前言:中文期刊网精心挑选了云计算安全防护范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
云计算安全防护范文1
随着云计算技术在核电厂的推广应用,企业的信息化水平提升到新的高度。企业对信息安全可靠性、保密性、完整性产生更高的述求,信息安全的防护工作日趋紧迫。传统的信息安全防御手段无法应对新出现的威胁,因此需结合现有的信息安全体系,采取与云计算技术相结合的手段开展一系列信息安全防护工作。本文主要介绍了云计算的相关概念和体系架构,云计算技术在核电的应用,国内核电信息安全体系现状,以及基于云计算的核电信息安全体系设计。
关键词:
云计算;核电;信息安全
核电行业是很早就使用计算机实现生产自动化的企业。继个人计算机、互联网变革之后,2010年,云计算作为第三次IT浪潮的代表正在向我们走来。它将带来人类生活、生产方式和商业模式的根本性改变,成为当前全社会关注的热点。云计算的目的是将不同的IT资源(资源包括网络,服务器,存储,应用软件,服务)以服务的方式交付给用户。计算资源、存储资源、软件开发、系统测试、系统维护和各种丰富的应用服务,都将像水和电一样方便地被使用。信息实质上是一种资源,其价值在于其所能创造的机遇与利益。信息安全的目的即是保护信息的完整性、可用性及保密性等属性,以保证信息的价值。一旦信息的完整性、可用性或保密性缺失或受损,信息的价值将大打折扣。核电厂作为国防建设的重点单位,信息安全重要性尤为突出。随着云计算技术在核电厂的推广应用,信息安全的防护出现一些新的变化,本文即是针对这些新的变化进行相应的探讨,目的是提升核电厂信息安全水平。
1云计算概念和体系架构
网络通信、分布式计算及服务计算等技术的发展为云计算的实施提供了强有力的支撑。NIST指出云计算是一种以通过网络连接,便携且按需访问的可配置共享资源池的服务,计算资源将以最小的管理和交互代价快速提供给用户;同时云计算还应满足按需自助服务、广泛网络接人、高效资源共享、高弹性计算、支持度量计费等五大功能特性。根据云计算所提供服务类别的不同,云计算的服务模式可以分为软件即服务(SoftwareasaService,SaaS)、平台即服务(PlatformasaService,PaaS)和基础设施即服务(InfrastructureasaService,IaaS)。典型的云计算平台架构如下:IaaS、PaaS、SaaS在功能范围和侧重点上都存在差异,其中IaaS需要在异构资源环境下,提供按需付费、可度量资源池功能,同时要兼顾硬件资源的充分利用和用户需求的满足;PaaS不仅关注底层硬件资源的整合,还需要提供能够供租户进行开发、调试应用的平台环境;SaaS不仅需实现底层资源的充分利用,还必须通过部署一个或多个应用软件环境,为用户提供可定制化的应用服务。
2云计算技术在核电企业的应用
随着核电ERP/EAM/ECM等核心系统的构建,以及IT架构的进一步集中调整,整个核电IT系统的架构变的更为复杂。为了提升信息化水平,提高资源利用率,核电厂开展云计算相关技术研究,结合企业实际情况,遵循四化的理念来建立、提升、完善云计算平台的能力。核电企业四化包括:资源管理集约化:通过对企业计算、存储、网络资源的集中化、标准化、服务化管理实现高效、弹性的IT架构;应用交付一体化:通过软件全生命周期管理的自动化以及面向企业级应用的业务框架提高企业应用的交互能力;系统运营智能化:通过全方位的监控和时间处理,将数据植入到运营流程中,达到流程化、智能化运行的目标;运维管理自动化:通过运维作业集中管理调度与监控实现运维作业的标准化和自动化提高应用运维的效率和可管理型。
3国内核电信息安全体系现状
目前国内大部分核电企业的信息安全体系建设主要遵守《电力行业信息系统等级保护定级工作指导意见》(电监信息[2007]44号)、《信息安全等级保护管理办法》和《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号)等,以上述办法围绕等级保护来开展信息安全体系建设。一些信息化建设水平较好的核电企业,在信息安全建设过程中逐步借鉴和参考国际国内先进的信息安全标准,主要是目前国际上应用最广泛的ISO27001信息安全管理体系。在传统的信息安全时代主要采用隔离作为安全的手段,具体分为物理隔离、内外网隔离、加密隔离,实践证明这种隔离手段针对传统IT架构能起到有效的防护。同时这种隔离为主的安全体系催生了一批以硬件销售为主的安全公司,例如各种FireWall(防火墙)、IDS/IPS(入侵检测系统/入侵防御系统)、WAF(Web应用防火墙)、UTM(统一威胁管理)、SSL网关、加密机等。在这种隔离思想下,并不需要应用提供商参与较多信息安全工作,在典型场景下是由总集成商负责应用和信息安全之间的集成,而这导致了长久以来信息安全和应用相对独立的发展,尤其在国内这两个领域的圈子交集并不大。结果,传统信息安全表现出分散割据化、对应用的封闭化、硬件盒子化的三个特征。信息安全体系的基本建设要素包括物理安全、网络安全和系统安全三个要素。(1)物理安全。物理安全主要涵盖机房安全、信息设备安全、通信线路安全等,保障信息机房的电源、温湿度、进出入的安全,保障信息化基础设施、通信线路等的运行可靠性、双链路互备等措施。(2)网络安全。互联网的安全主要以防火墙为核心,辅以IPS、防病毒网关等设备为核电构建统一的、安全的互联网出入口。内部局域网作为网络中终端数量最大、用户最多的区域,一直是网络安全防护的重点区域。首先,局域网要进行核心层、汇聚层、接入层的规划和IP地址划分,核心层要满足双机热备的要求。在网络管理中要实现网络资源的配置、网络流量监控,保障局域网络的稳定通畅。其次,终端安全管理是内部局域网安全的管理重心,建立终端管理、防病毒、移动介质等防控手段。(3)系统安全。信息系统的稳定运行是支撑核电业务连贯性的必要条件,信息系统的服务器、操作系统、数据库、系统接口等的管理有效性是实现系统安全、稳定运行的基础。系统的应用安全主要指系统中数据访问、流程审批、操作合规性等安全,主要通过用户认证、电子证书、文档加密、行为审计等手段来加以监控。
4基于云计算的信息安全体系设计
核电企业云平台承载企业的关键应用,数据作为企业的资产,其安全性需要采取相应措施加以保障,核电企业在建设云平台过程中,注重安全管理。安全管理是为了建设可靠的安全保障体系,实现应用服务及数据调用的安全认证和安全审计,主动的异常数据操作行为的监控分析、预警机制,并提供异常问题的倒查追溯能力。为了更好的保证业务之间的隔离性和安全性,核电厂从三个方面建立信息安全体系:(1)访问安全。访问安全基于身份认证和权限认证来完成。身份认证是建立统一的用户信息库,为系统提供身份认证服务,只有合法用户才能对信息化系统进行访问;权限认证主要是根据用户身份对其进行权限判断,以权限认证与统一认证相结合,为信息化系统提供方便、简单的、可靠的授权服务,从而对用户进行整体的、有效的访问控制,保护系统资源不被非法或越权访问,防止信息泄漏。(2)数据安全。数据安全是对及内部信息系统进行严格的安全防护,对计算机、数据、敏感业务系统采用认证、加密等技术手段进行控制。数据安全主要包括:数据完整性,数据保密性,备份和恢复。数据完整性:通过循环冗余校验(CRC)以及消息认证码(带密钥的Hash函数)来保证完整性。数据保密性:通过传输协议加密以及数据加密来保证保密性。备份和恢复:对重要信息进行备份,并对备份介质定期进行可用性测试。(3)操作安全。操作安全是为了防止误操作带来的风险,如删除关键数据造成系统无法正常运行。操作安全可以通过事前预防和事后补救这两方面来保证。事前预防是通过对关键操作进行多人复核,降低单人误操作机率;事后补救是通过操作日志来回滚误操作。结合云计算平台建设现状和企业实际,核电厂从云平台基础安全、云平台攻防安全、云平台运维安全等方面建设信息安全体系,构筑全方位的信息安全防护屏障。
4.1云平台基础安全
(1)网络安全。云计算平台网络分为两部分:管理平面和业务平面网络。管理平面网络主要用来管理云计算主机,业务网络主要负责传递业务系统相关数据,两者传输数据不同,访问授权也不一致,需将管理平面和业务平面网络隔离。此外,需关闭未使用的网络端口防止非法接入,回收服务器默认路由防止主动外联。(2)宿主机安全。首先要保证操作系统安全,减少系统漏洞。由于云计算操作系统大部分是基于开源平台开发,存在漏洞较多。因此进行系统定制化开发时候需将操作系统内核和组件精简,减少非必要的功能,修复相关漏洞,对主机做符合业界安全规范的配置加固,内核防提权模块加固等。(3)多租户资源隔离。云计算平台的典型场景是多租户共享,但和传统IT架构相比,原来的可信边界彻底被打破了,威胁可能直接来自于相邻租户。租户通过Hypervisor(虚拟机监视器)共享同一个物理操作系统的计算资源,在一张共享的二层网络上实现网络的区隔。攻击者一旦通过某0day漏洞实现虚拟逃逸到宿主机,攻击者就可以读取这台宿主机上所有虚拟机的内存,从而可以控制这台宿主机上的所有虚拟机。同时更致命的是,整个云平台节点间通讯的API默认都是可信的,因此可以从这台宿主机与集群消息队列交互,进而集群消息队列会被攻击者控制,最终一举攻破整个云主机集群。云服务器租户隔离从以下几个方面设计:基于VT-x技术隔离CPU;硬件辅助EPT技术隔离内存;分离设备驱动I/O模型隔离存储;交换型Vswitch,不同VM的数据包被转发到对应的虚拟端口;VM的IP、Mac地址绑定防地址欺骗及网络嗅探;物理内存、物理存储重分配前清零;用户数据打标签隔离存储。(4)数据存储安全。数据是信息系统最核心要素,数据的可靠性和安全性在信息安全中地位尤为突出,云计算平台采取了分布式存储技术,将数据分散在多个磁盘中。同一数据分别备份三份存储于磁盘中,任意部分丢失均立刻进行恢复,可靠性达99.9999%,较好保障数据安全性;为应对物理拷贝,将数据打散后即使单独拷贝磁盘出去,无系统进行数据提取、整合,无法恢复数据。
4.2云平台攻防安全
互联网攻防体系包括DDOS攻击防御、入侵防御、弱点分析和态势感知四个方面,整体架构如下:(1)DDOS攻击防御。DDOS(分布式拒绝服务),是指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,很多DOS攻击源一起攻击某台服务器就组成了DDOS攻击。DDOS攻击本质上是一种只能缓解而不能完全防御的攻击,它不像漏洞那样打个补丁解决了就是解决了,DDOS就算购买和部署了当前市场上比较有竞争力的防御解决方案也完全谈不上彻底根治。防火墙、IPS、WAF这些安全产品都号称自己有一定的抗DDOS能力,而实际上他们只针对小流量下,应用层的攻击比较有效,对于稍大流量的DDOS攻击则无济于事。结合云计算平台特点,DDoS攻击防御使用DDoS清洗系统,通过封堵大流量DDoS攻击,保障云平台可用;通过拦截应用层DDoS/CC攻击,保障业务可用。DDoS清洗系统可1秒完成检测->牵引->清洗->回注流程,全自动响应,无人值守,提高效率,降低成本;与全球信息安全防护厂商共享数据,提供最大450+Gbps防御能力,可抵御海量攻击;采用了精准的攻击检测技术,网络抖动小。本系统配置专用大数据平台,采用基于大数据分析技术可快速分析恶意IP库、恶意行为库。(2)入侵防御。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。传统的入侵防御系统多集中在应对4~7层的应用攻击,在应对DDoS洪水型攻击时却显得捉襟见肘,而基于云计算的入侵防御系统不但要集成的原有入侵防御产品多层的防攻击功能,更需具有专业抗DDoS攻击功能,可清洗2~4层的洪水型攻击流量,能够从而实现系统全方位的入侵防护。云计算入侵防御系统需要具备功能包括:实时网络入侵拦截,封堵恶意行为;自动木马后门检测,保护主机安全;弱点分析,可以快速分析出系统存在漏洞、弱点及时发现弱点,自动修复漏洞;具备实时扫描功能,风险随时可知。(3)网络态势感知。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。网络态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势。基于云计算的态势感知服务可以让企业决策者发现眼睛看不见的风险。态势感知的第一个特点是以海量数据、超强的计算为依托,让黑客攻击显影。第二个特点就是让风险可视化。有了它,没有安全技术基础的人也能看见风险的过去、现在和将来。基于云计算的态势感知系统需具备功能包括:安全数据大屏实时展示;集中安全策略管理;多维度日志关联分析;时间+空间,安全风险全局态势感知。(4)数据库审计。数据库是企业最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。面对日趋复杂的安全风险,必须部署数据库审计系统。数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。基于云计算的数据库审计系统是在数据库虚机上安装数据库审计业务端程序,该程序会对该虚机上的数据库业务进行审计。另外在中控区部署统一的数据库审计管理端程序,对所有业务端程序提供集中管控。
4.3云平台安全运维
随着云计算平台的建设推进,各应用系统也进行了基于“云”的设计改造,因此必须建立一套完整的基于云计算的安全运维体系,保证各类紧急事件能够及时处理。基于云计算的安全运维体系应包括以下两个方面。(1)带外管理分离与运营平台。云平台的运维管理应与业务网络分离,同时建立运维平台和运营平台。运维平台主要供IT管理员进行云平台的运维,运营平台提供运营相关服务,包括计费、考核、流程审批等。(2)运维管理审计。InforCube运维管理审计系统涵盖多种运维协议(RDP、SSH、TELNET、FTP、SCP等)并提供操作回放检索、输入记录、标题抓取等功能,从明确人、主机、帐户各个角度,提供丰富的统计分析,帮助用户及时发现安全隐患,协助优化网络资源的使用。它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能,实现运维过程的“事前预防、事中控制、事后审计”,在简化运维操作的同时,全面解决云计算复杂环境下的运维安全问题,提升企业IT运维管理水平。
5结束语
云计算平台的信息安全体系建设,除了要依据上级单位的要求,参照ISO27001和信息系统安全等级保护体系开展企业信息安全建设,更重要的是要根据云平台架构特点,有针对性进行方案设计,采取更先进的技术进行安全加固。新技术的发展日新月异,相应的安全威胁手段也在改进,如仅仅按照国标和行业的标准进行安全防范,无法防范新出现的威胁。因此针对云平台的信息安全体系建设日趋紧迫。此外,在做好信息安全的技术防御之时,提高管理、加强对安全体系的审查改进是重要的落地手段。通过安全体系的设计,落实改进措施,定期实施加固,将安全体系落实到实处,才可以保障企业的信息安全。
作者:张荣斌 单位:中核核电运行管理有限公司
参考文献:
[1]梅生伟,王莹莹,陈来军等.从复杂网络视角评述智能电网信息安全研究现状及若干展望[J].高电压技术,2011,37(3):672-679.
[2]李文武,游文霞,王先培等.电力系统信息安全研究综述[J].电力系统保护与控制,2011,39(10):140-147.DOI:10.3969/j.issn.1674-3415.2011.10.026.
[3]谢迎军.信息及信息安全思辨[C].//中国电机工程学会电力通信专业委员会第九届学术会议论文集.2013:822-826.
[4]工业和信息化部信息安全协调司司长赵泽良:积极应对风险挑战维护国家信息安全[J].信息安全与通信保密,2012,(3):2-2.
[5]杜保东,杨庆明,李冰等.企业云计算信息安全方案研究[J].信息系统工程,2014,(5):67-68.
[6]汪兆成.基于云计算模式的信息安全风险评估研究[J].信息网络安全,2011,(9):56-59.DOI:10.3969/j.issn.1671-1122.2011.09.018.
[7]杨成.解析现阶段云计算的应用与信息安全[J].科技展望,2015,(20):1-2.
[8]中华人民共和国国家标准GB/T22239-2008《信息系统安全等级保护基本要求》
云计算安全防护范文2
云计算是最近几年才兴起的一种新型网络计算模式,在我国还处于一个起步阶段,因此云计算的技术并不成熟,其相关标准和相关的政策法规也还需要进一步完善。尤其云计算不同于传统的计算模式,用户可以对数据进行完全控制,而云计算模式,用户对数据的控制和管理毫无管控的权力,只能依赖云服务商。因此,云计算的信息安全成为当下大家最关注的问题。
1 云计算有哪些信息安全风险
1.1 数据信安全息风险
云计算是通过计算分布在不同的分布式计算机上,数据信息不保留在本地计算机或者远程服务器上,它通过互联网的传输,可以将资源放置在任何需要的网络存储的应用上,使用的时候,用户只要通过网络连接云就可以查看网络存储应用上的数据了。更重要的是,“云”数据储存了用户的大量隐私或者比较有价值的业务数据信息,可能会受到一些网络黑客或者一些对手企业的攻击,或者窃取重要的数据信息。当云计算受到攻击的时候,云服务商无法提供安全的信息保障措施,可能造成系统的崩溃或者云硬盘数据的丢失,给企业或者个人带来极大的损失。云计算规模大,其服务系统的环境更复杂,与传统的服务技术相比,更加容易暴露安全问题,所以云计算当前面临的最大的就是数据信息的安全风险。
1.2 安全防护的界限不清晰
云计算主要通过虚拟化技术实现的,所以云存储上的数据有时候可以实现实时共享,网上的任何用户都可以在网上进行注册,然后分享相关的数据信息。由于云服务器终端的用户非常多,数据存放相对分散,它无法像传统的网络对数据信息的安全边界有一个明确的定义,因此客户的数据信息的安全很难得到保障。
1.3 数据信息的安全隐私有泄露的风险
当企业用户使用云计算的时候,他们存储在网上的重要数据信息可能会遭到竞争对手的攻击,进而窃取大量重要的数据信息。所以云服务商会根据用户的数据进行隔离,保证用户数据的安全隐私,通常使用的方法是对数据进行加密处理。即便如此,随着互联网技术的进步和发展,互联网的安全信息问题也越来越严重,一些计算机网络黑暗,对网络用户的电脑或者服务器进行攻击,因此服务器容易出现故障。
1.4 云计算的技术风险
当前云计算技术还处于刚发展的阶段,它的技术相对还不够成熟,但是其蕴藏着巨大的经济价值,让不少企业纷纷转型,开始云计算的研发,但是由于目前我们国家还没有云计算的统一标准,导致各个开发商在开发产品的时候各自为政,将来各个服务商如何实现相互之间的连通,也是一个很大的考验。如果无法进行正常的连通,那么就有可能造成企业用户数据的丢失。技术上的难点,让它很难打造一个安全系数高,防止被恶意攻击的云计算环境。而且云计算还涉及到了一些物理节点,计算的节点和数据点数很多,情况非常复杂,如果使用一个完全虚拟的云计算环境来构建相对安全的云计算环境需要企业付出高昂的成本,一般的小企业根本无法承担,一些大企业能够负担起这些费用,但是开发出来的系统是否能满足云计算信息安全还有待进一步考证。比如在2012年,浪潮花费10亿元开发32路高端容错服务器天梭K1系统,4年过去了,其所属公司依然还没有推出来,可见云技术的负责性。
1.5 法律风险
云计算服务商一般情况下,为了防止用户数据的丢失,一般会将用户的数据进行备份,也就是将企业用户的数据存放在互联网上不同的云计算机数据中心。而世界各国,每一个国家的网络信息安全的标准各不相同,企业的一些数据可能在这个国家是合法的,但是在另外一个国家可能是非法的,因此云计算中存储数据中心可能存在一些国家安全法律法规的问题。
2 服务商加强云计算信息防护措施
当用户数据储存到云计算服务商的服务器上,服务商应该对设置信息安全进行评估,根据数据信息评估的标准,实行响应的安全防护措施。同时,加强用户数据信息安全防护措施,在打开数据信息之前,设置各种加密技术、身份认证、和安全认证,防止用户数据信息泄露。2013年韩国三大信用卡公司信息泄露,亚马逊沃尔玛等网站1.3万信用卡号遭曝光事件,如家、汉庭等大批酒店开房记录被泄露:包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。这些云计算数据信息的泄露,使得不少企业不敢将数据迁移到云端。要解决企业云存储的一些顾虑,那么提供云计算服务的服务商,应该对云计算网络安全加强管理,特别是对专业的云计算系统技术人员,要采取有效地物理防范措施,制定相关的管理标准,同时对云计算系统的工作环境进行全方位的监控。
3 结语
针对云计算可能存在的安全漏洞,要实时进行检测,一旦发现问题,立即进行修复,以免造成不必要的损失。同时还要打击蓄意破坏网络信息安全的黑客,一旦发现有恶意攻击,要及时做好云计算网络存储中心的安全防护工作。
参考文献
[1]孔小婧,周漪.基于云计算技术的信息安全风险研究[J].计算机光盘软件与应用,2013(18).
云计算安全防护范文3
【关键词】计算机网络;安全防护
一、威胁计算机网络安全的因素
(1)存在一定的无意的人为因素。人为的因素主要是部分的电脑操作者操作不当,比如说没有进行正常的安全配置,威胁操作系统,没有较强的计算机安全防护意识,这有很大可能将威胁到计算机网络安全。(2)操作系统存在一定的不安全性。每个操作系统都存在一定的不安全性,操作系统支持数据的交换与连接,这对网络安全来说是一个漏洞;操作系统还可以创建进程,然而这些进程软件就是系统进程,黑客不法分子经常就利用这些进程软件窃取信息;再者,操作系统还支持在互联网中传送文件,文件传输过程中很有可能附带一些可执行文件,是人为编写的,一旦出现漏洞被不法分子利用,会对计算机网络系统带来很大的破坏。(3)计算机病毒的威胁和恶意程序的破坏。由于计算机网络的互联性与广泛性,计算机病毒的传播速度和威胁力越来越大,病毒其实是一些破坏计算机数据或功能、阻碍计算机正常运行的,而且还可以自我复制的一段计算机指令或代码,而且病毒还有持续时间特别长、危害性特别大、传染性特别高的特点,病毒的传播途经也特别广,一些光盘和移动硬盘以及其他的硬件设施都是病毒传播的途径,一些恶意的程序如木马程序就是利用一些程序漏洞窃取信息的恶意程序,具有一定的自发性和隐蔽性。(4)黑客的恶意攻击。黑客对计算机网络安全带来巨大的威胁,他们通常能够利用一些软件来进行网络上的攻击,他们经常窃取和篡改计算机中重要的系统数据和资源,还能自己编制病毒破坏计算机系统,对计算机的安全防护带来巨大的影响和威胁。
二、计算机网络安全防护的主要对策
(1)要健全计算机网络安全管理的防护机制。建立健全计算机网络安全防护机制,是规范计算机用户和管理员行为的保障,建立健全网络安全管理机制,有利于提高用户和计算机系统管理员的职业水准和专业素质,有利于使计算机操作人员形成良好的习惯,促使他们及时的对数据资料进行备份,促进计算机网络安全防护的工作能够顺利开展。(2)要重视加强防火墙技术。采用防火墙技术是一种有效地手段,防火墙是一种网络的屏障,因为黑客要想窃取重要的机密与信息必须进入计算机内网,而要想访问内网就必须通过连接外网来实现,采用防火墙技术可以有效地防止这一现象发生,而且比较经济。(3)重视加强数据的备份工作。及时对一些重要的数据资料进行备份工作,通过存储技术将计算机中的重要的需要被保护的数据用其他的存储设施,如移动硬盘或者光盘进行转存,以防系统崩溃时数据被破坏或者丢失,即使数据被破坏或丢失后,也可以依靠备份来进行数据的恢复,只是在备份时,不要将源数据和备份数据放在一个服务器之中,另找一个安全的地方进行存放。要切实建立健全数据备份与恢复机制。(4)进行相关政策法规的保障,同时提高计算机操作人员。与管理人员的专业能力与素养,提高安全防护意识颁布相关的法律法规保障网络安全,加强管理,同时重视计算机网络的安全意识教育,再者要提高技术人员的专业能力与素养,对于一些基本的网络安全防护措施要很熟悉而且要做到位,及时的对新的技术人员进行培训与辅导,加强安全防护管理的意识,不断提高自身的专业技能与专业素养。
三、计算机网络安全防护的发展
对于计算机网络安全防护的发展,我们需要更加的完善网络安全防护措施,在不断进行完善更新的基础上采用更为先进和主动的防护措施,化被动为主动,我们可以采用“云安全”技术,云安全这项新的技术可以大范围的对网络中的异常的软件行为进行检测,获取关于病毒、木马等恶意程序的最新消息,并通过服务端进行自动的处理分析,然后给每一位客户发送解决方案。从而整个计算机互联网络就像是一个巨大的杀毒软件。采用“云安全”等新技术会让计算机网络安全防护变得更有力。
计算机互联网络是一个庞大而又复杂的信息网络,在这个信息网络之中,做好必要的安全防护措施是很重要的,计算机网络涉及的领域相当的广泛,如果不进行计算机网络的安全防护,那么一旦在计算机网络中一个领域中出现安全问题,那么其他的领域也会受到连锁的影响。因此全面认识到计算机网络中的不安全因素,及时提出实施安全防护措施,及时的让新技术加盟,我们才能够更好地确保计算机网络的安全,促进人们正常的学习、工作、生活,促进经济平稳迅速发展,确保国家安全。
参 考 文 献
[1]杨艳杰.计算机网络的安全防护与发展[J].电脑编程技巧与维护.2011,56(12):12~16
云计算安全防护范文4
终端成为重要攻击目标,安全防护不容忽视。在由云计算、大数据、移动互联网重构的IT环境中,大量信息数据被放置到云端,传统的防火墙边界已经不复存在,因此有人认为终端安全已经无关紧要。然而对于多数企业来说,PC、手机、平板电脑等终端设备仍然是企业数据存放和周转的重要节点,如果终端安全无法得到保障,这些数据也将面临严重的威胁。
亚信安全产品经理何莉表示:“从网络安全防护实践来看,针对终端的安全攻击对企业的整体业务和数据安全造成了很大威胁。网络攻击者不仅可以通过入侵终端设备来窃取机密的企业信息,还有可能以终端设备作为‘跳板’发动APT攻击,将定制化的恶意软件散播到企业网络之中,伺机执行破坏网络、窃取数据等高威胁的行动。”
提升终端安全防护能力和联动防御成为重心之一。要提升终端安全防护能力,就必须不断改进安全防御技术,以组成更高效、更坚不可摧的防御体系。此外,随着终端安全威胁的复杂化,企业最好能够综合使用多种技术,而不是单个技术来化解威胁,这就要求企业将不同安全产品功能与信息进行整合,这样有利于对安全威胁情势进行全面准确地洞察,实现安全威胁的联动防御。
除了强化对安全威胁的治理,将不同终端安全产品进行融合,还能显著降低企业的安全运维难度。很多企业部署了多种终端安全产品来应对不同威胁,这样虽然可以提高安全防护能力的覆盖范围,但是不同产品有着不同的技术架构和管理方式,会大大增加安全运维的难度,还有可能产生产品兼容性题。如果能够实现融合管理,将显著提升安全运维的效率,减少安全防御的漏洞。
对于终端安全的防护,亚信安全有终端安全管控系统和防毒墙网络版OfficeScan两款产品。其中,亚信安全终端安全管控系统以安全管控为核心、以运维管控为重点,可帮助企业打造全方位终端安全管理体系;亚信安全防毒墙网络版OfficeScan则以防范具体网络安全威胁为重心,具备针对未来而设计的弹性架构,可以提供恶意软件防护、数据保护、邮件安全等安全防护功能。
云计算安全防护范文5
摘要:
结合笔者日常工作实践,介绍采用定量风险评价法计算重大危险源外部安全防护距离的计算步骤。根据风险的实质为事故发生概率和后果严重性的乘积,对于外部安全防护距离不足的重大危险源企业,从降低事故发生概率和后果严重性两方面提出降低风险的措施。
关键词:
重大危险源;外部安全防护距离;定量风险评价;个人风险;社会风险
依据《危险化学品重大危险源辨识》GB18218-2009,危险化学品重大危险源是指长期地或临时地生产、加工、使用或储存危险化学品,且危险化学品的数量等于或超过临界量的单元。若是危险化学品重大危险源发生火灾、爆炸、毒气泄漏等事故,将对周边人员的生命健康安全及周边企业的财产安全造成巨大威胁。随着我国经济社会快速发展,石化、化工产业布局与工业化、城镇化的矛盾日益突出,城区、居民区与部分构成危险化学品重大危险源的危化企业的外部安全防护距离不足带来的安全风险有不断加剧趋势[1]。依据《危险化学品生产、储存装置个人可接受风险标准和社会可接受风险标准(试行)》(国家安监总局公告2014年第13号,以下简称“《标准》”),外部安全防护距离是指危险化学品生产、储存装置危险源在发生火灾、爆炸、有毒气体泄漏时,为避免事故造成防护目标处人员伤亡而设定的安全防护距离。相较于安全评价中常采用的防火间距(主要针对非爆炸性的火灾事故)和卫生防护距离(指产生有害因素的生产车间或作业场所的边界至居民区、学校、医院等敏感区边界的最小距离),外部安全防护距离较全面地考虑了火灾、爆炸、有毒气体泄漏的影响,因而在预防重特大事故时有其科学性和合理性。
1危险化学品重大危险源外部安全防护距离计算的适用方法
危险化学品重大危险源可采用事故后果计算法、定量风险评价法和危险指数法三种方法来计算外部安全防护距离。事故后果计算法适用于涉及爆炸品类危险化学品的生产、储存装置,若采用危险指数法需同时满足一系列条件(详见《标准》),上述两种方法适用面较窄。对于化工企业重大危险源常采用定量风险评价法计算外部安全防护距离。定量风险评价法是对危险化学品生产、储存装置发生事故频率和后果进行定量分析和计算,以可接受风险标准确定外部安全防护距离的方法。定量风险评价法适用面较广,重点监管的危险化工工艺装置及部分构成重大危险源的化工装置均适用(适用范围详见《标准》)。但是对于上述三种应用情形之外较为常见的构成三级或四级重大危险源的化工企业易燃液体储罐区,《标准》未说明计算其外部安全防护距离的方法,造成安全监管部门日常监管及企业隐患排查“无据可依”。笔者认为从严参照使用定量风险评价法适用条件之一的“构成一级、二级重大危险源,且涉及国家安全监管总局公布的重点监管的危险化学品的”可接受风险标准,采用定量风险评价法计算外部安全防护距离是可行的。
2采用定量风险评价法计算重大危险源外部安全防护距离的计算步骤
根据《化工企业定量风险评价导则》AQ/T3046-2013提出的定量风险评价基本程序,结合笔者日常工作实践,重大危险源外部安全防护距离的计算步骤简要描述如下:
(1)需准备的资料包括企业区域位置图、总平面布置图、人口分布数据、当地气象状况、工艺设备参数、周围点火源等,同时对重大危险源企业风险评价的边界进行界定。
(2)危险辨识。
(3)失效概率估算。导致重大危险源发生泄漏的设备(或设施)主要包括管线、储罐、容器、泵、压缩机、阀门等,上述设施泄漏概率不易获取,实际运用中需对基础泄漏频率进行设备和管理修正[2],相关泄漏概率常整合于专业的风险评估软件中。将多个泄漏概率进行有机结合,得重大危险源的失效概率。
(4)失效后果分析。采用池火灾、沸腾液体扩展为蒸气云爆炸(BLEVE)、蒸气云爆炸、压力容器物理爆炸、有毒气体扩散等相关模型计算出各类事故的影响范围。
(5)个人风险计算。依据《标准》说明,个人风险是指因危险化学品生产、储存装置各种潜在的火灾、爆炸、有毒气体泄漏事故造成区域内某一固定位置人员的个体死亡概率,即单位时间内(通常为一年)的个体死亡率。通常用个人风险等值线表示。通过给定时间下热辐射强度、冲击波超压、毒物扩散浓度的概率函数法可计算出火灾、爆炸、有毒气体泄漏事故的死亡概率。在频率和后果分析的基础上,经过一系列复杂的演算可得到个人风险值。失效后果及个人风险的计算量较大,实际常需借助专业的风险评估软件实现。
(6)外部安全防护距离计算及符合性评价。依据《标准》中可容许个人风险标准绘制的个人风险等值线,结合地图比例尺可测得重大危险源至相应的重要目标和敏感场所所需的外部安全防护距离。个人风险等值线覆盖的范围越广说明重大危险源外部安全防护距离越大。若个人风险等值线范围内包含相应的重要目标和敏感场所,则该位置的外部安全防护距离为不可接受。外部安全防护距离符合性评价还需考虑到社会风险的大小。依据《标准》说明,若社会风险曲线位于《标准》中我国社会可接受风险标准图“不可接受区”,则根据个人风险等值线计算的外部安全防护距离亦不可接受。
3可采取的降低风险的措施
无论是个人风险还是建立在个人风险基础之上的社会风险,风险的实质均为事故发生概率和后果严重性的乘积。对于外部安全防护距离不足的重大危险源企业,在限制危险化学品存量的基础上可从降低事故发生概率和后果严重性两方面降低风险。降低事故发生概率可以从安全管理和工程技术措施两方面着手:
(1)建立健全安全生产责任制和安全生产规章制度,尤其应建立健全生产安全事故隐患排查治理制度,对安全基础管理、区域位置和总图布置、工艺设备、电气系统、仪表系统、危险化学品管理、储运系统、公用工程、消防系统等方面开展隐患排查,及时进行隐患治理。对于外部安全防护距离不足的事故隐患应当及时上报当地安全监管部门。
(2)完善安全设施配置,建立健全工艺参数不间断采集和监测系统、可燃气体和有毒有害气体泄漏检测报警装置、自动化控制系统、紧急停车系统、安全仪表系统(SIS)、视频监控系统等安全监测监控体系,完善设备安全防护设施、防爆设施、安全警示标志、泄压和止逆设施、防止火灾蔓延设施、灭火设施、应急救援设施等安全设施配置。若通过上述努力外部安全防护距离仍不符合要求,需从降低事故后果严重性考虑:搬迁企业或迁移周边重要目标和敏感场所。迁移孤立的重要目标和敏感场所或许可行,但是城市建成区中成片搬迁居民区或其他人员密集场所花费的经济成本较高。2014年国家安全监管总局向社会各界征求意见,目前尚未正式出台的《危险化学品企业安全生产监督管理规定》要求:新建化工企业、周边距离不足和城区内的化工企业必须按照有关规定进入化工园区(或集中区)。这为城市化进程中被居民区包围的受外部安全防护距离不足困扰的重大危险源企业指明了一条出路。
参考文献:
[1]国家安全监管总局监管三司.解读《危险化学品生产、储存装置个人可接受风险标准和社会可接受风险标准(试行)》[J].劳动保护,2014,(8):44-46
[2]武志峰,党文义,于安峰,等.石油化工企业定量风险评价程序探讨[J].安全、健康和环境,2010,(10):35-38
云计算安全防护范文6
【 关键词 】 大数据;电网安全;防护策略
1 引言
电力系统在国家基础设施建设中具有十分重要的地位。随着云计算、大数据等新兴技术的不断发展,电力系统的数字化、信息化、智能化程度越来越高。新技术在推动电网企业不断发展的同时,也带来了一系列安全问题,构成了较大的威胁与挑战。本文着眼于大数据时代下的电网企业安全,系统分析了电网企业面临的主要威胁,并针对性地提出安全防护策略,为电网企业安全建设与应用提供指导。
2 大数据发展现状
2.1 大数据推动社会进步
大数据(Big Data)是指所涉及的数据量规模巨大到无法通过人工在合理时间内达到截取、管理、处理,并整理成为帮助企业经营决策更积极目的信息。
2011年,全球知名咨询公司麦肯锡的研究报告,引起了IT界的广泛关注。Google、IBM、EMC、Facebook等公司相继开展了大数据技术研究,并纷纷推出各自的大数据解决方案和相关产品,例如Google公司的MapReduce、GFS,Apache组织推出的Hadoop大数据分析框架等。 2012年,美国政府联合六大部门了高达2亿美元的“大数据研究和发展计划”,标志着美国政府在政策层面将大数据提升到国家战略层面,该计划共投入了155个项目种类,涉及国防、医疗、能源等多个领域。
我国也在不断提高对大数据的认识与应用,认为大数据在降低经济社会运行成本和提高政府决策效率方面具有广阔的应用空间,许多呼声要求尽快出台中国的大数据发展战略。能源、医疗、工业制造、金融、电信等行业率先投入了大量的人力物力进行大数据创新实践与应用,着力解决本领域数据资源积累与有效转换,辅助优化企业运营与效率提升。
2.2 大数据推动电网企业转型发展
近年来,随着互联网技术的不断突破,智能电网成为电网企业发展的重要方向,并多次出现在政府工作报告中。智能电网(Smart Grid)是以物理电网为基础,将现代先进的传感测量技术、通信技术、信息技术、计算机技术和控制技术与物理电网高度集成而形成的新型电网。智能电网能够优化整个电网企业的资源配置,实现电力的可靠、安全、经济、高效运行和安全使用,支撑新一代电网安全生产和管理发展。随着智能电网的加快部署与业务应用的深化拓展,电网业务数据不断丰富与扩增,结构化和非结构化的电力数据中心不断运行,形成了规模庞大且结构复杂的数据集合,这为智能电网优化配置、电力服务行业发展提供了宝贵的数据资源,对电网企业“以电力生产为中心”的工作模式,向“以用户为中心”的服务模式的转型发展起了极大的推动作用。
当前,国家电网企业大数据建设尚处于试点研究阶段,其主要涉及的领域与业务主要集中在电网企业的运检、营销、运监等各个环节,通过挖掘数据之间的关系与规律,提高电网企业在生产、经营、管理等方面的质量与效率。例如开展电网设备状态监测的大数据应用,实现电网设备状态的智能监测,实时分析电网线损、配电负载等数据,及时发现电网企业运行异常,为电网调度、交易和检修提供支撑,提高电网企业的资源合理优化。开展用电信息与客户服务的数据分析,实时反馈客户购电与用电信息,建立合理的分时阶梯电价模型,促进电力效能的整体优化。同时,电网企业数据还能够与其他互联网、交通、经济等社会数据相融合,为经济宏观发展、产业分布情况调查、公共事业管理提供有力支持。
3 电网企业大数据分析
3.1 电网企业大数据概念与特征
电网企业大数据旨在对电力生产与使用过程中产生的大规模数据进行分析与处理,实现大数据对电网企业效能的“增值”。电网企业的数据主要包括三类:一是电网企业的设备运行数据,主要包括电网设备监测数据、状态数据等;二是电网企业的管理数据,主要包括跨单位、跨部门的电网企业职工数据、财务数据等;三是电网企业的运营数据,主要包括客户信息、客户用电数据、电费数据等。电力信息化委员会进行了专项研究,并提出电网企业大数据具有3V、3E特征。
(1)数据体量大(Volume):电网企业数据体量超大,并随着智能电网的发展不断扩增。当前,中国电网企业已经采集了135TB的数据,并以每年90TB的数据在不断增长,规模十分庞大。
(2)数据类型多(Varity):随着智能电网的不断发展,电网企业大数据类型也在不断扩增,除了传统的结构化数据,以视频、音频、文本为主的非结构化数据也在迅速增长,这对现有的数据分析技术提出了新的挑战。
(3)数据速度快(Velocity):电力生产、传输、使用速度十分迅速,其产生的相关数据对“实时性”需求也十分紧迫,例如电力调度、运维数据必须进行实时处理,这直接关系到电网企业的公共服务质量。
(4)数据即能量(Energy):电网企业大数据的产生与应用,就是电力能量不断的释放过程,对电网企业大数据的分析、处理与优化,就是对基础能源与基础设施的优化改进。
(5)数据即交互(Exchange):电网企业大数据的生产与利用,实质上是与外部国民经济、社会成员不断的数据交互,其具有显著的交互特性。
(6)数据即共情(Empathy):电网企业作为基础服务行业,应不断改进电网企业工作模式,建立电网企业与用户的情感联系,增进两者共情。
3.2 电网企业大数据安全威胁分析
大数据在电网企业具有广阔的应用前景与市场需求,电网企业大数据势必会推动电网企业向着更为优质、高效的服务方向前进。同时,大数据时代的到来,对电网企业的安全带来了一些新的威胁与挑战,如何构建多层次的安全防护体系,是未来电网企业发展中必须面临的重要问题。
大数据时代下电网企业工作模式如图1所示:(1)电网企业物理设施采用分布式的物理部署方式,主要维持日常的电力生产、输电、变电、配电、用电等操作,并利用设备监控系统不断实时采集所需数据,传输至电网企业大数据中心。同时,企业应用平台所需的非设备数据也将不断采集与传输至电网企业大数据中心,为应用平台的运行提供数据支撑;(2)电网企业大数据中心提供云存储与云计算功能(也可将两者分离),为企业应用平台提供所需的数据与计算服务;(3)面向不同的应用(电力运维、电力分配、企业管理、市场分析等),企业应用平台进行相应的数据分析与处理,自动优化与管理电力物理设施,提高电网企业的运行效率。本文对电网企业存在的主要安全威胁进行了系统分析,主要包括三个方面内容。
(1)电网企业物理安全威胁。电网企业拥有大量的物理设备,包括变电站、输配电线路等物理设备,这些设备是电网企业的核心,其安全性必须得到高度重视。随着网络物理系统(CPS:Cyber Physical Systems)与大数据在电网企业的不断应用,越来越多的安全问题随之产生。监控与数据采集系统(SCADA)是承载电力物理实体与网络空间的连接纽带,往往成为物理攻击的重点突破方向。2010年,“震网”病毒武器通过网络对伊朗布什尔核电站发动攻击,导致伊朗浓缩铀工程约1/5的离心机报废,极大延迟了伊朗的核进程,并开启了世界各国对网络物理系统安全的重视与管控。
(2)电网企业平台安全威胁。电网企业的信息化程度越来越高,除了传统的电力调度管理信息系统(DMIS)、企业管理信息系统(MIS)、企业办公自动化系统(OAS)等信息平台之外,电网企业大数据平台将会成为未来电网企业的核心公共平台,它将对现有电网企业信息系统进行数据接入,通过统一的数据融合、分析挖掘、可视化等功能服务建设,实现对电网企业的优化配置。同时,以上电网企业平台连接于不同安全等级的网络中,在安全建设方面仍然存在一定的技术缺陷与安全隐患,随着病毒、木马、DDOS攻击、APT攻击等先进网络攻击手段的技术提升,电网企业平台安全成为未来电力系统能够高效、稳定运行的关键。
(3)电网企业数据安全威胁。电网企业大数据中心的建设旨在将电网企业数据进行集中汇总,实现数据采集、存储、分析与应用等服务。同时,大数据自身存在的安全威胁不可避免的影响未来电网企业的安全建设与应用,主要包括电网企业大数据云存储环境安全、电网企业大数据用户隐私安全、电网企业大数据可控共享安全等众多问题,这对未来电网企业大数据的建设应用提出了较高的需求。
4 电网企业纵深防护策略
针对大数据时代下电网企业的安全威胁,根据常见的网络攻击及电网企业信息化建设情况,本文从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面提出如图2所示的纵深防护策略,形成具有层次特性的电网企业安全防护体系,提高大数据时代下的电网企业安全。与此同时,在管理层面开展相关的保障措施以保证防护工作的顺利开展。
4.1 物理环境安全防护
电网企业物理环境根据设备部署安装位置的不同,选择相应的防护措施。大数据时代下的电网企业物理环境安全防护策略具体所述。
(1)室内物理环境要按照国家电网公司信息化工程的安全防护总体方案,并按照等级保护对应安全等级的物理安全要求进行防护,确保电网企业室内物理设备安全。
(2)室外物理设备如采集器、集中器、表计、信息采集类终端等,其主体需安装于室外设备机柜/机箱中,其安全防护要求应遵循国家相关工业安全标准。同时,室外物理设备还需满足国家对于电气、环境、噪音、电磁、防腐蚀、防火、防雷、电源等要求。
4.2 终端安全防护
电网企业拥有配电网子站、信息内外网办公计算机、移动作业类设备等多种类型终端,对于不同终端,需要根据具体终端的类型、应用环境以及通信方式等选择适宜的防护措施,具体的终端安全防护策略如下所述。
(1)配电网子站终端需要配置安全模块,对来源于主站系统的控制命令和参数设置指令采取安全鉴别和数据完整性验证措施,以防范冒充主站对子站终端进行攻击,恶意操作电气设备。
(2)信息内外网办公计算机终端需按照国家信息安全等级保护的要求实行分类分级管理,根据确定的等级实施必要的安全防护措施。例如,内网终端关闭FTP、Telnet等具有安全风险的服务,统一安装杀毒软件,定时更新病毒库与漏洞补丁,有效防范木马、蠕虫等恶意程序入侵。
(3)移动作业类终端严格执行公司办公终端严禁“内外网机混用”原则,移动终端接入内网需采用软硬件相结合的加密方式接入,确保移动终端的接入安全。
4.3 边界安全防护
电网企业网络具有分层分区的特点,例如用于电力生产的电网生产控制大区,用于企业管理的管理信息大区等,在不同区的网络边界需要加强安全防护,使边界的内部不受来自外部的攻击,具体的防护策略涉及几个方面。
(1)在电网生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向单向安全隔离装置,隔离强度应接近或达到物理隔离。对于重点防护的调度中心、发电厂、变电站,在生产控制大区与广域网的纵向连接处,应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置,或者加密认证网关及相应设施,实现双向身份认证、数据加密和访问控制。
(2)在管理信息大区内部,审核不同业务网络密级与安全等级,在网络边界进行相应的隔离保护。按照业务网络的安全等级、用途以及实时性需求等评价指标,对关键核心业务网络与其他网络进行安全隔离,实现内部网与外部网的资源访问限制。其中,可以采用的安全隔离技术包括三类:(a)物理隔离技术,在物理上将内部网与外部网分离,阻断内外网之间的连接;(b)协议隔离技术,在内外网的连接端点处,配置协议隔离器实现内外网的连通与阻断;(4)防火墙隔离技术,在内外网之间设置防火墙,利用防火墙配置实现数据流的检测、限制与阻断,实现内外网之间的逻辑隔离。
4.4 网络安全防护
网络是连接电网企业物理设备、应用平台与数据的基础环境,是整个电网企业正常运转的重要保障。当前电网企业主要采用专用网络和公共网络相结合的网络结构,其中专用网络用以支撑电网企业的设备管理、调度管理、生产管理、资源管理等核心业务,并且不同业务的基础网络享有不同密级与安全等级,需要采取不同的防护策略。大数据时代下,电网企业的业务网络将会不断拓展,安全风险不断增加,具体的防护策略如下所述。
(1)对网络设备、网络基础服务、网络业务信息流等基础网络环境加强安全防护,采用访问控制、安全加固、监控审计、身份鉴别、入侵检测、资源控制等措施进行网络环境安全防护。
(2)针对信息资源的安全交换需求,构建电网企业的业务虚拟专网(VPN)。在电网企业网络中,有些重要数据与信息需要安全通信,考虑成本因素,建议在已有基础网络中建立安全通信机制,此时应采用VPN技术。VPN采用隧道、信息加密、用户认证、访问控制等相关技术,建立数据加密的虚拟网络隧道进行信息传输,能够有效防止敏感数据的窃取。
(3)采用先进的网络防护技术,增强网络的安全性与弹性。网络弹性是指网络在遇到灾难事件时快速恢复和继续运行的能力,建立电网企业基础网络的一体化感知、检测、响应和恢复机制,采取硬件冗余、网络叠加、虚拟化等方法提高企业网络弹性。
4.5 应用平台安全防护
电网企业应用平台安全直接关系到各业务应用的稳定运行,对电网企业应用平台进行安全防护,可以有效避免电力业务的阻断、扰乱、欺骗等破坏行为。为此,本文提出几种防护策略。
(1)加强应用平台的安全测评,确保应用平台的安全可靠。在应用平台投入使用前,应依赖第三方开展测评,对应用系统进行全面、系统的安全风险评估,并制定相应的安全保障措施,确保应用平台的安全可靠。
(2)加强应用平台的访问权限与访问控制。可以选择采用下列访问控制技术:基于动态和控制中心的访问控制、基于属性的访问控制、基于域的访问控制、基于角色的访问控制等。
(3)记录应用平台操作日志,便于调查取证与追踪溯源。可以对用户的访问记录、操作记录等信息进行归档存储,防范内部人员进行异常操作,为安全事件分析提供取证与溯源数据。
4.6 数据安全防护
大数据时代下电网企业,是以数据为中心进行电力的生产、传输与应用,因此,数据是电网企业的核心资源,需要受到高度重视。目前,大数据的应用尚不成熟,相关技术产品也存在很多安全问题,尤其是大数据的隐私保护、数据存储安全、数据访问安全、数据追踪溯源等问题,仍然制约与困扰着大数据的发展。本文提出如下安全策略,用以提升电网企业大数据的安全应用。
(1)加强电网企业数据的隐私安全,提高电网企业的可信度。电网企业拥有近乎国家人口规模的用户数据,这些数据不仅包含个人的隐私信息,而且还包括个人、家庭的电力消费行为信息,如果数据不妥善处理,会对用户造成极大的危害。为了保护电网企业数据的隐私安全,此处可采用的措施包括:(a)数据分享、分析、时进行匿名保护;(b)隐私数据存储加密保护。
(2)强化数据存储安全,提高大数据的应用安全。大数据一般在云端存储,主要采用分布式文件系统技术。为了提高电网企业大数据的安全性,在对云存储环境进行安全防护的前提下,还需要对电网关键数据与核心数据进行冗余备份,提高电网企业大数据存储的安全性能。
(3)严格控制数据访问权限,有效抵制外部恶意行为。针对电网企业大数据的应用现状,对大数据用户进行分类与角色划分,明确各角色的数据访问权限,规范各级用户的访问行为,确保不同等级密级数据的读、写操作,有效管理云存储环境下的电网企业大数据安全。
4.7 大数据安全技术
应该大力发展基于大数据信息安全技术的研究,提升企业网络与信息安全水平。在网络安全防范方面,内部威胁大于外部威胁,应积极研究网络内部人员威胁探测技术、异常检查技术以及运用图形分析和认知主动发现威胁技术等;另外针对那些使用过程中保持加密状态的数据,开发加密数据编程计算技术,使加密数据状态的数据仍然能使用在云环境中,客服大数据云计算环境中的信息安全问题;开发数据管理架构和处理工具,包括用于自动识别重大异常事件的大数据云存储与分析技术,提供电网持续监控系统的安全性,任务数据的可用性与可靠性性,减少对审计日志的时间和资源消耗,实现多种分析方法,提供日志脚本的实现、开发与支持;针对外部威胁,定义恶意软件和定向攻击等漏洞,创建通过分析Web、防火墙等其它硬件设备日志来应对恶意软件和网络漏洞威胁的分析方法等技术。
4.8 管理层面
在以数据为中心的新型电力系统构建与应用过程中,应首先从电力大数据政策法规层面建立相应的安全防护策略,规范电力企业的总体安全防护能力,约束与管理整个行业的安全操作行为,确保物理安全与管理安全。
(1)着眼统一认识,明确安全防护遵循原则,制定相应管理规定。为确保电力企业的安全管理,应从战略的角度开展行业整体安全理论研究,从安全认识、建设原则、工作思路等多个方面进行专项研究,制定整个行业的安全管理规定,宏观指导大数据时代下各电力企业的建设、管理与工作。
(2)制定行业标准,指导与规范电力系统安全管理。从技术的角度出发,制定电力行业信息安全系列标准,对不同的应用与系统进行分类,并设置不同的安全等级与防护措施,指导电力系统安全建设与管理。
(3)聚焦关键设施,建设专职安全防护力量,确保电力系统稳定运行。为了有效防护电力系统安全,应对电力系统关键基础设施进行隔离保护,设置安全管理机构,建立专职的安全运维与防护力量,保证电力系统的稳定运行。
(4)加强岗位培训,提高电力员工信息安全防护能力。严格执行电力企业员工岗位培训制度,分别对管理层、技术层和职工层进行针对性的安全教育与培训,对关键岗位人员、专业防护人员进行信息安全知识和安全法规教育,并定期进行安全检查与考核。
5 结束语
大数据在推动电网企业不断向前发展的同时,也为电网企业的转型发展与应用创新带来了新的威胁与安全隐患。本文对电网企业面临的安全威胁进行了系统分析,从电网企业的物理环境安全防护、终端安全防护、边界安全防护、网络安全防护、应用平台安全防护、数据安全防护等技术层面,提出了相应的安全防护策略。本文的研究能够为未来电网企业大数据的安全建设与应用提供有效的指导,相应的防护策略与方法有待在进一步探索与实践中不断优化与改进。
参考文献
[1] James Manyika,MichaelChui,BradBrown,etc. Big data:The next frontier for innovation, competition, and productivity[R]. USA:McKinsey Global Institute,2011.
[2] 中国电机工程学会电力信息化委员会.中国电力大数据发展白皮书[R].中国电力出版社,2013.
[3] 张培,杨华飞,许元斌.电力大数据及其在电网公司的应用[J].中国电机工程学报,2014(z1):85-92.
[4] 高新华,王文,马晓.电力信息网络安全隔离设备的研究[J].电网技术,2003,27(9)69-72.
[5] 王保义,王蓝婧电力信息系统中基于属性的访问控制模型的设计[J].电力系统自动化,2007,31(7):81-84.
[6] Celia Li,Cungang Yang,Todd Mander,Richard Cheung.Advanced Security Model for Power System Computer Networks[C].Power Engineering Society General Meeting,2005,1115-1122.
作者简介:
蒋明(1979-),男,安徽淮北人,华北电力大学计算机科学与技术专业,工学学士,现任国网安徽省电力公司信通公司信息通信运检中心副主任,高级工程师;主要工作业绩: 负责电力信息化运行和管理工作,多次获得安徽省电力公司科技进步奖和群众性创新奖。