電力行業(yè)信息化建設(shè)網(wǎng)絡(luò)安全解決方案.doc

1、電力行業(yè)信息化建設(shè)網(wǎng)絡(luò)安全解決方案1 電力行業(yè)信息化建設(shè)網(wǎng)絡(luò)安全解決方案 摘要：解決信息安全問題不能僅僅只從技術(shù)上考慮，要防止重技術(shù)輕管理 的傾向，加強對人員的管理和培訓。文章對信息安全的解決方案從技術(shù)和管理 兩個方面進行了探討。 關(guān)鍵詞：電力安全解決方案 0引言 網(wǎng)絡(luò)安全是一個系統(tǒng)的、全局的管理問題，網(wǎng)絡(luò)上的任何一個漏洞，都會 導致全網(wǎng)的安全問題，我們應(yīng)該用系統(tǒng)工程的觀點、方法，分析網(wǎng)絡(luò)的安全及 具體措施。安全措施是技術(shù)措施、各種管理制度、行政法律手段的綜合，一個 較好的安全措施往往是多種方法適當綜合的應(yīng)用結(jié)果。 1電力信息網(wǎng)安全防護框架 根據(jù)電力企業(yè)的特點，信息安全按其業(yè)務(wù)性質(zhì)一般可分為四

2、種：一種為電 網(wǎng)運行實時控制系統(tǒng)，包括電網(wǎng)自動發(fā)電控制系統(tǒng)及支持其運行的調(diào)度自動化 系統(tǒng)，火電廠分布控制系統(tǒng)(DCS, BMS, DEH, CCS),水電廠計算機監(jiān)控 系統(tǒng)，變電所及集控站綜合自動化系統(tǒng)，電網(wǎng)繼電保護及安全自動裝置，電力 市場技術(shù)支持系統(tǒng)。第二種為電力營銷系統(tǒng)，電量計費系統(tǒng)，負荷管理系統(tǒng)。 第三種為支持企業(yè)經(jīng)營、管理、運營的管理信息系統(tǒng)。第四種為不直接參與電 力企業(yè)過程控制、生產(chǎn)管理的各類經(jīng)營、開發(fā)、采購、銷售等多種經(jīng)營公司。 針對電力信息網(wǎng)業(yè)務(wù)的這種的層次結(jié)構(gòu)，從電力信息網(wǎng)安全需求上進行分析， 提出不同層次與安全強度的網(wǎng)絡(luò)信息安全防護框架即分層、分區(qū)的安全防護方 案。第一是分

3、層管理。根據(jù)電力信息網(wǎng)共分為四級網(wǎng)的方式，每一級為一層， 層間使用網(wǎng)絡(luò)防火墻進行網(wǎng)絡(luò)隔離。第二是分區(qū)管理。根據(jù)電力企業(yè)信息安全 的特點，分析各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、U前狀況和安全要求， 將電力企業(yè)信息系統(tǒng)分為四個安全區(qū)：實時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理 區(qū)和管理信息區(qū)。區(qū)間使用網(wǎng)絡(luò)物理隔離設(shè)備進行網(wǎng)絡(luò)隔離，對實時控制區(qū)等 關(guān)鍵業(yè)務(wù)實施重點防護，并采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù) 系統(tǒng)得到有效保護。 2電力信息網(wǎng)安全防護技術(shù)措施 2.1網(wǎng)絡(luò)防火墻：防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口，這里的外網(wǎng)包 括到不同層次的電力網(wǎng)、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò)、internet,所有

4、的訪 問都將通過防火墻進行，不允許任何繞過防火墻的連接。DMZ?；饏^(qū)放置了企 業(yè)對外提供各項服務(wù)的服務(wù)器，即能夠保證提供正常的服務(wù)，乂能夠有效地保 護服務(wù)器不受攻擊。要正確設(shè)置防火墻的訪問策略，遵循“缺省全部關(guān)閉，按 需求開通的原則”，拒絕除明確許可外的任何服務(wù)，也即是拒絕一切未予準許 的服務(wù)。與Internet連接的防火墻的訪問策略中，必須禁止Rlogin, NNTP, Finger, Gopher, RSH, NFS 等危險服務(wù)，也必須禁止 Telnet, SNMP, Terminal Server等遠程管理服務(wù)。 2.2物理隔離裝置：主要用于電力信息網(wǎng)的不同區(qū)之間的隔離。物理隔離 裝置實

5、際上是專用的防火墻，曲于其不公開性，使得更難被黑客攻擊。 2.3入侵檢測系統(tǒng)：入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò) 安全產(chǎn)品。國際上先進的分布式入侵檢測構(gòu)架，可最大限度地、全天候地實施 監(jiān)控，提供企業(yè)級的安全檢測手段。在事后分析的時候，可以清楚地界定責任 人和責任事件，為網(wǎng)絡(luò)管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防 衛(wèi)技術(shù)，具有高可靠性、高識別率、規(guī)則更新迅速等特點。系統(tǒng)具有強大的功 能、方便友好的管理機制，可廣泛應(yīng)用于電力行業(yè)各單位。所選擇的入侵檢測 系統(tǒng)能夠有效地防止各種類型的攻擊，中心數(shù)據(jù)庫應(yīng)放置在DMZ區(qū)，通過在 網(wǎng)絡(luò)中不同的位置放置比如內(nèi)網(wǎng)、DMZ區(qū)網(wǎng)絡(luò)引擎，可與中

6、心數(shù)據(jù)庫進行通 訊，獲得安全策略，存儲警報信息，并針對入侵啟動相應(yīng)的動作。管理員可在 網(wǎng)絡(luò)中的多個位置訪問網(wǎng)絡(luò)引擎，對入侵檢測系統(tǒng)進行監(jiān)控和管理。 2.4網(wǎng)絡(luò)隱患掃描系統(tǒng)：網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圉內(nèi)的所有支 持TCP/IP協(xié)議的設(shè)備，掃描的對象包括掃描多種操作系統(tǒng)，掃描網(wǎng)絡(luò)設(shè)備包 括：服務(wù)器、工作站、防火墻、路山器、路山交換機等。在進行掃描時，可以 從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進行掃描。掃描結(jié)束后生成詳細的安全評估報 告，采用報表和圖形的形式對掃描結(jié)果進行分析，可以方便直觀地對用戶進行 安全性能評估和檢查。 2.5網(wǎng)絡(luò)防病毒:為保護整個電力信息網(wǎng)絡(luò)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中 信 息的

7、可用性，應(yīng)構(gòu)建從主機到服務(wù)器的完善的防病毒體系。網(wǎng)絡(luò)防毒系統(tǒng) 可以采用C/S模式，在網(wǎng)絡(luò)防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序，以服務(wù) 器作為網(wǎng)絡(luò)的核心，通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒，服務(wù)器通過 Internet利用Livellpdate （在線升級）功能，從免疫中心實時獲取最新的病毒 碼信息，及時更新病毒代碼庫。服務(wù)器和網(wǎng)絡(luò)工作站都安裝客戶端軟件，利用 從服務(wù)器端獲取的病毒碼信息對本地工作站進行病毒掃描，并對發(fā)現(xiàn)的病毒采 取相應(yīng)措施進行清除。客戶端根據(jù)需要可用三種方式進行病毒掃描：實時掃 描、預置掃描和人工掃描。山于病毒掃描可能帶來服務(wù)器性能上的降低，因此 可釆用預置掃描方式，將掃描時

8、間設(shè)定在服務(wù)器訪問率最低的夜間。網(wǎng)絡(luò)工作 站可根據(jù)各自需要，選擇合適的方式進行病毒掃描?？蛻舳瞬捎玫卿浘W(wǎng)絡(luò)自動 安裝方式，確保每一臺上網(wǎng)的汁算機都安裝并啟動病毒防火墻。同時要注意， 選擇的網(wǎng)絡(luò)防病毒軟件應(yīng)能夠適應(yīng)各種系統(tǒng)平臺，各種數(shù)據(jù)庫平臺，各種應(yīng)用 軟件。例如能對電力信息網(wǎng)辦公自動化系統(tǒng)使用的Lotus Domino/NOTE平臺 進行查、殺毒。 2.6數(shù)據(jù)加密及傳輸安全：對與文件安全，通過文件加密、信息摘要和訪問 控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸?，并實現(xiàn)對文件 訪問的控制。對通信安全，采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對 通信過程中的信息進行保護，實現(xiàn)數(shù)據(jù)在通

9、信中的保密、完整和不可抵賴性安 全要求。對遠程接入安全，通過VPN技術(shù)，提高時的信息（如電子公文， MAIL等等）在傳輸過程中的保密性和安全性。 2.7數(shù)據(jù)備份：對于企業(yè)來說，最珍貴的不是計算機、服務(wù)器、交換機和 路山器等礦件設(shè)備，而是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。因此對于一個信息管 理系統(tǒng)來說，數(shù)據(jù)備份和容錯方案是必不可少的。因此必須建立集中和分散相 結(jié)合的數(shù)據(jù)備份設(shè)施以及切合實際的數(shù)據(jù)備份策略。 2.8可靠安全審計：通過記錄審計信息來為信息安全問題的分析和處理提 供線索。除了使用軟的密碼外，還可以使用象USB KEY等硬件的密碼認證， 更可以采用二者相結(jié)合的方式。 2.9數(shù)據(jù)庫安全：通過數(shù)據(jù)

10、存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù) 庫數(shù)據(jù)的機密和完整性，并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。 3電力信息網(wǎng)安全防護管理措施 技術(shù)是安全的主體，管理是安全的靈魂。只有將有效的安全管理實踐自始 至終貫徹落實于信息安全當中，網(wǎng)絡(luò)安全的長期性和穩(wěn)定性才能有所保證。 3.1人員管理，要加強信息人員的安全教育，保持信息人員特別是網(wǎng)絡(luò)管 理人員和安全管理人員的相對穩(wěn)定，防止網(wǎng)路機密泄露，特別是注意人員調(diào)離 時的網(wǎng)絡(luò)機密的泄露。對網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲設(shè)備的操作要履行簽字許可 制度和操作監(jiān)護制度，杜絕誤修改和非法修改。 3.2密碼管理，對各類密碼要妥善管理，杜絕默認密碼，出廠密碼，無密 碼，不要使用容易猜測的密碼。密碼要及時更新，特別是有人員調(diào)離時密碼一 定要更新。 3.3技術(shù)管理，主要是指各種網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)安全設(shè)備的安全策略，如防 火墻、物理隔離設(shè)備、入侵檢測設(shè)備、路山器的安全策略要切合實際。 3.4數(shù)據(jù)管理，數(shù)據(jù)的備份策略要合理，備份要及時，備份介質(zhì)保管要安 全，要注意備份介質(zhì)的異地保