论县级供电企业信息网络的安全防护

1县级供电企业信息网络应用现状及面临的挑战
当前，县级供电企业“SG186”各信息系统是为内部数据共享、员工之间或上下级业务部门协调工作提供的集成化平台，各地都已经投入使用。在县级供电企业信息化系统逐渐完善的情况下，如何有效地增强安全防范以及有效的控制安全风险，是当前迫切需要解决的问题。为此，笔者首先分析目前县级
1.1防火墙性能不足
传统的防火墙一般都是采用X86架构，采用ASIC架构的都很少。此类防火墙的网络吞吐效率一般都不高，尤其是对于要求数据安全的系统网络环境来说，传统X86架构防火墙的网络性能不足更是导致网络传输延迟增大的直接原因，使其成为整个网络传输的瓶颈，逐渐影响各个业务系统的运行。
1.2缺乏防攻击手段及能力
众所周知互联网上充斥着各种病毒和攻击源，但随着局域网技术的发展，网络安全不再只是外网的专利，对内、外网都要有足够的安全防护意识及安全防护措施。部署有大量网络设备的单位在充分享受网络利益的同时，也在承受着巨大的攻击压力。
如何具备内、外网防攻击能力，在面临大范围病毒爆发或攻击发作的时候都可以提供良好的处理性能和机制，需要有更有效的技术措施来保障网络应用的正常工作。
1.3多业务环境下带宽管理问题
随着网络技术的飞速发展，局域网、广域网及互联网之间的界限逐渐消除，各种网络应用亦逐步转变。随之而产生的大整合网络为信息化部门带来更多新的挑战， 因为需要确保重要业务应用在这种多业务环境下无论何时都要能发挥其重要作用，在网络上畅通无阻。然而由于种种原因，特别是网络带宽的不合理应用和无管理限制下的应用，整个网络使用效率及工作效率都很低，往往使用网络时却出现带宽不够用、关键应用带宽无法得到保障、无法实时了解每个使用者网络使用情况等问题。
1.4病毒防护能力差
病毒防护对于任何企业来说并不陌生，并且也基本都在这方面投入了不少人力和财力，但是最终效果却都不是很理想。目前，对于病毒的防护都是采用主机防护的方式，防病毒程序及病毒库都运行在主机端，而主机端在作病毒防护的同时，其本机安全却存在极大的隐患甚至存在极大的漏洞，这对于整体的病毒防护效果来说无疑是非常尴尬的。因为病毒的传播及发作都有其特定的周期性和规律性，在同一时期常常是同一类型的病毒大规模发作，而对于一些性能比较差的主机在进行类似病毒查杀的时候往往出现机器响应慢、操作延迟大甚至死机的情况，根本无法进行正常的病毒查杀工作。这个时候如果能够在网络层面对这些同一类型的病毒进行统一查杀的话，效果将是最优的。
1.5对于应用无法有效管控
网络中所有的网络通信都是基于应用的，而目前网络上的应用以几何倍数在增长，每天都有大量新应用出现，如何有效管一控制这些网络应用，是单位使用者急需解决的问题。
2县级供电企业信息网络的安全防护框架及措施
2.1县级供电企业信息网络的安全防护框架
各县级供电企业应结合“SG186”各信息系统的特点和计算机及信息网络技术应用的实际情况，建立县级供电企业信息网络的安全防护框架。
按照信息功能，县级供电企业信息系统可以划分为三层：第一层为自动化系统；第二层为生产管理系统；第三层为信息管理系统。针对信息业务的这种层次结构，应当从信息系统的安全需求上进行分层、分区的安全防护。
第一是分层管理，按照信息业务的三层功能，层间使用隔离装置行网络隔离。第二是分区管理，将三层功能与信息网络结构对应起来，又可以产生为4 个区：实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
2.2信息安全防护的技术措施
信息确认和网络控制技术。当前，成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术，这些技术都是基于计算机网络开展的，涉及业务信息安全的主要技术，应根据各单位业务系统性质、任务，制定最优控制策略。
计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展，建立计算机防病毒网络中心，实施网络化管理。
防攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按其计算机应用环境及业务重要程度制定防黑客攻击措施，重点检测系统信息安全漏洞，及时解决，特别重要的系统应采用物理隔离措施。
信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术 (如DES 算法)和非对称密钥技术 (也叫公开密钥技术，如RAS 算法)。
统一威胁管理：目前在网络安全防护领域内，为解决过多的安全产品而造成的网络效率瓶颈以及管理难的问题，出现了统一威胁管理系统，该系统综合了防火墙、VPN、入侵防御、病毒过滤、上网行为审计、流量管理等多种安全功能，实现一体化的防护，该技术目前在很多领域内得到了广泛的应用。
数据备份与灾难恢复技术。采用多种备份措施，按其重要程度确定数据备份等级，配置数据备份措施，建立省级和区域数据备份中心，采用先进灾难恢复技术，保证信息系统可靠性和数据重要性。
2.3信息安全防护的管理措施
人员管理。要加强使用者的安全教育，保持网络管理者的相对稳定，防止网络机密泄露，特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度，杜绝误修改和非法修改。
技术管理。主要是指各种网络设备，如路由器、交换机、防火墙、防毒墙以及VPN，IPS，QOS等设备的安全策略要切合实际。
密码管理。对于各类密码要分级管理，防止无密码、默认密码、出厂密码等容易猜测和破解的现象发生，及时更新重要密码。
数据管理。数据的备份策略要合理并及时，要安全保管备份介质，必要时可做异地备份。
安全管理。建立县级供电企业信息安全标准、规范与制度。有效地在安全运行操作、机房设施与场地、操作系统与应用系统等方面进行安全管理。
2.4信息安全防护的应急措施
各供电企业应依据国内外发生过的网络信息安全事例，结合县级供电企业信息网络当前运行状态和可能存在的问题，设计安全应急措施，部署安全应对机制，奠定紧急控制的基础。一旦发生电力信息安全事件，可根据预先设定的安全应急措施，立即启动相应的安全机制，缩小安全事件的波及范围，避免造成更大的损失。
3县级供电企业信息网络的一体化安全防护
针对县级供电企业网络应用现状及面临的挑战，目前业界己出现一种主流的网络安全技术，即一体化安全防护技术。该技术融合了防火墙、入侵防御、病毒过滤、流量管理、网页过滤、上网行为管理等多种安全防护功能，其通过在内网和外网的重要节点上部署一体化安全防护设备，由信息安全管理中心实现集中管理，并根据该节点上网络所支撑的业务数据流等，制定对应的安全控制和检测策略，全面保障网络应用的安全。
3.1多种安全技术应对不同安全威胁
一体化安全防护综合实现了防火墙、入侵防御、病毒过滤、流量管理、网页过滤、上网行为管理等，将原来需要多个系统实现的安全特性集中到一台设备上来实现，大大降低了工程实施和运行维护的难度，并有效保护了投资，当使用者面临新的安全威胁时，只需要扩展其中的模块即可。
3.2硬件高性能提供有效支撑
在县级供电企业信息网络中运用集成化的系统，来集中完成网络应用的安全防护，被越来越认可，但同时对硬件设备的性能带来了很高的要求。
随着硬件技术的发展，目前的主流技术己经实现了多业务并行处理状态下的一体化安全防护架构（如多核+ASIC架构），用多核来加强应用层安全，用ASIC来实现网络级安全，用高速交换总线加速各个模块之间的通信。实现了数据的快速运算，减少了数据处理的延时，从而保证了网络应用的快速处理。
3.3基于角色的安全管控
针对县级供电企业信息网络的特点，基于使用者的角色执行访问控制和检测就是一种很有效的技术措施，让网络配置更加直观和精细化，基于角色的管理模式主要是基于“人”的访问控制、基于“人”的网络资源分配、基于“人”的日志审计。可以通过对访问者身份审核和确认，确定访问者的访问权限，分配相应的网络资源。在技术上可避免IP盗用或者PC终端被盗用引发的数据泄露等问题，使得审计记录可以直接反追溯到真实的访问者，更便于安全事件的定位。
3.4应用识别使网络更清晰
随着网络和应用技术的发展，应用的复杂化、动态化成为趋势，很多应用方式（比如QQ、P2P下载、网络视频）都利用到HTTP所用的同一端口，这就使得传统通过协议加端口号来判断应用的方式存在很大的误报。基于应用行为和特征的应用识别，其基于深度应用识别的技术，突破传统基于端口的网络防御方式，从而真实地识别出流量对应的应用，并有针对性的去防范针对应用的攻击，做到更加精确的控制与检测。
3.5面向应用的流量管理
县级供电企业信息网络的特点就是多业务并行，因此对流量提出了要求，特别在纵向互联链路上，其带宽资源是有限的，一些关键业务（特别是下级对上级的业务访问）往往因带宽被非业务访问占用而受影响。
传统流量控制是根据五元组来进行的，即源地址、目的地址、协议、源端口、目的端口等，这种方式无法有效应对动态端口的应用，以及伪装端口的应用（比如QQ即用常见的TCP 80端口进行）。
对此通过实现基于应用的流量控制，能够根据不同使用者访问的真实应用，来进行有效的带宽管理，从而达到精细化流量控制的目的，更有效地保障关键业务的持续性和稳定性。
4结论
综上所述，县级供电企业信息网络的安全防护问题应从多元化方向考虑，充分运用主流技术、管理体制、人员培训等方法系统的提高整体信息安全防护能力，在不断培养网络使用者良好工作素质的同时，网络的安全意识与防护措施常抓不懈。