【文章內(nèi)容簡介】 華北電力大學科技學院本科畢業(yè)設計（論文） 7 行業(yè)的進一步發(fā)展。所以金融行業(yè)的信息安全水平亟待發(fā)展和提高。 長久以來，人們在不斷的探索和研究防止信息系統(tǒng)遭受威脅影響的手段和方法。在殺毒軟件、防火墻和入侵檢查等方面得到了迅猛的發(fā)展。然而，這些技術(shù)的發(fā)展并沒有從根本上解決信 息系統(tǒng)的安全問題，組織嗯哼用戶面臨的是更加多樣化和隱蔽化的威脅，各類安全事件也是層出不窮。人們逐漸意識到，安全管理是一個過程而不是一個產(chǎn)品，不能期望通過一個或幾個安全產(chǎn)品解決所有的安全問題。信息安全風險管理可以看成是一個不斷降低安全風險的過程，它會幫助組織建立最優(yōu)的信息安全戰(zhàn)略，最終其目的是使組織的安全風險降低到一個可接受的程度，使得用戶能夠接受這些風險。 信息安全體系結(jié)構(gòu)框架 電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護及安全裝置、廠站自動化、配電網(wǎng) 自動化、電力負荷控制、電力市場交易、電力營銷、信息網(wǎng)絡系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復雜的大型系統(tǒng)工程。結(jié)合電力工業(yè)特點，信息安全按業(yè)務性質(zhì)一般可分為 4 種。 （ 1） 電網(wǎng)運行實時控制系統(tǒng)，包括電網(wǎng)自動發(fā)電控制系統(tǒng)及支持及運行的調(diào)度自動化系統(tǒng)，變電站及集控站綜合自動化系統(tǒng)，電網(wǎng)繼電保護及安全自動裝置，電力市場技術(shù)支持系統(tǒng)。 （ 2）電力營銷系統(tǒng)、電量計費系統(tǒng)、負荷管理系統(tǒng)、生產(chǎn) MIS 系統(tǒng)、輸電 GIS 系統(tǒng)。 （ 3）支持企業(yè)經(jīng)營、管理、運營的管理信息系統(tǒng)，如協(xié)同辦公系統(tǒng)、人力資源信息管理系統(tǒng)、網(wǎng)站系統(tǒng)等。 （ 4）不直接參與電力企業(yè)過程控制、生產(chǎn)經(jīng)營管理的各類經(jīng)營、開發(fā)、采購、銷售等多種經(jīng)營公司。支持上述各類業(yè)務系統(tǒng)正常運營的信息基礎設施主要指各類計算機及信息網(wǎng)絡系統(tǒng)、電力通信系統(tǒng)，根據(jù)信息對電力系統(tǒng)安全穩(wěn)定運行、生產(chǎn)經(jīng)營和管理及企業(yè)發(fā)展所造成的危害程度，確定計算機應用系統(tǒng)的安全等級，制定電力系統(tǒng) 信息安全控制策略，建立適應電力企業(yè)發(fā)展的電力系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理，在不同條件下提供信息安全防范措施。 整體安全防護體系 基于以上規(guī)劃和分析，企業(yè) 網(wǎng)絡安全系統(tǒng)按照電力系統(tǒng)基于以上規(guī)劃和分析，企業(yè)網(wǎng)絡安全系統(tǒng)按照電力系統(tǒng)的需求，采用一種整合型高可靠性安全網(wǎng)關(guān)來實現(xiàn)以下系統(tǒng)功能：防火墻系統(tǒng)、 VPN 系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡行為監(jiān)控系統(tǒng)、垃圾郵件過濾系統(tǒng)、病毒掃描系統(tǒng)、內(nèi)網(wǎng)安全、外網(wǎng)安全、內(nèi)外網(wǎng)隔離等。 (1)防火墻系統(tǒng)。采用防火墻系統(tǒng)實現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進行隔離保護。對內(nèi)部網(wǎng)絡中服務器子網(wǎng)通過單獨的防火墻設備進行保護。 (2)VPN 系統(tǒng)。對遠程辦公人員及分支機構(gòu)提供方便的 IPSecVPN 接入，保護數(shù)據(jù)傳輸 華北電力大學科技學院本科畢業(yè)設計（論文） 8 過程中的安全，實現(xiàn)用戶對服務器系統(tǒng)的受控訪問。 (3)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)扮演著數(shù)字空間“預警機”的角色。入侵檢測技術(shù)大致分為 5 個階段： 1 ）基于簡單攻擊特征模式匹配檢測； 2)基于異常行為模型檢測； 3）基于入侵報警的關(guān)聯(lián)分析檢測； 4）基于攻擊意圖檢測； 5）基于安全態(tài)勢檢測。采用入侵檢測設備，作為防火墻的功能互補，提供對監(jiān)控網(wǎng)段的攻擊的實時報警和積極響應。 (4)網(wǎng)絡行為監(jiān)控系統(tǒng)。對網(wǎng)絡內(nèi)的上網(wǎng)行為進行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當文件的下載。 (5)病毒防護系統(tǒng)。強化病毒防護系統(tǒng)的應用策略和管理策略，增強病毒 防護有效性。 (6)垃圾郵件過濾系統(tǒng)。過濾郵件，阻止垃圾郵件及病毒郵件的入侵。 (7)內(nèi)網(wǎng)安全。最新調(diào)查顯示，大多數(shù)企業(yè) 60%以上的員工利用網(wǎng)絡處理私人事務。對網(wǎng)絡的不正當使用，降低了生產(chǎn)率，阻礙電腦網(wǎng)絡，消耗企業(yè)網(wǎng)絡資源，并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡泄漏企業(yè)機密，從而導致企業(yè)的巨大損失。 (8)外網(wǎng)安全。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡安全事件層出不窮。近年來，計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當遭遇這些威脅時，往往會造成數(shù)據(jù)破壞 、系統(tǒng)異常、網(wǎng)絡癱瘓、信息失竊、工作效率下降，直接或間接的經(jīng)濟損失也很大。 (9)內(nèi)外網(wǎng)隔離。通過以上內(nèi)、外網(wǎng)的安全分析，通過技術(shù)手段，將內(nèi)、外網(wǎng)嚴格隔離開來，也就是內(nèi)部辦公網(wǎng)絡的機器不能上互聯(lián)網(wǎng)，上互聯(lián)網(wǎng)的機器不能接入內(nèi)網(wǎng)，這樣使內(nèi)、外網(wǎng)不能連通，使企業(yè)的信息與資源不被傳出去。 現(xiàn)在國家電網(wǎng)公司信息化建設正由局部向全面和縱深發(fā)展，信息安全的重要性日益增加，信息網(wǎng)絡已經(jīng)延伸到生產(chǎn)經(jīng)營的各個領(lǐng)域、各個層次。一個完整的信息安全保障體系建設是信息安全走向成熟的標志。信息安全保障體系的建設，必須進行科學的規(guī)劃，以用戶身份認證為基礎，信息安全保密為核心，網(wǎng)絡邊界防護和信息安全管理為輔助，建立全面有機的安全整體，從而建立真正有效的、能夠為信息化建設提供安全保障的平臺。 華北電力大學科技學院本科畢業(yè)設計（論文） 9 3 供電企業(yè)信息安全風險因素及其威脅 供電企業(yè)信息安全存在的風險 網(wǎng)絡主要攻擊統(tǒng)計 經(jīng)過有關(guān)部門統(tǒng)計，網(wǎng)絡所受到 10 種主要攻擊分別為： Probes、 WWW Attacks、 DOS、惡意代碼攻擊、基礎設施攻擊、遠程服務攻擊、操作欺騙、 FTP 攻擊、 SMTP 攻擊、 Windows 攻擊。被攻擊的操作系統(tǒng)主要有： Microsoft Windows、 UNIX、 Cisco IOS，被攻擊最多的通用 Web 服務器有： Microsoft IIS、 Apache Group Apache、 Netscape Enterprise Server、Ipla Emerce Solution（見表 31）。隨著針對應用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡層以下的安全解決方案已經(jīng)不足以應付來自應用層的攻擊了。如那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN 安全體系所無法對付的。因此企業(yè)應采用立體多層次的安全系統(tǒng)架構(gòu)。因此網(wǎng)絡安全體系正是電力企業(yè)所需要采用 的模式，這種多層次的安全體系不僅在網(wǎng)絡邊界設置防火墻/VPN，而且還設置了針對網(wǎng)絡病毒和垃圾郵件等應用層攻擊的防護措施，將應用層的防護放在網(wǎng)絡邊緣，這種主動防護可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。 表 31 網(wǎng)絡受到的主要攻擊統(tǒng)計 技術(shù)種類 成熟度 應用狀況描述 口令認證 高 普遍 防火墻 高 普遍 防病毒 高 普遍 SSH 高 局部應用 PGP 高 局部應用 補丁管理 發(fā)展中 個別部署 IP 地址綁定 高 普遍 漏洞批描 高 局部應用 VPN 高 局部應用 入侵檢測 改進發(fā)展中 局部應 用 備份 高 局部應用 IPS 發(fā)展中 個別部署 內(nèi)容安全管理 發(fā)展中 個別部署 統(tǒng)一用戶身份管理 發(fā)展中 個別部署 導致企業(yè)信息安全的因素 伴隨電網(wǎng)的快速發(fā)展以及科學技術(shù)的進步，我們國家的電力信息化工作也得到了迅猛 華北電力大學科技學院本科畢業(yè)設計（論文） 10 的發(fā)展。信息系統(tǒng)已經(jīng)廣泛應用于電力系統(tǒng)的生產(chǎn)、經(jīng)營以及管理等各個方面，然而在計算機安全技術(shù)、運行以及相應的措施方面投入還不到位，存在許多信息安全隱患。由于解決基于 Inter 的信息系統(tǒng)的安全問題是一項十分復雜的系統(tǒng)性工程，供電企業(yè)應盡快建立一套完整系統(tǒng)的、便于管理的信息安 全體系。電力是國民社會經(jīng)濟發(fā)展的一個基礎性的產(chǎn)業(yè)，電力系統(tǒng)的安全穩(wěn)定運行對于社會經(jīng)濟的持續(xù)健康發(fā)展有重大的影響，因此，強化供電企業(yè)信息安全管理工作就顯得迫在眉睫。 供電企業(yè)信息安全的主要影響因素 : 1）自然環(huán)境以及各種不可抗拒因素。由于水災、雷電等自然災害造成的網(wǎng)絡信號中斷、數(shù)據(jù)被破壞等。 2）物理設備風險。在供電企業(yè)信息系統(tǒng)中必須使用了大量的網(wǎng)絡設備，比如路由器等，而設備本身的安全性能也會對網(wǎng)絡的正常運行產(chǎn)生較大的影響。 3）人為因素以及管理因素。工作人員的業(yè)務素質(zhì)、職業(yè)修養(yǎng)是其主要因素。建立過錯追究制度 ，有效預防人為破壞以及管理方面的漏洞。 4） 數(shù)據(jù)庫存在的安全風險。嚴禁供電企業(yè)以及調(diào)度中心的電力控制系統(tǒng)直接和辦公信息網(wǎng)絡進行連接，務必安裝經(jīng)國家相關(guān)部門認證的專業(yè)安全隔離設施，同時選擇專用設備組網(wǎng)，確保物理層面上和公用信息網(wǎng)絡之間的安全隔離。 企業(yè)信息安全的主要威脅 Email威脅 Email 是一個重要的個人和企業(yè)的溝通工具 , 它幫助全球性的思想和內(nèi)容的快速交換。然而 , 這種信息共享的便利 , 也帶來了許多不利因素。 1) 病毒感染 最明顯的危害之一是攜帶病毒的電子郵件。每年的眾多新病毒 傳播到互聯(lián)網(wǎng) , 如果沒有強有力的方法和措施 , 以保護個人或組織的網(wǎng)絡系統(tǒng) , 任何病毒都會導致極大的傷害。 2) 垃圾郵件 垃圾郵件的問題是最現(xiàn)實的問題之一。除了要花費大量的時間每天清理垃圾 , 垃圾郵件也給服務器帶來了很大的負擔。 3) 帶寬和存儲容量 浪費帶寬和存儲容量等資源垃圾郵件不僅浪費時間 , 導致生產(chǎn)力下降 , 還會造成有限的 IT 資源的消耗。如存儲 , CPU , 網(wǎng)絡帶寬等。 4) 知識產(chǎn)權(quán) 知識產(chǎn)權(quán)的損失監(jiān)控和檢查大量的郵件流量是相當困難的。因此 , 特別對商業(yè)組織而言 , 私有的或保密的信息通過電子郵件泄露出去一個極為 重要的擔憂。 華北電力大學科技學院本科畢業(yè)設計（論文） 11 目前 , 公文處理通常使用諸如 Word 之類的文字編輯排版軟件 , 其功能強大 , 使用廣泛 , 但也存在許多安全隱患 , 如 : 1) 針對 Word 的病毒種類繁多且不斷有破壞力更大的新病毒流行 ,Word 文檔是傳播病毒的一個重要載體。 2) 使用 Word 客戶端上的本地文件和臨時 Word 文檔 , 雖然這有一定的安全處理 , 但在系統(tǒng)異常 (如停電等 ) 的情況下 , 這些臨時 Word 文檔不能處理。在客戶端存儲的重要信息可能被竊取。 3) 所帶來的不同部門使用不同版本的 Word 和不斷升級的版本是不兼容許多不可預見的問題。 4) 根據(jù)官方文檔模板草案中的語言使用的語言和修改稿件 ,眉首、公章和版記等處的內(nèi)容可以自由發(fā)揮除 , 修改 , 造成當最后的書面錯誤。 5) 在 Word 的編輯格式存儲的可編輯的電子印章是一個很大的安全風險。文件瀏覽 , 文件可以重新編輯打印。 6) 認勺 Word 文檔的文件較大 , 這樣我們必須經(jīng)常大容量數(shù)據(jù)傳輸。這將導致數(shù)據(jù)傳輸效率低 , 不穩(wěn)定。 1）客戶信息泄露 商業(yè)信息是一個公司寶貴的財富 , 沒有一家公司愿意共享客戶資 源給他們的商業(yè)競爭對手 , 缺乏客戶數(shù)據(jù) , 公司也不能有效地運作。然而 , 間諜 / 廣告軟件會泄露商業(yè)信息。 2）應用數(shù)據(jù)的安全 企業(yè)應用系統(tǒng)在在使用的過程中的數(shù)據(jù)有的保存在數(shù)據(jù)庫中 , 有的保存在 Word 文檔中 , 這些數(shù)據(jù)可能存在著應用軟件漏洞等諸多不安全因素 , 這些因素都有可能導致應用數(shù)據(jù)的破壞。 企業(yè)員工或多或少地擁有一定的企業(yè)信息系統(tǒng)訪問權(quán)限。但當員工離職后 , 大多數(shù)企業(yè)卻沒有適當?shù)臋C制來確保收回離職員工擁有的任何權(quán)限。 1）所遺留的各種帳戶 許多企業(yè)的信息化成熟度不高 , 企業(yè)各種應用系統(tǒng)往往并沒有集成在一起 , 員工也就有了不同系統(tǒng)的賬號。離任員工仍然可以登陸賬號。 2）殘存的各種資源權(quán)限 員工很可能有一個 VPN , 寬帶接入 , 遠程主機 , Email 和其他特權(quán)等。如果員工離 華北電力大學科技學院本科畢業(yè)設計（論文） 12 開了 , 但仍然在使用該公司的 Email, 則很可能是被人利用。 3）其他內(nèi)部信息和隱藏信息 在企業(yè)中 , 雇員可能會無意或故意得到其他人使用他的帳戶。有些員工可能了解企業(yè)網(wǎng)絡中的一些后門 , 這可能危及系統(tǒng)的安全 。 華北電力大學科技學院本科畢業(yè)設計（論文） 13 4 供電企業(yè)的網(wǎng)絡安全的解決方案與對策 DR 容災解決方案 針對自然環(huán)境以及各 種不可抗拒的因素造成的信息安全風險，遠程容災的方案比較實用！ HeartsOne DR 功能特點 1）遠程實時復制 通過對數(shù)據(jù)庫日志進行抓取，分析，同時將其傳輸?shù)狡渌O備上進行日志前滾，實現(xiàn)一對一數(shù)據(jù)庫實時復制同