论文部分内容阅读
一、引言
所谓电子政务就是将机构的管理、服务职能通过计算机技术和网络技术放到网络上去完成,解决时间、空间和部门的分割制约,实现工作流程的优化。伴随着智能电网技术的快速发展,其承载的管理和服务任务日益庞杂,这就对智能电网网络系统的安全性提出了更高的要求,为此,需处理好共享信息与保密性、开放与隐私保护、互联与局部隔离的关系,以确保智能电网系统的安全。
二、智能电网的网络结构特点及其面临的安全问题
智能电网的网络结构一般采用“三网架构“,具体包括:内部的电子化和网络化办公,之间通过网络实现的信息共享和实时通信,通过网络与公众间进行的双向信息交流。智能电网系统选用的软硬件系统本身存在的安全弱点致使其易受到攻击,具体包括:1.网络硬件设备如服务器、网络设备等安全问题;2.操作系统、数据库系统、通用软件系统等操作平台的弱点和漏洞;3.应用软件系统的脆弱性、网络协议的开放性、系统的相互依赖性,这些问题都给智能电网网络安全带来了隐患。智能电网网络系统主要面临来自内部和外部的威胁,机关内部的主要威胁包括:恶意破坏或越权访问、职权滥用、操作失误、管理疏漏、软硬件缺陷及自然灾害等。Internet外网的主要威胁有:黑客攻击、病毒、信息间谍及恐怖活动、信息战等。
三、智能电网网络安全目标和安全方案设计原则
为了实现最佳的信息服务效果,智能电网系统必须使信息的拥有者用最小的风险获得最大的安全利益,并对网络实行全面访问控制。通过对网络流量、重要服务器进行全面监控,将安全策略、软硬件结合起来,形成统一的防御系统,减少安全风险。为此,网络安全建设需以实现系统的可用性、完整性、保密性、可记账性和保障性为目标。可用性:保证智能电网系统正常有效地运行,使用户得到准确的信息和安全的服务。完整性:保证数据和系统的完整性,杜绝未授权修改的发生。保密性:保证信息不暴露给未授权实体或进程,不向非授权个人或部门泄露信息。可记账性:智能电网系统保证能够对实体的全部行为作出记录,对出现的安全问题提供依据与手段,为拒绝否认、威慑违规、检测和防止入侵及法律诉讼等提供证据。保障性:在用户、软件出现无意差错或出现恶意入侵或破坏的时候,能够提供充分的保护。
同时,在智能电网网络系统的设计与建设中还需保证:第一,实现智能电网内网与外网的安全隔离与访问控制,保证网络的边界安全。第二,定期进行网络系统漏洞分析、减少恶意入侵的机会。第三,利用入侵检测系统阻止来自外部的攻击行为,并阻止内部的违规操作行为。第四,控制敏感信息的无序传播及对不合法站点资源的访问。
智能电网网络系统安全体系建设要在平衡整体与局部利益,避免重复建设,遵循当前目标和长远目标相结合的基础上,采用“ 统一规划、统筹安排、统一标准、相互配套”的原则进行。同时,安全方案要服务于业务需求,保证系统具有以下特性:实用性,在充分完成行政机关办公工作的业务需求的前提下,避免盲目建设,盲目追求新技术。先进性,保证采用成熟、先进的技术,系统能够持续发展,系统之间互联方便。可靠性,从系统结构、技术措施、设备选型、技术服务及维修响应能力等方面考虑,保证系统的可靠性。⑷扩展性,要着眼于当前现有的技术,用最小的代价适应网络技术不断的发展,使系统规模扩大时不需重新进行规划与设计。易用性,保证系统要易于理解、界面简单实用、功能强大、管理方便简洁、维护自动容易。规范性,系统的各种软、硬件应符合国际、国内标准,各子系统要保持业务、功能、标准的统一。
四、智能电网网络安全技术措施
为实现网络安全,可以根据ISO七层分层网络协议对网络系统进行安全分层,并采取相应的安全措施,具体如下:
(一)物理层安全。该层的安全主要包括环境安全、设备安全和线路安全。特别指出的是,由于智能电网网络系统各层之间存在着信息资源、服务对象、数据通信等方面的差异,需要把不同保密级别的网络隔离开。物理隔离就是让存有用户重要数据的内网和互联网从物理上断开,防止因网络互联而被攻击以及泄密事件的发生。同时,为了保证用户和互联网之间能够完成信息交换,避免信息联系被屏蔽,需要保证两个网络在逻辑上是连通的。
(二)数据链路层安全。为了防止入侵者在数据的传输过程中窃听、非法读取、恶意修改数据,保证数据的真实性、机密性、可靠性和完整性,必须使用数字签名及认证技术、加密技术对网络上的数据进行加密处理。另外,可以采用虚拟专用网技术在公网中建立专用网络,保证数据在安全的“加密通道”中传播,以有效解决外部用户安全访问网络内部资源的问题。
(三)网络层安全。防火墙技术:该技术通过建立网络通信监控系统,根据防火墙的访问控制策略对进出被保护网络的数据流进行监控、分析,进而达到保障网络安全的目的。防火墙系统能够拦截从被保护网络向外传送的信息,并保护网络资源不受外部的攻击,管理员根据安全控制策略建立包过滤的准则,并对该准则进行修改、增加或删除。利用防火墙可以实现以下功能:
使用IP与MAC地址绑定功能,保证控制用户访问权限到最低限度,但又不影响用户的正常访问;通过防火墙实现对服务器的全面监控,发现并阻止非法操作;利用防火墙采集网络使用率统计数字和试探的证据。
(四)系统层安全。该层次的安全问题包括操作系统、数据库及相关应用系统的安全。当前的网络操作系统存在着“后门“和安全漏洞,为此,应采用具有自主知识产权且源代码对公开的系统并进行合理的配置,同时要利用漏洞扫描工具定期扫描漏洞及配置更改情况,并进行漏洞的修补和配置的重新优化。而数据库则必须进行有效的加固以保证重要信息的安全,进而从根本上保证整个信息系统的安全。
(五)应用层安全。身份认证技术:在智能电网系统中,计算机只能识别数字身份,而用户只有物理身份,为了实现操作者数字身份与物理身份的对应,必须使用身份认证系统。该系统通过绑定证据和实体来标识和鉴别用户身份,进而实现用户身份的判别和确认。
五、结语
随着智能电网的不断深化和发展,智能电网网络系统安全问题愈加突出,安全建设要求统一考虑,长远规划,保证技术的先进性和可扩展性。同时要用动态的、前进的、创新的眼光来认识安全,定期进行安全评估、有效使用安全技术。另外,要求有相关法律保障,以加强安全管理。
所谓电子政务就是将机构的管理、服务职能通过计算机技术和网络技术放到网络上去完成,解决时间、空间和部门的分割制约,实现工作流程的优化。伴随着智能电网技术的快速发展,其承载的管理和服务任务日益庞杂,这就对智能电网网络系统的安全性提出了更高的要求,为此,需处理好共享信息与保密性、开放与隐私保护、互联与局部隔离的关系,以确保智能电网系统的安全。
二、智能电网的网络结构特点及其面临的安全问题
智能电网的网络结构一般采用“三网架构“,具体包括:内部的电子化和网络化办公,之间通过网络实现的信息共享和实时通信,通过网络与公众间进行的双向信息交流。智能电网系统选用的软硬件系统本身存在的安全弱点致使其易受到攻击,具体包括:1.网络硬件设备如服务器、网络设备等安全问题;2.操作系统、数据库系统、通用软件系统等操作平台的弱点和漏洞;3.应用软件系统的脆弱性、网络协议的开放性、系统的相互依赖性,这些问题都给智能电网网络安全带来了隐患。智能电网网络系统主要面临来自内部和外部的威胁,机关内部的主要威胁包括:恶意破坏或越权访问、职权滥用、操作失误、管理疏漏、软硬件缺陷及自然灾害等。Internet外网的主要威胁有:黑客攻击、病毒、信息间谍及恐怖活动、信息战等。
三、智能电网网络安全目标和安全方案设计原则
为了实现最佳的信息服务效果,智能电网系统必须使信息的拥有者用最小的风险获得最大的安全利益,并对网络实行全面访问控制。通过对网络流量、重要服务器进行全面监控,将安全策略、软硬件结合起来,形成统一的防御系统,减少安全风险。为此,网络安全建设需以实现系统的可用性、完整性、保密性、可记账性和保障性为目标。可用性:保证智能电网系统正常有效地运行,使用户得到准确的信息和安全的服务。完整性:保证数据和系统的完整性,杜绝未授权修改的发生。保密性:保证信息不暴露给未授权实体或进程,不向非授权个人或部门泄露信息。可记账性:智能电网系统保证能够对实体的全部行为作出记录,对出现的安全问题提供依据与手段,为拒绝否认、威慑违规、检测和防止入侵及法律诉讼等提供证据。保障性:在用户、软件出现无意差错或出现恶意入侵或破坏的时候,能够提供充分的保护。
同时,在智能电网网络系统的设计与建设中还需保证:第一,实现智能电网内网与外网的安全隔离与访问控制,保证网络的边界安全。第二,定期进行网络系统漏洞分析、减少恶意入侵的机会。第三,利用入侵检测系统阻止来自外部的攻击行为,并阻止内部的违规操作行为。第四,控制敏感信息的无序传播及对不合法站点资源的访问。
智能电网网络系统安全体系建设要在平衡整体与局部利益,避免重复建设,遵循当前目标和长远目标相结合的基础上,采用“ 统一规划、统筹安排、统一标准、相互配套”的原则进行。同时,安全方案要服务于业务需求,保证系统具有以下特性:实用性,在充分完成行政机关办公工作的业务需求的前提下,避免盲目建设,盲目追求新技术。先进性,保证采用成熟、先进的技术,系统能够持续发展,系统之间互联方便。可靠性,从系统结构、技术措施、设备选型、技术服务及维修响应能力等方面考虑,保证系统的可靠性。⑷扩展性,要着眼于当前现有的技术,用最小的代价适应网络技术不断的发展,使系统规模扩大时不需重新进行规划与设计。易用性,保证系统要易于理解、界面简单实用、功能强大、管理方便简洁、维护自动容易。规范性,系统的各种软、硬件应符合国际、国内标准,各子系统要保持业务、功能、标准的统一。
四、智能电网网络安全技术措施
为实现网络安全,可以根据ISO七层分层网络协议对网络系统进行安全分层,并采取相应的安全措施,具体如下:
(一)物理层安全。该层的安全主要包括环境安全、设备安全和线路安全。特别指出的是,由于智能电网网络系统各层之间存在着信息资源、服务对象、数据通信等方面的差异,需要把不同保密级别的网络隔离开。物理隔离就是让存有用户重要数据的内网和互联网从物理上断开,防止因网络互联而被攻击以及泄密事件的发生。同时,为了保证用户和互联网之间能够完成信息交换,避免信息联系被屏蔽,需要保证两个网络在逻辑上是连通的。
(二)数据链路层安全。为了防止入侵者在数据的传输过程中窃听、非法读取、恶意修改数据,保证数据的真实性、机密性、可靠性和完整性,必须使用数字签名及认证技术、加密技术对网络上的数据进行加密处理。另外,可以采用虚拟专用网技术在公网中建立专用网络,保证数据在安全的“加密通道”中传播,以有效解决外部用户安全访问网络内部资源的问题。
(三)网络层安全。防火墙技术:该技术通过建立网络通信监控系统,根据防火墙的访问控制策略对进出被保护网络的数据流进行监控、分析,进而达到保障网络安全的目的。防火墙系统能够拦截从被保护网络向外传送的信息,并保护网络资源不受外部的攻击,管理员根据安全控制策略建立包过滤的准则,并对该准则进行修改、增加或删除。利用防火墙可以实现以下功能:
使用IP与MAC地址绑定功能,保证控制用户访问权限到最低限度,但又不影响用户的正常访问;通过防火墙实现对服务器的全面监控,发现并阻止非法操作;利用防火墙采集网络使用率统计数字和试探的证据。
(四)系统层安全。该层次的安全问题包括操作系统、数据库及相关应用系统的安全。当前的网络操作系统存在着“后门“和安全漏洞,为此,应采用具有自主知识产权且源代码对公开的系统并进行合理的配置,同时要利用漏洞扫描工具定期扫描漏洞及配置更改情况,并进行漏洞的修补和配置的重新优化。而数据库则必须进行有效的加固以保证重要信息的安全,进而从根本上保证整个信息系统的安全。
(五)应用层安全。身份认证技术:在智能电网系统中,计算机只能识别数字身份,而用户只有物理身份,为了实现操作者数字身份与物理身份的对应,必须使用身份认证系统。该系统通过绑定证据和实体来标识和鉴别用户身份,进而实现用户身份的判别和确认。
五、结语
随着智能电网的不断深化和发展,智能电网网络系统安全问题愈加突出,安全建设要求统一考虑,长远规划,保证技术的先进性和可扩展性。同时要用动态的、前进的、创新的眼光来认识安全,定期进行安全评估、有效使用安全技术。另外,要求有相关法律保障,以加强安全管理。