收藏 分销(赏)

电力系统自动化系统核心防护.docx

上传人:可**** 文档编号:4889221 上传时间:2024-10-17 格式:DOCX 页数:39 大小:48.88KB 下载积分:8 金币
下载 相关 举报
电力系统自动化系统核心防护.docx_第1页
第1页 / 共39页
电力系统自动化系统核心防护.docx_第2页
第2页 / 共39页


点击查看更多>>
资源描述
提纲 自动化监控核心系统防护的必要性 国家相关文件要求 行业安全事故与分析 核心系统防护产品S-NUMEN的功能 产品资质与成功案例 北京信达公司部分用户名单 技术白皮书 一、自动化监控系统核心系统防护的必要性 (1) 国家文件明文规定电厂主服务器应使用安全加固的操作系统。 电监安全[2006]34号 电监安全[2012]12号 国家电网调[2006]1167号 南方电网 [2008年8月] 工信部协[2011]451号 (2)美国出口中国的操作系统达不到第三、第四等级要求。 美国不出口中国C2级别以上的操作系统,我们国家所有的操作系统不管是UNIX、Linux还是Windows都是C2级别的,相当于我国公安部要求的第二等级。C2级别的操作系统本身就有很多的漏洞,其数据和进程服务容易被篡改和终止,并且日志系统易遭到破坏,导致事后无法查证的被动防护。经过主机加固以后操作系统的级别能达到B1、B2级别,也就是第三、第四等级。 (3)只在边界布署防护产品不能解决核心系统的安全隐患。 用户只在网络边界做了防护,布署了防火墙、入侵检测系统、VPN等产品,这些产品只解决网络安全中的边界防护问题,但是它们是独立于用户当前的网络与系统之外的,既不能完全阻止外部人员的入侵行为,也没法杜绝内部人员的误操作或非法操作,只有布署核心系统防护才能确保核心系统的安全,因此只有实现从核心到边界的多层次、纵深的防护体系才是一个完整的安全防护方案,才能确保系统的稳定运行. (4)多年来,大量电厂监控系统已布署核心系统防护,实现了长期、稳定、可靠的运行. A、理论上,产品是内核级产品,不会影响应用层软件的正常运行。 B、实验室数据表明,在公安部和国家电网信息安全实验室的极限测试中,系统的资源占用率2.4%. C、多年以来,许多关乎国家安全、国计民生的重要监控系统等关键的控制系统都已成功应用了核心系统防护,数据和业务得到可靠的安全保障。 二、国家相关文件要求 电监安全[2006]34号 第三章 通用安全防护措施 第五节 主机加固 能量管理系统,变电站自动化系统,电厂监控系统,配电自动化系统,电力市场运营系统等关键应用系统的主服务器,以及网络边界处的通信网关,WEB服务器等,应该使用安全加固的操作系统。加固方式包括:安全配置,安全补丁,采用专用软件强化操作系统访问控制能力,以及配置安全的应用程序. 电监会12号文,其中主机加固的必要性有以下几条: 一、电力系统已经成为境内外敌对势力进行渗透攻击的重要目标(第1页); 二、2003年12月30日承担三峡电力外送的三个(相距上千公里的)换流站的控制系统事故,说明“操作系统的脆弱性和局部安全事件扩散可能造成整个监控系统的瘫痪”(第2页); 三、推进主机加固等通用防护设备及防护措施的应用和部署工作。(第10页) 四、风电二次系统安全防护的风险和薄弱环节。一是存在风电设备制造商通过互联网与生产控制大区中的风电监控系统直连,使二次系统面临被恶意攻击和控制的风险; 二是由于地理原因,其控制系统与风电机组之间采取无线公网方式传输,使监控系统所在的生产大区面临来自公网攻击的风险。 五、重点加强风电等新能源发电企业二次系统中远程接入和维护的安全防护措施。(第27页) 国家电网调[2006]1167号 四、按照 34 号文要求,确保 2007 年底之前,公司系统地级以上调度机构、220 千伏以上变电站(含开关站、换流站)、总装机1000 兆瓦或含有单机容量 300 兆瓦以上机组的发电厂及其它重要厂站要具备二次系统安全防护的主要功能;2008~2009 年 , 年 110 千伏以上变电站、含有单机容量 100 兆瓦以上机组的发电厂、县级调度中心和配电调度中心等要具备二次系统安全防护的主要功能,有条件的地方应尽量提前;2010 年之前建成比较完善的电力二次系统安全防护体系. 五、各研究、开发单位要按《方案》 要求,尽快改进或完善所提供的电力二次系统或设备的安全特性;国家电网公司委托中国电力科学研究院信息安全实验室和国网南京自动化研究院网络信息安全实验室对进入公司系统的电力二次系统和设备进行安全性测试认证;凡 2008 年 1 月 1 日以后投入运行的调度自动化系统和变电站自动化系统应符合《方案》 要求并通过安全测试认证.2009 年 1 月 1 日以后投入运行的电力二次系统或设备都应符合《方案》 要求并通过安全测试认证。 南方电网公司电力二次系统安全防护技术实施规范 [2008年8月] 7.13 生产控制大区内部防护措施,对重要的服务器和通信网关必须进行安全加固,安全II区若有WEB服务,应采用支持HTTPS的安全WEB服务,其WEB服务器必须经过安全加固并采用电力调度数字证书对浏览器客户端访问进行身份认证及加密传输. 水利网络与信息安全体系建设基技术要求 4.4。1 安全计算环境建设 4。4。1.1 用户身份鉴别 通过使用符合第四等级安全保护要求的安全操作系统或相应的系统加固软件实现用户身份鉴别。 4。4。1。3 标记和强制访问控制 通过采用符合第四安全保护要求的安全操作系统或采用相应的系统加固软件对服务器以及终端进行系统加固,通过其提供的标记和强制访问控制系统,实现标记和强制访问控制功能。 中电投水力发电厂(站)安全评价标准 2。6.2.3安全系统 (6)主机加固 【依据】《电力二次系统安全防护总体方案》(电监安全[2006]34号) 3。6。3 主机加固 安装主机加固软件,强制进行权限分配,保证对系统的资源(包括数据与进程)的访问符合定义的主机安全策略,防止主机权限被滥用. 中国国电集团公司科技技术路线(信息化部分) 第九十条 安全管理包括安全方针、安全组织、资产分类及控制、人员安全、物理和环境安全、通信和运行管理、系统访问控制、系统开发与维护、业务持续性管理和符合性。 第九十七条 系统访问控制包括八个控制目标:访问控制策略、用户访问管理、用户责任、网络访问控制、操作系统访问控制、应用访问控制、监控系统的访问和使用、移动计算和远程办公. 第一0七条 用户访问安全:对数据库超级用户进行严格管理;用户名和口令以加密形式保存;建立公司级统一认证系统,应用系统开发要充分考虑与认证系统的整合。 华电集团关于主机防护的规定 第十七条 主机防护 (一)合理分配操作系统的用户权限,遵循相互制约原则与最小授权原则,定义良好的访问控制策略,避免权限过分集中与滥用。 (二)及时升级操作系统版本,及时安装补丁程序,清除已知的主机内核漏洞与后门. (六) 对系统日志定期进行安全审计。 (七) 用户口令应具有一定的强度. 公安部2007年7月《信息系统安全等级保护基本要求》 4。1.3主机安全 主机系统安全是包括服务器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机,服务器则包括应用程序、网络、web、文件与通信等服务器.主机系统是构成信息系统的主要部分,其上承载着各种应用。因此,主机系统安全是保护信息系统安全的中坚力量. 公信安[2007]861号 中华人民共和国公安部、国家保密局、国家密码管理局、国务院信息化工作办公室、印发的《关于开展全国重要信息系统安全等级保护定级工作的通知》 一、定级范围 (一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 (二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 (三)市(地)级以上党政机关的重要网站和办公信息系统。 (四)涉及国家秘密的信息系统(以下简称“涉密信息系统”)。 工信部协[2011]451号 一、充分认识加强工业控制系统信息安全管理的重要性和紧迫性 数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。 二、明确重点领域工业控制系统信息安全管理要求 加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。 (一)连接管理要求. (二)组网管理要求。 1. 工业控制系统组网时要同步规划、同步建设、同步运行安全防护措施. (三)配置管理要求。 1。 建立控制服务器等工业控制系统关键设备安全配置和审计制度。 2. 严格账户管理,根据工作需要合理分类设置账户权限。 3. 严格口令管理,及时更改产品安装时的预设口令,杜绝弱口令、空口令。 4。 定期对账户、口令、端口、服务等进行检查,及时清理不必要的用户和管理员账户,停止无用的后台程序和进程,关闭无关的端口和服务. 三、行业安全事故与分析 1:2000年,四川某水电厂因异常的接收外来信号,7秒钟甩出电力89万千瓦,导致川渝电网几乎瓦解.事件暴露出生产控制系统与管理信息系统接入公网时,极易受到来自外部的攻击. 2: 2003年,承担SX电力外送任务的三个换流站(LQ、EC、ZP)的控制系统相继发现病毒,经查明系外国技术人员在系统调试中使用便携式电脑上互联网后,将病毒带入基于WINDOWS操作系统的控制系统通过网络传播所致。事件暴露出WINDOWS操作系统的脆弱性和局部安全事件扩散可能造成整个系统瘫痪。 3:2010年9月,伊朗布什尔核电站的计算机遭到世界上第一个以工业控制系统为攻击目标的“震网"蠕虫病毒的侵袭,导致纳坦兹铀浓缩工厂数千台离心机因技术故障“停工”。 4:1992年2月,立陶宛Inalina核电站的计算机中心员工因对当局不满,故意在电厂控制程序内植入恶意程序(逻辑炸弹),使控制系统功能异常。 5:2008年,黑客入侵并劫持了南美洲某国的电网反控制系统,敲诈该国政府,在遭到拒绝后,攻击了电力传输系统,导致了长时间的电力中断。 6: 07年5月底,GZ电力调度,安全区I通信服务器由于厂家开发的软件系统出现缓冲区溢出漏洞,造成核心服务器宕机(重启等现象),并且无法与南网公司进行数据通讯,造成特大事故。 7:XX电网,黑客入侵电力营销主机,更改计费系统,达30万元,为了掩盖自己的入侵行为退出时删除系统日志。 核心系统安全事故原因分析 原因是:在核心的主机系统没有做安全防护 在一个部署过许多边界防护产品又是内外网隔离的情况下,为什么要在核心的主机系统部署防护产品?因为: (1) 美国出口中国的操作系统的安全级别低,只是C2级别的,更高级别的操作系统不出口中国,这种C2级别系统本身就有很多的漏洞,入侵者很容易通过这些系统漏洞侵入主机。 (2) 很多用户的核心业务服务器,由于本身业务原因,不能及时安装由操作系统厂商提供的补丁,造成利用漏洞攻击核心系统的风险增加。 (3) 网络级(防火墙、入侵检测)或应用级(杀毒、网管)安全产品只能实现网络边界处或应用层的保护,不能保护核心系统。 (4) 在信息化建设的过程中,接触主机的外部人员多(如设备的调试安装),对信息安全造成一定威胁. (5) 主机上运行的是用户的重要数据、文件和关键的业务、进程,对系统可靠性要求更高. (6) 一旦出现了事故,入侵者在离开前修改或删除日志,事后无法追查、判断责任,无法迅速找到解决方案. (7) 目前行业内部主机感染病毒、木马事件日渐频繁,通过个人主机攻击核心业务系统的风险也再不断增加。 (8) 利用有限的外联设备进行渗透式攻击,包括植入木马等恶意程序或者利用缓冲区溢出等攻击方法获取系统资源及系统控制权。 综上所述,电力行业是非常重视信息安全保障,有非常严格的管理体系,并且部署了部分安全产品。但是以上事故说明从现有的防火墙、防病毒等安全产品的情况下,无法非常有效的阻止和预防此类安全问题。 四、核心系统防护产品S-NUMEN的功能: l 实现内网核心安全 当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的内网核心安全时, S—NUMEN作为系统级主机保护产品可以保证内网核心服务器的安全。由于来自于内部外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在黑客及非授权内部人员的侵入和攻击的威胁下。 S-NUMEN能够防止非授权的访问,使内网核心服务器安全运行。 l 提升现有操作系统的安全级别 WINDOWS、UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC) 提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的丢失泄密和访问混乱现象。尤其适用于军事、政府重要部门、金融、能源领域。 l 核心数据及重要服务的保护 S—NUMEN通过在内核层上接管系统调用,可对数据库、文件、系统、进程进行保护.S—NUMEN可防止入侵者或未经授权的用户非法篡改、删除数据,同时可以保护提供服务的重要进程不被强制终止。 l 数字签名认证保证了用户身份的可靠性 S-NUMEN通过基于内核的数字签名认证机制,保证了用户身份的可靠性。C2级的操作系统采用ID和Password的认证方式,这种方式不能满足政府、金融、能源、电信等重要部门的安全等级要求.S—NUMEN只允许通过数字签名证书认证的授权用户才能访问系统受保护资源。 l 入侵行为的主动防御(IPS) 当系统发生入侵行为或者违反安全策略的操作时, S-NUMEN利用自身功能对用户(程序)在网络层和系统内部对该用户(程序) 进行阻断,并且由系统向管理员进行报警。S-NUMEN真正做到了,在没有误报和漏报率的情况下,实现主动的入侵防御功能。 五、北京信达产品资质与部分案例 部分案例 案例一、奥运安保北京地铁供电SCADA系统 项目背景 地铁供配电系统担负着向地铁各系统提供动力能源的任务。按照功能它可分为高压电源系统、牵引供电系统和动力照明供电系统。高压电源系统负责将城市电网高压电变为地铁牵引供电系统和动力照明系统所需要的电压,由主变电站组成;牵引供电系统负责轨道电动车辆运行的电能,由牵引站和接触网组成;动力照明供电系统提供车站和区间各类照明、扶梯、风机、水泵等动力机械设备电源和通信、信号、自动控制等设备的电源,由降压站组成.一般,我们习惯于按照变电站降压等级分类,即主变电站、牵引站、降压站.目前,国内常规设计为设两个110/33 kV主变电站,并根据实际情况设置多个33 kV /1500VDC牵引站和33/0。4kV降压变电站。 供配电系统作为整个地铁的动力源泉,是其它系统正常运转的前提,同时,SCADA系统又肩负着监督供配电系统的运行状态,并根据需要进行相应的控制,使供配电系统能够更好地为其它的系统服务的重任,而这一切的稳定运行又依赖于安全可靠的核心系统数据和稳定运行的核心业务,因此,保护SCADA系统的核心数据和核心业务就成了势在必行的首要安全问题. 运行效果和用户体验 通过在数据库平台上安装内网核心防护系统S—NUMEN后,保护了采集的各种底层数据,包括监视电力设备运行状态、高低压主开关状态、等各种电力参数,同时,数据的安全和业务的稳定为车站控制室和控制中心及时了解现场状态和执行相应的操作提供了必要的安全保证。 用户认为:目前系统运行状况良好,核心主机工作稳定,网络畅通,内网核心防护系统S-NUMEN很好的保证了平台数据、业务的安全.对于安装了S-NUMEN后的效果,信息中心工作人员认为:通过安装内网核心防护系统,边界部分有防火墙、入侵检测系统等网络安全产品的保护,核心部份有了S—NUMEN的保护。 北京地铁SCADA供电系统示意图 案例二、国家商务部 项目背景 国家商务部中国国际电子商务中心是商务部信息化建设的执行机构和技术支撑单位,同时又是电子商务解决方案的供应商和服务商,自1996年成立以来一直是商务部信息化建设的主力军,承担国家金关工程的建设、维护和运行任务并承担商务部电子政务建设技术支持和保障任务,包括商务部统一网络平台(专用网)建设,应用系统开发、维护、推广、数据分析与决策支持、安全认证技术运用及电子商务信息交换、服务与国际交流等,在各部委中起步早、基础好、成绩显著。 国家商务部数据库平台的建设与发展首先是为满足我国商贸领域电子政务事业的深化与拓展。数据库平台支撑运行的商务部业务管理、统计分析、预警决策等电子政务项目已达60多个。 应用需求分析:增强全国最大的B2B数据库平台的安全性,增强北京东单中心-亦庄中心-广州三地“异地灾备”安全性。 中国国际电子商务中心数据库经过多年建设与运营,积淀了庞大的商贸信息资源,涵盖了各类业务数据库、企业数据库,共享数据库、标准库、代码库、和格式库。同时中心已启动“中国企业信用信息数据库”建设计划,拟用五年的时间视频建立国内规模最大的企业信用信息数据库,并使之成为“一体化"现代商务服务体系的重要组成部分。国家商务部在北京东单中心、亦庄中心、广州三地做了异地灾备,其数据的安全重要性不言而喻。将来,国家与国家之间的商业竞争就是电子商务的竞争,2009年将是B2B成熟顶峰期,当前网上交易正处于快速发展阶段,对数据的安全性提出了很高的挑战性。 运行效果和用户体验 国家商务部选择内网核心防护产品S-NUMEN作为保护中心数据库服务器平台及灾备服务的安全产品,对现有中国商贸领域最权威的海量动态数据库数据平台进行安全加固。为上级政府的科学决策和国内外企业电子商务更好的支持和服务.为商务工作提供更准确、高效的统计、数据分析服务、同时也为国内外企业提供更高速、稳定、安全、快捷的服务. 用户认为:目前数据库平台安全性好,系统工作稳定,网络畅通,S-NUMEN和其它安全防护产品互为补充,很好好构成了一个由网络边缘到核心的多层次的纵深的立体的防护体系,保证了各项业务的迅速开展和运行。 中国国际电子商务中心网络拓扑图 案例三、华电望亭电厂SIS项目 项目背景 所谓SIS,即厂级监控系统(Supervisor Information System),是介于底层系统和管理信息系统(MIS)之间的“中间件”. 火电厂自动化的发展可以分为4个阶段:分散控制系统时代、网络化时代、数字化时代和信息化时代.目前华电望亭电厂正处于数字化建设阶段,DCS分散控制系统已经得到大规模的普及,电力系统信息化水平明显提升,在这个基础上进行SIS系统的建设.电厂一般有机、炉、电、控、BOP(Balance of plant)几个生产环节,每个专业承担不同的生产分工,采用不同的生产过程,每个过程都有一些相关控制系统,一般称之为底层系统.对底层数据进行统一管理,并通过分析工具和数学模型,对这些数据进行二次利用,可帮助电厂改进生产管理,提高生产效率;同时,二次分析数据又可以为管理信息系统(MIS)所用,从而帮助企业最高层进行未来决策。正是上述需求使华电望亭电厂的SIS,对核心主机重要的数据、文件,关键的业务、进程的可靠性需求更高了。 I@chieve服务内容 u 进行网络安全理念的宣导 u 针对华电望亭电厂的整体网络架构安全现状做安全评估 u 在运行核心业务数据库服务器上部署内网核心防护产品S-NUMEN u 针对华电望亭电厂安全的培训和技术咨询服务 项目成果 对华电望亭电厂SIS系统主机的安全级别进行提升,使服务器安全性提高了,同时使整个网络的安全性更加健壮,核心业务运行稳定性增加,重要数据文件LOG日志安全得到保障,让入侵者进不来、出不去、赖不掉,工作效率得到很大的提高. 下图是华电望亭电厂SIS系统主机示意图 案例四、国电大渡河集控中心 项目背景 国电大渡河集控中心是华中电网内第一家以流域集控形式接入并网调度的集控中心。集控中心的运行不仅实现了从小范围的区域集控到流域集控的发展跨越,还对今后提高大渡河流域防洪标准、提高水能综合利用率、提高流域整体发电效益、改善流域生态环境,确保电网稳定运行,产生积极深远的影响。 该项目由成勘院设计,南瑞实施,在其数据库服务器、通信服务器、操作员工作站部署了核心防护产品,确保其核心数据和核心业务的安全。 大渡河流域规划图 案例五、宁夏电力调度中心 项目背景 电网调度自动化系统又称作能量管理系统(EMS-Energy Management System),是以计算机技术为基础的现代电力综合自动化系统,主要用于大区级电网和省、市级电网调度中心,主要为电网调度管理人员提供电网各种实时的信息(包括频率、发电机功率、线路功率、母线电压等),并对电网进行调度决策管理和控制,为保证电网安全运行,提高电网质量,对核心数据服务器的保护至关重要. 随着电力系统的结构日趋扩大和复杂,对电力系统的安全性也提出了更高的挑战,要求调度运行人员能够迅速、准确、全面地掌握电力系统的实际运行状态,预测和分析电力系统的运行趋势,对电力系统运行中发生的各种问题作出正确的处理。而这一切都要有信息的高度安全性做保障, 而提高操作系统的安全级别是保障的基础。 I@chieve服务内容 u 进行网络安全理念的宣导 u 针对宁夏电力调度中心网络安全现状做安全评估 u 在运行核心业务数据库服务器上部署内网核心防护产品S—NUMEN u 针对宁夏电力调度中心安全的培训和技术咨询服务 项目成果 通过真正有效的实施内网核心防护给宁夏电力调度中心带来很大的价值,操作系统安全级别提升至B1级,小型机服务器安全性巩固,同时使整个网络的安全性更加健壮,核心业务运行稳定性增加,重要数据文件LOG日志安全得到保障,工作效率得到很大的提高,随着内网核心系统防护的实施必将进一步推进宁夏电力调度中心信息安全的发展,从而推动整个宁夏电力系统业务的快速发展。 下图为宁夏电力调度中心结构图 六、北京信达公司部分用户 电网 宁夏调度 吉林调度 吉林供电局 江西调度 甘肃电网公司 宁夏电网公司 银川供电局 西藏调度 湖南调度 长沙供电局 株洲供电局 湘潭供电局 永州供电局 郴州供电局 娄底供电局 衡阳供电局 邵阳供电局 岳阳供电局 常德供电局 益阳供电局 张家界供电局 怀化供电局 湘西供电局 水电水利 三峡公司成都梯调中心 三峡公司向家坝水电站 三峡公司溪洛渡水电站 三峡公司葛洲坝水电站 二滩公司锦屏一级水电站 二滩公司锦屏二级水电站 二滩公司官地水电站 四川二滩水电公司雅砻江流域集控中心 四川国电大渡河水电公司集控中心 四川国电瀑布沟水电站 云南华能澜沧江小湾水电站 云南华能澜沧江糯扎渡水电站 云南华能澜沧江龙开口水电站 云南华能澜沧江功果桥水电站 南水北调陶岔渠首泵站 云南金沙江金安桥水电站 国电新源安徽响水涧抽水蓄能水电站 大唐四川天龙湖水电站 大唐四川金龙潭水电站 华电四川杂谷脑水电站 华电四川西溪河水电站 华电四川紫兰坝水电站 黄河委员会数据中心 四川映秀湾水电站 四川大兴水电站 新疆波波娜水利工程 四川武都引水工程 贵州华电乌江东风水电站 湖南筱溪水电站 湖南清水塘水电站 国电四川深溪沟水电站 国电四川龚嘴水电站 国电四川铜街子水电站 甘肃国投甘肃小三峡水电站 青海中电投黄河上游班多水电站 宁夏青铜峡水电站 西藏旁多水电站 甘肃白龙江水电集控中心 四川踏卡水电站 四川华电宝珠寺水电站 四川巴郎口水电站 四川三道桥水电站 湖北三里坪水电站 西藏老虎嘴水电站 四川紫平铺水电站 云南滇能天花板水电站 重庆嘉陵江航电草街水电站 四川木里河沙湾水电站 华电四川泸定水电站 华润四川鸭嘴河水电集控中心 华润四川跑马坪水电 华润四川布西水电 华润四川烟岗水电 四川吉日波水电站 山西万家寨引黄入晋工程 潘口水电站 甘肃苗家坝水电 广东清远抽水蓄能电站 广东乐昌峡水电站 福建溪源水电站 湖南白竹洲水电 四川九龙河江边水电站 福建仙游抽水蓄能水电站 上海世博会青草沙引水工程 缅甸太平江水电站 湖南五凌水电公司集控中心 新疆温泉水电站 四川久隆水电公司松林河集控中心 大唐天龙湖天金集控中心 四川华电瓦屋山水电站 云南滇能小岩头水电站 国电四川南桠河水电公司集控中心 国电四川南桠河水电站 云南滇能天花板水电站 四川丰岩堡水电站 湖南芷江蟒塘溪水利水电公司 新疆乌鲁瓦提水电站 四川久隆水电站 四川沙坪水电站 大唐武隆水电公司集控中心 大唐武隆银盘水电站 四川田湾河水电成都远控中心 四川三垭河水电站 中电投黄上公司盐锅峡水电站 四川映秀湾水电公司集控中心 四川康定炉城水电站 四川鱼子溪水电站 华电乌江水电公司索风营水电站 华电乌江水电公司集控中心 湖北潘小龙水电集控中心 湖南安江水电站 湖南凤滩水电站远控中心 湖南东江水电站 湖南中电投托口水电站 湖南中电投白市水电站 四川龙溪沟水电站 四川小河水电站 青海俄博图水电站 国电新疆阿克苏水电公司小石峡水电站 四川多诺水电站 青海玉树查隆通水电站 云南金沙江鲁地拉电站 云南黄角树电站 柬埔寨额勒赛电站 贵州乌江沙坨水电站 云南岗曲河一级水电站 云南那邦水电站 贵州北盘江善泥坡水电站 云南怒江贡山丹珠河电站 四川木里河上通坝水电站 四川凉山州木里县撒多水电站 四川甘孜州定曲河古学水电站 四川俄公堡水电 云南槟榔江苏家河口电站 云南槟榔江松山河口电站 四川九龙斜卡水电站 四川九龙溪谷水电站 火电 华能国际电力股份公司 湖北国电荆门电厂 中电投重庆合川双槐电厂 华电江苏望亭电厂 华电宁夏中宁电厂 宁夏马莲台电厂 中电投江西新昌电厂 国电福建江阴电厂 国电宁夏石嘴山电厂 国电江西黄金埠电厂 华能宁夏大坝电厂 鲁能宁夏灵州电厂 华能湖南岳阳电厂 华能信息产业(控股)有限公司 华能山东分公司 辽宁华能丹东电厂 河北华能上安电厂 黑龙江华能鹤岗电厂 黑龙江华能新华电厂 辽宁华能营口电厂 辽宁华能大连电厂 内蒙华能伊敏电厂 河北华能邯峰电厂 天津华能杨柳青电厂 华能北京热电厂 山东华能辛店电厂 山东华能济宁电厂 山东华能白杨河电厂 山东华能威海电厂 山东华能日照电厂 山东华能德州电厂 甘肃华能平凉电厂 湖北华能阳逻电厂 江西华能井冈山电厂 江苏华能淮阴电厂 江苏华能南通电厂 江苏华能南京电厂 江苏华能太仓电厂 上海华能石洞口一厂 浙江华能长兴电厂 重庆华能珞璜电厂 中电投贵州发耳电厂 广东华能汕头电厂 华能交通产业(控股)有限公司 宁夏京能宁东电厂 宁夏西夏热电厂 宁夏西部热电厂 宁夏京能水洞沟电厂 中电投江西景德镇电厂 贵州威信电厂 陕西榆林有色金属自备电厂 华电新疆呼图壁电厂 甘肃金昌电厂 内蒙古国电布连电厂 新能源 云南李子菁风电场 云南梅家山风电场 青海蓓翔共和光伏电厂 宁夏嘉泽发电公司红寺堡风电场 宁夏嘉泽发电公司同心风电场 中节能新疆托里风电场 四川德昌风阿月电场 大唐新疆托克逊风电场 大唐新疆三塘湖风电场 内蒙古汇德风电场 国电宁夏风电集控中心 中电投江西笔架山风电场 中电投江西大岭风电场 湖南大熊山风电场 湖南大冲风电场 湖南风雨殿风电场 国华江苏射阳风电场 湛江市徐闻县角尾灯楼角风电场 甘肃三峡新能源金昌西滩风电场 甘肃三峡新能源金昌水泉子风电场 宁夏马头滩风电场 宁夏观日台风电场 新疆柴窝堡风电场 山东羊郡风电场 宁夏长山头风电场 广东和安风电场 宁夏吴忠风电 四川鲁南风电 陕西榆林定边冯地坑风电 新疆天润13间房 中电投滨海振东风电 中电投滨海头罾风电 宁夏沙洼风电场 新疆波波娜水光互补电站 石油石化 中石化总部 中石化胜利油田 中石化河南油田 中石化燕山石化 中石化上海石化 中石化北京石油 中原油田 江苏油田 南化石化 塔河石化 湖北化肥 巴陵石化 荆门石化 九江石化 高桥石化 湛江东兴 中石化天津四建 沧州炼化 洛阳石化 洛阳工程公司 华北石油局 中原石化 仪征化纤 青岛安工院 中石化抚顺研究院 金陵石化 北京化工研究院 长岭炼化 催化剂分公司 青岛石化 茂名石化 中石化SEI 工程建设有限公司 中石化普光 市政 江苏昆山工业园工业供水公司 江苏句容市第二水厂 江苏兴化自来水厂 江苏昆山自来水集团 江苏苏州吴中区污水处理厂 江苏兴化市自来水公司 江苏昆山自来水厂 北京地铁八通线 北京地铁十三号线 政府 国家商务部 广西社会劳动保障厅 广西河池社会劳动保障局 广西北海社会劳动保障局 辽宁社会劳动保障厅 大同社会劳动保障局 南昌社会劳动保障局 江西社会劳动保障厅 银行 交通银行 建设银行 技术白皮书 一、产品背景 随着信息技术的不断发展,越来越多的企业和组织机构加快信息化建设的步伐,与此同时,Internet和Intranet无所不在的紧密结合亦使网络安全问题突出显现.目前常见的网络安全解决措施:主要采用防火墙、入侵检测系统、防病毒等安全产品.网络安全是一项系统的工程,上述的产品只能针对某一方面,解决部分安全问题.而目前许多黑客也综合采用多种手段来攻击,如果只解决某一方面的安全问题,不能起到真正的安全,所以必需全面的考虑安全问题。 长期以来信息安全对基于网络应用的外部防范技术关注较多,而通过系统内核加固技术对内网核心系统进行有效的保护,筑起数据安全的最后一道防线,正在成为继网络层应用层网络安全产品后已成为信息安全产品的发展趋势。 二、 安全产品的局限性 由于互联网应用的不断延伸,使得信息环境以及信息技术能够快速发展和层出不穷。 随着互联网环境的不断变化,信息安全产品和服务一定要保证开放式网络环境的安全。信息安全产品的发展也在适应着网络发展的需要,单纯的网络级安全产品已经不能适应日益复杂的网络安全需要.信息安全产品已经逐步的从被动的防止攻击,保护系统和网络不被入侵,发展到能够主动检测并防御系统和网络本身的信息安全产品。 新的发展趋势表明,越来越多的公司和机构把安全的中心转移到核心系统安全上来,这些服务器中存储了信息数据,因为信息安全的核心目的是保护服务器中的重要数据不被入侵和数据窃取。 Firewall的局限性: n 只保护通过防火墙的通讯,而不是保护系统 n 无法应对利用应用程序漏洞进行的攻击 n 无法阻止内部人员的攻击 n 对防火墙策略不能进行合理的配置 Host IDS的局限性: n 进行检测没有主动防御的功能 n 只有已知的攻击可以被检测 n 无法保护审计日志 n 无法对自身进行保护 Network IDS的局限性: n 只有已知攻击可以被检测 n 高误报率使管理员无法应对 n 使用迂回的方法躲避入侵检测系统 n 只是对网络的检测,没有保护网络和系统的功能 三、 产品概述 内网核心安全最佳解决方案: 操作系统作为计算机系统的基础软件是用来管理计算机资源,它直接利用计算机硬件并为用户提供使用和编程接口.各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可用性和信息的完整性、机密性,必须依赖于操作系统提供的系统软件基础.在网络环境中,网络系统的安全性依赖于网络中各系统的安全性,而系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。 所以,操作系统安全是计算机网络系统安全的基础.而服务器及其上的业务数据又是被攻击的最终目标。因此,部署安全产品,加强对关键服务器的安全控制,是增强系统总体安全性的核心一环。 S-NUMEN是国内一家自主知识产权支持跨平台的系统保护(安全操作系统)产品,它在操作系统的安全功能之上提供了一个安全保护层,通过从内核层截取文件访问控制方式,加强操作系统安全性。S—NUMEN支持IBM AIX、HP-UX、Solaris、Compaq Tru64以及RedHat Linux和Windows NT多种系统。即使一个未经授权的入侵者获得系统管理员权限,他也不能对系统及数据进行窃取或篡改,从而在根本上防止由于操作系统自身缺陷所造成的入侵. 四、技术原理 信达的S-NUMEN作为操作系统级系统保护产品,是在不改变操作系统内核的情况下,对核心服务器进行保护。 S-NUMEN工作原理如下: Unix操作系统有一个系统调用表,包含指向每个系统调用的内存地址的指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯都是通过系统调用接口在操作系统内核中实现的。安全内核保存了该表中与安全有关的系统调用的指针,并把这些系统调用重定向到S—NUMEN的相应代码。当用户或程序执行一个与安全有关的系统调用时,S-NUMEN系统调用代码会检查S—NUMEN数据库。如果调用是被授权的,S—NUMEN调用原来的Unix系统调用,就像S-NUMEN没有安装一样。否则,安全内核返回权限错误,禁止该请求. 这种实现方式与应用级的安全产品比较有着明显的优势。系统入侵检测产品作为应用层产品出于本身安全性考虑以及功能上无法到达系统保护的功能.网络级入侵检测产品和防火墙作为网络级安全产品从技术原理上讲不具备内网核心安全的要求。 同时,S—NUMEN产品与其他系统保护产品的优势在于它不需要修改操作系统内核并且无需重启系统,这种方式完全满足现有高端服务器的要求。而其它系统保护产品不但使系统管理和支持复杂了,也会违背操作系统的供应商授权-使操作系统维护更困难,增加了巨大的开支. 五、产品特征 1.实现内网核心安全 当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的内网核心安全时,S—NUMEN作为系统级系统保护产品可以保证内网核心服务器的安全。由于来自于内部外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在黑客及非授权内部人员的侵入和攻击的威胁下.S—NUMEN能够防止非授权的访问,使内网核心服务器安全运行。 2.基于数字签名的用户认证 大部分信息系统使用ID和口令保护自身安全.但是单独的口令不能带来充分的保护,它们很容易被共享和猜出来。有时候,口令会遭到野蛮攻击和词典攻击.S—NUMEN利用数字签名证书机制保证了用户身份识别的可靠性。 3.不修改操作系统内核,无需重启系统 S—NUMEN是系统级安全产品,在加强操作系统安全的同时,并不对系统的内核进行修改,从而保证了关键业务服务器的稳定运行。除此之外,在服务器安装S—NUMEN后,系统无需重启,避免了服务器重启所产生的不必要损失。 4.提升现有操作系统的安全级别 WINDOWS、UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制(MAC) 提供了基于信息机密性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定范围的信息,从根本上防止信息的丢失泄密和访问混乱现象。尤其适用于军事、
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服