從而擴大資源共享面，并在互聯(lián)網(wǎng)的基礎(chǔ)上構(gòu)建一種遠(yuǎn)程的服務(wù)。

2 電力IMS網(wǎng)絡(luò)在發(fā)展中存在的問題

2.1 不同網(wǎng)絡(luò)之間沒有進行嚴(yán)格的劃分

根據(jù)《全國電力二次系統(tǒng)安全防護總體方案》中的規(guī)定：針對不同等級的網(wǎng)絡(luò)，各企業(yè)必須嚴(yán)格做出安全劃分規(guī)定。在縱向上，需要關(guān)聯(lián)監(jiān)控系統(tǒng)，但是部分電力企業(yè)無法實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳輸，且缺少從主站到場站的光纖載波雙通道；在橫向上，規(guī)定需要監(jiān)控系統(tǒng)與非監(jiān)控系統(tǒng)能夠保持良好的連接。在調(diào)查中發(fā)現(xiàn)還存在著如下的幾點問題：第一，單項傳輸數(shù)據(jù)線中傳輸?shù)臄?shù)據(jù)只有極少的資源能夠真正地被他人共享，在與非實時系統(tǒng)的聯(lián)系中缺少標(biāo)準(zhǔn)數(shù)據(jù)接口。第二，沒有按照要求組建數(shù)據(jù)調(diào)度網(wǎng)。第三，未能實現(xiàn)上下級調(diào)度的認(rèn)證加密部署。

2.2 現(xiàn)有的網(wǎng)絡(luò)安全防護水平較低，與實際的發(fā)展不匹配

隨著科學(xué)技術(shù)的發(fā)展，信息化成為一種無法阻擋的趨勢。隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問題受到廣泛的重視。但是現(xiàn)有的網(wǎng)絡(luò)安全防護由于缺少相應(yīng)的管理控制手段，從而并未形成一套完整的防護體系。有些地區(qū)的服務(wù)器病毒安全防護措施仍停留在使用瑞星等殺毒軟件的水平，且一旦受到攻擊，容易出現(xiàn)大面積的網(wǎng)絡(luò)系統(tǒng)癱瘓問題，與此同時還缺少相應(yīng)的機制，用以恢復(fù)數(shù)據(jù)備份，因此，網(wǎng)絡(luò)系統(tǒng)一旦受到破壞，將產(chǎn)生難以預(yù)料的后果。針對內(nèi)部用戶存在的IP盜用、隨意下載網(wǎng)絡(luò)資源等問題，我國還未能建立起一種有效的監(jiān)管機制。另外，我國也缺乏正規(guī)的網(wǎng)絡(luò)安全評價機構(gòu)，從而難以對網(wǎng)絡(luò)進行有效的評估。因此，正是由于較低的網(wǎng)絡(luò)安全防護水平，促使其與實際發(fā)展水平不匹配。

3 電力IMS的網(wǎng)絡(luò)結(jié)構(gòu)

電力IMS綜合信息網(wǎng)一般以單域組網(wǎng)的連接方式為主，在公司或企業(yè)的總部通信機房內(nèi)設(shè)置IMS網(wǎng)絡(luò)的核心設(shè)備及業(yè)務(wù)平臺，而通過IP連接，將各地的分公司全部接入。IMS統(tǒng)一網(wǎng)管、業(yè)務(wù)設(shè)備管理、呼叫會話控制功能設(shè)備等全部由省公司通信機房統(tǒng)一部署，并提供會話控制等多項功能。

4 電力IMS網(wǎng)絡(luò)信息安全防護策略

由于IMS網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性，其中包含了大量的信息數(shù)據(jù)，因而很容易成為被攻擊、感染的對象，因此，電力IMS網(wǎng)絡(luò)信息防護需要從設(shè)備、業(yè)務(wù)、管理、組網(wǎng)等多方面進行安全防護，避免受到外界的攻擊。

4.1 設(shè)備安全策略方案

IMS設(shè)備安全防護策略可以從升級系統(tǒng)、安全補丁、防病毒三方面制定。例如：當(dāng)電力系統(tǒng)采用Linux系統(tǒng)進行主機升級加固時，需要考慮是否刪除或禁用從未使用的軟件；刪除冗余的文件和操作系統(tǒng)中不使用的賬戶；關(guān)閉很少使用或存在威脅的服務(wù)端口等。另外，對于已經(jīng)安裝的系統(tǒng)，定期給其進行計算機系統(tǒng)的維護和清理，升級防病毒軟件，并填補安全漏洞。

4.2 組網(wǎng)安全策略方案

IMS組網(wǎng)安全防護策略可以從核心網(wǎng)、承載網(wǎng)、接入網(wǎng)三方面制定。在考慮核心網(wǎng)組網(wǎng)時，為了實現(xiàn)信令、媒體、網(wǎng)關(guān)等的分離，需要采用不同的物理接口，從而避免由于一方面出現(xiàn)問題而導(dǎo)致其他業(yè)務(wù)也受到影響的情況。核心區(qū)與外界之間用防火墻進行隔離，安全部署相關(guān)的防護措施，避免遭受攻擊。使用邊緣接入控制設(shè)備的代理能力。安全的隱藏和保護核心區(qū)，防止遭到破壞和惡意攻擊。在考慮承載網(wǎng)組網(wǎng)時，由于其各種業(yè)務(wù)共同存在，因而，需要采取措施將各種業(yè)務(wù)相互隔離，一般情況下，采用：MPLS VAN方案。在考慮接入網(wǎng)組網(wǎng)時，由于IMS系統(tǒng)只為固定的用戶提供，且在接入的過程中需要借助運營商的幫助，因而可以通過BAS（寬帶接入服務(wù)器）的識別功能和用戶安全認(rèn)證來保證系統(tǒng)的安全性與穩(wěn)定性。

4.3 業(yè)務(wù)安全策略方案

IMS業(yè)務(wù)安全策略需要考慮業(yè)務(wù)防盜、防欺騙兩方面。

4.3.1 業(yè)務(wù)防盜

業(yè)務(wù)防盜其一：防止攻擊者盜用或篡改他人的賬號、密碼等信息，達(dá)到盜用的目的。在用戶注冊登錄時，系統(tǒng)自動連接用戶原本的接入位置，只有信息匹配成功，才能完成登錄過程。在用戶注冊時，只有當(dāng)用戶接入位置與登記位置相同時，才同意申請，執(zhí)行下一步注冊。

業(yè)務(wù)防盜其二：防止攻擊者惡意攻擊網(wǎng)絡(luò)通話，阻斷或竊取通話內(nèi)容的行為。BAC通過提供終端鎖定功能，并按照指令SDP信息，生成媒體轉(zhuǎn)發(fā)表項，接著再進行過濾，只有符合BAC規(guī)則的才能進行下一步處理，否則提交的申請將不予批準(zhǔn)。

業(yè)務(wù)防盜其三：防止攻擊者盜用、竊取他人信息后，隨意消耗網(wǎng)絡(luò)信息，導(dǎo)致服務(wù)器終止服務(wù)項目。BAC除了不需要對SIP信號處理之外，應(yīng)對用戶媒體流進行一定的限制，一旦超過定義的寬度，就進行丟包處理。

4.3.2 業(yè)務(wù)防欺騙

業(yè)務(wù)防欺騙其一：防止惡意用戶隨意冒用他人身份發(fā)起通話。因此，在發(fā)起呼叫之前，IMS網(wǎng)絡(luò)需要對申請人的身份進行驗證，驗證申請者的身份與注冊用戶身份是否一致，若一致，則允許通過；相反，則拒絕請求。

業(yè)務(wù)防欺騙其二：防止來電顯示欺騙。在生活中，很多用戶經(jīng)常受到陌生的未接來電或者垃圾信息。這是由于黑客冒用或者偽造他人身份進行操作，從而導(dǎo)致網(wǎng)絡(luò)釣魚、信息詐騙等的惡意攻擊。因此，IMS網(wǎng)絡(luò)也應(yīng)當(dāng)采取有效的手段控制，對SIP信息中的用戶信息、權(quán)利范圍進行鑒定，從而減少來電顯示的欺騙。

4.4 管理安全策略方案

在電力INS網(wǎng)絡(luò)信息安全的防護過程中，不僅要在技術(shù)的層面上加強控制和管理，還應(yīng)該在運行中采取恰當(dāng)?shù)墓芾硎侄巍Ｔ趯嶋H運行中，可以從賬號、權(quán)限管理、日志訪問、行為監(jiān)控、權(quán)利范圍的鑒定等幾個方面加以管理。賬號管理方面可以采用口令卡登陸，從口令的復(fù)雜度、輸入口令的次數(shù)、口令的有效期限等方面加以控制。在權(quán)限方面，可從登錄超時處理，口令加密傳輸?shù)确绞郊右怨芾怼Ｈ罩驹L問方面包括對安全日志、操作日志、運行日志等方面的安全訪問和處理。行為監(jiān)控可以對特定的行號進行權(quán)利方面的限制等。

5 結(jié)語

綜上，筆者對電力IMS網(wǎng)絡(luò)信息安全的現(xiàn)狀及其存在的問題加以分析，并提出了有效的手段進行安全防護的管理。網(wǎng)絡(luò)安全是一個綜合性要求較高的平臺，它涉及方方面面，但無論哪一環(huán)節(jié)出現(xiàn)差錯，都會或多或少的對其他方面造成影響，因此，電力企業(yè)必須綜合考慮各種因素，認(rèn)真、全面的看待才能制定出符合自身發(fā)展的方案。

參考文獻(xiàn)

[1]郭慶瑞.新疆電力IMS網(wǎng)絡(luò)信息安全防護策略研究[J].信息通信，2015（8）：100-101.

[2]張毅慶.淺談電力企業(yè)信息網(wǎng)絡(luò)安全防護技術(shù)[J].科技創(chuàng)新與應(yīng)用，2014（27）：162.

[3]劉靜.淺析電力企業(yè)網(wǎng)絡(luò)安全及其防護策略[J].科技視界，2014（36）：313-314.