電力行業(yè)信息化建設(shè)網(wǎng)絡(luò)安全解決方案
0 引言
??????? 網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)的���、全局的管理問題��,網(wǎng)絡(luò)上的任何一個(gè)漏洞���,都會(huì)導(dǎo)致全網(wǎng)的安全問題,我們應(yīng)該用系統(tǒng)工程的觀點(diǎn)����、方法,分析網(wǎng)絡(luò)的安全及具體措施�����。安全措施是技術(shù)措施����、各種管理制度、行政法律手段的綜合��,一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。
??????? 1 電力信息網(wǎng)安全防護(hù)框架
??????? 根據(jù)電力企業(yè)的特點(diǎn)����,信息安全按其業(yè)務(wù)性質(zhì)一般可分為四種:一種為電網(wǎng)運(yùn)行實(shí)時(shí)控制系統(tǒng),包括電網(wǎng)自動(dòng)發(fā)電控制系統(tǒng)及支持其運(yùn)行的調(diào)度自動(dòng)化系統(tǒng)�����,火電廠分布控制系統(tǒng)(DCS�����,BMS��,DEH���,CCS),水電廠計(jì)算機(jī)監(jiān)控系統(tǒng)����,變電所及集控站綜合自動(dòng)化系統(tǒng),電網(wǎng)繼電保護(hù)及安全自動(dòng)裝置�,電力市場技術(shù)支持系統(tǒng)。第二種為電力營銷系統(tǒng)�,電量計(jì)費(fèi)系統(tǒng)����,負(fù)荷管理系統(tǒng)�。第三種為支持企業(yè)經(jīng)營、管理��、運(yùn)營的管理信息系統(tǒng)�。第四種為不直接參與電力企業(yè)過程控制、生產(chǎn)管理的各類經(jīng)營�����、開發(fā)�、采購、銷售等多種經(jīng)營公司�。針對電力信息網(wǎng)業(yè)務(wù)的這種的層次結(jié)構(gòu),從電力信息網(wǎng)安全需求上進(jìn)行分析��,提出不同層次與安全強(qiáng)度的網(wǎng)絡(luò)信息安全防護(hù)框架即分層��、分區(qū)的安全防護(hù)方案���。第一是分層管理�����。根據(jù)電力信息網(wǎng)共分為四級網(wǎng)的方式��,每一級為一層�,層間使用網(wǎng)絡(luò)防火墻進(jìn)行網(wǎng)絡(luò)隔離。第二是分區(qū)管理����。根據(jù)電力企業(yè)信息安全的特點(diǎn),分析各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程���、目前狀況和安全要求,將電力企業(yè)信息系統(tǒng)分為四個(gè)安全區(qū):實(shí)時(shí)控制區(qū)�、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)��。區(qū)間使用網(wǎng)絡(luò)物理隔離設(shè)備進(jìn)行網(wǎng)絡(luò)隔離���,對實(shí)時(shí)控制區(qū)等關(guān)鍵業(yè)務(wù)實(shí)施重點(diǎn)防護(hù)���,并采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)。
??????? 2 電力信息網(wǎng)安全防護(hù)技術(shù)措施
??????? 2.1 網(wǎng)絡(luò)防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口��,這里的外網(wǎng)包括到不同層次的電力網(wǎng)、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò)��、internet�����,所有的訪問都將通過防火墻進(jìn)行���,不允許任何繞過防火墻的連接�。DMZ?��;饏^(qū)放置了企業(yè)對外提供各項(xiàng)服務(wù)的服務(wù)器�����,即能夠保證提供正常的服務(wù)�,又能夠有效地保護(hù)服務(wù)器不受攻擊��。要正確設(shè)置防火墻的訪問策略��,遵循“缺省全部關(guān)閉����,按需求開通的原則”�����,拒絕除明確許可外的任何服務(wù)���,也即是拒絕一切未予準(zhǔn)許的服務(wù)。與Internet連接的防火墻的訪問策略中�����,必須禁止Rlogin��,NNTP��,F(xiàn)inger����,Gopher���,RSH���,NFS等危險(xiǎn)服務(wù),也必須禁止Telnet�,SNMP,Terminal Server等遠(yuǎn)程管理服務(wù)。
??????? 2.2 物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離�����。物理隔離裝置實(shí)際上是專用的防火墻�,由于其不公開性,使得更難被黑客攻擊�����。
??????? 2.3 入侵檢測系統(tǒng):入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品�����。國際上先進(jìn)的分布式入侵檢測構(gòu)架��,可最大限度地���、全天候地實(shí)施監(jiān)控�����,提供企業(yè)級的安全檢測手段�����。在事后分析的時(shí)候��,可以清楚地界定責(zé)任人和責(zé)任事件��,為網(wǎng)絡(luò)管理人員提供強(qiáng)有力的保障���。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù)�����,具有高可靠性�、高識別率���、規(guī)則更新迅速等特點(diǎn)�����。系統(tǒng)具有強(qiáng)大的功能�、方便友好的管理機(jī)制�,可廣泛應(yīng)用于電力行業(yè)各單位���。所選擇的入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊�����,中心數(shù)據(jù)庫應(yīng)放置在DMZ區(qū)����,通過在網(wǎng)絡(luò)中不同的位置放置比如內(nèi)網(wǎng)、DMZ區(qū)網(wǎng)絡(luò)引擎��,可與中心數(shù)據(jù)庫進(jìn)行通訊����,獲得安全策略,存儲(chǔ)警報(bào)信息�����,并針對入侵啟動(dòng)相應(yīng)的動(dòng)作��。管理員可在網(wǎng)絡(luò)中的多個(gè)位置訪問網(wǎng)絡(luò)引擎����,對入侵檢測系統(tǒng)進(jìn)行監(jiān)控和管理。
??????? 2.4 網(wǎng)絡(luò)隱患掃描系統(tǒng):網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP/IP協(xié)議的設(shè)備�,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡(luò)設(shè)備包括:服務(wù)器��、工作站、防火墻�����、路由器��、路由交換機(jī)等���。在進(jìn)行掃描時(shí)��,可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描�����。掃描結(jié)束后生成詳細(xì)的安全評估報(bào)告����,采用報(bào)表和圖形的形式對掃描結(jié)果進(jìn)行分析��,可以方便直觀地對用戶進(jìn)行安全性能評估和檢查���。
