电力企业信息化建设的系统安全策略和方案

囊季　嚣■　０罄琴　ｉ　誊警｜　囊誊　维普资讯 http://www.cqvip.com

瑟　＊　一　ｊ｜　誉｜｜　琵　毫嚣行　悫　＼　备份的技术手段增强主服务器的运行安全系数。数据中心　服务器采用冗余硬盘阵列来存放数据，利用服务器的硬件　机制提供保护措施，即可以在不关闭系统的情况下更换故　障硬盘，保证系统的可靠、连续运行。　２．１．１．３使用服务器集群技术最大限度提高系统可用性　时间点恢复为用户在系统出错后如何恢复其数据库提　供了更大的灵活性。例如，如果数据库在星期五晚上崩溃，　当系统恢复时，用户可以从星期五早上恢复数据库并恢复　执行当时加载的应用。　（２）安全性：安全控制层、代理授权，统一登录、审计　多层应用体系结构中要重点考虑安全性，用户拥有　可编写应用的安全层，该层能提供多种安全性服务。单　一可以使用ＨＡ（高可用性）软件把这两台主机做成双　机系统（Ｃｌｕｓｔｅｒ），实现真正意义上的互为备用：正常情　况下，两台主机各有分工；一旦任何一台主机出现故障，　的应用接口支持Ｋｅｒｂｅｒｏｓ、Ｄｉｒｅｃｔ　ＣｏｎｎｅｃｔＥ、ＮＴ　另一台主机可把两个系统的服务承担起来，同时保证了两　个系统都不因主机问题影响业务这样，既提高了设备的安　全系数，又使昂贵的设备得到最大限度的利用，不失为一　种优秀的主服务器硬件安全解决方案。　２．１．２网络操作系统层次上的安全性　当前局域网内存在许多操作系统，如ＵＮＩＸ，　Ｗｉｎｄｏｗｓ　ＮＴ，Ｎｅｔｗａｒｅ等。最为关键的是数据服务器（用　于存放ＯＬＴＰ业务数据）、文件服务器（用于存放共享文件）　以及Ｗｅｂ服务器的操作系统安全。　对于数据服务器，由于需要执行大量的数据处理工作，　要求操作系统多任务调度能力，操作系统本身安全防御能　力要好，同时需要使用中高档主机设备，所以一般采用与　主机设备配套ＵＮＩＸ操作系统。ＵＮＩＸ本身的安全体系结　构比较完善。　对于应用服务器、文件服务器等则由于数据处理量小，　安全要求不是很高，则可以采用Ｗｉｎｄｏｗｓ　２０００　Ｓｅｒｖｅｒ。　对于客户端工作站采用简单易用、安全性较低的　Ｗｉｎｄｏｗｓ　９８操作系统，但由于其开放性，一定要做好保　护工作。例如，系统防病毒工作等。　２．１．３数据库层次上的安全性　数据库技术是企业网的核心技术，其数据安全策略和　技术在整个系统安全中具有重要地位。　数据库层次上的安全性要求：（１）数据完整性：保证　数据的完整性，任何对数据的改动、增加删除、甚至顺序　的微小变化都可检测出。（２）数据一致性：减少数据冗余。　数据库层次上的安全性将从两个方面来理解，一是数　据库管理系统的安全性；二是应用系统数据库设计方面。　２．１．３．１数据库管理系统的安全性　（１）高度可用性：容错、错误隔离、时间点恢复　自动容错通过使用硬件机群为用户提供了高度可用性　支持。如果机群中一台机器出了问题，另一台机器可以接　替工作。客户能够决定这台机器是接替失效机器的所有工　作还是与其他结点机共同分担。　页级恢复错误隔离首次得以实现。在一个子系统出错　（如磁盘子系统出错）时，大型数据库系统中受影响的仅　是位于出错磁盘上的页。而数据库的其他部分可以不受影　响地继续操作。　猢　Ｒｅｇｉｓｔｒｙ及其他多种产品。　附加的安全性包括代理授权。对于使用安全层的应用　服务器来说，每个用户都作为单一代理用户登录。这意味　着实现安全性及访问数据审计时只需更少的应用代码。　（３）提供数据完整性、数据一致性机制　２．１．３．２应用系统数据库设计方面考虑　（１）层次结构分明：要建设的系统层次结构分明，适　用于决策层、管理层和数据处理层，是一个包括辅助决策　数据库、公用数据库（共享数据库）和专业数据库（基础　数据库）的完整数据库体系。这三种数据库依次逐层浓缩。　（２）数据的独立性（即满足第三范式要求）：数据库　的数据具有独立性，数据的存贮对应用程序具有独立性，　它的改变不影响应用程序。　（３）数据规范化、标准化、结构化：数据的结构化、　规范化和编码标准化，是建立数据库和进行信息交换的基　础。数据库的设计应遵循国家标准和行业标准。　（４）数据安全性：要保证数据不为非法用户访问、病　毒侵扰和硬、软件故障所破坏，必须采取相应的防护措施。　（５）数据共享：数据是面向整个系统的，为系统中各　种应用所使用。多个用户共享数据库时，必须维护数据的　正确性和一致性，同时要减少不必要的冗余。　２．２基于应用程序的解决方案　２．２．１系统对数据库访问途径的控制　作为系统重要组成部分的权限管理子系统对整个系统　的权限控制作整体管理。　２．２．１．１对用户授权　通过用户授权，限定用户账号、口令，对应用系统的　使用加以使用管理。一旦程序执行结束，就立即自动取消　与数据库连接授权，退出应用系统。　对用户的授权，可以采用多级授权的方式，这样便于　系统的分级管理。　可以通过操作时间＼操作间隔时间的设置，可以进行　屏幕保护，甚至断开数据库连接。取消屏幕保护，必须重　新核对口令。　一般地，登录终端的使用不作限制，这样便于系统使　用的灵活性，但对系统维护或领导使用工作站等，或客户服　务坐席特别要求，可以通过登录终端的限制应用系统使用。　维普资讯 http://www.cqvip.com

通过权限管理子系统，可以使系统安全从应用程序前　端界面到数据库后端的访问修改权限都得以灵活控制，既　保证了数据的安全控制又很好地完成了业务管理和安全管　理的协调。　２．２．１．２系统加密　用户只能通过应用程序访问系统数据，所有基于系统　数据访问控制的权限管理的有效性和安全性得到保障。　２．２．１．３接口实现的权限控制　通过特定的用户账号、口令和访问权限（如只对表具　备查询权限），对接口系统的使用加以限制。保证其他系统　可查询到所需要的数据，但每个系统只能修改自己数据库　的内容（即每个应用系统不能更改其他应用系统的数据）。　２．２．１．４系统登录次数控制　系统对连续登录失败的登录尝试禁止再进行登录，连　续５分钟（时间可设定）不进行操作，系统自动封锁用户　界面，必须重新输入口令才能继续操作。尽可能保护应用　系统的安全性。　２．２．２系统保护　一方面，系统具有软件防错纠错处理的基本技术，包　括软件内部错误的消除、数据输入的防错设计、对不可预　见性错误的处理。　另一方面，还考虑到了应用系统对业务逻辑防错纠错　处理的考虑，具备智能化，如能自我检查，包括检查程序　代码和检查程序执行结果的正确性，发觉和阻止被分析修　改，自动识别调用者和被调用者等，来保证数据的一致性、　完整性。例如，在用电管理系统中，提供电费档案的合法　性检查功能，抄表审核处理，电量电费计算审核处理等过程。　２．２．３系统提供安全审计记录的使用　在安全计算机系统中，审计通常设计成一个相对独立　的子系统，根据审计开关和审计阈值，对系统中的事件（即　用户操作）进行收集和审计。审计开关用来确定事件收集　的范围，或确定审计事件的类型，而审计阈值则用来进一　步确定需审计的事件。　高安全级的用户可对低安全级的用户设置审计开关和　一一　审计阈值。对企图违反访问权限管理的恶意用户，进行报　警和惩罚。若一用户的报警事件连续发生，符合惩罚阈值，　则将引起事件的主体逐出系统，使其再不能进入系统，除　非数据库管理员再授予他登录的权力。系统中所有的报警　阈值和惩罚阈值由系统审计员根据系统当时的安全要求进　行设置和管理，其他任何用户不能获得这一权力。用户对　审计内容的查询必须事先经过多级安全检查。　审计要形成留痕文件一审计日志作为审计记录。审计　日志不包含实际口令，应包括会晤事件和运行事件。会晤　事件包括成功的注册，不成功注册尝试，注册的日期、时　｜ｌ蕊　蠹　一　｜　ｉ　１　ｉ　｜　行业应用Ｉ■　刻、地点，口令更改规程的使用，以及当其口令达到它的　寿命终点时的用户标识的锁定。　运行事件包括有效注册后用户的活动，被访问的文件，　被执行的程序，对用户账号所作的变更等。审计日志加密　保存于管理员目录。用户不可访问，任何人不可写。仅管　理员可读、可擦除。系统提供对安全审计记录的查询工具，　方便审计管理。　２．３网络安全　由于网络的开放性，网络接点的隐蔽性以及网络访问　的独特性，给企业网数据库安全带来很大的隐患。这种不　安全性是多方面的：通过网络窃取到攻击服务器，在已经　打开的系统，跟踪源文件，获取与数据库系统连接的权限，　人为破坏数据库等。　２．３．１局域网内部安全管理措施　要做好整个网络安全工作，必须首先保证局域网内部安　全。局域网内部安全管理指局域网构架中，主干网和子网，　子网和子网问以及单个节点的的安全管理。其主要内容包插　２．３．２明确网络资源　网络结构的复杂程度，通讯线路的布局，走径都可以　成为网络安全的潜在因素。作为系统管理员在制定安全策　略之初应充分了解网络数据结构（包括主干网与子网，子　网与子网的连接方式），明确局域网各个节点的地址，了　解网络资源的使用权限和共享情况。这样不仅可以避免由　于网络管理或者配置混乱造成的网络堵塞等问题，而且便　于网络出现问题后迅速排查出故障节点。　２．３．３采用网段分离技术　把网络上相互问没有直接关系的系统分布在不同的网　段，由于各网段问不能直接互访，从而减少各系统被正面　攻击的机会。　２．３．４确定访问权限　制定局域网访问范围（权限），约束用户的访问权限，　在系统中实行用户口令认证，对网络中各个层次的用户统　一授权，加强对系统中关键数据和文件的保护。　２．３．５虚拟网划分　虚拟网络（ＶＬＡＮ），是指在一个网络中，用户所处　的地理位置与其所属的逻辑关系无关的组网方式。通过　ＶＬＡＮ的划分，可以将隶属于不同工作组、办公地点相　邻并连接到同一个网络上的两台ＰＣ机，从逻辑上被分开，　各自的网络数据传输不会影响另一台机器，即这两台ＰＣ　处于不同的广播域中。虚拟网络提高了网络的安全性。由　于不同虚网的成员处于不同的广播域中，一个虚网的数据　包不会流到另一个虚网去，从而有效地杜绝了泄密现象。　２．３．６路由器包过滤机制　通过路由器提供的ａｃ　维普资讯 http://www.cqvip.com

和更可保证网络的安全性，在公司内部网络建立起强有力　的安全机制。　差别只是扫毒工作是由防火墙完成，或是由另一台专用的　计算机完成。　２．３．７远程工作站访问　远程工作站上的ＭＯＤＥＭ和通信服务器可设置密码、　回拨的安全措施，保证访问的安全性。　（６）特殊控制需求：有时候企业会有特别的控制需　求，如限制特定使用者才能发送Ｅｍａｉｌ，ＦＴＰ只能ＧＥＴ　档案不能ＰＵＴ档案，限制同时上网人数，限制使用时间　或Ｂｌｏｃｋ　Ｊａｖａ、ＡｃｆｉｖｅＸ等，依需求不同而定。　２．３．８建立网络病毒防范措施　计算机系统由于受到病毒的攻击而造成巨大损失的实　例已经举不胜举，现在已经有许多优秀的网络病毒监控和　（７）能弥补其他操作系统之不足：一个好的防火墙必　须是建立在操作系统之前而不是在操作系统之上，所以操　杀毒软件，居域网内应该利用这些软件控制病毒在网络上　的传播，及时清除计算机病毒对系统的威胁。　２．３．９建立网络监控系统　各级子网可以设立内部网络监控系统，对外部子网对　内部共享信息的访问，操作以及网络内部各个节点运转信　息实现监控。并且通过远程管理工具实现网上管理，提高　管理的水平和效率。　２．３．１　０采用防火墙技术，提高Ｉｎｔｒａｎｅｔ／Ｉｎｔｅｒｎｅｔ的安全性　防火墙是一种访问控制技术。它是设置在被保护网络　和外部网络之间的一道屏障，以防止发生不可预测的、潜　在破坏性的侵入。它可通过监测、限制、更改跨越防火墙　的数据流，尽可能地对外部屏蔽网络内部的信息、结构和　运行状况，以此来实现网络的安全保护。　（１）ＩＰ转换：进行ＩＰ转换有两个好处：其一是隐藏　内部网络真正的ＩＰ，这可以使黑客（Ｈａｃｋｅｒ）无法直接攻　击内部网络；另一个好处是可以让内部使用保留的ＩＰ，这　对许多ＩＰ不足的企业是有益的。　（２）双重ＤＮＳ：当内部网络使用没有注册的ＩＰ地址，　或是防火墙进行ＩＰ转换时，ＤＮＳ也必须经过转换，因为，　同样的一个主机在内部的ＩＰ与给予外界的ＩＰ将会不同，　有的防火墙会提供双重ＤＮＳ，有的则必须在不同主机上　各安装一个ＤＮＳ。　（３）控制对特殊站点的访问：防火墙可以允许受保护　网的一部分主机被外部网访问，而另一部分被保护起来，　防止不必要访问。如受保护网中的Ｍａｉｌ、ＦＴＰ、ＷＷＷ　服务器等可被外部网访问，而其他访问则被主机禁止。有　的防火墙同时充当对外服务器，而禁止对所有受保护网内　主机的访问。　（４）虚拟企业网络（ＶＰＮ）：ＶＰＮ可以在防火墙与防火　墙或移动的Ｃｌｉｅｎｔ间对所有网络传输的内容加密，建立一　个虚拟通道，让两者间感觉是在同一个网络上，可以安全　且不受拘束地互相存取。这对总公司与分公司之问或公司　与外出的员工之间，需要直接联系，又不愿花费大量金钱　另外申请专线或用长途电话拨号连接时，将会非常有用。　（５）扫毒功能：大部分防火墙都可以与防病毒防火墙　搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，　作系统有的漏洞可能并不会影响到一个好的防火墙系统所　提供的安全性，由于硬件平台的普及以及执行效率的因素，　大部分企业均会把对外提供各种服务的服务器分散至许多　操作平台上，但我们在无法保证所有主机安全的情况下，　选择防火墙作为整体安全的保护者，这正说明了操作系统　提供了Ｂ级或是Ｃ级的安全并不一定会直接对整体安全造　成影响，因为一个好的防火墙必须能弥补操作系统的不足。　（８）应该为使用者提供不同平台的选择：由于防火墙　并非完全由硬件构成，所以软件（操作系统）所提供的　功能以及执行效率一定会影响到整体的表现，而使用者的　操作意愿及熟悉程度也是必须考虑的重点。因此一个好的　防火墙不但本身要有良好的执行效率，也应该提供多平台　的执行方式供使用者选择，毕竟使用者才是完全的控制者，　应该选择一套符合现有环境需求的软件，而非为了软件的　限制而改变现有环境。”　（９）提供监视网络安全和预警的方便端点：防火墙可　以记录下所有通过它的访问并提供网络使用情况的统计数　据。　３综述　系统的安全建设是一项复杂、牵扯面广的系统工作。　从上面的论述可以看出，网络的安全建设不仅仅只是技术　的限制，还牵扯到企业员工的安全意识，企业内部行政管　理的限制等等。　从技术方面来说，企业内部的网络安全性主要通过虚　拟网络、设置人员的访问权限（可以基于各种策略）等来　实现。外网的安全性主要通过加防火墙、设置双网结构等　措施来实现。其他方面的措施就要通过供电企业根据自己　的实际情况，制定出适合本单位的相应的制度，从各个方　面杜绝对系统有威胁的企图。　所有的安全措施最终的目的都是为了保证数据的安　全，尤其对像电力行业这样面向大众的服务性行业，数据　的安全更是重要。所以供电企业要及时制定数据备份计划，　同时机房防雷、防火、防水等等也应该在整个项目建设中　加以考虑。