計算機安全技術(shù)在電網(wǎng)信息管理論文

　　本文對目前電廠信息建設(shè)中若干核心系統(tǒng)安全事故進行了分析，闡述了內(nèi)網(wǎng)核心系統(tǒng)信息安全防護解決方案及技術(shù)原理，介紹了S-NUMEN系統(tǒng)的技術(shù)特點及在電廠MIS中應(yīng)用情況。

　　一、目前電力行業(yè)核心系統(tǒng)安全事故及原因分析

　　(1)某電廠，電腦高手入侵MIS主機，更改主機配置，造成2臺MIS數(shù)據(jù)庫服務(wù)器同時宕機。(電廠內(nèi)部人通過UNIX學(xué)習(xí)，攻擊內(nèi)部核心服務(wù)器，并且獲得管理員權(quán)限。試圖修改雙機熱備主副機配置，造成業(yè)務(wù)宕機，為了掩蓋自己的入侵行為退出時刪除系統(tǒng)日志。)

　　(2)A某電廠，電腦高手多次入侵MIS主機，更改重要的生產(chǎn)數(shù)據(jù)。

　　(3)B某電廠，多次發(fā)現(xiàn)內(nèi)部人員誤操作，并且非法入侵MIS主機。

　　(4)某市電力調(diào)度，安全區(qū)I通信服務(wù)器由于廠家(KD公司)開發(fā)的軟件系統(tǒng)出現(xiàn)緩沖區(qū)溢出漏洞，造成核心服務(wù)器宕機(重啟等現(xiàn)象)，并且無法與南網(wǎng)公司進行數(shù)據(jù)通訊，造成特大事故。

　　(5)某省電力某營銷，電腦高手入侵主機的計費系統(tǒng)，更改電費數(shù)據(jù)。

　　通過大量的行業(yè)事故可以看出，這些事故主要是針對于核心系統(tǒng)的攻擊或者破壞。并且每一次成功的入侵都會對系統(tǒng)造成極大的損失，其中業(yè)務(wù)終止或數(shù)據(jù)庫系統(tǒng)被入侵造成的損失更是巨大。

　　發(fā)生這些事故的主要原因是：在核心的主機系統(tǒng)沒有做安全防護：①美國出口中國的操作系統(tǒng)的安全級別低，只是C2級別的，更高級別的操作系統(tǒng)不出口中國，這種C2級別系統(tǒng)本身就有很多的漏洞，入侵者很容易通過這些系統(tǒng)漏洞侵入主機。②很多用戶的核心業(yè)務(wù)服務(wù)器，由于本身業(yè)務(wù)原因，不能及時安裝由操作系統(tǒng)廠商提供的補丁，造成利用漏洞攻擊核心系統(tǒng)的風(fēng)險增加。

　�、劬W(wǎng)絡(luò)級(防火墻、入侵檢測)或應(yīng)用級(殺毒、網(wǎng)管)安全產(chǎn)品只能實現(xiàn)網(wǎng)絡(luò)邊界處或應(yīng)用層的保護，不能保護核心系統(tǒng)。④在信息化建設(shè)的過程中，接觸主機的外部人員多(如設(shè)備的調(diào)試安裝)，對信息安全造成一定威脅。⑤主機上運行的是用戶的重要數(shù)據(jù)、文件和關(guān)鍵的業(yè)務(wù)、進程，對系統(tǒng)可靠性要求更高。

　　二、核心系統(tǒng)安全防護解決方案

　　(一)技術(shù)原理

　　Unix操作系統(tǒng)有一個系統(tǒng)調(diào)用表，包含指向每個系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)�資源的訪問、對硬件設(shè)備的使用、進程間的通訊都是通過系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針，并把這些系統(tǒng)調(diào)用重定向到S-NUMEN的相應(yīng)代碼。當(dāng)用戶或程序執(zhí)行一個與安全有關(guān)的系統(tǒng)調(diào)用時，S-NUMEN系統(tǒng)調(diào)用代碼會檢查S-NUMEN數(shù)據(jù)庫。如果調(diào)用是被授權(quán)的，S-NUMEN調(diào)用原來的Unix系統(tǒng)調(diào)用。否則，安全內(nèi)核返回權(quán)限錯誤，禁止該請求。

　　這種實現(xiàn)方式與應(yīng)用級的安全產(chǎn)品比較有著明顯的優(yōu)勢。系統(tǒng)入侵檢測產(chǎn)品作為應(yīng)用層產(chǎn)品出于本身安全性考慮以及功能上無法到達(dá)系統(tǒng)保護的功能。網(wǎng)絡(luò)級入侵檢測產(chǎn)品和防火墻作為網(wǎng)絡(luò)級安全產(chǎn)品從技術(shù)原理上講不具備內(nèi)網(wǎng)核心安全的要求。

　　同時，S-NUMEN產(chǎn)品與其他系統(tǒng)保護產(chǎn)品的優(yōu)勢在于它不需要修改操作系統(tǒng)內(nèi)核并且無需重啟系統(tǒng)，這種方式完全滿足現(xiàn)有高端服務(wù)器的要求。而其它系統(tǒng)保護產(chǎn)品不但使系統(tǒng)管理和支持復(fù)雜了，也會違背操作系統(tǒng)的供應(yīng)商授權(quán)-使操作系統(tǒng)維護更困難，增加了巨大的開支。

　　(二)S-NUMEN技術(shù)特征

　　當(dāng)防火墻、入侵檢測、VPN等網(wǎng)絡(luò)級安全產(chǎn)品不能滿足日益受到威脅的內(nèi)網(wǎng)核心安全時，S-NUMEN作為系統(tǒng)級系統(tǒng)保護產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來自于內(nèi)、外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在電腦高手及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。S-NUMEN能夠防止非授權(quán)的訪問，使內(nèi)網(wǎng)核心服務(wù)器安全運行。

　　S-NUMEN是系統(tǒng)級安全產(chǎn)品，在加強操作系統(tǒng)安全的同時，并不對系統(tǒng)的內(nèi)核進行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩(wěn)定運行。除此之外，在服務(wù)器安裝S-NUMEN后，系統(tǒng)無需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。

　　操作系統(tǒng)訪問控制以及操作系統(tǒng)漏洞的最佳策略是任務(wù)分離和最小權(quán)限原則。S-NUMEN通過RBAC(角色訪問控制)、MAC(強制訪問控制)將安全管理員的權(quán)限分離。嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制系統(tǒng)管理員的權(quán)限，來防止內(nèi)外人員通過非法獲得系統(tǒng)管理員權(quán)限破壞文件系統(tǒng)信息。

　　三、S-NUMEN產(chǎn)品功能

　　(1)數(shù)字簽名認(rèn)證功能：為了達(dá)到內(nèi)網(wǎng)核心安全的目的，S-NUMEN采用了數(shù)字簽名證書為基礎(chǔ)并結(jié)合訪問控制的技術(shù)。當(dāng)安全內(nèi)核安裝后，沒有通過數(shù)字簽名證書認(rèn)證的用戶，即使獲得了管理員權(quán)限，也不能訪問被安全內(nèi)核保護的資源。S-NUMEN通過接管系統(tǒng)所有訪問控制權(quán)限，實際上取消了“超級用戶”(root)權(quán)限，通過使用數(shù)字簽名證書認(rèn)證機制，達(dá)到用戶認(rèn)證目的。用戶或者其他非法入侵者即使獲得了超級用戶口令也無法訪問系統(tǒng)重要資源。

　　(2)帳號管理功能：S-NUMEN提供遠(yuǎn)程站點的unix用戶帳戶及組管理功能。S-NUMEN在內(nèi)核層基于證書進行認(rèn)證，提高安全強度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書得到認(rèn)證。

　　(3)口令質(zhì)量控制功能：S-NUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項功能實現(xiàn)密碼的質(zhì)量控制，如：設(shè)置密碼的最大長度和最小長度，密碼中出現(xiàn)的特殊字符的最少數(shù)量，當(dāng)口令更改后，該密碼的使用期限等。通過S-NUMEN與系統(tǒng)結(jié)合，S-NUMEN提供了對用戶登錄口令的管理，S-NUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限&密碼登錄限制和密碼格式。

　　(4)網(wǎng)絡(luò)控制服務(wù)： S-NUMEN網(wǎng)絡(luò)控制具備了系統(tǒng)防火墻功能，該功能控制遠(yuǎn)程對服務(wù)器IP或服務(wù)的訪問。通過功能強大的網(wǎng)絡(luò)服務(wù)及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。S-NUMEN 提供的系統(tǒng)防火墻功能允許對TCP、UDP以及ICMP等數(shù)據(jù)包進行內(nèi)外訪問的控制，并且可以對以用戶為主體進行網(wǎng)絡(luò)訪問控制。

　　此外，S-NUMEN還具有程序自動權(quán)限設(shè)置、Setuid 控制-特權(quán)程序控制、日志系統(tǒng)及設(shè)置等功能。

　　四、S-NUMEN系統(tǒng)在某電廠的應(yīng)用

　　某電廠MIS系統(tǒng)項目作為某集團公司關(guān)于電廠管理信息化的重點工程，在電力行業(yè)管理信息系統(tǒng)應(yīng)用方面具有很好的代表性。通過對運行關(guān)鍵業(yè)務(wù)的電廠生產(chǎn)期實施防護，給某電廠帶來了很好的效益。通過對操作系統(tǒng)安全級別提升，使小型機服務(wù)器安全性更好，同時使整個網(wǎng)絡(luò)的安全性更加健壯，核心業(yè)務(wù)運行穩(wěn)定性增加，重要數(shù)據(jù)文件LOG日志安全得到保障，工作效率得到很大的提高，隨著內(nèi)網(wǎng)核心系統(tǒng)防護的實施必將進一步推進某電廠信息安全的發(fā)展，從而推動某電廠系統(tǒng)業(yè)務(wù)的穩(wěn)定運行。

【計算機安全技術(shù)在電網(wǎng)信息管理論文】相關(guān)文章：

計算機應(yīng)用技術(shù)的信息管理整合論文06-10

計算機信息管理論文11-05

計算機信息管理論文05-16

[優(yōu)]計算機信息管理論文15篇07-16

計算機信息管理論文15篇[實用]05-24

計算機信息安全論文09-15

計算機信息安全論文05-21

計算機應(yīng)用技術(shù)論文06-08

計算機信息安全論文【精華】11-14

對于計算機網(wǎng)絡(luò)安全的入侵檢測技術(shù)分析論文11-01