DQZHAN讯：电力行业信息**探讨
随着Internet信息技术的迅速发展和广泛应用，人们比以往任何时候都更容易传播、存取和交流信息，一种建立在网络技术基础上的虚拟社会已经与我们传统的社会融合、接轨。电力系统作为我国能源行业的重要组成部分，信息化已经具备了一定规模，而信息化建设的重点之一就是信息**。由于网络本身的开放性和计算机软硬件的不完善性等原因，这种构筑在网络上的人类行为体现出的不只是技术应用的正面效应，人类行为的负面所引起的信息**问题也如影随形，直接阻碍了电力信息化的进程。
传统信息系统**的概念，在于建立一个没有漏洞、无法侵入的系统。它是静态的和基于空间的。而现代的信息系统**的定义则是信息**策略、**功能、**管理、**维护、**检测、**恢复和**测评等内容的综合体，是一个长期的过程，是一个系统工程。本文通过对信息**现状及其相应技术措施的论述，提出保障电力信息**的对策。
1信息**现状
1.1软硬件依赖国外
20多年来，中国高新科技的发展采取“市场换技术”的方法，微型电子技术大量依靠进口，由此产生的影响是“市场被占领，技术没换到”。芯片、应用系统、数据库、防火墙等大量采用国外的产品，拥有自主知识产权的信息产品较少。由于国外各种软硬件产品中可能隐藏着木马等各种**隐患，再加上我们对引进的技术和设备缺乏保护信息**所必不可少的有效管理和技术改造，电力行业乃至国家的信息**体系受到相当大的威胁。对此，电力部门已经开始重视自主信息产业的发展，努力打造拥有自己知识产权的信息产品，在国家重要部门进行产品更新，逐步取代国外产品，例如国家电网公司决定实施信息化建设工程(“SG186工程”)，建设八大业务应用系统，电力行业中使用的操作系统逐步要采用国产Linux系统代替国外产品。
1.2信息**管理机构缺乏权威
目前，国家层面在信息**问题上缺乏一个具有*高权威的统一机构。信息**管理相互隔离、条块分割、各行其事，极大地妨碍了国家有关法规的贯彻执行，难以防范境外情报机构和“黑客”的攻击。同时，信息**相关的管理机构与国家信息化领导机构之间还没有充分沟通协调，缺乏一个***的、宏观的、与国家信息化进程相一致的信息**工程规划。
1.3信息**意识淡薄，管理漏洞多
电力信息**的*大隐患在于管理。不少单位对网络与信息**采取的防护措施非常简单，易遭受非法攻击。一些单位对国家秘密信息缺乏必要的保护意识和措施，将涉密信息在与互联网相连的计算机中存储、处理和传递。有的甚至将涉密信息网络直接与互联网相连。这些都对电力信息**产生极大的威胁。国家电网公司信息网络**实验室对互联网上进行过开放性的模拟攻击和渗透测试，发现超过一半以上的网站都有高风险的缺陷，例如信息泄露、数据溢出、SQL注入、跨站攻击等，可短时间内经过简单的操作就可以让被攻击的网站瘫痪，有的甚至还可以很容易地获取网站内部的信息。
一个有效的信息**管理全过程应该包括八个方面的内容，它们之间的关系如图1所示。信息**基本管理的要求也包括**保密策略、管理机构、规章制度、管理人员四个部分(见图2)，具体到每个部分还可进行细化。

图1 信息**管理过程

图2 信息**基本管理要求
1.4信息**法制体系不完善，国家标准制定落后
从整体上看，我国信息**立法刚刚起步，信息**法制建设滞后于形势的发展和实际工作的需要。主要表现在： (1)结构不合理。大多为行政规章、规范和制度，没有一部针对国家信息**的专门法律。(2)已有的规章制度出自多个部门，缺乏统筹规划，法规的协调性和相通性不够。(3)有些法规制度的制定实施没有来得及做深入细致的调查研究、充分论证和广泛征求意见，针对性和操作性不够。信息技术飞速发展，我国制定的一些信息**方面的国家标准落后于国际水平，很大一部分国标还是在2000年左右实施的，离现在信息**的实际要求有一定差距。现有的国标还不够细化，各个国标的门类只是对信息**领域的粗略划分，例如**管理产品、**审计产品、访问控制产品、鉴别产品、数据完整性产品、数字签名产品等。其中，还包括一部分国外标准的翻译版本，往往在**测评工作中还要对标准做二次解释工作。
2信息**问题的表现形式
2.1黑客攻击
黑客的侵扰是破坏信息**的主要因素。目前，Internet上的黑客网站成千上万，而且技术不断**，攻击渗透的工具越来越智能化，普通的计算机爱好者就可以使用工具对目标机器发起攻击。黑客攻击的基本手法多样。具体有以下几种方式。
2.1.1信息攻击
信息攻击是指以非法的方式故意对信息资源实施破坏性攻击，其主要对象是计算机程序或数据，造成的损失往往难以估量。包括：(1)篡改，即改变信息流的次序，更改信息的内容;(2)删除，即删除某个消息或消息的某些部分;(3)插入，即在消息中插入一些信息，使接收方无法读取或接受错误的信息。
2.1.2拒绝服务攻击
拒绝服务的攻击是指用户占据了大量的共享资源，造成系统没有剩余的资源给其他用户使用的攻击。较早出现的“电子邮件轰炸”就是比较典型的拒绝服务攻击，其表现形式就是在很短时间内向作为攻击对象的系统发送大量无用的电子邮件垃圾，使系统不能进行正常运转，甚至造成系统死机、网络瘫痪。现在出现很多拒绝服务攻击的变种，采用分布式拒绝服务(DDoS)、分布反射式拒绝服务(DRDoS)和跨站攻击(XXS)等，造成合法用户不能正常地访问网络资源，有严格时间要求的服务不能及时得到响应。
2.1.3网络监听
当黑客成功登录一台网络上的主机，并得到该主机的超级用户权后，为了扩大战果，利用提供给网络管理员的网络监听工具，来对网络状态、数据流动情况、网上传递的信息进行监听。利用监听工具，可以很方便地得到与目标主机通信的其他机器的口令、登录名、传输文件内容等信息。
2.1.4隐私侵犯
虽然在互联网上公开一些资料有利于体现各项工作的透明度，但这无疑不利于保护个人隐私权。正是因为万维网、在线数据库、搜索引擎以及公共文档的存在，才可以使黑客在更加便利的条件下获取他人敏感信息。有些黑客甚至干脆利用窃取的信息，威胁或利诱他人从事***行为或协同他人进一步侵入更加敏感的信息库盗窃和破坏机密信息资源。
2.2信息侵权
信息侵权是指对信息产权的侵犯。传统的信息产权主要是指知识产权，包括版权、**权和商标权。Internet上的内容有许多是受知识产权保护的，但网络的特点又决定了网上的数字作品很难得到有效的保护。表现在： (1)由于网络的自由开放性，任何人都可以在网络上发表作品，因而在网络世界中剽窃抄袭他人作品发表比现实世界要容易得多; (2)数字环境下，用户可以方便地访问、修改、套用原版作品，在网络上复制、发行盗版作品速度快且获利丰厚，此类侵权现象愈演愈烈，严重侵害了作者的版权; (3)各个门户网站分发盗版软件，严重地侵害了软件产品的知识产权; (4)域名的非法抢注严重，其中仅我国被海外不法企业恶意抢注的域名就达上千个。目前，窃取知识产权资料是造成损失*严重的计算机犯罪行为之一。
2.3病毒危害
自1987年以来，全世界已发现48万多种电脑病毒。病毒的数量仍在不断增加。据国外统计，计算机病毒以十种/周的速度递增，另据我国公安部统计，国内以四种/月的速度递增。各种引导型、文件型以及混合型病毒能对操作系统、主机甚至整个网络造成巨大威胁，能在短时间内造成信息被窃取、操作系统崩溃甚至整个网络瘫痪。电脑病毒给社会经济造成的损失也越来越大，仅早期的“爱虫”病毒就给全球用户造成了100多亿美元的损失。如今，每年计算机病毒造成的损失都达几千亿美元，给全球的企业生产及商业机会带来了巨大损失。
3保护信息**的技术措施
3.1信息加密
信息加密是一种行之有效的技术保护措施，通过某种加密算法将数据变换成只有经过密钥后才可读的密码来加以保护。信息加密包括两方面的要求，一个是对数据保密性要求，使未经授权的非法访问即使得到数据也难以解密;另一个是对通信保密性要求，防止用户通信数据篡改、通信数据插入、通信数据重用等非法操作。常用的加密方法有公开密钥加密系统、公开密钥数字签名、公众域**证实协议等。
3.2信息隐藏
信息隐藏(也称信息伪装或信息隐匿)是信息**研究领域与密码技术紧密相关的一大分支，也是多媒体技术、网络技术研究的前沿，应用前景十分广阔。所谓的信息隐藏技术，主要研究如何将某一机密信息秘密隐藏于另一公开的信息中，然后通过***息的传输来实现隐蔽传输、存储、标注、身份识别等功能。具体来说，是把指定的信息隐藏于数字化的图像、声音，甚至文本当中，充分利用人们的“所见即所得”心理，来迷惑恶意的攻击者。信息隐藏技术目前存在于如下几个应用领域：数字水印、篡改提示、特征定位等，应用于保密信息的网络传输、电子出版物的版权保护。 3.3信息过滤网络为信息的传递带来了极大的方便，也为机密信息的流出和有害信息的流入带来了便利，网络需要设置“海关”。目前，我国建立了信息**等级保护体系(见图3)，并通过过滤软件及等级保护与分级制度(见表1)对来往信息尤其是越境数据流进行过滤，将不宜出口的保密或宝贵信息资源留在有效网络范围内，将有害信息挡在网络之外。

图3 我国信息**等级保护体系构成

表1 我国实施的等级保护与分级保护制度
3.3.1接收控制软件
Internet是一个非控制网，控制整个Internet是不可能的。但是，控制与该网联接的计算机从网络中接收何种信息是可能的。可以利用软件控制计算机访问Internet的地点和区域，控制计算机读取网上文件的类型和内容，控制计算机每天使用的时间和使用的总量等。目前，这类软件有Net Nanny, Cyber Patrol, Cyber Sentry和Surf Watch等。这些过滤软件能够限制用户对Internet上特定网址的获取，可以设定相应的控制策略来实现对计算机的访问控制。
3.3.2入侵检测技术
入侵检测是从计算机网络系统中的若干关键点收集信息，并分析这些信息，查看网络或主机系统中是否有违反**策略的行为和遭到袭击的迹象。它能提供对内部攻击、外部攻击和误操作的保护，监视、分析用户和系统的活动。入侵检测系统可分为基于网络(NIDS)和基于主机(HIDS)两种。通过对特定网段、关键服务器安装IDS，可实时检测出大多数攻击，并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。常用的入侵检信息分析技术有：模式匹配、统计分析、完整性分析等。
3.4信息抗抵赖
信息抗抵赖技术通过严格限定信息的共享范围来防止信息被非法伪造、篡改和假冒。一个**的信息抗抵赖方案应该能使：合法的接收者能够验证他收到的消息是否真实;发信者无法抵赖自己发出的消息;除合法发信者外，别人无法伪造消息;发生争执时可由第三人仲裁。按照具体目的，信息抗抵赖可分为消息确认、身份确认和数字签名。消息确认使约定的接收者能够验证消息是否是约定发信者送出的且在通信过程中未被篡改过的消息。身份确认使得用户的身份能够被正确判定，常用的方法有个人识别号、口令、个人特征(如指纹)等。数字签名与日常生活中的手写签名效果一样，不但能使消息接收者确认消息是否来自合法方，而且可以为仲裁者提供发信者对消息签名的证据。
3.5网络控制技术
网络控制技术种类繁多且相互交叉，在不同的场合下能够发挥出色的功效。网络控制是网络**防范和保护的主要策略，主要任务是保证网络资源不被非法使用和非法访问。常用的网络控制技术有： (1)防火墙技术。它是一种允许接入外部网络，但同时又能识别和抵抗非授权访问的网络**技术。目前防火墙主要采用包过滤(Packet filtering)、电路级网关(Circuit level gateways)和应用级网关(Application level gateways)三种方法解决网络**问题。 (2)审计技术。**审计包括识别、记录、存储和分析那些与**相关活动有关的信息。它使信息系统自动记录网络中机器的使用时间、敏感操作和违纪操作等，并且通过审计记录结果可判断那些**相关活动以及哪个用户要对这些活动负责。 (3)访问控制技术。它允许用户对其常用的信息库进行适当权利的访问，限制随意删除、修改或拷贝，还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。 (4)**协议。整个网络系统的**强度实际上取决于所使用的**协议的**性，常用的**协议例如IPSec、SSL、HTTPS等。
3.6漏洞扫描技术
漏洞扫描是自动检测网络或主机**脆弱点的技术，通过执行一些脚本文件对系统进行攻击并记录它的反应，从而发现其中的漏洞并采取补救措施。不管攻击者是从外部还是从内部攻击某一网络系统，攻击机会是由于他利用该系统的已经知道的漏洞而得到的。对于系统管理员来说，漏洞扫描系统是*好的助手，能够主动发现Web服务器主机系统的漏洞，在主机系统**防护中做到“有的放矢”，及时修补漏洞。
3.7 VPN虚拟专网
虚拟专网(Virtual Private Network, VPN)是指采用隧道技术以及加密、身份认证等方法，在公共网络上搭建专用的网络，数据通过**的“加密隧道”在公共网络中传输。 VPN可使用户和企业通过公共的互联网络，连接到远程服务器、分部办公室服务器和网络，或其他企业的网络，同时可以保护通信的**。VPN具有**性、服务质量保证(QoS)、可扩充性和灵活性、可管理性、使用价格低廉等特点。
3.8防病毒技术
防病毒系统能够采用单击杀毒和网络杀毒的方式来实现病毒预防、病毒诊断、病毒杀灭、病毒检测等措施。对于服务器端必须安装防病毒软件，实现对病毒的检测并及时**;客户端计算机防毒机制是在客户端的主机安装防病毒软件，将病毒在本地**而不至于扩散到其他主机或服务器。个人级防病毒系统要及时升级，企业级防病毒系统要求自动升级。
4电力信息**防护的对策
4.1建立组织保证体系
组织保证体系是保障电力企业**实施的重要基础， **措施的顺利执行必须得到企业高层的支持、必须有一套了解企业状况，掌握信息**技术手段的人员班子，形成电力企业信息**的决策层、管理层、执行层等机构，确保人员的配置，**责任制的落实。目前，各级电力企业都成立了以企业“一把手”为领导的组织体系。
4.2发展自主信息产业
为了信息**的长期发展目标，需要研制自己的操作系统和芯片，力争掌握信息**关键技术产品与系统的技术自主权，建设我国的电力行业自主信息产业。逐步实现民族的信息产品替代进口产品。但值得注意的是民族产品竞争力的提高及其替代进口产品都需要一个过程，是不可能一蹴而就的。可以采取让企业成为技术**主体、加大资金投入、实施标准和知识产权战略、推动相关法律法规建设等，这些都是提高信息产业自主**能力的关键性步骤。
4.3加大信息**投入
高技术需要高投入，因此应对信息**理论与技术研究开发加大投入，保证信息**的研究开发要有足够的经费。近年来，美国政府每年在这方面的研究开发投入超过27亿美元，增加幅度高达50%以上。
4.4制定合理的**防护方案和**策略
国家电监会2006年印发了《电力二次系统**防护规定》(电监会5号令)，《电力二次系统**防护总体方案》及六个配套实施方案(电监**[2006]34号)等文件。要求电力二次系统按照“**分区，网络专用，横向隔离，纵向认证”的总体原则和“双网双机，分区分域，等级防护，多层防御”的防护策略，实现生产控制大区与管理信息大区的有效隔离，信息内网与Internet实现物理隔离，有效抵御外部攻击和破坏。
4.5进行定期的**风险评估
**风险评估是对电力系统现有的网络架构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器、业务流程、**策略的**漏洞、**威胁及潜在影响进行分析，以提出合理的**建议以保证系统资产的机密性、完整性和可用性等基本**属性。根据评估的结果采取相应的**控制措施，并适时调整电力企业的**策略。信息**是相对的、动态的，只有定期的**风险评估才能发现和跟踪电力系统*新的**风险，**风险评估是一个长期持续的工作，需要将风险评估体系逐渐制度化、规范化。
4.6制定合适的**管理规范
电力企业需要密切跟踪国内外**标准化领域内的* 新工作成果，并结合国内技术和相关的发展状况，建立起完整的电力系统**业务规范、标准的框架体系，制定**目标和**实施过程。随着各种**管理制度和规范发布和实施，电力企业能建立起相对完善的**管理制度，来弥补技术手段的不足，增加企业的风险承受能力。
4.7加强信息**教育培训
电力系统信息**中**教育培训起到关键作用，其实施力度将直接关系到电力企业**管理被理解的程度和被执行的效果。为了达到预期的培训效果，信息**教育培训可以采取不同的方式方法，理论与实际操作相结合，不同部门员工培训的侧重点不一样，做到有的放矢。同时，培训结果应进行考核，以此促进员工对**知识的掌握。通过**培训，所有的企业人员必须了解并严格执行电力企业的**策略，强化他们的**意识、提高技术水平和管理水平，从而提高电力企业的整体**水平。
5总结
目前，我国电力行业信息**的防护能力尚处于初级阶段，多年来在学习借鉴国外技术的基础上，也积累了一些信息**方面的经验，国内一些电力相关企业也开发研制了一些加密卡、防火墙、**路由器、**网关、入侵检测系统、隔离装置等产品。今后只要能够加大投入，一定会取得实质性的进展，不仅能够构筑我国电力信息**防线，而且在国际上也能占领一席之地。

上一篇：自动化企业PLC的优劣势分析
下一篇：工信部巡视员：智慧城市发展需注意统筹规划、实效及信息**

公司简介

订购指南

货款支付

业务合作

物流配送