電力行業(yè)信息化建設網(wǎng)絡安全解決方案
0 引言
??????? 網(wǎng)絡安全是一個系統(tǒng)的����、全局的管理問題,網(wǎng)絡上的任何一個漏洞����,都會導致全網(wǎng)的安全問題���,我們應該用系統(tǒng)工程的觀點���、方法,分析網(wǎng)絡的安全及具體措施�����。安全措施是技術措施、各種管理制度�、行政法律手段的綜合,一個較好的安全措施往往是多種方法適當綜合的應用結果���。
??????? 1 電力信息網(wǎng)安全防護框架
??????? 根據(jù)電力企業(yè)的特點�����,信息安全按其業(yè)務性質一般可分為四種:一種為電網(wǎng)運行實時控制系統(tǒng)����,包括電網(wǎng)自動發(fā)電控制系統(tǒng)及支持其運行的調度自動化系統(tǒng)����,火電廠分布控制系統(tǒng)(DCS,BMS����,DEH,CCS)����,水電廠計算機監(jiān)控系統(tǒng),變電所及集控站綜合自動化系統(tǒng),電網(wǎng)繼電保護及安全自動裝置���,電力市場技術支持系統(tǒng)���。第二種為電力營銷系統(tǒng),電量計費系統(tǒng)���,負荷管理系統(tǒng)��。第三種為支持企業(yè)經(jīng)營�、管理�����、運營的管理信息系統(tǒng)�����。第四種為不直接參與電力企業(yè)過程控制����、生產(chǎn)管理的各類經(jīng)營��、開發(fā)、采購����、銷售等多種經(jīng)營公司。針對電力信息網(wǎng)業(yè)務的這種的層次結構���,從電力信息網(wǎng)安全需求上進行分析��,提出不同層次與安全強度的網(wǎng)絡信息安全防護框架即分層�����、分區(qū)的安全防護方案�����。第一是分層管理����。根據(jù)電力信息網(wǎng)共分為四級網(wǎng)的方式����,每一級為一層,層間使用網(wǎng)絡防火墻進行網(wǎng)絡隔離��。第二是分區(qū)管理。根據(jù)電力企業(yè)信息安全的特點���,分析各相關業(yè)務系統(tǒng)的重要程度和數(shù)據(jù)流程����、目前狀況和安全要求�,將電力企業(yè)信息系統(tǒng)分為四個安全區(qū):實時控制區(qū)、非控制生產(chǎn)區(qū)�����、生產(chǎn)管理區(qū)和管理信息區(qū)�。區(qū)間使用網(wǎng)絡物理隔離設備進行網(wǎng)絡隔離,對實時控制區(qū)等關鍵業(yè)務實施重點防護�����,并采用不同強度的安全隔離設備使各安全區(qū)中的業(yè)務系統(tǒng)得到有效保護�����。
??????? 2 電力信息網(wǎng)安全防護技術措施
??????? 2.1 網(wǎng)絡防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口��,這里的外網(wǎng)包括到不同層次的電力網(wǎng)��、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡���、internet�,所有的訪問都將通過防火墻進行��,不允許任何繞過防火墻的連接�����。DMZ?���;饏^(qū)放置了企業(yè)對外提供各項服務的服務器,即能夠保證提供正常的服務��,又能夠有效地保護服務器不受攻擊���。要正確設置防火墻的訪問策略�,遵循“缺省全部關閉��,按需求開通的原則”�,拒絕除明確許可外的任何服務,也即是拒絕一切未予準許的服務���。與Internet連接的防火墻的訪問策略中�����,必須禁止Rlogin�,NNTP,F(xiàn)inger���,Gopher���,RSH,NFS等危險服務��,也必須禁止Telnet�,SNMP,Terminal Server等遠程管理服務�。
??????? 2.2 物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離。物理隔離裝置實際上是專用的防火墻�,由于其不公開性,使得更難被黑客攻擊����。
??????? 2.3 入侵檢測系統(tǒng):入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡安全產(chǎn)品。國際上先進的分布式入侵檢測構架�����,可最大限度地、全天候地實施監(jiān)控���,提供企業(yè)級的安全檢測手段。在事后分析的時候�����,可以清楚地界定責任人和責任事件����,為網(wǎng)絡管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術��,具有高可靠性��、高識別率���、規(guī)則更新迅速等特點�。系統(tǒng)具有強大的功能����、方便友好的管理機制��,可廣泛應用于電力行業(yè)各單位�。所選擇的入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊��,中心數(shù)據(jù)庫應放置在DMZ區(qū)���,通過在網(wǎng)絡中不同的位置放置比如內(nèi)網(wǎng)��、DMZ區(qū)網(wǎng)絡引擎�����,可與中心數(shù)據(jù)庫進行通訊��,獲得安全策略�,存儲警報信息���,并針對入侵啟動相應的動作�����。管理員可在網(wǎng)絡中的多個位置訪問網(wǎng)絡引擎��,對入侵檢測系統(tǒng)進行監(jiān)控和管理����。
??????? 2.4 網(wǎng)絡隱患掃描系統(tǒng):網(wǎng)絡隱患掃描系統(tǒng)能夠掃描網(wǎng)絡范圍內(nèi)的所有支持TCP/IP協(xié)議的設備,掃描的對象包括掃描多種操作系統(tǒng)�����,掃描網(wǎng)絡設備包括:服務器�����、工作站����、防火墻�����、路由器��、路由交換機等�。在進行掃描時,可以從網(wǎng)絡中不同的位置對網(wǎng)絡設備進行掃描����。掃描結束后生成詳細的安全評估報告����,采用報表和圖形的形式對掃描結果進行分析�,可以方便直觀地對用戶進行安全性能評估和檢查。
