对电网调度自动化系统安全应用的研究分析(2)

2. 3来自外部网用户的安全威胁

用于远程诊断的拨号modem长期处于接通状态，没有采取安全防范措施，容易造成非授权用户未经许可拨号进入调度自动化系统的危险。

2. 4来自内部网用户的安全威胁

部分用户安全意识淡薄，用系统工作站拨号进人外部公共信息网，对系统安全造成威胁。用户和维护人员口令简单，长时间不修改，易泄密，容易被越权使用，对系统造成危害。用户误操作影响系统可靠运行，维护人员编程错误或维护错误，影响系统的可靠运行。

2.5安全管理及人员培训力度不够

主要表现在安全防护的有关规章制度不健全，安全防护技术措施和管理措施落实不到位，对安全防护工作的认识和重视程度有待提高。

3电网调度自动化系统安全问题的解决思路

电网调度自动化系统的安全防护应遵循“安全分区、网络专用、横向隔离、纵向防护”等原则，注重系统性原则和螺旋上升的周期性原则，采取整体规划、分步实施的办法进行系统安全防护工程建设。

3 .1加强安全管理

加强对专业人员的培训和教育，建立健全运行管理及安全管理的各项规章制度;加强对系统维护人员的技术培训，提高系统的运行维护水平。现阶段主要采取安全配置、安全补丁来加强主机安全防护。合理地设置系统配置、服务、权限，减少安全弱点;通过及时更新系统安全补丁，消除系统内核漏洞与后门;关闭web服务器不必要的服务，停止向安全区ⅲ的用户提供浏览器服务;合理设置路由器和防火墙的安全策略，并随网络拓扑结构变化和防护对象变化及时调整。严格用户特别是系统管理员用户名和口令的管理。禁止空口令，口令更改要制度化，禁止非授权使用，授权人员辞职或工作调动后，应立即从系统中删除其权限。严格控制和管理调度自动化系统的远程维护接口。

3. 2 结构调整，清理边界

web功能是近年来开发商为满足调度生产管理用户(dmis用户)的需要而产生的，但现有web功能的实现方式普遍不能满足安全问题的要求，在开发商没有改变web实现方式之前，作为过渡方案，web功能只能位于安全区i或安全区ⅱ，不能为其他安全区的用户提供服务，只能为本安全区用户服务。web服务器在安全区ⅰ时不能为同安全区的上下级用户提供服务，以保证安全;web月及务器在安全区且时，允许在本区开通同一业务系统上下级(即纵向)间的安全web服务。但只允许本安全区内的系统向安全web服务器单向传送数据，禁止安全web服务器向业务系统请求数据的操作。