电力行业信息化建设网络安全解决方案.doc

1、电力行业信息化建设网络安全解决方案1 电力行业信息化建设网络安全解决方案 摘要：解决信息安全问题不能仅仅只从技术上考虑，要防止重技术轻管理 的倾向，加强对人员的管理和培训。文章对信息安全的解决方案从技术和管理 两个方面进行了探讨。 关键词：电力安全解决方案 0引言 网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会 导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及 具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合，一个 较好的安全措施往往是多种方法适当综合的应用结果。 1电力信息网安全防护框架 根据电力企业的特点，信息安全按其业务性质一般可分为四

2、种：一种为电 网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化 系统，火电厂分布控制系统(DCS, BMS, DEH, CCS),水电厂计算机监控 系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力 市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷管理系统。 第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参与电 力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。 针对电力信息网业务的这种的层次结构，从电力信息网安全需求上进行分析， 提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方 案。第一是分

3、层管理。根据电力信息网共分为四级网的方式，每一级为一层， 层间使用网络防火墙进行网络隔离。第二是分区管理。根据电力企业信息安全 的特点，分析各相关业务系统的重要程度和数据流程、U前状况和安全要求， 将电力企业信息系统分为四个安全区：实时控制区、非控制生产区、生产管理 区和管理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等 关键业务实施重点防护，并采用不同强度的安全隔离设备使各安全区中的业务 系统得到有效保护。 2电力信息网安全防护技术措施 2.1网络防火墙：防火墙是企业局域网到外网的唯一出口，这里的外网包 括到不同层次的电力网、其他信息网如政府网和银行网络、internet,所有

4、的访 问都将通过防火墙进行，不允许任何绕过防火墙的连接。DMZ停火区放置了企 业对外提供各项服务的服务器，即能够保证提供正常的服务，乂能够有效地保 护服务器不受攻击。要正确设置防火墙的访问策略，遵循“缺省全部关闭，按 需求开通的原则”，拒绝除明确许可外的任何服务，也即是拒绝一切未予准许 的服务。与Internet连接的防火墙的访问策略中，必须禁止Rlogin, NNTP, Finger, Gopher, RSH, NFS 等危险服务，也必须禁止 Telnet, SNMP, Terminal Server等远程管理服务。 2.2物理隔离装置：主要用于电力信息网的不同区之间的隔离。物理隔离 装置实

5、际上是专用的防火墙，曲于其不公开性，使得更难被黑客攻击。 2.3入侵检测系统：入侵检测系统是专门针对黑客攻击行为而研制的网络 安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施 监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任 人和责任事件，为网络管理人员提供强有力的保障。入侵检测系统采用攻击防 卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功 能、方便友好的管理机制，可广泛应用于电力行业各单位。所选择的入侵检测 系统能够有效地防止各种类型的攻击，中心数据库应放置在DMZ区，通过在 网络中不同的位置放置比如内网、DMZ区网络引擎，可与中

6、心数据库进行通 讯，获得安全策略，存储警报信息，并针对入侵启动相应的动作。管理员可在 网络中的多个位置访问网络引擎，对入侵检测系统进行监控和管理。 2.4网络隐患扫描系统：网络隐患扫描系统能够扫描网络范圉内的所有支 持TCP/IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包 括：服务器、工作站、防火墙、路山器、路山交换机等。在进行扫描时，可以 从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报 告，采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行 安全性能评估和检查。 2.5网络防病毒:为保护整个电力信息网络免受病毒侵害，保证网络系统中 信 息的

7、可用性，应构建从主机到服务器的完善的防病毒体系。网络防毒系统 可以采用C/S模式，在网络防毒服务器中安装杀毒软件服务器端程序，以服务 器作为网络的核心，通过派发的形式对整个网络部署查、杀毒，服务器通过 Internet利用Livellpdate （在线升级）功能，从免疫中心实时获取最新的病毒 码信息，及时更新病毒代码库。服务器和网络工作站都安装客户端软件，利用 从服务器端获取的病毒码信息对本地工作站进行病毒扫描，并对发现的病毒采 取相应措施进行清除。客户端根据需要可用三种方式进行病毒扫描：实时扫 描、预置扫描和人工扫描。山于病毒扫描可能带来服务器性能上的降低，因此 可釆用预置扫描方式，将扫描时

8、间设定在服务器访问率最低的夜间。网络工作 站可根据各自需要，选择合适的方式进行病毒扫描。客户端采用登录网络自动 安装方式，确保每一台上网的汁算机都安装并启动病毒防火墙。同时要注意， 选择的网络防病毒软件应能够适应各种系统平台，各种数据库平台，各种应用 软件。例如能对电力信息网办公自动化系统使用的Lotus Domino/NOTE平台 进行查、杀毒。 2.6数据加密及传输安全：对与文件安全，通过文件加密、信息摘要和访问 控制等安全措施，来实现文件存储和传输的保密和完整性要求，并实现对文件 访问的控制。对通信安全，采用数据加密、信息摘要和数字签名等安全措施对 通信过程中的信息进行保护，实现数据在通

9、信中的保密、完整和不可抵赖性安 全要求。对远程接入安全，通过VPN技术，提高时的信息（如电子公文， MAIL等等）在传输过程中的保密性和安全性。 2.7数据备份：对于企业来说，最珍贵的不是计算机、服务器、交换机和 路山器等礦件设备，而是存储在存储介质中的数据信息。因此对于一个信息管 理系统来说，数据备份和容错方案是必不可少的。因此必须建立集中和分散相 结合的数据备份设施以及切合实际的数据备份策略。 2.8可靠安全审计：通过记录审计信息来为信息安全问题的分析和处理提 供线索。除了使用软的密码外，还可以使用象USB KEY等硬件的密码认证， 更可以采用二者相结合的方式。 2.9数据库安全：通过数据

10、存储加密、完整性检验和访问控制来保证数据 库数据的机密和完整性，并实现数据库数据的访问安全。 3电力信息网安全防护管理措施 技术是安全的主体，管理是安全的灵魂。只有将有效的安全管理实践自始 至终贯彻落实于信息安全当中，网络安全的长期性和稳定性才能有所保证。 3.1人员管理，要加强信息人员的安全教育，保持信息人员特别是网络管 理人员和安全管理人员的相对稳定，防止网路机密泄露，特别是注意人员调离 时的网络机密的泄露。对网络设备、服务器、存储设备的操作要履行签字许可 制度和操作监护制度，杜绝误修改和非法修改。 3.2密码管理，对各类密码要妥善管理，杜绝默认密码，出厂密码，无密 码，不要使用容易猜测的密码。密码要及时更新，特别是有人员调离时密码一 定要更新。 3.3技术管理，主要是指各种网络设备，网络安全设备的安全策略，如防 火墙、物理隔离设备、入侵检测设备、路山器的安全策略要切合实际。 3.4数据管理，数据的备份策略要合理，备份要及时，备份介质保管要安 全，要注意备份介质的异地保