电力行业信息化建设网络安全解决方案.doc

电力行业信息化建设网络安全解决方案 0 引言         网络安全是一个系统的、全局的管理问题，网络上的任何一个漏洞，都会导致全网的安全问题，我们应该用系统工程的观点、方法，分析网络的安全及具体措施。安全措施是技术措施、各种管理制度、行政法律手段的综合，一个较好的安全措施往往是多种方法适当综合的应用结果。         1 电力信息网安全防护框架         依据电力企业的特点，信息安全按其业务性质一般可分为四种：一种为电网运行实时控制系统，包括电网自动发电控制系统及支持其运行的调度自动化系统，火电厂分布控制系统〔DCS，BMS，DEH，CCS〕，水电厂计算机监控系统，变电所及集控站综合自动化系统，电网继电保护及安全自动装置，电力市场技术支持系统。第二种为电力营销系统，电量计费系统，负荷管理系统。第三种为支持企业经营、管理、运营的管理信息系统。第四种为不直接参加电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。针对电力信息网业务的这种的层次结构，从电力信息网安全必需求上进行分析，提出不同层次与安全强度的网络信息安全防护框架即分层、分区的安全防护方案。第一是分层管理。依据电力信息网共分为四级网的方式，每一级为一层，层间使用网络防火墙进行网络隔离。第二是分区管理。依据电力企业信息安全的特点，分析各相关业务系统的重要程度和数据流程、目前状况和安全要求，将电力企业信息系统分为四个安全区：实时控制区、非控制生产区、生产管理区和管理信息区。区间使用网络物理隔离设备进行网络隔离，对实时控制区等关键业务实施重点防护，并采纳不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。         2 电力信息网安全防护技术措施         2.1 网络防火墙：防火墙是企业局域网到外网的唯一出口，这里的外网包括到不同层次的电力网、其他信息网如政府网和银行网络、internet，所有的访问都将通过防火墙进行，不同意任何绕过防火墙的连接。DMZ停火区放置了企业对外提供各项服务的服务器，即能够确保提供正常的服务，又能够有效地保护服务器不受攻击。要正确设置防火墙的访问策略，遵循“缺省全部关闭，按必需求开通的原则〞，拒绝除明确许可外的任何服务，也即是拒绝一切未予准许的服务。与Internet连接的防火墙的访问策略中，必必需禁止Rlogin，NNTP，Finger，Gopher，RSH，NFS等危险服务，也必必需禁止Telnet，SNMP，Terminal Server等远程管理服务。         2.2 物理隔离装置：主要用于电力信息网的不同区之间的隔离。物理隔离装置实际上是专用的防火墙，由于其不公开性，使得更难被黑客攻击。         2.3 入侵检测系统：入侵检测系统是专门针对黑客攻击行为而研制的网络安全产品。国际上先进的分布式入侵检测构架，可最大限度地、全天候地实施监控，提供企业级的安全检测手段。在事后分析的时候，可以清楚地界定责任人和责任事件，为网络管理人员提供强有力的确保。入侵检测系统采纳攻击防卫技术，具有高可靠性、高识别率、规则更新迅速等特点。系统具有强大的功能、方便友好的管理机制，可广泛应用于电力行业各单位。所选择的入侵检测系统能够有效地防止各种类型的攻击，中心数据库应放置在DMZ区，通过在网络中不同的位置放置比如内网、DMZ区网络引擎，可与中心数据库进行通讯，获得安全策略，存储警报信息，并针对入侵启动相应的动作。管理员可在网络中的多个位置访问网络引擎，对入侵检测系统进行监控和管理。         2.4 网络隐患扫描系统：网络隐患扫描系统能够扫描网络范围内的所有支持TCP／IP协议的设备，扫描的对象包括扫描多种操作系统，扫描网络设备包括：服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时，可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成具体的安全评估报告，采纳报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。