电力行业信息化建设网络安全解决方案

电力行业信息化建设网络安全解决电力行业信息化建设网络安全解决 方案方案 0 引言 网络安全是一个系统的 全局的管理问题 网络上的任何 一个漏洞 都会导致全网的安全问题 我们应该用系统工程的 观点 方法 分析网络的安全及具体措施 安全措施是技术措 施 各种管理制度 行政法律手段的综合 一个较好的安全措 施往往是多种方法适当综合的应用结果 1 电力信息网安全防护框架 根据电力企业的特点 信息安全按其业务性质一般可分为 四种 一种为电网运行实时控制系统 包括电网自动发电控制 系统及支持其运行的调度自动化系统 火电厂分布控制系统 dcs bms deh ccs 水电厂计算机监控系统 变电所 及集控站综合自动化系统 电网继电保护及安全自动装置 电 力市场技术支持系统 第二种为电力营销系统 电量计费系统 负荷管理系统 第三种为支持企业经营 管理 运营的管理信 息系统 第四种为不直接参与电力企业过程控制 生产管理的 各类经营 开发 采购 销售等多种经营公司 针对电力信息 网业务的这种的层次结构 从电力信息网安全需求上进行分析 提出不同层次与安全强度的网络信息安全防护框架即分层 分 区的安全防护方案 第一是分层管理 根据电力信息网共分为 四级网的方式 每一级为一层 层间使用网络防火墙进行网络 隔离 第二是分区管理 根据电力企业信息安全的特点 分析 各相关业务系统的重要程度和数据流程 目前状况和安全要求 将电力企业信息系统分为四个安全区 实时控制区 非控制生 产区 生产管理区和管理信息区 区间使用网络物理隔离设备 进行网络隔离 对实时控制区等关键业务实施重点防护 并采 用不同强度的安全隔离设备使各安全区中的业务系统得到有效 保护 2 电力信息网安全防护技术措施 2 1 网络防火墙 防火墙是企业局域网到外网的唯一出口 这里的外网包括到不同层次的电力网 其他信息网如政府网和 银行网络 internet 所有的访问都将通过防火墙进行 不允许 任何绕过防火墙的连接 dmz 停火区放置了企业对外提供各项 服务的服务器 即能够保证提供正常的服务 又能够有效地保 护服务器不受攻击 要正确设置防火墙的访问策略 遵循 缺省 全部关闭 按需求开通的原则 拒绝除明确许可外的任何服务 也即是拒绝一切未予准许的服务 与 internet 连接的防火墙的 访问策略中 必须禁止 rlogin nntp finger gopher rsh nfs 等危险服务 也必 须禁止 telnet snmp terminal server 等远程管理服务 2 2 物理隔离装置 主要用于电力信息网的不同区之间的 隔离 物理隔离装置实际上是专用的防火墙 由于其不公开性 使得更难被黑客攻击 2 3 入侵检测系统 入侵检测系统是专门针对黑客攻击行 为而研制的网络安全产品 国际上先进的分布式入侵检测构架 可最大限度地 全天候地实施监控 提供企业级的安全检测手 段 在事后分析的时候 可以清楚地界定责任人和责任事件 为网络管理人员提供强有力的保障 入侵检测系统采用攻击防 卫技术 具有高可靠性 高识别率 规则更新迅速等特点 系 统具有强大的功能 方便友好的管理机制 可广泛应用于电力 行业各单位 所选择的入侵检测系统能够有效地防止各种类型 的攻击 中心数据库应放置在 dmz 区 通过在网络中不同的位 置放置比如内网 dmz 区网络引擎 可与中心数据库进行通讯 获得安全策略 存储警报信息 并针对入侵启动相应的动作 管理员可在网络中的多个位置访问网络引擎 对入侵检测系统 进行监控和管理 2 4 网络隐患扫描系统 网络隐患扫描系统能够扫描网络 范围内的所有支持 tcp ip 协议的设备 扫描的对象包括扫描 多种操作系统 扫描网络设备包括 服务器 工作站 防火墙 路由器 路由交换机等 在进行扫描时 可以从网络中不同的 位置对网络设备进行扫描 扫描结束后生成详细的安全评估报 告 采用报表和图形的形式对扫描结果进行分析 可以方便直 观地对用户进行安全性能评估和检查 2 5 网络防病毒 为保护整个电力信息网络免受病毒侵害 保证网络系统中信息的可用性 应构建从主机到服务器的完善 的防病毒体系 网络防毒系统可以采用 c s 模式 在网络防毒 服务器中安装杀毒软件服务器端程序 以服务器作为网络的核 心 通过派发的形式对整个网络部署查 杀毒 服务器通过 internet 利用 liveupdate 在线升级 功能 从免疫中心实时获 取最新的病毒码信息 及时更新病毒代码库 服务器和网络工 作站都安装客户端软件 利用从服务器端获取的病毒码信息对 本地工作站进行病毒扫描 并对发现的病毒采取相应措施进行 清除 客户端根据需要可用三种方式进行病毒扫描 实时扫描 预置扫描和人工扫描 由于病毒扫描可能带来服务器性能上的 降低 因此可采用预置扫描方式 将扫描时间设定在服务器访 问率最低的夜间 网络工作站可根据各自需要 选择合适的方 式进行病毒扫描 客户端采用登录网络自动安装方式 确保每 一台上网的计算机都安装并启动病毒防火墙 同时要注意 选 择的网络防病毒软件应能够适应各种系统平台 各种数据库平 台 各种应用软件 例如能对电力信息网办公自动化系统使用 的 lotus domino note 平台进行查 杀毒 2 6 数据加密及传输安全 对与文件安全 通过文件加密 信息摘要和访问控制等安全措施 来实现文件存储和传输的保 密和完整性要求 并实现对文件访问的控制 对通信安全 采 用数据加密 信息摘要和数字签名等安全措施对通信过程中的 信息进行保护 实现数据在通信中的保密 完整和不可抵赖性 安全要求 对远程接入安全 通过 vpn 技术 提高时的信息 如电子公文 mail 等等 在传输过程中的保密性和安全性 2 7 数据备份 对于企业来说 最珍贵的不是计算机 服 务器 交换机和路由器等硬件设备 而是存储在存储介质中的 数据信息 因此对于一个信息管理系统来说 数据备份和容错 方案是必不可少的 因此必须建立集中和分散相结合的数据备 份设施以及切合实际的数据备份策略 2 8 可靠安全审计 通过记录审计信息来为信息安全问题 的分析和处理提供线索 除了使用软的密码外 还可以使用象 usb key 等硬件的密码认证 更可以采用二者相结合的方式 2 9 数据库安全 通过数据存储加密 完整性检验和访问 控制来保证数据库数据的机密和完整性 并实现数据库数据的 访问安全 3 电力信息网安全防护管理措施 技术是安全的主体 管理是安全的灵魂 只有将有效的安 全管理实践自始至终贯彻落实于信息安全当中 网络安全的长 期性和稳定性才能有所保证 3 1 人员管理 要加强信息人员的安全教育 保持信息人 员特别是网络管理人员和安全管理人员的相对稳定 防止网路 机密泄露 特别是注意人员调离时的网络机密的泄露 对网络 设备 服务器 存储设备的操作要履行签字许可制度和操作监 护制度 杜绝误修改和非法修改 3 2 密码管理 对各类密码要妥善管理 杜绝默认密码 出厂密码 无密码 不要使用容易猜测的密码 密码要及时更 新 特别是有人员调离时密码一定要更新 3 3 技术管理 主要是指各种网络设备 网络安全设备的 安全策略 如防火墙 物理隔离设备 入侵检测设备 路由器 的安全策略要切合实际 3 4 数据管理 数据的备份策略要合理 备份要及时 备 份介质保管要安全 要注意备份介质的异地保存 3 5