水電站梯級調(diào)度網(wǎng)絡(luò)的運(yùn)行管理探討

水電站梯級調(diào)度網(wǎng)絡(luò)的運(yùn)行管理探討

摘要：立足于梯級水電站調(diào)度網(wǎng)的實際，圍繞系統(tǒng)網(wǎng)絡(luò)安全，提出安全管理策略。

關(guān)鍵詞：水電站；梯級調(diào)度網(wǎng)絡(luò)；管理

1運(yùn)行管理的安全原則

制定并不斷完善公司專用的安全策略。為了保護(hù)網(wǎng)絡(luò)安全，最重要的事情就是編寫安全策略，描述要保護(hù)的對象，保護(hù)的理由，以及如何保護(hù)它們。安全策略的內(nèi)容最好具有可讀性，同時，注意哪些是保密的，哪些是可以公開的。此外，應(yīng)嚴(yán)格執(zhí)行。最后，必須隨時保持更新。

安全防范應(yīng)基于技術(shù)、動機(jī)和機(jī)會3個方面考慮，以減少攻擊者的成功率。從技術(shù)上講，系統(tǒng)應(yīng)同時需要相當(dāng)高的通用技術(shù)和專用技術(shù)，從而避免不同級別的人員濫用系統(tǒng)。攻擊者的動機(jī)方面，應(yīng)消除攻擊者的滿足程度，使其感到受挫。每次攻擊失敗時，安全系統(tǒng)讓攻擊者移動到網(wǎng)絡(luò)系統(tǒng)的其它地方，使攻擊者工作很辛苦。

應(yīng)盡可能少地向攻擊者提供可攻擊的機(jī)會。首先關(guān)閉不用或不常用的服務(wù)，需要時再打開。第二，訪問控制權(quán)限的管理應(yīng)合理。第三，系統(tǒng)應(yīng)能自我監(jiān)視，掌握違反策略的活動。第四，一旦發(fā)現(xiàn)問題，如果有補(bǔ)救措施，應(yīng)立刻采用。第五，如果被保護(hù)的服務(wù)器不提供某種服務(wù)，如FTP，那么，應(yīng)封鎖FTP請求。

安全只能通過自己進(jìn)行嚴(yán)格的測試，才能達(dá)到較高的安全程度。因為每個人都可能犯錯誤，只有通過完善的安全測試，才能找到安全系統(tǒng)的不足。要做到主動防御和被動防御相結(jié)合，應(yīng)能提前知道自己被攻擊。如果知道自己被攻擊，其實已經(jīng)贏了一半。安全系統(tǒng)不但防御攻擊者，同時防御他們的攻擊。因為攻擊者經(jīng)常失敗后就換個地方，再次實行新的攻擊，因此，不但防御攻擊的源地址，同時防御主機(jī)周圍靈活選擇的范圍。

戰(zhàn)時和訓(xùn)練相結(jié)合，也就是說，主動防御必須嚴(yán)格測試，并不斷改進(jìn)。同時，安全軟件的選擇應(yīng)基于應(yīng)用的重要性和產(chǎn)品的更新周期，保證安全系統(tǒng)應(yīng)能跟上新技術(shù)的發(fā)展。應(yīng)經(jīng)常維護(hù)、定期測試和檢查防御系統(tǒng)的每一個部件，避免安全系統(tǒng)的能力退化。

在企業(yè)內(nèi)部，應(yīng)讓每一為員工都深刻理解安全是大家的事，不是口號，而是警告，安全和業(yè)務(wù)可能有沖突，最好能夠得到領(lǐng)導(dǎo)和業(yè)務(wù)人員的理解和支持。安全管理過程中，對人員的信任應(yīng)合理、明智，不能盲目信任。在企業(yè)的安全防御系統(tǒng)中，除了采用常規(guī)的防御方案，應(yīng)盡可能采用一些適合行業(yè)特點的新方案，對攻擊者而言，也就多了一層堡壘。要有運(yùn)行規(guī)范，包括管理制度、審計評估、網(wǎng)絡(luò)安全規(guī)劃、工程管理、安全監(jiān)督和災(zāi)難恢復(fù)。

2運(yùn)行管理的組織結(jié)構(gòu)

為實現(xiàn)整個梯級調(diào)度的網(wǎng)絡(luò)安全，需要各種保證網(wǎng)絡(luò)安全的手段。網(wǎng)絡(luò)安全功能的實現(xiàn)，必須從安全管理功能和管理員的職責(zé)上結(jié)合。企業(yè)的調(diào)度中心的信息部門應(yīng)成立安全系統(tǒng)運(yùn)行小組管理整個安全系統(tǒng)的運(yùn)行，負(fù)責(zé)完成全企業(yè)的安全系統(tǒng)總體運(yùn)行方案的編制，負(fù)責(zé)安全管理中心的建設(shè)，制訂全企業(yè)范圍的安全管理規(guī)范，對相關(guān)人員進(jìn)行基本培訓(xùn)，指導(dǎo)各電站完成其安全系統(tǒng)的運(yùn)行。應(yīng)有專人負(fù)責(zé)網(wǎng)絡(luò)安全，成立網(wǎng)絡(luò)安全管理組，其成員包括領(lǐng)導(dǎo)、系統(tǒng)管理員、網(wǎng)絡(luò)工程師以及網(wǎng)絡(luò)安全專家等組成。

3運(yùn)行管理的培訓(xùn)支持

建立安全教育培訓(xùn)體系

為企業(yè)建立信息安全教育培訓(xùn)的制度，包括安全教育政策制訂、安全教育計劃制訂和安全教育實施支持方案。此外，文檔包括《企業(yè)信息安全組織管理》、《企業(yè)信息安全人員崗位指南》和《企業(yè)信息安全教育培訓(xùn)體系》。

提供教育培訓(xùn)課程

安全基礎(chǔ)培訓(xùn)。

對象：企業(yè)全部與網(wǎng)絡(luò)安全相關(guān)的人員。

容：系統(tǒng)安全、網(wǎng)絡(luò)安全及增強(qiáng)安全意識的重要性、主要網(wǎng)絡(luò)安全威脅、網(wǎng)絡(luò)安全層次、網(wǎng)絡(luò)安全度量、主機(jī)安全、黑客進(jìn)攻步驟、安全防范措施和商用安全產(chǎn)品分類等。

目標(biāo)：增強(qiáng)系統(tǒng)管理員的安全意識，基本了解安全的實際要領(lǐng)，能夠分辯出系統(tǒng)中存在的安全問題。

Unix/Windows系統(tǒng)安全管理培訓(xùn)。

對象：公司安全相關(guān)的系統(tǒng)管理員。

內(nèi)容：掌握Unix/Windows系統(tǒng)的安全策略，常見的攻擊手段分析，各種流行安全工具的使用，在實驗環(huán)境中實際編譯、配置和使用各種安全工具。

目標(biāo)：能夠獨(dú)立配置安全系統(tǒng)，獨(dú)立維護(hù)Unix/Windows系統(tǒng)安全。在沒有防火墻的情況下，使Unix/Windows系統(tǒng)得到有效的保護(hù)。

防火墻、入侵檢測、安全掃描、防病毒和加密等技術(shù)方面的培訓(xùn)課程。

對象：企業(yè)的安全運(yùn)行和管理人員。

內(nèi)容：安全軟件和設(shè)備的基本概念和原理、作用與重要性、局限性、分類、安全設(shè)備安全策略、設(shè)計、自身的安全與日常維護(hù)、安全設(shè)備代表產(chǎn)品的演示和上機(jī)。

目標(biāo)：了解Internet防火墻的基本概念，基本原理和基本的設(shè)計方法。能夠?qū)Π踩O(shè)備作日常維護(hù)。能夠根據(jù)系統(tǒng)需求，做出相應(yīng)的安全設(shè)備設(shè)計。能夠?qū)ΜF(xiàn)有安全產(chǎn)品有一定的了解。

要求：具有基本UNIX/Windows，TCP/IP的知識，了解網(wǎng)絡(luò)設(shè)計常識。

安全開發(fā)培訓(xùn)課程。

對象：應(yīng)用系統(tǒng)設(shè)計開發(fā)中與安全相關(guān)的人員。

內(nèi)容：TCP/IP協(xié)議和傳統(tǒng)Socket編程、IPSpoofing的詳細(xì)剖析、StackOverflow的詳細(xì)剖析、其他流行進(jìn)攻方法IPSniff：Sniff，DenyofService，ConnectionKilling，IPhijacking等的解釋、并配有實驗。

目標(biāo)：使系統(tǒng)管理員掌握黑客進(jìn)攻的手段、原理和方法；并能在實際工作中保護(hù)系統(tǒng)的安全性。

安全人員考核

協(xié)助企業(yè)建立信息安全人員考核體系，包括制訂信息安全人員考核標(biāo)準(zhǔn)和建立安全相關(guān)人員定期的評估和考核制度。此外，文檔包括《企業(yè)信息安全人員考核體系》。

4運(yùn)行管理的技術(shù)服務(wù)

可選擇一家正規(guī)的、專業(yè)的、技術(shù)實力較強(qiáng)的公司，長期面向企業(yè)提供安全運(yùn)行的技術(shù)服務(wù)，具體來說包括：在IT行業(yè)，網(wǎng)絡(luò)安全具有自己的特點，即黑客攻擊隨時可能進(jìn)入，新病毒每天都在產(chǎn)生，也就是說，沒有絕對安全，安全是一個不斷完善的過程。水電站的控制較復(fù)雜且系統(tǒng)很多，地域較廣，而安全涉及到的產(chǎn)品也很多，集成商將它們實施后，必須有一個安全小組來負(fù)責(zé)安全的運(yùn)行。安全的運(yùn)行也需要經(jīng)驗和規(guī)范，專業(yè)服務(wù)公司可以協(xié)助公司保證網(wǎng)絡(luò)安全系統(tǒng)的成功運(yùn)行。企業(yè)的信息系統(tǒng)的建設(shè)過程中，新系統(tǒng)不斷加入，需要對安全重新進(jìn)行評估和漏洞掃描，找出問題，并及時給以解決。安全的培訓(xùn)和宣傳工作也很重要，工作量也是相當(dāng)大的，最好有比較固定的人員和機(jī)構(gòu)負(fù)責(zé)安全的培訓(xùn)。安全產(chǎn)品包括軟件和硬件，當(dāng)產(chǎn)品升級時，公司最好及時升級，尤其是病毒防御。

企業(yè)所選擇的專業(yè)安全服務(wù)公司的服務(wù)程序是：首先，從安全系統(tǒng)的實施開始介入，監(jiān)督系統(tǒng)的可管理、可運(yùn)行，保證系統(tǒng)可以從系統(tǒng)實施平滑到系統(tǒng)的運(yùn)行。其次，安全相關(guān)的新技術(shù)和新產(chǎn)品的跟蹤，并定期向企業(yè)報告，協(xié)助企業(yè)采用新技術(shù)和新產(chǎn)品。再次，完善企業(yè)的安全運(yùn)行規(guī)范和制度，制定出一套適合企業(yè)的簡潔的、實用的安全規(guī)范和制度，避免紙上談兵。安全涉及的軟硬件產(chǎn)品的技術(shù)支持，保證安全系統(tǒng)7X24運(yùn)行。全產(chǎn)品升級過程中的方案設(shè)計、測試和技術(shù)支持。最后，整個安全系統(tǒng)運(yùn)行過程中的風(fēng)險管理，以及避免/降低和解決風(fēng)險措施的制定。負(fù)責(zé)安全系統(tǒng)相關(guān)的培訓(xùn)工作，有計劃、有目的地提高企業(yè)的安全意識和安全水平。

參考文獻(xiàn)

[1]國