華北電網(wǎng)公司企業(yè)信息網(wǎng)安全管理及解決方案

2013-10-31 10:06:30 EP電力信息化網(wǎng)　點擊量：評論 (0)

隨著電力工業(yè)的發(fā)展，電力工業(yè)信息系統(tǒng)的電子化建設(shè)取得了快速進步，計算機技術(shù)在電力工業(yè)的應(yīng)用深度和廣度都得到了巨大的擴展，各電力公司及其所屬機構(gòu)已經(jīng)全部建立了電子化業(yè)務(wù)系統(tǒng)，計算機與網(wǎng)絡(luò)通信技術(shù)已經(jīng)成為支撐電力工業(yè)運轉(zhuǎn)的關(guān)鍵設(shè)施。然而信息系統(tǒng)的存在及大量而廣泛的應(yīng)用，就必然帶來一個我們不得不引起高度重視的問題，那就是信息網(wǎng)絡(luò)系統(tǒng)的安全性問題。

一、華北電網(wǎng)公司信息網(wǎng)絡(luò)運行現(xiàn)狀

    華北電網(wǎng)公司信息網(wǎng)是以集團公司局域網(wǎng)為中心，連接天津、山西、內(nèi)蒙各發(fā)供電單位和科研單位的企業(yè)信息網(wǎng)(見圖1)。

    華北電網(wǎng)企業(yè)信息網(wǎng)通過155M ATM及2M光纖和數(shù)字微波，使用NORTEL公司PASSPORT6480交換機和AN路由器，與26個直屬發(fā)供電單位的局域網(wǎng)相連，形成企業(yè)內(nèi)部的Intranet，通過2M光纖鏈路與國家電網(wǎng)公司相連，成為國家電網(wǎng)公司一級信息網(wǎng)的節(jié)點。華北電網(wǎng)公司本部通過2OM專線與Internet互聯(lián)，企業(yè)內(nèi)部網(wǎng)的每一個用戶都通過此出口獲取Internet的資源。

    華北電網(wǎng)公司本部局域網(wǎng)主干為155M ATM，全網(wǎng)劃分6個VLANE，共有30多臺服務(wù)器和近100O臺PC機分布在不同的網(wǎng)段中(見圖2)。(拓撲圖請到http://tech.chinapower.com.cn查看)

    企業(yè)網(wǎng)中，網(wǎng)絡(luò)設(shè)備產(chǎn)品類型包括Intel、Nortel、Cisco,3com等，服務(wù)器硬件平臺主要為Alpha和 Intel，系統(tǒng)和應(yīng)用平臺有:Win-dows NT、Digital Unix和Domino/Lotus Notes、MS、Exchange、SQLSERVER、ORACLE、SYBASE等，服務(wù)器用途主要為:NT域管理、防火墻、電子郵件服務(wù)、WEB服務(wù)、數(shù)據(jù)庫服務(wù)、文件服務(wù)、遠程訪問服務(wù)等。實現(xiàn)的應(yīng)用系統(tǒng)有生產(chǎn)實時信息、辦公自動化、財務(wù)、人勞、安監(jiān)、遠程數(shù)據(jù)傳輸、WEB服務(wù)、電子郵件服務(wù)、Intranet瀏覽服務(wù)等，為企業(yè)優(yōu)質(zhì)高效運營提供了信息和網(wǎng)絡(luò)資源。華北電網(wǎng)公司Intranet結(jié)構(gòu)如圖3所示。（拓撲圖請到http://tech.chinapower.com.cn查看)

  華北電網(wǎng)公司信息網(wǎng)絡(luò)投入運行幾年中，隨著用戶數(shù)增加、應(yīng)用水平的提高、業(yè)務(wù)量增加、信息量的擴大，人們對信息網(wǎng)的依賴越來越大，網(wǎng)絡(luò)和系統(tǒng)的安全穩(wěn)定運行變得越來越重要，因此建立一套完整的信息網(wǎng)絡(luò)安全體系迫在眉睫。

二、安全隱患和問題

    華北電網(wǎng)公司信息網(wǎng)絡(luò)系統(tǒng)自開始運行以來就存在大量的安全隱患。
    (1)采用開放的網(wǎng)絡(luò)環(huán)境，流行的操作系統(tǒng)和應(yīng)用平臺，非常容易受到攻擊和破壞，而且沒有任何的防毒、防攻擊措施。

    (2)硬、軟件平臺種類多管理復(fù)雜、數(shù)據(jù)庫及業(yè)務(wù)系統(tǒng)開發(fā)平臺不統(tǒng)一，無法使用統(tǒng)一的安全管理系統(tǒng)。

    (3)與Intranet之間只建立一個簡單功能防火墻，對于來自外部的干擾和破壞沒有有利的抵御工具。

    (4)企業(yè)內(nèi)部各局域網(wǎng)之間完全開放，沒有任何防護措施，無法抵御來自不同單位之間的干擾與破壞。

    (5)各局域網(wǎng)建立的撥號訪問系統(tǒng)，均未加任何安全防備，為攻擊者又打開了一道門。

    (6)各單位局域網(wǎng)內(nèi)部無有效的身份認證系統(tǒng)，無法抵御企業(yè)內(nèi)部的安全威脅。

    (7)系統(tǒng)、應(yīng)用、數(shù)據(jù)沒有有效的完整的備份措施，一旦發(fā)生硬件和系統(tǒng)故障，造成數(shù)據(jù)丟失，將會造成不可彌補的巨大損失。

    (8)缺乏有效的管理機制和穩(wěn)定的技術(shù)人員隊伍，文檔不規(guī)范，出現(xiàn)問題不能及時解決。

    (9)使用者的安全意識差，對將出現(xiàn)甚至已經(jīng)出現(xiàn)的安全問題，不采取有效的防護措施。

    (10)缺乏設(shè)備系統(tǒng)的定期更換和檢修計劃和資金，系統(tǒng)無法保證高可靠性運行。

    以上問題已逐漸在目前的網(wǎng)絡(luò)運行中多次暴露出來，因此建立華北電網(wǎng)公司企業(yè)信息網(wǎng)的安全體系是非常必要的。

三、國內(nèi)外信息安全技術(shù)

    信息系統(tǒng)的安全指計算機網(wǎng)絡(luò)環(huán)境下的信息安全，可分為信息的傳輸安全和計算機安全。

    信息的傳輸安全可采用信息加密、信息確認和網(wǎng)絡(luò)控制來實現(xiàn)。信息加密是保證信息安全最基本最核心的技術(shù)措施，它由各種加密算法完成，以較小的代價獲得較大的安全保護;信息確認技術(shù)是通過嚴(yán)格的信息共享范圍來防止非法篡改和假冒，它由消息確認、身份認證和數(shù)字簽名技術(shù)組成，能確認信息的合法使用者;網(wǎng)絡(luò)控制技術(shù)包括防火墻、審計、訪問控制和安全協(xié)議技術(shù)，加強網(wǎng)絡(luò)的安全強度，信息在安全的網(wǎng)絡(luò)中傳遞。

    計算機安全涉及計算機硬件、軟件和數(shù)據(jù)的安全。可采用容錯計算機，機群技術(shù)增加計算機運行的可靠性，采用安全操作系統(tǒng)和計算機反病毒技術(shù)使系統(tǒng)免受破壞，采用完整可靠的備份防止數(shù)據(jù)意外丟失。

    計算機系統(tǒng)的安全要防止系統(tǒng)遭受攻擊，攻擊可分為超距攻擊、近距攻擊、遠距攻擊。超距攻擊指不接觸的攻擊，如:截取計算機工作時的電子輻射;近距攻擊指對計算機操作人員和直接對計算機的攻擊;遠距攻擊主要通過與計算機相連的介質(zhì)進行攻擊，如通過網(wǎng)絡(luò)進行，"黑客"就是這樣一種攻擊。

    目前國外針對上述計算機安全技術(shù)問題，制定了相應(yīng)的標(biāo)準(zhǔn)和規(guī)范，如美國新的聯(lián)邦評測標(biāo)準(zhǔn)(FC)、歐洲信息技術(shù)安全標(biāo)準(zhǔn)(ITSEC)、加拿大的計算機產(chǎn)品評測標(biāo)準(zhǔn)(CTCPEC)等，并研制出有效的安全防護產(chǎn)品。

    國內(nèi)也建立了信息安全評測中心，頒布了相應(yīng)的標(biāo)準(zhǔn)和法規(guī)，如:計算機信息系統(tǒng)安全保護條例，計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法等等。可作為我們建立信息網(wǎng)絡(luò)安全體系的依據(jù)。

四、安全體系結(jié)構(gòu)和解決方案

    根據(jù)華北電網(wǎng)公司信息網(wǎng)絡(luò)運行現(xiàn)狀和存在的問題，結(jié)合國內(nèi)外計算機信息安全技術(shù)，應(yīng)建立完善的信息網(wǎng)絡(luò)安全防護體系。這是由信息網(wǎng)絡(luò)基本安全要求和整體解決方案組成。

4.1 基本安全需求及解決方案

    華北電網(wǎng)公司信息網(wǎng)絡(luò)的基本安全需求就是要保證信息網(wǎng)絡(luò)安全穩(wěn)定運行，各業(yè)務(wù)系統(tǒng)工作正常，數(shù)據(jù)安全可靠。其中可分為硬件系統(tǒng)的安全、系統(tǒng)平臺的安全、數(shù)據(jù)安全和業(yè)務(wù)系統(tǒng)的安全。

    建立基本的安全系統(tǒng)應(yīng)達到以下目的:

    (1)網(wǎng)絡(luò)及服務(wù)器硬件在發(fā)生故障或受到攻擊時能及時恢復(fù)不影響業(yè)務(wù)的正常運轉(zhuǎn)。

    (2)信息網(wǎng)絡(luò)受到攻擊或感染病毒后能及時發(fā)現(xiàn)和清除，不會對系統(tǒng)造成嚴(yán)重傷害。

    (3)各類應(yīng)用平臺的穩(wěn)定運行，各業(yè)務(wù)的數(shù)據(jù)不會被竊取和破壞。

    (4)有效的內(nèi)外網(wǎng)的隔離措施，保證各種Internet應(yīng)用正常運行。

    為達到以上目的，應(yīng)完成以下工作:

    (1)制定合理完善的網(wǎng)絡(luò)服務(wù)器的安全檢修計劃，配備故障快速恢復(fù)的技術(shù)力量和備件。

    (2)建立完整的企業(yè)級信息網(wǎng)防攻擊、防病毒和安全監(jiān)測系統(tǒng)。

    (3)建立完備的系統(tǒng)和數(shù)據(jù)備份，有系統(tǒng)和數(shù)據(jù)快速恢復(fù)的手段。

4.2 整體解決方案

    華北電網(wǎng)公司信息網(wǎng)絡(luò)在電力系統(tǒng)的生產(chǎn)經(jīng)營中已越來越重要，應(yīng)有一套嚴(yán)格完整的安全體系來保證信息網(wǎng)高效穩(wěn)定地運行。它由以下幾方面組成:

    (1)管理制度和管理手段上的安全策略。

    確定信息網(wǎng)絡(luò)的安全等級，并依此建立全方位的華北電網(wǎng)公司企業(yè)信息網(wǎng)絡(luò)的管理制度和管理辦法。

    確定安全管理范圍，包括機房、硬件、軟件、數(shù)據(jù)的操作規(guī)程和責(zé)任制。

    建立完善的維護保養(yǎng)制度。制定緊急情況下的應(yīng)急措施。

    建立完善的技術(shù)人員使用制度，加強技術(shù)文檔的規(guī)范與管理。

    (2)網(wǎng)絡(luò)系統(tǒng)的技術(shù)安全策略

    建立具有安全拓撲結(jié)構(gòu)的信息網(wǎng)絡(luò)，新建系統(tǒng)一定要滿足安全網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)。

    建立與企業(yè)外部網(wǎng)絡(luò)，特別是與Internet的有效隔離。

    建立各局域網(wǎng)之間，網(wǎng)段之間的安全隔離措施。

    網(wǎng)絡(luò)內(nèi)部應(yīng)建立有效的安全檢測掃描系統(tǒng)，防止黑客的入侵和攻擊，定期發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)安全漏洞，及時修補。

    建立企業(yè)級從網(wǎng)絡(luò)、服務(wù)器、應(yīng)用平臺到桌面的多級完整防病毒系統(tǒng)，建立中央防病毒檢測控制服務(wù)系統(tǒng)。

    建立郵件過濾系統(tǒng)。

    建立系統(tǒng)管理平臺，有效監(jiān)控網(wǎng)絡(luò)運行狀況。

    (3)業(yè)務(wù)系統(tǒng)和數(shù)據(jù)的安全策略

    建立實用有效的身份認證系統(tǒng)。

    根據(jù)業(yè)務(wù)系統(tǒng)和應(yīng)用要求，建立嚴(yán)格的訪問控制權(quán)限。

    建立可靠完整的數(shù)據(jù)備份和恢復(fù)系統(tǒng)。

五、安全體系實施原則

    應(yīng)考慮以下幾個方面的技術(shù)問題:

    (1)以滿足安全需求為標(biāo)準(zhǔn)。

    (2)技術(shù)和產(chǎn)品的先進性、成熟性。

    (3)技術(shù)和產(chǎn)品的可擴展性和可升級性。

    (4)技術(shù)和產(chǎn)品的易用性和易管理性。

    (5)跨平臺跨系統(tǒng)的可用性。

    通過以上安全策略的實施和落實，將建立一個安全穩(wěn)定的華北電力集團公司企業(yè)信息網(wǎng)。

責(zé)任編輯：何健

免責(zé)聲明：本文僅代表作者個人觀點，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實相關(guān)內(nèi)容。

我要收藏

個贊