信息中心
電力行業網絡安全解決方案
一、電力行業的特點
電力行業是國民經濟的基礎產業,是一切電子設備正常運行的基礎,保證持續、高效的電力供應是關系到國計民生的大事,也是電力部門工作注目的焦點。 電力行業與其他行業相比具有分散控制、統一聯合運行的特點。系統的運行涉及到發電廠、變電站、調度中心;發、輸、配電系統一體化,系統中包括了各種獨立系統和聯合電網的控制保護技術、通信技術、運行管理技術等。 隨著電力行業的不斷發展,電力的關鍵業務不斷增長,因此信息化應用也不斷增強,網絡系統中的應用越來越多。同時,隨著Internet技術的發展,建立在Internet架構上的跨地區、全行業系統內部信息網開始逐步建立,網上應用著各種電力業務及辦公系統。與此同時,電力信息網絡系統的網絡安全問題愈來愈顯得重要。
二、網絡安全分析和安全需求
1、網絡拓撲結構
電力行業信息網拓撲結構邏輯上是星型+樹狀結構。它由主干網、區域網、省內網、地區網四級組成,各級網絡設有分級網絡中心及主節點,各級網絡又以上級網絡中心為中心節點。每一級網的網絡中心與該級網的主干節點呈星型連接,網絡內節點間的信息交換原則上要通過其中心節點。下一級信息網是上一級信息網的接入網,因此區域網是第一級接入網,省內網是第二級接入網,地區網是第三級接入網,縣級網是第四級接入網。各級局域用戶按地理區域就近接入各級接入網絡,漫游用戶就近接入當地網絡,經所管轄的區域網主節點進入主干網。各級網絡中心負責其相應職能范圍的網絡管理和控制,并提供基本網絡功能和網絡增值服務。負責管理運行主干網以及與國家和國際的聯網,它是電力行業信息網的總的連接樞紐。各級信息中心為電力系統全行業提供信息服務。
2、網絡安全分析
一般說來,在電力網絡系統中的安全防護主要包括兩個方面:一是網絡系統中存儲和傳輸的信息數據;二是網絡系統中的各類設備。這樣,保證了生產、經營業務的正常運行,同時防止信息數據被非授權訪問者的竊取、篡改和破壞。
物理層安全風險:
物理層安全是指各種服務器、路由器、交換機、工作站等硬件設備和通信鏈路的安全。風險的來源有:水災、火災、雷擊等自然災害,人為的破壞或誤操作,外界的電磁干擾,設備固有的弱點或缺陷等等。
網絡層安全風險:
在整個電力系統的網絡中,從安全程度和安全角度的不同主要可以劃分為幾個不同的網絡安全區域:從總公司局域網的角度而言,總公司網絡是內網,而撥號用戶、各地分公司/電廠的網絡、Internet等都是外網;從各地分公司/電廠網絡的角度而言,它們本身作為內部網絡,則總公司網絡、省電力局網絡等就是外網。開放的網絡容易受到來自外網的各種攻擊和威脅。入侵者可以利用各種工具掃描網絡及系統中存在的安全漏洞,并通過一些攻擊程序對網絡進行惡意攻擊,這樣的危害可以造成網絡的癱瘓,系統的拒絕服務,信息的被竊取、篡改等等。
系統安全風險:
在電力系統的網絡中,包含的設備主要有各類服務器和路由器/交換機系統。在服務器上主要有操作系統、數據庫系統和其他應用系統。這些系統都或多或少地存在著各種各樣的"后門"和漏洞,這些都是重大的安全隱患。一旦被利用并攻擊,將帶來不可估量的損失。 比如,網絡通訊的TCP/IP協議缺乏相應的安全機制,其中某些協議存在一定的安全漏洞,惡意攻擊者可以利用這些安全漏洞直接攻擊這些設備,修改配置,影響網絡的正常運行,或使網絡中斷;以這些設備為跳板,繼續攻擊內部網絡資源。 對各類操作系(UNIX,WINDOWS NT等)和數據庫而言,其中存在大量已知和未知的漏洞,一些國際上的安全組織已經發布了大量的安全漏洞,其中一些漏洞可以導致入侵者獲得管理員的權限,而另一些漏洞則可以被用來實施拒絕服務攻擊。
服務器系統的安全問題會導致系統受到下列威脅:利用脆弱的基于口令的身份鑒別機制進行的入侵,這些入侵可能來自任何能夠訪問服務器的網絡;服務器的配置錯誤會被入侵者利用掃描器發現并用來形成對系統的入侵;服務器軟件和操作系統的漏洞、缺陷會被入侵者利用對服務器進行入侵或拒絕服務攻擊。 這些威脅可造成的危害有:使服務器性能下降,服務終止(拒絕服務攻擊),或入侵者獲得控制服務器的能力,入侵者有可能利用這個能力破壞服務器上的數據和其他資源,利用被占領的機器所具有的資源攻擊其他機(如利用嗅探器獲得入侵與服務器同一網段的其他系統的通信信息;直接試圖訪問其他目標系統以便隱藏攻擊來源;作為一個攻擊引擎形成對其他目標的分布式攻擊),操作系統、數據庫系統、應用系統及其他文件遭到破壞,系統中的重要/敏感數據信息被竊取、篡改;安裝系統后門。
網絡病毒的安全威脅:
計算機病毒是指一種能使自己附加到目標機系統的文件上的程序。它在所有破壞性設備中最具危險性,可以導致服務拒絕、破壞數據,甚至使計算機系統完全癱瘓。當病毒被釋放到網絡環境時,其無法預測的擴散能力使它極具危險性。病毒會突破系統的訪問控制,對系統造成破壞,可能造成機器死機、信息泄漏、文件丟失等威脅。
3、網絡安全的需求
根據電力系統的網絡拓撲結構及實際應用,我們分析電力系統的網絡安全需求是:
配備防火墻系統以實現各地電力公司與外部網絡的連接的訪問控制。
作為防火墻的補充,須在內部關鍵業務網段配備入侵檢測系統,以防備來自內部的攻擊及外部通過防火墻的攻擊。
配備安全評估系統,定期對電力網絡系統進行掃描,主動發現安全漏洞,及時修補。
采用全網統一的網絡防病毒系統,保護網絡中的各類服務器、工作站等不受病毒的干擾和對其上文件的破壞,以保證系統的可用性。
對關鍵業務信息跨地區的傳輸,采用VPN產品進行加密,保證傳輸過程中的信息安全。
對于網絡設備、服務器等管理員的身份認證,采用諸如令牌口令的增強身份認證系統。
配備災難恢復系統,防備意外的發生。
建立完善的網絡安全管理制度,防止出現人為的安全隱患。
三、安全解決方案
1、總體設計思路和原則
在基本的訪問控制,身份鑒別和安全審計方面采用合理的技術手段。
使用防火墻產品劃分網絡區域,對需要保護的區域進行網絡層的訪問控制。
正確使用系統中已有的安全機制,各系統通常包含了基本的安全機制,如身份認證、訪問控制和審計功能。正確的使用這些安全功能可以減少系統可被利用的漏洞。
采用專用產品強化系統中對安全構成威脅的薄弱環節(包括防病毒)。
用必要和有效的監控和審查機制保證安全機制的有效性,安全策略的正確性;
定期審查
持續監控,部署必要的技術和產品在安全機制失效和災難的情況下采取正確,及時,有效的措施。
及時報警,以爭取管理和技術人員的及時介入。
在入侵正在進行時自動或通過人員干預終止威脅系統安全的行動。
系統遭到破壞是在盡可能短的時間內回復系統的運行。
2、網絡安全產品的部署
(1)防火墻的配置:
作為保護電力系統內部網免遭外部攻擊,最有效的措施就是分別在電力系統各級內部網與外部廣域網之間放置防火墻,通過設置有效的安全策略,做到對電力系統內部網的訪問控制。不改變原來網絡拓撲結構,且保證通訊速度不受較大影響,可以配置使用基于狀態檢測包過濾技術上的流過濾技術的防火墻--硬件防火墻系統。
(2)入侵監測系統的配置:
為了防范來自電力系統內部網絡的攻擊,及來自外部透過防火墻的攻擊,作為防火墻的補充,須在電力系統內部網各重要網段配備入侵檢測系統,通過對網絡行為的監視,來識別網絡的入侵的行為。
實時監視網絡上正在進行通信的數據流,分析網絡通訊會話軌跡,反映出內外網的聯接狀態;
通過內置已知網絡攻擊模式數據庫,能夠根據網絡數據流和網絡通訊的情況,查詢網絡事件,進行相應的響應;
能根據所發生的網絡安全事件,啟用配置好的報警方式,比如Email、聲音報警等;
提供網絡數據流量統計功能,能夠記錄網絡通信的所有數據包,對統計結果提供數表與圖形兩種顯示結果,為事后分析提供依據;
默認預設了很多的網絡安全事件,保障客戶基本的安全需要;
提供全面的內容恢復,支持多種常用協議;
支持分布式結構,安裝于大型網絡的各個物理子網中,一臺管理器可管理多臺服務器,達到分布安裝,全網監控,集中管理;
(3)信息傳輸加密產品的配置:
為了保護數據信息從發起端到接收端傳輸過程的安全性,在每一級網絡配備的防火墻系統與邊界路由器之間配備網絡層加密機,由于網絡層加密設備可以實現網關到網關的加密與解密,因此,在每個有重要傳輸數據的網點只需配備一臺網絡層加密機。利用加密技術以及安全認證機制,保護信息在網絡上傳輸的機密性、真實性、完整性及可靠性。
高加密強度的安全隧道,認證通信雙方的身份,實現基于應用的訪問控制。
有詳細的日志和審計記錄,對所處理的每一次通信或服務都可以進行詳細的記錄。
提供穿越防火墻的VPN應用模式,可以直連的方式把通過認證的數據直接傳送到主機的應用程序。
可以與第三方認證產品集成,提供更強的身份認證和訪問控制功能。
(4)防病毒系統
企業系統中使用的操作系統有UNIX操作系統及WINDOWS操作系統。為了防止病毒的侵害,根據不同的操作系統類型,配備相應的防病毒系統,比如支持UNIX操作系統的防病毒軟件、支持WINDOWS NT或WINDOWS 95/98的防病毒軟件。通過這些軟件所具有的實時檢測功能,達到防范病毒侵害的目的。推薦選用Symantec公司的防病毒系統。
文章作者:國脈互聯
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄