4　當前電力信息網絡安全防護對策

4.1　劃分不同層次，有針對性地進行電力信息網的安全教育

在企業安全管理中，重要的內容就是安全意識和相關技能的教育，對這些教育的實施力度直接影響企業安全策略被理解的程度和現實過程中被執行的效果。為使安全策略的執行得到有效保證，電力企業的相關管理部門應該對企業內部的所有人員進行相關的安全培訓，企業所有的人員必須對企業的安全策略有充分的了解並且嚴格地執行，在進行安全教育的具體過程中還應該對層次性和普遍性進行把握。一是對於信息安全工作管理部門的負責人，對其教育的重點則應該放在建立安全管理部門、製定安全管理製度、構成信息安全係統、信息安全整體策略和目標等。二是對信息安全運行管理和維護負責的技術人員，則應該將重點放在信息安全管理策略的充分了解、對安全評估基本方法的掌握以及合理運用安全操作和維護技術等上麵。三是對信息用戶，其重點就是對各種安全操作流程進行學習，對相關的安全策略充分的了解和掌握，當然還應該包括用戶自身所必須承擔的安全職責等。同時，對特定崗位的人員要做到進行特定的安全培訓，定期和持續性地進行相關的安全教育，最根本的解決辦法就是將安全文化在納入整個企業的文化體係建

立中。

4.2　將最先進的安全防護技術措施應用到電力信息網中

4.2.1　嚴格配置防火牆過濾規則。在企業局域網和外網之間唯一的出口是防火牆，防火牆作為內、外網互相訪問所必須通過的一道牆，絕對不允許出現內部繞過防火牆直接連接外網。在DMZ區域內對企業對外提供各種服務的服務器的放置，能夠使得服務器不受攻擊，得到有效保護。在進行防火牆的訪問策略設置的時候，必須遵循的原則是缺省全部關閉，按照需求進行開通，這樣就可以對明確拒絕許可證之外的任何服務。

4.2.2　使用物理隔離裝置。這樣的裝置主要運用於隔離電力信息網中的各個不同區域，其本質上就是專用的防火牆，但隔離的程度比防火牆更高，而且由於這樣的裝置具有不公開性，這使得該裝置受到黑客攻擊的機會很少。

4.2.3　使用網絡隱患掃描係統。這樣的係統能夠對整個網絡範圍之內的支持TCP/IP協議的所有設備進場掃描，能夠掃描多種操作係統，掃描的對象是路由交換機、防火牆、服務器、路由器、工作站等網絡設備。在對係統進行掃描的過程中，對網絡設備進行掃描可以從網絡中的不同位置進行。掃描結束後可以生成詳細的安全評估報告，指出網絡中存在的安全隱患並給出具體的處理建議。掃描結果分析則可以采取報表或者圖形的形式，這樣對於用戶進行安全性能評估和檢查顯得方便直觀。

4.2.4　構建防病毒體係。對網絡病毒進行防範，為了使電力信息網免受病毒的侵害，使網絡係統的信息可用性得到有效保證，應當從主機到服務器建立完善的防病毒體係。所建立的網絡核心為防病毒服務器，這樣就可以將查毒和殺毒部署在整個網絡中，而最新的病毒碼信息則可以讓防病毒服務器通過網絡從免疫中心及時獲得，使得病毒代碼庫得到及時更新。而對於網絡防病毒軟件的選擇必須與各種係統和數據庫平台以及應用軟件進行適應。

4.2.5　配置非法外聯報警係統。非法外聯報警係統可以有兩種配置方式。一是在內聯網絡上的每一台計算機安裝非法外聯監控軟件，一旦計算機出現非法外聯的情況，及時阻斷並向指定服務器發送報警信息。該技術的優點是能夠及時阻斷非法外聯並即時報警；缺點是每台計算機均安裝監控軟件，對客戶端配置要求較高，安裝於用戶機器上的監控軟件存在失效或被卸載的問題。二是在外網設置非法外聯報警服務器，同時在內聯網配置少量監控服務器，通過監控服務器向內網所有計算機發送監測信息包，如果信息包經某台計算機到達位於外網的非法外聯報警服務器，則及時報警，並由相關責任人立即製止非法外聯。該技術的優點是客戶端無需安裝額外軟件，資源占用少，對係統要求較低，不用擔心安裝於用戶機器上的監控軟件會失效或被卸載，便於維護；缺點是必須與強有力的製度相配合，無法及時阻斷非法外聯。考慮目前電力信息網的實際，可以采用第一種配置。