1前言
现阶段,信息技术已经深刻的影响了社会的发展,电力企业也不例外。信息技术已经应用到电力企业的各个角落,成为企业信息流组织的重要技术手段,随着智能化电网的深入建设,信息技术不仅运用于办公室的信息处理,更是延伸到电网的运行控制。信息安全受到破坏不仅仅只使信息本身的可用性、完整性、保密性受到破坏,还可能直接影响到现实世界的社会生活、生产,甚至直接造成人身伤亡、财产损失。信息技术的发展给电力企业带来发展机遇的同时也提出了全新的挑战,使信息安全成为电力企业安全管理不可或缺的重要组成部分。
2信息安全面临的挑战与困难
2.1设备分布点多面广,全面防控困难
电力设施分布于广大的地域范围内,需要为每个电力客户提供电能供应点,还必须建立连接这些电能供应点与电源之间的通道,从而形成电能供应网络。随着智能电网建设的深入,信息产生、传输、处理、保存的设备也随电网一同延伸到电网的各个角落,许多设备和设施安装于野外,没有封闭的安装环境,没有现场值守人员,要监控所有设备的状态、保证其物理安全,几乎是不可能的。
2.2蓄意破坏行为泛滥,防范难度较高
信息安全不仅面对无意的、偶发的威胁,还必须面对众多蓄意的破坏。潜在的攻击者可能采取各种已知或未知的手段避开或攻破安全限制获取或破坏信息,这要求信息安全管理人员不仅需要掌握已知的攻击手段并采取相应的防范措施,还需要不断对原先被判为正常的信息访问进行审计,发现可能的未知攻击手段并采取对策,这是一个艰巨的任务。攻击者可能不仅具有高超的手段,还可能采取各种方法隐藏自己的踪迹,从而提高安全人员的识别难度。互联网上流传着各种信息,包括各种信息安全漏洞以及利用漏洞的方法,甚至还有漏洞利用工具,社会上也有众多技术爱好者、恶作剧人员、敌对分子,不管出于何种原因、何种目的,他们都极容易成为攻击者。因此,信息安全必然面对广泛的攻击来源和众多未知的攻击手段,而且还必须应对蓄意的、有针对性的安全性规则破坏。
2.3职工安全意识不高,责权界定复杂
信息网络安全管理的最核心关键部分就是管理,管理水平的高低对最终的效果是决定性的。电力企业的应用系统已经具有相当规模,几乎已经涉及工作的方方面面,对每位员工的责权进行仔细的界定也是一项艰巨而复杂的工作。在实际的工作中,仍然存在密码强度不够、在员工之间共享账号、应用系统权限管理不规范的现象,从而使信息的安全特性容易或已经受到破坏。
3信息安全管理的常见误区
3.1信息安全主要是防病毒
虽然病毒的防范是信息安全工作之一,但部分管理人员却将病毒防范工作放在信息安全工作的中心,而忽略了信息安全工作的其它方面,这是一个严重的误解。虽然病毒的入侵是导致信息安全事件的重要因素之一,但是病毒或木马的真正目标浊使正常用户无法正常使用资源或窃取攻击者需要的信息,因此,信息安全工作的目标是保护资源和信息能正常使用且不被非法访问和篡改。
3.2部署了安全系统就安全
近年来,随着信息安全问题的日益显现,管理层对信息安全的重视程度有极大的提高,也有较大的投入,许多企业先后部署了防病毒系统、防火墙、入侵检测或入侵防御系统、安全网关、应用网关、安全隔离装置、桌面管控系统、移动存储安全注册系统、安全审计系统等一系列安全系统或设备。这些系统或设备的部署为保障信息安全提供了技术上的手段,但是,许多管理人员却在部署之后疏于管理,未定义或更新安全规则,从而使所有部署的系统成为摆设,不能发挥其作用,反而成为影响性能的累赘。另外,这种情况下,还会造成一种安全假象,使管理员危机感降低,反而不利于信息安全能力的提高。
3.3物理是安全的
工作实践中,常常发现许多办公室没有人,但门却开着,计算机也没有锁定;机房里有人工作,但管理员却不在现场,甚至不知道有人工作。调查发现,许多人认为计算机没什么需要保密的内容,没什么值得别人窃取的,不需要特别限制他人使用计算机。而事实上,如果物理安全得不到保障,则任何操作系统都是可以被攻破的,是不安全的,是可以被攻击者利用的主机。如果一位恶意攻击者能够使用网络上的一台计算机,他几乎可以做任何事,包括窃取本机上的资料、安装信息收集后门;监视使用者本人的使用习惯,获取使用者信息,常用密码及密码字符的组合方式;甚至通过这台计算机破坏整个网络的安全性、窃取网络上其他计算机上的资料。如果使用的后门是一个特殊的专用工具,网络上没有流传,则病毒和木马查杀软件往往无法发现,因此会长期的破坏信息安全措施,造成极大的危害。
3.4内部就是安全的
由于许多安全设施,如防火墙、入侵检测系统、入侵防御系统、安全网关等,都有一个假设———内部是安全区域,因此有许多管理员接受这个假设,并将它用于整个信息安全工作的指导思想中。但是,可以肯定的是,事实上并非如此。内部人员作案或内外勾结作案的事件不时见于报端,可以算是典型的反面例证。
3.5网络隔离了就安全
国家电网公司实施了网络区域安全隔离措施,将控制网、信息内网、信息外网在物理上隔离,从而从通信上隔离了攻击者。这在一定程度上是非常有效的,由于通常情况下,攻击者无法访问控制网、信息内网的资源,因此无法直接进行攻击。但是,网络隔离了并不等于安全了。例如,网络上已经出现了“摆渡攻击”的成功案例,而且,整个电力系统企业内有上百万工作人员,还有众多外部合作企业,他们都可能是不安全因素的来源。
4信息安全对策探析
4.1仔细划分安全区域
由于无法确知内部的安全性,因此应该根据风险发生的概率与风险发生后损失的程度两方面的因素,将信息处理所涉及的各种要素划分为不同的安全级别,不同的级别要素部署于不同的安全区域。例如,重要的设备、数据具有较高的安全级别,部署于机房内,严格控制其访问;所有安装于野外的设备,如远程通讯通道或远程数据采集点都是容易受到攻击的或损坏的,应当认为是不安全的,对其发出的信息需要进行更仔细的鉴别和更高强度的加密;所有桌面终端上都未必是安全的,需要认真进行身份鉴别,等等。划定各要素的默认安全级别是所有安全措施的基础,在此基础上才能部署相应的安全设施,采取相应风险防范措施,否则必然造成安全投入的不足与浪费。而且,关键的安全区域应当尽量的小和少,这样才能比较容易保证安全性。
4.2加强安全硬件部署
为了能够更加有效的保障信息安全,需根据实际的需求加强安全设施部署,例如部署防火墙、入侵检测系统、入侵防御系统保证网络入口的安全;部署安全网关、应用网关保证应用服务的安全;部署审计系统记录资源使用情况及用户使用行为,保证事后可追溯性,等等,从而全方位的保证信息安全。安全设施部署后,还需要认真制定防护规则、定期审计,发现潜在的攻击与隐患,并及时修正规则,才能真正发挥安全设施的作用。
4.3严格落实制度标准
据不完全统计,目前基层电力企业信息专业需要执行的工作标准有近百项、技术标准达数百项,规定的内容涉及信息工作的方方面面,已经比较完备了。每个信息安全事件调查中,几乎都能找到制度落实不到位的情况。例如,某电力公司发生员工修改用户电费收取费用谋利事件,就是因为没有落实管理员权限最小化和制约制度、没有落实事件审计制度引起的;某公司应用系统投入运行后,发现开发商利用系统所留后门以及开发账号登录系统修改数据事件,就是由于未落实系统开发相关制度、系统上下线管理制度,没有清理开发账号,没有进行代码审查和安全测试,等等。安全来源于过程,信息安全也不例外。制度虽然完备,但需要落到实处才能发挥其效果。
4.4提供安全基础服务
随着当前电力企业改革的深入推进,电力企业的组织机构变得集约、扁平,信息系统也多采用国家电网公司一级或国家电网公司与省公司二级部署的方式,遵循五统一的原则建设应用系统。但是,由于地域差异,各地区电力企业面临不同的用户、不同的规划、不同的问题,管理侧重点也必然有所不同,因此应用需求也存在差异,有必要利用基层单位的力量推进开发进程。所有应用系统都有一些共同的需求,在安全方面有身份鉴别、权限管理、数据传输、日志管理、备份恢复等,如果公司总部统一开发并公开服务的接口调用、安全协议等方面的规范,并提供接入申请、审批、注册等方面的管理制度,方便下级单位运用。这样公司总部只开发一次,保证一个系统的安全,就能保证所有系统公共部分的安全,节约后续开发的投资与时间,充分发挥投资效益。
5结束语
信息安全是一个系统的工程,内容涉及信息处理的方方面面,包括处理的设备、信息本身的表现形式以及参与信息处理的人员、环境等各方面,任何一点漏洞都可能造成难以估量的损失。信息安全保障,需要长期的努力与积累,研究各种案例、事件,不断吸取经验与教训,不断改进提高,才能使安全能力达到更高的水平。
作者:胡晓波 单位:国网浙江开化县供电公司
