水電站梯級調度網絡管理的論文

1運行管理的安全原則

（1）制定並不斷完善公司專用的安全策略。為了保護網絡安全，最重要的事情就是編寫安全策略，描述要保護的對象，保護的理由，以及如何保護它們。安全策略的內容最好具有可讀性，同時，注意哪些是保密的，哪些是可以公開的。此外，應嚴格執行。最後，必須隨時保持更新。

（2）安全防範應基於技術、動機和機會3個方面考慮，以減少攻擊者的成功率。從技術上講，系統應同時需要相當高的通用技術和專用技術，從而避免不同級別的人員濫用系統。攻擊者的動機方面，應消除攻擊者的滿足程度，使其感到受挫。每次攻擊失敗時，安全系統讓攻擊者移動到網絡系統的其它地方，使攻擊者工作很辛苦。

（3）應儘可能少地向攻擊者提供可攻擊的機會。首先關閉不用或不常用的服務，需要時再打開。第二，訪問控制權限的管理應合理。第三，系統應能自我監視，掌握違反策略的活動。第四，一旦發現問題，如果有補救措施，應立刻採用。第五，如果被保護的服務器不提供某種服務，如FTP，那麼，應封鎖FTP請求。

（4）安全只能通過自己進行嚴格的測試，才能達到較高的安全程度。因為每個人都可能犯錯誤，只有通過完善的安全測試，才能找到安全系統的'不足。要做到主動防禦和被動防禦相結合，應能提前知道自己被攻擊。如果知道自己被攻擊，其實已經贏了一半。安全系統不但防禦攻擊者，同時防禦他們的攻擊。因為攻擊者經常失敗後就換個地方，再次實行新的攻擊，因此，不但防禦攻擊的源地址，同時防禦主機周圍靈活選擇的範圍。

（5）戰時和訓練相結合，也就是説，主動防禦必須嚴格測試，並不斷改進。同時，安全軟件的選擇應基於應用的重要性和產品的更新週期，保證安全系統應能跟上新技術的發展。應經常維護、定期測試和檢查防禦系統的每一個部件，避免安全系統的能力退化。

（6）在企業內部，應讓每一為員工都深刻理解安全是大家的事，不是口號，而是警告，安全和業務可能有衝突，最好能夠得到領導和業務人員的理解和支持。安全管理過程中，對人員的信任應合理、明智，不能盲目信任。在企業的安全防禦系統中，除了採用常規的防禦方案，應儘可能採用一些適合行業特點的新方案，對攻擊者而言，也就多了一層堡壘。要有運行規範，包括管理制度、審計評估、網絡安全規劃、工程管理、安全監督和災難恢復。

2運行管理的組織結構

為實現整個梯級調度的網絡安全，需要各種保證網絡安全的手段。網絡安全功能的實現，必須從安全管理功能和管理員的職責上結合。企業的調度中心的信息部門應成立安全系統運行小組管理整個安全系統的運行，負責完成全企業的安全系統總體運行方案的編制，負責安全管理中心的建設，制訂全企業範圍的安全管理規範，對相關人員進行基本培訓，指導各電站（廠）完成其安全系統的運行。應有專人負責網絡安全，成立網絡安全管理組，其成員包括領導、系統管理員、網絡工程師以及網絡安全專家等組成。

3運行管理的培訓支持

3.1建立安全教育培訓體系

為企業建立信息安全教育培訓的制度，包括安全教育政策制訂、安全教育計劃制訂和安全教育實施支持方案。此外，文檔包括《企業信息安全組織管理》、《企業信息安全人員崗位指南》和《企業信息安全教育培訓體系》。

3.2提供教育培訓課程

（1）安全基礎培訓。

對象：企業全部與網絡安全相關的人員。

容：系統安全、網絡安全及增強安全意識的重要性、主要網絡安全威脅、網絡安全層次、網絡安全度量、主機安全、黑的客進攻步驟、安全防範措施和商用安全產品分類等。

目標：增強系統管理員的安全意識，基本瞭解安全的實際要領，能夠分辯出系統中存在的安全問題。

（2）Unix/Windows系統安全管理培訓。

對象：公司安全相關的系統管理員。

內容：掌握Unix/Windows系統的安全策略，常見的攻擊手段分析，各種流行安全工具的使用，在實驗環境中實際編譯、配置和使用各種安全工具。

目標：能夠獨立配置安全系統，獨立維護Unix/Windows系統安全。在沒有防火牆的情況下，使Unix/Windows系統得到有效的保護。

（3）防火牆、入侵檢測、安全掃描、防病毒和加密等技術方面的培訓課程。

對象：企業的安全運行和管理人員。

內容：安全軟件和設備的基本概念和原理、作用與重要性、侷限性、分類、安全設備安全策略、設計、自身的安全與日常維護、安全設備代表產品的演示和上機。

目標：瞭解Internet防火牆的基本概念，基本原理和基本的設計方法。能夠對安全設備作日常維護。能夠根據系統需求，做出相應的安全設備設計。能夠對現有安全產品有一定的瞭解。

要求：具有基本UNIX/Windows，TCP/IP的知識，瞭解網絡設計常識。

（4）安全開發培訓課程。

對象：應用系統設計開發中與安全相關的人員。

內容：TCP/IP協議和傳統Socket編程、IPSpoofing的詳細剖析、StackOverflow的詳細剖析、其他流行進攻方法IPSniff：Sniff，DenyofService，ConnectionKilling，IPhijacking等的解釋、並配有實驗。

目標：使系統管理員掌握黑的客進攻的手段、原理和方法；並能在實際工作中保護系統的安全性。

3.3安全人員考核

協助企業建立信息安全人員考核體系，包括制訂信息安全人員考核標準和建立安全相關人員定期的評估和考核制度。此外，文檔包括《企業信息安全人員考核體系》。

4運行管理的技術服務

可選擇一家正規的、專業的、技術實力較強的公司，長期面向企業提供安全運行的技術服務，具體來説包括：

（1）在IT行業，網絡安全具有自己的特點，即黑的客攻擊隨時可能進入，新病毒每天都在產生，也就是説，沒有絕對安全，安全是一個不斷完善的過程。

（2）水電站的控制較複雜且系統很多，地域較廣，而安全涉及到的產品也很多，集成商將它們實施後，必須有一個安全小組來負責安全的運行。

（3）安全的運行也需要經驗和規範，專業服務公司可以協助公司保證網絡安全系統的成功運行。

（4）企業的信息系統的建設過程中，新系統不斷加入，需要對安全重新進行評估和漏洞掃描，找出問題，並及時給以解決。

（5）安全的培訓和宣傳工作也很重要，工作量也是相當大的，最好有比較固定的人員和機構負責安全的培訓。

（6）安全產品包括軟件和硬件，當產品升級時，公司最好及時升級，尤其是病毒防禦。

企業所選擇的專業安全服務公司的服務程序是：首先，從安全系統的實施開始介入，監督系統的可管理、可運行，保證系統可以從系統實施平滑到系統的運行。其次，安全相關的新技術和新產品的跟蹤，並定期向企業報告，協助企業採用新技術和新產品。再次，完善企業的安全運行規範和制度，制定出一套適合企業的簡潔的、實用的安全規範和制度，避免紙上談兵。安全涉及的軟硬件產品的技術支持，保證安全系統7X24運行。全產品升級過程中的方案設計、測試和技術支持。最後，整個安全系統運行過程中的風險管理，以及避免/降低和解決風險措施的制定。負責安全系統相關的培訓工作，有計劃、有目的地提高企業的安全意識和安全水平。

參考文獻

[1]國家電力監管委員會.電網二次系統安全防護規定[S]，2005.2.1

[2]（美）ChrisHareKaranjitSiyan著rnet防火牆與網絡安全[J]，劉成勇、劉明剛、王明舉等譯，機械工業出版社，2005.5

[3]信息系統安全工程學，關義章、蔣繼紅、方關寶、戴宗坤，金城出版社，2004.9