APP下载

略谈电力行业互联网应用安全防护的主要手段

2020-12-31

网络安全技术与应用 2020年2期
关键词:电力行业漏洞

(海南电网有限责任公司 海南 570203)

电力行业作为国家重要的关键信息基础设施单位,各电力企业负责管理和营运多个基于互联网的重要对外应用,并常常成为黑客的攻击目标。通过近几年的网络安全建设,各电力企业都建立起不同网络大区的网络安全方式模式。从目前电力行业的实际情况来看,互联网的系统应用已经成为行业数字化运营的重要支撑。为了可以使资源的共享程度不断加深,与互联网的联系也就会越来越紧密。然而,电力企业的安全问题长时间以来就有很大层面上的暴露。无论是物理方面,还是网络上面的攻击,在进入新时期后,都对电力企业的安全、稳定运行造成了很大的隐患。基于此,笔者结合电力行业互联网应用的安全现状,提出一系列的防护手段提升互联网应用防御。

1 电力行业互联网应用安全现状

1.1 安全意识薄弱

安全意识是首要解决的问题,正是由于在互联网应用安全防护方面,许多企业以及领导者并没有进行踏实的防护,无论是在构架还是在技术,都存在着一定的侥幸心理。因此没有积极防御,当问题出现之后处于被动的状态。这有些原因是出现在资金上面,而有些只是出现在认识上面。尤其是在构架系统上,普遍出现了安全投入和收益的不成比例。这也就会产生一些麻痹的思想,认为安全上的考虑不足以当真。

1.2 安全防护缺少有效的规章制度

许多人都认为在互联网的应用安全防护上面,需要解决的是技术问题。其实不然,为了可以将安全进行全面、细致的防护,合理完善的规章制度也相当重要。在对制度的完善当中,无论是设计者、管理者,还是使用者,每个人的职权一定要进行明细,保证有较高的执行力、可操作性,这样才可以建立出基础的制度框架。

1.3 安全管理的人才匮乏

随着信息的不断增长,互联网的应用更加需要专业人才来进行安全防护。然而在目前的电力行业当中,安全方面的专业人才实际上是远远跟不上企业的需求。因此,电力行业当中的企业应该对于员工进行定期的培养,以形成常态,对于十分重要的工作人员还需要进行针对性的安全教育。

1.4 网络安全防护的措施不到位

对于互联网的安全防护,在防火墙、路由器等设备上面的配置有相当大的缺失,在操作系统上面也存在着漏洞,而终端设备的防病毒客户端软件不更新,等等这些问题都容易产生疏忽,使得电力行业的互联网很容易成为一些入侵者的攻击目标。

1.5 缺乏有效的监测与检测能力

互联网在对公众开放的同时,其本身的隐蔽问题就存在着矛盾。一方面是资源的开放与共享,而另一方面,信息内容的安全则会顾此失彼。在电力行业所使用的互联网上面,由于各种系统存在的漏洞、设计者本身认识或能力不足产生的一些软件漏洞等,这就导致在许多互联网当中,缺乏一种高效管理的监控措施,来对网络的安全性进行监视。

1.6 缺乏一种完整的安全防护手段

电力行业当中所使用的大部分互联网安全防护,都只仅限于某一个设备,或者是某个系统、某个领域,通过它们之间的简单组合来进行安全防护。然而,这种防护措施却有着相当严重的缺陷。只需要找到其中一个漏洞,那么攻击者就可以将其成为一条道路,使得整个网络系统暴露出许多薄弱环节。因此需要建立一个立体全方位的完整的安全防范手段,才可以应对各种各样的安全问题。

2 电力行业互联网应用安全防护策略

2.1 重视安全规划

如果从长远来考虑的话,那么就需要对于互联网的安全防护问题进行一个相当全面的认知,这样就可以以大体的视角,来对互联网中可能出现的安全问题进行处理。需要建立起一套系统、全面、可操作的互联网应用安全防护体系,同时也建立起一套防护的建设准则。将体系和准则两者结合起来,为电力行业的互联网安全提供依据。而这两者的建设,可以参照国内外的一些通用标准来进行实行。

2.2 在基础设施和环境运行上面加强管理建设

在电力行业互联网应用当中,对于计算机网络和信息方面要进行合理的把控。尤其是在机房、配电间等有服务器和核心设施的地方,加强安全管理措施。在这些房间一定要构建起防盗、防火、防水等基础设施,并且在一些通道内,也需要安装有效的监控和报警设施,用来监察进出人员的情况。而在机房内的一些物理硬件设备,需要通过相关的设备来建立严密的运行记录,保证实时查到每一个设备的运行情况。对于作业指导书,要进行规范,确保互联网信息安全的可靠。

2.3 安全区域的合理划分

在电力行业当中,对于电网的调度自动化系统物理专网隔离,并且通过综合信息网与国家一些专业机构进行数据的交换,而在物理方面则通过正向隔离设备,保证允许的数据单向流量至服务器等等形式。而在综合信息网和互联网之间,需要建立比较高效的防火墙,保证一些信息只能从内网才可以发布。在边界的防火墙需要合理的规划区域,用来放置访问的服务器,确保互联网方面的访问只能通过这个服务器才可以进入。边界防火墙的三层核心规划成不同的逻辑子网,用来提供专用网络。最后,对于不同部门的划分也应该清晰,让他们只能访问本部门的工作站。

2.4 安全管理不断加强,制度建设不断完善

对于电力行业内部,要求一些企业建立、健全机房、设备、应用等等具体的管理措施。并且在管理、使用、运行等各项制度进行明确,对于考核制度也应该健全。保证以制度为根基的领导带头作用,运用在各项制度的强制、有效上面。对于一些管理业务和操作流程,需要保证实时变化、实时更新,以确保互联网管理行为获得有效的规范。

3 电力行业互联网应用安全防护技术

3.1 网络隔离技术

网络隔离技术可以在不同网络或者是内网网络之间建立一道防线,防止外部或者是公用的网络,未经允许的访问而进入内网,是十分常见的防护技术。它可以保证将安全区域进行不同的划分,并且设置不同的访问限制,一般可以采用异构网络区域,内部网络区域等等。

3.2 自身免疫技术

不同于那些被动防止安全问题的措施,自身免疫技术可以进行积极主动的防御,其中漏洞扫描与加固是比较常见的自身免疫技术。良好的漏洞扫描技术,需要建立在完备的知识库上面。通过扫描技术对于互联网当中的许多网络或主机进行扫描,发现其安全问题,并且开展有效的安全加固工作,大幅度的降低黑客攻击。

3.3 入侵监测系统

入侵监测技术在互联网应用正常访问的行为钟,对于违反安全策略行为和入侵行为进行系统的检测,在收集网络访问、安全日志、信息数据等基础上面,对一些行为进行安全检测。并且,对不同的网络区域和误操作提供防护,使得互联网在被入侵之前就可以得到及时的报警。

3.4 数字加密技术

数字加密技术可以为互联网提供一种十分安全的防护,它可以在不同的网络之间传输时,用加密的方式进行处理,保证数据的前后一致,是一种十分普遍的安全防护措施。

3.5 端点防护技术

端点防护技术实现的方式是在为互联网应用提供服务的服务器上,安装端点防护工具,该工具具有通信阻断、漏洞发现、行为监测等能力,通过该技术的应用,可以将互联网应用的服务防护手段下沉到最端点,实现最小化防御。最大限度的实现业务可用性和网络安全防御的平衡。

3.6 自动化防御技术

自动化防御是指通过技术手段实现安全威胁的自动化处置,高度提炼以往网络安全应急保障工作的宝贵经验,形成安全防护规则。一旦监测到网络攻击,监视平台与安全防护设备联动,形成高效、动态防御。极大地缩短互联网攻击的防御时长,提升防御效率。

4 互联网防护技术实践的成效

近年来,笔者在所工作的电力企业中,对上述互联网应用防护技术手段开展了一系列实践工作,取得了客观的应用成效。主要包括:

(1)提升了企业互联网应用的整体安全防护能力,通过网络隔离技术的研究与实施、端点安全防护能力建设、安全监测体系建设等一系列举措,构建了全方位、全天候、全过程、全覆盖的体系化整体保障能力,确保电力互联网应用的整体安全。

(2)提升了电力互联网应用的监测预警和应急响应能力,通过构建互联网应用安全监测预警体系,实现多种关联分析,提升了电力互联网应用安全防御能力,实现直观、实时的安全运行态势展示,有效抵御了恶意网络嗅探和攻击行为。

(3)提升了电力互联网应用联合阻断的安全防护能力,安全防护联动阻断系统形成了面向互联网威胁的动态防御体系,打破设备孤岛,构建联合战线。利用海量数据高速分析识别出高危互联网IP,与防御设备形成动态防护策略,将高危IP联动封堵,打破原因的静态防御体系,创新性地实现了互联网威胁的动态防御。

5 结束语

互联网应用安全防护是一个相当复杂的系统工程,它涉及许多方面。因此,对于它的研究绝对不能只依据某一个方面。对于电力行业的互联网应用安全防护,需要从技术、制度和法律三个层面,采取全方位的措施来进行防护。并且在安全管理上面也要提高重视,使得防护措施和管理意识共同进步,一起来为电力行业的互联网安全提供坚实的保障。

猜你喜欢

电力行业漏洞
漏洞
网络安全漏洞管理与漏洞情报库建设方案探讨及研究
共谱新时代电力行业党建和企业文化建设新篇章
基于selenium的SQL注入漏洞检测方法
电力人才开发与培训探讨
新形势下电力行业财务内部控制中问题与对策探析
如何做好电力行业客户服务管理
漏洞在哪儿
视频、Office漏洞相继爆发