【关键词】电力自动化;通信信息;安全防护;强化措施
电力作为促进我国经济发展的重要支柱产业,整个电力系统具有安全性、稳定性、复杂性等明显特点,它的安全运行对国民经济发展和社会稳定有着重要的影响。随着我国智能电网体系建设进程的加快,电力通信技术得到了广泛应用,电力自动化水平显著提高。如何采取强化措施做好对电力系统通信安全的防护,确保电力系统的安全运行,是电力行业所要开展的一项重要工作。
1建立电力自动化通信安全防护体系的意义
目前,我国正在加快国家智能电网建设,在电力自动化安全运行模式中,自动化通信安全作为一项重要内容而备受关注,电力自动化通信安全防护体系的构建是电力自动化系统稳定运行的重要前提,也是在整个智能电网系统中比较复杂的一项系统工程。建立电力自动化通信安全防护体系主要是把规范的操作流程、先进的管理技术、科学的技术方案有效的结合起来,运用到电力自动化当中,达到对通信信息安全彻底防护的目的。电力自动化通信安全防护体系的构建,是加快我国电力基础设施建设、电网系统整合建设、电力电源格局建设的有效途径,对完善国家电网的智能化建设有着决定性作用。
2电力自动化通信安全防护的常见问题
2.1电力自动化系统的信息中心站问题
信息中心站可谓是电力自动化通信系统正常运行的核心,在安全防护方面应该重点加强防护。内部通信站的所有数据都会在信息中心站汇集整合,系统在接收和传送外界数据的过程中都要通过信息中心站接口。如果接口遇到病毒攻击,整个通信系统就会被病毒入侵进行破坏,信息中心站一旦发生故障,整个电力自动化通信系统便不能继续运行,最终导致电力系统瘫痪。
2.2防止网络病毒入侵问题
网络病毒攻击是当下电力自动化通信中最为常见的一种安全隐患,做好通信安全防护、避免遭受病毒攻击是最基本的安全防护常识。而现在大多数电力自动化通信系统还未建立科学的严防病毒体系,在控制主机和服务器之间缺乏有力的衔接方法,应该把主机和服务器列为重点病毒清理对象,对整个电力自动化通信系统网络进行常规的病毒查杀,及时更新病毒库。
2.3电力自动化通信数据备份问题
在电力自动化通信系统的日常安全运行中,将重要的资料数据进行备份是很普遍的一种安全防护措施,这是对数据的一种常规保护。但是由于这些资料经常储存在存储器或是网络上,有着极大的危险性,一旦通信网络中遭到病毒入侵或是硬件设备损坏,极易造成重要数据丢失。因此,应该实行集中和分散两种储存方式,同时采用先进的存储载体,制定相对科学的数据备份方案。
3强化电力自动化通信安全防护的具体措施
电力自动化通信系统主要是保障电力系统安全运行、进行故障报警、实现科学管理的一项系统工程,实施电网运行过程中信息的传送和交换。为了实现发电厂发电供电,对电能进行合理分配,保证电力质量的使用,及时的预警系统故障,这就需要对通信系统集中管理、统一调配,并且能够在安全管理中确保通信网络的安全稳定、可靠有效、即时传送等。强化电力自动化通信安全防护的具体措施,主要有几下几点:
3.1建立和完善全面的科学管理系统
目前来说,我国电力自动化通信网络管理系统主要是依赖生产厂家的相关设备和设计厂家的相关技术,对于电力发展具有一定的局限性,同时也会对电力自动化通信形成安全隐患。因此,在现代电力自动化通信系统的管理中,运用计算机技术、数据传输、控制技术、现代化设备等建立和完善全面的科学管理系统已迫在眉睫。一套完整的科学管理系统主要是由系统数据主站、平台操作设备、通信应用载体三部分组成,同时结合光纤通信、无线通信等传播方式进行远程控制有利于加强电力自动化通信的安全防护工作。
3.2遵循“具体问题,采取具体解决方案”原则
电力自动化通信管理系统主要受到技术、设备、人员操作等因素的影响,例如,通信系统的配置规模越高、功能越多,人们就认为设备越实用;人员操作没有按照具体流程规定而违规操作导致系统出现故障。在电力通信系统的具体运行工作当中,务必遵循“具体问题,采取具体解决方案”的原则,针对系统中出现不同的故障问题,采取相应的解决方案,做到正确检查,科学处理。若单一的强化整个监控系统,就应该把重点放在即时监控设备上;若要做到监控系统和通信系统的完美衔接,就应该建立一个电信网元管理系统。
3.3重视应用系统密码的设置和更换
随着科学技术的快速发展,目前我国电力自动化通信安全防护体系已经广泛采用系统密码技术,使得信息安全得到有效保护。密码技术主要在ATM、银联卡、公路收费站、电梯门禁等方面应用,对相关信息数据进行加密,从而实现对数据的基本保护。例如,最为常见的就是银联卡的PIN加密传送和金融交易信息平台中的MAC校验,通常手机会收到校验码,根据提示完成交易。由于电力自动化通信安全防护体系的复杂性,电力行业更应该重视系统密码的应用,对于各个环节、各个流程设定密码,做到正确合理使用密钥。在电力通信系统的日常工作当中,不能长期使用一个密钥,这样会导致病毒的集中性攻击,应该定期对电力通信系统中的密钥进行更换,并妥善做好密钥的管理工作。
3.4严格按照流程要求,正确规范操作
对于电力自动化通信安全防护工作绝不能掉以轻心,应该严格按照流程要求,正确规范操作,熟练使用各项管理设备,全面的实时监控,对整个通信系统实施多领域、多方面的管理。要想真正实现故障管理、技术管理、功能管理、安全管理的基本目标,还要提高电力自动化通信相关管理人员、操作人员的专业知识和实践操作水平,加强对相关工作人员的技术培训,提高信息安全防护意识,认真贯彻落实好各项规章制度,确保通信安全防护工作的有序进行。
4结语
随着我国城市化进程的不断加快和人民生活水平的不断提高,电力自动化通信技术在社会众多领域中发挥着重要的作用,但由于网络环境复杂、技术层面落后、管理方面存在漏洞等多方面因素,电力自动化通信信息安全在一定程度上存在隐患,影响到电力系统的正常运行,因此,只有不断强化电力自动化通信安全防护措施、采用先进管理技术、制定相关办法并严格执行,才能确保信息安全,确保电力系统安全运行,从而促进电力经济的可持续发展。
参考文献:
[1]罗庆丽.关于电力自动化通信技术中信息安全的分析[J].经营管理者,2014(11).
[2]李文洋.电力自动化通信安全防护的强化措施[J].技术与市场,2014(04).
摘要:解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。文章对信息安全的解决方案从技术和管理两个方面进行了探讨。
关键词:电力安全解决方案
网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合,一个较好的安全措施往往是多种方法适当综合的应用结果。
1电力信息网安全防护框架
根据电力企业的特点,信息安全按其业务性质一般可分为四种:一种为电网运行实时控制系统,包括电网自动发电控制系统及支持其运行的调度自动化系统,火电厂分布控制系统(DCS,BMS,DEH,CCS),水电厂计算机监控系统,变电所及集控站综合自动化系统,电网继电保护及安全自动装置,电力市场技术支持系统。第二种为电力营销系统,电量计费系统,负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构,从电力信息网安全需求上进行分析,提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。根据电力信息网共分为四级网的方式,每一级为一层,层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全的特点,分析各相关业务系统的重要程度和数据流程、目前状况和安全要求,将电力企业信息系统分为四个安全区:实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。
2电力信息网安全防护技术措施
2.1网络防火墙:防火墙是企业局域网到外网的唯一出口,这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器,即能够保证提供正常的服务,又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可外的任何服务,也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中,必须禁止Rlogin,NNTP,Finger,Gopher,RSH,NFS等危险服务,也必须禁止Telnet,SNMP,TerminalServer等远程管理服务。
2.2物理隔离装置:主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
2.3入侵检测系统:入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架,可最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制,可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击,中心数据库应放置在DMZ区,通过在网络中不同的位置放置比如内网、DMZ区网络引擎,可与中心数据库进行通讯,获得安全策略,存储警报信息,并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎,对入侵检测系统进行监控和管理。
2.4网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
2.5网络防病毒:为保护整个电力信息网络免受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。网络防毒系统可以采用C/S模式,在网络防毒服务器中安装杀毒软件服务器端程序,以服务器作为网络的核心,通过派发的形式对整个网络部署查、杀毒,服务器通过Internet利用LiveUpdate(在线升级)功能,从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。服务器和网络工作站都安装客户端软件,利用从服务器端获取的病毒码信息对本地工作站进行病毒扫描,并对发现的病毒采取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描:实时扫描、预置扫描和人工扫描。由于病毒扫描可能带来服务器性能上的降低,因此可采用预置扫描方式,将扫描时间设定在服务器访问率最低的夜间。网络工作站可根据各自需要,选择合适的方式进行病毒扫描。客户端采用登录网络自动安装方式,确保每一台上网的计算机都安装并启动病毒防火墙。同时要注意,选择的网络防病毒软件应能够适应各种系统平台,各种数据库平台,各种应用软件。例如能对电力信息网办公自动化系统使用的LotusDomino/NOTE平台进行查、杀毒。
2.6数据加密及传输安全:对与文件安全,通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。对通信安全,采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高时的信息(如电子公文,MAIL等等)在传输过程中的保密性和安全性。
2.7数据备份:对于企业来说,最珍贵的不是计算机、服务器、交换机和路由器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。因此必须建立集中和分散相结合的数据备份设施以及切合实际的数据备份策略。
2.8可靠安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。除了使用软的密码外,还可以使用象USBKEY等硬件的密码认证,更可以采用二者相结合的方式。
2.9数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
3.1人员管理,要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。
3.2密码管理,对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
3.3技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
3.4数据管理,数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
3.5加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
关键词:网络:安全技术;管理措施
1前言
随着企业科学管理水平的提高.企业管理信息化越来越受到企业的重视.企业ERP(企业资源计划)系统、企业电子邮局系统和OA办公自动化系统等先进的管理系统都进入企业并成为企业重要的综合管理系统。企业局域网与国际互联网(Internet)联接,形成一个内、外部信息共享的网络平台。这种连接方式使得企业局域网在给内部用户带来工作便利的同时.也面临着外部环境——国际互联网的种种危险。如病毒,黑客、垃圾邮件、流氓软件等给企业内部网的安全和性能造成极大地冲击如何更有效地保护企业重要的信息数据、提高企业局域网系统的安全性已经成为我们必须解决的一个重要问题
2网络安全及影响网络安全的因素
网络安全一直都是困扰企业用户的一道难题.影响企业局域网的稳定性和安全性的因素是多方面的,主要表现在以下几个方面:
2.1外网安全。骇客攻击、病毒传播、蠕虫攻击、垃圾邮件泛滥、敏感信息泄露等已成为影响最为广泛的安全威胁
2.2内网安全最新调查显示.在受调查的企业中60%以上的员工利用网络处理私人事务对网络的不正当使用,降低了生产率、阻碍电脑网络、消耗企业局域网络资源、并引入病毒和间谍.或者使得不法员工可以通过网络泄漏企业机密
2.3内部网络之间、内外网络之间的连接安全。随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享.又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题各地机构与总部之间的网络连接安全直接影响企业的高效运作
3企业局域网安全方案
为了更好的解决上述问题.确保网络信息的安全,企业应建立完善的安全保障体系该体系应包括网络安全技术防护和网络安全管理两方面网络安全技术防护主要侧重于防范外部非法用户的攻击和企业重要数据信息安全.网络安全管理则侧重于内部人员操作使用的管理.采用网络安全技术构筑防御体系的同时,加强网络安全管理这两方面相互补充,缺一不可。
3.1企业的网络安全技术防护体系
包括入侵检测系统、安全访问控制、漏洞扫描、病毒防护、防火墙、接入认证、电子文档保护和网络行为监控。
1)入侵检测系统。在企业局域网中构建一套完整立体的主动防御体系.需要同时采用基于网络和基于主机的入侵检测系统首先.在校园网比较重要的网段中放置基于网络的入侵检测产品.不停地监视网段中的各种数据包.如果数据包与入侵检测系统中的某些规则吻合.就会发出警报或者直接切断网络的连接其次.在重要的主机上(如WWW服务器,E—mail服务器,FTP服务器)安装基于主机的入侵检测系统.对该主机的网络实时连接以及系统审
计日志进行智能分析和判断.如果其中主体活动十分可疑.入侵检测系统就会采取相应措施
2)安全访问控制系统针对企业局域网络系统的安全威胁。必须建立整体的、卓有成效的安全策略.尤其是在访问控制的管理与技术方面需要制定相应的策略.以保护系统内的各种资源不遭到自然与人为的破坏.维护局域网的安全
3)漏洞扫描系统。解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具.利用优化系统配置和打补丁等各种方式.最大可能地弥补最新的安全漏洞并消除安全隐患.
4)病毒防护系统。企业局域网防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系.特别是针对重要的网段和服务器.要进行彻底堵截.
5)防火墙系统。防火墙在企业局域网与Internet之间执行访问控制策略.决定哪些内部站点允许外界访问和允许访问外界.从而保护内部网免受非法用户的入侵在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的服务器、E—mail服务器、信息服务器有关的数据包通过。其他所有类型的数据包都被丢弃.从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内.
6)接入认证系统对计算机终端实行实名制度.固定IP、绑定MAC地址.结合企业门户、办公系统等管理业务系统的实施实行机终端接入准入制度.未经过安全认证的计算机不能接人企业局域网络
7)电子文档保护系统。企业重要信息整个生命周期(信息过程、信息操作过程、信息传输过程、信息存储过程、信息销毁过程)得到全程透明加密保护,保证只用合法的用户才能通过认证、授权访问涉密文件。非法用户无法在信息的产生到销毁过程的任何环节窃取、拷贝、打印、另存、涉密文件,阻断一切可能的泄密路径.有效防护各种主动、被动泄密事件的发生。
8)网络行为监控系统网络行为监控是指系统管理员根据网络安全要求和企业的有关行政管理规定.对内网用户进行管理的一种技术手段.主要用于监控企业内部敏感文件访问情况和敏感文件操作情况以及禁止工作人员在上班时间上网聊天、玩游戏、浏览违禁网站等。
[关键词]档案;管理;信息化
档案信息化,就是在国家档案行政管理部门的统一规划与组织下,在档案管理活动中全面应用现代信息技术,对档案信息资源进行处理、管理和提供利用服务。换言之,档案信息化是指档案管理模式从过去的以档案实体保管为重点向以档案实体这种主要形式向社会提供服务为重点的转变过程。
一、档案信息化的建设
(一)建立档案网络系统
档案网站是档案机构在互联网上建立的站点,是各类档案信息并提供档案利用服务,构成信息网络的一个节点,在档案系统内建设数字化综合应用平台。建立健全内部服务网和公众服务网,发挥网站的作用,使档案网站成为宣传档案工作、探讨档案业务交流、开展档案信息服务的窗口,这项工作,极大地促进了档案信息化的建设。在此基础上,根据系统建设需求,采购必要的硬件设备,为系统提供硬件基础。提高档案管理软件的技术和应用水平,为保证档案信息交换、实现档案信息资源共享创造条件。制定相应的策略、保障档案资源的原始性、安全性、可靠性。
(二)加强电子文件的管理
一是随着计算机信息管理网的建立与发展,越来越多的重要文件被传输上网。上网前,又按照信息管理部门的统一要求进行了文件格式的转换,在一定程度上保证了数据的可靠性和通用性。对那些未输送到计算机信息管理网上的具有保存价值的电子文档,应由电子文件形成部门编目整理,也利用网络技术向档案部门传输,也可以借助信息管理网络在各业务管理机构与档案部门之间开通电子文件归档专递网线,建立依附在信息管理网上的归档专用子系统。将上网与未上网的具有保存价值的电子文件通过此系统传输给档案部门。档案部门经与办公自动化和信息管理部门协商后,要对归档的电子文件提出格式要求。无论利用何种途径归档,必须由电子文件形成单位按统一格式编目整理后,传输给档案部门,不能由档案部门自行从网上下载,以保证电子文件形成部门对其数据的真实性、准确性。档案部门接收的电子文件一律存入光盘,最好不用磁盘存贮。
(三)强化档案队伍建设,提高业务素质
档案人员必须从杂业型转向专业型。保证档案系统现代化管理工作有序、正常、持续的发展,人的因素是主要的。档案管理领域缺乏懂软件开发又精通档案专业知识的复合型人才;提高整个档案队伍素质,创造条件有针对性适合不同的工作岗位。进行知识更新,适应对外指导工作和内部基础管理工作;建立竞争机制,克服人的惰性,充分发挥人的主观能动性,有他们的用武之地和舒展才能的场所;建立激励机制,合理设置岗位。工作科学量化,体现一个单位内工作量大与小不一样、专与不专不一样,有利于工作人员的积极性和创造性充分发挥。
二、网络环境下档案安全问题
(一)网络技术本身的安全隐患
网络本身就不是一种很安全的信息传输方式,网络上的任何信息都是经过重重网站分段传送至目的地。任何中介站点均可以拦截、读取甚至破坏信息。同时,网络与应用技术的发展很快,新的技术不断推动新的应用,而安全技术是一种在对抗中发展的技术,它总是滞后的,这样就导致了网络的脆弱性。目前,我国信息安全技术研究与应用起步很晚,技术防范能力不强,许多系统处于不设防状态中。
(二)电子文件的信息共享,带来了一些不安全因素
以计算机为载体的电子文件档案,不同于以纸质为载体的纸质档案,它可以不受时间、地点和人员的限制随意阅读,这种电子文件的共享性是其运作环境网络化决定的,是一种进步和发展。同时,也对电子文件带来不安全和泄密因素。如不采取措施,则可使网络的任何终端设备读取在网络上的文件,致使一些保密文件泄密。
(三)组织管理的隐患
据有关资料显示,90%以上的档案管理人员没有受过正规的计算机安全培训,他们缺乏计算机与网络的相关知识,缺乏对档案信息网络的安全意识,致使网站遭到攻击。而从事信息产业的公司没有精力对网络安全进行人力和物力的投入,很多站点的管理人员都是新手,在操作中出现漏洞,使入侵者获得控制权。
三、网络环境下档案信息安全的对策
(一)管理方面的对策
1.加强电子档案信息基础设施配置的管理
在配置各种基础设施的过程(下转第33页)(上接第31页)中,要充分考虑硬件、软件性能参数,特别应当关注它们的稳定性、可靠性、安全性与数据恢复等功能。同时,对库房的选址,馆舍的建筑,温湿度的控制,防光防尘的要求都应按照有关规定,严格遵守。
2.设计可信的电子档案安全管理系统
由于电子档案对信息技术的依赖,安全、稳定的系统是防范风险发生的最有效的措施。因此就要求在设计系统之初,电子档案管理人员必须参与到开发设计的工作中去,根据前端控制思想和全程控制思想,设计出满足电子档案保存功能需求的系统,尤其要注重系统在权限限制、身份证、安全警告、全程监控、保存迁移档案、区分版本和自动保存日志等安全方面的功能。
3.选择可靠的信息保存载体,制定适合的管理制度和方案
载体性能的好坏直接关系到电子档案信息是否安全,这一点是无庸质疑的。在电子档案安全管理制度和方案的制定上,我们应该根据分级管理思想、风险管理思想以及危机管理思想进行综合考虑,其中尤其重要的是制定合适的电子档案备份方案和应急管理机制。
(二)技术方面的对策
实体安全防护和防电磁辐射技术。光盘作为目前网络环境下最基本的存储介质,它本身的质量也决定着档案的真实性、可靠性,购买时一定要符合国家档案管理标准的光盘。用来作为电子档案的光盘必须是只读,只能供使用者读出信息而不能追加或擦除信息,这种特性可以有效地防止用户更改电子档案内容,保持电子档案的原始性和真实性。
(三)硬件防护技术
1.数据备份系统
对电子档案载体进行有效的检测与维护,电子档案载体,极易受到环境的影响,因此,应当定期检测和拷贝,检测每年进行一次,采用等距抽样或随机抽样的方式进行,样品数量应不少于10%为宜;拷贝应每四年一次,要求多重备份,以防数据丢失,并且原载体继续保留的时间不少于四年。对于电子档案的检测和拷贝,必须建立相应的跟踪记录,避免发生人为的误操作。
关键词:网络会计电算化风险对策
会计电算化是电子计算机技术、信息技术和现代会计技术相结合的产物,是会计工作发展的方向。会计电算化下会计工作效率的提高和会计人员劳动强度的降低,使会计人员有更多的时间参与企业经营管理,促进会计工作职能发生转变,极大的提高了会计工作效率和工作质量,使会计工作由原来的手工作业发展到今天的无纸化操作,这些变革不仅给企业带来经济效益和社会效益,更减轻了财会人员的工作力度,促进了会计工作的规范化,为我国的管理工作的现代化奠定了基础。但是计算机以及计算机网络在会计部门内部的广泛应用和不断延伸,其潜在的风险也渐渐地暴露出来。
一、会计电算化系统存在安全风险及防范
主要是系统设计不完善不充分和系统访问权限的控制不严格。计算机会计信息系统置于网络环境下运行,系统控制的大门面临敞开的风险,随时系统运行可能遭到破坏和干扰,或者是企业关联方非法侵入企业内部网,以剽窃数据、破坏数据、搅乱某项特定交易或事业等所产生的风险。针对以上问题,为了尽可能的保证会计电算化系统的安全,建议采取以下对策。
1.利用系统权限及层层密码保护功能
网络环境下,由于操作系统面向所有的用户,再加上自身的缺陷。因此它时刻面临着来自各方面的潜在威胁,包括系统内人员的、越权操作和系统外人员的非法访问甚至破坏。
会计软件都有一套相对完整的授权审批和密码保护功能,充分发挥它的作用,可以让我们在公布信息的同时,较好地保护会计系统。重要应做好以下工作:要保护计算机设备,防止各种非法指定人员操作计算机及财务软件,保证机内的程序和数据的安全;明确规定上机操作人员对会计软件的操作工作内容和权限,对操作密码要严格管理,定期更换操作员的密码;密码是限制操作权限,检查操作人员身份的一道防线,管理好每个人的密码,对整个系统的安全事关重要。杜绝未经授权人员操作会计软件,防止会计人员越权使用软件;操作人员离开机器时,应执行相应的命令退出会计软件,否则密码的防线就会失去作用,会给无关人员操作留下机会;根据单位的实际情况,由专人保存上机操作记录,记录操作人操作时间、操作内容等,并与软件中的“日志管理”相比较,开展日志审计。
2.利用杀毒软件及防火墙防止网络病毒侵害
根据调查显示,我国网络安全管理水平和技术水平较高,网络安全技术和产品,如防火墙、诺顿、瑞星等防毒软件已达到较高水平。但调查结果也反映了我国企业网络安全方面存在的一些问题,比较突出的是网络安全产品使用比较单一,入侵检测系统、身份认证技术、加密技术等普及程度较低。通过这次调查反映出,蠕虫等自动传播的恶意代码、有经验的黑客、拒绝服务攻击是我国面临的最重要的网络安全威胁。而加强配置管理、及时获得计算机漏洞信息和网络安全事件信息、保证网络安全技术措施的及时更新等被认为是最需要的。建立网络安全技术监测平台认为是提高网络安全整体水平的最重要的宏观措施之一。
系统使用的计算机是专用的,尽量不从事与会计无关的工作,杜绝在财务专用计算机上安装游戏软件;避免使用来路不明的软盘和各种非法拷贝的软件,尽量减少使用软盘的次数,不得以而使用软盘,要先杀毒再使用;系统最好安装上具有高效实时监控功能的防毒软件,建立可靠的防护网。为防止社会不法分子对企业内联网的非法进入,可以根据网络系统区域划分的不同,设置多级防火墙一般分为两类,一类是外层防火墙,用来限制外界对主机操作系统的访问;另一类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域间的联系,限制外界穿透防火墙对会计数据库的非法访问同时也要安装具有高效实时监控功能的防毒软件。
3.提高专业人员技能,加强内部控制
要大力加强人才培训的力度,组织会计人员学习会计电算化知识和提高计算机应用能力,维护软件正常运行,掌握计算机先进技术,培养复合型人才。
在会计电算化条件下,加强内部控制和管理是保障会计电算化系统安全的最有效途径。内部控制制度是指在一个企业内部,为了保证生产经营活动的高效、有序进行,保护资产的安全和完整而制定并实施的控制立法、措施和程序,可分为内部会计控制和内部管理控制。企业在建立了电算化会计系统后,企业会计核算和会计管理的环境发生了很大的变化,为企业的内部控制带来了许多前所未有的新问题,对企业内部控制制度造成了极大的冲击,使企业的某些内部控制制度在新的环境下显得落后了。因此,提高对内部控制的认识,加强网络会计信息系统的安全管理控制内涵和技术的研究,有效地结合与利用现代通信和处理的安全技术精华,才能真正确保计算机会计信息系统的安全和可靠,从源头上确保会计信息的真实性和可靠性。
二、会计档案管理过程中存在的风险及防范
会计档案在收集过程中,由于操作人员时间观念不强,没有定期把计算机系统中的所有会议资料备份到磁性介质或光盘上,没有脱离原计算机系统进行保存一旦因意外或人为错误造成数据丢失或系统被破坏,就不能在最短时间最小损失下恢复原有的会计资料,电算化系统不能正常工作会计档案在保管过程中,操作员往往是单备份保存,且保存在电算化系统附近,一旦意外,后果不堪设想又因档案保管人员缺乏必要的物理知识,不懂磁性介质的物理特性,将之接近磁场,备份资料瞬间消失。
正确的做法是:按照财政部颁布的会计电算化管理办法的规定,实现会计电算化的单位只要发生新的经济业务,内容经过电算化账务处理后,就应坚持每天备份且要双重备份,即“AB备份法”进行资料的备份,并且备份盘上要注明形成档案时的时间与操作员姓名,同时要分处分人保管,以防意外事件导致整体资料系统的毁灭与不可恢复性由于光盘的安全性强容量大,故备份盘要尽量使用光盘备份盘应远离磁场,还应定期进行检查复制,防止由于磁性介质的破坏而使会计档案丢失,造成无法挽救的损失经领导同意借阅的会计档案,应严格履行相应的借阅手续,经手人必须签字记录存放在磁性介质上的会计资料借阅归还时,要做杀毒处理,防止病毒感染。
参考文献:
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
关键词:并网;保护;安全装置;远动;调度数据网;通信
Abstract:InthejoinplanofTuxianvillagehydropowerstation,bythemaintransformerof2generatorincreasedto,theelectriclinethroughonce10KVisaccessedtothe10KVbusbarofthenearredlingt110KVsubstation.Toincreasethestabilityandsafetyofthesystembyconfiguratingthecorrespondingdistributionandautomaticdevice,telecontrolequipment,troublewaverecorddevice,schedulingdatanetworks,communicationdevices.
Keywords:gridcombination;protection;safetydevice;telecontrol;schedulingdatanetworks;communication
中图分类号:U665.12文献标识码:A文章编号:
土贤庄水电站位于石家庄市东二环与石津总干渠交叉口土贤庄跌水处,系石津总干渠梯级电站规划的第三级水电站,规划装机2*2000KW+800KW,发电机出口电压6.3KV。水电站利用水库经石津灌区的灌溉放水和汛前泄洪,以及南水北调中线工程通过石津总干渠向石家庄和衡水两市的供水在跌水处形成落差发电。
一、水电站并网输电线路方案
本期将2台2000KW发电机经主变压器升压为10KV后,经一回10KV出线接入到附近的红光110KV变电站10KV母线。并网线路采用电缆直埋,按照6300/10/1.732=364A电流计算,考虑到后期机组增容需要,采用单回路双根电缆方案,选用双根YJLV-3*240铝芯电缆,线路长约1.2km。
此方案结构简单,可靠性高,投资少,但是如果发电期间线路或系统事故则造成全厂停电。因此发电厂必须自备足够容量的柴油发电机组作为后备电源。
二、系统继电保护及安全自动装置配置方案
由于水电站并网方案,电压等级比较低,为了保障电力系统可靠性、安全性,需要配置一定的保护及安全自动装置。
1、10KV并网线光纤纵差(带后备保护)保护
水电站和变电站各装设一套光纤纵差(带后备保护)保护装置,光纤纵差保护使线路发生的各种故障都能被快速切除,保证电力系统安全稳定运行。根据小电流接地系统线路保护的配置原则,10KV线路光纤差动后备保护配置:
a)三相三段式电流保护;
b)三相两次自动重合闸:手动、远动掉闸不重合(重合闸次数能选择)。具备重合后加速功能;
c)小电流接地选线及零序2段过流保护;
d)过负荷报警;
2、低周低压失步解列装置
水电站和变电站各装设一套低周低压失步解列装置,当系统出现故障时,将水电站解列,以确保发电机组安全。
3、故障录波装置
为了分析电力系统事故及继电保护装置的动作情况,水电站和变电站各装设1台故障录波装置,记录线路电流、电压、变电站保护装置动作及保护通道的运行情况等,故障录波通过调度数据网接入地调主站系统。
三、系统调度自动化方案
1、调度关系
根据水电站建设规模及有关调度管理规程规定,本着电网内部实现统一调度、分级管理的原则,水电站发电机组出线由地调调度管理,水电站内的实时信息按调度端的要求送往地调。
2、微机远动装置
利用计算机监控系统(NCS),远动功能由NCS系统的远动工作站来完成,远动通信工作站采用双机热备用方式,以主站规约向地调传送实时远动信息。
3、远动量
远动装置通过网络接口设备,向总控单元传送遥测、遥信量,并接受遥控指令。
a)遥测量:10KV线路三相电流、有功功率、无功功率、有功电能、无功电能。
b)遥信量:10KV开关位置、开关未储能信号、上隔离刀闸位置、下隔离刀闸位置、保护动作信号、保护装置异常信号等。
c)遥控量:10KV开关分合。
4、电能计量系统
水电站上网电量关口计量点设在变电站侧,按1+1原则配置,精度为0.2s级多功能计量表;考核表设在水电站侧按1+0原则配置,精度为0.2s级。电能表(三相三线表,双向计量,0.2s级,双485接口,具有失压计时功能)的信息通过485接口传输到计量主站。
为满足计费精度,要求PT/CT具有单独计费线圈,PT精度为0.2级,CT精度为0.2s级。
5、电力调度数据网接入设备
为远动和计量信息更加可靠传输,配置电力调度数据网络接口装置一套,包括路由器1台,网络交换机1台,实现调度数据网络通讯功能,将远动及电能量信息通过电力调度数据网络通道及时、可靠传输到调度端。
6、二次系统安全防护
按照“全国电力二次系统安全防护总体要求”,新上电站应在调度数据网与其他非实时系统网络接口安装网络信息安全防护装置。水电站上传至调度中心的信息,其传输通道需要配置纵向加密认证装置。按照“安全分区,网络专用,横向隔离,纵向认证”的基本原则,配置二次系统安全防护设备。
四、系统通讯方案
沿10KV线路直埋一条16芯ADSS光缆,做为水电站至调度的通讯通道及远动通道,抗干扰能力强,可靠性高。
关键词:电力通信网;可靠性;维护;现状;解决措施
中图分类号:TP393文献标识码:A文章编号:1006-8937(2013)35-0064-01
1电力通信网中对可靠性的影响因素
电力通信的过程比较复杂和开放,其中影响可靠性的因素也是多方面的。从网络的角度来看可以把这些影响因素分为外部因素和内部因素。所谓的外部因素就是指通信设备和相关的网络环境,外部因素又可以细分为可控制因素和不可控制因素。其中的可控制因素就是指通信设备的环境,像是温度、防震、湿度、防尘等因素;不可控制因素就是指通信设备周边的突发外部情况,像是自然灾害、突发事故和人为原因等因素。内部因素主要是受到了通信技术的冲击。随着通信技术的大力发展,加强了新设备和新技术的大量使用,从而使得电力通信中的可靠性受到了巨大的威胁。虽然新设备和新技术的使用能够有效的提升网络的运行速度和管理维修的效率,对电力通信网的可靠性产生了积极的效用,但是相应的新设备和新技术也会提升网络的复杂程度。随着网络规模的不断拓展,一定会给网络的维修和管理工作带来巨大的问题,如果出现意外情况,就会造成十分严重的后果。
2电力信息网安全防护技术措施
电力通信网络出现安全问题,会使得整个系统出现故障,一些实际效用不能发挥。为了更好的保证电力系统的安全运作,就需要采取一些具有针对性的安全防护办法,从而更好的提升电力通信系统在运行过程中的安全。现在使用最多的就是安全维护技术,其中有网络防火墙、网络防病毒、数据加密、数据备份、入侵检测系统等等。
2.1网络防火墙
防火墙是企业局域网和外界联系的通道,很多外来访问都要经过防火墙的检测才可以进行运行,没有任何一个访问能够逃避防火墙。在电力信息网中,设置企业对外进行服务的服务器,不但能够保证服务系统的正常运行,还可以有效的防止电力通信中的服务器受到意外的伤害。
2.2入侵检测系统
使用先进的通信技术可以构建起入侵检测框架,从而实现稳固性、科学性和有效性的监管,给电力通信技术的安全运作提供强有力的保障。还要针对电力通信的实际状况进行分析,合理的划分责任人、责任实践,通过这样的方式帮助信息管理人员制定出更加科学的管理办法。因为入侵检测系统使用的技术是为了攻击防卫技术,所以在可靠性和识别程度方面都有很大的优势。
2.3网络防病毒
病毒进攻是电力信息网中最为常见的问题,也是为了避免信息网受到网络破坏,从而保证网络系统信息安全的有效措施。这还需要在信息网中建立起主机到服务器的科学防病毒体系,其中的服务器就是网络中的重点内容。对于整个网络进行查杀、杀毒等措施,从而保证服务器通过互联网时能够获得现在最新的病毒代码信息,并且对病毒代码资料库进行及时的更新。
2.4数据加密
这个工作主要是通过对文件进行加密、信息摘要、访问控制等一些办法来保护文件的存储、运输加密、信息完整等资料的传播。在制定通信安全时要使用一些数据加密、数字认证和信息摘要等方法,这样就能够保证电力通信网中的有关资料进行有效的运作,在遇到远程接入的时候,可以使用VPN技术来保护信息在传播过程中的保密性和安全性。
2.5数据备份
在日常的运作中,对于一些比较重要的资料经常存储于存储介质中,但是这样的方式还是存在很多问题的,如果在通信网中的硬件设备出现问题,就会造成系统的破坏,甚至是瘫痪。在这样的情况下,数据信息就会遗失,所以,数据备份和容错方案是必不可少的,需要建立集中、分散两种模式的数据备份设施和相应的数据备份方案。
3电力信息网安全防护管理措施
为了更好的保证电力信息网的安全运行,不但要使用积极的措施防护其中的安全问题,还要结合实际状况处理好各方面的管理工作。
3.1人员管理
对电力信息网的管理人员进行适当的培训,从而提升工作人员的专业水平,加强工作的责任心,防止网络机密泄漏出去,特别是工作人员在调离的状况下最容易泄漏机密。
3.2密码管理
密码在电力通信中具有重要的作用,如果密码丢失,想要取回就十分困难。管理时要避免默认密码、出厂密码、无密码的情况,按时更新密码,有效的预防密码被盗。
3.3技术管理
进行科学的安全防护是保证电力通信的主要维护措施。现在要制定的网络安全技术有防火墙、入侵检测设备、路由器、物理隔离设备等。此外还要学会综合使用。
3.4数据管理
数据管理的直接办法有设置密码、数据备份。进行密码的设置是为了防止信息的丢失,而数据备份是为了防止数据在丢失和网络出现问题后信息出现遗失的情况。
3.5信息管理
对于信息设备要进行有效的防护,要对计算机、路由器、交换器、服务器等设备进行科学有效的管理,从而减少受到“火、水、潮、盗、防”等安全问题的影响。
4维修工作中需要注意的方面
为了更好的保证电力通信的有效运作,还要采取积极有效的措施进行防护,在实际操作的过程中需要注意一些问题,从而更好的保证电力通信网的安全。
4.1技术协调管理
科学技术促进了电力信息网技术的改革,在处理安全问题的时候,要以技术为基本点,但是不能一味的注重技术的更新,对于管理人员的自身道德建设也要进行有效的锻炼和培养,从而避免出现重技术轻管理的情况。
4.2安全融合经济
通信网络维护方案要和安全效果以及经济利益融合起来进行设定,从而保证安全措施能够发挥实际的保护效用,避免因为安全方案的更新和改造造成更多经济的投入。
4.3局部帮助全局
电力通信网络安全是全局的问题,如果其中的某个部件出现问题,就会影响到整个网络的运作,可以实行系统工程的方案,从而更好的保证网络的安全运作。
5总结
电力通信网在电力系统中的地位越来越重要,不仅能够保护电力系统的安全,还能够保证企业的市场化要求。但是,随之而来的问题也产生了,为了更好的保证电力信息网的安全,不但要采取积极的措施,还要做好电力通信网络的维护工作,从而保证电力系统的正常运作。
参考文献:
[1]邓雪波,王小强,陈曦,等.基于效能模型的电力通信网可靠性研究[J].重庆邮电大学学报(自然科学版),2012,24(3).
[2]高会生.电力通信网可靠性研究[D].保定:华北电力大学,2009.
关键词:配电网自动化;系统集成;网络安全
0引言
随着城市经济的快速发展,配电网规模进一步扩大,配电网生产运营部门的压力逐年增大,故障处理和运行维护效率不高等运行管理问题将日益突出,需要逐步实现对配电网运行工况的全面实时监视,有效缩短配电线路故障停电时间,提高配电网运行管理水平,提升用户满意度,这一系列问题的解决需要进行配电网自动化建设,本文对配电网自动化的功能需求和系统集成方案进行了探讨。
1配电网自动化的功能需求
1)实现故障快速定位、隔离以及和转供电需求
配电网设备基本采用负荷开关(不能开断短路电流)、不配置继电保护装置,任何一段线路或用户设备故障,均依靠变电站出线开关跳闸隔离故障,引起全线停电;在故障区段查找方面,需要逐段摇绝缘,对故障点进行定位,然后手动进行故障区段隔离处理和对非故障段转供电,平均故障处理时间在3~6小时左右,其中故障定位时间占整个故障处理时间的70%左右,占主要部分。“一遥”、“二遥”和“三遥”均可实现故障区段定位。如适当在关键点配置“三遥”功能,则可进一步实现故障快速隔离和转供电的功能。
2)灵活调整运行方式的需求
目前大部分地区电网仅能通过调度SCADA系统监视10kV线路负荷情况及进行遥控操作,因此在主网故障、主网停电、用户接火、故障转供时,不便进行配电网方式调整。
配电网自动化系统的“遥测”功能,可对运行方式调整进行准确的计算;结合其“遥控”功能则可对运行方式进行随时的灵活调整。另外,当主网设备(如变电站主变或母排)进行检修时,必须对母线上所有线路进行转供电,如果在线路关键节点实现“三遥”,则可大大减轻转供电工作,提高工作效率,减少操作事故。
3)经济调度的需求
随季节、时段不断变化,用户对电力负荷的需求也随之变化。为减少线损,应动态的对配电网潮流进行调整。目前仅根据线路是否过载进行负荷调整,同时为实现操作的便利性,开环点普遍固定设置在户外开关站。
配电网自动化系统的“遥测”功能,可对配电网潮流进行准确的计算,结合其“遥控”功能,则可对方式进行随时的灵活调整。
4)提高供电电压质量的需求
由于缺乏自动化手段,目前配电网线路大量出现线路负荷畸重与畸轻同时存在的情况,造成畸重线路末端用户电压偏低(压降大),畸轻线路末端用户电压偏高(电缆充电电流引起)的现象。
配电网自动化系统的“三遥”功能,可对配电网方式进行随时的灵活调整,从而消除线路负荷畸重与畸轻同时存在的现象,进而提高用户电压合格率。
5)有效保障重要用户供电可靠性的需求
如果对重要用户的环网设备实现“三遥”,以及对相关转供电联络点进行“三遥”,则可在其他区段线路或用户设备故障时,可对重要用户进行快速的转供电。
6)为编制配电网规划等提供数据需求
由于缺乏配电网的历史负荷资料,配电网规划和技术改造计划缺乏深度,可用性差。配电网自动化的“遥测”功能及其数据记录功能,可为配电网规划和技术改造计划提供切实可用的历史记录。
7)提高运行管理水平的需求
缺乏自动化手段,故障的检测和排除、设备的管理等基本上都靠人工方式,效率低下,实施配电网自动化有助于提高工作效率、建立配电网相关的工作制度和管理流程、培养和提高人员的素质、提升供电企业的配电网自动化水平和运行管理水平。
2配网自动化的信息系统集成
(1)系统集成原则
统一信息模型:IEC61970、IEC61968CIM模型是贯穿整个电力系统业务范围的企业信息模型,配电网自动化系统必须遵循IEC61970、IEC61968标准,统一信息模型是实现与其它相关自动化系统优化集成的基础。
统一设备编码:在建立统一信息模型过程中,必须遵循电网关于电力设备编码的有关规定,对所管理的所有设备应该制定一个统一的编码规则,保证设备对象识别的唯一性。编码必须满足IEC61968/61970的模型需求。
保证数据唯一:为确保各种数据在所有系统中的一致性,原则上要求一类数据只能由相关的维护单位从一个应用系统录入,保证该类数据只有唯一的数据源,同时可以提供给其它应用系统共享,从根本上避免数据的重复录入。
网络安全防护:配电网自动化系统与相关自动化系统、管理信息系统之间的数据共享及网络互联必须符合电力二次系统安全防护要求。
(2)系统集成方案
按照电监会《电力二次系统安全防护总体方案》关于网络安全区域划分的规定,采用以下方式实现配电网相关自动化系统的集成,系统间的集成关系采用基于消息交换总线的架构从体系结构和实现机制上实现多个安全区系统间的互连互通,以面向服务体系SOA(ServicesOrientedArchitecture)作为项目的整体结构体系,基于IEC61968/61970的国际标准,尤其是把对这些标准的支持实现在消息交换总线的核心组件中,以服务为基本单元对分布式企业计算系统的各种应用进行封装,建立网络计算中的服务提供者与消费者之间服务协同软件平台,提供在数据、流程和应用等不同服务粒度层次上的业务集成与信息整合,使应用系统达到真正意义上的信息共享与服务集成。
集成总体结构如图所示,通过跨区服务,构建跨安全区、访问透明的信息交换总线。已有应用通过适配器接入总线,使用其它应用提供的服务,同时向其它应用提供服务。
图1实时与非实时系统间集成关系示意图
(3)数据交互要求
各应用系统应满足以下要求:遵循统一的基于IEC61968/61970数据模型,提供统一的数据视图。业务与底层数据源隔离,数据以标准服务方式提供给其它层服务或用户调用。需要统一的业务数据一般以XML数据形式表示,服务方式一般以IEC61968规定的消息方式提供。
信息交换总线应满足以下要求:为配网应用的各个应用系统提供了完整的技术实现框架:将共享的数据源作为可重用、可组合且可配置的服务进行创建,而这些服务对应用和运行平台没有依赖性;基于业务驱动,使用业务目标和需求驱动下游的设计、开发和测试,通过重用现有的或新创建的服务来创建组合业务,快捷实现业务的按需定制。信息交换总线为在此之上构建的应用系统应提供以下功能:
数据交互内容:为了充分利用现有系统,避免重复建设,配电网自动化系统与其他系统之间以及其他系统相互间应该充分进行信息共享和集成,下面是各系统间交互的主要内容:
系统的集成数据流如下图所示:
图2各应用系统信息交换示意图
(4)信息集中展现
现有配电网相关信息系统数量较多,各自侧重点均有所差异,数据也是分散存储,往往需要通过访问多个系统才能查找到所需要的数据。因此,有必要将各个业务系统的关键信息在配电网运行管理集成平台上进行数据整合与集中展现。
在各个应用系统集成的基础上,以下三类原本离散的信息可以在集成平台上集中展现。
实时信息方面:配电网SCADA、用电现场服务与管理系统等按照CIM模型和量测编码标准的要求将采集到的数据存储到实时数据中心。实时数据中心作为集中存放和获取电网各类实时信息的中心。
地理信息方面:设备地理空间信息与拓扑关系来自GIS系统,并按照CIM模型的要求与配电网SCADA进行集成。
生产业务信息方面:配电GIS系统主要提供设备信息和业务处理信息,如缺陷、停电等。
集成平台以CIM模型为基础,贯通图形与模型、实时与非实时2种技术瓶颈,可以GIS的地理空间和拓扑关系为背景,展现配电网SCADA的线路故障信息,线路的负荷、电流,大用户的负荷、电量,环网开关的分合状态,配电网检修、施工地点,配电网设备的型号、技术参数及缺陷等等。
3网络安全防护方案
无论采用何种系统集成方案,配电网自动化系统与相关自动化系统、管理信息系统之间的数据共享及网络互联必须符合网络安全防护的总体要求。
根据《电力二次系统安全防护规定》(电监会5号令)的要求及电监会《电力二次系统安全防护总体方案》关于网络安全区域划分的规定,电力二次系统安全防护工作应坚持安全分区、网络专用、横向隔离、纵向认证的原则。配电自动化监控属于电力监控系统的范畴,必须放置在网络的生产控制大区,而配电生产管理属于生产管理的范畴,放置在网络的管理信息大区。在生产控制大区与管理信息大区之间必须设置经国家指定部门检测认证的电力专用横向安全隔离装置。同时,应注意以下几点:
1)配电自动化系统与网络安全二区内的系统之间应采用具有访问控制功能的设备、防火墙或者相当功能的设施,实现逻辑隔离。
2)配电自动化系统的“遥控”功能必须使用生产控制大区的专用网络通道。
3)在配电自动化系统与广域网的纵向交接处,应当设置经过国家指定部门检测认证的电力专用纵向加密认证装置或者加密认证网关及相应设施。
4)放置在管理信息大区内的配电网GIS应用等系统与生产控制大区内的配电自动化系统之间的数据共享,只能由配电自动化系统向管理信息大区内的系统发起数据查询、更改等操作,严禁由管理信息大区内的系统向配电网自动化系统发起访问。
5)来自公网通信路径的数据必须通过网络安全防护设备后,才可以接入主站数据采集系统。
6)合理使用各种防护手段,除使用规定的安全隔离、防火墙及加密装置外,还可以配合使用IDS入侵检测、防病毒软件、安全评估系统等,加强设备使用管理规定,防止设备滥用。
配电网自动化系统安全防护配置方案如下图所示。
图3配电网自动化系统安全防护配置方案
4结束语
【关键词】会计电算化风险监控
一、电算化会计中存在的风险
1、数据共享的风险
市场经济的发展推动着越来越多企事业单位纷纷借助计算机网络来展示和推介自己,网络财务带来了会计系统的开放和数据共享。电算化会计信息资料也以其具有的辅助分析、预测等功能越来越多地为多方共享。有些单位不注意电算化会计信息共享中应注意的问题,没有合理界定共享信息范围,或根本就缺乏信息安全意识,共享信息不设数据加密等保护性限制措施(包括数据的加解密、认证信息的加解密、数据鉴定完整性)、访问控制技术、认证技术、网络防毒等,造成会计信息被盗用、信息被篡改、丢失,单位经济活动或商业秘密、理财秘密被公开、网络病毒入侵等后果,加大了会计资料共享的风险。
2、硬件维护的风险
硬件维护主要指在系统运行过程中,出现硬件故障时及时进行故障分析、检查、修复,并由系统维护人员及时进行安装调试的活动。很多单位没有指定专门的系统维护人员,或系统维护人员缺乏最基本的电脑硬件维护常识;有些单位的财会人员用系统计算机从事与会计业务无关的工作,在财务专用机上使用、安装外来软盘、光盘甚至游戏软件,系统计算机没有安装高效实时监控的防毒、杀毒软件,增加了系统计算机感染病毒的机会。更有甚者,系统维护员缺乏必要的防范意识和措施,对利用计算机进行经济犯罪知之不多,控制措施不得力,将会计系统服务器或工作站连接Internet,更进一步增大了病毒通过互联网和电子邮件入侵的可能性。
3、系统软件维护中存在风险
软件维护主要包括正确性维护、适应性维护、完善性维护等。正确性维护是指诊断和改正错误的过程,适应性维护是指单位的会计工作发展变化时,为适应而进行的修改活动;完善性维护是为了改善软件已有功能的需求而进行的软件修改活动。目前市场上出现的各种会计软件,其功能均处于不断地完善、开发、改造和升级之中。有些单位购买软件时不注重软件售后服务,软件性能缺乏稳定性,难以适应日新月异、新业务不断出现的会计工作需要。系统升级改造前缺乏必要的论证、考察,盲目改造或对软件做二次开发,造成新问题不断出现,给实际会计工作造成麻烦和风险。
4、电子信息档案管理存放中存在的风险
会计档案在收集过程中,由于操作人员时间观念不强,没有及时或定期按规定把计算机系统中的所有会计资料备份到磁性介质或光盘上;没有脱离原计算机系统进行保存。一旦因意外或人为错误造成数据丢失或系统被破坏,就不能在最短时间、最小损失下恢复原有的会计资料,电算化系统不能正常工作。实际工作中许多单位的电子档案在保管过程中,操作员往往是单备份保存,且保存在电算化系统附近,一旦发生意外,后果不堪设想。有的档案保管人员缺乏必要的物理知识,不懂磁性介质的物理特性,将电子档案存放在磁场附近,造成备份资料瞬间消失。此外,档案保管人员由于缺乏安全意识,不注意档案存放环境,使电子档案遭遇火灾、水浸、霉变的情况时有发生。
二、会计电算化中对于风险的监控
在会计电算化过程中进行风险控制是十分必要的,并将被提到一个越来越重要的位置。各级领导都要提高对会计电算化工作的认识,积极创造条件开展此项工作。单位负责人或总会计师应当亲自领导会计电算化工作,财务部门组织具体实施,对在什么时候开展、开展哪些项目都应仔细规划,广泛听取专家的意见,认真做好可行性研究;建立民主、科学的决策机制,对会计电算化事项进行集体讨论,杜绝一人说了算的现象。只有这样,才能提高决策的正确性,减少决策的盲目性,降低决策风险。
1、硬件软件控制
财政部《会计电算化工作规范》中明确规定:具备一定硬件基础和技术力量的单位,都要充分利用现有的计算机设备建立计算机网络,做到信息资源共享和会计数据实时处理。因此,优良的计算机硬件配置是实现会计软件高效运作、信息共享、数据交换、良性循环的必备物质条件。此外,各单位在购买财务软件推行会计电算化时,应该重点注意:所购软件必须通过财政部的评审,软件的技术指标应满足本单位需求,符合特殊核算的要求和行业特性以及发展的需要,软件功能具有前瞻性,且能保证会计数据安全可靠,不易被破坏和泄密,操作方便,通俗易懂,简单好学,售后服务好,能及时提供日常维护、版本升级和软件再开发。
2、操作系统控制
保持计算机在符合温度、电压、卫生等要求的环境下正常工作,网络系统电算化的单位要使用防火墙软件。为防止社会不法分子对单位内联网的非法攻击,可以根据网络系统区域划分的不同,设置多级防火墙。一类是外层防火墙,用来限制外界对主机操作系统的访问;另一类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域间的联系,限制外界穿透防火墙对会计数据库的非法访问。同时也要安装具有高效实时监控功能的防毒软件。
总之,对于软硬件的升级改造,要充分考虑会计工作的延续性和升级软件的稳定性与会计信息资料的安全性,既要有工作的热情,又要本着谨慎的原则,避免盲目和冲动给会计工作带来的被动和风险。
3、组织与管理控制
实行会计电算化的单位要建立健全内部控制制度,明确会计人员职责,采取相应措施保护计算机设备,确保会计信息资料的准确性。防止各种非指定人员操作计算机及财务软件,保证机内的程序和数据的安全。明确规定上机操作人员对会计软件的操作工作内容和权限。密码是限制操作权限、检查操作人员身份的一道防线,管理好每个人的密码,对整个系统的安全至关重要,因此,对操作密码要严格管理、实行定期更换。杜绝未经授权人员操作会计软件,防止会计人员越权使用软件。操作人员离开机器时,应执行相应的命令退出会计软件。各单位应根据本单位的实际情况,设专人保存上机操作记录,记录操作人、操作时间、操作内容等并与软件中的“日志管理”相比较,开展日志审计。
4、系统日常操作管理控制
系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件,如对进入机房内的人员进行严格审查;规定交接班手续和登记运行日志;规定数据备份及机器的使用规范;规定软盘专用以防病毒感染;规定不准在计算机上玩电脑游戏等等。标准操作规程包括:软硬件操作规程,作业运行规程,上机时间记录规程等。
5、实体安全控制
实体安全涉及到计算机机房的环境、光和磁介质等数据存储体的存放和保护。机房应符合技术和安全的要求,充分满足防火、防水、防潮、防盗、恒温等技术要求,并配有空调和消防设施。对用于数据备份的磁介质存储媒体注意防潮、防尘和防磁,对所有业务数据实行双备份、异地存放,建立目录清单,对长期保存的磁介质存储媒体还应定期转储。
6、数据和程序控制
数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。
数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两人服务器进行双机镜像映射备份是备份的先进形式。
程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。接触控制是指非系统维护人员不得接触到程序的技术资料、源程序和加密文件,从而减少程序被修改的可能性;程序备份则是指有关人员要注明程序功能后备份存档,以备系统损坏后重建安装之需。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质和在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。
7、网络安全控制
随着网络技术快速地发展,公司应加强网络安全的控制,在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。针对这些方面,可采用一些安全技术,主要包括数据加密技术、访问控制技术、数字签名技术等。
数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。访问控制技术的代表是防火墙技术,特别是已融和了VPN(虚拟专用网及隧道技术)的防火墙技术。防火墙是建立在企业内部网(Intranet)和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,目的在于防范来自外部的非法访问、又不影响正常工作,从而为企业设立了一道电子屏障。
数字签名是指在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。
【参考文献】
[1]郭利平:企业如何实行会计电算化[J].科技情报开发与经济,2005(12).
[2]周银花:谈企业会计电算化应用中的内部控制[J].山西建筑,2004(4).
[3]陆义保:电脑会计[M].南京大学出版社,2000.
[4]王景新、郭新平:计算机在会计中的应用[M].经济管理出版社,1998.
[5]张英明:IT环境下会计信息系统内部控制研究[J].中国会计电算化,2002(5).
[6]李少彤:论电算化会计信息资料共享[J].中国会计电算化,2000(3).
第一,档案网络信息部门要建立一个安全的网络环境。维护档案信息安全的网络部门环境是十分重要的,要对该部门网络信息的查询始端和终端以及移动端设备进行仔细的检查,并做好保护工作。第二,建立起安全可靠的档案信息传输通道。档案信息在传送的过程中很容易被窃取,因此我们加强档案资料信息传输过程的保密措施,以防不法分子窃取档案信息,从而造成不必要的损失。第三,要严格限制用户的访问权限。用户在申请访问权限时,档案管理部门要验证用户的身份信息,保证用户只能访问授权的内容,不能访问受限制的内容。第四,完善密码和密码设备的协调机制。所有用户密码以及密码设备都应当进行统一的管理,并且要把每个用户的密码与密码设备对应起来,确保准确。第五,创造综合管理档案信息的工作环境。这个要求就是将全部用户的档案信息集中到一起进行管理。这样不仅方便管理档案信息,还能保护档案信息,防止档案资料损坏或者是丢失。
2档案网络信息保障体系建设的内容
档案网络信息保障体系建设的主要内容有物理安全、网络安全、系统安全、应用安全、用户安全和安全管理六个方面。物理安全是预先对需要加密的档案信息进行分类,依据档案资料的保密程度进行分等级的加密,将加密好的档案资料储存到没有电磁影响的档案室中,对存储档案资料的设备要安装监控系统,并设专人进行实时的监控,一旦发现安全隐患及时上报。此外,由于电子设备对电磁比较敏感,所以,要特别注意电子设备所在档案室的检查和维护。物理安全保障体系是比较常见的一种保障方法,应用的范围较广,可以保障档案资料储存的安全。网络安全主要是对电子设备进行加密,无论是档案资料的存储设备还是档案资料的传输设备都需要进行加密,要为每一个设备终端和服务器安装密码机,并不定时的修改密码。在选取存储设备和加密设备时,要选择具有行业信誉的品牌,或者是上级管理机构规定的品牌,不可选择质量较差的设备。此外,相关管理部门要科学的规划和分配档案管理机构的网络地址,最好与普通网络用户相区别开。系统安全是对存储档案资料的电子设备的操作系统进行保护,操作系统对于电子设备来说是非常重要的,操作系统的好坏不仅直接影响着电子设备运行速度的快慢,还影响着操作人员学习的难易。人性化的操作系统不仅可以减小操作人员学习的时间和劳动强度,还可以提高工作效率。对于加密程度较高的档案资料信息,先进的系统是可以进行实时监控的,并对档案信息资料储存和传递过程中出现的问题进行反馈,由此可见,系统安全对于档案资料信息化建设的重要性,所以,在选择电子设备的操作系统时要格外注意,最好选择比较先进的系统,对于有特殊要求的档案资料存储设备,可以依据自身的特点进行系统的开发。应用安全的建设主要是对档案的实际应用进行保护,由于档案资料的加密程度不同,所以对于加密文件和不加密文件可以分开管理。在进行档案加密程度分类时,要仔细认真,不要弄错档案资料的类别。要保障应用系统的安全,及时对档案资料进行备份,防止因特殊情况造成档案资料的丢失。此外,要确定档案资料的浏览权限,对于保密级别较高或严格保密的资料要加强保护的力度,保障档案信息的安全。用户安全是为了保护用户信息安全而建立的,用户是档案资料信息化建设的服务对象,保障用户的网络安全是十分必要的。用户在选择杀毒软件时,要选择适当的杀毒防御系统,最好是可以实时更新补丁和修复系统漏洞的杀毒系统,当有病毒攻击时,可以保护用户的电子设备和档案信息的安全。此外,用户最好不要随意改变已经设立好的网络地址,特别是经过档案管理机构网络验证的网址,在进入应用系统前,一定要按照系统的提示进行验证,保障档案网络系统客户端的安全。安全管理是在监控档案信息安全的基础上,建立一个完善的档案网络信息安全保障系统。完善安全管理应当做到以下几个方面:首先要建立规范的管理规章制度,现阶段我国的档案管理制度还不是很完善,有些政策无法落实到位,无法规范档案管理者的行为,因此,要加大规章制度建设的力度,对于网络系统的安全管理可以通过建立保障系统运作制度、用户认证制度、安全操作制度、程序规范制度等具体的制度来实现;其次要设立一个健全的组织机构,设置一个专门的工作人员实时掌控档案网络信息安全工作,具体的部门要由专业能力的工作人员进行管理,各个部门的工作人员要及时进行工作交流;最后要设立一个完善的安全保障体系,在档案管理系统出现故障或者档案信息安全受到威胁的时候,有能力和方法来处理各种突况。此外,还可以增设一些安全配套设施,保障安全管理工作的顺利进行。
3档案网络信息保障体系建设的具体方法
[关键词]中国电信IMS网络运维综合能力提升对策
中图分类号:TN919.8文献标识码:A文章编号:1009-914X(2015)13-0306-01
随着网络融合的深入推进,中国电信未来将拥有庞大复杂的IMS融合网络。当前IMS网络发展机遇与挑战并存,鉴于IMS与传统网络的巨大差异性,中国电信运营商应充分认清当前IMS网络运营问题和挑战,以便有的放矢地加以应对,更好地促进IMS网络运维能力、运营水平的整体提升。
一、中国电信IMS网络运营面临的问题
1.IMS技术层面问题
从IMS技术层面来看,IMS网络彻底IP化内核的技术特征,会增加网络和业务的运营风险与维护难度,给网络运营带来更大挑战。IMS技术对运营挑战主要包括以下方面:第一,IMS网络架构较软交换而言更复杂,运营难度增加。IMS网络涉及多个专业设备,且设备种类更多、网元间接口更复杂,如增加了IMS-SIPDiameter等协议,为故障定位、服务质量保障带来挑战。第二,IMS是基于全IP网内核的网络技术,带来新挑战。IMS网络实现了端到端信令与媒体全面扁平化,即除了媒体流实现扁平化外,网元间通过域名查找DNS做到端到端无连接状态的信令路由寻址,这种动念寻址链路较传统静态链而言,更完美,但也带来互通、安全、维护等风险,对网络方案提出更高的技术要求。第三,IMS网元容量大,接入客户类更多,设备故障对业务影响更大,这就要求故障发现更快,切换更快,但技术、设备代价也更大,因此对网络容灾安仝技术提出更高要求。第四,智能终端风暴的挑战。终端智能化、多元化、个性化趋势加快,各类软硬终端、智能手机层出不穷,由于IMS支持终端漫游,接入方式多样化,如EV-DO、Wi-Fi、ADSL及PON等,网络接入互通兼容性问题比较突出,故障定位难度加大,若终端通过非信任域IP接入也给核心网络引入一定风险,因此,对网络安全、运维能力提出新要求。第五,端到端的QoS服务能力不足。目前虽有规范,但技术还不够成熟,端到端QoS保证体系不完善,宽带业务和窄带业务在资费模式、业务模式,甚至商业模式上都有所不同,为新型宽带业务的运营带来挑战。
2.IMS网络层面问题
IMS网络运营时,在IMS应用模式、网络业务实现方案、技术规范方面尚待研究和优化;在运行质量指标、网络互通、业务实现、可靠性、接入维护、管理能力、支撑系统、维护队伍建设方面带来挑战。日前影响IMS网络运行质量的原因主要包括以下方面:一是IMS技术在网络组织、应用方案、运维功能上还需要通过运营不断验证、优化完善;网络运行质量指标体系有待研究建立与试验,目前部分统计能力还不具备,尤其是端对端的业务质量评估指标,为网络质革优化带来挑战;统一接入及新型智能终端带来新的维护能力需求、方式的挑战。二是网络跨网络、跨机型、跨域、跨平台的互通能力与稳定性有待提升,对网络服务质量带来影响;跨网络体制的融合业务实现方案有待研究优化,对业务开放带来挑战;设备网管系统能力有待规范统一,维护能力有待提升。三是配套支撑系统有待升级改造支持与IMS网络衔接,可能会影响业务受理、开放;维护队伍IMS维护技能与维护经验不足的挑战。
3.IMS安全运营层面问题
IMS安全运营是网络运营的重要基础。目前IMS组网方式、安全机制还不完善,例如,存在较多薄弱安全风险,S-CSCF间缺少容灾倒回能力,S-CSCF负荷均衡机制欠缺,网络中断SIP用户恢复耗时长,且依赖终端重注册,IMS还不具备对业务平台、DNS或关键网元的Bypass功能,用户账号密码存系统没加密,维护手段不足等。因此,需要提出IMS可靠性提升关键技术和运维管理手段措施,形成相关规范和指导方案,这就对运维监控、防瘫、应急维护能力提出更高要求。
二、中国电信IMS网络运维综合能力提升对策
1.IMS网络集约化运营能力的提升策略
目前中国电信IMS网络运营刚开始,急需尽早建立合理、规范的集约化运营体制,提升高效运营能力。具体包括:
(1)加强集约化运维体制的建设。通过有序推进IMS集约化运营试点工作,不断完善相关维护制度、维护方式,明确维护职责和分界面,研究形成测试规范、运行质量指标、日常维护计划、数据配置规范、应急预案等满足常规运营需要。
(2)强化集约化维护管理。对厂商统一网管能力提升,针对设备种类多的问题,需要制定相应网管规范,将配套数通设备、IT设备纳入厂商网管统一管理,同时实现标准化北向接口与综合网管系统的对接;系统性推进配套支撑系统与IMS衔接的改造升级,包括综合网管系统、信令监测系统、10000申诉处理系统、计费系统、业务受理支撑系统等。
(3)实现IMS网络与业务的统一。针对融合业务实现复杂的问题,要形成统一解决方案、配置方案;鉴于网络互通的复杂性,研究制定规范和指导原则,加强网络联调、业务互通、贯穿测试,在上线前尽量消除主要问题隐患。
(4)增强网络运维技术手段。如针对终端的深度分析管理平台、IP网业务流监测系统、业务质量自动拨测系统及时发现问题,控制影响范同,及早消除故障。
(5)规范集约化故障处理流程。对跨专业、跨网络、跨域、漫游时故障要及时发现、快速定位和应急疏通要求更高,应重视做好日常定时拨测、安全防护、例行维护、应急预案等。
(6)加强维护专家队伍建设,除了熟练掌握IMS等融合核心网络维护技术和经验技巧外,还应提升在IP网络、综合接入、新流程和融合网络业务等方面维护技能和经验。
2.IMS网络安全性与可靠性的提升策略
IMS网络安全性及可靠性的提升,可从组网建设、网络技术、维护管理等方面加以综合考虑。
(1)IMS容灾组网技术方案。组网时应根据IMS安全的薄弱环节,对核心网元的安全等级进行划分,对HSS、S/I/P-CSCF、DNS等重要性最高的A类网元选择Pool或1+1互备等组网方式,支持容灾数据实时或准实时同步;对MGCF、AGCF和大型BAC等B类网元采用双归属或负荷分担方式组网;域内采用有心跳检测的静态链路,当域内网元出现故障时,可快速告警和路由切换;域间通过软交换网、传统长途网做好动态链路失效的迂回保护。
(2)IMS快速旁路Bypass应急恢复技术。针对A类网元瘫痪,研究试验DNSBypass、ASBypass、HSSBypass、CCFBypass机制和维护规范,使得网元瘫痪后业务不受影响或影响最小,另外还应提升维护人员网络防瘫、应急恢复能力和维护水平。
(3)IP安全防护与漏洞封堵。针对业务开放与IP化系统的安全漏洞问题,应通过安全扫描等手段,发现和封堵系统漏洞,服务端口最小化;在网络边缘层配置防火墙功能阻隔非信任区域的风险。
(4)用户信息安全加密技术。账号密码等用户关键信息录入、传送、存储、维护全流程采用加密算法进行加密。
总之,IMS网络作为未来统一核心网络,其运营质量问题将关系整个电信网络、业务运营的质量,应引起足够重视,并充分研究IMS网络运营的关键问题,提出解决对策,实现IMS网络规范、高效、安全的运营目标。
参考文献