1安全硬件堡垒——防火墙技术

防火墙是内网与外网信息数据互通的进出口，其关键在于这个进出口的唯一性，亦即“必经之路”，所有的Internet访问均不可能绕过它而产生连接，为此，在此处加强技术力量保障安全的效力是显而易见的。当前的电力信息系统防火墙基本是有设置保护的，但是较普遍的是设置不够保险，最高级别的保密策略应是拒绝一切未经准许的连接请求，于是，选择“缺省全部关闭，按需求开通的原则”是必须遵循的，同时，需要禁止远程协助等容易导致防火墙失控的各类危险服务，如Telnet、NNTP、NFS等。此外，还可采取在不同安全区之间设置专用物理隔离墙的措施，使保护更加隐密，增加安全系数。

2安全软件—病毒防护技术

病毒往往是从漏洞处进入系统的，这就要求电力信息系统网络应形成一个整体的防护罩，任何的缺漏都将使全局防护失效。服务器、工作站、主机、各用户均应完善杀毒软件。网络防毒系统可以采用C/S模式，首先，利用服务器网络核心功能，在服务器端先行安装杀毒软件，然后派发到各工作站及用户，客户端安装完软件后，通过Internet与服务器联成一体，并利用LiveUpdate(在线升级)功能，从免疫中心实时获取最新的病毒码信息，及时更新病毒代码库，根据需要选择扫描方式，从而完成整个网络的查杀布署工作。扫描方式可选自动扫描或人工扫描、实时进行或预定进行、升级后扫描或开机后扫描等。防护软件可根据电力信息网系统特性与病毒软件商联合制作，不求最贵，但求最经济适用。由于病毒扫描进程将使服务器性能降低，因此如采用预置扫描方式，建议将扫描时间设定在服务器访问率最低的夜间。

3入侵检测系统技术

为了应对黑客的攻击，入侵检测系统作为一个功能强大的安全保障工具，应推荐应用于各电力企业，其采用先进的攻击防卫技术，通过在不同的位置分布放置检测监控装置，能够最大限度地、有效地阻止各种类型的攻击，特点鲜明，安全可靠。入侵检测系统中心数据库应放置在DMZ区，内网、各监控引擎应与中心随时保持通讯，针对入侵反馈信息，通过预先设置好的安全策略启动相应报警及防卫程序。入侵检测系统还可以在事后清楚地界定责任人和责任事件，为网络管理人员提供强有力的保障。

4安全技术管理优化

首先，应提高电力信息系统使用人员的风险认识。电力信息系统使用人员不得从外网上随意下载性质不明的资料、软件等，不得随意修改系统密码或是执行有泄漏密码可能的操作，确实应进行相关操作时，刚下载的资料、软件应第一时间进行杀毒，尽最大可能地杀死可能携带的病毒，不给不法分子可乘之机。其次，各类密码设定和妥善管理。系统内应保证密码的隐密性，杜绝使用默认密码、出厂密码或者无密码，不使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一定要更新。密度强度应以区别大小字的英文字母与阿拉伯数字、字符组合的形式设立。再者，加强对系统安全的检测管理。系统使用人员及安全管理人员应定期对信息系统进行检测维护，包括检查系统功能状态、病毒库更新状态、设备陈旧状态、数据异常状态等各类信息。重要文件应养成加密及备份的习惯，对于文件安全，通过文件加密、信息摘要和访问控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护，实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全，通过VPN技术，提高信息，如电子公文、MAIL等在传输过程中的保密性和安全性。数据的备份策略要合理，备份要及时，备份介质保管要安全，要注意备份介质的异地保存。

5安全审计技术策略

可以模仿U盾、密保等认证，结合密码使用，通过电子、电话等多途径的密码保护安全问题增加信息系统安全性。为了实现数据库数据的安全，或是避免被入侵后更改数据，应设置数据库访问控制、存储加密以及完整性检验等功能。利用网络隐患扫描系统生成详细的安全评估报告，可对系统进行形象的分析，审计系统运行安全状态，评判系统安全性能。

作者：赵锐单位：山西省大同市