【文章內(nèi)容簡介】 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 7 行業(yè)的進(jìn)一步發(fā)展。所以金融行業(yè)的信息安全水平亟待發(fā)展和提高。 長久以來，人們在不斷的探索和研究防止信息系統(tǒng)遭受威脅影響的手段和方法。在殺毒軟件、防火墻和入侵檢查等方面得到了迅猛的發(fā)展。然而，這些技術(shù)的發(fā)展并沒有從根本上解決信 息系統(tǒng)的安全問題，組織嗯哼用戶面臨的是更加多樣化和隱蔽化的威脅，各類安全事件也是層出不窮。人們逐漸意識到，安全管理是一個(gè)過程而不是一個(gè)產(chǎn)品，不能期望通過一個(gè)或幾個(gè)安全產(chǎn)品解決所有的安全問題。信息安全風(fēng)險(xiǎn)管理可以看成是一個(gè)不斷降低安全風(fēng)險(xiǎn)的過程，它會幫助組織建立最優(yōu)的信息安全戰(zhàn)略，最終其目的是使組織的安全風(fēng)險(xiǎn)降低到一個(gè)可接受的程度，使得用戶能夠接受這些風(fēng)險(xiǎn)。 信息安全體系結(jié)構(gòu)框架 電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對社會可靠供電的保障，是一項(xiàng)涉及電網(wǎng)調(diào)度自動化、繼電保護(hù)及安全裝置、廠站自動化、配電網(wǎng) 自動化、電力負(fù)荷控制、電力市場交易、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。結(jié)合電力工業(yè)特點(diǎn)，信息安全按業(yè)務(wù)性質(zhì)一般可分為 4 種。 （ 1） 電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng)，包括電網(wǎng)自動發(fā)電控制系統(tǒng)及支持及運(yùn)行的調(diào)度自動化系統(tǒng)，變電站及集控站綜合自動化系統(tǒng)，電網(wǎng)繼電保護(hù)及安全自動裝置，電力市場技術(shù)支持系統(tǒng)。 （ 2）電力營銷系統(tǒng)、電量計(jì)費(fèi)系統(tǒng)、負(fù)荷管理系統(tǒng)、生產(chǎn) MIS 系統(tǒng)、輸電 GIS 系統(tǒng)。 （ 3）支持企業(yè)經(jīng)營、管理、運(yùn)營的管理信息系統(tǒng)，如協(xié)同辦公系統(tǒng)、人力資源信息管理系統(tǒng)、網(wǎng)站系統(tǒng)等。 （ 4）不直接參與電力企業(yè)過程控制、生產(chǎn)經(jīng)營管理的各類經(jīng)營、開發(fā)、采購、銷售等多種經(jīng)營公司。支持上述各類業(yè)務(wù)系統(tǒng)正常運(yùn)營的信息基礎(chǔ)設(shè)施主要指各類計(jì)算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)、電力通信系統(tǒng)，根據(jù)信息對電力系統(tǒng)安全穩(wěn)定運(yùn)行、生產(chǎn)經(jīng)營和管理及企業(yè)發(fā)展所造成的危害程度，確定計(jì)算機(jī)應(yīng)用系統(tǒng)的安全等級，制定電力系統(tǒng) 信息安全控制策略，建立適應(yīng)電力企業(yè)發(fā)展的電力系統(tǒng)信息安全體系，利用現(xiàn)代網(wǎng)絡(luò)及信息安全最新技術(shù)，研究故障診斷、處理及系統(tǒng)優(yōu)化管理，在不同條件下提供信息安全防范措施。 整體安全防護(hù)體系 基于以上規(guī)劃和分析，企業(yè) 網(wǎng)絡(luò)安全系統(tǒng)按照電力系統(tǒng)基于以上規(guī)劃和分析，企業(yè)網(wǎng)絡(luò)安全系統(tǒng)按照電力系統(tǒng)的需求，采用一種整合型高可靠性安全網(wǎng)關(guān)來實(shí)現(xiàn)以下系統(tǒng)功能：防火墻系統(tǒng)、 VPN 系統(tǒng)、入侵檢測系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)、垃圾郵件過濾系統(tǒng)、病毒掃描系統(tǒng)、內(nèi)網(wǎng)安全、外網(wǎng)安全、內(nèi)外網(wǎng)隔離等。 (1)防火墻系統(tǒng)。采用防火墻系統(tǒng)實(shí)現(xiàn)對內(nèi)部網(wǎng)和廣域網(wǎng)進(jìn)行隔離保護(hù)。對內(nèi)部網(wǎng)絡(luò)中服務(wù)器子網(wǎng)通過單獨(dú)的防火墻設(shè)備進(jìn)行保護(hù)。 (2)VPN 系統(tǒng)。對遠(yuǎn)程辦公人員及分支機(jī)構(gòu)提供方便的 IPSecVPN 接入，保護(hù)數(shù)據(jù)傳輸 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 8 過程中的安全，實(shí)現(xiàn)用戶對服務(wù)器系統(tǒng)的受控訪問。 (3)入侵檢測系統(tǒng)。入侵檢測系統(tǒng)扮演著數(shù)字空間“預(yù)警機(jī)”的角色。入侵檢測技術(shù)大致分為 5 個(gè)階段： 1 ）基于簡單攻擊特征模式匹配檢測； 2)基于異常行為模型檢測； 3）基于入侵報(bào)警的關(guān)聯(lián)分析檢測； 4）基于攻擊意圖檢測； 5）基于安全態(tài)勢檢測。采用入侵檢測設(shè)備，作為防火墻的功能互補(bǔ)，提供對監(jiān)控網(wǎng)段的攻擊的實(shí)時(shí)報(bào)警和積極響應(yīng)。 (4)網(wǎng)絡(luò)行為監(jiān)控系統(tǒng)。對網(wǎng)絡(luò)內(nèi)的上網(wǎng)行為進(jìn)行規(guī)范，并監(jiān)控上網(wǎng)行為，過濾網(wǎng)頁訪問，過濾郵件，限制上網(wǎng)聊天行為，阻止不正當(dāng)文件的下載。 (5)病毒防護(hù)系統(tǒng)。強(qiáng)化病毒防護(hù)系統(tǒng)的應(yīng)用策略和管理策略，增強(qiáng)病毒 防護(hù)有效性。 (6)垃圾郵件過濾系統(tǒng)。過濾郵件，阻止垃圾郵件及病毒郵件的入侵。 (7)內(nèi)網(wǎng)安全。最新調(diào)查顯示，大多數(shù)企業(yè) 60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。對網(wǎng)絡(luò)的不正當(dāng)使用，降低了生產(chǎn)率，阻礙電腦網(wǎng)絡(luò)，消耗企業(yè)網(wǎng)絡(luò)資源，并引入病毒和間諜，或者使得不法員工可以通過網(wǎng)絡(luò)泄漏企業(yè)機(jī)密，從而導(dǎo)致企業(yè)的巨大損失。 (8)外網(wǎng)安全。隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件層出不窮。近年來，計(jì)算機(jī)病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對于企業(yè)級用戶，每當(dāng)遭遇這些威脅時(shí)，往往會造成數(shù)據(jù)破壞 、系統(tǒng)異常、網(wǎng)絡(luò)癱瘓、信息失竊、工作效率下降，直接或間接的經(jīng)濟(jì)損失也很大。 (9)內(nèi)外網(wǎng)隔離。通過以上內(nèi)、外網(wǎng)的安全分析，通過技術(shù)手段，將內(nèi)、外網(wǎng)嚴(yán)格隔離開來，也就是內(nèi)部辦公網(wǎng)絡(luò)的機(jī)器不能上互聯(lián)網(wǎng)，上互聯(lián)網(wǎng)的機(jī)器不能接入內(nèi)網(wǎng)，這樣使內(nèi)、外網(wǎng)不能連通，使企業(yè)的信息與資源不被傳出去。 現(xiàn)在國家電網(wǎng)公司信息化建設(shè)正由局部向全面和縱深發(fā)展，信息安全的重要性日益增加，信息網(wǎng)絡(luò)已經(jīng)延伸到生產(chǎn)經(jīng)營的各個(gè)領(lǐng)域、各個(gè)層次。一個(gè)完整的信息安全保障體系建設(shè)是信息安全走向成熟的標(biāo)志。信息安全保障體系的建設(shè)，必須進(jìn)行科學(xué)的規(guī)劃，以用戶身份認(rèn)證為基礎(chǔ)，信息安全保密為核心，網(wǎng)絡(luò)邊界防護(hù)和信息安全管理為輔助，建立全面有機(jī)的安全整體，從而建立真正有效的、能夠?yàn)樾畔⒒ㄔO(shè)提供安全保障的平臺。 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 9 3 供電企業(yè)信息安全風(fēng)險(xiǎn)因素及其威脅 供電企業(yè)信息安全存在的風(fēng)險(xiǎn) 網(wǎng)絡(luò)主要攻擊統(tǒng)計(jì) 經(jīng)過有關(guān)部門統(tǒng)計(jì)，網(wǎng)絡(luò)所受到 10 種主要攻擊分別為： Probes、 WWW Attacks、 DOS、惡意代碼攻擊、基礎(chǔ)設(shè)施攻擊、遠(yuǎn)程服務(wù)攻擊、操作欺騙、 FTP 攻擊、 SMTP 攻擊、 Windows 攻擊。被攻擊的操作系統(tǒng)主要有： Microsoft Windows、 UNIX、 Cisco IOS，被攻擊最多的通用 Web 服務(wù)器有： Microsoft IIS、 Apache Group Apache、 Netscape Enterprise Server、Ipla Emerce Solution（見表 31）。隨著針對應(yīng)用層的攻擊越來越多、威脅越來越大，只針對網(wǎng)絡(luò)層以下的安全解決方案已經(jīng)不足以應(yīng)付來自應(yīng)用層的攻擊了。如那些攜帶著后門程序的蠕蟲病毒是簡單的防火墻/VPN 安全體系所無法對付的。因此企業(yè)應(yīng)采用立體多層次的安全系統(tǒng)架構(gòu)。因此網(wǎng)絡(luò)安全體系正是電力企業(yè)所需要采用 的模式，這種多層次的安全體系不僅在網(wǎng)絡(luò)邊界設(shè)置防火墻/VPN，而且還設(shè)置了針對網(wǎng)絡(luò)病毒和垃圾郵件等應(yīng)用層攻擊的防護(hù)措施，將應(yīng)用層的防護(hù)放在網(wǎng)絡(luò)邊緣，這種主動防護(hù)可將攻擊內(nèi)容完全阻擋在企業(yè)內(nèi)部網(wǎng)之外。 表 31 網(wǎng)絡(luò)受到的主要攻擊統(tǒng)計(jì) 技術(shù)種類 成熟度 應(yīng)用狀況描述 口令認(rèn)證 高 普遍 防火墻 高 普遍 防病毒 高 普遍 SSH 高 局部應(yīng)用 PGP 高 局部應(yīng)用 補(bǔ)丁管理 發(fā)展中 個(gè)別部署 IP 地址綁定 高 普遍 漏洞批描 高 局部應(yīng)用 VPN 高 局部應(yīng)用 入侵檢測 改進(jìn)發(fā)展中 局部應(yīng) 用 備份 高 局部應(yīng)用 IPS 發(fā)展中 個(gè)別部署 內(nèi)容安全管理 發(fā)展中 個(gè)別部署 統(tǒng)一用戶身份管理 發(fā)展中 個(gè)別部署 導(dǎo)致企業(yè)信息安全的因素 伴隨電網(wǎng)的快速發(fā)展以及科學(xué)技術(shù)的進(jìn)步，我們國家的電力信息化工作也得到了迅猛 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 10 的發(fā)展。信息系統(tǒng)已經(jīng)廣泛應(yīng)用于電力系統(tǒng)的生產(chǎn)、經(jīng)營以及管理等各個(gè)方面，然而在計(jì)算機(jī)安全技術(shù)、運(yùn)行以及相應(yīng)的措施方面投入還不到位，存在許多信息安全隱患。由于解決基于 Inter 的信息系統(tǒng)的安全問題是一項(xiàng)十分復(fù)雜的系統(tǒng)性工程，供電企業(yè)應(yīng)盡快建立一套完整系統(tǒng)的、便于管理的信息安 全體系。電力是國民社會經(jīng)濟(jì)發(fā)展的一個(gè)基礎(chǔ)性的產(chǎn)業(yè)，電力系統(tǒng)的安全穩(wěn)定運(yùn)行對于社會經(jīng)濟(jì)的持續(xù)健康發(fā)展有重大的影響，因此，強(qiáng)化供電企業(yè)信息安全管理工作就顯得迫在眉睫。 供電企業(yè)信息安全的主要影響因素 : 1）自然環(huán)境以及各種不可抗拒因素。由于水災(zāi)、雷電等自然災(zāi)害造成的網(wǎng)絡(luò)信號中斷、數(shù)據(jù)被破壞等。 2）物理設(shè)備風(fēng)險(xiǎn)。在供電企業(yè)信息系統(tǒng)中必須使用了大量的網(wǎng)絡(luò)設(shè)備，比如路由器等，而設(shè)備本身的安全性能也會對網(wǎng)絡(luò)的正常運(yùn)行產(chǎn)生較大的影響。 3）人為因素以及管理因素。工作人員的業(yè)務(wù)素質(zhì)、職業(yè)修養(yǎng)是其主要因素。建立過錯追究制度 ，有效預(yù)防人為破壞以及管理方面的漏洞。 4） 數(shù)據(jù)庫存在的安全風(fēng)險(xiǎn)。嚴(yán)禁供電企業(yè)以及調(diào)度中心的電力控制系統(tǒng)直接和辦公信息網(wǎng)絡(luò)進(jìn)行連接，務(wù)必安裝經(jīng)國家相關(guān)部門認(rèn)證的專業(yè)安全隔離設(shè)施，同時(shí)選擇專用設(shè)備組網(wǎng)，確保物理層面上和公用信息網(wǎng)絡(luò)之間的安全隔離。 企業(yè)信息安全的主要威脅 Email威脅 Email 是一個(gè)重要的個(gè)人和企業(yè)的溝通工具 , 它幫助全球性的思想和內(nèi)容的快速交換。然而 , 這種信息共享的便利 , 也帶來了許多不利因素。 1) 病毒感染 最明顯的危害之一是攜帶病毒的電子郵件。每年的眾多新病毒 傳播到互聯(lián)網(wǎng) , 如果沒有強(qiáng)有力的方法和措施 , 以保護(hù)個(gè)人或組織的網(wǎng)絡(luò)系統(tǒng) , 任何病毒都會導(dǎo)致極大的傷害。 2) 垃圾郵件 垃圾郵件的問題是最現(xiàn)實(shí)的問題之一。除了要花費(fèi)大量的時(shí)間每天清理垃圾 , 垃圾郵件也給服務(wù)器帶來了很大的負(fù)擔(dān)。 3) 帶寬和存儲容量 浪費(fèi)帶寬和存儲容量等資源垃圾郵件不僅浪費(fèi)時(shí)間 , 導(dǎo)致生產(chǎn)力下降 , 還會造成有限的 IT 資源的消耗。如存儲 , CPU , 網(wǎng)絡(luò)帶寬等。 4) 知識產(chǎn)權(quán) 知識產(chǎn)權(quán)的損失監(jiān)控和檢查大量的郵件流量是相當(dāng)困難的。因此 , 特別對商業(yè)組織而言 , 私有的或保密的信息通過電子郵件泄露出去一個(gè)極為 重要的擔(dān)憂。 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 11 目前 , 公文處理通常使用諸如 Word 之類的文字編輯排版軟件 , 其功能強(qiáng)大 , 使用廣泛 , 但也存在許多安全隱患 , 如 : 1) 針對 Word 的病毒種類繁多且不斷有破壞力更大的新病毒流行 ,Word 文檔是傳播病毒的一個(gè)重要載體。 2) 使用 Word 客戶端上的本地文件和臨時(shí) Word 文檔 , 雖然這有一定的安全處理 , 但在系統(tǒng)異常 (如停電等 ) 的情況下 , 這些臨時(shí) Word 文檔不能處理。在客戶端存儲的重要信息可能被竊取。 3) 所帶來的不同部門使用不同版本的 Word 和不斷升級的版本是不兼容許多不可預(yù)見的問題。 4) 根據(jù)官方文檔模板草案中的語言使用的語言和修改稿件 ,眉首、公章和版記等處的內(nèi)容可以自由發(fā)揮除 , 修改 , 造成當(dāng)最后的書面錯誤。 5) 在 Word 的編輯格式存儲的可編輯的電子印章是一個(gè)很大的安全風(fēng)險(xiǎn)。文件瀏覽 , 文件可以重新編輯打印。 6) 認(rèn)勺 Word 文檔的文件較大 , 這樣我們必須經(jīng)常大容量數(shù)據(jù)傳輸。這將導(dǎo)致數(shù)據(jù)傳輸效率低 , 不穩(wěn)定。 1）客戶信息泄露 商業(yè)信息是一個(gè)公司寶貴的財(cái)富 , 沒有一家公司愿意共享客戶資 源給他們的商業(yè)競爭對手 , 缺乏客戶數(shù)據(jù) , 公司也不能有效地運(yùn)作。然而 , 間諜 / 廣告軟件會泄露商業(yè)信息。 2）應(yīng)用數(shù)據(jù)的安全 企業(yè)應(yīng)用系統(tǒng)在在使用的過程中的數(shù)據(jù)有的保存在數(shù)據(jù)庫中 , 有的保存在 Word 文檔中 , 這些數(shù)據(jù)可能存在著應(yīng)用軟件漏洞等諸多不安全因素 , 這些因素都有可能導(dǎo)致應(yīng)用數(shù)據(jù)的破壞。 企業(yè)員工或多或少地?fù)碛幸欢ǖ钠髽I(yè)信息系統(tǒng)訪問權(quán)限。但當(dāng)員工離職后 , 大多數(shù)企業(yè)卻沒有適當(dāng)?shù)臋C(jī)制來確保收回離職員工擁有的任何權(quán)限。 1）所遺留的各種帳戶 許多企業(yè)的信息化成熟度不高 , 企業(yè)各種應(yīng)用系統(tǒng)往往并沒有集成在一起 , 員工也就有了不同系統(tǒng)的賬號。離任員工仍然可以登陸賬號。 2）殘存的各種資源權(quán)限 員工很可能有一個(gè) VPN , 寬帶接入 , 遠(yuǎn)程主機(jī) , Email 和其他特權(quán)等。如果員工離 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 12 開了 , 但仍然在使用該公司的 Email, 則很可能是被人利用。 3）其他內(nèi)部信息和隱藏信息 在企業(yè)中 , 雇員可能會無意或故意得到其他人使用他的帳戶。有些員工可能了解企業(yè)網(wǎng)絡(luò)中的一些后門 , 這可能危及系統(tǒng)的安全 。 華北電力大學(xué)科技學(xué)院本科畢業(yè)設(shè)計(jì)（論文） 13 4 供電企業(yè)的網(wǎng)絡(luò)安全的解決方案與對策 DR 容災(zāi)解決方案 針對自然環(huán)境以及各 種不可抗拒的因素造成的信息安全風(fēng)險(xiǎn)，遠(yuǎn)程容災(zāi)的方案比較實(shí)用！ HeartsOne DR 功能特點(diǎn) 1）遠(yuǎn)程實(shí)時(shí)復(fù)制 通過對數(shù)據(jù)庫日志進(jìn)行抓取，分析，同時(shí)將其傳輸?shù)狡渌O(shè)備上進(jìn)行日志前滾，實(shí)現(xiàn)一對一數(shù)據(jù)庫實(shí)時(shí)復(fù)制同