計算機安全技術(shù)在電網(wǎng)信息管理論文

　　本文對目前電廠(chǎng)信息建設中若干核心系統安全事故進(jìn)行了分析，闡述了內網(wǎng)核心系統信息安全防護解決方案及技術(shù)原理，介紹了S-NUMEN系統的技術(shù)特點(diǎn)及在電廠(chǎng)MIS中應用情況。

　　一、目前電力行業(yè)核心系統安全事故及原因分析

　　(1)某電廠(chǎng)，電腦高手入侵MIS主機，更改主機配置，造成2臺MIS數據庫服務(wù)器同時(shí)宕機。(電廠(chǎng)內部人通過(guò)UNIX學(xué)習，攻擊內部核心服務(wù)器，并且獲得管理員權限。試圖修改雙機熱備主副機配置，造成業(yè)務(wù)宕機，為了掩蓋自己的入侵行為退出時(shí)刪除系統日志。)

　　(2)A某電廠(chǎng)，電腦高手多次入侵MIS主機，更改重要的生產(chǎn)數據。

　　(3)B某電廠(chǎng)，多次發(fā)現內部人員誤操作，并且非法入侵MIS主機。

　　(4)某市電力調度，安全區I通信服務(wù)器由于廠(chǎng)家(KD公司)開(kāi)發(fā)的軟件系統出現緩沖區溢出漏洞，造成核心服務(wù)器宕機(重啟等現象)，并且無(wú)法與南網(wǎng)公司進(jìn)行數據通訊，造成特大事故。

　　(5)某省電力某營(yíng)銷(xiāo)，電腦高手入侵主機的計費系統，更改電費數據。

　　通過(guò)大量的行業(yè)事故可以看出，這些事故主要是針對于核心系統的攻擊或者破壞。并且每一次成功的入侵都會(huì )對系統造成極大的損失，其中業(yè)務(wù)終止或數據庫系統被入侵造成的損失更是巨大。

　　發(fā)生這些事故的主要原因是：在核心的主機系統沒(méi)有做安全防護：①美國出口中國的操作系統的安全級別低，只是C2級別的，更高級別的操作系統不出口中國，這種C2級別系統本身就有很多的漏洞，入侵者很容易通過(guò)這些系統漏洞侵入主機。②很多用戶(hù)的核心業(yè)務(wù)服務(wù)器，由于本身業(yè)務(wù)原因，不能及時(shí)安裝由操作系統廠(chǎng)商提供的補丁，造成利用漏洞攻擊核心系統的風(fēng)險增加。

　�、劬W(wǎng)絡(luò )級(防火墻、入侵檢測)或應用級(殺毒、網(wǎng)管)安全產(chǎn)品只能實(shí)現網(wǎng)絡(luò )邊界處或應用層的保護，不能保護核心系統。④在信息化建設的過(guò)程中，接觸主機的外部人員多(如設備的調試安裝)，對信息安全造成一定威脅。⑤主機上運行的是用戶(hù)的重要數據、文件和關(guān)鍵的業(yè)務(wù)、進(jìn)程，對系統可靠性要求更高。

　　二、核心系統安全防護解決方案

　　(一)技術(shù)原理

　　Unix操作系統有一個(gè)系統調用表，包含指向每個(gè)系統調用的內存地址的指針。應用程序對資源的訪(fǎng)問(wèn)、對硬件設備的使用、進(jìn)程間的通訊都是通過(guò)系統調用接口在操作系統內核中實(shí)現的。安全內核保存了該表中與安全有關(guān)的系統調用的指針，并把這些系統調用重定向到S-NUMEN的相應代碼。當用戶(hù)或程序執行一個(gè)與安全有關(guān)的系統調用時(shí)，S-NUMEN系統調用代碼會(huì )檢查S-NUMEN數據庫。如果調用是被授權的，S-NUMEN調用原來(lái)的Unix系統調用。否則，安全內核返回權限錯誤，禁止該請求。

　　這種實(shí)現方式與應用級的安全產(chǎn)品比較有著(zhù)明顯的優(yōu)勢。系統入侵檢測產(chǎn)品作為應用層產(chǎn)品出于本身安全性考慮以及功能上無(wú)法到達系統保護的功能。網(wǎng)絡(luò )級入侵檢測產(chǎn)品和防火墻作為網(wǎng)絡(luò )級安全產(chǎn)品從技術(shù)原理上講不具備內網(wǎng)核心安全的要求。

　　同時(shí)，S-NUMEN產(chǎn)品與其他系統保護產(chǎn)品的優(yōu)勢在于它不需要修改操作系統內核并且無(wú)需重啟系統，這種方式完全滿(mǎn)足現有高端服務(wù)器的要求。而其它系統保護產(chǎn)品不但使系統管理和支持復雜了，也會(huì )違背操作系統的供應商授權-使操作系統維護更困難，增加了巨大的開(kāi)支。

　　(二)S-NUMEN技術(shù)特征

　　當防火墻、入侵檢測、VPN等網(wǎng)絡(luò )級安全產(chǎn)品不能滿(mǎn)足日益受到威脅的內網(wǎng)核心安全時(shí)，S-NUMEN作為系統級系統保護產(chǎn)品可以保證內網(wǎng)核心服務(wù)器的安全。由于來(lái)自于內、外部的網(wǎng)絡(luò )入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò )和其他重要的服務(wù)器前所未有地暴露在電腦高手及非授權內部人員的侵入和攻擊的威脅下。S-NUMEN能夠防止非授權的訪(fǎng)問(wèn)，使內網(wǎng)核心服務(wù)器安全運行。

　　S-NUMEN是系統級安全產(chǎn)品，在加強操作系統安全的同時(shí)，并不對系統的內核進(jìn)行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩定運行。除此之外，在服務(wù)器安裝S-NUMEN后，系統無(wú)需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。

　　操作系統訪(fǎng)問(wèn)控制以及操作系統漏洞的最佳策略是任務(wù)分離和最小權限原則。S-NUMEN通過(guò)RBAC(角色訪(fǎng)問(wèn)控制)、MAC(強制訪(fǎng)問(wèn)控制)將安全管理員的權限分離。嚴格分開(kāi)系統管理員和安全管理員的權限，以控制系統管理員的權限，來(lái)防止內外人員通過(guò)非法獲得系統管理員權限破壞文件系統信息。

　　三、S-NUMEN產(chǎn)品功能

　　(1)數字簽名認證功能：為了達到內網(wǎng)核心安全的目的，S-NUMEN采用了數字簽名證書(shū)為基礎并結合訪(fǎng)問(wèn)控制的技術(shù)。當安全內核安裝后，沒(méi)有通過(guò)數字簽名證書(shū)認證的用戶(hù)，即使獲得了管理員權限，也不能訪(fǎng)問(wèn)被安全內核保護的資源。S-NUMEN通過(guò)接管系統所有訪(fǎng)問(wèn)控制權限，實(shí)際上取消了“超級用戶(hù)”(root)權限，通過(guò)使用數字簽名證書(shū)認證機制，達到用戶(hù)認證目的。用戶(hù)或者其他非法入侵者即使獲得了超級用戶(hù)口令也無(wú)法訪(fǎng)問(wèn)系統重要資源。

　　(2)帳號管理功能：S-NUMEN提供遠程站點(diǎn)的unix用戶(hù)帳戶(hù)及組管理功能。S-NUMEN在內核層基于證書(shū)進(jìn)行認證，提高安全強度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書(shū)得到認證。

　　(3)口令質(zhì)量控制功能：S-NUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項功能實(shí)現密碼的質(zhì)量控制，如：設置密碼的最大長(cháng)度和最小長(cháng)度，密碼中出現的特殊字符的最少數量，當口令更改后，該密碼的使用期限等。通過(guò)S-NUMEN與系統結合，S-NUMEN提供了對用戶(hù)登錄口令的管理，S-NUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限&密碼登錄限制和密碼格式。

　　(4)網(wǎng)絡(luò )控制服務(wù)： S-NUMEN網(wǎng)絡(luò )控制具備了系統防火墻功能，該功能控制遠程對服務(wù)器IP或服務(wù)的訪(fǎng)問(wèn)。通過(guò)功能強大的網(wǎng)絡(luò )服務(wù)及IP地址控制，可以很好的限制用戶(hù)訪(fǎng)問(wèn)系統資源。S-NUMEN 提供的系統防火墻功能允許對TCP、UDP以及ICMP等數據包進(jìn)行內外訪(fǎng)問(wèn)的控制，并且可以對以用戶(hù)為主體進(jìn)行網(wǎng)絡(luò )訪(fǎng)問(wèn)控制。

　　此外，S-NUMEN還具有程序自動(dòng)權限設置、Setuid 控制-特權程序控制、日志系統及設置等功能。

　　四、S-NUMEN系統在某電廠(chǎng)的應用

　　某電廠(chǎng)MIS系統項目作為某集團公司關(guān)于電廠(chǎng)管理信息化的重點(diǎn)工程，在電力行業(yè)管理信息系統應用方面具有很好的代表性。通過(guò)對運行關(guān)鍵業(yè)務(wù)的電廠(chǎng)生產(chǎn)期實(shí)施防護，給某電廠(chǎng)帶來(lái)了很好的效益。通過(guò)對操作系統安全級別提升，使小型機服務(wù)器安全性更好，同時(shí)使整個(gè)網(wǎng)絡(luò )的安全性更加健壯，核心業(yè)務(wù)運行穩定性增加，重要數據文件LOG日志安全得到保障，工作效率得到很大的提高，隨著(zhù)內網(wǎng)核心系統防護的實(shí)施必將進(jìn)一步推進(jìn)某電廠(chǎng)信息安全的發(fā)展，從而推動(dòng)某電廠(chǎng)系統業(yè)務(wù)的穩定運行。

【計算機安全技術(shù)在電網(wǎng)信息管理論文】相關(guān)文章：

計算機應用技術(shù)的信息管理整合論文06-10

計算機信息管理論文11-05

計算機信息管理論文05-16

[優(yōu)]計算機信息管理論文15篇07-16

計算機信息管理論文15篇[實(shí)用]05-24

計算機信息安全論文09-15

計算機信息安全論文05-21

計算機應用技術(shù)論文06-08

計算機信息安全論文【精華】11-14

對于計算機網(wǎng)絡(luò )安全的入侵檢測技術(shù)分析論文11-01