摘要：立足于梯级水电站调度网的实际，围绕系统网络安全，提出安全管理策略。
　　关键词：水电站；梯级调度网络；管理
　　
　　1运行管理的安全原则
　　
　　（1）制定并不断完善公司专用的安全策略。为了保护网络安全，最重要的事情就是编写安全策略，描述要保护的对象，保护的理由，以及如何保护它们。安全策略的内容最好具有可读性，同时，注意哪些是保密的，哪些是可以公开的。此外，应严格执行。最后，必须随时保持更新。
　　（2）安全防范应基于技术、动机和机会3个方面考虑，以减少攻击者的成功率。从技术上讲，系统应同时需要相当高的通用技术和专用技术，从而避免不同级别的人员滥用系统。攻击者的动机方面，应消除攻击者的满足程度，使其感到受挫。每次攻击失败时，安全系统让攻击者移动到网络系统的其它地方，使攻击者工作很辛苦。
　　（3）应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务，需要时再打开。第二，访问控制权限的管理应合理。第三，系统应能自我监视，掌握违反策略的活动。第四，一旦发现问题，如果有补救措施，应立刻采用。第五，如果被保护的服务器不提供某种服务，如ftp，那么，应封锁ftp请求。
　　（4）安全只能通过自己进行严格的测试，才能达到较高的安全程度。因为每个人都可能犯错误，只有通过完善的安全测试，才能找到安全系统的不足。要做到主动防御和被动防御相结合，应能提前知道自己被攻击。如果知道自己被攻击，其实已经赢了一半。安全系统不但防御攻击者，同时防御他们的攻击。wwW.11665.coM因为攻击者经常失败后就换个地方，再次实行新的攻击，因此，不但防御攻击的源地址，同时防御主机周围灵活选择的范围。
　　（5）战时和训练相结合，也就是说，主动防御必须严格测试，并不断改进。同时，安全软件的选择应基于应用的重要性和产品的更新周期，保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件，避免安全系统的能力退化。
　　（6）在企业内部，应让每一为员工都深刻理解安全是大家的事，不是口号，而是警告，安全和业务可能有冲突，最好能够得到领导和业务人员的理解和支持。安全管理过程中，对人员的信任应合理、明智，不能盲目信任。在企业的安全防御系统中，除了采用常规的防御方案，应尽可能采用一些适合行业特点的新方案，对攻击者而言，也就多了一层堡垒。要有运行规范，包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。
　　
　　2运行管理的组织结构
　　
　　为实现整个梯级调度的网络安全，需要各种保证网络安全的手段。网络安全功能的实现，必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行，负责完成全企业的安全系统总体运行方案的编制，负责安全管理中心的建设，制订全企业范围的安全管理规范，对相关人员进行基本培训，指导各电站（厂）完成其安全系统的运行。应有专人负责网络安全，成立网络安全管理组，其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。
　　
　　3运行管理的培训支持
　　
　　3.1建立安全教育培训体系
　　为企业建立信息安全教育培训的制度，包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外，文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。
　　
　　3.2提供教育培训课程
　　（1）安全基础培训。
　　对象：企业全部与网络安全相关的人员。
　　容：系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。
　　目标：增强系统管理员的安全意识，基本了解安全的实际要领，能够分辩出系统中存在的安全问题。

　　（2）unix/windows系统安全管理培训。
　　对象：公司安全相关的系统管理员。
　　内容：掌握unix/windows系统的安全策略，常见的攻击手段分析，各种流行安全工具的使用，在实验环境中实际编译、配置和使用各种安全工具。
　　目标：能够独立配置安全系统，独立维护unix/windows系统安全。在没有防火墙的情况下，使unix/windows系统得到有效的保护。
　　（3）防火墙、入侵检测、安全扫描、防病毒和加密等技术方面的培训课程。
　　对象：企业的安全运行和管理人员。
　　内容：安全软件和设备的基本概念和原理、作用与重要性、局限性、分类、安全设备安全策略、设计、自身的安全与日常维护、安全设备代表产品的演示和上机。
　　目标：了解internet防火墙的基本概念，基本原理和基本的设计方法。能够对安全设备作日常维护。能够根据系统需求，做出相应的安全设备设计。能够对现有安全产品有一定的了解。
　　要求：具有基本unix/windows， tcp/ip的知识，了解网络设计常识。
　　（4）安全开发培训课程。
　　对象：应用系统设计开发中与安全相关的人员。
　　内容：tcp/ip协议和传统socket编程、ipspoofing的详细剖析、stackoverflow的详细剖析、其他流行进攻方法ip sniff： sniff， deny of service，connection killing， ip hijacking等的解释、并配有实验。
　　目标：使系统管理员掌握黑客进攻的手段、原理和方法；并能在实际工作中保护系统的安全性。
　　
　　3.3安全人员考核
　　协助企业建立信息安全人员考核体系，包括制订信息安全人员考核标准和建立安全相关人员定期的评估和考核制度。此外，文档包括《企业信息安全人员考核体系》。
　　
　　4运行管理的技术服务
　　
　　可选择一家正规的、专业的、技术实力较强的公司，长期面向企业提供安全运行的技术服务，具体来说包括：（1）在it行业，网络安全具有自己的特点，即黑客攻击随时可能进入，新病毒每天都在产生，也就是说，没有绝对安全，安全是一个不断完善的过程。（2）水电站的控制较复杂且系统很多，地域较广，而安全涉及到的产品也很多，集成商将它们实施后，必须有一个安全小组来负责安全的运行。（3）安全的运行也需要经验和规范，专业服务公司可以协助公司保证网络安全系统的成功运行。（4）企业的信息系统的建设过程中，新系统不断加入，需要对安全重新进行评估和漏洞扫描，找出问题，并及时给以解决。（5）安全的培训和宣传工作也很重要，工作量也是相当大的，最好有比较固定的人员和机构负责安全的培训。（6）安全产品包括软件和硬件，当产品升级时，公司最好及时升级，尤其是病毒防御。
　　企业所选择的专业安全服务公司的服务程序是：首先，从安全系统的实施开始介入，监督系统的可管理、可运行，保证系统可以从系统实施平滑到系统的运行。其次，安全相关的新技术和新产品的跟踪，并定期向企业报告，协助企业采用新技术和新产品。再次，完善企业的安全运行规范和制度，制定出一套适合企业的简洁的、实用的安全规范和制度，避免纸上谈兵。安全涉及的软硬件产品的技术支持，保证安全系统7x24运行。全产品升级过程中的方案设计、测试和技术支持。最后，整个安全系统运行过程中的风险管理，以及避免/降低和解决风险措施的制定。负责安全系统相关的培训工作，有计划、有目的地提高企业的安全意识和安全水平。
　　
　　参考文献
　　[1]国家电力监管委员会.电网二次系统安全防护规定[s]，2005. 2. 1
　　[2]（美）chris hare karanjit siyan著.internet防火墙与网络安全[j]，刘成勇、刘明刚、王明举等译，机械工业出版社，2005. 5
　　[3]信息系统安全工程学，关义章、蒋继红、方关宝、戴宗坤，金城出版社，2004. 9