[摘 要] 电力信息系统是构建在一个典型的具有Internet、Intranet和Extranet应用环境的复杂系统。必须建立完整的、可管理的安全体系,这个安全体系涉及以设备为中心的信息安全,技术涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统;涉及计算机病毒的防范、入侵的监控;涉及以用户为中心的安全管理,包括用户的身份管理、身份认证、授权、审计等;涉及信息传输的机密性、完整性、不可抵赖性等等。本文通过南京供电公司“SG186”营销信息系统建设的实际经验,阐述电力营销信息系统的信息安全建设的必要性,并有针对性的提出一系列可行性建议。
[关键词] 营销 信息安全
国家电网公司“SG186”工程旨在建成“纵向贯通、横向集成”的一体化企业级信息集成平台,实现公司上下信息畅通和数据共享。南京供电公司营销信息系统目前用户覆盖市区及3个营业部2个县公司,系统与95598客户服务系统、稽查监控系统、配电MIS系统、用电信息采集系统都有接口互联,同时与银行、运营商、企业内网等都有互联。
针对营销信息系统的安全隐患,进行安全方案设计时,安全风险必须仔细考虑,并且针对面临的风险,采取相应的防范措施。
1、安全技术
1.1系统的主要安全隐患
从信息系统来看,主要存在以下几个方面的安全隐患。
(1)病毒、木马、恶意软件的入侵和感染,造成系统网络瘫痪。
(2)由于对外防御措施的薄弱造成外部网络用户的入侵和攻击。
(3)内部网络用户的非法操作和敏感信息外泄。
(4)数据的备份和及时恢复问题。
1.2病毒、木马和恶意软件的清除和预防
计算机病毒、木马和恶意软件具有传染性、隐蔽性、潜伏性、破坏性,为避免灾难性病毒的爆发和木马、恶意软件的破坏,南京供电公司组建了以市公司为第一级、基层单位为第二级的两级病毒防护体系,安装统一的网络病毒软件,覆盖所有服务器和客户端。
1.3防火墙技术的应用
防火墙是网络安全中最重要的设备之一,主要是通过设置过滤规则和通信策略,阻止外部网络用户针对内部网络用户的非法入侵,阻止非法网络通信流,确保内部网络用户的安全,同时抵御黑客的攻击。
目前,在南京供电公司营销信息系统中,防火墙部署在各个网络出口和区域之间,且全部采用双机冗余方式,与外单位网络连接采用NAT并通过DZM区前置机通信方式实现互联,内部网络连接采用透明模式。
1.4IDS、IPS技术的应用
由于防火墙往往只能做到防外不防内,无法阻止来自内部人员的攻击,对信息流的控制缺乏灵活性。同时,尽管防火墙能够保护系统不受未经授权访问的侵扰,但是,对专业黑客或者恶意的已授权用户还是有许多无奈,且一般防火墙很难对基于应用层的攻击进行预防和阻止,我们在网络安全管理中,除了消极被动的阻止和查杀外,还必须主动出击,对那些正在实施的攻击行为进行检测,以进一步预防这些安全隐患的发生。
IDS入侵检测系统是对防火墙有意的补充,是防火墙之后第二道安全闸门,能对非法入侵行为进行全面的监测,它可以在不影响网络性能的情况下对网络进行监听,从而针对内部攻击、外部攻击和误操作的实时防护,大大提高网络的安全性。
而IPS入侵防御系统则是事先针对特定的攻击类型所进行的防御部署,在入口端就可以发现攻击,并对其进行拦截。人们戏称IDS是只“说”(报警)不“做”(阻止),IPS是只“做”不“说”。
1.5安全审计技术的应用
安全审计系统是针对业务环境下的网络操作行为进行细粒度审计的管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,以帮助用户事前规划预防、事中实时监控、违规行为响应、事后检查报告、事故追踪回访,加强内外部网络行为监管、避免核心资产(数据库、服务器、网络设备等)损失、保障业务系统的正常运营。
网络审计产品通过旁路对网络数据流进行采集、分析和识别,根据用户定制的策略记录网络事件、发现安全隐患,并对网络活动的相关信息进行存储、分析和协议还原,对网络中的可疑网络行为实施记录、告警和阻断。
1.6服务器和应用程序的安全防护和策略
黑客或者恶意入侵者在选择攻击目标时,首先要确定的是目标主机存在哪些漏洞,是否可以利用这些漏洞为跳板实施攻击,所以,在我们的日常管理中,全面封堵这些漏洞是非常必要的,也是必须的。在系统漏洞方面,又以操作系统本身的安全漏洞和应用程序的漏洞最受黑客欢迎。南京供电公司营销信息系统主要采取以下几种方式进行防护:
(1)及时更新系统补丁:部署补丁分发服务器,由补丁服务器第一时间将最新系统补丁分发到各服务器和客户端,避免由于系统漏洞引起的安全事故。
(2)利用工具软件定期系统漏洞:借助知名工具软件定期对服务器和系统进行扫描,帮助分析系统存在的安全漏洞。
(3)对服务器进行加固,关闭服务器不必要的端口和服务,将受攻击的几率降到最低。
1.7终端管理系统的部署
在每台终端安装内网安全管理客户端,并在基层单位部署子控制中心,实现实时监控桌面终端的安装软件情况,对安装违规软件或未安装必须安装软件的行为进行及时反馈和报警,帮助网络及信息安全管理员及时发现软件安装上为违反网络安全管理规范的行为;实时监控桌面终端的进程情况,对运行违规进程或未运行规定进程的行为进行及时反馈和报警,并可对违规进程进行禁用,及时发现病毒等异常进程或聊天工具、游戏等其他非工作需要的进程,报警的同时可以关闭违规进程;对于支持无人值守安装的软件,系统可以实现自动分发,手动安装;能够对本地网卡流量和交换设备的端口流量监测和管理,可以实现对网络流量的全方位监控,可以有效阻止内网蠕虫病毒的传播。
2、安全管理
信息化安全讲究是三分技术,七分管理,在拥有先进的安全防护技术的同时,为确保营销信息安全保障体系的顺利实施和运营,必须要有一个完整的安全管理体系。
2.1建立营销信息系统安全管理机构
各级信息系统安全管理机构负责与信息安全有关的规划、建设、安全政策、资源利用和事故处理等方面的决策和实施。
各级信息安全管理机构应根据安全需求建立各自信息系统的安全策略、安全目标。建立和健全营销信息的系统安全操作规程。
确定信息安全各岗位人员的职责和权限,建立岗位责任制。对已证实的重大的安全违规、违纪事件及泄密事件进行处理。
2.2明确营销信息系统信息安全负责人职能
安全负责人全面负责本单位的信息系统安全工作;审阅违章报告、控制台安全报告、系统日志、系统报警记录、系统活动统计、警卫报告以及其它与安全相关的材料;组织制定安全教育、培训计划。协调和管理对下级安全管理人员、系统管理和操作人员的定期和不定期的安全教育和训练;管理、监督、检查、分析系统运行日志,及系统安全监督文档,定期对系统做出安全评价,对违反系统安全规定的行为进行处罚;负责制定、管理和定期分发系统及用户的身份识别号码、密钥和口令;采取切实可行的措施,防止系统操作人员对系统信息和数据的篡改、泄露和破坏,防止未经许可越权使用系统资源和旁通系统安全设备的控制;监督、管理外部系统维修人员对系统设备的检修维护,并建立相应的批准手续和出入机房制度。
2.3安全策略体系
营销信息涉及面广、情况复杂,管理的制度化程度极大地影响着整个平台的安全,严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上降低审批平台的安全隐患。因此,营销信息的建设、运行、维护、管理都要严格按照制度执行,明确责任权利,规范操作,加强人员、设备的管理。
营销信息安全管理制度的制订应由平台管理部门组织,工程承担单位配合,相关人员参与制订,经领导委员会批准后,严格按制度执行。同时,制订系统安全状况的定期评估制度。
2.4安全人员管理
营销信息系统的运行是系统内相应的工作的人员具体实施的,他们既是营销网安全的主体,也是系统安全管理的对象。所以,要确保系统的安全,首先应加强人事安全管理。
安全人员应包括:密钥管理员、系统分析员、系统管理员、办公自动化操作人员、安全设备操作人员、软硬件维修人员。
其中密钥管理员、系统分析员、系统安全保密管理员由不同人员担当。
3、结束语
信息安全,特别是数据大集中系统信息安全是一个复杂的系统工程,以上是结合南京供电公司营销信息系统安全建设和管理中的一些实践经验,就数据集中信息系统可以采用的技术手段和管理理念进行了论述,为电力企业就建设信息系统安全提出了一些行之有效的方法。■
相关热词搜索: 浅谈 电力 营销 信息系统安全 分析