1基于PKI/CA/RA的安全认证服务平台
1.1平台架构
通过对发电企业安全现状和需求分析,根据证书签发、证书使用两种应用环境和职责不同,将RA系统划分为RA子系统、证书验证子系统两个子系统。1)RA子系统:负责证书的申请、签发、更新、状态变更等证书业务功能。RA子系统结构由CA能力接入、系统管理、证书服务、用户自服务等功能模块组成。CA能力接入模块面向第三方CA系统,系统管理模块面向RA系统管理员,证书服务模块面向业务系统,用户自服务模块面向使用证书业务的用户(个人用户、企业用户)。2)证书验证子系统:负责证书有效性验证、签名验签等证书应用功能,提供非对称密钥运算、摘要运算、签名验签运算、证书验证等证书应用服务。
1.2数字证书设计
1.2.1设计原则RA系统签发的数字证书应具有以下特点。1)数字证书符合X509v3国际通用标准,可以同发电企业目前的电子认证体系无缝对接,平滑过渡。2)数字证书获得国家电子认证服务资质认可,受《电子签名法》保护,可以对外使用。3)支持签发软/硬两种形式的数字证书。软证书符合PKCS12标准,能方便的在手机、PDA等终端上使用。硬证书保存在USBKEY等硬件存储介质上,安全可靠。
1.2.2数字证书类型按照数字证书的颁发对象不同,数字证书主要分为个人数字证书、机构数字证书和设备数字证书等。1)个人数字证书,主要用于标识数字证书自然人所有人的身份,包含了个人的身份信息及其公钥,如用户姓名、证件号码、身份类型等。2)机构数字证书,主要用于标识数字证书机构所有人的身份,包含机构的相关信息及其公钥,如:企业名称、组织机构代码等。3)设备数字证书,用于在网络应用中标识网络设备的身份,主要包含了设备的相关信息及其公钥,可用于服务器或网络设备标识和验证设备身份。
1.2.3证书使用范围从使用范围上来说,企业数字证书分为内部证书、外部证书。1)内部证书限于企业内部人员、业务使用,承担行政责任,可以用于企业内部安全保障;企业重要人员的证书采用USBKEY存放,其他人员采用软件存储。2)外部证书限于企业外部人员、业务使用,如电子商务平台的供应商。承担法律责任,在对外业务出现纠纷时,可以用于法律鉴定,采用USBKEY存放证书。
1.2.4证书用途根据数字证书的密钥用途,将证书分为以下两种。1)签名证书:其私钥可用于对信息的签名。用户在使用私钥对信息签名时,应知晓并确认签名的内容。对于具有身份鉴别用途的证书,其私钥可用于对鉴别方提交的挑战信息签名;在可能的情况下,具有身份鉴别用途的证书及信任链上的证书(根证书除外)应提交给验证方。2)加密证书:其私钥可用于对采用对应公钥加密的信息解密。根据国家密码管理局的相关要求以及发电企业对证书的使用需求,个人证书、企业证书都需要签发双证书(加密证书、签名证书)。
1.2.5证书存储形态根据数字证书的存储形态不同,可以将证书存储在以下介质中。1)软证书:证书以软件形式存放,包括以文件形式或者将证书导入到IE存储;根据信息系统对证书的要求,可以将个人证书(大部分)以软件形态存放。2)USBKEY证书:证书存储在USBKEY中;企业重要人员的证书采用USBKEY存放,企业外的个人证书、企业证书全部采用USBKEY存储,便于保管。
2应用实践
目前对于发电企业来讲,PKI/CA/RA安全认证服务主要可应用于以下几个方面。1)办公自动化系统电子印章管理,采用数字签名及证书对称加密、非对称加密等技术,防止电子文件被篡改、电子印章被非法利用。2)企业资源计划(ERP)、燃料管理、办公自动化、资金管理、电子商务等重要信息系统的双因素认证,为IT审计提供依据,防止抵赖,进一步保证系统安全。3)无线网络、VPN网络等网络接入认证管理。
3结束语
PKI/CA/RA安全认证服务平台实现了统一、完整的电子认证基础设施,为发电企业提供数字证书申请、受理、审批、签发、更新、吊销、发布等业务功能,数字证书与企业资源计划(ERP)、电子印章、电子商务等信息系统集成,全面支持企业内部和对外电子商务应用,以及重要信息系统、设备的双因素认证。实践证明,PKI/CA/RA安全认证服务平台在发电企业信息安全工作中,已发挥了不可替代的重要作用,可有效提高信息系统安全性和可靠性,下一步将加强核心业务信息系统中的重要操作、重要信息系统中敏感信息加密、移动办公等方面的研究和应用。
作者:张柯 单位:中国华电集团公司
(一)加强培训,增强员工自身的安全意识和观念
想要保证电力企业网络的运行安全,企业员工的观念是非常重要的。针对员工安全方面的意识和知识都比较差的情况,企业应该针对安全知识定期的进行培训,帮助员工养成良好的计算机使用习惯,让员工在使用计算机的时候设置一些开机口令和屏保密码,并且还要定期更改,绝对不能使用公司的计算机玩一些游戏和使用无关的软件,也不存储和工作无关的东西,加强对所有员工的教育,增强其安全方面的意识。
(二)建立防火墙
对于电力企业的网络安全而言,建立防火墙是非常重要的,防火强分两种,一是软件防火墙二则是硬件防火墙。防火墙的建立可以组织内部网络非法的房外,并且能够做好信息的输入输出方面的监控。在网络边界设置硬件防火墙能够有效阻止外网的侵入。电力企业可以选择杀毒软件和防火墙共用的方式来对服务器和计算机进行保护,并且还应该做好防火墙的升级工作,并且硬件防火墙在应用之前还必须做好防火墙和企业网络之间的配置工作,选择合适的运行模式。并且在进行防火墙设置的时候,还必须根据各个部门的实际需要进行。
(三)做好数据的备份工作
对于一个企业而言,最珍贵的不是电脑设备,而是那些存储在其中的数据。虽然电力企业采取了一系列的措施来保证数据的安全,但是计算机病毒防不胜防,并且电力企业的网络系统比较复杂,各种各样的安全漏洞都可能存在,所以很容易出现安全方面的问题,导致数据的大量损失,所以做好数据的备份是非常有必要的。进行数据备份的时候,一般可以分为硬件级、软件级以及人工级三个方面,软件级的数据备份是包数据信息保存在一定的介质上,存在系统出错的问题时则可以利用这些信息进行恢复;硬件级的则是磁盘镜像、双机容错等方式,当主要的硬件被损坏之后,便立即运行备份的硬件,而人工备份则是,用硬盘或者胱拍备份所有的数据信息。全方位多层次的进行系统备份对伊电力企业而言是非常有必要的。首先必须做好硬件的备份工作,从而避免出现各种故障。若是人工错误操作导致的故障,则需要采用人工和软件统一的办法来做好系统的恢复。在实际应用的时候,进行数据备份应该注意到以下的几个方面,应该安装两套NAS备份系统,并且在磁盘阵列的时候应该采用RAID5的相关技术,并且两套系统之间的数据也应该是同步的,从而保证数据存放的可靠和安全。(23)采取物理隔离的方式做好内外网的隔离对于网络结构而言,在电力企业网络中做好内外网的隔离是符合实际需要的,网域内部的人员可以进行内部资源的访问,而那些可以访问外网的计算机则不能够方位内部局域网,这样能够很好的阻止病毒以及流氓软件的侵入,避免出现内部信息被盗窃的情况,避免损失的发生,确保其运行更加的安全合理。
(四)结语
随着经济和社会的发展,电力企业在国民经济和人们的生活中的地位愈加的重要,必须加大对其安全的重视,并且根据实际的情况进行问题的解决,安排一些有效的预防措施,从而保证电力企业网络运行的安全,保证电力企业的长远有效发展。
作者:毛洪娜 单位:华电渠东发电有限公司
1安全教育培训和考核
安全教育培训是提升员工信息安全意识和技术水平的重要手段,宣传普及信息安全防范知识,贯彻预防为主的思想,对不同岗位制定下同的培训计划,针对安全意识、岗位技能和相关安全技术等对各类人员进行全面安全教育培训。《3)外部人员访问管理。在接受外部访问人员刊企业的访问时,应先对该人员对企业的访问区域申请进行严格审核。防止外部人员刊企业的信息进行窃取或破坏:外部访问人员刊企业进行访问过程中,企业应当指派内部人员进行全程监控或陪同。禁生外部人员做出申请书以外的行为。
2碑系统运维管理
(l)环境管理。建立发电部门的安全管理制度。发电的部门或机房应该配备安全的发电机器及其它设备,这些固定资产涉及到企业的发电安全及利益:因此,负责看管机房的人员应该负责机房的一切安全,要做到刊机房的网络开关和发电机器的开关进行配备和检查。对进出机房的外部人员做好登记和监控,防止外来人员窃取电力信息或刊企业电力资源造成损坏。(2)资产管理、资产是企业发展的物质基础,如果在这一环节出现问题则企业的其他环节都将受到威胁。比如资产被人窃取,则企业内的人力资源无法调动,机器设备也无法得到更新,导致企业生产落后。因此,应建立资产安全管理制度,规范资产管理和使用的行为,根据资产的价值选择相应的管理措施;对信息的使用、传输和存储等进行规范化管理,(3)介质管理。对介质的失泄密风险进行主动防御是自前最好也是最有效的解决办法。遵循“严格管理,严密防范、确保安全、方便工作”的原则,加强介质的安全保密管理与使用控制,控制企业在使用介质的过程中造成企业数据的丢失和泄漏。供电企业建立内部介质的安全管理制度是为了对企业的一切传播媒介和实用工具进行安全维护和控制。(4)设备管理。供电企业设备不仅仅包括大型机器还包括很过信息系统。在进行电力信息安全管理时要注意对企业设备的管理和维护。对设备的维护应该配备专业的管理人员,这些人员可以利用自己的专业技能和丰富的专业知识保护企业设备不受损害和丢失,也可以对企业设备出现问题进行及时解决。除了对设备维护人员进行严格选拔和管理之外,还应该严格限制企业设备带离企业。因为设备的丢失很容易泄露企业的数据及重皇薯信息。(5)监控管理和安全管理中心。对通信设备进行严密的监控和管理,防治企业内部或外部的不良因素对企业的信息资源进行泄密和盗取。可以利用对网络设备和电脑用户的监控消除其产牛的安全隐患。企业加强监控管理可以在企业发生不可预料的突发事件时,可以自动看护并做好企业信息资源的备份工作,防止企业因信息的丢失而造成不必要的麻烦。(6)系统安全管理。为确保系统及网络安全运行,维护良好的办公环境,应不定期的对企业系统进行漏洞排查扫瞄,如果发现安全漏洞则应该及时修护;安装系统的最新补丁程序,且安装前应对重要文件进行备份;建立系统安全管理制度,规范系统安全内容和日常操作流程。〔7)恶意代码防范管理。企业关系到国计民生,全国百分之八十五的人口需要电力的支持。因此,供电企业要严格扫除外来恶意代码刊企业系统资源的进攻。应采取管理与技术措施,确保具备主动发现和有效阻止恶意代码传播的育动;在所有恶意代码可能入侵的网络连接部位设置防护网关,拦截并清除企图进入系统的恶意代码。严格控制外来计算机或存储介质的使用,防止恶意代码通过介质传播。
3结语
总之,为了保护企业的信息安全,我们必须对信息安全有一个清醒的认识,高度重视信息安全工作,制定并执行相应的安全保障制度,从技术、管理和人员等方面提出安全保障要求,确保信息系统的保密性、完整性和可用性,降低安全风险到可接受的程度,将企业的信息安全防护水平提高到一个新的阶段。
作者:曾智 单位:广东电网公司河源供电局
