但在这一信息化的进程中,人们似乎更关心的是信息技术在企业生产、经营和管理领域的应用,而忽视了企业管理信息系统在建设过程中所留下的一些安全"陷阱"。
网络入侵 无孔不入
网络技术真正应用于商业化发展是20世纪90年代的事情,而早期的网络用户以科研人员为主,网络设计主要以开放和共享为宗旨,采用的网络协议只具备极少的安全性选项,而且这些安全性选项还常常为路由器所忽略,因此造成网络安全系数不足。
但由于这个网络协议沿用至今,随着企业和政府相继上网,网络用户与内容均发生了重大变化,因此对于E化的企业而言,网络安全问题日显突出。
作为技术与资金高度密集型的电力产业,其网络安全问题更具行业特色。
我国电力系统的信息化大致是从60年代起步,开始主要应用在发电厂和变电站自动监测与监制方面,80-90年代进入电力系统专项业务应用,即进入了电网调度自动化、电力负荷控制、计算机辅助设计、计算机仿真系统等的使用。
进入90年代后信息技术应用进一步发展到综合应用,由操作层向管理层延伸,实现管理信息化,建立各级企业的管理信息系统;同时其他专项应用系统也进一步发展到更高的水平。到目前为止,电力系统的规划设计、基建、发电、输电、供电等各环节均有信息技术的应用。
但在电力信息化的早期,"重硬轻软"的色彩显得较为明显,在设备及系统的引进上,多采用"拿来主义"。由于其采用的软硬件系统基本上是照搬国外的商品和模式,较少创新,电力系统自主开发的应用软件系统不多,因而在许多网络的建设初期较少考虑安全防范措施,存在一些安全隐患。如应用较多的微软视窗操作系统,就被指存在有泄密?后门"。
事实上,随着信息网络系统的迅速发展和国际化,网络黑客、信息间谍、计算机病毒、不良文化信息、过失犯罪、系统的脆弱性等问题层出不穷,可以说网络侵犯几乎达到了无孔不入的程度。
而对于电力企业而言,网络侵犯主要来自两个方面,一是商业机密的泄露、二是网络系统被黑客人为破坏。这二者造成的经济损失和社会影响都十分严重。
由于近几年,电力信息化由电力生产向管理、经营领域延伸,许多新建电厂、地区供电局都建立了自己的MIS系统,国电公司,各网、省电力公司也都相继建起了局域网,并通过长途通信信道与国电公司的局域网进行了对接,基本上建立起了一个以国电公司为中心的跨地区的计算机网络,即广域网。
而正是由于电力行业的信息管理系统的不断扩大、网络信息资源的不断丰富,其系统安全问题,也显得日益重要和紧迫。
网络系统主要包括网络、主机、信息部分,其重点是操作系统、网络联结和数据库系统的安全。因此,系统安全主要考虑是两种情况,一是非法入侵者截获信息,另一个是非法入侵者破坏系统的正常运转。由此可以看出,尽管网络侵犯的方式各种各样,但总体而言,电力管理信息系统面临三大网络隐患:计算机病毒、介质泄露和黑客入侵。
首先,现在计算机病毒在设计上已越来越复杂且传播方式更隐蔽、危害更大,尤其是在网络环境下,计算机病毒具有更大的破坏力。
它不仅会降低计算机和网络系统的正常工作效率,而且还会破坏计算机的操作系统与用户的数据,更为严重的还会破坏计算机的硬盘等硬件系统,乃至不留痕迹地窃取重要信息。
由于目前计算机病毒的发展水平与防病毒的技术水平发展不一致,目前对层出不穷的新计算机病毒,只能事后"救火",而难以做到"百毒不侵"。可见,计算机病毒无疑是最大的网络安全隐患。
其次是介质泄露。介质又称媒体,网络介质的种类较多,主要是指计算机设备及其传输、存储设备等。
介质泄露,实际上是指计算机及其附属电子设备在工作时能把寄生电磁信号或谐波辐射出去,产生电磁辐射,而这些电磁信号如被接收下来,经过提取处理,就可恢复出原信息,造成泄密。当然,如果存储了重要信息的软盘或磁碟等磁介质被人窃取,也是介质泄露的一种形式。
再者则是黑客入侵。现在"黑客"一词的普通含义是指电脑系统的非法入侵者,主要是指那些"通过信息空间,非法入侵他人的计算机和网络系统,窥探、篡改、盗窃秘密数据及程序的电脑迷"。特别是对于电力企业而言,经济犯罪型黑客是企业信息安全工作尤其需要防范的目标。
黑客的出现无疑是信息技术迅猛发展的结果之一,但因特网自身缺乏系统的安全机制则是滋生黑客的"温床"。从电力管理信息系统的现状来看,许多企业仅是购买了国外网络安全公司的一些产品,而网络安全意识和系统的网络安全机制并未完善。
电力"E"化安全为先
事实上,我国目前网络环境的现状是,由于国内很多网站技术人员缺乏,管理水平较低,不能针对具体攻击的特点拿出有效的防护措施,导致系统持续处于被破坏状态,严重影响了网络的进一步发展。因此,在我国信息化水平不断提高和诸多传统产业相继E化的背景下,企业网络的安全建设显得尤为迫切。
针对电力企业的运行环境和自身特点,网络安全建设可从安全操作系统、网络加密、防火墙、鉴别和验证及审计跟踪技术方面人手。
计算机网络的安全建立在计算机硬件和软件的基础上,而操作系统的安全则是基础的基础。因此,所谓安全操作系统(OS)也就是指能完成特定网络安全功能的操作系统。国外的微软、苹果等公司已推出了一系列较为成熟的安全操作系统,国内在安全操作系统的研发上则处于相对落后的状态。
相对于安全操作系统的基础防护功能而言,网络加密则是一种主动防卫技术。密码技术在网络安全设计中占有重要地位,特别重要的是能被有效运用于信息传输保护、信息验证、数字签名等。密码技术的基本思想是伪装信息,使无关人员看不到或理解不了信息的含义。这一技术在网络安全建设中应用较多。
防火墙技术则较为广泛地运用于企业的局域网建设中,用专业术语说,防火墙是一种中间隔离系统,它可以插在一个可信任的内部网与公共因特网之间,提供一个阻隔点,加强访问控制与审计功能。
可以说,防火墙如同一座高高的城墙,保护局域网内的重要网络资源不受侵害。防火墙技术在电力系统工程的企业内部网建设中应用得十分广泛。
鉴别与验证则是一种基本的网上"打假术"。这一技术就是要对系统中的每一个合法用户都有识别能力,并能对每个用户声称的身份(即他们向电脑系统输入的识别符)进行验证,以防假冒。而审计跟踪技术则堪称网络安全的"监督官",它对涉及网络安全的操作做一个完整的记录,以备违反网络安全规则的事件发生后,有效地追查责任。网络系统设有一套完整的审计跟踪机制是保障网络信息安全的重要手段。
凡是用户在网络中的活动、入网、退网时间,与网络内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中。
此外,数据库的安全保密工作也是企业网络信息安全的重中之重。数据库是人们为了共享数据资源而建立的数据管理系统。由于数据库中存有大量秘密和敏感的信息,因此也常常成为黑客攻击的首要目标。加强对数据库的日常维护和安全管理,也是电力信息化工作中不可避免的技术问题。
随着中国互联网事业的迅速发展,电力信息化程度的不断加强,信息网络安全已成为信息社会的严重问题。由于我国信息化起步较晚,因此网络信息安全方面漏洞较多,就电力信息网络系统的安全而言,其操作系统、计算机网络和数据库物理系统,缺乏统一的信息安全标准、算法和协议,在安全性和效率性之间,难以两全。
另外,由于一些管理者对网络安全不甚重视,存在较大的管理漏洞。
在计算机系统往往只重视物理安全,不重视逻辑安全;只重视单机安全,不重视网络安全。这就要求我们树立网络安全观念,加强网络用户信息安全保密意识,切实采取有效措施,堵塞网络安全保密的各种漏洞,营造良好的信息安全保密环境。同时要建立一套网络安全保障机制,建立安全保密管理机构,培养网络安全人才,逐步完善计算机网络系统的安全。
事实上,我国当前的电力信息化工作还正处于快速成长期,企业的全E化还停留在理论探讨阶段,目前最成功的企业网站所能做到也只是提升沟通和服务质量。因此,将网络安全建设与网络平台、网络管理、网络技术及网络规模的建设融为一体,无疑是电力信息化均衡发展的关键。
杨 芳 华中电力公司信息中心