聚焦智能電網安全建設重點

2013-09-23 09:15:45 CIO時代網　點擊量：評論 (0)

一、引言隨著SG168工程的完美收官，國家電網公司在信息化建設的道路上開始了新的征程，智能電網建設逐漸拉開帷幕。智能電網的目標是：構建以特高壓為骨干網架，各級電網協調發展的統一堅強智能電網。技術

一、引言
隨著SG168工程的完美收官，國家電網公司在信息化建設的道路上開始了新的征程，智能電網建設逐漸拉開帷幕。智能電網的目標是：構建以特高壓為骨干網架，各級電網協調發展的統一堅強智能電網。技術上體現信息化、自動化、互動化；管理上體現集團化、集約化、精益化、標準化。
二、信息安全對智能電網的意義
所謂統一堅強智能電網，其特點是統一和堅強。如何理解？首先是統一，這是管理模式，也是國家電網一直以來的努力方向。電網的統一管理，也就意味著各環節各子網的互聯互通，能節省管理成本和內部消耗，但是也帶來了隱含的風險。所謂牽一發而動全身，如果沒有足夠的安全措施，一旦某個網絡出現問題，其他網絡必然會受到影響。所以接下來的要求必然是堅強，堅強包括兩個方面的內容，一個是具有全面的防御能力，另一個是完善的自我修復能力。統一是基礎，堅強是保障。
智能電網是一種高度自動化的數字化電網，在開放系統和共享信息模式的基礎上，可以通過寬帶通信系統、自動控制系統以及分布式智能設備等，實現電網中各部門的協調和實時互動，以及實時市場化交易，以達到優化電網的管理和運營目的。作為物聯網時代最重要的應用之一，智能電網將會給人們的工作和生活方式帶來極大的變革，但是智能電網的開放性和包容性也決定了它不可避免地存在信息安全隱患。針對智能電網的運營特點，其安全需求包括物理安全、網絡安全、數據安全及備份恢復等方面。這里，我們主要討論網絡及數據安全。
三、智能電網的安全建設重點
智能電網的安全建設，首先需要提高防御能力，也就是抗攻擊能力。針對電網的攻擊來源于兩個方面：一方面是來自外部的攻擊，一些有不良企圖的黑客，時時在尋找這些漏洞，伺機竊取電網內部的重要信息，或者篡改電網數據以獲利；另一方面是源于內部，包括病毒破壞以及內部人員違規行為。特別是某些內部人員，利用工作之便，隨意越權訪問或者修改某些重要數據，也會給電網帶來不可估量的損失。
明確了主要威脅來源，我們就要有針對性的采取相應措施，維護信息安全。首先進行常規安全建設，例如，在電網各個子網和安全域分別部署入侵檢測和漏洞掃描類產品，了解每臺計算機的漏洞和面臨的威脅。對于有高危漏洞的計算機，及時安裝補丁和防病毒軟件，進行系統加固。在網絡邊界或者內部樞紐地帶，還需要部署常規的防病毒、防火墻、身份認證等產品。基礎建設完畢后，我們需要對電網的核心業務區域進行重點防護。電網的核心業務區域，包括各個主要業務系統，數據庫服務器以及對外提供服務的網站服務器等等，是電網信息資源的集中地帶，因此，其安全性需要得到足夠的重視。這里，主要討論一下業務網絡的合規審計和Web服務器防護。
（一）業務網合規審計
外部人員的惡意訪問可以通過在網絡邊界部署防火墻、UTM等產品進行防護，但是內部人員違規操作帶來的風險同樣不可小覷，尤其是針對數據庫、文件服務器的非法數據獲取或者篡改，后果嚴重。國家主管安全機構及部分行業已經充分認識到這個問題，紛紛出臺相關政策以加強對內部違規行為的審計。公安部等級保護要求，二級以上信息系統中的網絡安全、主機安全、應用安全均要求進行安全審計。因此，需要針對網絡特點采購相應的安全審計產品，審計主要目標集中在運維操作審計和數據庫訪問審計上。
內網用戶通過Telnet、FTP、SSH、遠程桌面等方式對于資源服務器的訪問行為需要受到關注，根據保密性要求，對于文件傳輸和遠程控制等操作，往往采取加密方式進行，因此，對運維類協議的審計能力是考察安全審計產品可用性的一個重要指標。

數據庫是另外一個信息資源集中地帶，對數據庫的各種操作，尤其是操作影響或者后果，均需要進行細粒度審計和控制。目前國內大中型軟件常用的數據庫系統，包括商業數據庫Oracle、DB2、SQL-Server、Informix、Sybase、Teradata、開源數據庫Mysql、PostgreSQL，行業數據庫Cache，另外，在政府網絡中國產數據庫也占據很大比重，比如達夢、人大金倉、南大通用等。對于以上