華北電網公司企業信息網安全管理及解決方案

2013-10-31 10:06:30 EP電力信息化網　點擊量：評論 (0)

隨著電力工業的發展，電力工業信息系統的電子化建設取得了快速進步，計算機技術在電力工業的應用深度和廣度都得到了巨大的擴展，各電力公司及其所屬機構已經全部建立了電子化業務系統，計算機與網絡通信技

隨著電力工業的發展，電力工業信息系統的電子化建設取得了快速進步，計算機技術在電力工業的應用深度和廣度都得到了巨大的擴展，各電力公司及其所屬機構已經全部建立了電子化業務系統，計算機與網絡通信技術已經成為支撐電力工業運轉的關鍵設施。然而信息系統的存在及大量而廣泛的應用，就必然帶來一個我們不得不引起高度重視的問題，那就是信息網絡系統的安全性問題。

一、華北電網公司信息網絡運行現狀

    華北電網公司信息網是以集團公司局域網為中心，連接天津、山西、內蒙各發供電單位和科研單位的企業信息網(見圖1)。

    華北電網企業信息網通過155M ATM及2M光纖和數字微波，使用NORTEL公司PASSPORT6480交換機和AN路由器，與26個直屬發供電單位的局域網相連，形成企業內部的Intranet，通過2M光纖鏈路與國家電網公司相連，成為國家電網公司一級信息網的節點。華北電網公司本部通過2OM專線與Internet互聯，企業內部網的每一個用戶都通過此出口獲取Internet的資源。

    華北電網公司本部局域網主干為155M ATM，全網劃分6個VLANE，共有30多臺服務器和近100O臺PC機分布在不同的網段中(見圖2)。(拓撲圖請到http://tech.chinapower.com.cn查看)

    企業網中，網絡設備產品類型包括Intel、Nortel、Cisco,3com等，服務器硬件平臺主要為Alpha和 Intel，系統和應用平臺有:Win-dows NT、Digital Unix和Domino/Lotus Notes、MS、Exchange、SQLSERVER、ORACLE、SYBASE等，服務器用途主要為:NT域管理、防火墻、電子郵件服務、WEB服務、數據庫服務、文件服務、遠程訪問服務等。實現的應用系統有生產實時信息、辦公自動化、財務、人勞、安監、遠程數據傳輸、WEB服務、電子郵件服務、Intranet瀏覽服務等，為企業優質高效運營提供了信息和網絡資源。華北電網公司Intranet結構如圖3所示。（拓撲圖請到http://tech.chinapower.com.cn查看)

  華北電網公司信息網絡投入運行幾年中，隨著用戶數增加、應用水平的提高、業務量增加、信息量的擴大，人們對信息網的依賴越來越大，網絡和系統的安全穩定運行變得越來越重要，因此建立一套完整的信息網絡安全體系迫在眉睫。

二、安全隱患和問題

    華北電網公司信息網絡系統自開始運行以來就存在大量的安全隱患。
    (1)采用開放的網絡環境，流行的操作系統和應用平臺，非常容易受到攻擊和破壞，而且沒有任何的防毒、防攻擊措施。

    (2)硬、軟件平臺種類多管理復雜、數據庫及業務系統開發平臺不統一，無法使用統一的安全管理系統。

    (3)與Intranet之間只建立一個簡單功能防火墻，對于來自外部的干擾和破壞沒有有利的抵御工具。

    (4)企業內部各局域網之間完全開放，沒有任何防護措施，無法抵御來自不同單位之間的干擾與破壞。

    (5)各局域網建立的撥號訪問系統，均未加任何安全防備，為攻擊者又打開了一道門。

    (6)各單位局域網內部無有效的身份認證系統，無法抵御企業內部的安全威脅。

    (7)系統、應用、數據沒有有效的完整的備份措施，一旦發生硬件和系統故障，造成數據丟失，將會造成不可彌補的巨大損失。

    (8)缺乏有效的管理機制和穩定的技術人員隊伍，文檔不規范，出現問題不能及時解決。

    (9)使用者的安全意識差，對將出現甚至已經出現的安全問題，不采取有效的防護措施。

    (10)缺乏設備系統的定期更換和檢修計劃和資金，系統無法保證高可靠性運行。

    以上問題已逐漸在目前的網絡運行中多次暴露出來，因此建立華北電網公司企業信息網的安全體系是非常必要的。

三、國內外信息安全技術

    信息系統的安全指計算機網絡環境下的信息安全，可分為信息的傳輸安全和計算機安全。

    信息的傳輸安全可采用信息加密、信息確認和網絡控制來實現。信息加密是保證信息安全最基本最核心的技術措施，它由各種加密算法完成，以較小的代價獲得較大的安全保護;信息確認技術是通過嚴格的信息共享范圍來防止非法篡改和假冒，它由消息確認、身份認證和數字簽名技術組成，能確認信息的合法使用者;網絡控制技術包括防火墻、審計、訪問控制和安全協議技術，加強網絡的安全強度，信息在安全的網絡中傳遞。

    計算機安全涉及計算機硬件、軟件和數據的安全。可采用容錯計算機，機群技術增加計算機運行的可靠性，采用安全操作系統和計算機反病毒技術使系統免受破壞，采用完整可靠的備份防止數據意外丟失。

    計算機系統的安全要防止系統遭受攻擊，攻擊可分為超距攻擊、近距攻擊、遠距攻擊。超距攻擊指不接觸的攻擊，如:截取計算機工作時的電子輻射;近距攻擊指對計算機操作人員和直接對計算機的攻擊;遠距攻擊主要通過與計算機相連的介質進行攻擊，如通過網絡進行，"黑客"就是這樣一種攻擊。

    目前國外針對上述計算機安全技術問題，制定了相應的標準和規范，如美國新的聯邦評測標準(FC)、歐洲信息技術安全標準(ITSEC)、加拿大的計算機產品評測標準(CTCPEC)等，并研制出有效的安全防護產品。

    國內也建立了信息安全評測中心，頒布了相應的標準和法規，如:計算機信息系統安全保護條例，計算機信息網絡國際聯網安全保護管理辦法等等。可作為我們建立信息網絡安全體系的依據。

四、安全體系結構和解決方案

    根據華北電網公司信息網絡運行現狀和存在的問題，結合國內外計算機信息安全技術，應建立完善的信息網絡安全防護體系。這是由信息網絡基本安全要求和整體解決方案組成。

4.1 基本安全需求及解決方案

    華北電網公司信息網絡的基本安全需求就是要保證信息網絡安全穩定運行，各業務系統工作正常，數據安全可靠。其中可分為硬件系統的安全、系統平臺的安全、數據安全和業務系統的安全。

    建立基本的安全系統應達到以下目的:

    (1)網絡及服務器硬件在發生故障或受到攻擊時能及時恢復不影響業務的正常運轉。

    (2)信息網絡受到攻擊或感染病毒后能及時發現和清除，不會對系統造成嚴重傷害。

    (3)各類應用平臺的穩定運行，各業務的數據不會被竊取和破壞。

    (4)有效的內外網的隔離措施，保證各種Internet應用正常運行。

    為達到以上目的，應完成以下工作:

    (1)制定合理完善的網絡服務器的安全檢修計劃，配備故障快速恢復的技術力量和備件。

    (2)建立完整的企業級信息網防攻擊、防病毒和安全監測系統。

    (3)建立完備的系統和數據備份，有系統和數據快速恢復的手段。

4.2 整體解決方案

    華北電網公司信息網絡在電力系統的生產經營中已越來越重要，應有一套嚴格完整的安全體系來保證信息網高效穩定地運行。它由以下幾方面組成:

    (1)管理制度和管理手段上的安全策略。

    確定信息網絡的安全等級，并依此建立全方位的華北電網公司企業信息網絡的管理制度和管理辦法。

    確定安全管理范圍，包括機房、硬件、軟件、數據的操作規程和責任制。

    建立完善的維護保養制度。制定緊急情況下的應急措施。

    建立完善的技術人員使用制度，加強技術文檔的規范與管理。

    (2)網絡系統的技術安全策略

    建立具有安全拓撲結構的信息網絡，新建系統一定要滿足安全網絡的技術標準。

    建立與企業外部網絡，特別是與Internet的有效隔離。

    建立各局域網之間，網段之間的安全隔離措施。

    網絡內部應建立有效的安全檢測掃描系統，防止黑客的入侵和攻擊，定期發現網絡系統安全漏洞，及時修補。

    建立企業級從網絡、服務器、應用平臺到桌面的多級完整防病毒系統，建立中央防病毒檢測控制服務系統。

    建立郵件過濾系統。

    建立系統管理平臺，有效監控網絡運行狀況。

    (3)業務系統和數據的安全策略

    建立實用有效的身份認證系統。

    根據業務系統和應用要求，建立嚴格的訪問控制權限。

    建立可靠完整的數據備份和恢復系統。

五、安全體系實施原則

    應考慮以下幾個方面的技術問題:

    (1)以滿足安全需求為標準。

    (2)技術和產品的先進性、成熟性。

    (3)技術和產品的可擴展性和可升級性。

    (4)技術和產品的易用性和易管理性。

    (5)跨平臺跨系統的可用性。

    通過以上安全策略的實施和落實，將建立一個安全穩定的華北電力集團公司企業信息網。